如果沒有加密技術安全技術就無從談起當然自從微軟年發布了OS/ 以來這個軟件業的巨人推出的每一款操作系統(除了MSDOS以外)都采用了某種形式的加密技術但多年以來微軟內嵌在其操作系統中的加密加密技術的種類以及它們的工作方式都在發生變化下面就簡要介紹一下微軟新一代操作系統Windows Vista 中新增的幾個加密功能
Windows Vista中包含新的加密服務
每一個軟件供應商在軟件開發過程中都要面臨這樣一個決策是嘗試創建自己的加密算法還是使用標准的加密算法乍看之下對於一個軟件供應商來說最好還是自己編寫加密算法並且對於它的內部運行機制嚴格保密但是安全領域的權威專家Bruce Schneier卻不這麼認為Schneier指出最好不要使用那些自己編寫的加密算法因為這些算法只是被少數業內人員研究和交叉檢查可靠性和正確性都沒有保障相反最好使用那些被無數數學家檢驗過的標准加密算法Schneier在他的書中還拿微軟作例子聲稱每次微軟創造了一個專有的加密算法短短的幾個月後該算法就被破解了
我不知道這種情況是否一直發生但可以肯定地是它發生的次數已經很頻繁了也許這 就是為什麼微軟越來越多的使用標准加密算法的原因目前兩個最常用的加密算法是安全散列算法(Secure Hashing Algorithm SHA)和高級加密系統(Advanced Encryption System AES)這兩種加密技術都是在美國政府的標准和技術國家研究所(NIST)的支持下開發出來的目的就是提供一套深思熟慮的散列和加密的算法AES在加密社區中反映良好不過SHA卻在一些特殊的情況下被成功破解了SHA最新的版本SHA到目前為止還沒有被成功破解的報道
Windows XP SP以後的任何XP操作系統以及Windows Sever 的任何版本中都采用了AES技術不過使用很有限據我所知Windows XP只在加密文件系統EFS(Encrypting File System )中使用了AES而對於Vista微軟表示它的IPsec功能使用了AES加密坦白地說這不是什麼驚天動地的大事雖然先前只采用Triple DES數據加密標准而破解這個加密算法也是不太實際的但在IPsec中使用AES也算是提前了一步把SHAj加入到IPSec中也是一個不錯的想法但我要指出的是微軟的組策略接口Group Policy interface並沒有包含這兩者的選項不過我可以證實另一個Windows技術BitLocker Full Volume Encryption確實使用了位和位的AES加密
對分頁加密
在Vista中用戶可以對分頁進行加密不過這只對於妄想狂來說是個好消息而我建議用戶不要使用這個功能因為每次在你啟動計算機的時候要解密GB的分頁需要一小時或更長的時間
為每個用戶的脫機文件夾加密
脫機文件Offline Files是一項偉大的技術它可讓用戶從經常使用的本地共享文件中緩存數據這項技術最早出現在Windows 中雖然它並不適合每一個人但有很多人喜歡它但是Offline Files的工作細節被公布以後用戶很快就意識到這項技術有一個安全漏洞進一步來說在Windows 中所有的緩存文件被存放在一個能被任何用戶輕而易舉就能查看的目錄中因此如果我與你共享一台計算機而你使用了Offline Files那麼我也可以浏覽存放緩存文件的文件夾使用同一台機器的所有用戶共享同一個文件夾這未必是件好事
而在Windows XP中微軟也對存放緩存脫機文件數據的文件夾進行加密但是這一加密過程被作為運行在為LocalSystem帳戶中的一個服務這意味著每一個運行在LocalSystem賬戶上的用戶很容易地就能使用EFS脫機文件數據加密密鑰不幸地是用戶很容易就能使用LocalSystem賬戶登陸系統只需使用atexe調度程序啟動了一個命令提示界面由於調度程序默認是在LocalSystem賬戶上運行的那麼你完全可以在命令提示界面進行文件操作因而進入Offline Files並查看共享這台計算機的用戶所使用的脫機文件變得相當容易
而Vista對此進行了改進主要包括兩個方面首先每個用戶的緩存文件都使用自己的密鑰而不是LocalSystem的EFS密鑰進行緩存第二即使微軟沒有作出上述改變在Vista中要使用LocalSystem賬戶進行登陸也是相當困難的過去操作系統中使用的登陸LocalSystem賬戶的伎倆在Vista中都不再生效了
From:http://tw.wingwit.com/Article/os/xtgl/201311/9302.html
