用bitlocker实现磁盘加密.docVIP

对编程实现访问VISTA加密硬盘的 认识和建议 2006-10-28 目 录 1． VISTA对磁盘的加密 3 1．1 磁盘加密的必要性 3 1．2 VISTA 的加密措施 3 2． 通过WMI 对加密磁盘进行访问 4 2．1 WMI是什么 4 2．2 WMI 在系统中的体系层次 5 2．3 WMI的逻辑结构 6 2．4 编制WMI 应用程序 6 2．5 WMI 对BitLocker和TPM 的访问支持 7 3． 相关的认识和建议 7 3．1 官方文档描述的WMI 可以实现的功能 7 3．2 结论、建议和可能的实施步骤 8 参考资料 9 VISTA对磁盘的加密 1．1 磁盘加密的必要性 信息安全一直是Windows重点关注的方面，微软希望在新的一代Windows操作系统Vista中大大改善其倍受攻击的安全性。与以前的版本相比，Vista为用户提供了更加全面的保护：包括防火墙、自动更新、间谍软件防范、Internet安全设置、用户账户控制，等等。 但是，上述的这些安全措施，并不能防范用户因 PC 硬件丢失、被盗或不当的淘汰处理所造成的数据失窃或泄漏。在这些情况下，窃密者可以通过离线式攻击方法，也就是直接接触、使用或者挂接你的电脑来实施入侵行为，获取计算机里面的数据。而之前的Windows系统只能对硬盘采取有限的加密手段，在离线式攻击面前不堪一击，从而造成机密信息在非法使用者面前暴露无遗。比如，在Windows XP系统下，用户的账户保护非常脆弱，专业技术人员可以在短时间内破解掉它，从而以超级用户身份进入操作系统，进而获取该系统任何信息的处理权限。 怎样确保系统即便在遭受离线式攻击的时候也安全呢？Windows Vista 的思路是在遭受离线式攻击时候，首先保证操作系统本身不被入侵，然后通过操作系统来保护其余信息的安全。 1．2 VISTA 的加密措施 在Windows Vista中，保护操作系统本身不被非法进入的新技术称为BitLocker Drive Encryption ( BDE，数位锁驱动器加密 )。对其余信息的保护采用的是Encrypting File System（EFS，文件加密系统）技术，在Vista之前，该技术已经被应用于Windows 2000/XP/2003操作系统中。需要强调的是，BDE和EFS针对的都是NTFS文件系统卷上的数据；而且，并不是所有的Windows Vista版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。 BitLocker驱动器加密是Vista引入的一种新的加密模式，它只能加密系统分区也就是Windows Vista所在的分区，加密后的磁盘或者磁盘分区是与计算机硬件（集成在主板上的TPM芯片或者USB闪存）捆绑在一起的，因此无法在其他计算机上解密。BitLocker 能够有效地防止非法使用者启动另外一个系统，或者通过离线方式浏览存储在受保护驱动器中的文件，或者使用解密工具来破坏Windows Vista中文件和系统保护机制。 EFS是一种基于用户账户的文件保护机制，也就是说它使用用户的计算机帐户对该用户的数据进行加。 利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。而EFS 则不能加密上述文件。 BitLocker和EFS相互补充，给系统安全提供强大的保护。Bitlocker系统分区，也就等于保护了用户账户，攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS所保护的任何数据了。 BitLocker 和EFS 具有对合法用户的操作透明性，也就是说，在使用（比如打开和更改）加密文件的时候，不需要手动解密已加密的文件，而且感觉不到系统对该文件的解密过程。 BitLocker主要是在本地用软硬结合的方式来保护VISTA所在分区上的数据。加密的时候，用户可以将密匙保存到TPM 芯片，或者可移动的USB 磁盘，或者打印在纸张上。 启动VISTA的时候，通过 BitLocker 还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN，针对采用TPM 芯片的情形）或插入含有密钥资料的 USB 闪存驱动器，或者手工输入正确的密匙为止。BitLocker加密算法理论上来说不能破解，这要求用户严格保存好密匙，否则没有办法恢复对系统的访问。 用BitLocker加密后的NTFS文件系统分区，在离线状态下被视为未知文件系统分区。用EFS 加密后的文件/文件夹在离线状态下具有不可访问属性。 在硬盘迁移（将含有操作系统卷的硬盘驱动器移动到另一台计算机或更换系统主板），或者系统锁定情况下（可能是由硬件故障或直接攻击而引起），通过密匙，BitLocker 会