Windows Server 2008 R2 的bitlocker HOW to go

自Contoso公司部署了以Windows Server 2008 R2爲平臺的只讀域控制器以後，給廣州辦工做人員帶來的最直接效果就是，計算機的登陸速度變的和總部同樣快，一切在活動目錄裏的應用也都跟着變快了。可是各類安全問題也接踵而至，好比只讀域控制器的就放在辦公室，很容易被偷盜，並且只讀域控制器上還充當文件服務器使用，存放着公司的一些重要的敏感信息，這些信息存儲在未加密的邏輯卷中，能夠被垂手可得的提取出來。正當小趙爲只讀域控制器的安全問題愁眉苦臉的時候，經理給出瞭解決此問題的關鍵：Bitlocker 卷級數據加密。  

1、        Bitlocker驅動器加密概述

 1.    什麼是Bitlocker

Bitlocker是微軟在Windows Vista和Windows Server 2008 加入的卷級數據加密技術。它能夠有效的幫助企業和我的用戶對存儲設備中數據進行安全的保護。

 2.    什麼是卷

 爲何說是卷級加密技術呢，先從卷的概念提及。下面一段關於卷的解釋引自Byron Hynes的【安全性: 使用 BitLocker 驅動器加密以保護數據的密鑰】 

卷是由一個或多個分區組成的邏輯結構，而且由「卷管理器」的Windows組件所定義。除了卷管理器和啓動組件，其餘Windows組件和應用程序都是使用卷，而非分區。在 Windows 客戶端操做系統環境下，包括 Windows Vista 在內，分區和卷一般具備一對一的關係。而在服務器中，一個卷一般由多個分區組成，好比典型的 RAID 配置。

這裏特別要指出的就是在Windows Server 2008之後服務器操做系統中，卷已經再也不是指單純的一個分區，在RAID配置中，多個分區合起來才被叫作卷。而Bitlocker 就能夠爲這樣的RAID捲進行加密。不一樣於EFS和RMS的文件級加密，Bitlocker是爲保護捲上的全部數據而設計的，而且不須要管理員進行大量的配置。整卷加密也能夠有效的防止離線***，就是繞過操做系統和NTFS權限控制而直接讀取硬盤數據的手段。

 3.    如何加密數據

 Bitlocker默認會使用含擴散器的128bit-AES算法加密數據，而且能夠經過組策略將密鑰擴充至256bit。

 注意：擴散器簡單描述就是能夠確保即便是對明文的細微更改都會致使整個扇區的加密密文發生變化。

 4.    系統完整性檢查

 Bitlocker經過TPM 1.2（Trusted Platform Module）芯片來檢查啓動組件和啓動文件的狀態，例如BIOS、MBR主引導記錄及NTFS扇區。若是啓動文件被修改，Bitlocker會鎖定驅動器，而且進入恢復模式，能夠經過一個48位的密碼或者存儲在智能卡上的密鑰來解鎖被加密的驅動器。

 注意：經過智能卡解鎖服務器的時候，硬件須要支持大容量USB存儲設備。

  2、        Windows Vista 和Windows 7 Bitlocker特性對比

 1.     在Windows Vista中啓用系統完整性檢查，Bitlocker 1.0版要求須要有一個獨立的，至少1.5GB的分區用來存放啓動文件，好比bootmgr。而在RTM版的Windows 7中，若是是從新分區安裝操做系統，按照微軟提出的分區建議，在採用多操做系統(Windows Vista 和Windows 7)，啓用Bitlocker和Windows Recovery Environment時，系統會自動建立至少100M的分區空間來存放啓動文件和相關組件。這也是爲何許多從新安裝了Windows 7的用戶，會多出一個100M的分區的緣由。

 2.     在Windows Vista中，Bitlocker提供了有限的恢復功能，全部的恢復機制都基於一個48位的恢復密碼，用戶可使用它來恢復被鎖定加密的信息。若是存在於域中，還能夠經過組策略保存全部啓用了Bitlocker的計算機的恢復信息。這些信息會與計算機帳號綁定。Windows 7爲Bitlocker加入了新的組策略機制：Bitlocker數據恢復代理。它與EFS恢復代理相似，持有恢復代理證書的用戶便可解密域中全部使用Bitlocker加密的數據。

 3.     與Windows Vista只能加密NTFS的本地驅動器不一樣，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系統的移動存儲設備，而且在使用Bitlocker to GO加密時候，會向設備中複製一個BitlockertoGO.exe的工具，這個工具是Bitlocker reader工具，它能夠幫助用戶在Windows Vista和Windows XP上解鎖設備，但只能使用恢復密鑰的方式，不能使用智能卡。

 注意：當時用BitlockertoGO工具解鎖移動設備後，只有Windows 7企業版或旗艦版和Windows Server 2008 R2才能修改和寫入數據。Windows Vista 或Windows XP只能將數據複製到本地磁盤才能修改數據，但沒法寫入到移動設備中。

  3、        Bitlocker使用方法簡介

 在Windows Server 2008 R2中，Bitlocker默認不安裝，用戶須要手工在功能中添加。依次打開【服務器管理器】—【功能】—【添加功能】，選中【Bitlocker驅動器加密】安裝後須要重啓計算機。

 重啓計算機後，在【控制面板】—【系統和安全】—【Bitlocker驅動器加密】中便可看到該計算機中已存在能夠啓用Bitlocker的驅動器信息。如圖1

 

 圖1

 圖1中有一個已經進行過Bitlocker加密的驅動器E:。點擊【管理Bitlocker】，能夠對該驅動器的Bitlocker選項進行設置，包括更改加密密碼，添加智能卡解鎖方式等等。如圖2

 

 圖2

 下面，我將對操做系統分區C盤進行Bitlocker加密，試驗恢復效果。

 點擊C:後面的【啓用Bitlocker】，彈出警告，點擊【是】。如圖3

 

 圖3

 圖4爲正在驗證計算機是否符合加密條件，主要是檢測TPM1.2芯片的狀態。

 

 圖4

 在彈出警告，提示須要備份重要數據，而且加密速度取決於驅動器的大小和碎片條件，如圖5

 

 圖5

 而後Bitlocker開始準備加密過程，準備好後，會提示恢復密鑰的存儲位置，如圖6

 

 圖6

 我選擇將恢復密鑰保存在USB閃存中，系統會自動檢測出USB設備。如圖7

 

 圖7

 保存恢復密鑰後，點擊【啓動加密】即開始加密過程。如圖8

 

 圖8

 加密完成，能夠看到C盤上已經加上了一個小鎖，表示已經被Bitlocker加密。同時，會比通常驅動器加密多出一個【掛起保護的選項】，主要用於在升級BIOS、硬件或者操做系統時，取消數據保護。在存儲恢復密鑰的USB閃存中，除了正常的恢復密鑰文件，還會有一個以計算機名命名的.TPM文件，這個文件保存 TPM 全部者密碼的哈希值。如圖9

 圖9

 Bitlocker to GO和Bitlocker的使用方式相似，這裏不在描述。  

通過這麼一番折騰，小趙使用Bitlocker將Windows Server 2008 R2的只讀域控制器緊緊的保護起來，不再用擔憂各類安全隱患對公司敏感數據帶來的威脅。數據安全性的提升，讓小趙的耳根子清淨了一陣，不過最近廣州辦的人員又開始抱怨不少存儲在公司總部文件服務器上的文件訪問速度太慢，讓小趙想辦法。下一篇，我將展現branch cache是如何提高總部與分支機構之間的遠程網絡辦公性能的。