Windows加密是安全體系的重要基礎和組成部分。現代CPU的保護模式是系統安全的硬件基石，基于CPU硬件的特權分級，Windows讓自身的關鍵系統代碼運行在高處理器特權級的內核模式，各種應用程序則運行在低處理器特權級的用戶態，保證了系統層面的基本安全控制邏輯（如內存、文件等系統資源的訪問控制機制等）的有效性。加密技術與系統安全控制邏輯的結合，使得用戶信息在面對一定程度上不可靠的存儲和傳輸環境時，如計算機失竊、存在網絡嗅探的情形下，仍能保持其私密性、不可篡改的完整性等安全屬性。

Windows加密技術可以從兩個層面予以討論。其一是基本的加密算法服務，這是基本的層面，在這個層面上，摘要，對稱加密，非對稱加密等基本的加密算法可以通過CryptoAPI等操作系統API接口，為應用程序所用。其二是Windows系統加密功能，這個層面的內容包括EFS，用戶信息保護，SSL等網絡加密協議等等。Windows在其基本加密算法服務的基礎上，建立一個較為完善的加密系統。這個加密系統一方面保護Windows系統（單機和域）的安全，另一方面，也提供了可供應用程序直接使用的系統級加密保護服務。

Windows加密算法以服務提供軟件包（CSP）機制組織管理。Windows定義了CSP的架構及其API。通過這些API函數，應用程序可以枚舉系統中存在的CSP，選擇符合自己需要的CSP，使用CSP所實現的算法進行加密操作。每個CSP包含有來自某個廠商實現的一組加密算法和密鑰保護機制，不同的CSP可以含有相同算法的不同實現。有的CSP是與硬件結合的，算法邏輯和密鑰保護實現在獨立的硬件上，這種CSP起著接口適配作用，使得應用軟件與這些加密硬件隔離開來。微軟在Windows中預置了幾個CSP，這些CSP所包含的加密算法在所有的Windows計算機上都是立即可用的。通過CSP框架，應用軟件可以使用Windows定義的統一API，實施加密操作。這樣，應用很容易適應不同的加密算法實現方式。看上去差異很大的加密實現方式，對于應用程序來說，只是CSP名稱的差異。CSP的選用很容易做成可以配置的選項，有應用系統集中管控或者由終端用戶自行選擇。

Windows加密系統的目標有，保護Windows計算機和Windows網絡自身、用戶賬戶安全、用戶數據安全。Windows系統發行介質含有微軟的公鑰，使用基于數字簽名技術的代碼簽名機制，來驗證系統組件的完整性。這一完整性保證了系統代碼的確來自微軟官方，不會被第三方篡改。

在Windows被安裝到一臺計算機上的時候，會隨機生成該計算機的安全標識(SID）和設備主密鑰。設備主密鑰被用來保護本地計算機邊界之內的數據，驗證設備在Windows域中成員身份。

在Windows中創建一個用戶帳戶時，會產生一個用戶SID和用戶主密鑰。用戶主密鑰密鑰被用戶口令加密保護。Windows系統為用戶對一些重要的安全數據進行了加密，如數字證書私鑰、系統工具保存的網絡登錄口令等等，這些都是由用戶主密鑰所保護的。由于用戶主密鑰使用用戶口令加密存儲，所以管理員強制重置用戶口令時，是無法解密恢復原來的主密鑰的。這時，我們會看到這樣的提示：“您正在重置xxxx的密碼。如果這樣做，xxxx將丟失網站或網絡資源的所有個人證書和存儲的密碼”。這也意味著即使是管理員，也不能通過重置口令這一途徑讀取用戶的加密信息。值得注意的是，用戶口令本身使用了摘要算法加密，為了對抗字典攻擊，Windows在注冊表中只保存了摘要值的一半比特。由于還原主密鑰需要全部的比特，這使得攻擊者即使“碰”上了注冊表中的這一半比特，也不能解密還原用戶的主密鑰。

Windows加密文件系統(EFS)對用戶數據提供了保護。加密文件系統使用混合加密體制保護文件內容。每個EFS加密的文件都使用隨機生成的不同對稱密鑰（FEK）保護。FEK被用戶數字證書公鑰加密保護，還原FEK需要能夠訪問用戶的文件加密證書私鑰。這一私鑰又得到用戶主密鑰的保護，用戶主密鑰又在用戶口令的保護之下。由于重置用戶密碼會失去原先的主密鑰，從而失去EFS的訪問能力，所以會導致不再能夠打開原先使用EFS加密的文件。這種情況下，唯一的途徑是使用在第一次加密文件時，備份的EFS文件加密證書私鑰。EFS加密與不加密的區別在于，對于不加密的文件，具有管理員權限的賬戶，不登錄用戶賬戶，也能打開這些文件。設備或者硬盤失竊時，信息竊賊是很容易得到這樣一個權限的，把硬盤掛在自己的計算機上就可以了。EFS以強加密阻止這一情況的發生。如果冠希當初勾選了文件夾的加密屬性以開啟EFS，再配合以一個不易猜測的Windows開機登錄口令，他就不會因送修電腦而被那么早的被送上新聞頭條。

在保護本地各種加密要素安全的基礎上，Windows實現了一系列網絡加密協議，有些是Windows網絡專用的，如RDP協議；有些是互聯網通用的，如SSL、IPSec等。應用程序可以通過相關的加密API，利用這些系統中實現了的加密協議，加密保護應用程序在網絡上傳輸的信息。

總結

以上是生活随笔為你收集整理的Windows加密技术概述的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。