| Bitlocker是一款卷级数据加密技术,它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。在,Windows Server 2008 R2,中的使用比较广泛。本文就是Bitlocker卷级加密的实战交锋。 一、 Bitlocker驱动器加密概述 1. 什么是Bitlocker Bitlocker是微软在Windows Vista和Windows Server 2008 加入的卷级数据加密技术。它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。 2. 什么是卷 为什么说是卷级加密技术呢,先从卷的概念说起。下面一段关于卷的解释引自Byron Hynes的【安全性: 使用 BitLocker 驱动器加密以保护数据的密钥】 卷是由一个或多个分区组成的逻辑结构,并且由"卷管理器"的Windows组件所定义。除了卷管理器和启动组件,其他Windows组件和应用程序都是使用卷,而非分区。在 Windows 客户端操作系统环境下,包括 Windows Vista 在内,分区和卷通常具有一对一的关系。而在服务器中,一个卷通常由多个分区组成,比如典型的 RAID 配置。 这里特别要指出的就是在Windows Server 2008以后服务器操作系统中,卷已经不再是指单纯的一个分区,在RAID配置中,多个分区合起来才被叫做卷。而Bitlocker 就可以为这样的RAID卷进行加密。不同于EFS和RMS的文件级加密,Bitlocker是为保护卷上的所有数据而设计的,并且不需要管理员进行大量的配置。整卷加密也可以有效的防止离线攻击,就是绕过操作系统和NTFS权限控制而直接读取硬盘数据的手段。 3. 如何加密数据 Bitlocker默认会使用含扩散器的128bit-AES算法加密数据,并且可以通过组策略将密钥扩充至256bit。 注意:扩散器简单描述就是可以确保即使是对明文的细微更改都会导致整个扇区的加密密文发生变化。 4. 系统完整性检查 Bitlocker通过TPM 1.2(Trusted Platform Module)芯片来检查启动组件和启动文件的状态,例如BIOS、MBR主引导记录及NTFS扇区。如果启动文件被修改,Bitlocker会锁定驱动器,并且进入恢复模式,可以通过一个48位的密码或者存储在智能卡上的密钥来解锁被加密的驱动器。 注意:通过智能卡解锁服务器的时候,硬件需要支持大容量USB存储设备。 二、 Windows Vista 和Windows 7 Bitlocker特性对比 1. 在Windows Vista中启用系统完整性检查,Bitlocker 1.0版要求需要有一个独立的,至少1.5GB的分区用来存放启动文件,比如bootmgr。而在RTM版的Windows 7中,如果是重新分区安装操作系统,按照微软提出的分区建议,在采用多操作系统(Windows Vista 和Windows 7),启用Bitlocker和Windows Recovery Environment时,系统会自动创建至少100M的分区空间来存放启动文件和相关组件。这也是为什么许多重新安装了Windows 7的用户,会多出一个100M的分区的原因。 2. 在Windows Vista中,Bitlocker提供了有限的恢复功能,所有的恢复机制都基于一个48位的恢复密码,用户可以使用它来恢复被锁定加密的信息。如果存在于域中,还可以通过组策略保存所有启用了Bitlocker的计算机的恢复信息。这些信息会与计算机账号绑定。Windows 7为Bitlocker加入了新的组策略机制:Bitlocker数据恢复代理。它与EFS恢复代理类似,持有恢复代理证书的用户即可解密域中所有使用Bitlocker加密的数据。 3. 与Windows Vista只能加密NTFS的本地驱动器不同,Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系统的移动存储设备,并且在使用Bitlocker to GO加密时候,会向设备中复制一个BitlockertoGO.exe的工具,这个工具是Bitlocker reader工具,它可以帮助用户在Windows Vista和Windows XP上解锁设备,但只能使用恢复密钥的方式,不能使用智能卡。 注意:当时用BitlockertoGO工具解锁移动设备后,只有Windows 7企业版或旗舰版和Windows Server 2008 R2才能修改和写入数据。Windows Vista 或Windows XP只能将数据复制到本地磁盘才能修改数据,但无法写入到移动设备中。
上一篇: ,Media Server缓存功能的配置与测试, 下一篇: ,BranchCache分支机构新体验,
|
相关文章(责任编辑:生如夏花)