系统和文件安全的综合保护指南（下）

上文，我们介绍了各种加密算法的优缺点，本文我们将介绍如何选择合适的加密方式进行加密。

文档加密

对单个文档进行加密是多层安全性的重要组成部分，微软Office应用程序可以使用密码来加密文件的内容，没有密码的人不能够解密文件。

可用性：所有版本的Microsoft Office；

安全性：取决于Microsoft Office的版本、用于保存文件的文件格式和密码的强度。

物理访问，仅针对硬盘驱动器：强大的保护；

物理访问权限，针对整个计算机：强大的保护；

同一台计算机上的其他用户：强有力的保护；

局域网上的其他用户：强有力的保护；

恶意软件/勒索软件：内容保护，恶意软件将无法解密你的文件并读取你的数据。但是，恶意软件/勒索软件仍可以加密你的文件，从而有效地将你锁定。

网络攻击：内容保护，强大的保护措施可以防止未经授权的数据访问，但无法防止未经授权的删除。

使用场景：保护文档内容不受任何不知道加密密码的人的攻击。

如何使用：如何使用密码保护文档，请点此。

一个非常重要的问题是：如果你在局域网上，是否应该使用EFS或文档加密来保护文档免受同一局域网上的其他用户的攻击？在这种情况下，最好两者都使用。EFS将使你无法在不知道Windows帐户/域凭据的情况下访问加密文件和文件夹。即使攻击者知道你的登录凭据，单个文档的密码保护也将使文档难以被破解。

文档加密的注意事项

如果你重复使用已经存储在浏览器缓存或密钥链中的密码，那么在许多类型的攻击中提取该密码并解密文档只需几分钟。

如果你使用加密强度高且真正独特的密码来加密文档，那这些文件安全吗？事实是，它们将与Office应用程序要求的安全性一样安全。一般来说，Office 2000之前的所有内容都是不安全的。 而Office 2000，XP和Office 2003具有非常弱的加密功能，通常可以在一天内破解。

从Office 2007开始，Microsoft开始认真对待加密。 Office 2010、2013、2016、2019将安全性提高到了新的水平，从而使加密文档变得非常安全。

所以你正在使用的最新的Office本身就带了一个强密码。那这是否就意味着现在安全了？事实是，你将在文档格式允许的范围内保持安全。如果你使用较新的DOCX / XLSX格式（扩展名为.docx / .xlsx的文件），那么就可以了。但是，如果你以“兼容”模式保存文档，那么你将牺牲加密，让你的文件像Office 2003应用程序那样容易受到攻击。

具体操作步骤

1. 使用最新版本的Microsoft Office保存文档，如果没有最新版本，请至少使用Office 2013（越新越好）。

2. 切勿以“兼容”模式保存文档，确保文件是DOCX / XLSX，而不是DOC / XLS。

3. 使用唯一的加密强度高的密码来加密文档。请记住：如果密码被破解了一次(例如从你的谷歌账户中删除或从你不小心以“兼容”格式保存的文档中恢复)，它将被用来破坏其他所有内容，包括具有高度加密功能的文档。

4. 如果你要发送加密的文档，请为该文档使用唯一的一次性密码，不要同时发送文档和密码。事实上，你不应该通过电子邮件发送密码，因为那样会让攻击者进入你的电子邮件帐户来解密文件，通过单独的通信渠道(如电子邮件/短信、聊天或电话)发送文档和密码。

保护备份和文档

定期备份是一种保护常识，不过一旦你做了备份，请确保为其提供与启动驱动器一样强大的保护。

将备份存储在受BitLocker保护的媒体上，即使你的备份工具（例如Windows内置的备份工具）不支持加密，至少你的存储介质也受到全盘加密的保护。注意：Windows 10确实支持从受BitLocker保护的磁盘中进行恢复，只需从微软网站创建一个可启动的安装映像(使用“创建Windows 10安装媒体”)即可。

如果你的备份工具支持加密，则最好对备份进行加密（并将其存储在受BitLocker保护的媒体上）。但是请注意，备份工具可能会在计算机上缓存你的备份密码，以自动加密新备份和增量备份。因此，请确保使用一个真正独特的，永不重复使用的密码来加密备份。

通常使用WinZip，7Zip或WinRar等常用文档工具备份单个文件夹，这些工具都提供了使用密码对文档进行加密的功能。虽然三种格式（ZIP，7Z和RAR）的加密强度不同，但如果你选择一个合理复杂的密码(例如8个字符或更多，将小写和大写字母与数字和特殊字符组合在一起)，每种工具的最新版本都提供了足够的保护。为了达到最好的保护水平，请将这些文档保存在受BitLocker保护的媒体上。

请注意，与攻击BitLocker加密或Office 2013（及更新版本）文档相比，密码恢复工具在ZIP / 7Z / RAR上的工作速度明显更快。因此，切勿重复使用你的密码，并确保你的BitLocker媒体，文档和备份/归档使用完全不同的密码。如果条件允许，不要基于同一加密模式。

云安全性：OneDrive云存储服务

2014年2月19日，微软正式宣布OneDrive云存储服务上线，支持100多种语言，面向全球替代微软SkyDrive。你可以访问OneDrive来准备进入新的服务，使用自己SkyDrive服务所用的Microsoft账号登录即可。

微软开始以个人保管箱的形式向其云存储服务的所有用户提供额外的安全保护，万一有人获得对你帐户或设备的访问权限，OneDrive Personal Vault可以帮助保护计算机和云中的文件。

与勒索软件保护不同，Personal Vault可用于Microsoft OneDrive的所有用户，而不仅限于Office 365订阅者。从技术上讲，Personal Vault是计算机上OneDrive文件夹和OneDrive云存储中具有附加保护功能的区域。你只能在通过强认证后才能访问此保护区，如果你的Microsoft帐户受双重身份验证保护，则除了输入Microsoft帐户密码外，你还必须通过身份验证的第二步。

配置后，每次需要访问安全数据时，都必须手动解锁Personal Vault。要解锁，你必须输入Microsoft帐户密码并通过第二步身份验证步骤（如果你的帐户具有双重身份验证）。访问完数据后，Personal Vault会在短暂的不活动后自动重新锁定。一旦锁定，你使用的任何文件也将锁定并需要重新验证才能访问。

如在Personal Vault中保护OneDrive文件中所述，设置Personal Vault仅需点击几下即可完成。

OneDrivePersonal Vault直到今天还没有进行过独立的安全分析。我们认为，Personal Vault应该作为一些最私有但很少访问的数据类型的额外安全层来考虑。此类数据的示例可能包括BitLocker托管密钥和二进制加密密钥，或者某些用户存储在加密的Excel电子表格中的密码列表。我个人也将我的双重身份验证密码（扫描的QR码以初始化Authenticator应用程序）保存在Personal Vault中。

物理访问：未知（尚未分析）；

同一台计算机上的其他用户：强大的保护；

恶意软件/勒索软件：强大的保护功能（除非在运行恶意软件时将Personal Vault解锁）

网络攻击：与你的Microsoft帐户安全性一样强；

使用场景：为少数的个人文件、加密密钥、双重身份验证密码等激活添加一个额外的安全层。

勒索软件防护

勒索软件是一种恶意软件，它会威胁要公布从受害者那里窃取的数据，或者用只有攻击者知道的密钥对受害者的文件进行加密，从而永久阻止对受害者文件的访问。“勒索软件”(ransomware)一词源于这样一个事实，在许多情况下，攻击者要求支付赎金来解密数据。

保护数据免受勒索软件本身是一个复杂的话题。但是，在勒索软件保护方面，计算机用户可以选择以下两种防御措施。

勒索软件保护可以有效的针对以下威胁：

物理访问：无防护；

同一台计算机上的其他用户：无保护；

恶意软件/勒索软件：有效的保护；

网络攻击：与你的云帐户安全性一样强；

使用场景：Office 365订户自动可用，适用于付费Dropbox用户。自动保护存储在OneDrive / Dropbox中的文件，自动警报（仅OneDrive），自动还原（仅适用于OneDrive），手动还原（Dropbox）。

将云存储与自动勒索软件保护配合使用

如果你使用的是Windows 10，则很可能已经拥有一个Microsoft帐户。 Microsoft帐户可让你访问Microsoft的云存储解决方案OneDrive。免费层包括5到15 GB的在线存储空间，而Office 365订阅者将获得整个TB的云存储空间。

Microsoft积极推广OneDrive Ransomware Protection，OneDrive会自动检测到文件被批量删除或批量编辑(例如，当勒索软件对整个文档文件夹进行加密时)，向用户发出警报。文件还原功能仅适用于Office 365订阅者，这样家庭和个人级别足以获得保护。有关勒索软件检测和恢复文件的更多信息，请点此。

如果你更喜欢Dropbox而不是Microsoft OneDrive，则Dropbox可以使你免受勒索软件攻击，但主要针对更高级别的付费层。免费的基础级别的用户以及Plus订户可以在攻击发生后的前30天内回滚单个加密文件，Dropbox应用程序不会出现批量删除批量加密文件的警告。如果你想使用Dropbox Rewind还原整个文档文件夹，则需要成为付费Plus或Professional级别的订户。

更多信息，请点击以下文章了解：

1. 如果你的文件被勒索软件破坏或重命名该怎么办？

2. 如何在Dropbox中恢复或还原已删除的文件或文件夹？

3. 恢复旧版本的文件；

4. 如何恢复Dropbox帐户中已经丢失的文件；

制作备份快照，使备份媒体保持脱机状态

一旦你的电脑上被安装了勒索软件，它会试图加密所有可以访问的文件。显而易见的解决方案是通过物理断开备份媒体(例如使用2.5英寸的便携式USB驱动器进行备份)来访问文档。在这种情况下，只有在真正需要进行备份时，才会将备份媒体连接到计算机，在备份工具完成工作后断开磁盘连接。使用这种方法，即使你的计算机受到勒索软件的攻击，你的离线备份也不会受到影响，除非你在安装勒索软件时将外部驱动器连接到计算机。

此外，配置备份工具以在可用存储允许的时间内保留数据快照，在我们的办公室中，价格合理的4TB USB硬盘驱动器可以保存一个文件夹的大约30至40个完整快照；如果启用增量备份，并且只保存每个快照，则此数量将显著增加。详细信息，查阅《使用文件历史记录在Windows 10中进行备份和还原》一文。