二、BitLocker更方便共享。
如果某個文件夾中的文件采用了EFS加密系統加密,那麼這個文件要在網絡上共享是比較麻煩的。如系 統管理員往往要將某個用戶的證書導入到另外一個用戶的操作系統,或者其他類似的手段才可以實現這文 件的共享。不過如果采用BitLocker保護機制的話,則在這個文件共享上面會更加的方便。
當用戶將文件保存到采用BitLocker機制的驅動器之後,系統會自動對其進行加密。但是如果用戶將這 個加密後的文件復制到其他沒有采用BitLocker技術的驅動器中,會出現什麼情況呢?此時文件會被自動解 密。此時其他用戶只要具有相關的權限,就可以隨意的閱讀。不過前提是這個復制文件的用戶其具有解密 的權限。到這裡為止跟EFS的文件加密系統處理方法還是類似的。不過在這文件共享上雙方還是有很大的 不同。假設現在用戶要將某個采用BitLocker加密機制加密過的文件,通過網絡共享給其他的用戶。此時 操作系統會如何處理呢?首先需要明確的是,只要這個共享的文件仍然在這個受保護的驅動器上,那麼這 個文件仍然是以加密的形態保存的,操作系統不會對其解密。其次只要這個用戶允許其他用戶訪問這個共 享文件(通過授權認證來實現),那麼其他用戶就可以訪問這個文件。而不需要像EFS加密文件系統那樣, 手工給其他用戶導入證書等等。也就是說,在BitLocker保護機制下,這個認證授權過程對用戶來說是透 明的。這是BitLocker與EFS文件加密系統相比,最大的改善之一。
三、對操作系統分區的特殊保護。
EFS加密文件系統將系統文件與普通的用戶文件是同等對待的。但是,BitLocker保護機制中,則對其 采用了專門的保護措施,可以在最大程度上保護系統文件的安全。只要系統管理員利用BitLocker技術對 系統分區進行了加密,則在操作系統啟動後系統就會一直監視計算機,如會監視磁盤錯誤、BiOS的更改、 啟動配置文件的更改等等,並可以防止由此帶來的安全風險。如果操作系統檢測到以上的這些錯誤,則 BitLocker會自動的將這個磁盤驅動器鎖住。此時系統管理員需要利用預先設置的一個密鑰來解鎖這個驅 動器。通過這種措施可以防止操作系統的文件以及配置文件在系統管理員不知覺的情況下被修改。這對於 防止木馬、病毒、惡意程序等等對操作系統的破壞很有作用。
不過在對操作系統采用這個保護機制的時候,需要注意兩點。首先在首次對系統分區采用加密保護機 制時,需要創建一個解鎖密碼。否則的話,當操作系統因為遭受可疑的工具而被鎖住驅動器時,系統管理 員就無法對其進行解鎖。而這驅動器中的文件也將無法訪問。所以說,在各驅動器啟用這個保護機制時, 別忘了設置一個解鎖的密碼。其次,如果用戶的電腦中安裝了TPM芯片時,則可以將這個密碼存儲在這個 芯片上。當遇到系統分區被鎖住時,BitLocker就會像這塊芯片所要密碼進行解鎖。如果將Windows7操作 系統作為服務器來使用,則為這個服務器配置一塊TPM芯片並在系統分區上啟用BitLocker保護機制,能夠 在很大程度上保障服務器系統的安全與穩定型。從這也可以看出,微軟在服務器的安全與穩定性方面,一 直在不斷的改進。
另外如果采用EFS加密文件系統的話,只要攻擊者知道了帳戶與密碼,則其可以登陸到操作系統。此時 EFS加密文件的保護機制就失去了作用。不過BitLocker在這方面也有所改善。即使攻擊者知道了用戶的帳 戶與密碼,其仍然可以采取措施來保護系統文件,即BitLocker會監測系統文件的更改。如果其發現這個 更改會給操作系統帶來安全上的風險時,就會采取措施拒絕其更改。到目前為止,這是EFS文件加密系統 所不能夠實現的功能。
可見EFS加密系統與BitLocker加密機制在實現細節上還有很大的不同。BitLocker主要在對系統分區的 保護上有比較獨特的表現。而且其在共享文件的管理上也更加的方便