Bitlocker是一款卷級數(shù)據(jù)加密技術(shù)，它可以有效的幫助企業(yè)和個人用戶對存儲設(shè)備中數(shù)據(jù)進行安全的保護。在Windows Server 2008 R2中的使用比較廣泛。本文就是Bitlocker卷級加密的實戰(zhàn)交鋒。

一、 Bitlocker驅(qū)動器加密概述

1. 什么是Bitlocker

Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級數(shù)據(jù)加密技術(shù)。它可以有效的幫助企業(yè)和個人用戶對存儲設(shè)備中數(shù)據(jù)進行安全的保護。

2. 什么是卷

為什么說是卷級加密技術(shù)呢，先從卷的概念說起。下面一段關(guān)于卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅(qū)動器加密以保護數(shù)據(jù)的密鑰】

卷是由一個或多個分區(qū)組成的邏輯結(jié)構(gòu)，并且由"卷管理器"的Windows組件所定義。除了卷管理器和啟動組件，其他Windows組件和應(yīng)用程序都是使用卷，而非分區(qū)。在 Windows 客戶端操作系統(tǒng)環(huán)境下，包括 Windows Vista 在內(nèi)，分區(qū)和卷通常具有一對一的關(guān)系。而在服務(wù)器中，一個卷通常由多個分區(qū)組成，比如典型的 RAID 配置。

這里特別要指出的就是在Windows Server 2008以后服務(wù)器操作系統(tǒng)中，卷已經(jīng)不再是指單純的一個分區(qū)，在RAID配置中，多個分區(qū)合起來才被叫做卷。而Bitlocker 就可以為這樣的RAID卷進行加密。不同于EFS和RMS的文件級加密，Bitlocker是為保護卷上的所有數(shù)據(jù)而設(shè)計的，并且不需要管理員進行大量的配置。整卷加密也可以有效的防止離線攻擊，就是繞過操作系統(tǒng)和NTFS權(quán)限控制而直接讀取硬盤數(shù)據(jù)的手段。

3. 如何加密數(shù)據(jù)

Bitlocker默認會使用含擴散器的128bit-AES算法加密數(shù)據(jù)，并且可以通過組策略將密鑰擴充至256bit。

注意：擴散器簡單描述就是可以確保即使是對明文的細微更改都會導致整個扇區(qū)的加密密文發(fā)生變化。

4. 系統(tǒng)完整性檢查

Bitlocker通過TPM 1.2(Trusted Platform Module)芯片來檢查啟動組件和啟動文件的狀態(tài)，例如BIOS、MBR主引導記錄及NTFS扇區(qū)。如果啟動文件被修改，Bitlocker會鎖定驅(qū)動器，并且進入恢復模式，可以通過一個48位的密碼或者存儲在智能卡上的密鑰來解鎖被加密的驅(qū)動器。

注意：通過智能卡解鎖服務(wù)器的時候，硬件需要支持大容量USB存儲設(shè)備。

二、 Windows Vista 和Windows 7 Bitlocker特性對比

1. 在Windows Vista中啟用系統(tǒng)完整性檢查，Bitlocker 1.0版要求需要有一個獨立的，至少1.5GB的分區(qū)用來存放啟動文件，比如bootmgr。而在RTM版的Windows 7中，如果是重新分區(qū)安裝操作系統(tǒng)，按照微軟提出的分區(qū)建議，在采用多操作系統(tǒng)(Windows Vista 和Windows 7)，啟用Bitlocker和Windows Recovery Environment時，系統(tǒng)會自動創(chuàng)建至少100M的分區(qū)空間來存放啟動文件和相關(guān)組件。這也是為什么許多重新安裝了Windows 7的用戶，會多出一個100M的分區(qū)的原因。

2. 在Windows Vista中，Bitlocker提供了有限的恢復功能，所有的恢復機制都基于一個48位的恢復密碼，用戶可以使用它來恢復被鎖定加密的信息。如果存在于域中，還可以通過組策略保存所有啟用了Bitlocker的計算機的恢復信息。這些信息會與計算機賬號綁定。Windows 7為Bitlocker加入了新的組策略機制：Bitlocker數(shù)據(jù)恢復代理。它與EFS恢復代理類似，持有恢復代理證書的用戶即可解密域中所有使用Bitlocker加密的數(shù)據(jù)。

3. 與Windows Vista只能加密NTFS的本地驅(qū)動器不同，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系統(tǒng)的移動存儲設(shè)備，并且在使用Bitlocker to GO加密時候，會向設(shè)備中復制一個BitlockertoGO.exe的工具，這個工具是Bitlocker reader工具，它可以幫助用戶在Windows Vista和Windows XP上解鎖設(shè)備，但只能使用恢復密鑰的方式，不能使用智能卡。

注意：當時用BitlockertoGO工具解鎖移動設(shè)備后，只有Windows 7企業(yè)版或旗艦版和Windows Server 2008 R2才能修改和寫入數(shù)據(jù)。Windows Vista 或Windows XP只能將數(shù)據(jù)復制到本地磁盤才能修改數(shù)據(jù)，但無法寫入到移動設(shè)備中。#p#

三、Bitlocker使用方法簡介

在Windows Server 2008 R2中，Bitlocker默認不安裝，用戶需要手工在功能中添加。依次打開【服務(wù)器管理器】-【功能】-【添加功能】，選中【Bitlocker驅(qū)動器加密】安裝后需要重啟計算機。

重啟計算機后，在【控制面板】-【系統(tǒng)和安全】-【Bitlocker驅(qū)動器加密】中即可看到該計算機中已存在可以啟用Bitlocker的驅(qū)動器信息。如圖1

圖1

圖1中有一個已經(jīng)進行過Bitlocker加密的驅(qū)動器E:。點擊【管理Bitlocker】，可以對該驅(qū)動器的Bitlocker選項進行設(shè)置，包括更改加密密碼，添加智能卡解鎖方式等等。如圖2

圖2

下面，我將對操作系統(tǒng)分區(qū)C盤進行Bitlocker加密，試驗恢復效果。

點擊C:后面的【啟用Bitlocker】，彈出警告，點擊【是】。如圖3

圖3

圖4為正在驗證計算機是否符合加密條件，主要是檢測TPM1.2芯片的狀態(tài)。

圖4

在彈出警告，提示需要備份重要數(shù)據(jù)，并且加密速度取決于驅(qū)動器的大小和碎片條件，如圖5

圖5#p#

然后Bitlocker開始準備加密過程，準備好后，會提示恢復密鑰的存儲位置，如圖6

圖6

我選擇將恢復密鑰保存在USB閃存中，系統(tǒng)會自動檢測出USB設(shè)備。如圖7

圖7

保存恢復密鑰后，點擊【啟動加密】即開始加密過程。如圖8

圖8

加密完成，可以看到C盤上已經(jīng)加上了一個小鎖，表示已經(jīng)被Bitlocker加密。同時，會比一般驅(qū)動器加密多出一個【掛起保護的選項】，主要用于在升級BIOS、硬件或者操作系統(tǒng)時，取消數(shù)據(jù)保護。在存儲恢復密鑰的USB閃存中，除了正常的恢復密鑰文件，還會有一個以計算機名命名的.TPM文件，這個文件保存 TPM 所有者密碼的哈希值。如圖9

圖9

Bitlocker to GO和Bitlocker的使用方式類似，這里不在描述。

經(jīng)過這么一番折騰，小趙使用Bitlocker將Windows Server 2008 R2的只讀域控制器牢牢的保護起來，再也不用擔心各種安全隱患對公司敏感數(shù)據(jù)帶來的威脅。數(shù)據(jù)安全性的提高，讓小趙的耳根子清凈了一陣，不過最近廣州辦的人員又開始抱怨很多存儲在公司總部文件服務(wù)器上的文件訪問速度太慢，讓小趙想辦法。下一篇，我將展示branch cache是如何提升總部與分支機構(gòu)之間的遠程網(wǎng)絡(luò)辦公性能的。

【編輯推薦】

1. 搶先預(yù)覽Windows 7與Server 2008 R2 SP1通用變化
2. IIS7在Windows Server 2008 R2中的技術(shù)革新
3. 在Windows Server 2008 R2中RemoteApp的服務(wù)器配置
4. 解讀Windows Server 2008 R2安全性和高可靠性
5. 漫談Windows Server 2008的網(wǎng)絡(luò)特性