操作系統的安全泛泛而談其實包括兩個方面的內容,分別為操作系統本身的安全與操作系統上數據的安全。在Windows7種,通過UAC控制機制、系統備份與還原等措施在很大程度上提高了操作系統的安全性與穩定性。那麼我們不僅問,Windows7 在數據安全的保護是是否也有新舉措呢?這個答案是讓人興奮的。在Windows7 中,其提出了一種新的數據保護機制,即BitLocker。這個工具可以為企業信息文件的安全保駕護航。
如上圖所示,就是啟動BitLocker驅動器的界面。默認情況下,Window操作系統是不啟動這個BitLocker功能的。如果企業對於數據文件的安全性要求比較高,則可以視情況來啟動這個功能。那麼這個功能到底有什麼特色呢?其使用起來又有什麼限制呢?筆者今天就為大家來解開這個謎題。
一、BitLocker與EFS加密機制的不同。
以前用過Windows操作系統的人一定了解,從2000操作系統開始,微軟就在操作系統上實現了一種叫做NTFS的文件格式。這個文件格式根FAT32文件格式相比,相對來說比較安全與穩定一點。而且在這個分區格式上,微軟還實現了很多讓人欣喜的功能。其中EFS文件加密機制就是其中的一種。那麼這個EFS文件加密機制與這個BitLocker有什麼聯系呢?又會有什麼不同?
首先值得肯定的是,這兩種技術都是很好的文件保護機制,能夠在很大程度上保障數據文件的安全。不過他們有一個很大的差異,即EFS是針對特定的文件或者文件夾來進行加密的。而BitLocker則是針對整個驅動器來進行加密。也就是說,采用EFS技術的話,用戶可以有選擇的對一些重要的文件或者文件夾進行加密。而如果采用BitLocker的話,用戶沒有這個選擇權。其要麼對某個驅動器的所有文件夾進行加密,要麼就全部不加密。這是這兩種文件加密機制的主要差異。
不過他們也有很大的共同點。如無論是EFS加密系統,還是BitLocker保護機制,對於終端用戶來說都是透明的。這個主要體現在如下幾個方面。首先只要是合法的用戶,其在訪問數據的時候,是感受不到這種保護措施存在的,無論是對數據進行加密或者解密的過程,都是在後台完成,不需要用戶干預。如只要在驅動器上實現了BitLocker技術,則當用戶往這個驅動器中保存文件時,操作系統會自動對其加密。當下次訪問時,操作系統也會自動對其進行解密。其次,如果其他非首選用戶試圖訪問加密過的數據時,則其就會受到“訪問拒絕”的錯誤提示。無論是EFS加密系統,還是BitLocker保護機制,其能夠很好的保護用戶的非授權訪問。第三,他們的用戶驗證過程都是在登陸Windows操作系統是完成的。也就是說,他們的密鑰是直接跟操作系統的帳戶掛鉤的。為此如果用戶非法的將文件復制到其他主機上,如果沒有主人用戶的授權(證書),那麼其他非法用戶即使有了這些文件,那麼他們也是無法打開的。
可見EFS與這個BitLocker保護機制具有很多的相同地方。那麼為什麼微軟還要費力氣開發這個BitLocker文件加密保護機制呢?這主要是因為這個保護機制還是有其自身很多特點的。而這些特點在某些程度上又彌補了EFS文件加密系統的不足。
二、BitLocker更方便共享。
如果某個文件夾中的文件采用了EFS加密系統加密,那麼這個文件要在網絡上共享是比較麻煩的。如系統管理員往往要將某個用戶的證書導入到另外一個用戶的操作系統,或者其他類似的手段才可以實現這文件的共享。不過如果采用BitLocker保護機制的話,則在這個文件共享上面會更加的方便。
當用戶將文件保存到采用BitLocker機制的驅動器之後,系統會自動對其進行加密。但是如果用戶將這個加密後的文件復制到其他沒有采用BitLocker技術的驅動器中,會出現什麼情況呢?此時文件會被自動解密。此時其他用戶只要具有相關的權限,就可以隨意的閱讀。不過前提是這個復制文件的用戶其具有解密的權限。到這裡為止跟EFS的文件加密系統處理方法還是類似的。不過在這文件共享上雙方還是有很大的不同。假設現在用戶要將某個采用BitLocker加密機制加密過的文件,通過網絡共享給其他的用戶。此時操作系統會如何處理呢?首先需要明確的是,只要這個共享的文件仍然在這個受保護的驅動器上,那麼這個文件仍然是以加密的形態保存的,操作系統不會對其解密。其次只要這個用戶允許其他用戶訪問這個共享文件(通過授權認證來實現),那麼其他用戶就可以訪問這個文件。而不需要像EFS加密文件系統那樣,手工給其他用戶導入證書等等。也就是說,在BitLocker保護機制下,這個認證授權過程對用戶來說是透明的。這是BitLocker與EFS文件加密系統相比,最大的改善之一。
三、對操作系統分區的特殊保護。
EFS加密文件系統將系統文件與普通的用戶文件是同等對待的。但是,BitLocker保護機制中,則對其采用了專門的保護措施,可以在最大程度上保護系統文件的安全。只要系統管理員利用BitLocker技術對系統分區進行了加密,則在操作系統啟動後系統就會一直監視計算機,如會監視磁盤錯誤、BiOS的更改、啟動配置文件的更改等等,並可以防止由此帶來的安全風險。如果操作系統檢測到以上的這些錯誤,則BitLocker會自動的將這個磁盤驅動器鎖住。此時系統管理員需要利用預先設置的一個密鑰來解鎖這個驅動器。通過這種措施可以防止操作系統的文件以及配置文件在系統管理員不知覺的情況下被修改。這對於防止木馬、病毒、惡意程序等等對操作系統的破壞很有作用。
不過在對操作系統采用這個保護機制的時候,需要注意兩點。首先在首次對系統分區采用加密保護機制時,需要創建一個解鎖密碼。否則的話,當操作系統因為遭受可疑的工具而被鎖住驅動器時,系統管理員就無法對其進行解鎖。而這驅動器中的文件也將無法訪問。所以說,在各驅動器啟用這個保護機制時,別忘了設置一個解鎖的密碼。其次,如果用戶的電腦中安裝了TPM芯片時,則可以將這個密碼存儲在這個芯片上。當遇到系統分區被鎖住時,BitLocker就會像這塊芯片所要密碼進行解鎖。如果將Windows7操作系統作為服務器來使用,則為這個服務器配置一塊TPM芯片並在系統分區上啟用BitLocker保護機制,能夠在很大程度上保障服務器系統的安全與穩定型。從這也可以看出,微軟在服務器的安全與穩定性方面,一直在不斷的改進。
另外如果采用EFS加密文件系統的話,只要攻擊者知道了帳戶與密碼,則其可以登陸到操作系統。此時EFS加密文件的保護機制就失去了作用。不過BitLocker在這方面也有所改善。即使攻擊者知道了用戶的帳戶與密碼,其仍然可以采取措施來保護系統文件,即BitLocker會監測系統文件的更改。如果其發現這個更改會給操作系統帶來安全上的風險時,就會采取措施拒絕其更改。到目前為止,這是EFS文件加密系統所不能夠實現的功能。
可見EFS加密系統與BitLocker加密機制在實現細節上還有很大的不同。BitLocker主要在對系統分區的保護上有比較獨特的表現。而且其在共享文件的管理上也更加的方便。
