操作系統(tǒng)的安全泛泛而談其實(shí)包括兩個(gè)方面的內(nèi)容，分別為操作系統(tǒng)本身的安全與操作系統(tǒng)上數(shù)據(jù)的安全。在Windows7中，通過(guò)UAC控制機(jī)制、系統(tǒng)備份與還原等措施在很大程度上提高了操作系統(tǒng)的安全性與穩(wěn)定性。那么我們不僅問(wèn)，Windows7在數(shù)據(jù)安全的保護(hù)是是否也有新舉措呢?這個(gè)答案是讓人興奮的。在Windows7中，其提出了一種新的數(shù)據(jù)保護(hù)機(jī)制，即BitLocker。這個(gè)工具可以為企業(yè)信息文件的安全保駕護(hù)航。

　　就是啟動(dòng)BitLocker驅(qū)動(dòng)器的界面。默認(rèn)情況下，Window操作系統(tǒng)是不啟動(dòng)這個(gè)BitLocker功能的。如果企業(yè)對(duì)于數(shù)據(jù)文件的安全性要求比較高，則可以視情況來(lái)啟動(dòng)這個(gè)功能。那么這個(gè)功能到底有什么特色呢?其使用起來(lái)又有什么限制呢?筆者今天就為大家來(lái)解開(kāi)這個(gè)謎題。

　　一、BitLocker與EFS加密機(jī)制的不同。

　　以前用過(guò)Windows操作系統(tǒng)的人一定了解，從2000操作系統(tǒng)開(kāi)始，微軟就在操作系統(tǒng)上實(shí)現(xiàn)了一種叫做NTFS的文件格式。這個(gè)文件格式根FAT32文件格式相比，相對(duì)來(lái)說(shuō)比較安全與穩(wěn)定一點(diǎn)。而且在這個(gè)分區(qū)格式上，微軟還實(shí)現(xiàn)了很多讓人欣喜的功能。其中EFS文件加密機(jī)制就是其中的一種。那么這個(gè)EFS文件加密機(jī)制與這個(gè)BitLocker有什么聯(lián)系呢?又會(huì)有什么不同?

　　首先值得肯定的是，這兩種技術(shù)都是很好的文件保護(hù)機(jī)制，能夠在很大程度上保障數(shù)據(jù)文件的安全。不過(guò)他們有一個(gè)很大的差異，即EFS是針對(duì)特定的文件或者文件夾來(lái)進(jìn)行加密的。而B(niǎo)itLocker則是針對(duì)整個(gè)驅(qū)動(dòng)器來(lái)進(jìn)行加密。也就是說(shuō)，采用EFS技術(shù)的話(huà)，用戶(hù)可以有選擇的對(duì)一些重要的文件或者文件夾進(jìn)行加密。而如果采用BitLocker的話(huà)，用戶(hù)沒(méi)有這個(gè)選擇權(quán)。其要么對(duì)某個(gè)驅(qū)動(dòng)器的所有文件夾進(jìn)行加密，要么就全部不加密。這是這兩種文件加密機(jī)制的主要差異。

　　不過(guò)他們也有很大的共同點(diǎn)。如無(wú)論是EFS加密系統(tǒng)，還是BitLocker保護(hù)機(jī)制，對(duì)于終端用戶(hù)來(lái)說(shuō)都是透明的。這個(gè)主要體現(xiàn)在如下幾個(gè)方面。首先只要是合法的用戶(hù)，其在訪(fǎng)問(wèn)數(shù)據(jù)的時(shí)候，是感受不到這種保護(hù)措施存在的，無(wú)論是對(duì)數(shù)據(jù)進(jìn)行加密或者解密的過(guò)程，都是在后臺(tái)完成，不需要用戶(hù)干預(yù)。如只要在驅(qū)動(dòng)器上實(shí)現(xiàn)了BitLocker技術(shù)，則當(dāng)用戶(hù)往這個(gè)驅(qū)動(dòng)器中保存文件時(shí)，操作系統(tǒng)會(huì)自動(dòng)對(duì)其加密。當(dāng)下次訪(fǎng)問(wèn)時(shí)，操作系統(tǒng)也會(huì)自動(dòng)對(duì)其進(jìn)行解密。其次，如果其他非首選用戶(hù)試圖訪(fǎng)問(wèn)加密過(guò)的數(shù)據(jù)時(shí)，則其就會(huì)受到“訪(fǎng)問(wèn)拒絕”的錯(cuò)誤提示。無(wú)論是EFS加密系統(tǒng)，還是BitLocker保護(hù)機(jī)制，其能夠很好的保護(hù)用戶(hù)的非授權(quán)訪(fǎng)問(wèn)。第三，他們的用戶(hù)驗(yàn)證過(guò)程都是在登陸Windows操作系統(tǒng)是完成的。也就是說(shuō)，他們的密鑰是直接跟操作系統(tǒng)的帳戶(hù)掛鉤的。為此如果用戶(hù)非法的將文件復(fù)制到其他主機(jī)上，如果沒(méi)有主人用戶(hù)的授權(quán)(證書(shū))，那么其他非法用戶(hù)即使有了這些文件，那么他們也是無(wú)法打開(kāi)的。

　　可見(jiàn)EFS與這個(gè)BitLocker保護(hù)機(jī)制具有很多的相同地方。那么為什么微軟還要費(fèi)力氣開(kāi)發(fā)這個(gè)BitLocker文件加密保護(hù)機(jī)制呢?這主要是因?yàn)檫@個(gè)保護(hù)機(jī)制還是有其自身很多特點(diǎn)的。而這些特點(diǎn)在某些程度上又彌補(bǔ)了EFS文件加密系統(tǒng)的不足。

　　二、BitLocker更方便共享。

　　如果某個(gè)文件夾中的文件采用了EFS加密系統(tǒng)加密，那么這個(gè)文件要在網(wǎng)絡(luò)上共享是比較麻煩的。如系統(tǒng)管理員往往要將某個(gè)用戶(hù)的證書(shū)導(dǎo)入到另外一個(gè)用戶(hù)的操作系統(tǒng)，或者其他類(lèi)似的手段才可以實(shí)現(xiàn)這文件的共享。不過(guò)如果采用BitLocker保護(hù)機(jī)制的話(huà)，則在這個(gè)文件共享上面會(huì)更加的方便。

　　當(dāng)用戶(hù)將文件保存到采用BitLocker機(jī)制的驅(qū)動(dòng)器之后，系統(tǒng)會(huì)自動(dòng)對(duì)其進(jìn)行加密。但是如果用戶(hù)將這個(gè)加密后的文件復(fù)制到其他沒(méi)有采用BitLocker技術(shù)的驅(qū)動(dòng)器中，會(huì)出現(xiàn)什么情況呢?此時(shí)文件會(huì)被自動(dòng)解密。此時(shí)其他用戶(hù)只要具有相關(guān)的權(quán)限，就可以隨意的閱讀。不過(guò)前提是這個(gè)復(fù)制文件的用戶(hù)其具有解密的權(quán)限。到這里為止跟EFS的文件加密系統(tǒng)處理方法還是類(lèi)似的。不過(guò)在這文件共享上雙方還是有很大的不同。假設(shè)現(xiàn)在用戶(hù)要將某個(gè)采用BitLocker加密機(jī)制加密過(guò)的文件，通過(guò)網(wǎng)絡(luò)共享給其他的用戶(hù)。此時(shí)操作系統(tǒng)會(huì)如何處理呢?首先需要明確的是，只要這個(gè)共享的文件仍然在這個(gè)受保護(hù)的驅(qū)動(dòng)器上，那么這個(gè)文件仍然是以加密的形態(tài)保存的，操作系統(tǒng)不會(huì)對(duì)其解密。其次只要這個(gè)用戶(hù)允許其他用戶(hù)訪(fǎng)問(wèn)這個(gè)共享文件(通過(guò)授權(quán)認(rèn)證來(lái)實(shí)現(xiàn))，那么其他用戶(hù)就可以訪(fǎng)問(wèn)這個(gè)文件。而不需要像EFS加密文件系統(tǒng)那樣，手工給其他用戶(hù)導(dǎo)入證書(shū)等等。也就是說(shuō)，在BitLocker保護(hù)機(jī)制下，這個(gè)認(rèn)證授權(quán)過(guò)程對(duì)用戶(hù)來(lái)說(shuō)是透明的。這是BitLocker與EFS文件加密系統(tǒng)相比，最大的改善之一。

　　三、對(duì)操作系統(tǒng)分區(qū)的特殊保護(hù)。

　　EFS加密文件系統(tǒng)將系統(tǒng)文件與普通的用戶(hù)文件是同等對(duì)待的。但是，BitLocker保護(hù)機(jī)制中，則對(duì)其采用了專(zhuān)門(mén)的保護(hù)措施，可以在最大程度上保護(hù)系統(tǒng)文件的安全。只要系統(tǒng)管理員利用BitLocker技術(shù)對(duì)系統(tǒng)分區(qū)進(jìn)行了加密，則在操作系統(tǒng)啟動(dòng)后系統(tǒng)就會(huì)一直監(jiān)視計(jì)算機(jī)，如會(huì)監(jiān)視磁盤(pán)錯(cuò)誤、Bios的更改、啟動(dòng)配置文件的更改等等，并可以防止由此帶來(lái)的安全風(fēng)險(xiǎn)。如果操作系統(tǒng)檢測(cè)到以上的這些錯(cuò)誤，則BitLocker會(huì)自動(dòng)的將這個(gè)磁盤(pán)驅(qū)動(dòng)器鎖住。此時(shí)系統(tǒng)管理員需要利用預(yù)先設(shè)置的一個(gè)密鑰來(lái)解鎖這個(gè)驅(qū)動(dòng)器。通過(guò)這種措施可以防止操作系統(tǒng)的文件以及配置文件在系統(tǒng)管理員不知覺(jué)的情況下被修改。這對(duì)于防止木馬、病毒、惡意程序等等對(duì)操作系統(tǒng)的破壞很有作用。

　　不過(guò)在對(duì)操作系統(tǒng)采用這個(gè)保護(hù)機(jī)制的時(shí)候，需要注意兩點(diǎn)。首先在首次對(duì)系統(tǒng)分區(qū)采用加密保護(hù)機(jī)制時(shí)，需要?jiǎng)?chuàng)建一個(gè)解鎖密碼。否則的話(huà)，當(dāng)操作系統(tǒng)因?yàn)樵馐芸梢傻墓ぞ叨绘i住驅(qū)動(dòng)器時(shí)，系統(tǒng)管理員就無(wú)法對(duì)其進(jìn)行解鎖。而這驅(qū)動(dòng)器中的文件也將無(wú)法訪(fǎng)問(wèn)。所以說(shuō)，在各驅(qū)動(dòng)器啟用這個(gè)保護(hù)機(jī)制時(shí)，別忘了設(shè)置一個(gè)解鎖的密碼。其次，如果用戶(hù)的電腦中安裝了TPM芯片時(shí)，則可以將這個(gè)密碼存儲(chǔ)在這個(gè)芯片上。當(dāng)遇到系統(tǒng)分區(qū)被鎖住時(shí)，BitLocker就會(huì)像這塊芯片所要密碼進(jìn)行解鎖。如果將Windows7操作系統(tǒng)作為服務(wù)器來(lái)使用，則為這個(gè)服務(wù)器配置一塊TPM芯片并在系統(tǒng)分區(qū)上啟用BitLocker保護(hù)機(jī)制，能夠在很大程度上保障服務(wù)器系統(tǒng)的安全與穩(wěn)定型。從這也可以看出，微軟在服務(wù)器的安全與穩(wěn)定性方面，一直在不斷的改進(jìn)。

　　另外如果采用EFS加密文件系統(tǒng)的話(huà)，只要攻擊者知道了帳戶(hù)與密碼，則其可以登陸到操作系統(tǒng)。此時(shí)EFS加密文件的保護(hù)機(jī)制就失去了作用。不過(guò)BitLocker在這方面也有所改善。即使攻擊者知道了用戶(hù)的帳戶(hù)與密碼，其仍然可以采取措施來(lái)保護(hù)系統(tǒng)文件，即BitLocker會(huì)監(jiān)測(cè)系統(tǒng)文件的更改。如果其發(fā)現(xiàn)這個(gè)更改會(huì)給操作系統(tǒng)帶來(lái)安全上的風(fēng)險(xiǎn)時(shí)，就會(huì)采取措施拒絕其更改。到目前為止，這是EFS文件加密系統(tǒng)所不能夠?qū)崿F(xiàn)的功能。

　　可見(jiàn)EFS加密系統(tǒng)與BitLocker加密機(jī)制在實(shí)現(xiàn)細(xì)節(jié)上還有很大的不同。BitLocker主要在對(duì)系統(tǒng)分區(qū)的保護(hù)上有比較獨(dú)特的表現(xiàn)。而且其在共享文件的管理上也更加的方便。