BitLocker：Windows全盘加密数据保护功能

ccaq5753

防火墙、或者甚至网络周界之类的物理障碍制约工作人员的工作的时代已经一去不复返了。而今，所有的设备都能够连接到任何地方，包括像笔记本电脑等的基于Windows的设备。
　　在过去几年中，我们一再看到数据泄露的后果。存有成千上万、甚至百万个用户帐户记录的笔记本丢失或者被盗，造成每一位用户个人信息泄漏的潜在危险，更要注意丢失诸如商业秘密或者员工档案等其它形式敏感信息的后果。企业必须要一直保护器件数据。
　　文件和文件夹的加密可以起到作用，但是它有两个内在的缺点。首先，它依赖用户去加密数据，或者至少要确保所有的敏感和机密数据放在将要加密的合适的文件夹里。其次，黑客如果可以访问加密文件，就能够以某种方法绕开密码保护或者破坏加密。为了保证硬盘数据得到保护，整个驱动器都要加密。
　　BitLocker的作用
　　在Windows Vista高级版和Vista企业版中，微软引入了一种叫做BitLocker的全盘加密机制。有了BitLocker，用户基本上可以加密硬盘目录（硬盘中的一小部分必须保持非加密，留给启动操作系统时容纳必须的核心系统文件），并且保证未经授权的用户不能访问它。
　　发挥BitLocker的全部功能需要TPM（受信平台模块）芯片的支持，包括启动前系统完整性认证的附加安全措施。TPM是集成在主板上的一个特殊的加密处理器，它可以生成独特的绑定在系统硬件结构上的加密密钥。简单地说，加密和解密都被绑定在含有硬盘驱动器的具体硬件上。
　　当系统中不含TPM芯片时，BitLocker也可以使用存储在USB闪存驱动器上的密钥提供加密。在配置没有TPM芯片的BitLocker时，不论使用组策略还是使用脚本来改变加密钥匙存储到USB闪存中的路径，都需要对默认行为做一些修改。
　　当用这种方式配置时，USB闪存必须可用，以便打开存储在加密栏中的数据。然而，因为操作系统驱动程序不会被激活，所以正在使用的硬件必须能够保证闪存是基于BIOS级别的。
　　BitLocker的缺陷
　　BitLocker的概念是好的。默认加密整个磁盘卷，并且通过TPM芯片把加密钥匙放到当地硬盘里（或者通过USB闪存放到验证硬盘里），这种方法比文件和文件夹加密更加无缝地和全面地保护数据。然而，BitLocker在一些领域仍有缺陷。
　　BitLocker在操作系统兼容性上有局限性，仅仅可以在Vista和最近发布的Windows Server 2008上运行。BitLocker加密或保护的信息范围较窄。在最初的Windows Vista操作系统中，这个版本仅仅加密可启动的系统卷，其余部分未加密，容易受到攻击。有了Vista Service Pack 1 (SP1)和Windows Server 2008中的BitLocker版本，微软已经扩大了BitLocker的能力，可以对在驱动器上所能发现的任何卷进行加密。但是，BitLocker仍不能够保护在移动媒介上的数据，比如USB闪存驱动器或者刻录的CD和DVD，也不能提供一种与第三方，如销售商或者厂商，安全地共享数据的方法。
　　在执法部门和政府机构方面，BitLocker也有一个问题。那就是它没有密匙托管和秘密的解密密钥，这样公安机关或者政府官员就无法解密数据。这就意味着犯罪分子或者恐怖分子的加密数据和Vista用户加密的数据同样安全，并且Big Brother不能够使制表符保存在任何受BitLocker保护的卷上。
　　BitLocker的另外一个问题是使用USB闪存驱动器作为TPM的替代物。许多用户携带USB闪存驱动器，所以保留一个USB备份的想法似乎很有意义。然而，许多人仅简单地把笔记本和USB闪存驱动器一起携带在包里。这就像锁上你的汽车，但是把钥匙留在车门上一样。
　　BitLocker的未来
　　微软在BitLocker的发展方向上采取了明确的措施，但是加密手段需要发展和成熟，以便成为企业数据保护策略中可行的一部分。提供与BitLocker相似功能的第三方产品，包括McAfee公司（它购买了SafeBoot）或者Check Point Software 技术有限公司.（它购买了Pointsec）的产品。这些产品在Windows Vista系统外仍然可以运行，并且提供了保护移动媒介中数据的方法。
　　许多企业正在考察选择一种数据保护方法作为硬件更新的一部分，或者正在升级桌面操作系统，这些企业应注意到BitLocker所提供的功能。已经使用Windows Vista操作系统的企业，能从驱动器加密的附加安全措施中受益，而不需要投资和配置第三方产品的附加成本。 Vista SP1和Windows Server 2008上的BitLocker的更新消除了仅仅加密可启动卷的限制，使得BitLocker成为企业寻求保护客户数据的一种引人注目的可行方案。
　　作者简介：
　　Tony Bradley是英国电信，国际网络服务公司（BT INS）休斯顿地区的安全顾问。同时在网络安全、杀毒、事件应急方面的著作颇多。他被微软公司公认为Windows安全领域的MVP。Tony 编写了《计算机基本安全》（Essential Computer Security）一书，并且参与编写了大量书籍。他也经常参与其它行业刊物的编写工作。关于他作为自由作家所参与编写的所有书目，请查看其网站S3KUR3.com。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/72069/showart_1010266.html