对 BitLocker™ 驱动器加密的简要技术概述
数据恢复急救中心
2008-2-16 20:48:50
1. 摘要
本文提供了对 BitLocker™ 驱动器加密的简要技术概述,BitLocker™ 驱动器加密是 Microsoft Windows Vista™ 中新增的一种令人兴奋的数据保护功能。本文的主要目的是使那些想要了解 BitLocker 驱动器加密实质以及它如何解决日趋凸显的数据保护问题(例如,由于计算机的物理丢失或被盗而造成的机密信息的恶意泄漏)的高级用户和 IT 管理员能够对该功能的生命周期有一个深入认识。
本文假设读者已了解“受信平台模块”(TPM) 技术。有关 TPM 技术的背景信息,请参阅 http://www.trustedcomputinggroup.org/ 网站上提供的详细说明和资料。
2. 概述
BitLocker™ 驱动器加密是在用于客户端计算机的 Windows Vista 企业版和终极版中以及在 Windows 服务器“Longhorn”中提供的一种数据保护功能。BitLocker 是 Microsoft 对我们首要客户要求之一的应对方案,这个要求就是:在 Windows 操作系统中利用紧密集成的解决方案来摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的真正威胁。
BitLocker 可防止窃贼通过引导另一个操作系统或运行软件黑客工具来破坏 Windows Vista 文件和系统防护或脱机查看存储在受保护驱动器上的文件。
该 功能在理想状态下会使用“受信平台模块”(TPM 1.2) 来保护用户数据,并确保运行 Windows Vista 的 PC 在系统脱机时不被篡改。在淘汰处理 PC 资产时,如果系统丢失或被盗且安全数据被删除,BitLocker 可为流动型和办公室两种企业信息工作人员提供增强的数据保护。
BitLocker 通过将两个主要子功能(完整的驱动器加密和对早期引导组件的完整性检查)相结合来增强数据保护。
驱动器加密可通过防止未经授权的用户破坏 Windows 文件以及系统对已丢失或被盗计算机的防护来保护数据。该保护通过加密整个 Windows 卷来实现。利用 BitLocker,所有用户和系统文件都可加密,包括交换和休眠文件。
对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密,还可确保加密的驱动器位于原始计算机中。
BitLocker 紧密集成于 Windows Vista 中,为企业提供了无缝、安全和易于管理的数据保护解决方案。例如,BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台,以供用于“实地”数据检索。
通过 BitLocker 还可选择锁定正常的引导过程,直至用户提供 PIN(类似于 ATM 卡 PIN)或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证,并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。
BitLocker 提供了一个用于安装和管理的向导,并通过具备脚本编写支持的 Windows 管理规范 (WMI) 界面提供了可扩展性和可管理性。另外,BitLocker 还通过加速机密数据清理简化了计算机的重复利用。
由 BitLocker 所保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。而且,如果发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起),BitLocker 会提供一个简单而有效的恢复过程。这些场景包括许多事件,例如将含有操作系统卷的硬盘驱动器移动到另一台计算机、更换包含 TPM 的系统主板或早期引导文件发生数据崩溃。
作者: shuju120
原载: 数据恢复急救中心
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。
本文提供了对 BitLocker™ 驱动器加密的简要技术概述,BitLocker™ 驱动器加密是 Microsoft Windows Vista™ 中新增的一种令人兴奋的数据保护功能。本文的主要目的是使那些想要了解 BitLocker 驱动器加密实质以及它如何解决日趋凸显的数据保护问题(例如,由于计算机的物理丢失或被盗而造成的机密信息的恶意泄漏)的高级用户和 IT 管理员能够对该功能的生命周期有一个深入认识。
本文假设读者已了解“受信平台模块”(TPM) 技术。有关 TPM 技术的背景信息,请参阅 http://www.trustedcomputinggroup.org/ 网站上提供的详细说明和资料。
2. 概述
BitLocker™ 驱动器加密是在用于客户端计算机的 Windows Vista 企业版和终极版中以及在 Windows 服务器“Longhorn”中提供的一种数据保护功能。BitLocker 是 Microsoft 对我们首要客户要求之一的应对方案,这个要求就是:在 Windows 操作系统中利用紧密集成的解决方案来摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的真正威胁。
BitLocker 可防止窃贼通过引导另一个操作系统或运行软件黑客工具来破坏 Windows Vista 文件和系统防护或脱机查看存储在受保护驱动器上的文件。
该 功能在理想状态下会使用“受信平台模块”(TPM 1.2) 来保护用户数据,并确保运行 Windows Vista 的 PC 在系统脱机时不被篡改。在淘汰处理 PC 资产时,如果系统丢失或被盗且安全数据被删除,BitLocker 可为流动型和办公室两种企业信息工作人员提供增强的数据保护。
BitLocker 通过将两个主要子功能(完整的驱动器加密和对早期引导组件的完整性检查)相结合来增强数据保护。
驱动器加密可通过防止未经授权的用户破坏 Windows 文件以及系统对已丢失或被盗计算机的防护来保护数据。该保护通过加密整个 Windows 卷来实现。利用 BitLocker,所有用户和系统文件都可加密,包括交换和休眠文件。
对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密,还可确保加密的驱动器位于原始计算机中。
BitLocker 紧密集成于 Windows Vista 中,为企业提供了无缝、安全和易于管理的数据保护解决方案。例如,BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台,以供用于“实地”数据检索。
通过 BitLocker 还可选择锁定正常的引导过程,直至用户提供 PIN(类似于 ATM 卡 PIN)或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证,并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。
BitLocker 提供了一个用于安装和管理的向导,并通过具备脚本编写支持的 Windows 管理规范 (WMI) 界面提供了可扩展性和可管理性。另外,BitLocker 还通过加速机密数据清理简化了计算机的重复利用。
由 BitLocker 所保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。而且,如果发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起),BitLocker 会提供一个简单而有效的恢复过程。这些场景包括许多事件,例如将含有操作系统卷的硬盘驱动器移动到另一台计算机、更换包含 TPM 的系统主板或早期引导文件发生数据崩溃。
作者: shuju120
原载: 数据恢复急救中心
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。
责任编辑:
参与评论
广告位招租,广告代号:GGAD