Windows7的BitLocker为企业数据保驾护航
2009-06-08 09:42:33 来源:WEB开发网三、对操作系统分区的特殊保护。
EFS加密文件系统将系统文件与普通的用户文件是同等对待的。但是,BitLocker保护机制中,则对其采用了专门的保护措施,可以在最大程度上保护系统文件的安全。只要系统管理员利用BitLocker技术对系统分区进行了加密,则在操作系统启动后系统就会一直监视计算机,如会监视磁盘错误、Bios的更改、启动配置文件的更改等等,并可以防止由此带来的安全风险。如果操作系统检测到以上的这些错误,则BitLocker会自动的将这个磁盘驱动器锁住。此时系统管理员需要利用预先设置的一个密钥来解锁这个驱动器。通过这种措施可以防止操作系统的文件以及配置文件在系统管理员不知觉的情况下被修改。这对于防止木马、病毒、恶意程序等等对操作系统的破坏很有作用。
不过在对操作系统采用这个保护机制的时候,需要注意两点。首先在首次对系统分区采用加密保护机制时,需要创建一个解锁密码。否则的话,当操作系统因为遭受可疑的工具而被锁住驱动器时,系统管理员就无法对其进行解锁。而这驱动器中的文件也将无法访问。所以说,在各驱动器启用这个保护机制时,别忘了设置一个解锁的密码。其次,如果用户的电脑中安装了TPM芯片时,则可以将这个密码存储在这个芯片上。当遇到系统分区被锁住时,BitLocker就会像这块芯片所要密码进行解锁。如果将Windows7操作系统作为服务器来使用,则为这个服务器配置一块TPM芯片并在系统分区上启用BitLocker保护机制,能够在很大程度上保障服务器系统的安全与稳定型。从这也可以看出,微软在服务器的安全与稳定性方面,一直在不断的改进。
另外如果采用EFS加密文件系统的话,只要攻击者知道了帐户与密码,则其可以登陆到操作系统。此时EFS加密文件的保护机制就失去了作用。不过BitLocker在这方面也有所改善。即使攻击者知道了用户的帐户与密码,其仍然可以采取措施来保护系统文件,即BitLocker会监测系统文件的更改。如果其发现这个更改会给操作系统带来安全上的风险时,就会采取措施拒绝其更改。到目前为止,这是EFS文件加密系统所不能够实现的功能。
可见EFS加密系统与BitLocker加密机制在实现细节上还有很大的不同。BitLocker主要在对系统分区的保护上有比较独特的表现。而且其在共享文件的管理上也更加的方便。
更多精彩
赞助商链接