3.卷影复制

　　Windows XP 引入了一种称为卷影复制的技术，可生成磁盘卷的时间点快照。备份应用程序可以使用这些快照生成一致的备份映像，但是快照却被从视图中隐藏，并仅保持备份过程所持续的时间。

　　快照实际上并不是卷的完整副本。更确切地讲，它们是较早还原点的卷视图，由与卷扇区副本（在生成快照后已更改）重叠的活动卷数据组成。卷快照提供程序的驱动程序 (%Systemroot%System32DriversVolsnap.sys) 监视针对卷的操作，备份扇区副本后才允许扇区更改，将与快照相关的文件中的原始数据存储到卷的 System Volume Information 目录中。

　　Windows Server 2003 使用其共享文件夹的影副本对服务器上的管理员和客户端系统上的用户公开快照管理。此功能启用了持续快照，用户可通过 Explorer 属性对话框中的“以前的版本选项卡访问它，因为其文件夹和文件位于服务器的文件共享部分。

　　Windows Vista“以前的版本功能为所有客户端系统提供了此支持，即自动创建卷快照（通常每天一次），您可以通过使用共享文件夹影副本所用的相同界面的 Explorer 属性对话框访问快照。这样可让您查看、还原或复制您可能意外修改或删除的文件和目录的旧版本。虽然从技术角度来讲这并不是新技术，但 Windows Vista“以前的版本实施的卷影复制优化了 Windows Server2003在客户端桌面环境中使用的功能。

　　Windows Vista 还充分利用了卷快照，以统一用户和系统数据保护机制，避免保存冗余的备份数据。当应用程序安装或配置更改造成错误或不合需要的行为时，您可以使用“系统还原（在 Windows NT® 系列的操作系统 Windows XP 中引入的一项功能）将系统文件和数据还原成创建还原点时其存在的状态。

　　在 Windows XP 中，“系统还原使用文件系统过滤器驱动程序（可以看到在文件级别的更改的一种驱动程序类型）在系统文件更改时备份其副本。在 Windows Vista 中，“系统还原使用卷快照。当您在 Windows Vista 中使用“系统还原用户界面返回到还原点时，您实际上是从与活动卷的还原点关联的快照复制已修改的系统文件的较早版本。

　　4.BitLocker

　　Windows Vista 是迄今为止最安全的 Windows 版本。除了包含 Windows Defender 反间谍软件引擎外，Windows Vista 还引入了大量的安全和纵深防御功能，包括 BitLocker™ 整卷加密功能、内核模式代码的代码签名、受保护的进程、地址空间加载随机化以及对 Windows 服务安全和用户帐户控制的改进。

　　操作系统在运行时只能增强其安全策略，因此当系统的物理安全可能受到危害和从操作系统之外访问数据时，您必须采取其他措施保护数据。诸如 BIOS 密码和加密的基于硬件的机制，是通常用来防止未经授权进行访问的两种技术，尤其是便携式计算机，最有可能丢失或被盗。

　　Windows 2000 引入了加密文件系统 (EFS)，并且在其 Windows Vista 体现中，EFS 包括了对以前实施功能的许多改进，包括性能改进、支持分页文件的加密和在智能卡上存储用户 EFS 密钥。不过，您无法使用 EFS 保护对系统敏感区域的访问，如注册表配置单元文件。例如，如果组策略允许您登录到便携式计算机（甚至在没有连接到域时），您的域凭据验证程序会在注册表中缓存，因此攻击者可以使用工具获取您的域帐户密码哈希，并用来尝试使用密码破解程序获取您的密码。密码会让他们有权访问您的帐户和 EFS 文件（假设您没有把 EFS 密钥存储在智能卡上）。

　　为了易于加密整个引导卷（包含 Windows 目录的卷），包括其所有系统文件和数据，Windows Vista 引入了整卷加密功能，称为 Windows BitLocker 驱动器加密。与由 NTFS 文件系统驱动程序实施并在文件级别操作的 EFS 不同，BitLocker 在卷级别使用整卷加密 (FVE) 驱动程序 (%Systemroot%System32DriversFvevol.sys) 进行加密，如图 4 中图解所示。

　　FVE 是过滤器驱动程序，因此它会自动查看 NTFS 发送到卷的所有 I/O 请求，在其写入时加密块，在其读取时（在初始配置使用 BitLocker 时，会使用分配到块的完整卷加密密钥 (FVEK) 读取它们）解密块。默认情况下，使用 128 位 AES 密钥和 128 位扩散器密钥加密卷。因为加密和解密发生在 I/O 系统的 NTFS 之下，所以卷在 NTFS 看来好象没有加密，并且 NTFS 甚至不需要知道已启用了 BitLocker。不过，如果您尝试从 Windows 外读取卷上的数据，它又看来象是随机数据。

　　FVEK 使用卷主密钥 (VMK) 加密，并存储在卷的特殊元数据区域。当您配置 BitLocker 时，会有许多关于如何保护 VMK 的选项，取决于系统的硬件功能。如果系统有符合 TPM 规范 v1.2 的受信任的平台模块 (TPM)，并有相关的 BIOS 支持，则您可以使用 TPM 加密 VMK（让系统使用存储在 TPM 中的密钥或存储在 USB 闪存设备中的密钥加密 VMK），或使用 TPM 存储的密钥和在系统启动时输入的 PIN 加密密钥。对于没有 TPM 的系统，BitLocker 提供使用存储在外部 USB 闪存设备中的密钥加密 VMK 的选项。在任何情况下，您都需要一个未加密的 1.5GB NTFS 系统卷，在该卷中存储了启动管理器和引导配置数据库 (BCD)。

　　使用 TPM 的优势在于，如果 BIOS 或系统启动文件在启用 BitLocker 后做出更改，BitLocker 会使用 TPM 功能确保不解密 VMK 和解除对引导卷的锁定。当您第一次加密系统卷，以及每次对提及的所有组件执行更新时，BitLocker 会借助于 TPM 设备驱动程序 (%Systemroot%System32DriversTpm.sys) 计算这些组件的 SHA-1 哈希，并将称为测量的每个哈希存储到不同的 TPM 平台配置注册表 (PCR)。接下来，它使用 TPM 密封 VMK，该操作使用存储在 TPM 中的私钥加密 TPM 和与 BitLocker 传递到 TPM 的其他数据一起存储在 PCR 中的值。然后，BitLocker 将密封的 VMK 和加密的 FVEK 存储在卷的元数据区域。

　　当系统启动时，它会测量自己的哈希和 PCR 加载代码，并将哈希写入 TPM 的第一个 PCR。然后，它哈希 BIOS，并将该测量存储到相应的 PCR。接下来，BIOS 按启动序列哈希下一个组件，即引导卷的主引导记录 (MBR)，此过程会一直继续，直到测量操作系统加载器。运行的每个后续代码段负责测量其加载的代码，并将测量结果存储到 TPM 中相应的注册表。最后，当用户选择要启动哪个操作系统时，启动管理器 (Bootmgr) 会从卷读取加密的 VMK，并要求 TPM 取消密封。只有所有测量与密封 VMK 时相同时（包括可选的 PIN），TPM 才成功解密 VMK。

　　您可以考虑将此方案作为验证链，其中启动序列中的每个组件会描述 TPM 的下一个组件。只有所有描述与提供的原始描述相符时，TPM 才泄露其秘密。因此，即使卸下磁盘并装到其他系统、使用不同的操作系统启动系统或引导卷上未加密文件遭到破坏，BitLocker 也会保护加密数据。

标签：