早就垂涎Windows Vista的BitLocker全卷加密(简称BDE)功能,只是苦于不敢拿本本试刀。最近拿到最新的Windows Vista CTP 5308版本,居然在VMware虚拟机里测试成功!此等好事,安能善自珍摄?自当写来以飨读者诸君。
BitLocker概述
BitLocker只是微软起的“艺名”,其原名是Secure Startup(安全启动),从它的原名中可以看出其本义是为了确保系统的启动安全。
BitLocker可以加密整个Windows卷,包括页面文件、SAM注册表数据库文件、休眠文件和Dump文件等等,这些都是EFS加密所无法保护的(因为EFS无法加密系统文件和位于系统目录下的所有文件)。
BitLocker加密的模式有两种:
1.USB闪盘模式
需要BIOS支持引导时访问USB闪盘。可以将解锁磁盘所需的相关密钥存放在USB闪盘里,开机时必须插入USB闪盘,才能解锁加密的Windows卷,才能正常访问Windows Vista。
2.TPM模式
要求计算机带有1.2版本的TPM芯片,系统会将解锁磁盘所需的密钥存放在TPM芯片里。
TPM模式可以实现最严厉的安全保护措施。除了USB闪盘模式所支持的全卷加密之外,还另外支持系统启动组件的完整性检测。
这种完整性检测,有点类似于Windows XP的激活机制。在设置BitLocker加密时,系统会分别对主引导记录(MBR)、NTFS引导扇区、NTFS引导代码和密钥等做“快照”(估计可能是分别产生相应的散列值),然后保存在TPM芯片的相应的寄存器里,每次系统启动时,会自动与原本的快照进行比较,这个过程称作度量(measure)。
如果这些启动组件发生了变化(通常可能是攻击行为所导致),系统就会拒绝从TPM芯片里释放磁盘加密密钥!我们可以在组策略里指定TPM模式所“度量”的启动组件,如图1所示(图中显示,MBR的"快照"存放在TPM芯片的PCR4寄存器中,依次类推)。
图1
此外,还可以根据需要,选择是否设置启动密钥,以提供额外的安全保护。