§19.2_Windows安全机制与防护

支持 EFS 的 Windows 版本

1. Windows 2000 Professional

• EFS 是在 Windows 2000 中首次引入的。

2. Windows XP Professional

• EFS 在 Windows XP Professional 中可用，但不支持家庭版。

3. Windows Vista

• 所有版本的 Windows Vista（包括家庭版）均支持 EFS。

4. Windows 7

• EFS 在 Windows 7 Professional、Enterprise 和 Ultimate 版本中可用，但家庭版不支持。

5. Windows 8 和 8.1

• EFS 在 Windows 8 和 8.1 Pro、Enterprise 版本中可用。

6. Windows 10

• EFS 在 Windows 10 Professional、Enterprise 和 Education 版本中可用，但家庭版不支持。

7. Windows 11

• EFS 在 Windows 11 Professional、Enterprise 和 Education 版本中可用。

不支持 EFS 的版本

• Windows 10 Home
• Windows 11 Home
• Windows Server 2003 和 2008（虽然这些版本的服务器版支持，但通常用于不同的管理环境）

1. 加密级别和范围

• EFS：用于文件级加密，允许用户选择加密特定文件或文件夹。EFS 更适合保护局部的、特定的文件或文件夹，而不影响系统的整体性能。
• BitLocker：用于磁盘级加密，它对整个驱动器（包括操作系统驱动器和外部存储设备）进行加密。它的目的是保护整个磁盘上的所有数据，并在设备丢失或被盗时保障数据安全。

2. 适用场景

• EFS：适合在多用户系统中保护敏感的个人或工作文件。它允许单个文件或文件夹的加密和授权，非常灵活。例如，公司中可以加密某些敏感文件，同时允许特定用户访问。
• BitLocker：适合在设备丢失或被盗的情况下保护整个系统的数据，尤其适用于笔记本电脑和其他移动设备，防止未经授权的用户访问整个磁盘的数据。

3. 加密方式

• EFS：使用基于用户的加密方式，依赖于用户证书和公钥基础设施 (PKI)。每个用户的加密密钥和文件加密密钥（FEK）与用户的身份绑定，授权用户可以轻松解密，但其他用户无权访问。
• BitLocker：使用 TPM（可信平台模块）硬件支持进行自动加密，并可与 PIN、USB 密钥或密码组合以增强安全性。BitLocker 依赖于 Windows 的启动过程和硬件加密模块。

4. 数据恢复

• EFS：支持数据恢复代理 (DRA)，允许管理员在用户密钥丢失时恢复文件。
• BitLocker：支持恢复密钥（Recovery Key），可以在丢失密码或硬件更改导致 TPM 不再识别的情况下恢复访问。

5. 用户体验和透明度

• EFS：对用户透明，只对文件或文件夹加密，其他未加密文件不受影响。对用户几乎没有明显的系统性能影响。
• BitLocker：加密后，整个驱动器都处于保护状态，解锁设备时需要提供身份验证（如 PIN 或 USB 密钥）。首次加密过程可能耗时，但完成后对系统性能影响较小。

6. 兼容性

• EFS：仅适用于 NTFS 文件系统。
• BitLocker：适用于 NTFS、FAT16、FAT32、exFAT 等文件系统，并且可用于操作系统驱动器和外部存储设备。

总结

• EFS 更适合加密特定的文件或文件夹，适合在多用户环境中保护个人数据。
• BitLocker 是全盘加密的解决方案，更适合在设备丢失或被盗的情况下保护整盘数据。