【51CTO精选译稿】BitLocker 驱动器加密是在 Windows Server 2008 R2 以及Windows 7、 Windows Vista Enterprise和ultimate版中提供的一项数据保护功能。将 BitLocker 与操作系统集成后,可以进行全磁盘的数据加密。BitLocker 驱动器加密使用TPM (TPM-Trusted Platform Module 计算机制造商在很多较新的计算机上安装的硬件组件) 1.2 版使用的情况下,帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改 。如将计算机硬盘转移到其他计算机上,企图盗取数据将不会成功。
在没有 TPM 1.2 版的计算机上,仍然可以使用 BitLocker 加密 Windows 操作系统驱动器。但是,实现此功能将要求用户插入 USB 启动密钥来启动计算机或从休眠中恢复,而不提供 BitLocker 与 TPM 结合使用所提供的预启动系统完整性验证。BitLocker提供的安全性功能有:
当系统脱机时,BitLocker 通过以下方法帮助保护数据:
加密整个 Windows 操作系统卷,包括用户数据和系统文件、休眠文件、页面文件以及临时文件。
为非 Microsoft 应用程序提供保护伞,当安装在已加密的卷上时会自动受益。
BitLocker 驱动器加密可以使用 TPM 验证早期Windows启动组件和启动配置数据的完整性。这有助于确保仅在这些组件尚未被篡改,并且已加密的驱动器位于原始计算机中时,BitLocker 驱动器加密才能使已加密的驱动器可以访问。BitLocker 通过采取下列措施帮助确保启动过程的完整性:
提供一种方法,用于检查是否保持了早期启动文件的完整性,并且帮助确保尚未对这些文件进行对抗性修改,如引导扇区病毒或 rootkit。
增强保护以减少基于脱机软件的攻击。可能启动系统的任何其他软件都没有权限访问 Windows 操作系统驱动器的解密密钥。
当系统被篡改时锁定系统。如果任何监视的文件已被篡改,则系统不会启动。由于系统无法正常启动,因此这可以警告用户有人篡改。如果发生系统锁定,BitLocker 可以提供一个简单的恢复过程。
若要使用 BitLocker 驱动器加密,计算机必须符合某些要求:
为使 BitLocker 利用 TPM 提供的系统完整性检查,计算机必须具有 TPM 1.2 版。如果您的计算机没有 TPM,则启用 BitLocker 将要求您将启动密钥保存在可移动设备(如 USB 闪存驱动器)上。
具有 TPM 的计算机还必须具有符合受信任计算组 (TCG-Trusted Computing Group) 的BIOS(Basic Input Output System 固化到计算机主板上的一个硬件芯片)。
系统 BIOS(对于 TPM 和非 TPM 计算机)必须支持 USB 大容量存储设备类别,包括读取预操作系统环境中 USB 闪存驱动器上的小文件。
必须将硬盘至少分区为两个驱动器:
操作系统驱动器(或启动驱动器)包含操作系统及其支持文件;必须使用 NTFS 文件系统对其进行格式化。
系统驱动器包含 BIOS 已准备好系统硬件之后加载 Windows 所需的文件。在此驱动器上不启用 BitLocker。若要使 BitLocker 起作用,系统驱动器一定不要加密,它必须区别于操作系统驱动器,并且必须使用 NTFS 文件系统进行格式化。系统驱动器应该至少为 1.5 千兆字节 (GB)。
然而,BitLocker 驱动器加密无法保护计算机免遭所有可能的攻击。例如,如果恶意用户或程序(如病毒或 rootkit)在计算机丢失或被盗之前就具有对该计算机的访问权限,则他们可能通过访问加密的数据并由此引入漏洞。如果 USB 启动密钥保留在计算机中,或者 PIN 或 Windows 登录密码没有保密,则 BitLocker 保护可能也不起作用。
仅 TPM 身份验证模式最容易部署、管理和使用。这更适合于无人参与的计算机或必须在无人参与时重新启动的计算机。但是,仅 TPM 模式提供最少量的数据保护。如果您组织的几个部分在移动计算机上具有认为非常敏感的数据,则考虑在这些计算机上部署具有多重身份验证的 BitLocker。
另外值得注意的是:如果硬盘遭到物理损坏或者主板TPM硬件损坏可能会导致数据的全面丢失。
【51CTO.com译稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
