|
某公司部署了以Windows Server 2008 R2為平臺(tái)的只讀域控制器之后���,給員工帶來的最直接效果就是���,計(jì)算機(jī)的登錄速度變的和總部一樣快,一切在活動(dòng)目錄里的應(yīng)用也都跟著變快了����。
但是各種安全問題也接踵而至��,比如只讀域控制器的就放在辦公室�,很容易被偷盜���,而且只讀域控制器上還充當(dāng)文件服務(wù)器使用����,存放著公司的一些重要的敏感信息�,這些信息存儲(chǔ)在未加密的邏輯卷中,可以被輕而易舉的提取出來�。這時(shí)候Bitlocker 卷級數(shù)據(jù)加密就成為了解決問題的關(guān)鍵。
一���、 Bitlocker驅(qū)動(dòng)器加密概述
1. 什么是Bitlocker
Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級數(shù)據(jù)加密技術(shù)����。它可以有效的幫助企業(yè)和個(gè)人用戶對存儲(chǔ)設(shè)備中數(shù)據(jù)進(jìn)行安全的保護(hù)����。
2. 什么是卷
為什么說是卷級加密技術(shù)呢,先從卷的概念說起����。下面一段關(guān)于卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅(qū)動(dòng)器加密以保護(hù)數(shù)據(jù)的密鑰】
卷是由一個(gè)或多個(gè)分區(qū)組成的邏輯結(jié)構(gòu)��,并且由"卷管理器"的Windows組件所定義�。除了卷管理器和啟動(dòng)組件����,其他Windows組件和應(yīng)用程序都是使用卷,而非分區(qū)�����。在 Windows 客戶端操作系統(tǒng)環(huán)境下��,包括 Windows Vista 在內(nèi)��,分區(qū)和卷通常具有一對一的關(guān)系��。而在服務(wù)器中��,一個(gè)卷通常由多個(gè)分區(qū)組成����,比如典型的 RAID 配置�。
這里特別要指出的就是在Windows Server 2008以后服務(wù)器操作系統(tǒng)中,卷已經(jīng)不再是指單純的一個(gè)分區(qū)�����,在RAID配置中,多個(gè)分區(qū)合起來才被叫做卷��。而Bitlocker 就可以為這樣的RAID卷進(jìn)行加密�����。不同于EFS和RMS的文件級加密�����,Bitlocker是為保護(hù)卷上的所有數(shù)據(jù)而設(shè)計(jì)的����,并且不需要管理員進(jìn)行大量的配置。整卷加密也可以有效的防止離線攻擊���,就是繞過操作系統(tǒng)和NTFS權(quán)限控制而直接讀取硬盤數(shù)據(jù)的手段��。
3. 如何加密數(shù)據(jù)
Bitlocker默認(rèn)會(huì)使用含擴(kuò)散器的128bit-AES算法加密數(shù)據(jù)���,并且可以通過組策略將密鑰擴(kuò)充至256bit。
注意:擴(kuò)散器簡單描述就是可以確保即使是對明文的細(xì)微更改都會(huì)導(dǎo)致整個(gè)扇區(qū)的加密密文發(fā)生變化。
4. 系統(tǒng)完整性檢查
Bitlocker通過TPM 1.2(Trusted Platform Module)芯片來檢查啟動(dòng)組件和啟動(dòng)文件的狀態(tài)��,例如BIOS��、MBR主引導(dǎo)記錄及NTFS扇區(qū)��。如果啟動(dòng)文件被修改�����,Bitlocker會(huì)鎖定驅(qū)動(dòng)器�����,并且進(jìn)入恢復(fù)模式��,可以通過一個(gè)48位的密碼或者存儲(chǔ)在智能卡上的密鑰來解鎖被加密的驅(qū)動(dòng)器����。
注意:通過智能卡解鎖服務(wù)器的時(shí)候�,硬件需要支持大容量USB存儲(chǔ)設(shè)備。
二�、 Windows Vista 和Windows 7 Bitlocker特性對比
1. 在Windows Vista中啟用系統(tǒng)完整性檢查,Bitlocker 1.0版要求需要有一個(gè)獨(dú)立的���,至少1.5GB的分區(qū)用來存放啟動(dòng)文件���,比如bootmgr����。而在RTM版的Windows 7中��,如果是重新分區(qū)安裝操作系統(tǒng)���,按照微軟提出的分區(qū)建議����,在采用多操作系統(tǒng)(Windows Vista 和Windows 7)�,啟用Bitlocker和Windows Recovery Environment時(shí),系統(tǒng)會(huì)自動(dòng)創(chuàng)建至少100M的分區(qū)空間來存放啟動(dòng)文件和相關(guān)組件�����。這也是為什么許多重新安裝了Windows 7的用戶�����,會(huì)多出一個(gè)100M的分區(qū)的原因����。
2. 在Windows Vista中�,Bitlocker提供了有限的恢復(fù)功能���,所有的恢復(fù)機(jī)制都基于一個(gè)48位的恢復(fù)密碼��,用戶可以使用它來恢復(fù)被鎖定加密的信息�����。如果存在于域中����,還可以通過組策略保存所有啟用了Bitlocker的計(jì)算機(jī)的恢復(fù)信息��。這些信息會(huì)與計(jì)算機(jī)賬號綁定��。Windows 7為Bitlocker加入了新的組策略機(jī)制:Bitlocker數(shù)據(jù)恢復(fù)代理�����。它與EFS恢復(fù)代理類似�,持有恢復(fù)代理證書的用戶即可解密域中所有使用Bitlocker加密的數(shù)據(jù)�����。
3. 與Windows Vista只能加密NTFS的本地驅(qū)動(dòng)器不同,Windows 7中的Bitlocker to GO也支持exFAT��、FAT16����、FAT32文件系統(tǒng)的移動(dòng)存儲(chǔ)設(shè)備,并且在使用Bitlocker to GO加密時(shí)候���,會(huì)向設(shè)備中復(fù)制一個(gè)BitlockertoGO.EⅩE的工具���,這個(gè)工具是Bitlocker reader工具,它可以幫助用戶在Windows Vista和Windows XP上解鎖設(shè)備���,但只能使用恢復(fù)密鑰的方式����,不能使用智能卡��。
注意:當(dāng)時(shí)用BitlockertoGO工具解鎖移動(dòng)設(shè)備后����,只有Windows 7企業(yè)版或旗艦版和Windows Server 2008 R2才能修改和寫入數(shù)據(jù)�����。Windows Vista 或Windows XP只能將數(shù)據(jù)復(fù)制到本地磁盤才能修改數(shù)據(jù)���,但無法寫入到移動(dòng)設(shè)備中。
三����、 Bitlocker使用方法簡介
在Windows Server 2008 R2中,Bitlocker默認(rèn)不安裝���,用戶需要手工在功能中添加����。依次打開【服務(wù)器管理器】-【功能】-【添加功能】���,選中【Bitlocker驅(qū)動(dòng)器加密】安裝后需要重啟計(jì)算機(jī)���。
重啟計(jì)算機(jī)后,在【控制面板】-【系統(tǒng)和安全】-【Bitlocker驅(qū)動(dòng)器加密】中即可看到該計(jì)算機(jī)中已存在可以啟用Bitlocker的驅(qū)動(dòng)器信息�。如圖1
圖1
圖1中有一個(gè)已經(jīng)進(jìn)行過Bitlocker加密的驅(qū)動(dòng)器E:。點(diǎn)擊【管理Bitlocker】���,可以對該驅(qū)動(dòng)器的Bitlocker選項(xiàng)進(jìn)行設(shè)置�,包括更改加密密碼�,添加智能卡解鎖方式等等。如圖2
圖2
下面���,我將對操作系統(tǒng)分區(qū)C盤進(jìn)行Bitlocker加密�,試驗(yàn)恢復(fù)效果��。
點(diǎn)擊C:后面的【啟用Bitlocker】�����,彈出警告�����,點(diǎn)擊【是】�����。如圖3
圖3
圖4為正在驗(yàn)證計(jì)算機(jī)是否符合加密條件����,主要是檢測TPM1.2芯片的狀態(tài)�����。
圖4
在彈出警告�,提示需要備份重要數(shù)據(jù)����,并且加密速度取決于驅(qū)動(dòng)器的大小和碎片條件,如圖5
圖5
然后Bitlocker開始準(zhǔn)備加密過程�����,準(zhǔn)備好后���,會(huì)提示恢復(fù)密鑰的存儲(chǔ)位置�,如圖6
圖6
我選擇將恢復(fù)密鑰保存在USB閃存中��,系統(tǒng)會(huì)自動(dòng)檢測出USB設(shè)備���。如圖7
圖7
保存恢復(fù)密鑰后�,點(diǎn)擊【啟動(dòng)加密】即開始加密過程����。如圖8
圖8
加密完成��,可以看到C盤上已經(jīng)加上了一個(gè)小鎖����,表示已經(jīng)被Bitlocker加密�。同時(shí)���,會(huì)比一般驅(qū)動(dòng)器加密多出一個(gè)【掛起保護(hù)的選項(xiàng)】�����,主要用于在升級BIOS�����、硬件或者操作系統(tǒng)時(shí)����,取消數(shù)據(jù)保護(hù)��。在存儲(chǔ)恢復(fù)密鑰的USB閃存中���,除了正常的恢復(fù)密鑰文件����,還會(huì)有一個(gè)以計(jì)算機(jī)名命名的.TPM文件,這個(gè)文件保存 TPM 所有者密碼的哈希值���。如圖9
圖9
Bitlocker to GO和Bitlocker的使用方式類似�����,這里不在描述�。Windows Server 2008 R2的只讀域控制器牢牢的保護(hù)起來���,再也不用擔(dān)心各種安全隱患對公司敏感數(shù)據(jù)帶來的威脅���。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商��!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
