WindServer 2008R2数据保护利器:BitLocker

日期: 2010-04-28 作者:Greg Shields翻译:唐琼瑶 来源:TechTarget中国 英文

微软的BitLocker技术随着Windows Server 2008 R2的发布出现了第二个版本,其主要用途在于保护桌面和笔记本。其在Windows 7里的新“To Go”功能进一步扩展了加密能力到连接的USB驱动。存储在这些易丢失设备上的加密数据能确保丢失或者错放的USB驱动不可以拼写你公司的重要数据。   BitLocker作为一个完全驱动的加密技术,确实能以保护笔记本相同的方式来保护服务器数据。

  现在不像笔记本,可以游离于内部和外部的受保护网络,服务器通常不会做出这样的转变。对于多数环境,一旦服务器投入使用,在停运之前有许多年,位置都不会更改。   那些与外界隔绝的服务器不需要使用……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

微软的BitLocker技术随着Windows Server 2008 R2的发布出现了第二个版本,其主要用途在于保护桌面和笔记本。其在Windows 7里的新“To Go”功能进一步扩展了加密能力到连接的USB驱动。存储在这些易丢失设备上的加密数据能确保丢失或者错放的USB驱动不可以拼写你公司的重要数据。

  BitLocker作为一个完全驱动的加密技术,确实能以保护笔记本相同的方式来保护服务器数据。

  现在不像笔记本,可以游离于内部和外部的受保护网络,服务器通常不会做出这样的转变。对于多数环境,一旦服务器投入使用,在停运之前有许多年,位置都不会更改。

  那些与外界隔绝的服务器不需要使用完全驱动加密技术。不过没有受保护的服务器很适合BitLocker。

  如果你的环境支持分支机构或人造文星网络站点,很可能你没有在这些地方拥有相同的物理保护。甚至在今天,许多业务仍然存储分支机构服务器在雇员的桌面下面,这忽视了安全。

  对于这些环境而言,就是BitLocker发挥作用的地方了。

  为什么使用BitLocker?

  BitLocker是微软为Windows创建加密解决方案的第二次尝试。它的设计旨在增加微软的首次尝试——加密文件系统(EFS)。尽管BitLocker得到了广泛采用,拥有有用的管理工具,和快捷的自动化级别,BitLocker与EFS之间的最大区别在于“完全驱动加密”。

  使用传统EFS解决方案,你可以轻松在文件对文件或者文件夹对文件夹的基础上加密文件。启用后,只需要在属性菜单里点击就可以加密文件或文件夹。鼠标点击几下,你的敏感数据或文档就加密了。

  虽然对于重要文件很方便,但是这种方式也是EFS的最大弱点。问题在于file artifact。当打开任何托管应用里的某个文件,新的和未加密的文件可能在任何位置创建。一个暂时的直读文本复制可以在TEMP位置创建,用于紧急恢复。这个系统也,在缓存位置缓存文件,或者文件块。复制与粘贴相对于对新文件的移动操作有着非常不同的影响,无论文件是否加密。

  由于这些剩余的artifact,安全加密的文件能(或通常)留下几块,跨网络散发一个或更多计算系统。这对于保持加密状态很不好。

  BitLocker是不同的,因为它马上加密整个驱动。在新版本里,这个驱动也不需要只是系统驱动。通过马上加密每个驱动,BitLocker确保文件级和artifact的安全。

  分支机构使用BitLocker

  现在,这种加密整个驱动的方法也更改了BitLocker的使用案例。记住,启用BitLocker的服务器会马上加密整个驱动。这意味着提升服务器开始于解密正在使用的驱动。结果就是BitLocker,不像EFS,它不是用于加密服务器上单独文件的解决方案。你不应该使用BitLocker加密有权访问的文件。

  你会疑惑这样的加密在正确授权的环境里是用不到的。不能查看文件内容的个体不应该拥有NTFS或者共享级别权限浏览。不过,事实通常被重写,比如公司安全策略和法规遵从托管单个文件加密。对于这些要求,EFS仍然在新操作系统里可用。

  除了这些需求,BitLocker迟早在硬件会丢失或者盗窃机率高的地方用得着。笔记本就是很好的例子,如USB密匙。

  如果入侵者偷盗了使用BitLocker的服务器,他们拿驱动上的数据是没有任何办法的。使用128或256位AES加密技术,使得暴力方式侵入内容是不能得逞的。

  在微软BitLocker Drive Encryption Deployment Guide for Windows 7文档上你能找到大量部署BitLocker的信息。虽然这个指南是关于在Windows 7上部署BitLocker,其内容也适合于Windows Server 2008 R2。

作者

Greg Shields
Greg Shields

Greg Shields,MCSE(微软认证系统工程师),是Concentrated Technology(www.concentratedtechnology.com)共同创始人和IT技术专家。他拥有近十五年的IT架构和企业管理经验。同时,也是一名IT培训师,并对IT多个技术主题进行演讲,主要包括微软管理、系统管理及监控、虚拟化等。他最近的著作是由SAPIEN出版社出版的《Windows Server 2008: What's New/What's Changed》。

相关推荐

  • 如何执行活动目录备份和恢复?

    我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?

  • 如何在Windows Server 2012中使用BitLocker

    BitLocker是所有Windows Server 2012版本中的加密特性,可以保护你放在PC和硬盘上的数据。你应该学习如何安装并使用它。

  • 使用BitLocker保护Windows To Go驱动器

    如果Windows To Go设备丢失或被盗,敏感数据和网络资源可能处于危险之中。幸运的是,你可以通过BitLocker保护Windows To Go驱动器。

  • 掌握BitLocker加密技术

    Windows Server 2012的所有版本以及Windows 8专业版和企业版中都配有BitLocker功能。本期《掌握BitLocker加密技术》技术手册详细介绍了Windows Server 2012和Windows 8中的BitLocker新功能、BitLocker的安装配置要求及最佳实践。