再来说说这个新的 Bitlocker ,这个组组件主要是在本地用软硬结合的方式来保护我们硬盘 上的数据的。现在电脑的丢失已经是很常见的事情了吧,有时候连放在办公室的电脑有有可 能会被偷走就更不要说笔记本电脑和平板电脑了。而如果你的电脑中存放着很敏感的资料, 例如你工作单位的一些机密、你的银行账户等等这些如果被不怀好意的人拿到的话后果可能 是致命的,不知道大家有没有参加前两天关于这个 Bitlocker 的 Webcast ,里面就提到几个 案例,因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对 手手中而面临倒闭,也有个人资料泄露以后导致隐私被公开或者受到要挟。
而 Windows XP 的账户密码是非常脆弱的,懂一点专业技术的人都能在几分钟之内破解掉它,拿到计算机里 面的数据,这种攻击方法称之为离线式攻击,也就是攻击者直接接触你的电脑来实施入侵行 为,所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤 为重要。 Bitlocker 也就是在这样一种局面下诞生了,它采用了硬件和软件相结合的方法来 保护我们硬盘中的数据。启用了 Bitlocker 以后呢会生成两个密钥一个存放于引导分区中, 另外一个存放在主板上的一个名叫 TPM 的芯片里,在计算机加电的时候首先是 TPM 最先 加载,他会和引导区中的密钥进行对比验证,通过了以后才会加载 BOIS 完成计算机启动过 程,而如果这当中任何一个不匹配的话,比如有对这个 TPM 芯片作了手脚,或者是把硬盘 拆下来放到别的机器中。
Windows Vista 将会拒绝掉密钥的释放,系统将无法启动。这个 加密机制我可以毫不夸张地告诉大家,在各位的有生之年是它绝对是安全可靠的,不会被破 解掉。当然,对于一些可能存在的事情,比如主板坏啦,或者需要把磁盘移动到一台新的计 算机中的时候, Bitlocker 也提供了恢复功能,就是在加密的时候 Bitlocker 会给出一个 48 位的恢复密钥,要求用户在做加密的时候一定要妥善的保管这个密钥,否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。
再说 TPM 芯片,这个东西是比较新的一种硬件芯片,在比较新的主板中已经有了,我也在 市场上看了一下,发现已经有部分的主板和笔记本电脑都包含了这个芯片,但是包含着个芯 片的台式机主板还是比较少,但是在不久这种芯片将会得到普及。那么 Bitlocker 在没有 TPM 芯片的电脑中就不能使用了吗? 其实还是可以使用的,只需要一个 USB Key 就可以 了,其实就是一个 U 盘,相信基本上都有这个东西吧 ~ 很方便的东西也很便宜。 Vista 完全 可以用 U 盘来代替 TPM 芯片存放密钥。所以说 Bitlocker 的使用还是比较灵活的,并且在 使用的时候不会对系统性能产生影响。
但是 Bitlocker 只能加密系统分区也就是 Windows Vista 所在的分区,那么其他分区的数 据难道就得不到保护了吗??我们说其他分区的数据也是可以保护的,至于方法就是利用在 Windows XP 中就已经存在 EFS ,这个是一种基于用户账户的文件保护机制,也就是说它 使用用户的计算机帐户对该用户的数据进行加密,在 Windows XP 的使用过 EFS 的用户一 定知道, EFS 的加密是非常有效的,并且在使用的时候完全没有任何的影响, 用户完全感觉 不到它的存在, 然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯 定是不可能的,但是之所以这套加密机制在 Windows XP 中有如形同虚设的原因就是前面 提到的, Windows XP 的帐户密码可以在几分钟之内被破解掉, 因此 EFS 也就失去作用了, 但是在 Windows Vista 中有 Bitlocker 来保护我们的系统分区,也就是等于保护了用户账 户,攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被 EFS 所保 护的任何数据了。 因此有了这套机制的保护, 我们的硬盘就是被 FBI 拿到, 他们拿硬盘中的 数据也是没有任何办法的。
在上面标题中我还写了一个 RMS client 这是干什么的呢?这个 RMS 呢主要就是针对企业 的一个文档权限控制机制,他可以保护从电脑中发布出去的文件的安全,为什么这么说呢,是因为 RMS 可以非常有效的控制一个文件的使用权限, 比如我发了一个 Word 文档到网络 中, 那么 RMS 在这个时候就可以发挥作用了, 我完全可以设置这个 Word 文档可以被什么 人打开阅读、 可以被什么人修改、什么人不能看也不能修改、 什么人可以看几次、 什么人可 以在什么时间看等等非常详细的权限设置。 这对于一个企业网络来说是非常必要的。 那么关 于这部分的内容还是就到这里暂停了哦 ~ 我会在 Windows Vista TechView 关于 Bitlocker 的章节中详细的叙述,要期待哦 ~
最后还有一个东西,大家只需要了解就行。就是全新的加密架构。 Windows Vista 用新的加密基础结构代替了现有的 CAPI 1.0 API 。新的加密结构可以允许 客户增加、替换系统中的加密算法,比如你甚至可以把 SSL 加密算法替换掉。可以在系统 中加入自己开发的加密算法。 这样就解决一直来困扰很多国家政府机构以及一些企业的忧虑, 他们担心使用美国的操作系统会对自己国家的安全构成威胁, 因为所使用的加密算法是美国 人开发出来的, 而现在呢各个国家完全可以自行开发自己的加密算法加入到系统中来, 并且 删掉原来的那些算法,这样就完全解决了各国政府等对使用美国操作系统的安全顾虑。
到这里本章的内容就已经基本上写完了, 感谢大家抽出宝贵的时间来阅读, 从文中可以看 到这个 Windows Vista TechView 系列文本可能会有非常多的章节,至于最终会有多还不 是很确定,毕竟需要详细描写的东西太多了, Windows Vista 的改变完全可以称之为一场 翻天覆地的革命, 并且目前这个系统还没有发布, 今后根据市场、 技术或者其他原因在最终 发布上市的 Windows Vista 中可能有些地方会和现在有所不同,因此这个 TechView 最后 会出现多少章节我自己也无法控制。 最后还是希望大家能从中获益, 同时也非常感谢大家的 阅读。
标签:
