Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client
再来说说这个新的Bitlocker,这个组组件主要是在本地用软硬结合的方式来保护我们硬盘上的数据的。现在电脑的丢失已经是很常见的事情了吧,有时候连放在办公室的电脑有有可能会被偷走就更不要说笔记本电脑和平板电脑了。而如果你的电脑中存放着很敏感的资料,例如你工作单位的一些机密、你的银行账户等等这些如果被不怀好意的人拿到的话后果可能是致命的,不知道大家有没有参加前两天关于这个Bitlocker的Webcast,里面就提到几个案例,因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对手手中而面临倒闭,也有个人资料泄露以后导致隐私被公开或者受到要挟。而Windows XP的账户密码是非常脆弱的,懂一点专业技术的人都能在几分钟之内破解掉它,拿到计算机里面的数据,这种攻击方法称之为离线式攻击,也就是攻击者直接接触你的电脑来实施入侵行为,所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤为重要。Bitlocker也就是在这样一种局面下诞生了,它采用了硬件和软件相结合的方法来保护我们硬盘中的数据。启用了Bitlocker 以后呢会生成两个密钥一个存放于引导分区中,另外一个存放在主板上的一个名叫TPM的芯片里,在计算机加电的时候首先是TPM最先加载,他会和引导区中的密钥进行对比验证,通过了以后才会加载BOIS完成计算机启动过程,而如果这当中任何一个不匹配的话,比如有对这个TPM芯片作了手脚,或者是把硬盘拆下来放到别的机器中。Windows Vista将会拒绝掉密钥的释放,系统将无法启动。这个加密机制我可以毫不夸张地告诉大家,在各位的有生之年是它绝对是安全可靠的,不会被破解掉。当然,对于一些可能存在的事情,比如主板坏啦,或者需要把磁盘移动到一台新的计算机中的时候,Bitlocker也提供了恢复功能,就是在加密的时候Bitlocker会给出一个48位的恢复密钥,要求用户在做加密的时候一定要妥善的保管这个密钥,否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。
再说TPM芯片,这个东西是比较新的一种硬件芯片,在比较新的主板中已经有了,我也在市场上看了一下,发现已经有部分的主板和笔记本电脑都包含了这个芯片,但是包含着个芯片的台式机主板还是比较少,但是在不久这种芯片将会得到普及。那么Bitlocker在没有TPM芯片的电脑中就不能使用了吗? 其实还是可以使用的,只需要一个USB Key就可以了,其实就是一个U盘,相信基本上都有这个东西吧~很方便的东西也很便宜。Vista完全可以用U盘来代替TPM芯片存放密钥。所以说Bitlocker的使用还是比较灵活的,并且在使用的时候不会对系统性能产生影响。
但是Bitlocker只能加密系统分区也就是Windows Vista所在的分区,那么其他分区的数据难道就得不到保护了吗??我们说其他分区的数据也是可以保护的,至于方法就是利用在Windows XP中就已经存在EFS,这个是一种基于用户账户的文件保护机制,也就是说它使用用户的计算机帐户对该用户的数据进行加密,在Windows XP的使用过EFS的用户一定知道,EFS的加密是非常有效的,并且在使用的时候完全没有任何的影响,用户完全感觉不到它的存在,然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯定是不可能的,但是之所以这套加密机制在Windows XP中有如形同虚设的原因就是前面提到的,Windows XP的帐户密码可以在几分钟之内被破解掉,因此EFS也就失去作用了,但是在Windows Vista中有Bitlocker来保护我们的系统分区,也就是等于保护了用户账户,攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS所保护的任何数据了。因此有了这套机制的保护,我们的硬盘就是被FBI拿到,他们拿硬盘中的数据也是没有任何办法的。
在上面标题中我还写了一个RMS client这是干什么的呢?这个RMS呢主要就是针对企业的一个文档权限控制机制,他可以保护从电脑中发布出去的文件的安全,为什么这么说呢,是因为RMS可以非常有效的控制一个文件的使用权限,比如我发了一个Word文档到网络中,那么RMS在这个时候就可以发挥作用了,我完全可以设置这个Word文档可以被什么人打开阅读、可以被什么人修改、什么人不能看也不能修改、什么人可以看几次、什么人可以在什么时间看等等非常详细的权限设置。这对于一个企业网络来说是非常必要的。那么关于这部分的内容还是就到这里暂停了哦~我会在Windows Vista TechView关于Bitlocker的章节中详细的叙述,要期待哦~
最后还有一个东西,大家只需要了解就行。就是全新的加密架构。
Windows Vista用新的加密基础结构代替了现有的CAPI 1.0 API。新的加密结构可以允许客户增加、替换系统中的加密算法,比如你甚至可以把SSL加密算法替换掉。可以在系统中加入自己开发的加密算法。这样就解决一直来困扰很多国家政府机构以及一些企业的忧虑,他们担心使用美国的操作系统会对自己国家的安全构成威胁,因为所使用的加密算法是美国人开发出来的,而现在呢各个国家完全可以自行开发自己的加密算法加入到系统中来,并且删掉原来的那些算法,这样就完全解决了各国政府等对使用美国操作系统的安全顾虑。
到这里本章的内容就已经基本上写完了,感谢大家抽出宝贵的时间来阅读,从文中可以看到这个Windows Vista TechView系列文本可能会有非常多的章节,至于最终会有多还不是很确定,毕竟需要详细描写的东西太多了,Windows Vista的改变完全可以称之为一场翻天覆地的革命,并且目前这个系统还没有发布,今后根据市场、技术或者其他原因在最终发布上市的Windows Vista中可能有些地方会和现在有所不同,因此这个TechView最后会出现多少章节我自己也无法控制。最后还是希望大家能从中获益,同时也非常感谢大家的阅读。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
