国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開(kāi)APP
userphoto
未登錄

開(kāi)通VIP,暢享免費(fèi)電子書(shū)等14項(xiàng)超值服

開(kāi)通VIP

首頁(yè)

好書(shū)

留言交流

下載APP

聯(lián)系客服
安全性: 使用 BitLocker 驅(qū)動(dòng)器加密以保護(hù)數(shù)據(jù)的密鑰
使用 BitLocker 驅(qū)動(dòng)器加密以保護(hù)數(shù)據(jù)的密鑰
Byron Hynes
 
概覽:
  • 整卷加密
  • BitLocker 密鑰
  • 設(shè)置 BitLocker

Windows BitLocker 驅(qū)動(dòng)器加密毫無(wú)疑問(wèn)是 Windows Vista 中談?wù)撟疃嗟墓δ苤弧5?,大多?shù)人尚沒(méi)有太多機(jī)會(huì)來(lái)測(cè)試 BitLocker,以親身體驗(yàn)
它的作用和工作原理 — 尤其不在具備受信任的平臺(tái)模塊 (TPM) 的計(jì)算機(jī)上。在本文中,我將向您介紹 BitLocker? 的基礎(chǔ)知識(shí),以便您評(píng)估其潛力,并將其納入您的升級(jí)規(guī)劃。我會(huì)從一些背景和概念性信息開(kāi)始講起,然后介紹啟用 BitLocker、數(shù)據(jù)恢復(fù)、管理,以及 BitLocker 如何在計(jì)算機(jī)生命末期發(fā)揮作用。要更好地理解本文中的術(shù)語(yǔ),請(qǐng)查看側(cè)欄“磁盤(pán)和卷”。
磁盤(pán)和卷
圍繞磁盤(pán)和卷的術(shù)語(yǔ)往往會(huì)使人混淆。下面是一個(gè)簡(jiǎn)要術(shù)語(yǔ)表,供您參考。
分區(qū):分區(qū)是物理硬盤(pán)的一部分,它是磁盤(pán)上存儲(chǔ)的分區(qū)表中定義的邏輯結(jié)構(gòu)。
卷:卷是 Windows 中由一個(gè)或多個(gè)分區(qū)組成的邏輯結(jié)構(gòu),由稱為“卷管理器”的 Windows 組件所定義。除了卷管理器和啟動(dòng)組件,其余的操作系統(tǒng)組件和應(yīng)用程序均使用卷,而非分區(qū)。在 Windows 客戶端操作系統(tǒng)環(huán)境下,包括 Windows Vista 在內(nèi),分區(qū)和卷通常具有一對(duì)一的關(guān)系。而在服務(wù)器中,一個(gè)卷通常由多個(gè)分區(qū)組成,比如典型的 RAID 配置。
活動(dòng)分區(qū):一次只能將一個(gè)分區(qū)標(biāo)為活動(dòng)分區(qū)。此分區(qū)包括了用于啟動(dòng)操作系統(tǒng)的引導(dǎo)扇區(qū)?;顒?dòng)分區(qū)有時(shí)稱為系統(tǒng)分區(qū)或系統(tǒng)卷,但是,請(qǐng)不要將這些術(shù)語(yǔ)和 Windows 操作系統(tǒng)卷混淆。
Windows 操作系統(tǒng)卷:此卷包含 Windows 安裝,其中包括 System 文件夾和 System32 文件夾。Windows Vista 發(fā)布之前,用到了(并且仍在經(jīng)常使用)術(shù)語(yǔ)“引導(dǎo)分區(qū)”。術(shù)語(yǔ)“Windows 操作系統(tǒng)卷”較為清楚,可避免引導(dǎo)分區(qū)和系統(tǒng)分區(qū)之間不斷的混淆。在過(guò)去,培訓(xùn)師有時(shí)會(huì)讓學(xué)生這樣記憶:“從系統(tǒng)分區(qū)啟動(dòng),在引導(dǎo)分區(qū)上查找系統(tǒng)文件”。
在 Windows Vista 之前,Windows 操作系統(tǒng)卷(也稱為引導(dǎo)分區(qū))和活動(dòng)分區(qū)(也稱為系統(tǒng)分區(qū))是同一回事,因?yàn)榇蠖鄶?shù)客戶端計(jì)算機(jī)上的硬盤(pán)都配置為單獨(dú)一個(gè)大分區(qū)。在圖 A 中,您會(huì)看到分配給 Windows Vista 的“磁盤(pán)管理”控制臺(tái)中每個(gè)分區(qū)或卷的功能。
圖 A 分區(qū)功能 (單擊該圖像獲得較大視圖)

BitLocker 真正起到了兩個(gè)既互補(bǔ)而又截然不同的作用。首先,BitLocker 為 Windows? 操作系統(tǒng)卷提供了整卷加密。其次,在具備兼容的 TPM 的計(jì)算機(jī)上,BitLocker 提供了在允許 Windows Vista? 啟動(dòng)之前驗(yàn)證早期啟動(dòng)組件完整性的方法。
若要使用 BitLocker 的所有功能,您的計(jì)算機(jī)必須具備兼容的 TPM 微芯片和 BIOS。兼容要求 1.2 版的 TPM,以及滿足以下條件的 BIOS:支持 TPM 和由可信賴運(yùn)算組織 (TCG) 定義的 Static Root of Trust Measurement。但是,沒(méi)有兼容的 TPM 和 BIOS 的計(jì)算機(jī)仍可使用 BitLocker 加密。

整卷加密
BitLocker 提供了整卷加密,確保對(duì)寫(xiě)入 Windows 操作系統(tǒng)卷的所有數(shù)據(jù)都能進(jìn)行加密。這是保護(hù)存儲(chǔ)于組織的計(jì)算機(jī)(尤其是便攜式計(jì)算機(jī)或移動(dòng)計(jì)算機(jī))中機(jī)密信息的關(guān)鍵。
移動(dòng)計(jì)算機(jī)丟失或被盜事件每天都會(huì)發(fā)生。具備了提高的便攜式計(jì)算能力和移動(dòng)性日益增強(qiáng)的工作團(tuán)隊(duì),一名辦公人員便能攜帶幾百 GB 的組織商業(yè)機(jī)密、機(jī)密文檔或客戶個(gè)人身份信息 (PII)。只要隨意進(jìn)行新聞搜索,便會(huì)發(fā)現(xiàn)太多數(shù)據(jù)丟失之類的事件。(隱私權(quán)交流中心宣稱,自 2005 年以來(lái),已有超過(guò) 1.04 億包含個(gè)人信息的記錄發(fā)生丟失或泄漏。)
大多數(shù)組織已經(jīng)在按照法律和公司要求保護(hù)多類隱私信息,并且,即使法律上并未要求,您很可能也會(huì)因?yàn)闃I(yè)務(wù)利益而必須如此去做。

為什么要加密整個(gè)卷?
如果您是位經(jīng)驗(yàn)豐富的 Windows 管理員,您可能已經(jīng)熟悉了基于 Windows 的加密選項(xiàng),比如加密文件系統(tǒng) (EFS),或者由權(quán)限管理服務(wù) (RMS) 提供的加密和保護(hù)。BitLocker 最大的不同之處在于,它在啟用后是自動(dòng)、透明的,并包括整個(gè)卷。
例如,使用 EFS,您必須明確指明要保護(hù)哪些文件和文件夾。在 Windows Vista 中,有一些新選項(xiàng)可使 EFS 更加靈活,并使 EFS 和 RMS 能分別處理 BitLocker 無(wú)法處理的某些情況。但是,EFS 和 RMS 都需要管理員進(jìn)行大量配置,并且不是為保護(hù)卷上存儲(chǔ)的所有資料而專門(mén)設(shè)計(jì)的。
與之相反,BitLocker 會(huì)對(duì)寫(xiě)入 BitLocker 保護(hù)卷上的所有資料進(jìn)行加密,包括操作系統(tǒng)本身、注冊(cè)表、休眠文件和分頁(yè)文件、應(yīng)用程序以及應(yīng)用程序使用的數(shù)據(jù)。
以下三項(xiàng)不會(huì)被加密:引導(dǎo)扇區(qū)、標(biāo)為不可讀的壞扇區(qū)和卷元數(shù)據(jù)。卷元數(shù)據(jù)由用于管理 BitLocker 的三個(gè)冗余副本數(shù)據(jù)組成,包括關(guān)于卷的統(tǒng)計(jì)信息,以及一些解密密鑰的受保護(hù)副本。這些項(xiàng)不需要加密,因?yàn)樗鼈儾⒉皇俏ㄒ坏?、有價(jià)值的,或者可辨認(rèn)個(gè)人身份。
整卷加密可防止離線攻擊 — 一種通過(guò)試圖繞過(guò)操作系統(tǒng)而發(fā)動(dòng)的攻擊。例如,常見(jiàn)的離線攻擊是竊取計(jì)算機(jī)、拆除硬盤(pán)并將其安裝為其他計(jì)算機(jī)(運(yùn)行 Windows 不同副本或不同操作系統(tǒng))上的第二個(gè)驅(qū)動(dòng)器,從而消除 NTFS 權(quán)限和用戶密碼。然而,使用這種攻擊卻無(wú)法讀取 BitLocker 保護(hù)的卷。

BitLocker 如何加密數(shù)據(jù)
BitLocker 使用 128 位密鑰的高級(jí)加密標(biāo)準(zhǔn) (AES) 算法。要獲得更好的保護(hù),可使用“組策略”或 BitLocker Windows Management Instrumentation (WMI) 提供程序?qū)⒚荑€增至 256 位。
卷中的每個(gè)扇區(qū)都單獨(dú)進(jìn)行加密,加密密鑰的一部分是從扇區(qū)編號(hào)本身派生而來(lái)。這意味著,包含完全相同的未加密數(shù)據(jù)的兩個(gè)扇區(qū)也會(huì)以不同的加密字節(jié)寫(xiě)入磁盤(pán),這使得通過(guò)創(chuàng)建和加密已知部分信息的方法來(lái)嘗試發(fā)現(xiàn)密鑰的難度大大增加。
使用 AES 加密數(shù)據(jù)前,BitLocker 還會(huì)使用一種稱為“擴(kuò)散器”的算法。無(wú)需深入說(shuō)明其加密技術(shù),對(duì)擴(kuò)散器的簡(jiǎn)單描述就是,它可以確保即使是對(duì)明文的細(xì)微更改都會(huì)導(dǎo)致整個(gè)扇區(qū)的加密密文發(fā)生變化。這也使得攻擊者發(fā)現(xiàn)密鑰或數(shù)據(jù)的難度大大增加。
如果您對(duì) BitLocker 加密算法的詳細(xì)信息感興趣,則可以閱讀 Neil Ferguson 的相關(guān)文章“AES-CBC + Elephant 擴(kuò)散器: 用于 Windows Vista 的磁盤(pán)加密算法”。

BitLocker 密鑰
無(wú)論何時(shí)處理加密,您都需要了解密鑰,BitLocker 也不例外。BitLocker 使用明確但有些復(fù)雜的密鑰體系結(jié)構(gòu)。
這些扇區(qū)本身使用稱為“整卷加密密鑰”(FVEK) 的密鑰加密。然而,F(xiàn)VEK 不會(huì)由用戶使用,而且用戶也無(wú)法進(jìn)行訪問(wèn)。FVEK 又會(huì)使用稱為“卷主密鑰”(VMK) 的密鑰加密。此程度的抽象性帶來(lái)了獨(dú)一無(wú)二的好處,但也使得整個(gè)過(guò)程較難理解。FVEK 作為嚴(yán)密保護(hù)的秘密來(lái)保存,因?yàn)橐坏┬孤?,所有的扇區(qū)都需要重新加密。因?yàn)檫@是一個(gè)費(fèi)時(shí)的操作,所以應(yīng)當(dāng)盡量避免。實(shí)際上,系統(tǒng)使用 VMK 代之。
FVEK(使用 VMK 加密)存儲(chǔ)于磁盤(pán)本身,作為卷元數(shù)據(jù)的一部分。雖然 FVEK 在本地存儲(chǔ),但從不寫(xiě)入未加密的磁盤(pán)。
VMK 也進(jìn)行加密或“保護(hù)”,但使用的是一個(gè)或多個(gè)可能的密鑰保護(hù)程序。默認(rèn)的密鑰保護(hù)程序是 TPM。TPM 的使用會(huì)在以下完整性檢查部分進(jìn)行介紹。此外還會(huì)創(chuàng)建恢復(fù)密碼作為密鑰保護(hù)程序,用于緊急情況?;謴?fù)也會(huì)在稍后進(jìn)行介紹。
您可以將 TPM 與數(shù)字 PIN 或存儲(chǔ)在 USB 驅(qū)動(dòng)器上的部分密鑰組合使用,從而獲得更高的安全性。上述每種方法都是某種形式的雙因素身份驗(yàn)證。如果您的計(jì)算機(jī)沒(méi)有兼容的 TPM 芯片和 BIOS,BitLocker 可配置為將密鑰保護(hù)程序完全存儲(chǔ)在 USB 驅(qū)動(dòng)器上。這稱為“啟動(dòng)密鑰”。
BitLocker 無(wú)需解密數(shù)據(jù)便可禁用,在此情況下,VMK 僅由未加密存儲(chǔ)的新密鑰保護(hù)程序進(jìn)行保護(hù)。請(qǐng)注意,此透明密鑰允許系統(tǒng)訪問(wèn)驅(qū)動(dòng)器,好像該驅(qū)動(dòng)器未受保護(hù)一樣。
啟動(dòng)時(shí),系統(tǒng)會(huì)通過(guò)查詢 TPM,檢查 USB 端口或者在必要情況下提示用戶(稱為恢復(fù)),來(lái)搜尋適當(dāng)?shù)拿荑€保護(hù)程序。查找密鑰保護(hù)程序會(huì)讓 Windows 解密 VMK,這會(huì)解密 FVEK,而這又會(huì)解密存儲(chǔ)在磁盤(pán)上的數(shù)據(jù)。圖 1 顯示了這一過(guò)程。
圖 1 BitLocker 默認(rèn)啟動(dòng)過(guò)程 

完整性檢查
由于啟動(dòng)過(guò)程最初階段的組件必須是未加密可用的,以便計(jì)算機(jī)能夠啟動(dòng),而攻擊者可能會(huì)趁機(jī)更改早期啟動(dòng)組件中的代碼(想一想 rootkit),從而能夠訪問(wèn)計(jì)算機(jī),即使磁盤(pán)中的數(shù)據(jù)已被加密。
通過(guò)這種攻擊,入侵者很有可能獲得機(jī)密信息的訪問(wèn)權(quán),比如 BitLocker 密鑰或用戶密碼,并利用該信息避開(kāi)其他安全保護(hù)措施。
防止這種攻擊是該程序和團(tuán)隊(duì)創(chuàng)建 BitLocker 的最初目標(biāo)之一。在某些方面,加密幾乎是達(dá)到目的的一種手段。整卷加密允許 BitLocker 保護(hù)系統(tǒng)的完整性,并防止在早期啟動(dòng)組件被更改的情況下啟動(dòng) Windows。
在具備兼容的 TPM 的計(jì)算機(jī)上,每次計(jì)算機(jī)啟動(dòng)時(shí),每個(gè)早期啟動(dòng)組件(比如 BIOS、主引導(dǎo)記錄 (MBR)、引導(dǎo)扇區(qū)和啟動(dòng)管理器代碼)都會(huì)檢查要運(yùn)行的代碼,計(jì)算哈希值,并將該值存儲(chǔ)于 TPM 中的特定注冊(cè)表,它稱為平臺(tái)配置注冊(cè)表 (PCR)。一旦將值存儲(chǔ)到 PCR,除非系統(tǒng)重新啟動(dòng),否則就不能替換或清除該值。BitLocker 使用 TPM 和存儲(chǔ)在 PCR 中的值來(lái)保護(hù) VMK。
TPM 可創(chuàng)建綁定到特定 PCR 值的密鑰。創(chuàng)建這類密鑰時(shí),TPM 會(huì)加密該密鑰,且只有特定的 TPM 才能對(duì)其解密??墒?,除此之外,僅當(dāng)當(dāng)前 PCR 值與創(chuàng)建密鑰時(shí)指定的值匹配的情況下,TPM 才會(huì)解密該密鑰。這稱為將密鑰封裝到 TPM。
默認(rèn)情況下,BitLocker 將密鑰封裝到 Core Root of Trust Measurement (CRTM)、BIOS 和任意平臺(tái)擴(kuò)展、選項(xiàng) ROM 代碼、MBR 代碼、NTFS 引導(dǎo)扇區(qū)以及啟動(dòng)管理器的測(cè)量結(jié)果。如果其中任一項(xiàng)被意外更改,BitLocker 都會(huì)鎖定驅(qū)動(dòng)器,以防其被訪問(wèn)或解密。
默認(rèn)情況下,BitLocker 配置為查找并使用 TPM。您可以使用“組策略”或本地策略設(shè)置,使 BitLocker 在沒(méi)有 TPM 的情況下工作,并將密鑰存儲(chǔ)于外部 USB 閃存驅(qū)動(dòng)器,但是沒(méi)有 TPM,BitLocker 將無(wú)法驗(yàn)證系統(tǒng)完整性。

第一次啟用 BitLocker
Windows Vista Enterprise 和 Windows Vista Ultimate 中提供了 BitLocker。(BitLocker 還將作為可選組件包含在下一版本的 Windows Server? 中,代號(hào)為“Longhorn”。)
以下討論假設(shè)您已有具備兼容的 TPM 的計(jì)算機(jī)可供測(cè)試。如果您要在沒(méi)有 TPM 的計(jì)算機(jī)上啟用 BitLocker,請(qǐng)遵循側(cè)欄“在沒(méi)有 TPM 的情況下使用 BitLocker”中所列的步驟。
在沒(méi)有 TPM 的情況下使用 BitLocker
BitLocker 默認(rèn)配置為使用 TPM,如果您沒(méi)有 TPM,現(xiàn)成的 Windows 將不允許您啟用 BitLocker。但是,來(lái)自“Windows BitLocker 驅(qū)動(dòng)器加密逐步指南”的以下步驟,能夠讓您在沒(méi)有 TPM 的情況下使用 BitLocker。
要執(zhí)行這些步驟,您必須以管理員身份登錄。即使沒(méi)有 TPM,您的計(jì)算機(jī)也必須支持在啟動(dòng)過(guò)程期間從 USB 閃存驅(qū)動(dòng)器讀取數(shù)據(jù)。此外,啟用 BitLocker 及每次重新啟動(dòng)計(jì)算機(jī)時(shí),您都必須具有 USB 閃存驅(qū)動(dòng)器。
請(qǐng)按照下列步驟,在沒(méi)有兼容的 TPM 的計(jì)算機(jī)上啟用 BitLocker 驅(qū)動(dòng)器加密:
  1. 單擊“開(kāi)始”,在“開(kāi)始搜索”框中鍵入“gpedit.msc”,然后按 Enter。
  2. 如果出現(xiàn)“用戶帳戶控制”對(duì)話框,請(qǐng)確認(rèn)建議操作正是您請(qǐng)求的操作,然后單擊“繼續(xù)”。
  3. 在“組策略對(duì)象編輯器”控制臺(tái)樹(shù)中,依次單擊“本地計(jì)算機(jī)策略”、“管理模板”、“Windows 組件”,然后再雙擊“BitLocker 驅(qū)動(dòng)器加密”。
  4. 雙擊設(shè)置“控制面板設(shè)置: 啟用高級(jí)啟動(dòng)選項(xiàng)”?!翱刂泼姘逶O(shè)置: 啟用高級(jí)啟動(dòng)選項(xiàng)”對(duì)話框?qū)?huì)出現(xiàn)。
  5. 選擇“已啟用”選項(xiàng),選中“沒(méi)有兼容的 TPM 時(shí)允許 BitLocker”復(fù)選框,然后單擊“確定”。您已經(jīng)更改策略設(shè)置,現(xiàn)在便可使用啟動(dòng)密鑰代替 TPM。
  6. 關(guān)閉“組策略對(duì)象編輯器”。
  7. 要強(qiáng)制“組策略”立即應(yīng)用,您可以單擊“開(kāi)始”,在“開(kāi)始搜索”框中鍵入“gpupdate.exe /force”,然后按 Enter。等待該過(guò)程完成。

啟用 BitLocker 的重要一點(diǎn)是確保正確配置了您的卷。BitLocker 要求活動(dòng)分區(qū)處于未加密狀態(tài),以便能夠讀取引導(dǎo)扇區(qū)、啟動(dòng)管理器和 Windows 加載程序(這些組件由先前所述的系統(tǒng)完整性步驟所保護(hù))。由于其他 Windows 組件可能需要臨時(shí)用到活動(dòng)分區(qū),因此 Microsoft 建議活動(dòng)分區(qū)至少為 1.5GB。配置 NTFS 權(quán)限也不失為一個(gè)好辦法,這樣用戶便不會(huì)意外地將數(shù)據(jù)寫(xiě)入該卷。
Windows 本身將被安裝到第二個(gè)較大的卷上,該卷可以加密。如果您要將 Windows 安裝在新系統(tǒng)上,則可以按照 Windows BitLocker 驅(qū)動(dòng)器加密逐步指南中的說(shuō)明,手動(dòng)配置卷。
您可以使用 BitLocker Drive Preparation Tool 來(lái)協(xié)助設(shè)置系統(tǒng),以便使用 BitLocker。此工具擺脫了配置驅(qū)動(dòng)器的辛苦工作,并作為 Windows Vista Ultimate Extra 提供,或提供給部署 Windows Vista Enterprise 的客戶。有關(guān) BitLocker Drive Preparation Tool 的詳細(xì)說(shuō)明,請(qǐng)?jiān)L問(wèn) support.microsoft.com/kb/930063。
BitLocker Drive Preparation Tool 會(huì)自動(dòng)收縮卷(如果您只有一個(gè)卷)、創(chuàng)建第二個(gè)分區(qū)、使其成為活動(dòng)分區(qū)、執(zhí)行所有必需的配置更改,并將啟動(dòng)文件移到適當(dāng)?shù)奈恢谩?/div>
配置卷后,啟用 BitLocker 非常簡(jiǎn)單。在“控制面板”的“安全”部分,單擊“BitLocker 驅(qū)動(dòng)器加密”圖標(biāo)。在確認(rèn) UAC 同意提示后,將會(huì)出現(xiàn)類似于圖 2 的屏幕。
圖 2 啟用 BitLocker (單擊該圖像獲得較大視圖)
后續(xù)操作的確切順序會(huì)因計(jì)算機(jī)上的 TPM 芯片狀態(tài)而各異。如果 TPM 芯片未初始化,則會(huì)運(yùn)行“TPM 初始化向?qū)А薄U?qǐng)按照提示來(lái)初始化 TPM,包括重新啟動(dòng)計(jì)算機(jī)。
初始化 TPM 后,會(huì)顯示“保存恢復(fù)密碼”頁(yè)面,如圖 3 所示。當(dāng)發(fā)生 TPM 故障或其他問(wèn)題時(shí),為了能夠恢復(fù)數(shù)據(jù),您需要一個(gè)恢復(fù)密碼。此頁(yè)面可讓您將恢復(fù)密碼保存到 USB 閃存驅(qū)動(dòng)器、本地硬盤(pán)或網(wǎng)絡(luò)硬盤(pán),或者打印出來(lái)妥善保存。您必須至少選擇上述其中一項(xiàng),并且您可以選擇保存多份恢復(fù)密碼。保存恢復(fù)密碼后,便會(huì)啟用“下一步”按鈕。單擊該按鈕。
圖 3 保存恢復(fù)密碼 (單擊該圖像獲得較大視圖)
“加密選定的磁盤(pán)卷”頁(yè)面將會(huì)出現(xiàn),您可以選擇是否要在開(kāi)始加密之前運(yùn)行系統(tǒng)檢查。該系統(tǒng)檢查會(huì)要求重新啟動(dòng)計(jì)算機(jī),但這是確保您的 TPM、BIOS 及 USB 端口能夠與 BitLocker 一起正常運(yùn)行的最佳方法。重新啟動(dòng)后,如果檢測(cè)到任何問(wèn)題,您會(huì)看到錯(cuò)誤消息。否則會(huì)顯示“加密進(jìn)行中”的狀態(tài)欄。
就是這樣。加密會(huì)在后臺(tái)完成,您可以繼續(xù)使用計(jì)算機(jī)。初始加密完成后,會(huì)出現(xiàn)消息通知您。您還可通過(guò)在屏幕底部工具欄中的“BitLocker 驅(qū)動(dòng)器加密”圖標(biāo)上拖動(dòng)光標(biāo),從而監(jiān)視磁盤(pán)卷加密的現(xiàn)行完成狀態(tài)。有關(guān)詳細(xì)信息,您可參閱先前提到的“逐步指南”。
一些用戶驚訝地發(fā)現(xiàn),BitLocker 在計(jì)算機(jī)啟動(dòng)時(shí)不會(huì)提示用戶或出現(xiàn)其他任何明顯中斷。這是因?yàn)椋谀J(rèn)配置中,BitLocker 在解除對(duì)卷的鎖定之前依賴 TPM 來(lái)確認(rèn)系統(tǒng)完整性。這是自動(dòng)執(zhí)行的,并且對(duì)用戶透明。
您可以將 BitLocker 配置為啟動(dòng)時(shí)需要輸入 PIN 或者有密鑰存儲(chǔ)在 USB 閃存驅(qū)動(dòng)器上。這會(huì)加強(qiáng)安全,如果加強(qiáng)安全的重要性超過(guò)了輸入 PIN 的不便,則建議采用這種方法。在我看來(lái),安全性始終是應(yīng)予最優(yōu)先考慮的事。(換句話說(shuō),我的臺(tái)式計(jì)算機(jī)要求 PIN,而我的便攜式計(jì)算機(jī)要求 USB 密鑰。)

BitLocker 恢復(fù)
處理加密時(shí),尤其是在企業(yè)環(huán)境中,要有辦法讓授權(quán)用戶即使在無(wú)法使用正常訪問(wèn)方法或沒(méi)有密鑰的情況下,都能夠找回他們的數(shù)據(jù),這是至關(guān)重要的。BitLocker 稱之為“恢復(fù)”。
如果早期啟動(dòng)組件出現(xiàn)了一些意外更改,或者您丟失了 USB 啟動(dòng)密鑰,或是用戶忘記了自己的 PIN,則 BitLocker 便不能完成正常的啟動(dòng)過(guò)程。BitLocker 會(huì)使卷保持鎖定狀態(tài),并且 Windows 也無(wú)法啟動(dòng)。取而代之,啟動(dòng)管理器中的 BitLocker 代碼會(huì)顯示一個(gè)文本屏幕。如果恢復(fù)密碼(有時(shí)稱為恢復(fù)密鑰)已保存到 USB 閃存驅(qū)動(dòng)器,則會(huì)出現(xiàn)類似于圖 4 的屏幕。
圖 4 查找恢復(fù)密鑰 (單擊該圖像獲得較大視圖)
要讓 BitLocker 讀取 USB 閃存驅(qū)動(dòng)器,則必須在啟動(dòng)時(shí)就連接上。如果您有帶恢復(fù)密碼的 USB 閃存驅(qū)動(dòng)器,請(qǐng)插上并按 Esc。如果沒(méi)有這樣的驅(qū)動(dòng)器,按 Enter 即可看到圖 5 所示的屏幕。如果從未有恢復(fù)密碼保存到 USB 驅(qū)動(dòng)器,那么也會(huì)顯示此屏幕。
圖 5 輸入 BitLocker 密碼 (單擊該圖像獲得較大視圖)
BitLocker 現(xiàn)在將會(huì)查找一個(gè) 48 位的數(shù)字密碼,可解除對(duì)驅(qū)動(dòng)器的鎖定。如果您選擇打印恢復(fù)密碼,則會(huì)在頁(yè)面上顯示該數(shù)字,如果您已將恢復(fù)密碼保存到一個(gè)文件夾,則它會(huì)存儲(chǔ)在文件中。
企業(yè)中管理恢復(fù)密碼最簡(jiǎn)單的方法就是將它們自動(dòng)存儲(chǔ)在 Active Directory? 中。若要獲取有關(guān)這一過(guò)程的具體操作信息,請(qǐng)?jiān)L問(wèn) go.microsoft.com/fwlink/?LinkId=87067。
在后續(xù)文章中,我將詳細(xì)描述 BitLocker 的可管理性,但是作為本概述的一部分,您必須了解 BitLocker 附帶了完整的 WMI 提供程序,允許通過(guò)任一 WMI 兼容的基于 Web 的企業(yè)管理 (WBEM) 系統(tǒng)來(lái)管理 BitLocker(和 TPM)。這意味著能使用可訪問(wèn) WMI 對(duì)象的任意腳本語(yǔ)言,比如 VBScript 或 Windows PowerShell?,來(lái)為 BitLocker 編寫(xiě)腳本。
BitLocker 還附帶了一個(gè)名為 manage-bde.wsf 的命令行工具,可使用 WMI 提供程序讓您在本機(jī)或遠(yuǎn)程計(jì)算機(jī)上管理 BitLocker。有關(guān)詳細(xì)信息,請(qǐng)啟動(dòng)提升的命令提示,并鍵入“manage-bde.wsf /?”。

安全取消配置
需要考慮到這一點(diǎn),每臺(tái)計(jì)算機(jī)都需要取消配置。企業(yè)經(jīng)?;ㄙM(fèi)大量財(cái)力和精力來(lái)確保在放棄磁盤(pán)驅(qū)動(dòng)器之前能夠完全摧毀其中的資料。大多數(shù)過(guò)程是刪除磁盤(pán)驅(qū)動(dòng)器中的機(jī)密數(shù)據(jù),這既費(fèi)時(shí)又耗費(fèi)成本,甚至?xí)?duì)硬件造成永久性損壞。BitLocker 提供了更經(jīng)濟(jì)高效的其他可選方法。
BitLocker 可確保一開(kāi)始就不會(huì)以冒險(xiǎn)的方式將機(jī)密數(shù)據(jù)存儲(chǔ)在磁盤(pán)上,因而無(wú)需擔(dān)心事后刪除數(shù)據(jù)。由于寫(xiě)入磁盤(pán)的數(shù)據(jù)都是加密的,因此銷毀加密密鑰的所有副本后,這些數(shù)據(jù)會(huì)永久變?yōu)橥耆珶o(wú)法訪問(wèn)。硬盤(pán)本身完全沒(méi)有損傷,并且可以重復(fù)使用。
您可以在取消卷(受 BitLocker 保護(hù))配置的多種方法中進(jìn)行選擇。您可以選擇刪除卷元數(shù)據(jù)中的所有密鑰副本,同時(shí)將它們存檔在安全的中心站點(diǎn)。這使系統(tǒng)能夠安全傳輸,或在長(zhǎng)期處于無(wú)人看管狀態(tài)時(shí)臨時(shí)取消配置。它確保了授權(quán)用戶仍然能夠訪問(wèn)數(shù)據(jù),但未授權(quán)的用戶(例如設(shè)備的新所有者)則不能訪問(wèn)。
您還可以選擇刪除卷元數(shù)據(jù)或任意存檔中的所有密鑰副本,比如 Active Directory(通過(guò)創(chuàng)建新密鑰而不存儲(chǔ)即可)。由于不再存在任何解密密鑰,因此任何人都無(wú)法發(fā)現(xiàn)或檢索數(shù)據(jù)。
上述任一情形中,刪除和破壞卷中包含的密鑰幾乎是瞬間完成,并可由一個(gè)管理員在多個(gè)系統(tǒng)間執(zhí)行。這只需要投入極少量的時(shí)間和精力,但卻會(huì)換來(lái)高級(jí)別的永久性保護(hù)。Windows Vista 中的格式化實(shí)用工具已經(jīng)更新,以便格式化命令能刪除卷元數(shù)據(jù)并覆蓋這些扇區(qū),從而安全地刪除所有 BitLocker 密鑰。

最后幾點(diǎn)
BitLocker 是旨在防范特定威脅的強(qiáng)大工具,而且表現(xiàn)相當(dāng)優(yōu)異。然而,如果認(rèn)為 BitLocker 能夠防范所有威脅,那就錯(cuò)了。絕對(duì)重要的是,您還需要使用適當(dāng)?shù)姆婪都翱刂拼胧鐝?qiáng)密碼。
您需要了解,BitLocker 是針對(duì)離線攻擊而設(shè)計(jì)的。這表示,如果正在運(yùn)行 Windows,則 BitLocker 已解除了對(duì)卷的鎖定。換言之,BitLocker 對(duì)運(yùn)行中的系統(tǒng)不提供保護(hù)。諸如 EFS 和 RMS 之類的技術(shù)通過(guò)在操作系統(tǒng)運(yùn)行時(shí)保護(hù)信息,為 BitLocker 提供了補(bǔ)充。
有關(guān) BitLocker 的更多信息,請(qǐng)?jiān)L問(wèn) Microsoft 網(wǎng)站,網(wǎng)址為 technet.microsoft.com/windowsvista/aa905065.aspx。有關(guān) TPM 規(guī)范和 TCG 的更多信息,請(qǐng)?jiān)L問(wèn) TCG 網(wǎng)站的“TPM 規(guī)范”部分,網(wǎng)址為 go.microsoft.com/fwlink/?LinkId=72757。
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開(kāi)APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服