BitLocker概念.docx
《BitLocker概念.docx》由会员分享,可在线阅读,更多相关《BitLocker概念.docx(15页珍藏版)》请在冰豆网上搜索。
BitLocker概念
BitLocker概念
BitLocker通过组合两个主要的数据保护步骤帮助防止对已丢失或已盗计算机上的数据进行XX的访问:
∙加密硬盘上的整个Windows操作系统卷。
∙验证早期启动组件和启动配置数据的完整性。
∙BitLocker的最安全实现利用了受信任的平台模块(TPM) 1.2版的增强安全功能。
TPM是计算机制造商在很多较新的计算机上安装的硬件组件。
它与BitLocker结合使用可以帮助保护用户数据,并且确保当此系统脱机时,运行Windows Vista的计算机不会被篡改。
∙此外,BitLocker还提供锁定正常启动过程的选项,直到用户提供个人标识号(PIN)或插入包含启动密钥的可移动USB设备(如闪存驱动器)。
这些附加的安全措施提供多重身份验证,保证在提供正确的PIN或启动密钥之前,计算机不会启动或从休眠中恢复。
在没有TPM 1.2版的计算机上,仍然可以使用BitLocker加密Windows操作系统卷。
但是,实现此功能将要求用户插入USB启动密钥来启动计算机或从休眠中恢复,而不提供BitLocker与TPM结合使用所提供的预启动系统完整性验证。
脱机数据增强
当系统脱机时,BitLocker通过以下方法帮助保护数据:
∙加密整个Windows操作系统卷,包括用户数据和系统文件、休眠文件、页面文件以及临时文件。
∙为非Microsoft应用程序提供保护伞,当安装在已加密的卷上时会自动受益。
系统完整性验证
BitLocker使用TPM验证早期启动组件和启动配置数据的完整性。
这有助于确保仅在这些组件尚未被篡改,并且已加密的驱动器位于原始计算机中时,BitLocker才能使已加密的卷可以访问。
BitLocker通过以下方法帮助确保启动过程的完整性:
∙提供一种方法,用于检查是否已保持早期启动文件的完整性,并且帮助确保尚未对这些文件进行对抗性修改,如引导扇区病毒或rootkit。
∙增强保护以减少基于脱机软件的攻击。
可能启动系统的任何其他软件都没有权限访问Windows操作系统卷的解密密钥。
∙当被篡改时锁定系统。
如果任何监视的文件已被篡改,则系统不会启动。
由于系统无法正常启动,因此这可以警告用户有人篡改。
如果发生系统锁定,BitLocker可以提供一个简单的恢复过程。
BitLocker优势
BitLocker的优势包括增强易用性、企业实现以及计算机解除授权或回收。
易用性
在日常使用中,实际上BitLocker保护对用户来说是透明的。
如果发生系统锁定(例如,由于硬件故障、硬件更改或尝试利用安全漏洞),BitLocker会提供一个简单有效的恢复过程。
企业实现
BitLocker紧密集成到Windows Vista中,为企业提供无缝且易于管理的数据保护解决方案。
例如,BitLocker可以利用企业现有的ActiveDirectory(R)域服务(AD DS)基础结构远程托管恢复密钥。
BitLocker提供一个用于设置和管理的向导,并且通过支持脚本的WindowsManagementInstrumentation(WMI)接口提供可扩展性和可管理性。
BitLocker具有一个已集成到早期启动过程中的恢复控制台,能够使用户或支持人员重新获得对锁定计算机的访问权限。
有关为BitLocker编写脚本的详细信息,请参阅Win32_EncryptableVolume()(可能为英文网页)。
计算机解除授权或回收
BitLocker简化了对计算机进行解除授权或回收的过程。
通过删除访问卷所需的BitLocker密钥,可以使加密卷中的数据不可访问。
BitLocker安全注意事项
由于安全性是管理风险的过程,因此重要的是明白BitLocker无法使计算机防护所有可能的攻击。
例如,如果恶意用户或程序(如病毒或rootkit)在计算机丢失或被盗之前就具有对该计算机的访问权限,则他们可能通过访问加密的数据并由此引入漏洞。
如果USB启动密钥保留在计算机中,或者PIN或Windows登录密码没有保密,则BitLocker保护可能也不起作用。
仅TPM身份验证模式(即没有启动密钥或PIN)提供最透明的组织用户体验,而这需要基线级别的数据保护以符合安全策略。
仅TPM模式最容易部署、管理和使用。
这更适合于无人参与的计算机或必须在无人参与时重新启动的计算机。
但是,仅TPM模式提供最少量的数据保护。
该模式防护某些修改早期启动组件的攻击,但是防护级别受操作系统、硬件或BIOS中的潜在安全漏洞的影响。
添加PIN或USB启动密钥可以帮助减少很多此类攻击。
如果您组织的几个部分在移动计算机上具有认为非常敏感的数据,则考虑在这些计算机上部署具有多重身份验证的BitLocker。
有关BitLocker安全注意事项的详细信息,请参阅用于移动PC的数据加密工具包()(可能为英文网页)。
硬件、固件和软件要求
若要使用BitLocker,计算机必须符合BitLockerWindows Vista徽标要求指定的某些要求。
∙若要使BitLocker利用TPM提供的系统完整性检查,计算机必须具有TPM1.2版。
如果您的计算机没有TPM,则启用BitLocker将要求您将启动密钥保存在可移动USB设备(如闪存驱动器)上。
有关在非TPM计算机上使用BitLocker的详细信息,请参阅仅启动密钥方案(无TPM)。
∙具有TPM的计算机还必须具有符合受信任计算组(TCG)的BIOS。
BIOS为预操作系统启动建立了一个信任链,并且必须包括对指定的TCG信任度量静态根的支持。
没有TPM的计算机不需要符合TCG的BIOS。
∙系统BIOS(对于TPM和非TPM计算机)必须支持USB海量存储设备类别,包括读取预操作系统环境中USB闪存驱动器上的小文件。
有关USB的详细信息,请参阅USB网站上的“仅USB海量存储”和“海量存储UFI命令”规范()(可能为英文网页)。
∙必须至少将硬盘分区为两个卷:
o操作系统卷(或启动卷)包含Windows Vista操作系统及其支持文件;必须使用NTFS文件系统对其进行格式化。
在此卷上启用BitLocker。
o系统卷包含BIOS已启动平台之后加载Windows所需的文件。
在此卷上不启用BitLocker。
若要使BitLocker起作用,请不要对系统卷进行加密,必须区别于操作系统卷,并且必须使用NTFS文件系统对其进行格式化。
系统卷应该至少为1.5千兆字节(GB)。
BitLocker体系结构
BitLocker有助于在计算机脱机时防止对硬盘的操作系统卷进行XX的访问。
为了实现该功能,BitLocker使用全卷加密和TPM提供的安全增强。
在具有TPM的计算机上,BitLocker还支持多重身份验证。
BitLocker使用TPM对早期启动的关键组件执行系统完整性检查。
TPM收集和存储多个早期启动组件以及启动配置数据的度量以为该计算机创建系统标识符,就像指纹。
如果早期启动组件发生更改或被篡改,如更改BIOS、更改主启动记录(MBR)或将硬盘移动到另一台计算机,则TPM防止BitLocker对加密卷和进入恢复模式的计算机进行解锁。
如果TPM验证系统完整性,则BitLocker对受保护的卷进行解锁。
然后启动操作系统,系统保护便成为用户和操作系统的职责。
图 1显示了如何用全卷加密密钥对受BitLocker保护的卷进行加密,而又如何用卷主密钥对全卷加密密钥进行加密。
保证卷主密钥的安全是保护卷上数据的间接方法:
添加卷主密钥允许在信任链中的密钥上游丢失或损坏时,轻松对系统执行密钥更新操作。
这种密钥更新系统的功能使您无需再次解密和加密整个卷。
BitLocker对受保护的操作系统卷的访问进行身份验证之后,当将数据写入受保护的卷或从受保护的卷中读取数据时,Windows Vista文件系统堆栈中的筛选器驱动程序对磁盘扇区透明地进行加密和解密。
当计算机休眠时,休眠文件以加密形式保存到受保护的卷。
当计算机从休眠中恢复时,对加密的休眠文件进行解密。
在设置期间BitLocker加密受保护的卷,通常加密和解密对日常系统性能的影响非常微小。
如果临时禁用BitLocker(例如,要更新BIOS),则操作系统卷仍然保持加密,但会用以未加密形式存储在硬盘上的“明文密钥”对卷主密钥进行加密。
使用此未加密的密钥会禁用BitLocker提供的数据保护。
当重新启用BitLocker时,将从磁盘中删除未加密的密钥,对卷主密钥再次执行设置密钥和加密操作,BitLocker保护恢复。
IT管理员可以通过BitLocker设置向导本地配置BitLocker,或借助Windows Vista操作系统的Win32_EncryptableVolumeWMI提供程序提供的界面进行本地和远程配置。
界面包括对卷开始、暂停和恢复加密以及配置如何保护卷的管理功能。
管理脚本(manage-bde.wsf),可用于Windows Vista和WindowsServer 2008,它为IT管理员提供一个管理和检查BitLocker状态的简单命令行界面。
该脚本是在可用的WMI提供程序的基础上编写的,可以对其进行修改,帮助构建自定义的解决方案以满足不同企业管理的需求。
有关BitLocker驱动器加密驱动程序的详细信息,请参阅(可能为英文网页)。
体系结构图表
图 2显示了整个BitLocker体系结构,包括它的各种子组件。
它显示了BitLocker的用户模式和内核模式组件,包括TPM以及它们与不同层的操作系统集成的方式。
按启动顺序的身份验证模式
根据计算机的硬件功能以及所需的安全级别,BitLocker支持四种不同的身份验证模式:
∙具有TPM的BitLocker(无其他身份验证因子)
∙具有TPM和PIN的BitLocker
∙具有TPM和USB启动密钥的BitLocker
∙没有TPM的BitLocker(需要USB启动密钥)
每次启用BitLocker启动Windows Vista时,启动代码在卷保护集的基础上执行一系列步骤。
这些步骤包括系统完整性检查和其他身份验证步骤(PIN或USB启动密钥),解锁受保护的卷之前必须对其进行验证。
为了进行恢复,BitLocker使用恢复密钥(存储在USB设备上)或恢复密码(数字密码),如图 1中所示。
在初始化BitLocker期间,创建恢复密钥或恢复密码。
如果尝试违反安全性或系统出现故障,则插入恢复密钥或键入恢复密码能够使已授权的用户重新获得对加密卷的访问权限。
BitLocker按照以下顺序搜索密钥:
1.明文密钥:
系统完整性验证已被禁用,并且BitLocker卷主密钥可以自由访问。
不必进行身份验证。
2.恢复密钥或启动密钥(如果存在):
如果存在恢复密钥或启动密钥,则BitLocker将立即使用该密钥,不尝试采用其他方式对卷进行解锁。
3.身份验证
1.TPM:
TPM成功验证早期启动组件以对卷主密钥进行解封。
2.TPM+启动密钥:
TPM成功验证早期启动组件和包含已插入的正确启动密钥的USB闪存驱动器。
3.TPM+PIN:
TPM成功验证早期启动组件以及用户是否输入了正确的PIN。
4.恢复
1.恢复密码:
用户必须输入正确的恢复密码。
2.恢复密钥:
如果上面的步骤均未成功对驱动器进行解锁,则会提示用户插入包含恢复密钥的USB闪存驱动器,然后重新启动计算机。
BitLocker生命周期
如图3所示,在BitLocker生命周期中有四个主要的阶段。
这些阶段包括安装、初始化、日常使用和计算机解除授权或回收。
1.安装:
BitLocker作为Windows Vista的一部分安装或作为WindowsServer 2008的选项添加。
2.初始化:
初始化并启用BitLocker。
3.日常使用:
在日常情况下使用计算机。
BitLocker在初始化期间所选身份验证选项的基础上提供保护级别。
4.计算机解除授权和回收:
需要对启用BitLocker的计算机解除授权或回收。
下列各部分描述了上述每个阶段。
有关详细的体系结构图表,请参阅体系结构图表。
安装
对于WindowsVistaEnterprise和WindowsVistaUltimate,BitLocker自动作为操作系统安装的一部分安装。
但是,BitLocker无法启用直到使用BitLocker控制面板打开为止。
初始化
在安装和进行初始操作系统设置之后的任何时间,系统管理员可以使用Windows Vista中的“控制面板”初始化BitLocker。
在初始化的过程中有两个步骤:
1.在具有TPM的计算机上,通过使用TPM初始化向导、BitLocker控制面板或通过运行专门设计为对其进行初始化的脚本来初始化TPM。
通过TPM管理控制台向导可以访问TPM初始化向导,该向导是从BitLocker控制面板中某个链接启动的。
如有必要,打开BitLocker控制面板将自动启动TPM初始化。
也支持TPM的远程初始化。
尽管通常需要现场操作才能初始化计算机的TPM,但是如果提供的计算机已经打开TPM,则不需要现场操作。
BitLocker的TPM服务组件包括允许对初始化步骤(包括设置所有者和创建TPM管理密码)编写脚本的管理API。
2.设置BitLocker。
从Windows Vista“控制面板”中访问BitLocker设置向导,该向导将指导您完成设置并提供高级身份验证选项。
1.
注意
当本地管理员初始化BitLocker时,管理员还应该创建恢复密码或恢复密钥。
如果没有恢复密钥或恢复密码,则加密驱动器上的所有数据将不可访问,并且当操作系统卷出现问题时这些数据将不可恢复。
必须由计算机上本地Administrators组的成员执行BitLocker和TPM初始化。
非管理员用户可以从BitLocker数据保护中获益,但无法启用或禁用它。
有关在Windows Vista上配置和部署BitLocker的详细信息,请参阅WindowsBitLocker驱动器加密循序渐进指南()(可能为英文网页)。
日常使用
已初始化BitLocker并对卷进行加密之后,仅当用户在进行身份验证和执行临时管理任务期间才会遇到它。
根据计算机的硬件功能以及所需的安全级别,BitLocker支持四种不同的身份验证模式:
∙具有TPM的BitLocker
∙具有TPM和PIN的BitLocker
∙具有TPM和USB启动密钥的BitLocker
∙没有TPM的BitLocker(需要USB启动密钥)
对于只依赖于TPM进行身份验证,而没有其他BitLocker身份验证方法的启用BitLocker的计算机,可以像使用其他任何计算机一样使用该计算机。
用户启动Windows并且提示用户提供他们的用户名和密码,这是正常的登录体验。
除非非常了解BitLocker,否则用户可能不会注意他们的计算机包含额外级别的数据保护。
如果出于增强安全的考虑配置了BitLocker,则需要用户输入PIN或插入USB启动密钥才能启动Windows Vista。
在这种情况下,修改正常的启动流程或恢复流程以提示其他身份验证方法。
有关BitLocker身份验证模式的详细信息,请参阅WindowsBitLocker驱动器加密循序渐进指南()(可能为英文网页)。
仅TPM方案
在这种方案中,在具有TPM的计算机上启用BitLocker,但尚不启用其他身份验证方法。
将硬盘分区为两个卷:
1.系统卷
2.Windows Vista操作系统卷
如图4所示,BitLocker用全卷加密密钥对操作系统卷进行加密。
用卷主密钥对该密钥本身进行加密,反过来由TPM对卷主密钥进行加密。
本地管理员可以通过使用Windows Vista“控制面板”中的“安全”项目启用或禁用该方案。
关闭BitLocker会对卷进行解密并删除所有密钥。
之后再打开BitLocker会创建新的密钥。
注意
当本地管理员打开BitLocker时,管理员还应该创建恢复密码或恢复密钥。
如果没有恢复密钥或恢复密码,则加密驱动器上的所有数据将不可访问,并且当操作系统卷出现问题时这些数据将不可恢复。
增强身份验证方案
这些方案向以前描述的基本方案中添加其他身份验证方法。
如图 5所示,使用具有TPM的计算机上的BitLocker提供两个多重身份验证选项:
∙TPM和PIN(系统完整性检查和用户了解的某些内容)
∙TPM和存储在USB闪存驱动器上的启动密钥(系统完整性检查和用户了解的某些内容)
这些方案的优势在于并不是所有的密钥资料都存储在本地计算机上。
PIN身份验证
在这种方案中,管理员在初始化BitLocker期间设置数字PIN。
BitLocker使用SHA-256哈希PIN,并将前160位哈希用作授权数据发送到TPM以对卷主密钥进行密封。
现在卷主密钥同时受到TPM和PIN的保护。
若要解封卷主密钥,每次计算机启动或从休眠中恢复时都需要用户输入PIN。
备注
若要在服务器上实现,启用PIN功能可能不会令人满意,因为启动速度或无法重新启动时的人工干预都会对其产生影响。
启动密钥身份验证
在这种方案中,管理员在初始化BitLocker期间创建启动密钥。
该密钥存储在任何BIOS枚举存储设备(如可插拔的USB闪存驱动器)上,并且用户必须在每次计算机启动或从休眠中恢复时插入该设备。
必须将包含启动密钥的USB闪存驱动器插入到通过打开电源启动的计算机中,加载Windows之后应该将其移除。
仅启动密钥方案(无TPM)
在这种方案中,管理员在不包含TPM的计算机上启用BitLocker。
每次计算机启动或从休眠中恢复时该计算机用户都必须插入包含启动密钥的USB闪存驱动器。
备注
使用仅启动密钥方案的系统安全配置文件将与使用TPM的系统安全配置文件不同;在非TPM系统上将不会验证早期启动组件的完整性。
在初始化BitLocker期间,必须通过BitLocker设置向导或通过编写脚本为非TPM计算机创建启动密钥。
BitLocker生成启动密钥,用户插入USB闪存驱动器,然后系统将启动密钥存储在该设备上。
使用BitLocker“控制面板”项目,用户可以创建启动密钥的备份副本。
启动密钥未加密,并以原始二进制数据形式存储在“.bek”文件中。
如果丢失启动密钥,必须使用恢复密钥或恢复密码恢复该卷,并且必须生成新的启动密钥(这个过程将吊销原始启动密钥)。
还必须对使用丢失的启动密钥的所有其他卷执行类似的步骤,以确保丢失的启动密钥不会被XX的用户使用。
管理
管理员可以使用位于Windows Vista“控制面板”的“安全”项目中的BitLocker控制面板管理BitLocker。
IT管理员也可以使用命令行管理工具manage-bde.wsf远程执行编写脚本的功能。
有关在Windows Vista上配置和部署BitLocker的详细信息,请参阅WindowsBitLocker驱动器加密循序渐进指南()(可能为英文网页)。
密钥管理
已经对卷进行加密并且具有BitLocker保护之后,本地和域管理员可以使用BitLocker控制面板中的“管理密钥”页面复制密钥和重置PIN。
BitLocker配置和TPM管理
Windows Vista“控制面板”中的“安全”项目中的BitLocker控制面板显示BitLocker状态并提供启用或禁用BitLocker的功能。
如果由于最近的安装卸载请求BitLocker正在积极地加密或解密,则会显示进度状态。
管理员还可以使用BitLocker控制面板访问TPM管理MMC。
有关详细信息,请参阅初始化。
计算机更新和升级:
禁用BitLocker保护
管理员可能希望在某些情况下临时禁用BitLocker,如:
∙在不需要用户输入(例如,PIN或启动密钥)的情况下,重新启动计算机进行维护。
∙更新BIOS
∙在没有触发BitLocker恢复的情况下升级关键的早期启动组件。
例如:
o安装不同版本的操作系统或另一个操作系统,这可能会更改主启动记录(MBR)。
o对磁盘重新进行分区,这可能会更改分区表。
o执行其他系统任务,这些任务会更改由TPM验证的启动组件。
∙在没有触发BitLocker恢复的情况下,升级主板以更换或移除TPM。
∙在没有触发BitLocker恢复的情况下,关闭(禁用)或清除TPM。
∙在没有触发BitLocker恢复的情况下,将受BitLocker保护的磁盘卷移动到另一台计算机。
这些方案统称为计算机升级方案。
可以通过Windows“控制面板”中的BitLocker项目启用或禁用BitLocker。
升级启用BitLocker的计算机需要执行以下步骤。
1.通过将BitLocker置于禁用模式临时关闭BitLocker。
2.升级系统或BIOS。
3.再次打开BitLocker。
强制BitLocker进入禁用模式将使卷保持加密,但将用存储在硬盘上的未加密对称密钥对卷主密钥进行加密。
使用这个未加密的密钥会禁用由BitLocker提供的数据保护,但会确保随后的计算机启动成功,而无需用户进一步输入。
当重新启动BitLocker时,将从磁盘中删除未加密的密钥,并且再次打开BitLocker保护。
此外,再次对卷主密钥执行设置密钥并加密。
将加密的卷(即物理磁盘)移动到另一台启用BitLocker的计算机不需要任何附加步骤,因为保护卷主密钥的密钥以未加密形式存储在磁盘上。
注意
暴露卷主密钥(即使是短暂的一段时间)也会有安全风险,因为当这些密钥以明文密钥形式暴露时,攻击者可能已经访问了此卷主密钥以及全卷加密密钥。
有关禁用BitLocker的详细信息,请参阅WindowsBitLocker驱动器加密循序渐进指南()(可能为英文网页)。
计算机解除授权和回收
目前,很多个人计算机被该计算机最初所有者或用户之外的人重新使用。
在企业方案中,可能会将计算机重新部署到其他部门,或将计算机保留为公司标准计算机硬件刷新循环的一部分。
在未加密的驱动器上,甚至对驱动器进行格式化之后,数据可能仍然可读。
企业通常利用多次覆盖或物理破坏来减少暴露已解除授权的驱动器上的数据的风险。
BitLocker可以帮助创
升级会员 