直到现在,要想入侵基于Windows的系统依然是很容易的事情。任何人只要使用引导介质,例如Linux Live光盘启动计算机,就可以绕过一些保护机制,例如基于NTFS的EFS(Encrypting File System,加密文件系统),因为EFS并不能加密保存在硬盘上的所有数据。很多预引导以及系统文件,还有临时文件,在这种情况下都可以被访问。在很多情况下,遗失或者被窃的笔记本电脑上的重要数据都没有EFS加密保护。Windows的密码并不足以防止数据在这种情况下被滥用,例如,利用live Linux或XP安装光盘就可以进行滥用。
完备的加密
这种情况促成了Vista的Bitlocker的出现,也就是FVE(Full Volume Encryption,全卷加密)诞生的原因。这个功能可以在磁盘扇区的基础上完全加密操作系统所在的分区(卷),而非以往文件基础上的加密,因此该功能可以保护所有数据,包括分页文件、休眠文件以及所有系统文件。如果来自第三方的应用程序被安装到加密后的硬盘上,Bitlocker也可以保护这些程序的文件。
然而,如果你启用Bitlocker硬盘加密,那么你就必须要接受一个事实,这个功能并不能加密你的整个硬盘。Bitlocker只能加密Windows Vista的安装分区,如果还有一个专门用来存储数据的分区,那么这个分区并不受Bitlocker功能的保护。因为微软认为,如果你有专门的分区来保存数据,那么你应该使用EFS,因为EFS直接受到Bitlocker的保护,因为EFS的密钥是保存在操作系统所在分区的。
Windows Vista Enterprise和Ultimate版会自动安装Bitlocker功能,但是要求硬盘上已经分好了区,而且这个功能还需要被手工激活。其他版本的Vista完全不支持Bitlocker,如果希望在Longhorn Server中使用整卷加密功能,你需要首先从DVD中安装Bitlocker组件,检查BIOS和TPM芯片的兼容性,然后安装TPM(Trusted Platform Module,可信赖平台模块)的驱动。
为了使用Bitlocker的安全功能,你的计算机上必须有下列组件:TPM 1.2芯片,兼容TCG(Trusted Computing Group,可信赖计算工作组)1.2标准的BIOS,支持通过USB设备引导的BIOS,一个Windows引导分区,另外还需要一个大于50MB并且没有被加密的系统分区来保存BIOS在系统引导后用于引导Windows的和硬件相关的数据,除此之外,还需要一个保存恢复密钥的USB闪存。
取决于计算机的具体配置以及你的安全需要,Bitlocker提供了下列五种选项:
1. 不带TPM芯片的计算机:就算计算机上没有TPM芯片,你依然可以使用Bitlocker。要实现这一点,用于加密数据的启动密钥会被保存在USB闪存上,为了让Bitlocker功能引导系统,闪存必须连接到计算机。
2. 带TPM芯片的计算机:数据解密功能被限制为首先必须对系统组件进行校验,而校验信息是保存在TPM芯片中的。和第一个选项类似,只有在数据被解密后计算机才可以被访问。
3. TPM和PIN:这是一种可选的验证方法,每次启动系统后,你都需要输入一个长度在4到20位的PIN码。
4. TPM和启动密钥:不用输入PIN码,你只需要提供一个保存了启动密钥的USB闪存。如果没有这个闪存,Bitlocker将无法引导系统。
5. 恢复密钥:为了在数据校验失败后访问数据,例如,如果在黑客攻击或者硬盘被安装到其他计算机上之后,Bitlocker可以使用恢复密钥解密数据。你可以使用功能键手工输入恢复PIN码,或者从网络驱动器或者USB闪存中读入。
在激活Bitlocker时,选择好你想要使用的安全选项后,在Vista的分区被加密前你必须重启动系统。在重启动的过程中,Bitlocker还会检测预引导组件的指纹。这些校验哈西值可以确保系统文件不被篡改。
如果默认保存在TPM芯片中的指纹信息未经篡改,Bitlocker就会开始解密过程,让引导程序可以正常启动。这样可以保护计算机不受引导扇区病毒感染和Rootkit的攻击。因此,如果有攻击者篡改了引导扇区,或者如果你将被加密的硬盘装入其他计算机,或者你更换了主板,哈西值就会产生变化,而Bitlocker将会禁止访问数据。
在被检控的引导组件的完整性得到确认后,Bitlocker才会让TPM芯片解密其余的数据。解密之后,对系统的保护工作就交给操作系统了。完整性检查会检查下列项目:BIOS、主引导记录、引导管理器、NTFS引导扇区、NTFS引导区块,还有CRTM(Core Root of Trust of Measurement,核心度量根)。
标签:
