科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道使用Vista EFS和BitLocker确保数据安全

使用Vista EFS和BitLocker确保数据安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如今,如果谁丢失了笔记本电脑,那么他所丢失的不仅仅是笔记本本身,还包括了个人信息,甚至企业的重要数据。而保护企业数据,正是各个企业的IT安全部门所要作的基本任务。

作者:zdnet安全频道 来源:论坛整理 2008年9月4日

关键字: Windows Vista Vista

  • 评论
  • 分享微博
  • 分享邮件
  如今,如果谁丢失了笔记本电脑,那么他所丢失的不仅仅是笔记本本身,还包括了个人信息,甚至企业的重要数据。而保护企业数据,正是各个企业的IT安全部门所要作的基本任务。
 
在Windows Vista中,微软给我们提供了改进的 EFS(加密文件系统)以及全新的BitLocker功能,这两种安全功能各有所长,又能够相互弥补各自的不足。通过这两种技术,我们可以建立一个简单的互补性质的多层防御体制。

每个月,我们都能听说某某公司的职员丢失了笔记本电脑,并且笔记本里存储了该公司大量的敏感信息。也许过不了多久,我们就会收到大量意味着“你的个人信息已经被我们获取”这种含义的广告邮件。2005年中期,有一家大型信用卡公司的电脑丢失,造成了4000万用户的信息丢失。该公司不得不迅速关闭了所有Visa和AMEX卡的账户。

随着已经出台或者即将出台的各种与数据安全相关的法律逐渐被企业所认识,任何企业如果想要留住自己的客户,就必需尽可能的保护数据安全。Ponemon学会的调查显示,一个企业在第二次丢失数据后,就会出现明显的客户流失,而出现第三次数据丢失后,客户都会离开该公司。

确保公司数据安全的一个主要元素就是PC的安全性,尤其是笔记本电脑的安全性,因为笔记本电脑是最容易被盗的。在Windows Vista中,提供了一套完备的数据加密安全措施,包括改进的EFS (加密文件系统) 以及全新的BitLocker功能。在这两种功能的保护下,Windows Vista中的各种数据都可以获得很好的保护。较早版本的EFS只针对以往部分版本的Windows提供保护,而由于Windows目录,页面文件,回收站文件等都暴露在EFS之外,因此Windows 2000和XP下的EFS尤其不安全。比如:

  • 攻击者可以在Windows目录中尝试通过字典攻击快速获取用户的密码。大部分用户密码不用一天就可以被破解。一旦拥有了用户密码,Windows系统就没有什么秘密了。
  • 页面文件中包含明文内容,可以直接被读取。
  • 在使用EFS加密文件时,临时文件采用明文保存,之后才转为加密状态。虽然这种明文保存的临时文件接着会被删除,但是原始数据仍然留在硬盘碟片上,黑客可以通过其它手段获取。

    如果说EFS机制是在Windows系统启动后才开始工作的,那么BitLocker则是在Windows启动前就开始工作了,它可以与操作系统无缝的结合。EFS工作在文件系统级别,基于用户权限以及受PKI保护的线程密钥对文件进行加密,而BitLocker是更底层的机制,它对整个卷进行加密,并不考虑用户或PKI。这意味着EFS可以提供高级的管理功能,BitLocker可以对底层进行操作,提供一些EFS无法实现的功能,但是并不提供管理功能。被EFS加密的文件是无法被破解的,就算文件名和目录结构没有受到保护。而由BitLocker加密的Windows分区更难以理解,你甚至无法分辨哪些是文件名哪些是目录结构。

    BitLocker唯一的潜在弱点出现在系统既没有关机,也没有待机的状态,此时BitLocker并不需要物理密钥进行访问控制。不过在这种状态下,黑客也很难有所作为。由于系统无法关闭,黑客必需在系统运行中侵入内存。出于安全考虑,我们建议用户要么关闭电脑,要么选择采用休眠方式(hibernate),因为在这种方式下,会触发系统对物理BitLocker密钥的需求。这个物理密钥可以是主板上的TPM module(受信平台模块),或者存储了特定信息的U盘。如果使用TPM模块,用户还需要密码进行保护,因为一旦笔记本电脑或台式机失窃,那么TPM模块同时也跟着被盗了,如果不增加密码保护,那么这种安全机制就完全没有效果。而采用U盘的方式则不需要用户再输入密码,只要用户不把U盘和笔记本电脑放在一起就可以了。

    由于BitLocker只对启动分区有效,而不会加密其它硬盘或分区,不论这个逻辑分区是否与启动分区位于同一硬盘或不同的硬盘。因此用户必需采用EFS对其它分区上的文件和文件夹进行加密。另一方面,EFS又不能完全加密启动分区,因为一旦EFS对Windows系统文件进行了加密,那么系统将无法启动。这意味着EFS和BitLocker是一对互补的安全功能,可以为对方不足的一面提供足够的保护。

    当然也可以有例外,即当系统只有一个硬盘并且只有一个分区的时候(不包括BitLocker所需的1.5Gb系统卷分区),使用BitLocker就可以对整个磁盘进行保护了。如果家庭用户希望越简单越好,那么就将硬盘分为一个分区,将操作系统和各种程序都装在一起,这样BitLocker就可以对其提供完整的保护了。但是如果有多个分区,或者多个硬盘,为了确保除了Windows系统文件所在分区外的其它分区上的数据都安全,必需要使用EFS对这些分区上的内容进行加密。

    作为保护Windows以及页面文件,临时文件夹等的屏障,BitLocker很好的保护了EFS安全屏障的薄弱环节。通过用户和PKI的概念,EFS也可以利用物理智能卡或U盘加密模块等方式实现企业级的安全管理能力。有了BitLocker和EFS ,PC或笔记本电脑在失窃后也可以保持足够的安全性。

      • 评论
      • 分享微博
      • 分享邮件
      邮件订阅

      如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

      重磅专题
      往期文章
      最新文章