操作系统的安全泛泛而谈其实包括两个方面的内容,分别为操作系统本身的安全与操作系统上数据的安全。在Windows7种,通过UAC控制机制、系统备份与还原等措施在很大程度上提高了操作系统的安全性与稳定性。那么我们不仅问,Windows7 在数据安全的保护是是否也有新举措呢?这个答案是让人兴奋的。在Windows7 中,其提出了一种新的数据保护机制,即BitLocker。这个工具可以为企业信息文件的安全保驾护航。
如上图所示,就是启动BitLocker驱动器的界面。默认情况下,Window操作系统是不启动这个BitLocker功能的。如果企业对于数据文件的安全性要求比较高,则可以视情况来启动这个功能。那么这个功能到底有什么特色呢?其使用起来又有什么限制呢?笔者今天就为大家来解开这个谜题。
一、BitLocker与EFS加密机制的不同。
以前用过Windows操作系统的人一定了解,从2000操作系统开始,微软就在操作系统上实现了一种叫做NTFS的文件格式。这个文件格式根FAT32文件格式相比,相对来说比较安全与稳定一点。而且在这个分区格式上,微软还实现了很多让人欣喜的功能。其中EFS文件加密机制就是其中的一种。那么这个EFS文件加密机制与这个BitLocker有什么联系呢?又会有什么不同?
首先值得肯定的是,这两种技术都是很好的文件保护机制,能够在很大程度上保障数据文件的安全。不过他们有一个很大的差异,即EFS是针对特定的文件或者文件夹来进行加密的。而BitLocker则是针对整个驱动器来进行加密。也就是说,采用EFS技术的话,用户可以有选择的对一些重要的文件或者文件夹进行加密。而如果采用BitLocker的话,用户没有这个选择权。其要么对某个驱动器的所有文件夹进行加密,要么就全部不加密。这是这两种文件加密机制的主要差异。
不过他们也有很大的共同点。如无论是EFS加密系统,还是BitLocker保护机制,对于终端用户来说都是透明的。这个主要体现在如下几个方面。首先只要是合法的用户,其在访问数据的时候,是感受不到这种保护措施存在的,无论是对数据进行加密或者解密的过程,都是在后台完成,不需要用户干预。如只要在驱动器上实现了BitLocker技术,则当用户往这个驱动器中保存文件时,操作系统会自动对其加密。当下次访问时,操作系统也会自动对其进行解密。其次,如果其他非首选用户试图访问加密过的数据时,则其就会受到“访问拒绝”的错误提示。无论是EFS加密系统,还是BitLocker保护机制,其能够很好的保护用户的非授权访问。第三,他们的用户验证过程都是在登陆Windows操作系统是完成的。也就是说,他们的密钥是直接跟操作系统的帐户挂钩的。为此如果用户非法的将文件复制到其他主机上,如果没有主人用户的授权(证书),那么其他非法用户即使有了这些文件,那么他们也是无法打开的。
可见EFS与这个BitLocker保护机制具有很多的相同地方。那么为什么微软还要费力气开发这个BitLocker文件加密保护机制呢?这主要是因为这个保护机制还是有其自身很多特点的。而这些特点在某些程度上又弥补了EFS文件加密系统的不足。
二、BitLocker更方便共享。
如果某个文件夹中的文件采用了EFS加密系统加密,那么这个文件要在网络上共享是比较麻烦的。如系统管理员往往要将某个用户的证书导入到另外一个用户的操作系统,或者其他类似的手段才可以实现这文件的共享。不过如果采用BitLocker保护机制的话,则在这个文件共享上面会更加的方便。
当用户将文件保存到采用BitLocker机制的驱动器之后,系统会自动对其进行加密。但是如果用户将这个加密后的文件复制到其他没有采用BitLocker技术的驱动器中,会出现什么情况呢?此时文件会被自动解密。此时其他用户只要具有相关的权限,就可以随意的阅读。不过前提是这个复制文件的用户其具有解密的权限。到这里为止跟EFS的文件加密系统处理方法还是类似的。不过在这文件共享上双方还是有很大的不同。假设现在用户要将某个采用BitLocker加密机制加密过的文件,通过网络共享给其他的用户。此时操作系统会如何处理呢?首先需要明确的是,只要这个共享的文件仍然在这个受保护的驱动器上,那么这个文件仍然是以加密的形态保存的,操作系统不会对其解密。其次只要这个用户允许其他用户访问这个共享文件(通过授权认证来实现),那么其他用户就可以访问这个文件。而不需要像EFS加密文件系统那样,手工给其他用户导入证书等等。也就是说,在BitLocker保护机制下,这个认证授权过程对用户来说是透明的。这是BitLocker与EFS文件加密系统相比,最大的改善之一。
三、对操作系统分区的特殊保护。
EFS加密文件系统将系统文件与普通的用户文件是同等对待的。但是,BitLocker保护机制中,则对其采用了专门的保护措施,可以在最大程度上保护系统文件的安全。只要系统管理员利用BitLocker技术对系统分区进行了加密,则在操作系统启动后系统就会一直监视计算机,如会监视磁盘错误、Bios的更改、启动配置文件的更改等等,并可以防止由此带来的安全风险。如果操作系统检测到以上的这些错误,则BitLocker会自动的将这个磁盘驱动器锁住。此时系统管理员需要利用预先设置的一个密钥来解锁这个驱动器。通过这种措施可以防止操作系统的文件以及配置文件在系统管理员不知觉的情况下被修改。这对于防止木马、病毒、恶意程序等等对操作系统的破坏很有作用。
不过在对操作系统采用这个保护机制的时候,需要注意两点。首先在首次对系统分区采用加密保护机制时,需要创建一个解锁密码。否则的话,当操作系统因为遭受可疑的工具而被锁住驱动器时,系统管理员就无法对其进行解锁。而这驱动器中的文件也将无法访问。所以说,在各驱动器启用这个保护机制时,别忘了设置一个解锁的密码。其次,如果用户的电脑中安装了TPM芯片时,则可以将这个密码存储在这个芯片上。当遇到系统分区被锁住时,BitLocker就会像这块芯片所要密码进行解锁。如果将Windows7操作系统作为服务器来使用,则为这个服务器配置一块TPM芯片并在系统分区上启用BitLocker保护机制,能够在很大程度上保障服务器系统的安全与稳定型。从这也可以看出,微软在服务器的安全与稳定性方面,一直在不断的改进。
另外如果采用EFS加密文件系统的话,只要攻击者知道了帐户与密码,则其可以登陆到操作系统。此时EFS加密文件的保护机制就失去了作用。不过BitLocker在这方面也有所改善。即使攻击者知道了用户的帐户与密码,其仍然可以采取措施来保护系统文件,即BitLocker会监测系统文件的更改。如果其发现这个更改会给操作系统带来安全上的风险时,就会采取措施拒绝其更改。到目前为止,这是EFS文件加密系统所不能够实现的功能。
可见EFS加密系统与BitLocker加密机制在实现细节上还有很大的不同。BitLocker主要在对系统分区的保护上有比较独特的表现。而且其在共享文件的管理上也更加的方便。