应采用端到端可控加密策略:一、用EFS加密本地同步文件夹,仅当前用户可访问;二、将高敏子文件夹移入BitLocker加密VHDX并取消同步;三、利用OneDrive个人保管库实现二次验证隔离。
如果您在Win11中将文件夹同步至OneDrive、Google Drive等云服务,但希望这些已上传或待同步的文件在本地和云端均受加密保护,则需避免依赖云服务默认的传输层加密,而采用端到端可控的加密策略。以下是针对云同步文件的加密方法:
一、使用EFS加密本地同步文件夹
EFS加密作用于NTFS磁盘上的文件系统层级,对OneDrive或其它云客户端的本地同步文件夹(如OneDrive根目录)实施加密后,所有新写入该路径的文件在落盘时即被自动加密;云同步客户端读取时由系统透明解密,上传内容仍为明文,但本地磁盘无法被其他账户或离线系统访问。
1、确认OneDrive本地同步文件夹所在磁盘为NTFS格式:右键“此电脑”→“属性”→打开“磁盘管理”,右键对应卷→“属性”,查看“文件系统”是否为NTFS。
2、在文件资源管理器中,右键OneDrive主文件夹(例如“C:\Users\用户名\OneDrive”),选择“属性”。
3、在“常规”选项卡下方点击“高级”按钮。
4、勾选加密内容以便保护数据,点击“确定”返回。
5、在属性窗口中点击“应用”,在弹出对话框中选择将更改应用于此文件夹、子文件夹和文件,点击“确定”。
6、等待加密完成,该文件夹名称显示为绿色,且仅当前登录用户可访问其内容。
二、将敏感子文件夹移入BitLocker加密虚拟磁盘再同步
此方法将高敏感子集(如“财务资料”“证件扫描”)从OneDrive同步路径中剥离,存放于独立的BitLocker加密VHDX容器内,该容器不纳入云同步范围,从而实现物理隔离与强密码保护;其余非敏感内容仍保留在OneDrive中正常同步。
1、按Win + X键,选择“磁盘管理”,点击顶部菜单“操作”→“创建VHD”。
2、设置保存路径(建议不在OneDrive目录内)、大小(如2GB)、格式为VHDX、类型为“动态扩展”,点击“确定”。
3、新磁盘显示为“脱机”,右键→“初始化磁盘”,分区形式选GPT;右键未分配空间→“新建简单卷”,分配驱动器号(如Z:),格式化为NTFS。
4、右键Z:盘符→“启用BitLocker”,选择使用密码解锁驱动器,输入含大小写字母、数字及符号的强密码。
5、务必勾选保存恢复密钥到文件并存入U盘,同时选择“加密整个驱动器”,点击“开始加密”。
6、加密完成后,将原OneDrive内需保密的子文件夹剪切粘贴至Z:盘,随后在OneDrive客户端中右键该子文件夹→“取消同步”,确保其不再上传至云端。
三、利用OneDrive个人保管库隔离高敏文件
OneDrive个人保管库是微软提供的内置安全区域,启用后所有存入其中的文件均需二次身份验证(如短信验证码或Microsoft Authenticator)才能访问,即使设备丢失、账户被盗或云盘被非法登录,保管库内容仍保持锁定状态,且不参与常规同步策略。
1、打开OneDrive桌面应用,点击右上角齿轮图标→“设置”。
2、切换至“更多”选项卡,点击解锁个人保管库。
3、按提示通过已绑定的手机号或备用邮箱接收验证码,完成双重验证。
4、验证成功后,OneDrive文件列表中出现“个人保管库”文件夹,将需加密的云同步文件直接拖入其中。
5、操作完毕后,右键“个人保管库”→“锁定个人保管库”,系统立即清除本地缓存并强制下一次访问需重新验证。
