下一代磁盘加密:Bitlocker管理和监控

本文讲的是下一代磁盘加密:Bitlocker管理和监控,纵观这些年来,IT业的某些元素已经从“值得具备”演变为“绝对的必要条件”。如果回望十年前,IT环境非常不同:企业对修复系统还存在问题,配置基本不是标准化配置,并且数据被存储在很多不同的地点。快进到2011年,我们看到了很多方面的改进:补丁修复管理大部分都已经自动化,配置管理可以规范服务器和桌面架构,而数据仍然存储在很多不同地点。不管你喜不喜欢,数据加密是必须的,而且应该强制要求。事实上,移动设备变得越来越普遍,越来越多的雇主开始意识到当员工在家、咖啡厅或者飞机场使用公司配备的笔记本,将会为公司制造麻烦,这些移动设备可能会丢失、遗忘在的士或飞机上,或者遭受恶意攻击。现在很少公司在争论数据加密的原因,重点已经转移到如何进行数据加密。

  内建磁盘加密还是选择第三方?

  六七年前,磁盘加密产品还只是“生态位空间”;Guardian Edge、Safe Boot和 PGP等供应商出售的磁盘加密产品能够被安装在当时运行Windows XP的计算机上,而为这些产品颁布证书是独立的,企业趋向于为他们的移动设备的这些产品颁布证书,并将移动设备与传统的“固定”设备分隔开来。

  在2006年,微软推出了Bitlocker Drive Encryption,该产品被嵌入到操作系统(Windows Vista Enterprise和Windows Vista Ultimate)的某种SKU中。由于Vista系统的普及度并不高,所以Bitlocker也鲜有人问津。内建磁盘加密已经足够好,还是说IT专家需要继续证明第三方磁盘加密软件的许可费用?

  微软在Windows7中对Bitlocker进行了改进,包括加密多个卷的能力(在Vista中,引导卷是唯一能够被加密的)等。他们还添加了Bitlocker To Go功能,该功能允许对能够在其他Windows 7设备以及旧颁布操作系统(Windows Vista和Windows XP)上使用的可移动设备(例如usb闪存盘或移动硬盘)进行加密。然而,在微软的内建解决方案中仍然存在一些缺点,特别是,报告和综合管理能力。

  一体化

  很多IT部门面临着残酷的现实:随着公司不断发展,环境变得越来越复杂,能够帮助降低成本和消除复杂性的综合一站式解决方案对企业不仅仅是吸引,而且逐渐成为必需品。安全供应商也开始意识到这种一体式理念,他们收购磁盘加密“单点解决方案”(例如McAfee收购Safe Boot)并将其整合到他们的套件中。但是对于那些无法负担这些解决方案的IT部门该怎么办?微软的内建技术中是否提供了具有竞争力的功能?

  现在很多IT专家都在构建和部署新的windows 7映象,这些问题也开始浮出水面,现在是时候认真研究一下微软应该在这个领域提供哪些功能了。微软在MBAM解决方案中增加了更多对Bitlocker的控制,该解决方案目前还是测试版本。很多人批评微软没有为企业报告磁盘加密状况提供完整的解决方案。

  MBAM 的优点和缺点

  MBAM具有几个显著的优点。首先,整合到windows 7中的构建和部署映象是很广泛的。MBAM“客户端”可以用于与你选择的部署工具,以自动化加密过程(当系统被映象化或换出的时候)。针对性也是很有效的,如果你只想针对某些设备子集,例如确定没有问题的笔记本模型。建议你从磁盘加密基线开始,因为非移动设备也并不意味着它不能移动,特别是在物理上不安全的区域。

  报告功能也相当完善。报告引擎建立在SQL Reporting Services上面,正如图1中所示,根据操作系统、合规状态、计算机类型等来分类,都可以通过浏览器的形式来观看。用户可以快速查看某设备是否符合标准,以及快速识别设备不符合规则的根本原因。


▲图1: SQL Reporting Services Source生成的报告

  密钥托管和管理方面有很大的提高,这也是Vista和Windows 7磁盘加密功能存在不足的地方。Bitlocker支持基于Active Directory的密钥托管,但是在对这些宝贵私钥信息的访问权限方面存在问题。Active Directory真的是所有企业存储密钥的最佳位置吗?从合规的角度来看,企业如何处理密钥的监管链?

  在MBAM中,密钥托管现在可以被传输到加密的SQL数据库中,而不是Active Directory。这为密钥信息安全提供了更好的保障。移除服务台或桌面支持团队对Active Directory的访问权限也是MBAM吸引人的功能之一。密钥恢复也大大提高了,用户现在可以通过网页执行恢复。当然,他们将需要一个单独的机器来完成,如果他们的机器位于“前启动”Bitlocker Recovery控制台。

  在企业部署windows 7映象作为“标准”用户方面,微软也进行了重大改进,现在最终用户可以进行加密过程(内建windows要求由管理员进行)。另外更改启动PIIN等管理任务也进行了调整。

  当然,MBAM也有缺点。MBAM将不会是一个免费的附件,微软正计划将其包含在微软桌面优化包(MDOP)中,其中包括应用虚拟化以及诊断和恢复工具集(DART)等功能。这将是一个额外需要订购的服务。

  总结

  不管你坚持现有的“附加”产品还是正在评估windows的内建解决方案,磁盘加密都是每个操作系统的必要组成部分。对于很多想要降低成本和充分利用操作系统集成功能的企业而言,MBAM提供的密钥报告和管理功能已足够满足他们的要求。

作者:邹铮/译

来源:it168网站

原文标题:下一代磁盘加密:Bitlocker管理和监控

时间: 2024-11-01 18:37:10

下一代磁盘加密:Bitlocker管理和监控的相关文章

Win7/8系统启动BitLocker为磁盘加密的方法

  1.Windows7/8系统启动BitLocker为磁盘加密的方法 步骤:左键双击桌面上的控制面板(控制面板已放到桌面),在打开的控制面板窗口,左键双击:BitLocker驱动器加密; 2.如果我们要加密驱动器 H:/,则在BitLocker驱动器加密窗口,打开驱动器H,再点击:启用BitLocker; 3.在BitLocker驱动器加密(H:)窗口,我们左键点击:使用密码解锁驱动器(P)打勾,在下面的两个密码框内输入密码,再点击:下一步; 4.备份恢复密码,我们选择一种自己喜欢的方法,如:

了解Vista BitLocker磁盘加密技术

关于加密公司数据的重要性,特别是当你可能会在某个用户的笔记本中存有机密数据,而他又带着电脑到处跑的时候,这一点就越发明显.要对数据加密,你有无数的选项可供选择和考虑.首先,你可以尝试寻找一个方法,不用让用户再带着数据到处跑,不过这一点并不总是可行.其次,你可以使用Windows XP自带的EFS加密机制,对敏感数据进行加密,不过这种方法依然存在某些漏洞.(最重要的是,EFS并不对整个卷进行加密:它仅对那些特别指定使用EFS加密的文件夹和文件才进行加密,而且它无法对系统文件,或者位于系统根目录下的

Windows 7磁盘加密技术BitLocker被破解

12月8日消息,据国外媒体报道,Fraunhofer SIT安全实验室日前表示,他们已经成功破解Windows 7的磁盘加密技术BitLocker.Fraunhofer SIT研究人员称,即使将BitLocker与基于硬件的可信赖平台模块(TPM)同时使用,他们也可以成功破解磁盘中的数据.此前,业界普遍 认为,BitLocker与TPM双剑合并,基本是可以确保磁盘数据安然无恙.Fraunhofer SIT研究人员称:"此次所展示的攻击方法并不意味着 BitLocker有漏洞,或者说可信赖计算 毫

浅析磁盘加密技术保障数据安全

TruCrypt.PGP.FreeOTFE.BitLocker.DriveCrypt和7-Zip,这些加密程序提供了异常可靠的实时加密功能,可以为你确保数据安全,避免数据丢失.被偷以及被窥视. 很少有IT专业人士还需要数据安全方面的培训,但是我们常常听说这样的事件:电脑或者硬盘被偷或丢失,里面存储了明文格式的数据,没有经过加密. 幸好,实时数据加密如今不再是某种奇异.成本高昂的技术.有些加密程序不是仅仅对单个文件进行加密,还能在文件里面.甚至直接在分区上创建虚拟磁盘,写入到虚拟磁盘上的任何数据都

Win8轻松搞定磁盘加密

说到个人电脑的隐私安全,大家都会想到加密.我们知道,计算机启动登陆需要密码,不管你的登陆密码多么复杂难于破解,也只是进入系统的第一道门槛而已,对于想要获取你计算机数据的人来说,他完全可以绕过这个步骤直接从你的硬盘上获取资料.亦或是有些朋友习惯使用移动硬盘和U盘等保存重要隐私数据,当一旦丢失后,就会暴露无遗.所以,我们能够想到的就是给你的磁盘.U盘再设置一次进入的加密,就算是别人进入你的系统,也无法读取你硬盘上的数据. 既然说到加密,很多人又会想到该使用什么方法,以及哪款软件才能实现加密.其实,没

浅谈Vista SP1中的磁盘加密技术

以前提到过,Vista SP1 的更新包中,改进了BitLocker Drive Encryption(BDE),提供TMP加密支持,包括闪存加密和PIN. BitLocker不仅可以对整个系统分区加密,还支持对非系统分区的加密,可以在本地创建机密数据分区.经过 BitLocker 驱动器加密 (BitLocker) 一个分区后,上面存储的所有文件都受到了保护.而且当我们把新的文件复制到该分区中时,文件会自动被加密,而不用我们再做其他操作. 如果我们的机器送修或是被盗,别人将硬盘挂在其他机器上,

win7系统磁盘加密后忘记密码如何找回?

  win7系统磁盘加密后忘记密码如何找回? 1.在加密时,大家应该都用U盘备份了加密密钥,这里默认大家已经备份过密钥了,将U盘插在电脑上,现在打开"我的电脑"; 2.双击加密的磁盘; 3.这时会弹出一个密码输入框,选择"忘记密码"; 4.在弹出的"BitLocker驱动器加密"窗口,选择"从USB闪存驱动器获取密钥"; 5.根据图片提示,直接选择下一步; 6.在弹出的"BitLocker驱动器加密"窗口点

Win7系统磁盘加密后忘记密码怎么办

  Win7系统磁盘加密后忘记密码怎么办?忘记密码让我们的工作进度变得很慢,这里小编教您们如何解锁.来下文看看吧 方法/步骤 在加密时,大家应该都用U盘备份了加密密钥,这里默认大家已经备份过密钥了,将U盘插在电脑上,现在打开"我的电脑",如图: 双击加密的磁盘,如图: 这时会弹出一个密码输入框,选择"忘记密码",如图: 在弹出的"BitLocker驱动器加密"窗口,选择"从USB闪存驱动器获取密钥",如图: 根据图片提示,直接

win7电脑如何给单个磁盘加密?

  小编注意到很多朋友都有将自己的私密文件放在一个磁盘里的习惯,当然,这也是一种很好的归纳文件的方法,毕竟,私密的文件放在一起,也就有了专属性,自己找起来也方便很多,除了设置开机密码的方法,大家还知道如何为自己的磁盘加密吗?其实,在ghost win7中,咱们不仅可以为磁盘加密,还可以实现单独为一个磁盘加密! 1.首先,咱们点击打开开始菜单,然后进入到控制面板的界面. 2.在控制面板中,点击系统和安全,然后在弹出来的界面中选择"bitlockter驱动加密". 3.之后咱们就可以选择自