 |
|
 |
| 您现在的位置: 先创网 >> 操作系统 >> Windows Vista >> 文章正文 |
|
|
| Vista系统BitLocker使用揭秘(上) |
| 个人电脑 |
| 2008-5-20 9:56:40文/佚名 |
|
|
|
|
|
很多人可能都听说过ERD Commander之类的软件,这种软件可以创建一个引导光盘,用户可以用这张光盘将电脑引导进入一个特殊的WindowsPE环境(可以理解为运行在光盘上的Window系统)中。在这个环境中,我们可以在不知道电脑上安装的操作系统管理员账户和密码的情况下直接编辑系统的注册表或者修改任何一个账户的登陆密码。甚至还可以获得文件的NTFS访问权限,并绕过Windows的权限设置读取需要的机密文件。这种在Windows没有运行着的情况下对系统进行“攻击”的操作就叫做“脱机攻击”。
其实类似这样的工具还有很多,有些是售价昂贵的商业软件,有些甚至是可以免费获得的软件。但是这是否意味着Windows的安全性很差呢?其实不然,因为进行脱机攻击的时候,被攻击的Windows并没有运行,因此Windows的各种安全保护机制也无法生效,进而造成了被攻击的可能。其实不仅仅是Windows,任何操作系统都无法有效避免这种脱机攻击。至于从物理层面的攻击,例如恶意拔掉服务器电源导致服务中断,或者损坏硬件造成数据丢失,更是无法仅依靠完善操作系统避免。所以说实现系统安全和数据安全的一个大前提就是首先要保证计算机在物理上的安全,不能让攻击者从物理层面上接触到计算机。
不过好在Windows Vista中的BitLocker功能可以保护整个Windows本身不被脱机攻击,并保护我们的机密数据无法被允许的Windows以外的其他操作系统访问。简单来说,BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密,并将密钥保存在硬盘之外的地方。这样,要想启动Windows或者读取保存在电脑中的文件,就必须先提供密钥,随后引导程序才会使用提供的密钥解密系统文件,并加载和运行Windows,供我们读取文件。
BitLocker是Windows Vista中的一项新功能,只能用于Windows Vista企业版和旗舰版。另外,在初始版本的Vista中,该功能只能加密安装了Vista的分区,不过在安装SP1之后可以加密任何一个本地硬盘分区。
不同模式的不同要求
BitLocker主要有两种工作模式:TPM模式和U盘模式,为了实现更高程度的安全,我们还可以同时启用这两种模式。
要使用TPM模式,要求计算机中必须具备不低于1.2版TPM芯片,这种芯片是通过硬件提供的,一般只出现在对安全性要求较高的商用电脑或工作站上,家用电脑或普通的商用电脑通常不会提供。
要想知道电脑是否有TPM芯片,可以运行“devmgmt.msc”打开设备管理器,然后看看设备管理器中是否存在一个叫做“安全设备”的节点,该节点下是否有“受信任的平台模块”这类的设备,并确定其版本即可。
如果要使用U盘模式,则需要电脑上有USB接口,计算机的BIOS支持在开机的时候访问USB设备(能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能),并且需要有一个专用的U盘(U盘只是用于保存密钥文件,容量不用太大,但是质量一定要好)。使用U盘模式后,用于解密系统盘的密钥文件会被保存在U盘上,每次重启动系统的时候必须在开机之前将U盘连接到计算机上。
受信任的平台模块是实现TPM模式BitLocker的前提条件。
对硬盘分区的要求
硬件满足上述要求后,还要确保硬盘分区的安排可以满足要求。通常情况下,我们可能习惯这样给硬盘分区:首先,在第一块硬盘上划分一个活动主分区,用于安装Windows,这个分区是系统盘;其次,对于剩下的空间继续划分更多主分区,或者创建一个扩展分区,然后在上面创建逻辑驱动器。简单来说,我们已经习惯于让第一块硬盘的第一个分区成为系统盘,并在上面安装Windows。
传统方式下的硬盘分区情况。
在一台安装Windows Vista的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。
这里重点需要关注的是,硬盘上是否有超过一个的活动分区。例如图中的“磁盘0”,该磁盘上有两个分区,对应的盘符分别是“C”和“D”,其中“C”就是第一块硬盘上的第一个分区,属于系统盘而且是活动的。但问题在于,如果除了系统盘外,硬盘上不存在其他活动分区,这种情况下是无法直接启用BitLocker的(无论是TPM模式还是U盘模式)。原因很简单,源于其工作原理,BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密,在启动系统的时候,我们必须提供解密的密钥,来解密原本被加密的文件,这样才能启动操作系统或者读取机密文件。但这就有一个问题,用于解密的密钥可以保存在TPM芯片或者U盘中,但是解密程序应该放在哪里?难道就放在系统盘吗?可是系统盘已经被加密了,这就导致了一种很矛盾的状态:因为用于解密的程序被加密了,因此无法运行,导致无法解密文件。
所以如果要顺利使用BitLocker功能,硬盘上必须至少有两个活动分区,除了系统盘外,额外的活动分区必须保持未加密状态(且必须是NTFS文件系统),同时可用空间不能少于1.5GB。为了保证可靠性,这个专门的活动分区最好专用,不要在上面保存其他文件或者安装额外的操作系统。
[1] [2] [3] [4] 下一页 |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
