|
BitLocker 驅(qū)動(dòng)器加密是在 Windows Server 2008 R2 以及Windows 7�、 Windows Vista Enterprise和ultimate版中提供的一項(xiàng)數(shù)據(jù)保護(hù)功能。將 BitLocker 與操作系統(tǒng)集成后�,可以進(jìn)行全磁盤的數(shù)據(jù)加密。BitLocker 驅(qū)動(dòng)器加密使用TPM (TPM-Trusted Platform Module 計(jì)算機(jī)制造商在很多較新的計(jì)算機(jī)上安裝的硬件組件) 1.2 版使用的情況下�,幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計(jì)算機(jī)即使在無人參與��、丟失或被盜的情況下也不會(huì)被篡改 ���。如將計(jì)算機(jī)硬盤轉(zhuǎn)移到其他計(jì)算機(jī)上��,企圖盜取數(shù)據(jù)將不會(huì)成功�。
在沒有 TPM 1.2 版的計(jì)算機(jī)上����,仍然可以使用 BitLocker 加密 Windows 操作系統(tǒng)驅(qū)動(dòng)器。但是�,實(shí)現(xiàn)此功能將要求用戶插入 USB 啟動(dòng)密鑰來啟動(dòng)計(jì)算機(jī)或從休眠中恢復(fù),而不提供 BitLocker 與 TPM 結(jié)合使用所提供的預(yù)啟動(dòng)系統(tǒng)完整性驗(yàn)證�。BitLocker提供的安全性功能有:
當(dāng)系統(tǒng)脫機(jī)時(shí),BitLocker 通過以下方法幫助保護(hù)數(shù)據(jù):
加密整個(gè) Windows 操作系統(tǒng)卷,包括用戶數(shù)據(jù)和系統(tǒng)文件�、休眠文件、頁面文件以及臨時(shí)文件���。
為非 Microsoft 應(yīng)用程序提供保護(hù)傘����,當(dāng)安裝在已加密的卷上時(shí)會(huì)自動(dòng)受益�。
BitLocker 驅(qū)動(dòng)器加密可以使用 TPM 驗(yàn)證早期Windows啟動(dòng)組件和啟動(dòng)配置數(shù)據(jù)的完整性。這有助于確保僅在這些組件尚未被篡改�����,并且已加密的驅(qū)動(dòng)器位于原始計(jì)算機(jī)中時(shí)�,BitLocker 驅(qū)動(dòng)器加密才能使已加密的驅(qū)動(dòng)器可以訪問。BitLocker 通過采取下列措施幫助確保啟動(dòng)過程的完整性:
提供一種方法����,用于檢查是否保持了早期啟動(dòng)文件的完整性,并且?guī)椭_保尚未對(duì)這些文件進(jìn)行對(duì)抗性修改����,如引導(dǎo)扇區(qū)病毒或 rootkit。
增強(qiáng)保護(hù)以減少基于脫機(jī)軟件的攻擊����?赡軉(dòng)系統(tǒng)的任何其他軟件都沒有權(quán)限訪問 Windows 操作系統(tǒng)驅(qū)動(dòng)器的解密密鑰。
當(dāng)系統(tǒng)被篡改時(shí)鎖定系統(tǒng)����。如果任何監(jiān)視的文件已被篡改,則系統(tǒng)不會(huì)啟動(dòng)����。由于系統(tǒng)無法正常啟動(dòng)��,因此這可以警告用戶有人篡改���。如果發(fā)生系統(tǒng)鎖定��,BitLocker 可以提供一個(gè)簡(jiǎn)單的恢復(fù)過程���。
若要使用 BitLocker 驅(qū)動(dòng)器加密,計(jì)算機(jī)必須符合某些要求:
為使 BitLocker 利用 TPM 提供的系統(tǒng)完整性檢查���,計(jì)算機(jī)必須具有 TPM 1.2 版�����。如果您的計(jì)算機(jī)沒有 TPM�,則啟用 BitLocker 將要求您將啟動(dòng)密鑰保存在可移動(dòng)設(shè)備(如 USB 閃存驅(qū)動(dòng)器)上。
具有 TPM 的計(jì)算機(jī)還必須具有符合受信任計(jì)算組 (TCG-Trusted Computing Group) 的BIOS(Basic Input Output System 固化到計(jì)算機(jī)主板上的一個(gè)硬件芯片)���。
系統(tǒng) BIOS(對(duì)于 TPM 和非 TPM 計(jì)算機(jī))必須支持 USB 大容量存儲(chǔ)設(shè)備類別����,包括讀取預(yù)操作系統(tǒng)環(huán)境中 USB 閃存驅(qū)動(dòng)器上的小文件���。
必須將硬盤至少分區(qū)為兩個(gè)驅(qū)動(dòng)器:
操作系統(tǒng)驅(qū)動(dòng)器(或啟動(dòng)驅(qū)動(dòng)器)包含操作系統(tǒng)及其支持文件���;必須使用 NTFS 文件系統(tǒng)對(duì)其進(jìn)行格式化。
系統(tǒng)驅(qū)動(dòng)器包含 BIOS 已準(zhǔn)備好系統(tǒng)硬件之后加載 Windows 所需的文件���。在此驅(qū)動(dòng)器上不啟用 BitLocker�。若要使 BitLocker 起作用���,系統(tǒng)驅(qū)動(dòng)器一定不要加密���,它必須區(qū)別于操作系統(tǒng)驅(qū)動(dòng)器,并且必須使用 NTFS 文件系統(tǒng)進(jìn)行格式化�����。系統(tǒng)驅(qū)動(dòng)器應(yīng)該至少為 1.5 千兆字節(jié) (GB)。
然而��,BitLocker 驅(qū)動(dòng)器加密無法保護(hù)計(jì)算機(jī)免遭所有可能的攻擊��。例如�,如果惡意用戶或程序(如病毒或 rootkit)在計(jì)算機(jī)丟失或被盜之前就具有對(duì)該計(jì)算機(jī)的訪問權(quán)限,則他們可能通過訪問加密的數(shù)據(jù)并由此引入漏洞�。如果 USB 啟動(dòng)密鑰保留在計(jì)算機(jī)中,或者 PIN 或 Windows 登錄密碼沒有保密���,則 BitLocker 保護(hù)可能也不起作用。
僅 TPM 身份驗(yàn)證模式最容易部署����、管理和使用。這更適合于無人參與的計(jì)算機(jī)或必須在無人參與時(shí)重新啟動(dòng)的計(jì)算機(jī)����。但是,僅 TPM 模式提供最少量的數(shù)據(jù)保護(hù)��。如果您組織的幾個(gè)部分在移動(dòng)計(jì)算機(jī)上具有認(rèn)為非常敏感的數(shù)據(jù)��,則考慮在這些計(jì)算機(jī)上部署具有多重身份驗(yàn)證的 BitLocker。
另外值得注意的是:如果硬盤遭到物理損壞或者主板TPM硬件損壞可能會(huì)導(dǎo)致數(shù)據(jù)的全面丟失��。
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
