bitlocker:數據保護功能-中文百科頻道

概述

BitLocker驅動器加密它是在WindowsVista中新增的一種數據保護功能，主要用于解決一個人們越來越關心的問題：由計算機設備的物理丢失導緻的數據失竊或惡意洩漏。在新一代操作系統windows7中也能使用此加密驅動。随同WindowsServer2008一同發布的有BitLocker實用程序，該程序能夠通過加密邏輯驅動器來保護重要數據，還提供了系統啟動完整性檢查功能。

　　BitLocker使用TPM幫助保護Windows操作系統和用戶數據，并幫助确保計算機即使在無人參與、丢失或被盜的情況下也不會被篡改。

　　受信任的平台模塊(TPM)是一個内置在計算機中的微芯片。它用于存儲加密信息，如加密密鑰。存儲在TPM上的信息會更安全，避免受到外部軟件攻擊和物理盜竊。BitLocker可加密存儲于Windows操作系統卷上的所有數據，默認情況下，使用TPM以确保早期啟動組件的完整性（組件用于啟動進程的更早時期），以及“鎖定”任何BitLocker保護卷，使之在即便計算機受到篡改也得到保護。

　　但是BitLocker有一項不足，打開加密盤後，再次進入就不需要密碼了，那麼如何才能使每次訪問加密盤都要密碼呢？這恐怕是微軟後續改進的問題了，但是目前，我們可以在開始任務欄裡輸入“cmd”，然後以管理員身份運行，輸入manage-bde（空格）-lock（空格）X：，x為加密磁盤盤符。這樣就可以再次鎖住加密盤了。

原理

通過加密整個Windows操作系統卷保護數據。

　　如果計算機安裝了兼容TPM，BitLocker将使用TPM鎖定保護數據的加密密鑰。因此，在TPM已驗證計算機的狀态之後，才能訪問這些密鑰。加密整個卷可以保護所有數據，包括操作系統本身、Windows注冊表、臨時文件以及休眠文件。因為解密數據所需的密鑰保持由TPM鎖定，因此攻擊者無法通過隻是取出硬盤并将其安裝在另一台計算機上來讀取數據。

　　在啟動過程中，TPM将釋放密鑰，該密鑰僅在将重要操作系統配置值的一個哈希值與一個先前所拍攝的快照進行比較之後解鎖加密分區。這将驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改，則不會釋放密鑰。

　　默認情況下，BitLocker安裝向導配置為與TPM無縫使用。管理員可以使用組策略或腳本啟用其他功能和選項。

　　為了增強安全性，可以将TPM與用戶輸入的PIN或存儲在USB閃存驅動器上的啟動密鑰組合使用。

　　在不帶有兼容TPM的計算機上，BitLocker可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。在這種情況下，用戶需要創建一個存儲在USB閃存驅動器上的啟動密鑰。

TPM

TPM是一個微芯片，設計用于提供基本安全性相關功能，主要涉及加密密鑰。TPM通常安裝在台式計算機或者便攜式計算機的主闆上，通過硬件總線與系統其餘部分通信。　　合并了TPM的計算機能夠創建加密密鑰并對其進行加密，以便隻可以由TPM解密。此過程通常稱作“覆蓋”或“綁定”密鑰，可以幫助避免洩露密鑰。每個TPM有一個主覆蓋密鑰，稱為“存儲根密鑰(SRK)”，它存儲在TPM的内部。在TPM中創建的密鑰的隐私部分從不暴露給其他組件、軟件、進程或者人員。

　　合并了TPM的計算機還可以創建一個密鑰，該密鑰不僅被覆蓋，而且還被連接到特定硬件或軟件條件。這稱為“密封”密鑰。首次創建密封密鑰時，TPM将記錄配置值和文件哈希的快照。僅在這些當前系統值與快照中的值相匹配時才“解封”或釋放密封密鑰。BitLocker使用密封密鑰檢測對Windows操作系統完整性的攻擊。

　　使用TPM，密鑰對的隐私部分在操作系統控制的内存之外單獨保存。因為TPM使用自身的内部固件和邏輯電路來處理指令，所以它不依賴于操作系統，也不會受外部軟件漏洞的影響。

機制

首先需要強調的是，并不是所有的WindowsVista(orWindows7)版本都支持BitLocker驅動器加密，相應的功能隻有WindowsVista的Enterprise版和Ultimate版才能夠實現。其目标即是讓WindowsVista(orWindows7)用戶擺脫因PC硬件丢失、被盜或不當的淘汰處理而導緻由數據失竊或洩漏構成的威脅，

　　BitLocker保護的WindowsVista計算機的日常使用對用戶來說是完全透明的。在具體實現方面，BitLocker主要通過兩個主要子功能，完整的驅動器加密和對早期引導組件的完整性檢查，及二者的結合來增強數據保護。其中：

　　驅動器加密能夠有效地防止未經授權的用戶破壞WindowsVista(orWindows7)文件以及系統對已丢失或被盜計算機的防護，通過加密整個Windows卷來實現。利用BitLocker，所有用戶和系統文件都可加密，包括交換和休眠文件。

　　對早期引導組件進行完整性檢查有助于确保隻有在這些組件看起來未受幹擾時才執行數據解密，還可确保加密的驅動器位于原始計算機中。通過BitLocker，還可選擇鎖定正常的引導過程，直至用戶提供PIN（類似于ATM卡PIN）或插入含有密鑰資料的USB閃存驅動器為止。這些附加的安全措施可實現多因素驗證，并确保在提供正确的PIN或USB閃存驅動器之前計算機不會從休眠狀态中啟動或恢複。

　　BitLocker緊密集成于WindowsVista(orWindows7)中，為企業提供了無縫、安全和易于管理的數據保護解決方案。例如，BitLocker可選擇利用企業現有的ActiveDirectory域服務基礎結構來遠程委托恢複密鑰。BitLocker還具備一個與早期引導組件相集成的災難恢複控制台，以供用于“實地”數據檢索。

過程

基本的BitLocker安裝和部署不需要外來的和特殊的硬件或者軟件。該服務器必須滿足支持Windows Server 2012的最小要求。但仍會發生一些硬件小問題。首先，考慮服務器具有可信任平台模塊（TPM）1.2或2.0版本。

TPM不需要安裝和使用BitLocker，但是需要能夠保證系統啟動時的完整性，并将BitLocker本地磁盤綁定到專門的物理服務器。這防止其他系統安裝加密磁盤。接着，評估服務器的BIOS特征。

具有TPM的系統需要兼容性良好的固件。如果BIOS為TPM服務，其必須支持統一的可擴展固定接口（UEFI）标準。BIOS必須從硬盤首次啟動，而不是從外部驅動器，比如USB或光盤。還有，BIOS在啟動期間應該讀取USB閃存盤，以防需要緊急加密恢複丢失或毀壞的證書。最後，一個加密的驅動器必須提供兩部分：一部分是操作系統的FAT32或NTFS分區；

另一部分是另外的350MB的NTFS分區（或者更大）——安裝BitLocker的系統驅動器大小。硬件加密驅動器受支持，安裝時必須關閉車載安全特性。單獨的分區在啟動期間需要執行系統完整性檢查。系統驅動器通常包含其他的數據，比如恢複信息和其他工具。

特色

BitLocker支持“受信平台模塊(TPM:TrustedPlatformModule)”1.2及其後版本，可實現基于硬件的全盤加密，以增強數據保護，并确保運行WindowsVista的PC在系統脫機時不被浏覽與修改；BitLocker使用128或256位的AES加密算法。(甚至有傳言BitLocker将使用1024位加密，是否屬實有待考證)；BitLocker可通過組策略設置；在系統中采用BitLocker驅動器加密對系統性能的影響很小，這是一個好消息；BitLocker密鑰可存儲在磁盤、USB盤，甚至可以打印出來。也可通過組策略自動生成并保存于ActiveDirectory中。