Windows Server 2008 R2 的bitlocker HOW to go

自Contoso公司部署了以Windows Server 2008 R2为平台的只读域控制器以后，给广州办工做人员带来的最直接效果就是，计算机的登陆速度变的和总部同样快，一切在活动目录里的应用也都跟着变快了。可是各类安全问题也接踵而至，好比只读域控制器的就放在办公室，很容易被偷盗，并且只读域控制器上还充当文件服务器使用，存放着公司的一些重要的敏感信息，这些信息存储在未加密的逻辑卷中，能够被垂手可得的提取出来。正当小赵为只读域控制器的安全问题愁眉苦脸的时候，经理给出了解决此问题的关键：Bitlocker 卷级数据加密。  

1、        Bitlocker驱动器加密概述

 1.    什么是Bitlocker

Bitlocker是微软在Windows Vista和Windows Server 2008 加入的卷级数据加密技术。它能够有效的帮助企业和我的用户对存储设备中数据进行安全的保护。

 2.    什么是卷

 为何说是卷级加密技术呢，先从卷的概念提及。下面一段关于卷的解释引自Byron Hynes的【安全性: 使用 BitLocker 驱动器加密以保护数据的密钥】 

卷是由一个或多个分区组成的逻辑结构，而且由“卷管理器”的Windows组件所定义。除了卷管理器和启动组件，其余Windows组件和应用程序都是使用卷，而非分区。在 Windows 客户端操做系统环境下，包括 Windows Vista 在内，分区和卷一般具备一对一的关系。而在服务器中，一个卷一般由多个分区组成，好比典型的 RAID 配置。

这里特别要指出的就是在Windows Server 2008之后服务器操做系统中，卷已经再也不是指单纯的一个分区，在RAID配置中，多个分区合起来才被叫作卷。而Bitlocker 就能够为这样的RAID卷进行加密。不一样于EFS和RMS的文件级加密，Bitlocker是为保护卷上的全部数据而设计的，而且不须要管理员进行大量的配置。整卷加密也能够有效的防止离线***，就是绕过操做系统和NTFS权限控制而直接读取硬盘数据的手段。

 3.    如何加密数据

 Bitlocker默认会使用含扩散器的128bit-AES算法加密数据，而且能够经过组策略将密钥扩充至256bit。

 注意：扩散器简单描述就是能够确保即便是对明文的细微更改都会致使整个扇区的加密密文发生变化。

 4.    系统完整性检查

 Bitlocker经过TPM 1.2（Trusted Platform Module）芯片来检查启动组件和启动文件的状态，例如BIOS、MBR主引导记录及NTFS扇区。若是启动文件被修改，Bitlocker会锁定驱动器，而且进入恢复模式，能够经过一个48位的密码或者存储在智能卡上的密钥来解锁被加密的驱动器。

 注意：经过智能卡解锁服务器的时候，硬件须要支持大容量USB存储设备。

  2、        Windows Vista 和Windows 7 Bitlocker特性对比

 1.     在Windows Vista中启用系统完整性检查，Bitlocker 1.0版要求须要有一个独立的，至少1.5GB的分区用来存放启动文件，好比bootmgr。而在RTM版的Windows 7中，若是是从新分区安装操做系统，按照微软提出的分区建议，在采用多操做系统(Windows Vista 和Windows 7)，启用Bitlocker和Windows Recovery Environment时，系统会自动建立至少100M的分区空间来存放启动文件和相关组件。这也是为何许多从新安装了Windows 7的用户，会多出一个100M的分区的缘由。

 2.     在Windows Vista中，Bitlocker提供了有限的恢复功能，全部的恢复机制都基于一个48位的恢复密码，用户可使用它来恢复被锁定加密的信息。若是存在于域中，还能够经过组策略保存全部启用了Bitlocker的计算机的恢复信息。这些信息会与计算机帐号绑定。Windows 7为Bitlocker加入了新的组策略机制：Bitlocker数据恢复代理。它与EFS恢复代理相似，持有恢复代理证书的用户便可解密域中全部使用Bitlocker加密的数据。

 3.     与Windows Vista只能加密NTFS的本地驱动器不一样，Windows 7中的Bitlocker to GO也支持exFAT、FAT16、FAT32文件系统的移动存储设备，而且在使用Bitlocker to GO加密时候，会向设备中复制一个BitlockertoGO.exe的工具，这个工具是Bitlocker reader工具，它能够帮助用户在Windows Vista和Windows XP上解锁设备，但只能使用恢复密钥的方式，不能使用智能卡。

 注意：当时用BitlockertoGO工具解锁移动设备后，只有Windows 7企业版或旗舰版和Windows Server 2008 R2才能修改和写入数据。Windows Vista 或Windows XP只能将数据复制到本地磁盘才能修改数据，但没法写入到移动设备中。

  3、        Bitlocker使用方法简介

 在Windows Server 2008 R2中，Bitlocker默认不安装，用户须要手工在功能中添加。依次打开【服务器管理器】—【功能】—【添加功能】，选中【Bitlocker驱动器加密】安装后须要重启计算机。

 重启计算机后，在【控制面板】—【系统和安全】—【Bitlocker驱动器加密】中便可看到该计算机中已存在能够启用Bitlocker的驱动器信息。如图1

 

 图1

 图1中有一个已经进行过Bitlocker加密的驱动器E:。点击【管理Bitlocker】，能够对该驱动器的Bitlocker选项进行设置，包括更改加密密码，添加智能卡解锁方式等等。如图2

 

 图2

 下面，我将对操做系统分区C盘进行Bitlocker加密，试验恢复效果。

 点击C:后面的【启用Bitlocker】，弹出警告，点击【是】。如图3

 

 图3

 图4为正在验证计算机是否符合加密条件，主要是检测TPM1.2芯片的状态。

 

 图4

 在弹出警告，提示须要备份重要数据，而且加密速度取决于驱动器的大小和碎片条件，如图5

 

 图5

 而后Bitlocker开始准备加密过程，准备好后，会提示恢复密钥的存储位置，如图6

 

 图6

 我选择将恢复密钥保存在USB闪存中，系统会自动检测出USB设备。如图7

 

 图7

 保存恢复密钥后，点击【启动加密】即开始加密过程。如图8

 

 图8

 加密完成，能够看到C盘上已经加上了一个小锁，表示已经被Bitlocker加密。同时，会比通常驱动器加密多出一个【挂起保护的选项】，主要用于在升级BIOS、硬件或者操做系统时，取消数据保护。在存储恢复密钥的USB闪存中，除了正常的恢复密钥文件，还会有一个以计算机名命名的.TPM文件，这个文件保存 TPM 全部者密码的哈希值。如图9

 图9

 Bitlocker to GO和Bitlocker的使用方式相似，这里不在描述。  

通过这么一番折腾，小赵使用Bitlocker将Windows Server 2008 R2的只读域控制器紧紧的保护起来，不再用担忧各类安全隐患对公司敏感数据带来的威胁。数据安全性的提升，让小赵的耳根子清净了一阵，不过最近广州办的人员又开始抱怨不少存储在公司总部文件服务器上的文件访问速度太慢，让小赵想办法。下一篇，我将展现branch cache是如何提高总部与分支机构之间的远程网络办公性能的。