Server 2008 R2中Bitlocker卷级加密的实战交锋

Bitlocker是一款卷级数据加密技术，它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。在Windows Server 2008 R2中的使用比较广泛。本文就是Bitlocker卷级加密的实战交锋。

一、 Bitlocker驱动器加密概述

1. 什么是Bitlocker

Bitlocker是微软在Windows Vista和Windows Server 2008 加入的卷级数据加密技术。它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。

2. 什么是卷

为什么说是卷级加密技术呢，先从卷的概念说起。下面一段关于卷的解释引自Byron Hynes的【安全性: 使用 BitLocker 驱动器加密以保护数据的密钥】

卷是由一个或多个分区组成的逻辑结构，并且由"卷管理器"的Windows组件所定义。除了卷管理器和启动组件，其他Windows组件和应用程序都是使用卷，而非分区。在 Windows 客户端操作系统环境下，包括 Windows Vista 在内，分区和卷通常具有一对一的关系。而在服务器中，一个卷通常由多个分区组成，比如典型的 RAID 配置。

这里特别要指出的就是在Windows Server 2008以后服务器操作系统中，卷已经不再是指单纯的一个分区，在RAID配置中，多个分区合起来才被叫做卷。而Bitlocker 就可以为这样的RAID卷进行加密。不同于EFS和RMS的文件级加密，Bitlocker是为保护卷上的所有数据而设计的，并且不需要管理员进行大量的配置。整卷加密也可以有效的防止离线攻击，就是绕过操作系统和NTFS权限控制而直接读取硬盘数据的手段。

3. 如何加密数据

Bitlocker默认会使用含扩散器的128bit-AES算法加密数据，并且可以通过组策略将密钥扩充至256bit。

注意：扩散器简单描述就是可以确保即使是对明文的细微更改都会导致整个扇区的加密密文发生变化。

4. 系统完整性检查

Bitlocker通过TPM 1.2(Trusted Platform Module)芯片来检查启动组件和启动文件的状态，例如BIOS、MBR主引导记录及NTFS扇区。如果启动文件被修改，Bitlocker会锁定驱动器，并且进入恢复模式，可以通过一个48位的密码或者存储在智能卡上的密钥来解锁被加密的驱动器。

注意：通过智能卡解锁服务器的时候，硬件需要支持大容量USB存储设备。

二、 Windows Vista 和Windows 7 Bitlocker特性对比

1. 在Windows Vista中启用系统完整性检查，Bitlocker 1.0版要求需要有一个独立的，至少1.5GB的分区用来存放启动文件，比如bootmgr。而在RTM版的Windows 7中，如果是重新分区安装操作系统，按照微软提出的分区建议，在采用多操作系统(Windows Vista 和Windows 7)，启用Bitlocker和Windows Recovery Environment时，系统会自动创建至少100M的分区空间来存放启动文件和相关组件。这也是为什么许多重新安装了Windows 7的用户，会多出一个100M的分区的原因。

2. 在Windows Vista中，Bitlocker提供了有限的恢复功能，所有的恢复机制都基于一个48位的恢复密码，用户可以使用它来恢复被锁定加密的信息。如果存在于域中，还可以通过组策略保存所有启用了Bitlocker的计算机的恢复信息。这些信息会与计算机账号绑定。Windows 7为Bitlocker加入了新的组策略机制：Bitlocker数据恢复代理。它与EFS恢复代理类似，持有恢复代理证书的用户即可解密域中所有使用Bitlocker加密的数据。

3. 与Windows Vista只能加密NTFS的本地驱动器不同，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系统的移动存储设备，并且在使用Bitlocker to GO加密时候，会向设备中复制一个BitlockertoGO.exe的工具，这个工具是Bitlocker reader工具，它可以帮助用户在Windows Vista和Windows XP上解锁设备，但只能使用恢复密钥的方式，不能使用智能卡。

注意：当时用BitlockertoGO工具解锁移动设备后，只有Windows 7企业版或旗舰版和Windows Server 2008 R2才能修改和写入数据。Windows Vista 或Windows XP只能将数据复制到本地磁盘才能修改数据，但无法写入到移动设备中。#p#

三、Bitlocker使用方法简介

在Windows Server 2008 R2中，Bitlocker默认不安装，用户需要手工在功能中添加。依次打开【服务器管理器】-【功能】-【添加功能】，选中【Bitlocker驱动器加密】安装后需要重启计算机。

重启计算机后，在【控制面板】-【系统和安全】-【Bitlocker驱动器加密】中即可看到该计算机中已存在可以启用Bitlocker的驱动器信息。如图1

图1

图1中有一个已经进行过Bitlocker加密的驱动器E:。点击【管理Bitlocker】，可以对该驱动器的Bitlocker选项进行设置，包括更改加密密码，添加智能卡解锁方式等等。如图2

图2

下面，我将对操作系统分区C盘进行Bitlocker加密，试验恢复效果。

点击C:后面的【启用Bitlocker】，弹出警告，点击【是】。如图3

图3

图4为正在验证计算机是否符合加密条件，主要是检测TPM1.2芯片的状态。

图4

在弹出警告，提示需要备份重要数据，并且加密速度取决于驱动器的大小和碎片条件，如图5

图5#p#

然后Bitlocker开始准备加密过程，准备好后，会提示恢复密钥的存储位置，如图6

图6

我选择将恢复密钥保存在USB闪存中，系统会自动检测出USB设备。如图7

图7

保存恢复密钥后，点击【启动加密】即开始加密过程。如图8

图8

加密完成，可以看到C盘上已经加上了一个小锁，表示已经被Bitlocker加密。同时，会比一般驱动器加密多出一个【挂起保护的选项】，主要用于在升级BIOS、硬件或者操作系统时，取消数据保护。在存储恢复密钥的USB闪存中，除了正常的恢复密钥文件，还会有一个以计算机名命名的.TPM文件，这个文件保存 TPM 所有者密码的哈希值。如图9

图9

Bitlocker to GO和Bitlocker的使用方式类似，这里不在描述。

经过这么一番折腾，小赵使用Bitlocker将Windows Server 2008 R2的只读域控制器牢牢的保护起来，再也不用担心各种安全隐患对公司敏感数据带来的威胁。数据安全性的提高，让小赵的耳根子清净了一阵，不过最近广州办的人员又开始抱怨很多存储在公司总部文件服务器上的文件访问速度太慢，让小赵想办法。下一篇，我将展示branch cache是如何提升总部与分支机构之间的远程网络办公性能的。

【编辑推荐】

1. 抢先预览Windows 7与Server 2008 R2 SP1通用变化
2. IIS7在Windows Server 2008 R2中的技术革新
3. 在Windows Server 2008 R2中RemoteApp的服务器配置
4. 解读Windows Server 2008 R2安全性和高可靠性
5. 漫谈Windows Server 2008的网络特性