开发学院操作系统Windows Vista Windows Vista的BitLocker全盘加密 阅读

Windows Vista的BitLocker全盘加密

 2008-08-22 17:22:55 来源:WEB开发网   
核心提示:早就垂涎Windows Vista的BitLocker全卷加密(简称BDE)功能,只是苦于不敢拿本本试刀,Windows Vista的BitLocker全盘加密,最近拿到最新的Windows Vista CTP 5308版本,居然在VMware虚拟机里测试成功!此等好事,如图1所示(图中显示,MBR的"快照&

早就垂涎Windows Vista的BitLocker全卷加密(简称BDE)功能,只是苦于不敢拿本本试刀。最近拿到最新的Windows Vista CTP 5308版本,居然在VMware虚拟机里测试成功!此等好事,安能善自珍摄?自当写来以飨读者诸君。

BitLocker概述

BitLocker只是微软起的“艺名”,其原名是Secure Startup(安全启动),从它的原名中可以看出其本义是为了确保系统的启动安全。

BitLocker可以加密整个Windows卷,包括页面文件、SAM注册表数据库文件、休眠文件和Dump文件等等,这些都是EFS加密所无法保护的(因为EFS无法加密系统文件和位于系统目录下的所有文件)。

BitLocker加密的模式有两种:

1.USB闪盘模式

需要BIOS支持引导时访问USB闪盘。可以将解锁磁盘所需的相关密钥存放在USB闪盘里,开机时必须插入USB闪盘,才能解锁加密的Windows卷,才能正常访问Windows Vista。

2.TPM模式

要求计算机带有1.2版本的TPM芯片,系统会将解锁磁盘所需的密钥存放在TPM芯片里。

TPM模式可以实现最严厉的安全保护措施。除了USB闪盘模式所支持的全卷加密之外,还另外支持系统启动组件的完整性检测。

这种完整性检测,有点类似于Windows XP的激活机制。在设置BitLocker加密时,系统会分别对主引导记录(MBR)、NTFS引导扇区、NTFS引导代码和密钥等做“快照”(估计可能是分别产生相应的散列值),然后保存在TPM芯片的相应的寄存器里,每次系统启动时,会自动与原本的快照进行比较,这个过程称作度量(measure)。

如果这些启动组件发生了变化(通常可能是攻击行为所导致),系统就会拒绝从TPM芯片里释放磁盘加密密钥!我们可以在组策略里指定TPM模式所“度量”的启动组件,如图1所示(图中显示,MBR的"快照"存放在TPM芯片的PCR4寄存器中,依次类推)。

1 2 3 4  下一页

Tags:Windows Vista BitLocker

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接