【51CTO译文】BitLocker是Windows Embedded Standard 2011(代号“Quebec”)的一个全新安全功能,这个安全功能从Vista系统开始就已经是Windows操作系统的一部分了。这里,我们将谈谈这个功能的用处,而这篇文章的主要思想是详细探讨如何把这个包加入到你的镜像(image)中去,然后再对其进行使用。
Windows Embedded Standard 2011中的BitLocker概览
Windows BitLocker驱动加密技术(BitLocker)是一个全新的安全功能,通过对存储在Windows Embedded Standard 2011操作系统卷中的全部数据进行加密,它可以为你的设备提供更好的数据保护。BitLocker允许一台机器的管理员对卷中进行加密,从而保护存储在上面的数据。
一个可信平台模块(TPM)指的是在一个设备中嵌入的一个微芯片。它被用来存储加密信息,比如加密密钥。当发生来自外部软件的入侵或设备被盗时,信息存储在可信平台模型TPM中比存储在其他地方更安全。
BitLocker有三个模式:前两个需要一个可信平台模块TPM和一个兼容的BIOS设置,第三个模式不需要可信平台模块TPM。
1. 可信平台模块TPM模式:BitLocker使用TPM,可以为用户提供一个“透明”的体验。机器启动后,用户和平常一样进行登陆。驱动器的加密密钥存储在TPM中,只有在启动文件和BIOS设置没有被篡改的情况才提供给引导加载程序。
2. TPM和令牌模式:需要附加验证的用户在TPM/OS加载时必须要提供一个手动输入的PIN密码(在每次启动时),或者一个USBkey设备(USB密钥)。
3. USB key模式:没有TPM照样可以应用BitLocker。在没有TPM的情况下,所需要的加密密钥被存储在一个USB闪存中,在解锁存储在卷中的数据时,必须使用这个USB闪存。
其他注意事项:BitLocker还可以通过活动目录(AD)来进行控制。在这种情况下,活动目录AD架构必须进行扩展以支持这个功能。为了通过活动目录来控制TPM恢复,活动目录的计算机类目标(computer class object)许可选项必须改变。为了备份TPM的恢复信息和AD上面的BitLocker,你需要通过组策略管理控制台来实现“开启Active Directory域BitLocker备份服务”这一功能。
使用BitLocker的前提条件
BitLocker需要用户的电脑至少配置两个分区。分区A(系统分区)包括关键启动文件,必须保持无加密状态。所有其他的分区可以用BitLocker进行加密。
系统分区是一个小的100MB的分区,它可以跟操作系统OS分区共存。用户可以用diskpart工具来创建这个不被加密的小分区。这个区的卷号必须不同于操作系统OS卷号。
如果你通过IBW添加BitLocker包,IBW会自动创建这个100MB的系统分区。
把BitLocker添加到你的镜像
我们意识到Windows嵌入式用户非常关心他们的镜像所需要的磁盘空间。把那个没有被加密的100MB小分区添加到Windows Embedded Standard 2011镜像中只是为了更好的支持BitLocker。因此,默认的时候,你的镜像不会创建这个系统分区除非你选择了在镜像中添加BitLocker包。当运行Image Builder Wizard IBW设置时你可以把BitLocker添加到你的镜像,还可以把BitLocker添加到用Image Configuration Editor (ICE)创建的回答文件中。
下面的截图显示了用 时你需要选择的包
下面的截图显示了用你所需要选择的包
开启BitLocker功能
BitLocker可以通过两种方式来开启—通过命令行界面或者通过GUI。每一种方法你都可以用Windows设备管理器WMI类来管理。你能写WMI脚本的方式来管理BitLocker和TPM。在使用无头设备(没有配备显示输出的设备)时这个方法非常有用。
欲了解更多有关WMI提供类的信息,请点击以下链接:
管理BitLocker http://msdn.microsoft.com/en-us/library/aa376483(VS.85).aspx
管理TPM http://msdn.microsoft.com/en-us/library/aa376484(VS.85).aspx
同样,在开启BitLocker的时候,有两种主要的方案可以考虑。两种方案概述如下:
1. 在硬盘驱动器上启用BitLocker
a.存在TPM时启用BitLocker(注意BitLocker需要1.2版本的TPM芯片)
--确认所有的TPM驱动程序都加载了;在运行Windows Embedded Standard 2011安装程序之前确保BIOS设置启动了TPM;
--初始化TPM(可以用WMI脚本,也可以用微软管理控制台MMC管理单元);
--掌控TPM(直译是取得TPM的所有权)
--保存TPM密钥(可以用AD来备份这个TPM恢复信息);现在在硬盘驱动器上开启manage-bde然后启动BitLocker功能
b.没有TPM时使用BitLocker
-运行manage-bde来开启BitLocker功能
2.在USB驱动器上启用BitLocker功能
这个跟在硬盘驱动器上开启BitLocker一样---当运行manage-bde时,你可以指定你想通过BitLocker加密的磁盘。运行带“-status”开关的manage-bde来检查不同磁盘驱动器的可用状态以及相应的加密状态。
BitLocker To Go功能(BTG)
机密数据的丢失每年给企业和政府带来数十亿美元的损失,更不用说数据丢失带来的不便。Windows嵌入式便准2011包括了一个新的叫做BTG的功能,这个功能可以对移动存储设备进行加密,比如USB驱动器,在设备被偷或者丢失时确保数据安全。BTG加密的磁盘驱动器可以用一个密码、智能卡来解密,或者用特定的机器自动解密,IT管理员可以通过BTG来选择其中的一种方式控制对移动磁盘的写入。
使用BTG是件很简单的事情。一旦你的USB设备插进去并且被你的系统识别,你就可以进入到控制面板,然后使用BitLocker驱动器加密。
下面的截图是插入USB闪存驱动器时启用BTG的例子:
一旦你插入USB闪存驱动器,然后进入资源管理器,右击USB驱动器(F:\, 举个例子),选择“开启BitLocker”选项,你就会看见如下图所示的对话框:
在这里你可以选择一种加密后的驱动器解锁方式。如果我,则下一个对话框如下图所示:
这里我既可以用一个文件来存储恢复密钥又可以把恢复密钥打印出来。我推荐用一个文件来存储密钥,这样比打印出来更安全。找到一个你想存储这个密钥的位置,然后就开始加密吧。
【编辑推荐】