引用 BitLocker 驱动器加密:技术概述
2010-06-12 13:25:17 阅读10 评论0 字号:大中小
引用
的
本文提供了对 BitLocker? 驱动器加密的简要技术概述,BitLocker? 驱动器加密是 Microsoft Windows Vista? 中新增的一种令人兴奋的数据保护功能。本文的主要目的是使那些想要了解 BitLocker 驱动器加密实质以及它如何解决日趋凸显的数据保护问题(例如,由于计算机的物理丢失或被盗而造成的机密信息的恶意泄漏)的高级用户和 IT 管理员能够对该功能的生命周期有一个深入认识。
本文假设读者已了解“受信平台模块”(TPM) 技术。有关 TPM 技术的背景信息,请参阅 网站上提供的详细说明和资料。
BitLocker? 驱动器加密是在用于客户端计算机的 Windows Vista 企业版和{zj2}版中以及在 Windows 服务器“Longhorn”中提供的一种数据保护功能。BitLocker 是 Microsoft 对我们首要客户要求之一的应对方案,这个要求就是:在 Windows 操作系统中利用紧密集成的解决方案来摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的真正威胁。
BitLocker 可防止窃贼通过引导另一个操作系统或运行软件黑客工具来破坏 Windows Vista 文件和系统防护或脱机查看存储在受保护驱动器上的文件。
该功能在理想状态下会使用“受信平台模块”(TPM 1.2) 来保护用户数据,并确保运行 Windows Vista 的 PC 在系统脱机时不被篡改。在淘汰处理 PC 资产时,如果系统丢失或被盗且安全数据被删除,BitLocker 可为流动型和办公室两种企业信息工作人员提供增强的数据保护。
BitLocker 通过将两个主要子功能(完整的驱动器加密和对早期引导组件的完整性检查)相结合来增强数据保护。
驱动器加密可通过防止未经授权的用户破坏 Windows 文件以及系统对已丢失或被盗计算机的防护来保护数据。该保护通过加密整个 Windows 卷来实现。利用 BitLocker,所有用户和系统文件都可加密,包括交换和休眠文件。
对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密,还可确保加密的驱动器位于原始计算机中。
BitLocker 紧密集成于 Windows Vista 中,为企业提供了无缝、安全和易于管理的数据保护解决方案。例如,BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台,以供用于“实地”数据检索。
通过 BitLocker 还可选择锁定正常的引导过程,直至用户提供 PIN(类似于 ATM 卡 PIN)或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证,并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。
BitLocker 提供了一个用于安装和管理的向导,并通过具备脚本编写支持的 Windows 管理规范 (WMI) 界面提供了可扩展性和可管理性。另外,BitLocker 还通过加速机密数据清理简化了计算机的重复利用。
由 BitLocker 所保护的 Windows Vista 计算机的日常使用对用户来说是xx透明的。而且,如果发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起),BitLocker 会提供一个简单而有效的恢复过程。这些场景包括许多事件,例如将含有操作系统卷的硬盘驱动器移动到另一台计算机、更换包含 TPM 的系统主板或早期引导文件发生数据崩溃。
BitLocker 驱动器加密:
本文档介绍了 BitLocker 驱动器加密在企业计算机上的生命周期,提供了多种用户场景,并说明了该功能和相关密钥的设置、管理及恢复。Windows Vista 的开发尚未最终结束;屏幕快照、API、文本和流程可能会有所更改。
2.1 系统硬件、固件和软件要求
要使用 BitLocker,计算机必须满足由 BitLocker Windows Vista 系统徽标要求指定的一组要求。针对这些要求的测试随附于 Windows Development Kit (WDK) 中:
? 系统必须具备一个“受信平台模块”(TPM) v1.21。TPM 可对系统引导过程完整性进行测量和报告。
? 系统必须具备符合 v1.2 TCG(受信计算组,Trusted Computing Group)的 BIOS1。
? 系统 BIOS 必须支持 USB 海量存储设备类2,包括在预操作系统环境的 USB 闪存驱动器上读写小文件。
? 计算机上必须具备至少两个要运行的3卷:
? “操作系统 (OS) 卷”(或引导卷)是包含 Windows 操作系统及其支持文件的卷,它必须使用 NTFS 来格式化。此卷上的数据由 BitLocker 保护。
? “系统卷”是在 BIOS 引导平台后加载 Windows 计算机时所需的特定硬件文件所在的卷。为使 BitLocker 正常工作,系统卷不得加密,必须有别于操作系统卷,并且必须使用 NTFS 进行格式化。您的系统卷应至少为 1.5 千兆字节 (GB)。写入此卷的数据(包括附加的用户数据)不受 BitLocker 保护。
本文中的信息适用于带有 BitLocker 的 Windows 版本。特定服务器的信息包含在 中。
BitLocker 的主要目标是保护硬盘驱动器的操作系统卷上的数据。为此,BitLocker 会使用 v1.2 TPM 安全硬件来帮助保护加密密钥,并防止对系统完整性或其他数据、应用程序、DLL 文件以及存储在操作系统卷上的文件的安全性的基于软件的攻击。
BitLocker 包括对关键性早期引导组件的完整性检查。BitLocker 使用 TPM 从引导过程中的多个来源收集和存储测量结果4以创建一种系统“指纹”。除非引导系统被篡改,否则该“指纹”将保持不变。根据这些测量结果,BitLocker 依靠 TPM 来限制对根部保密信息的访问。一旦证实了引导过程的完整性,BitLocker 即会使用 TPM 来解除对剩余数据的锁定。然后,系统会继续启动,并由运行的操作系统负责执行系统保护。
图 1 表明了如何使用“整卷加密密钥”(FVEK) 来加密卷内容(该密钥又会使用“卷主密钥”(VMK) 加密)。保护 VMK 是保护磁盘卷上数据的一种间接方式:增加卷主密钥后,如果信任链中的密钥上游丢失或损坏,可轻松地为系统重新生成密钥。这样,就节省了解密和重新加密整个磁盘卷的费用。
图 1:BitLocker 中各种加密密钥间的关系。
在 BitLocker 验证了对受保护操作系统卷的访问后,在向受保护卷写入数据和从中读取数据时,Windows Vista 文件系统堆栈中的过滤驱动器会以透明方式对磁盘扇区进行加密和解密。计算机休眠时,休眠文件会在加密状态下保存到受保护卷中。从休眠状态中恢复的过程与引导过程几乎相同:在计算机从休眠状态中恢复时,这个被保存的文件即被解密。在加密和解密时应将性能损失降至{zd1},并在多数情况下应将其保持透明。
IT 管理员可通过向导或由 Windows Vista 的 Win32_EncryptableVolume Windows 管理规范 (WMI) 提供程序提供的界面来对 BitLocker 进行本地和远程配置。这些界面包括多种管理功能,如磁盘卷加密的开始、暂停和恢复以及配置如何保护磁盘卷的加密密钥 (FVEK)。
Windows Vista 和 Windows 服务器“Longhorn”所附带的管理脚本 (manage-bde.wsf) 为 IT 管理员提供了一个管理和检查磁盘状态的简单方式。此脚本基于可用的 WMI 提供程序而编写,可轻松地对其进行修改,以帮助针对不同的企业管理需求建立自定义解决方案。
3.1 体系结构图
图 2 显示了 BitLocker 整体体系结构,包括其各种子组件。它显示了 BitLocker 的用户模式组件和内核模式组件,以及它们与操作系统不同层相集成的方式。特别是,它显示了控制 TPM 的模块,包括 Microsoft 管理控制台 (MMC) 插件、TPM 驱动程序和磁盘加密模块。
图 2:BitLocker 整体体系结构
3.2 引导序列中的验证模式
在您最初配置 BitLocker 时,可以选择多种验证模式之一。BitLocker 保护的操作系统卷每次启动时,Windows Vista 引导代码都会基于卷保护设置执行一组连续步骤。这些步骤可包括代码完整性检查以及在受保护卷解锁前必须得以确认的其他验证步骤。对于附加的数据保护,BitLocker 可使用个人识别码 (PIN) 或启动密钥(存储在 USB 闪存驱动器上的密钥,在每次启动计算机时都必须插入该驱动器)。
鉴于恢复目的,BitLocker 会使用恢复密钥(用于恢复在 BitLocker 卷上加密的数据的密钥)或恢复密码(数字密码),如图 1 所示。这样,在发生安全性故障、硬件故障或其他故障时,授权的用户仍可访问系统。
Windows Vista 将按照以下顺序搜寻密钥:
1.
明文密钥(请参阅中的词汇表)- 完整性检查保护已被禁用并且可以自由访问卷主密钥。不必进行验证()。
2.
不需要用户操作的验证:
a. TPM - TPM 已成功验证早期引导组件,从而将 VMK 启封。
b. TPM 和启动密钥 - TPM 已成功验证早期引导组件,并已插入包含启动密钥的 USB 闪存驱动器。
3.
需要用户操作的验证(展现给用户的文本模式界面):
a. TPM 和 PIN - TPM 要验证早期引导组件的正确性,另外,在启动过程继续以及驱动器解锁前,用户必须输入正确的 PIN。在符合 TCG 要求的 TPM 的保护下,PIN 可免受“hammering”攻击。
b. 恢复密钥和/或启动密钥 - 提示用户插入含有恢复密钥和/或启动密钥的 USB 闪存驱动器。
c. 恢复密码 - 用户必须输入正确的恢复密码。
3.3 外部卷
外部卷是通常在另一台计算机上启用 BitLocker 的并已被“导入”当前计算机的当前 Windows 中的操作系统卷。导入外部卷是一个快速直接的过程,要实现的是从有故障计算机上加密的磁盘中恢复信息等目的。对这种卷{wy}可用的验证操作就是恢复(有关,请参阅第 5 节,恢复)。恢复操作需要恢复密钥或恢复密码。
3.4 服务器上的 BitLocker 驱动器加密
对于存储在非安全环境或共享环境中(例如分支机构位置)的服务器,BitLocker 可确保为其提供的数据保护级别与为客户端计算机提供的相同。服务器上具备的这种附加功能可对操作系统卷加密,还可针对 IT 管理员希望用 WMI 保护的任何数据卷来通过 WMI 启用。
默认情况下,BitLocker 驱动器加密功能不随 Windows 服务器“Longhorn”一同安装。选择 Add Features(添加功能),然后从选项列表中选择 BitLocker Drive Encryption(BitLocker 驱动器加密),即可从 InitialConfigurationTasks 菜单添加 BitLocker。安装 BitLocker 功能后,可按照本文档稍后所述的说明对其进行设置和维护。在服务器上安装 BitLocker 驱动器加密后,必须重新启动。使用 WMI,可远程启用 BitLocker。
PIN 支持
对于将重启动速度视为一种因素或在重启动时无法实现人为干预的服务器,通常{zh0}不要在其上启用 PIN 功能。在许多服务器环境中,正常运行时间和远程管理至关重要。一个可行的部署场景是,在员工每次工作伊始就必须开启服务器的分支机构中启用 BitLocker 和 PIN 功能。在此场景中,相关负责人应知道 PIN 并要在引导时输入。
启动密钥支持
对服务器支持 USB 启动密钥,但它们只有在引导后不被遗留在计算机中时才可增强数据保护。因此,每次重新启动服务器时都需要人为干预才能实现{zj0}的数据保护。3.4.1 数据卷
除操作系统卷和系统卷之外的卷被称为“数据卷”。只有 Windows 服务器“Longhorn”v1 中支持数据卷的 BitLocker 加密。
BitLocker 通过与操作系统卷加密相同的方式对 Windows 服务器“Longhorn”数据卷加密,从而对其进行保护。操作系统按照惯用方式来安装受 BitLocker 保护的数据卷。
密钥链
保护数据卷的密钥独立于保护操作系统卷的密钥。要使系统自动安装这些卷,还要将保护数据卷的密钥链在加密状态下存储在当前引导的卷上。特别是,在当前引导卷的注册表中有一个外部包装密钥 (EWK),它是一个 256 位的 AES 密钥,用于保护数据卷的 VMK。由于 EWK 存储在加密的操作系统卷中,因此它受 BitLocker 以及 Windows 服务器“Longhorn”操作系统自身的保护。如果操作系统进入恢复模式,则数据卷将一直受到保护,直到操作系统退出恢复模式为止。自动解锁
自动解锁功能满足的是在引导期间对数据卷自动解锁而不需要人为干预的需要。启用自动解锁时可将数据卷 EWK 的纯文本副本提交到所引导操作系统的注册表中。在没有成功访问加密操作系统卷的情况下,无法访问数据卷上的数据。首次尝试从 Windows 读取或查询数据卷会导致其 VMK 被解密(通过从注册表读取 EWK 来实现)。如果在操作系统卷中关闭 BitLocker,则 BitLocker 还会xx操作系统卷注册表中的任何密钥资料。在这些情况下,用户必须提供密钥才能访问数据卷。系统管理员可使用可脚本化的 WMI 界面来对每个系统启用或禁用自动锁定功能。要保持对数据卷的高级保护,任何人都不可以启用自动解锁功能,除非对操作系统卷启用了 BitLocker 或进行了加密。
群集配置
BitLocker 在 v1 中不支持与群集配置相关联的数据卷。恢复
数据卷的恢复类似于操作系统卷的恢复。在出现故障前({zh0}在设置时),必须在其他介质上存储 EWK 的副本。如果数据卷损坏、被移动到新平台或操作系统卷无法为自动解锁检索 EWK,则用户可插入含有 EWK 副本的介质。界面和 WMI 提供程序都支持对数据卷的恢复。在 BitLocker 客户端版本中,对数据卷的处理方式类似于对外部卷的处理方式。只有 EWK 在操作系统卷的注册表中丢失或损坏时,才需要将数据卷重新绑定到平台。
3.5 系统威胁
从高层次角度看,对 BitLocker 的威胁可分为两个方面:对平台的威胁和由系统使用方式导致的威胁。每种威胁都可通过用户采取的保护系统的特定操作来减轻。
{dy}种威胁指的是对运行 BitLocker 的平台的威胁。BitLocker 在不同的验证模式下都有特定的硬件要求。要减轻此类威胁,并实现{zj0}的安全性优点,则必须针对所选的验证模式满足这些要求。例如,如果使用 TPM+PIN 验证模式,则用户必须确保所用平台使用xx符合 TCG 要求的 TPM 版本 1.2。
由系统使用导致的潜在威胁可通过以下{zj0}实践减轻,这些{zj0}实践描述了应采用的系统配置方式以及正确的用户实践方法。用户应确保定时下载定期的软件更新并安装预防攻击的安全软件(例如,防火墙、反病毒和反间谍软件等)。另外,在产品的日常使用中,妥善使用优选的验证和恢复机制也会减轻此类威胁。例如,确保妥善处理启动密钥(即切勿将其遗留在计算机中)以防止数据丢失或被未经授权的用户访问,这将会减轻对数据保密性的威胁。
BitLocker 系统生命周期包括四个主要要素,如图 3 所示。
图 3:BitLocker 驱动器加密生命周期。
以下各节将介绍其中每一个要素,并使用实例说明可利用 BitLocker 增值的最常用场景。第 3.2 节中提供了详细的体系结构图。
4.1 安装
作为 Windows Vista 的一部分,BitLocker 会在 OS 安装过程中随企业版和{zj2}版自动安装5。(请注意,它不会自动开启。)对于 Windows 服务器“Longhorn”,则必须选择安装 BitLocker 驱动器加密功能。在操作系统安装期间,会执行以下 BitLocker 步骤(在客户端或服务器中):
4.2 初始化
在完成安装和操作系统初始设置后,系统管理员随时都可以使用 Windows Vista 控制面板来初始化和开启 BitLocker 功能。设置可分为以下两步完成:
这两个步骤都需要具备本地管理特权。不具备管理特权的用户可享受 BitLocker 数据保护的好处,但无法将其开启或关闭。
4.2.1 TPM 初始化
可通过使用 TPM 初始化向导或运行xx用于初始化 TPM 的脚本来初始化您的 TPM。TPM 初始化向导可通过“TPM 管理控制台”向导来访问,遵循安全控制面板中的链接即可启动该向导。
无论是哪种情况,初始化 TPM6 都包括以下步骤:
1.
如果 TPM 未开启,则将其开启。该步骤所用方法因计算机制造商而异。
2.
检查是否亲自到场(管理员需要亲临控制台)。
a. 除非 OEM 提供一个替代的远程部署解决方案
3.
登录回 Windows Vista。
4.
检查 TPM 内部是否存在认证密钥(由 OEM 提供的密钥)。
5.
通过创建 TPM 管理密码为 TPM 设置所有者。
6.
将 TPM 管理密码委托给 Active Directory (AD) 并/或将其保存到某文件。
a. 请注意,如果管理员将组策略 (GP) 设置为自动执行 AD 发布,则系统会照此执行。
还支持 TPM 的远程初始化7。BitLocker 的 TPM 服务组件提供了一个管理 API,该 API 允许为初始化过程(包括设置所有者和创建 TPM 管理密码)编写脚本。
TPM 初始化完成。TPM 初始化一经完成,本地管理员就可以开始初始化 BitLocker。
要开启 Windows Vista 的 BitLocker 驱动器加密功能,可使用该功能的向导或脚本。
在 Windows Vista 安全中心面板中启动 BitLocker 设置向导,此向导可指导您执行以下所有步骤:
BitLocker 设置向导使本地管理员可以启用 BitLocker。管理员使用该向导来指定如何保护加密密钥,并使用它对包含 Windows Vista 的磁盘卷开始进行加密。
图 4:BitLocker 设置向导 UI 流程。
启动选项
启动验证选项包括:
注意:PIN 和启动密钥不可结合使用。
创建启动 PIN
屏幕 2a 提供了选项用于输入一个由 4 到 20 位数字组成的 PIN;在每次重启动时都必须输入该 PIN;这样可以为加密卷增加一个额外的验证保护因素。有关详细,请参阅第 4.3.2 节。域管理员可使用组策略来要求或禁止创建 PIN。创建和保存启动密钥
屏幕 2b 提供了创建启动密钥并将其保存在 USB 闪存驱动器上的选项;每次重启动时都必须在端口中出示启动密钥;这样可以为操作系统卷增加一层额外的验证保护。有关详细,请参阅第 4.3.2 节。域管理员可使用组策略来要求或禁止使用启动密钥。恢复选项
本地管理员可以配置恢复机制,以便在少数发生问题的情况下{zd0}限度地保证易用性(有关详细信息,请参阅)。
使用恢复密码
屏幕 3 提供了创建恢复密码的选项。有关如何在数据恢复场景中使用恢复密码的详细信息,请参阅。域管理员可使用组策略来要求或禁止创建恢复密码。默认设置为要求创建恢复密码。保存恢复密码
屏幕 4 提供了多个选项用于保存恢复密码,包括显示、保存到文件和/或打印输出等功能。有关如何在数据恢复场景中使用恢复密码的详细信息,请参阅。域管理员可使用组策略来要求或禁止创建恢复密码。默认设置为要求创建恢复密码。将恢复密码保存到 USB 驱动器的选项
屏幕 4a 提供了将恢复密码作为文本文件保存到 USB 闪存驱动器的选项。另外,如果组策略允许,还可创建恢复密钥(对应于人工可读恢复密码的机器可读密码)并将其保存在 USB 闪存驱动器上。有关如何在数据恢复场景中使用该恢复密钥的详细信息,请参阅。域管理员可使用组策略要求或禁止创建恢复密钥。显示恢复密码的选项
屏幕 4b 提供了显示恢复密码的选项。打印恢复密码的选项
屏幕 4c 为用户提供了打印恢复密码的选项。将恢复密码保存到文件夹的选项
屏幕 4d 提供了将恢复密码(和相关的恢复密钥)作为文件保存到某文件夹(例如,网络共享上的文件夹)的选项。域管理员可使用组策略要求或禁止将恢复密钥保存到文件夹或配置所使用的默认文件夹路径。无恢复机制警告
屏幕 5 显示一个警告,提示用户如果不选择恢复机制,则缺少恢复机制可能会导致{yj}性的数据丢失。域管理员可通过组策略禁用此对话框。加密准备就绪的通知
屏幕 6 提供了表明可以开始进行卷加密的通知。初始卷加密所需的时间与卷的大小直接相关。但加密是在后台进行,因此在卷加密期间计算机可以继续使用。另外,管理员可以随时暂停和恢复加密。计算机关闭或休眠时,加密将自动暂停,而当计算机重新开启后,加密将恢复。本地管理员此时不必使用屏幕 6 开始加密 - 本地管理员可稍后开启该功能,卷加密将在下次重新启动后开始。本地管理员还可以随时关闭 BitLocker。
用户界面支持
脚本编写支持8
4.2.3 企业部署
BitLocker 支持脚本编写以及与 Active Directory 和组策略技术的轻松集成。在企业部署中,IT 管理员会按照以下步骤操作:
1.
通过完成以下步骤为 BitLocker(TPM 和恢复)密钥准备 Active Directory:
2.
设置与 BitLocker 相关的组策略。
3.
在客户端计算机上安装 Windows Vista。
4.
BitLocker 设置:
5.
使用系统管理工具检查审核日志以保证加密成功结束。
4.3 日常使用
对于使用“仅 TPM”验证的启用 BitLocker 的系统而言,其使用方式与其他任何系统相同。用户启动 Windows,然后系统提示输入他们的域用户名和密码,也就是通常的登录过程。除非事先被告知该功能,否则用户不会意识到其计算机上还存在一级额外保护。
在针对增强型安全场景而配置的系统中,用户可能需要输入 PIN 或插入一个 USB 闪存驱动器才能引导 Windows Vista(有关详细信息,请参阅)。在这种情况下,通常的引导或恢复流程会被修改为提示输入符合附加安全要求的信息。
4.3.1 BitLocker 驱动器加密基本场景
这是上文所述的基本场景。它的优点就在于它是最简单直接的使用模式。计算机包含一个兼容的 TPM(版本 1.2,具备 BIOS 支持)并具备两个卷:(1) 一个系统卷 (2) 一个在支持 BitLocker 驱动器加密的 Windows 版本环境下的操作系统卷。
图 5:访问带有 TPM 保护且启用 BitLocker 驱动器加密的卷。
BitLocker 驱动器加密的主要功能是保护硬盘驱动器的操作系统卷上的用户数据,如图 5 所示。要实现此功能,需使用“整卷加密密钥”(FVEK) 来加密磁盘扇区,“整卷加密密钥”始终使用“卷主密钥”(VMK) 进行加密,“卷主密钥”然后又由 TPM 来加密。
本地管理员可使用 Windows Vista 控制面板安全屏幕启用或禁用该场景。关闭 BitLocker 可将卷解密并删除所有密钥。稍后再次开启 BitLocker 后,会创建新密钥。
计算机机主希望使用两层保护来保护系统上的数据。
如图 6 所示,BitLocker 提供了两种多因素保护选项:TPM 提供了系统完整性因素,外加以下两项之一:(1) PIN(用户已知)或 (2) 存储在 USB 闪存驱动器上的附加密钥(用户具备)。使用存储在 USB 闪存驱动器上的密钥的一个重要好处是,在此类场景中不是所有密钥资料都存储在本地计算机上。
图 6:访问带有增强型保护且启用 BitLocker 的卷。
4.3.2.1 PIN 验证
PIN 验证场景9具有提供双因素验证的优点;缺点是每次引导时都需要输入 PIN。在该验证场景中,管理员可在 BitLocker 开启时设置 PIN。BitLocker 使用 SHA-256 对用户指定的 PIN 进行散列处理,散列的前 160 位将被用作验证数据发送到 TPM 以封存 VMK。现在 VMK 就可受到 TPM 和 PIN 的双重保护。要将 VMK 启封,用户在每次计算机重新启动或从休眠中重新恢复时都需要输入 PIN。用户界面支持
脚本编写支持
a) 启用 PIN 验证
b) 禁用 PIN 验证
对于将重启动速度视为一种因素或在重启动时无法实现人为干预的服务器,通常{zh0}不要在其上启用 PIN 功能。一个可行的部署场景是,在员工每次工作伊始就必须开启服务器的分支机构中启用 BitLocker 和 PIN 功能。在此场景中,相关负责人应知道 PIN 并要在引导时输入。
4.3.2.2 启动密钥验证
双因素密钥保护场景提供了两个验证因素。可从 Windows Vista 控制面板安全屏幕开始,然后使用随后的“Create Startup Key(创建启动密钥)”任务屏幕来启用或禁用该场景。(请查看中的屏幕 2b)。在此场景中,启动密钥被存储在 BIOS 枚举的任一存储设备上(例如可插式 USB 闪存驱动器),并且在每次计算机启动时,用户都必须将该设备插入计算机中11。尽管在从开机开始的整个引导期间都要将存储启动密钥的 USB 闪存驱动器插在计算机中,但在 Windows 登录完成后应将其移除。
用户界面支持
脚本编写支持
a) 启用启动密钥验证
b) 禁用启动密钥验证
计算机机主可能想要保护未包含 v1.2 TPM 的计算机上的数据。对于这种场景,计算机机主往往会要求计算机用户在每次计算机启动或从休眠中恢复时都插入包含启动密钥的 USB 闪存驱动器。请注意,使用“仅启动密钥”场景的系统的安全配置文件与使用 TPM 的系统的保护不同,因为在非 TPM 系统上不会验证早期引导组件的完整性。
该场景通过 Windows 中的 BitLocker 控制面板项开启或关闭。本地管理员在开启 BitLocker?”时必须使用向导创建一个启动密钥。也可以通过脚本编写启用该场景。关闭该场景将强制对卷解密和删除所有密钥;如果稍后重新启用该场景,将必须重新创建这些密钥。
一旦系统生成启动密钥,用户就会插入 USB 闪存驱动器,并且系统会将启动密钥存储在该驱动器上。计算机硬盘驱动器上必须具备一个系统卷和一个操作系统卷(有关该要求的详细信息,请参阅)。现在,每当计算机从 BitLocker 保护的卷启动时,都需要计算机上存在该设备。用户插入 USB 闪存驱动器并开启计算机。计算机引导入操作系统,用户可以开始正常使用系统。
通过使用 BitLocker 控制面板项,用户可以创建启动密钥的备份副本。在外部设备丢失的情况下,必须使用恢复密钥或恢复密码恢复该卷,而且必须生成一个新的启动密钥。同样使用该遗失启动密钥的其他所有卷也必须经历类似的过程,以确保遗失的启动密钥不会被未授权用户使用。
用户界面支持
脚本编写支持
a) 启用“仅启动密钥”验证
1.
使用 ProtectKeyWithExternalKey 创建一个启动密钥,该启动密钥将用作不带有兼容 TPM 的计算机的启动密钥。
2.
使用 SaveExternalKeyToFile 将包含启动密钥的文件写入 USB 闪存驱动器或其他位置。
3.
使用创建恢复 blob。
4.
使用 Encrypt(加密)将卷加密。
5.
使用 GetConversionStatus 指明卷何时xx加密。
6.
使用 GetProtectionStatus 确保 BitLocker 保护打开。
7.
使用 UnlockWithExternalKey 来通过启动密钥将卷解锁。
a) 禁用“仅启动密钥”验证
4.3.4 管理
本地管理员控制着 BitLocker 驱动器加密的所有方面。管理员可在 Windows 安全中心中直接启用或禁用该功能。
4.3.4.1 密钥管理用户体验
一旦卷被加密且受到 BitLocker 保护,管理密钥用户界面将允许本地管理员和域管理员复制密钥并重设 PIN。只有对那些已在 BitLocker 设置期间创建的密钥,才会显示界面中的链接。
管理密钥的流程使管理员可以访问以下密钥管理选项:
4.3.4.2 配置和管理
Windows 安全中心提供了 BitLocker 功能状态以及启用或禁用 BitLocker 的能力。它还提供了设置功能,请参阅。如果 BitLocker 因最近一次安装或卸载请求而正处于加密或解密数据的活动状态,则会显示进程状态。
管理员也可从安全中心访问用于管理 TPM 的 TPM 管理控制台。
IT 管理员可使用命令行管理工具 (manage-bde.wsf) 远程执行脚本编写功能。
管理员在某些场景中可能需要临时禁用 BitLocker,如:
1.
在不要求用户输入数据(如 PIN 或启动密钥)的情况下重启计算机以进行维护。
2.
在不触发 BitLocker 恢复的情况下升级关键性早期引导组件。
3.
在不触发 BitLocker 恢复的情况下升级主板以替换或删除 TPM。
4.
在不触发 BitLocker 恢复的情况下关闭/禁用或xx TPM。
5.
在不触发 BitLocker 恢复的情况下将某一受 BitLocker 保护的磁盘卷移至另一台计算机。
6.
所有的恢复 blob 均丢失,并需要在触发 BitLocker 恢复之前以安全方式创建新的 blob。
我们将此类场景统称为“计算机升级场景”。该场景可通过 Windows 中的 BitLocker 控制面板项启用/禁用。要进行启用 BitLocker 的计算机升级,仅需要执行几个步骤:
将 BitLocker 强制转为禁用模式将保持卷的加密状态,但卷主密钥在磁盘上仍自由可用,并使用存储在硬盘上的对称式明文密钥加密。明文密钥的可用性会禁用 BitLocker 提供的数据保护,但会确保在任何情况下,所有后续的计算机启动均会成功,而无需用户再输入更多数据。重新启用 BitLocker 后,明文密钥将从磁盘卷中删除,BitLocker 保护将重新开启。另外,VMK 将重获密钥且重新加密。
将受保护的卷(物理磁盘)移至另一个启用 TPM 的计算机无需任何额外步骤,因为用于保护卷主密钥的密钥在本地以明文方式存储在磁盘上。
即使将卷主密钥暴露很短时间也会构成安全风险,因为在明文密钥暴露卷主密钥和 FVEK 时,某攻击者可能已经访问了这些密钥。
4.4 计算机报废
当今许多个人计算机都要被{dy}个机主或用户之外的人重复使用。在企业场景中,可能会将计算机重新部署到其他部门,也可能会将它们作为标准计算机硬件更新循环中的一部分从公司淘汰。
IT 部门可能要执行一个或多个安全协议,以便在计算机从公司搬移或淘汰前保护或删除其上的数据。BitLocker 可以在重新部署计算机之前显著提高计算机的安全性。
IT 部门可以选择关闭 BitLocker,使计算机(也可能是某些数据)仍可用于其他目的,也可为节省时间而执行“安全淘汰”,从而将数据保留在{yj}加密状态,通过任何方式也无法对其访问。
4.4.1 关闭 BitLocker 驱动器加密
本地管理员可在 Windows 安全中心内关闭该功能。BitLocker 提供两种卸载模式:
用户界面支持
脚本编写支持
BitLocker 一旦关闭,就可以在重新格式化驱动器之前传送大量有用数据。
4.4.2 安全淘汰
安全淘汰指的是删除既定卷上的密钥 blob。如果没有密钥 blob,将无法对数据解密12。
该过程涉及以下两个步骤:
运行一个可从磁盘中删除所有密钥 blob 的管理级脚本即可实现安全淘汰(在 v1 中不提供任何用户界面支持)。
脚本编写支持
1.
使用 GetKeyProtectors 来获取类型为“TPM”、“TPM 加 PIN”和“TPM 加启动密钥”的所有密钥保护工具的标识符。[对于{yj}性安全淘汰,则获取所有密钥保护工具的标识符,包括恢复密钥。]
2.
[适用于{yj}性安全淘汰] 使用 ProtectKeyWithNumericalPassword 和一个随机生成的密码序列13创建一个不使用的恢复密码 blob(废除实际的恢复密码)。
3.
使用 DeleteKeyProtector 删除与以上找到的标识符相关联的所有可用的密钥保护工具。
4.
[适用于{yj}性安全淘汰] 对于 TPM 机器,xx使用 TPM WMI 提供程序函数 Win32_TPM.Clear 的 TPM。
这是呈现不可访问卷上的数据的一种快捷有效方式。
如果某一环节出错(BitLocker 无法自动获取某个卷的密钥),可通过一个要求{zd1}设置的有效过程来恢复加密卷上的数据。有几种场景可触发恢复:
1.
将受 BitLocker 保护的驱动器移至新的计算机。
2.
将主板升级为新主板(使用新的 TPM)。
3.
关闭/禁用或xx TPM。
4.
对关键性早期引导组件的升级导致 TPM 验证失败。
5.
启用 PIN 验证后忘记 PIN。
6.
启用启动密钥验证后却丢失了包含启动密钥的可插式 USB 闪存驱动器。
7.
如果将台式机或笔记本电脑重新部署到企业中的其他部门/员工(例如,具备不同安全许可或不同信息需求的用户),则在针对新的安全级别xx数据之前需要进行数据恢复。
8.
在指定位置为台式机重新分配任务(例如,IT 管理员以远程方式重新安装操作系统)而不丢失受保护数据。
5.1 恢复设置
通过使用组策略,IT 管理员可以针对启用 BitLocker 的用户选择需要使用的、要拒绝的或要设为可用的恢复方法。恢复密码可以存储在 Active Directory 中,并且管理员可以将该选项设置为必需、禁用或可选(分别针对计算机的每个用户设置)。有关 Active Directory 的设置步骤,请参阅。另外,可将恢复数据存储在任何可插式 USB 闪存驱动器上。
5.2 恢复场景
在 BitLocker 中,恢复过程包括对已使用存储在可插式 USB 闪存驱动器上的恢复密钥或从恢复密码派生而来的密码密钥加密的卷主密钥 blob 的副本的解密。在任何恢复场景中都不涉及 TPM,因此,如果 TPM 对引导组件的验证失败、出现故障或消失,也有可能进行恢复。
要恢复卷,用户可以使用在初始化时设置的任一恢复机制。用户可以使用恢复密码或恢复密钥(对应于恢复密码的机器可读密码)。
5.2.1 恢复密码
恢复密码是一个随机生成的 48 位数字,在 BitLocker 设置期间创建。可在启用 BitLocker 后对其进行管理和复制。可通过界面打印该恢复密码和/或将其保存到文件中以备将来使用。
域管理员可以将组策略配置为只要启用了 BitLocker,就自动生成恢复密码并以透明方式将其备份到 Active Directory。另外,域管理员可以选择禁止 BitLocker 对驱动器加密,除非计算机连接到网络并且恢复密码的 Active Directory 备份成功。
用户界面支持
脚本编写支持
a) 启用恢复密码
b) 禁用恢复密钥
5.2.2 恢复密钥
在 BitLocker 设置期间,可创建恢复密钥并将其保存到可插式 USB 闪存驱动器上15;另外,在启用 BitLocker 后,可对其进行管理和复制。计算机启动时,通过插入一个含有恢复密钥的 USB 闪存驱动器,用户可被授予访问操作系统卷的权限,而无论 TPM 的状态如何。
用户界面支持
脚本编写支持
a) 启用恢复密钥
b) 禁用恢复密钥
词汇表
BitLocker 已启用(或打开)
在磁盘卷上启用 BitLocker 保护后,卷上的数据在写入时将被加密,在读取时将被解密。当启动计算机时,要将 VMK 解密并访问卷,需要 TPM(如果配置需要,则结合使用启动密钥或 PIN)成功验证关键性早期引导组件、输入一个恢复密码或插入一个含有恢复密钥的 USB 闪存驱动器。BitLocker 关闭
在该模式下,磁盘卷上的保护关闭,磁盘卷未被加密,并且 BitLocker 保护无效。这是一个使用标准明文文本文件格式的磁盘卷。Blob
二进制大对象;任何一段受密码保护的数据。例如,VMK 被封存到 TPM,但由 TPM_Seal 运算返回的最终 blob 实际存储在磁盘上。同样,VMK 也可以由明文密钥、启动密钥或恢复密码加密并且作为 blob 存储在磁盘上。FVEK
整卷加密密钥;用于对磁盘扇区上的数据加密(并可选择扩散数据)的特定于算法的密钥。目前,该密钥从 128 位到 512 位不等。磁盘卷上使用的默认加密算法是具备扩散作用的 128 位 AES 算法。操作系统卷
含有可由计算机的引导管理器加载的某一操作系统(例如,Windows Vista)的卷。该卷将由 BitLocker 进行保护。{yj}性安全淘汰
通过删除解密或恢复磁盘所需的所有密钥资料来将受 BitLocker 保护的卷强制转为不可恢复模式的过程。PIN
个人识别码;这是每次计算机启动(或从休眠中恢复)时都必须输入的由管理员指定的秘密值。PIN 可由 4 到 20 位数字组成,在内部则存储为已输入的 Unicode 字符的 256 位散列。该值决不会以任何形式或因为任何理由显示给用户。PIN 与 TPM 验证配合使用后提供了另一个保护因素。可恢复的安全淘汰
通过删除解密磁盘所需的本地密钥 blob(除恢复 blob 之外)将系统强制转为恢复模式的过程。恢复密钥
用于恢复 BitLocker 卷上加密数据的密钥。从密码角度说,该密钥与启动密钥等效。如果可行,会由恢复密钥对 VMK 解密,再由 VMK 对 FVEK解密。恢复密码
由分为 8 组的 48 位数字组成的数字密码。包含 6 位数字的每一组数字先由 mod-11 进行检查,然后再被压缩为相应的 16 位密码短语数据。在由 VMK 加密的磁盘上会存储该密码短语数据的副本,这样管理员就可以在加载 Windows Vista 之后检索恢复密码。启动密钥
存储在 USB 闪存驱动器上的密钥,每次启动计算机时都必须插入该驱动器。启动密钥与 TPM 验证配合使用后提供了另一个保护因素。系统卷
计算机启动时被访问的{dy}个卷。该卷包含加载 Windows 所需的硬件专用文件,并包括计算机的引导管理器(用于加载多个操作系统)。一般来讲,系统卷可以(但不必须)与操作系统(引导)卷是同一个卷。但是,为使 BitLocker 正常工作,系统卷必须与操作系统卷分开,并且不得加密。TPM
受信计算组定义的受信平台模块。TPM 是提供基于硬件的信任根的一种安全硬件,可用来提供多种加密服务。带有可兼容 BIOS 升级版的 TPM v1.2 提供了驱动器加密功能,可以对早期引导组件性能进行完整性检查(以验证关键性早期引导组件的完整性),并实现了透明式启动体验。VMK
卷主密钥:用于对 FVEK 加密的密钥。
