关于加密公司数据的重要性,特别是当你可能会在某个用户的笔记本中存有机密数据,而他又带着电脑到处跑的时候,这一点就越发明显。要对数据加密,你有无数的选项可供选择和考虑。首先,你可以尝试寻找一个方法,不用让用户再带着数据到处跑,不过这一点并不总是可行。其次,你可以使用Windows XP自带的EFS加密机制,对敏感数据进行加密,不过这种方法依然存在某些漏洞。(最重要的是,EFS并不对整个卷进行加密;它仅对那些特别指定使用EFS加密的文件夹和文件才进行加密,而且它无法对系统文件,或者位于系统根目录下的文件进行加密保护)。第三,你可以寻找一个第三方生产商来提供全盘加密技术。
除此之外,你还有一个选择就是让你的客户将他的电脑升级到Windows Vista。Windows Vista有一个新功能,是面向企业,用于帮助他们保护自己的私人数据——Windows BitLocker磁盘加密(Drive Encryption)。BitLocker以一种“离线”方式提供了整卷的加密。这就意味着,不管怎样,如果你部署了BitLocker,你的系统就会被加密技术动态保护,哪怕是一个潜在的黑客获取了系统的物理存取权限。另外,企业使用BitLocker的话,理论上它们就再也不用担心了,哪怕是发生了物理硬盘丢失或者被盗的事件。该硬盘将一直保持加密的防护状态。
技术细节
BitLocker使用128位或者256位的AES(高级加密标准,Advanced Encryption Standard)加密;加密级别由你决定,并可以通过组策略进行设置。BitLocker在一个拥有TPM 1.2(TPM,信任平台模块,Trusted Platform Module)的系统中表现最佳。一个TPM是电脑主板上的另一个芯片,负责生成加密Key——而Key对一个成功的加密项目来说是至关重要的。按照微软和其他独立测试者的说法,使用BitLocker全盘加密对系统性能的影响几乎可以忽略不计。
不过,也有一些不足。BitLocker仅仅保护电脑中的操作系统所在卷。如果你的笔记本中仅有一个卷,那这就不是问题;但是对那些有多个卷或者多个磁盘的系统来说,仅仅使用BitLocker将无法保护所有的数据。在这些情况下,微软一直推荐对非操作系统卷使用EFS。当和BitLocker联合使用时,EFS本身也变得更加有效,因为连同操作卷上的根目录也都被覆盖了。所以,一旦在操作系统卷上启用了BitLocker,这些EFS根目录数据将被BitLocker保护,被篡改的可能性也将大大被降低。另外,你还解决了一个EFS自身的功能限制问题——以前EFS本身无法对系统根目录的文件进行加密。现在,这些文件都会受到BitLocker的保护,而其他的文件则受到EFS的保护。
当然,同样也有大量的区域是BitLocker无法提供保护的,这些区域包括:
系统管理员的篡改区:默认情况下,这些人一般都具有对数据的全权委托权限。加密不是设计来将这些本身就被假定具有数据读取权的人排除在外的。
其他授权用户发动的攻击:如果一个针对系统的攻击使用了正确的用户凭据,BitLocker将会任其自由查阅。简而言之,BitLocker无法保护你免受在线攻击。教训就是:保持多层次的防护至关重要。要记得时刻运行防火墙,反病毒软件,以及反间谍软件,以最大程度的保护你的数据资产。
硬件攻击:一个黑客可以在系统中插入专门的硬件调试器,从而获取对数据的相关读写权限。
部署
你应当知道,你可以使用两种完全不同的方式来部署BitLocker——或者使用TPM 1.2,或者不用TPM1.2。使用TPM 1.2提供了高的安全级别,但是并不是每个系统都能够支持它。为了对那些没有(或者不愿)部署TPM的人提供保护,微软还提供了一种无需部署TPM的部署方式(非TPM方式)。非TPM方式支持多种认证模式,包括启动时用户使用PIN进入,或者要求启动时事先插入一个预存了启动Key的USB闪盘。
BitLocker仅在Vista的企业版(Enterprise)和高级版(Ultimate)中被支持,不过Longhorn服务器上将也会支持BitLocker。为什么微软要排除其他Vista的版本,特别是商业版,让我很困惑。而且,只有Ultimate版的Vista可以独立运行BitLocker。而Vista企业版只有在加入一个域之后才可以支持BitLocker。现在,这个不利之处可就不像乍看上去那么毫不起眼了。既然你可以将BitLocker的恢复Key都存放在活动目录之中,那么这一点就很有意义了。你可能并不希望成千上万的人们外出时带着他们的私有恢复Key……万一他们把它丢掉了,你的公司数据将面临无法恢复的危险。
总结
虽然有自身的一些限制,BitLocker还是家族中受人欢迎的新进成员。该工具为企业提供了额外的数据保护选项,协助企业保证数据安全。