【IT168 专稿】自Contoso公司部署了以Windows Server 2008 R2为平台的只读域控制器之后,给广州办工作人员带来的最直接效果就是,计算机的登录速度变的和总部一样快,一切在活动目录里的应用也都跟着变快了。但是各种安全问题也接踵而至,比如只读域控制器的就放在办公室,很容易被偷盗,而且只读域控制器上还充当文件服务器使用,存放着公司的一些重要的敏感信息,这些信息存储在未加密的逻辑卷中,可以被轻而易举的提取出来。正当小赵为只读域控制器的安全问题愁眉苦脸的时候,经理给出了解决此问题的关键:Bitlocker 卷级数据加密。
一、 Bitlocker驱动器加密概述
1. 什么是Bitlocker
Bitlocker是微软在Windows Vista和Windows Server 2008 加入的卷级数据加密技术。它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。
2. 什么是卷
为什么说是卷级加密技术呢,先从卷的概念说起。下面一段关于卷的解释引自Byron Hynes的【安全性: 使用 BitLocker 驱动器加密以保护数据的密钥】
卷是由一个或多个分区组成的逻辑结构,并且由"卷管理器"的Windows组件所定义。除了卷管理器和启动组件,其他Windows组件和应用程序都是使用卷,而非分区。在 Windows 客户端操作系统环境下,包括 Windows Vista 在内,分区和卷通常具有一对一的关系。而在服务器中,一个卷通常由多个分区组成,比如典型的 RAID 配置。
这里特别要指出的就是在Windows Server 2008以后服务器操作系统中,卷已经不再是指单纯的一个分区,在RAID配置中,多个分区合起来才被叫做卷。而Bitlocker 就可以为这样的RAID卷进行加密。不同于EFS和RMS的文件级加密,Bitlocker是为保护卷上的所有数据而设计的,并且不需要管理员进行大量的配置。整卷加密也可以有效的防止离线攻击,就是绕过操作系统和NTFS权限控制而直接读取硬盘数据的手段。
3. 如何加密数据
Bitlocker默认会使用含扩散器的128bit-AES算法加密数据,并且可以通过组策略将密钥扩充至256bit。
注意:扩散器简单描述就是可以确保即使是对明文的细微更改都会导致整个扇区的加密密文发生变化。
4. 系统完整性检查
Bitlocker通过TPM 1.2(Trusted Platform Module)芯片来检查启动组件和启动文件的状态,例如BIOS、MBR主引导记录及NTFS扇区。如果启动文件被修改,Bitlocker会锁定驱动器,并且进入恢复模式,可以通过一个48位的密码或者存储在智能卡上的密钥来解锁被加密的驱动器。
注意:通过智能卡解锁服务器的时候,硬件需要支持大容量USB存储设备。