提升安全等级 WinVista的安全特性研究

作者:IT168 雪影蓝风 编译
【IT168 产品应用】Windows Vista中最广为宣传的特征之一就是安全性——也是微软更新的焦点以及对使Windows操作系统更为可靠的致力专注 。
确实,Vista里塞满了新的安全特性——包括嵌入的防火墙,整合的反间谍软件功能,BitLocker驱动加密以及UAC(用户帐户控制)——而这些特性最终将使用户们大为获益 。对于企业用户来说,他们需要的是跨平台的功能,集中化的处理能力和绝对可靠的信赖程度,这些新的特性似乎只是一些修饰性的装饰 。无论对于企业还是个人,下面我们来深入研究一下Vista的安全特性 。
BitLocker硬盘加密技术
eWEEK实验室也对BitLocker对企业的潜在作用十分感兴趣,由于它能加密所有系统驱动的内容——操作系统和数据文件皆可 。
BitLocker能加密所有系统驱动的内容(点击看大图)
BitLocker尝试提供一种与最终用户无缝接近的体验 。理想中,解密的密钥储存在主板中的芯片上,能够在启动时解密硬件驱动 。管理员能够对BitLocker进行配置,要求一个用户进入的验证码,作为一个嵌入式的密钥,一旦驱动被自动载入,它能够防止数据窃取者通过从其它引导驱动进行的离线攻击而不是一个在线的暴力式的攻击 。
打算使用BitLocker的企业需要从开始使用Vista就要有所准备:系统的硬件驱动需要以这样一种方式进行划分,引导管理和引导镜像都需要储存在独立于操作系统、应用程序和数据文件之外的分区中 。虽然通过现有的安装项目有可能再分配一个分区,但这个过程并不是直接易懂的 。同时,管理员需要确保计算机的BIOS做好了Vista的准备,同时,还需要有一个主板上的TPM(受信平台管理)芯片,或能够支持在预引导的情况下能访问USB记忆棒 。
然而,在目前Vista发展的早期阶段,对于硬件制造商所提供的必要的支持水平仍然还是不可或缺 。例如,虽然Vista的TPM驱动是不带商标的,我们还是不能更新获得这个驱动,以正确地安装到我们的联想ThinkPad T60上 。我们需要对BIOS进行全新校订的升级,接着人工地定位与安装这个驱动 。根据微软的工程师所说,T60的TPM芯片不能描述出设备的身份,让Vista得以识别,所以驱动才无法被自动安装 。
TPM芯片终于可用后,我们就能通过BitLocker的设置压缩开始加密过程,它会要求我们在开始系统检查之前储存加密密钥,以确保BitLocker能够开始工作 。这个压缩会复引导机器,测试这个密钥是否会被破解,接着就会开始对整个分区进行加密 。

我们发现,实际上磁盘加密过程是很慢的,一个30GB的分区需要花费一个多小时的时间 。此外,由于加密密钥需要在一台接一台的机器上被创建,因此它就会花费大量的时间和管理员的精力来通过BitLocker启用许多的笔记本电脑 。
根据文件说明,管理员必须在开始进行一项BIOS升级时先关闭BitLocker以将分区解密 。对BIOS所作的简单更改可以在暂时禁用BitLocker的情况下完成,虽然我们发现一些更改——例如改变分区引导的顺序,则不需要这个步骤 。我们也确实注意到,当Vista安装光盘仍在光驱中,我们就开始启动我们测试的计算机时,我们不得不手动地输入恢复性的密钥来启动系统,即使我们选择不要通过光驱进行实际引导 。
通过快速地改变一个组策略设置,我们也能够利用BitLocker而不需要TPM芯片,只需要在启动时将一个USB闪存盘插入计算机来提供解密密钥 。BIOS在启动的过程中必须要能够访问到这个密钥才能够工作——一些我们无法在ThinkPad T60上实现的事却能够通过有着AMD Athlon 64 3500 的处理器和一块Abit主板的定制的计算机来做到 。

推荐阅读