我正在为其他人设置 Windows 10 笔记本电脑。
他们有一个 SDCard,我们希望确保它只能在那台机器上访问。
该卡将保存同步的 Google Drive 文件,因此如果丢失,不会有数据丢失的问题。最重要的结果是有人无法取出卡,将其放入他们的机器并读取文件。
不幸的是,笔记本电脑没有 TPM 芯片,因此 Bitlocker 只有在用户每次使用笔记本电脑时输入另一个密码(用于 Bitlocker)时才会运行。这不是理想的选择,如果可能的话,我想解决这个问题。
是否有第三方应用程序可以实现我们的目标?或者我可以使用其他方法吗?
我发现这个较老的问题,其中建议使用“TrueCrypt”作为解决方案:加密 SD 卡上的文件
但是 TrueCrypt 不再维护并建议使用 Bitlocker。
任何建议的解决方案都值得赞赏。
答案1
@grawity 给出了我认为最好的答案,假设您使用的是 Windows 专业版(或更高版本)。EFS(加密文件系统)是 NTFS 的一项功能,它使用存储在操作系统中并(透明地)受您的帐户密码保护的密钥对文件进行透明加密和解密。请注意,您可以安全地更改密码(先输入旧密码,然后输入新密码),但重置通过管理员或 Windows 外的工具输入密码将使文件无法恢复。还要注意,如果您使用的是域帐户,解密密钥将存储在域控制器上,任何域管理员都可以恢复它(但对于非域帐户,即使是本地管理员也很难恢复密钥)。此外,仅仅知道您的密码还不足以恢复密钥;加密主密钥本身是随机的,密码只是用于加密和解密主密钥。
对于这些说明,我假设您的 SD 卡安装在驱动器 F:
使用 NTFS 格式化卡。
- 如果它当前格式化为 FAT32(或者可能是 EXFAT;我从未尝试过),您可以将其转换为 NTFS,而不是使用内置的 Windows 工具重新格式化
convert.exe
(可能需要管理员)。
convert F: /FS:NTFS
- 如果它当前格式化为 FAT32(或者可能是 EXFAT;我从未尝试过),您可以将其转换为 NTFS,而不是使用内置的 Windows 工具重新格式化
- 一旦卡是 NTFS 并且以此方式安装,右键单击驱动器(或其中的文件夹)并打开属性。
- 如果是共享计算机,请转到“安全”选项卡并删除除您自己之外的所有用户,从而授予您自己所有权和完全控制访问权限。(这不会阻止移除卡的攻击者;它仅用于防止本地非管理员用户。)
- 现在真正地加密数据。
- 如果您有一个包含所有文件的目录(根目录除外),则可以使用 Explorer。
- 打开目录的属性(如果您在第 2 步中还没有它们)。
- 在常规选项卡上的属性下,单击高级。
- 选中“加密内容以保护数据”复选框。
- 单击“确定”,然后单击“属性”框上的“应用”或“确定”。
- 您将看到“确认属性更改”框;选择“将更改应用到此文件夹、子文件夹和文件”,然后单击“确定”。
- 如果您想加密驱动器的根目录,由于某种原因您无法从资源管理器中执行此操作,因此您需要使用命令行实用程序
cipher.exe
。- 打开命令提示符或 Powershell 窗口(由于您拥有驱动器上的根目录,因此不需要以管理员身份操作)。
- 运行命令
cipher /E /S:F:\ /H F:\
(不确定是否需要在 /S 中指定路径,并且通常需要指定路径,但这不会有什么坏处)。 - 等待作业完成。
- 如果您有一个包含所有文件的目录(根目录除外),则可以使用 Explorer。
- 无论哪种情况,卷上的文件现在都将被加密,除了您(或可以窃取您的密钥和密码的管理员)之外没有人可以解密它们,它们将自动为在您的密码认证帐户下运行的任何程序加密/解密,并且在卷上创建的任何新文件或目录也将被加密。
- 要解密,请重复步骤 4。但要取消选中“加密内容以保护数据”复选框,或使用 /D 标志而不是 /E(
cipher /D /S:F:\ /H F:\
)