Server 2008 R2中Bitlocker功能評估

某公司部署了以Windows Server 2008 R2為平臺的只讀域控制器之后，給員工帶來的最直接效果就是，計算機的登錄速度變的和總部一樣快，一切在活動目錄里的應(yīng)用也都跟著變快了。
但是各種安全問題也接踵而至，比如只讀域控制器的就放在辦公室，很容易被偷盜，而且只讀域控制器上還充當文件服務(wù)器使用，存放著公司的一些重要的敏感信息，這些信息存儲在未加密的邏輯卷中，可以被輕而易舉的提取出來。這時候Bitlocker 卷級數(shù)據(jù)加密就成為了解決問題的關(guān)鍵。
一、 Bitlocker驅(qū)動器加密概述
1. 什么是Bitlocker
Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級數(shù)據(jù)加密技術(shù)。它可以有效的幫助企業(yè)和個人用戶對存儲設(shè)備中數(shù)據(jù)進行安全的保護。
2. 什么是卷
為什么說是卷級加密技術(shù)呢，先從卷的概念說起。下面一段關(guān)于卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅(qū)動器加密以保護數(shù)據(jù)的密鑰】
卷是由一個或多個分區(qū)組成的邏輯結(jié)構(gòu)，并且由"卷管理器"的Windows組件所定義。除了卷管理器和啟動組件，其他Windows組件和應(yīng)用程序都是使用卷，而非分區(qū)。在 Windows 客戶端操作系統(tǒng)環(huán)境下，包括 Windows Vista 在內(nèi)，分區(qū)和卷通常具有一對一的關(guān)系。而在服務(wù)器中，一個卷通常由多個分區(qū)組成，比如典型的 RAID 配置。
這里特別要指出的就是在Windows Server 2008以后服務(wù)器操作系統(tǒng)中，卷已經(jīng)不再是指單純的一個分區(qū)，在RAID配置中，多個分區(qū)合起來才被叫做卷。而Bitlocker 就可以為這樣的RAID卷進行加密。不同于EFS和RMS的文件級加密，Bitlocker是為保護卷上的所有數(shù)據(jù)而設(shè)計的，并且不需要管理員進行大量的配置。整卷加密也可以有效的防止離線攻擊，就是繞過操作系統(tǒng)和NTFS權(quán)限控制而直接讀取硬盤數(shù)據(jù)的手段。
3. 如何加密數(shù)據(jù)
Bitlocker默認會使用含擴散器的128bit-AES算法加密數(shù)據(jù)，并且可以通過組策略將密鑰擴充至256bit。
注意：擴散器簡單描述就是可以確保即使是對明文的細微更改都會導(dǎo)致整個扇區(qū)的加密密文發(fā)生變化。
4. 系統(tǒng)完整性檢查
Bitlocker通過TPM 1.2(Trusted Platform Module)芯片來檢查啟動組件和啟動文件的狀態(tài)，例如BIOS、MBR主引導(dǎo)記錄及NTFS扇區(qū)。如果啟動文件被修改，Bitlocker會鎖定驅(qū)動器，并且進入恢復(fù)模式，可以通過一個48位的密碼或者存儲在智能卡上的密鑰來解鎖被加密的驅(qū)動器。
注意：通過智能卡解鎖服務(wù)器的時候，硬件需要支持大容量USB存儲設(shè)備。
二、 Windows Vista 和Windows 7 Bitlocker特性對比
1. 在Windows Vista中啟用系統(tǒng)完整性檢查，Bitlocker 1.0版要求需要有一個獨立的，至少1.5GB的分區(qū)用來存放啟動文件，比如bootmgr。而在RTM版的Windows 7中，如果是重新分區(qū)安裝操作系統(tǒng)，按照微軟提出的分區(qū)建議，在采用多操作系統(tǒng)(Windows Vista 和Windows 7)，啟用Bitlocker和Windows Recovery Environment時，系統(tǒng)會自動創(chuàng)建至少100M的分區(qū)空間來存放啟動文件和相關(guān)組件。這也是為什么許多重新安裝了Windows 7的用戶，會多出一個100M的分區(qū)的原因。
2. 在Windows Vista中，Bitlocker提供了有限的恢復(fù)功能，所有的恢復(fù)機制都基于一個48位的恢復(fù)密碼，用戶可以使用它來恢復(fù)被鎖定加密的信息。如果存在于域中，還可以通過組策略保存所有啟用了Bitlocker的計算機的恢復(fù)信息。這些信息會與計算機賬號綁定。Windows 7為Bitlocker加入了新的組策略機制：Bitlocker數(shù)據(jù)恢復(fù)代理。它與EFS恢復(fù)代理類似，持有恢復(fù)代理證書的用戶即可解密域中所有使用Bitlocker加密的數(shù)據(jù)。
3. 與Windows Vista只能加密NTFS的本地驅(qū)動器不同，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系統(tǒng)的移動存儲設(shè)備，并且在使用Bitlocker to GO加密時候，會向設(shè)備中復(fù)制一個BitlockertoGO.EⅩE的工具，這個工具是Bitlocker reader工具，它可以幫助用戶在Windows Vista和Windows XP上解鎖設(shè)備，但只能使用恢復(fù)密鑰的方式，不能使用智能卡。
注意：當時用BitlockertoGO工具解鎖移動設(shè)備后，只有Windows 7企業(yè)版或旗艦版和Windows Server 2008 R2才能修改和寫入數(shù)據(jù)。Windows Vista 或Windows XP只能將數(shù)據(jù)復(fù)制到本地磁盤才能修改數(shù)據(jù)，但無法寫入到移動設(shè)備中。

三、 Bitlocker使用方法簡介
在Windows Server 2008 R2中，Bitlocker默認不安裝，用戶需要手工在功能中添加。依次打開【服務(wù)器管理器】-【功能】-【添加功能】，選中【Bitlocker驅(qū)動器加密】安裝后需要重啟計算機。
重啟計算機后，在【控制面板】-【系統(tǒng)和安全】-【Bitlocker驅(qū)動器加密】中即可看到該計算機中已存在可以啟用Bitlocker的驅(qū)動器信息。如圖1

圖1

圖1中有一個已經(jīng)進行過Bitlocker加密的驅(qū)動器E:。點擊【管理Bitlocker】，可以對該驅(qū)動器的Bitlocker選項進行設(shè)置，包括更改加密密碼，添加智能卡解鎖方式等等。如圖2

圖2

下面，我將對操作系統(tǒng)分區(qū)C盤進行Bitlocker加密，試驗恢復(fù)效果。
點擊C:后面的【啟用Bitlocker】，彈出警告，點擊【是】。如圖3

圖3

圖4為正在驗證計算機是否符合加密條件，主要是檢測TPM1.2芯片的狀態(tài)。

圖4

在彈出警告，提示需要備份重要數(shù)據(jù)，并且加密速度取決于驅(qū)動器的大小和碎片條件，如圖5

圖5

然后Bitlocker開始準備加密過程，準備好后，會提示恢復(fù)密鑰的存儲位置，如圖6

圖6

我選擇將恢復(fù)密鑰保存在USB閃存中，系統(tǒng)會自動檢測出USB設(shè)備。如圖7

圖7

保存恢復(fù)密鑰后，點擊【啟動加密】即開始加密過程。如圖8

圖8

加密完成，可以看到C盤上已經(jīng)加上了一個小鎖，表示已經(jīng)被Bitlocker加密。同時，會比一般驅(qū)動器加密多出一個【掛起保護的選項】，主要用于在升級BIOS、硬件或者操作系統(tǒng)時，取消數(shù)據(jù)保護。在存儲恢復(fù)密鑰的USB閃存中，除了正常的恢復(fù)密鑰文件，還會有一個以計算機名命名的.TPM文件，這個文件保存 TPM 所有者密碼的哈希值。如圖9

圖9

Bitlocker to GO和Bitlocker的使用方式類似，這里不在描述。Windows Server 2008 R2的只讀域控制器牢牢的保護起來，再也不用擔(dān)心各種安全隱患對公司敏感數(shù)據(jù)帶來的威脅。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]