Server 2008 R2中Bitlocker功能評估
某公司部署了以Windows Server 2008 R2為平臺的只讀域控制器之后,給員工帶來的最直接效果就是,計算機的登錄速度變的和總部一樣快,一切在活動目錄里的應用也都跟著變快了。
但是各種安全問題也接踵而至,比如只讀域控制器的就放在辦公室,很容易被偷盜,而且只讀域控制器上還充當文件服務器使用,存放著公司的一些重要的敏感信息,這些信息存儲在未加密的邏輯卷中,可以被輕而易舉的提取出來。這時候Bitlocker 卷級數據加密就成為了解決問題的關鍵。
一、 Bitlocker驅動器加密概述
1. 什么是Bitlocker
Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級數據加密技術。它可以有效的幫助企業和個人用戶對存儲設備中數據進行安全的保護。
2. 什么是卷
為什么說是卷級加密技術呢,先從卷的概念說起。下面一段關于卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅動器加密以保護數據的密鑰】
卷是由一個或多個分區組成的邏輯結構,并且由"卷管理器"的Windows組件所定義。除了卷管理器和啟動組件,其他Windows組件和應用程序都是使用卷,而非分區。在 Windows 客戶端操作系統環境下,包括 Windows Vista 在內,分區和卷通常具有一對一的關系。而在服務器中,一個卷通常由多個分區組成,比如典型的 RAID 配置。
這里特別要指出的就是在Windows Server 2008以后服務器操作系統中,卷已經不再是指單純的一個分區,在RAID配置中,多個分區合起來才被叫做卷。而Bitlocker 就可以為這樣的RAID卷進行加密。不同于EFS和RMS的文件級加密,Bitlocker是為保護卷上的所有數據而設計的,并且不需要管理員進行大量的配置。整卷加密也可以有效的防止離線攻擊,就是繞過操作系統和NTFS權限控制而直接讀取硬盤數據的手段。
3. 如何加密數據
Bitlocker默認會使用含擴散器的128bit-AES算法加密數據,并且可以通過組策略將密鑰擴充至256bit。
注意:擴散器簡單描述就是可以確保即使是對明文的細微更改都會導致整個扇區的加密密文發生變化。
4. 系統完整性檢查
Bitlocker通過TPM 1.2(Trusted Platform Module)芯片來檢查啟動組件和啟動文件的狀態,例如BIOS、MBR主引導記錄及NTFS扇區。如果啟動文件被修改,Bitlocker會鎖定驅動器,并且進入恢復模式,可以通過一個48位的密碼或者存儲在智能卡上的密鑰來解鎖被加密的驅動器。
注意:通過智能卡解鎖服務器的時候,硬件需要支持大容量USB存儲設備。
二、 Windows Vista 和Windows 7 Bitlocker特性對比
1. 在Windows Vista中啟用系統完整性檢查,Bitlocker 1.0版要求需要有一個獨立的,至少1.5GB的分區用來存放啟動文件,比如bootmgr。而在RTM版的Windows 7中,如果是重新分區安裝操作系統,按照微軟提出的分區建議,在采用多操作系統(Windows Vista 和Windows 7),啟用Bitlocker和Windows Recovery Environment時,系統會自動創建至少100M的分區空間來存放啟動文件和相關組件。這也是為什么許多重新安裝了Windows 7的用戶,會多出一個100M的分區的原因。
2. 在Windows Vista中,Bitlocker提供了有限的恢復功能,所有的恢復機制都基于一個48位的恢復密碼,用戶可以使用它來恢復被鎖定加密的信息。如果存在于域中,還可以通過組策略保存所有啟用了Bitlocker的計算機的恢復信息。這些信息會與計算機賬號綁定。Windows 7為Bitlocker加入了新的組策略機制:Bitlocker數據恢復代理。它與EFS恢復代理類似,持有恢復代理證書的用戶即可解密域中所有使用Bitlocker加密的數據。
3. 與Windows Vista只能加密NTFS的本地驅動器不同,Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系統的移動存儲設備,并且在使用Bitlocker to GO加密時候,會向設備中復制一個BitlockertoGO.exe的工具,這個工具是Bitlocker reader工具,它可以幫助用戶在Windows Vista和Windows XP上解鎖設備,但只能使用恢復密鑰的方式,不能使用智能卡。
注意:當時用BitlockertoGO工具解鎖移動設備后,只有Windows 7企業版或旗艦版和Windows Server 2008 R2才能修改和寫入數據。Windows Vista 或Windows XP只能將數據復制到本地磁盤才能修改數據,但無法寫入到移動設備中。#p#
三、 Bitlocker使用方法簡介
在Windows Server 2008 R2中,Bitlocker默認不安裝,用戶需要手工在功能中添加。依次打開【服務器管理器】-【功能】-【添加功能】,選中【Bitlocker驅動器加密】安裝后需要重啟計算機。
重啟計算機后,在【控制面板】-【系統和安全】-【Bitlocker驅動器加密】中即可看到該計算機中已存在可以啟用Bitlocker的驅動器信息。如圖1
圖1
圖1中有一個已經進行過Bitlocker加密的驅動器E:。點擊【管理Bitlocker】,可以對該驅動器的Bitlocker選項進行設置,包括更改加密密碼,添加智能卡解鎖方式等等。如圖2
圖2
下面,我將對操作系統分區C盤進行Bitlocker加密,試驗恢復效果。
點擊C:后面的【啟用Bitlocker】,彈出警告,點擊【是】。如圖3
圖3
圖4為正在驗證計算機是否符合加密條件,主要是檢測TPM1.2芯片的狀態。
圖4
在彈出警告,提示需要備份重要數據,并且加密速度取決于驅動器的大小和碎片條件,如圖5
圖5
然后Bitlocker開始準備加密過程,準備好后,會提示恢復密鑰的存儲位置,如圖6
圖6
我選擇將恢復密鑰保存在USB閃存中,系統會自動檢測出USB設備。如圖7
圖7
保存恢復密鑰后,點擊【啟動加密】即開始加密過程。如圖8
圖8
加密完成,可以看到C盤上已經加上了一個小鎖,表示已經被Bitlocker加密。同時,會比一般驅動器加密多出一個【掛起保護的選項】,主要用于在升級BIOS、硬件或者操作系統時,取消數據保護。在存儲恢復密鑰的USB閃存中,除了正常的恢復密鑰文件,還會有一個以計算機名命名的.TPM文件,這個文件保存 TPM 所有者密碼的哈希值。如圖9
圖9
Bitlocker to GO和Bitlocker的使用方式類似,這里不在描述。Windows Server 2008 R2的只讀域控制器牢牢的保護起來,再也不用擔心各種安全隱患對公司敏感數據帶來的威脅。
【編輯推薦】
