某公司部署了以Windows Server 2008 R2為平臺(tái)的只讀域控制器之后，給員工帶來(lái)的最直接效果就是，計(jì)算機(jī)的登錄速度變的和總部一樣快，一切在活動(dòng)目錄里的應(yīng)用也都跟著變快了。

但是各種安全問題也接踵而至，比如只讀域控制器的就放在辦公室，很容易被偷盜，而且只讀域控制器上還充當(dāng)文件服務(wù)器使用，存放著公司的一些重要的敏感信息，這些信息存儲(chǔ)在未加密的邏輯卷中，可以被輕而易舉的提取出來(lái)。這時(shí)候Bitlocker 卷級(jí)數(shù)據(jù)加密就成為了解決問題的關(guān)鍵。

一、 Bitlocker驅(qū)動(dòng)器加密概述

1. 什么是Bitlocker

Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級(jí)數(shù)據(jù)加密技術(shù)。它可以有效的幫助企業(yè)和個(gè)人用戶對(duì)存儲(chǔ)設(shè)備中數(shù)據(jù)進(jìn)行安全的保護(hù)。

2. 什么是卷

為什么說是卷級(jí)加密技術(shù)呢，先從卷的概念說起。下面一段關(guān)于卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅(qū)動(dòng)器加密以保護(hù)數(shù)據(jù)的密鑰】

卷是由一個(gè)或多個(gè)分區(qū)組成的邏輯結(jié)構(gòu)，并且由"卷管理器"的Windows組件所定義。除了卷管理器和啟動(dòng)組件，其他Windows組件和應(yīng)用程序都是使用卷，而非分區(qū)。在 Windows 客戶端操作系統(tǒng)環(huán)境下，包括 Windows Vista 在內(nèi)，分區(qū)和卷通常具有一對(duì)一的關(guān)系。而在服務(wù)器中，一個(gè)卷通常由多個(gè)分區(qū)組成，比如典型的 RAID 配置。

這里特別要指出的就是在Windows Server 2008以后服務(wù)器操作系統(tǒng)中，卷已經(jīng)不再是指單純的一個(gè)分區(qū)，在RAID配置中，多個(gè)分區(qū)合起來(lái)才被叫做卷。而Bitlocker 就可以為這樣的RAID卷進(jìn)行加密。不同于EFS和RMS的文件級(jí)加密，Bitlocker是為保護(hù)卷上的所有數(shù)據(jù)而設(shè)計(jì)的，并且不需要管理員進(jìn)行大量的配置。整卷加密也可以有效的防止離線攻擊，就是繞過操作系統(tǒng)和NTFS權(quán)限控制而直接讀取硬盤數(shù)據(jù)的手段。

3. 如何加密數(shù)據(jù)

Bitlocker默認(rèn)會(huì)使用含擴(kuò)散器的128bit-AES算法加密數(shù)據(jù)，并且可以通過組策略將密鑰擴(kuò)充至256bit。

注意：擴(kuò)散器簡(jiǎn)單描述就是可以確保即使是對(duì)明文的細(xì)微更改都會(huì)導(dǎo)致整個(gè)扇區(qū)的加密密文發(fā)生變化。

4. 系統(tǒng)完整性檢查

Bitlocker通過TPM 1.2(Trusted Platform Module)芯片來(lái)檢查啟動(dòng)組件和啟動(dòng)文件的狀態(tài)，例如BIOS、MBR主引導(dǎo)記錄及NTFS扇區(qū)。如果啟動(dòng)文件被修改，Bitlocker會(huì)鎖定驅(qū)動(dòng)器，并且進(jìn)入恢復(fù)模式，可以通過一個(gè)48位的密碼或者存儲(chǔ)在智能卡上的密鑰來(lái)解鎖被加密的驅(qū)動(dòng)器。

注意：通過智能卡解鎖服務(wù)器的時(shí)候，硬件需要支持大容量USB存儲(chǔ)設(shè)備。

二、 Windows Vista 和Windows 7 Bitlocker特性對(duì)比

1. 在Windows Vista中啟用系統(tǒng)完整性檢查，Bitlocker 1.0版要求需要有一個(gè)獨(dú)立的，至少1.5GB的分區(qū)用來(lái)存放啟動(dòng)文件，比如bootmgr。而在RTM版的Windows 7中，如果是重新分區(qū)安裝操作系統(tǒng)，按照微軟提出的分區(qū)建議，在采用多操作系統(tǒng)(Windows Vista 和Windows 7)，啟用Bitlocker和Windows Recovery Environment時(shí)，系統(tǒng)會(huì)自動(dòng)創(chuàng)建至少100M的分區(qū)空間來(lái)存放啟動(dòng)文件和相關(guān)組件。這也是為什么許多重新安裝了Windows 7的用戶，會(huì)多出一個(gè)100M的分區(qū)的原因。

2. 在Windows Vista中，Bitlocker提供了有限的恢復(fù)功能，所有的恢復(fù)機(jī)制都基于一個(gè)48位的恢復(fù)密碼，用戶可以使用它來(lái)恢復(fù)被鎖定加密的信息。如果存在于域中，還可以通過組策略保存所有啟用了Bitlocker的計(jì)算機(jī)的恢復(fù)信息。這些信息會(huì)與計(jì)算機(jī)賬號(hào)綁定。Windows 7為Bitlocker加入了新的組策略機(jī)制：Bitlocker數(shù)據(jù)恢復(fù)代理。它與EFS恢復(fù)代理類似，持有恢復(fù)代理證書的用戶即可解密域中所有使用Bitlocker加密的數(shù)據(jù)。

3. 與Windows Vista只能加密NTFS的本地驅(qū)動(dòng)器不同，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系統(tǒng)的移動(dòng)存儲(chǔ)設(shè)備，并且在使用Bitlocker to GO加密時(shí)候，會(huì)向設(shè)備中復(fù)制一個(gè)BitlockertoGO.exe的工具，這個(gè)工具是Bitlocker reader工具，它可以幫助用戶在Windows Vista和Windows XP上解鎖設(shè)備，但只能使用恢復(fù)密鑰的方式，不能使用智能卡。

注意：當(dāng)時(shí)用BitlockertoGO工具解鎖移動(dòng)設(shè)備后，只有Windows 7企業(yè)版或旗艦版和Windows Server 2008 R2才能修改和寫入數(shù)據(jù)。Windows Vista 或Windows XP只能將數(shù)據(jù)復(fù)制到本地磁盤才能修改數(shù)據(jù)，但無(wú)法寫入到移動(dòng)設(shè)備中。#p#

三、 Bitlocker使用方法簡(jiǎn)介

在Windows Server 2008 R2中，Bitlocker默認(rèn)不安裝，用戶需要手工在功能中添加。依次打開【服務(wù)器管理器】-【功能】-【添加功能】，選中【Bitlocker驅(qū)動(dòng)器加密】安裝后需要重啟計(jì)算機(jī)。

重啟計(jì)算機(jī)后，在【控制面板】-【系統(tǒng)和安全】-【Bitlocker驅(qū)動(dòng)器加密】中即可看到該計(jì)算機(jī)中已存在可以啟用Bitlocker的驅(qū)動(dòng)器信息。如圖1

　　圖1

圖1中有一個(gè)已經(jīng)進(jìn)行過Bitlocker加密的驅(qū)動(dòng)器E:。點(diǎn)擊【管理Bitlocker】，可以對(duì)該驅(qū)動(dòng)器的Bitlocker選項(xiàng)進(jìn)行設(shè)置，包括更改加密密碼，添加智能卡解鎖方式等等。如圖2

　　圖2

下面，我將對(duì)操作系統(tǒng)分區(qū)C盤進(jìn)行Bitlocker加密，試驗(yàn)恢復(fù)效果。

點(diǎn)擊C:后面的【啟用Bitlocker】，彈出警告，點(diǎn)擊【是】。如圖3

　　圖3

圖4為正在驗(yàn)證計(jì)算機(jī)是否符合加密條件，主要是檢測(cè)TPM1.2芯片的狀態(tài)。

　　圖4

在彈出警告，提示需要備份重要數(shù)據(jù)，并且加密速度取決于驅(qū)動(dòng)器的大小和碎片條件，如圖5

　　圖5

然后Bitlocker開始準(zhǔn)備加密過程，準(zhǔn)備好后，會(huì)提示恢復(fù)密鑰的存儲(chǔ)位置，如圖6

　　圖6

我選擇將恢復(fù)密鑰保存在USB閃存中，系統(tǒng)會(huì)自動(dòng)檢測(cè)出USB設(shè)備。如圖7

　　圖7

保存恢復(fù)密鑰后，點(diǎn)擊【啟動(dòng)加密】即開始加密過程。如圖8

　　圖8

加密完成，可以看到C盤上已經(jīng)加上了一個(gè)小鎖，表示已經(jīng)被Bitlocker加密。同時(shí)，會(huì)比一般驅(qū)動(dòng)器加密多出一個(gè)【掛起保護(hù)的選項(xiàng)】，主要用于在升級(jí)BIOS、硬件或者操作系統(tǒng)時(shí)，取消數(shù)據(jù)保護(hù)。在存儲(chǔ)恢復(fù)密鑰的USB閃存中，除了正常的恢復(fù)密鑰文件，還會(huì)有一個(gè)以計(jì)算機(jī)名命名的.TPM文件，這個(gè)文件保存 TPM 所有者密碼的哈希值。如圖9

　　圖9

Bitlocker to GO和Bitlocker的使用方式類似，這里不在描述。Windows Server 2008 R2的只讀域控制器牢牢的保護(hù)起來(lái)，再也不用擔(dān)心各種安全隱患對(duì)公司敏感數(shù)據(jù)帶來(lái)的威脅。

【編輯推薦】

1. Windows Server 2008 R2大調(diào)查 活動(dòng)目錄受熱捧
2. Windows Server 2008 R2實(shí)現(xiàn)無(wú)線上網(wǎng)
3. Windows Server 2008 R2活動(dòng)目錄的重要功能
4. 在Windows Server 2008 R2中RemoteApp的服務(wù)器配置
5. 將文件服務(wù)器從2003遷移至Windows Server 2008 R2