Orin Thomas 对于保护计算机的安全,有几个显而易见的基本步骤:保持计算机使用最新操作系统和应用程序更新,确保安装了最新的反间谍软件和防病毒软件,使用复杂密码并定期更改。在本文中,我将介绍这些基本策略以外的一些安全提示,帮助您更好地利用 Windows 7 的安全功能。
准备 BitLocker
Windows 7 中最显著的安全性改进之一是 BitLocker,这是在 Windows Vista 中首次引入的硬盘加密和启动环境完整性保护技术。.Windows 7 企业版和旗舰版中包含 BitLocker。该技术可确保只要便携式计算机在被盗或丢失时处于关闭状态,未授权用户就无法从失踪的便携式计算机的硬盘驱动器恢复数据。
然而,BitLocker 也带来了一个难题,即在出现锁定受保护卷的硬件故障后的数据恢复问题。因此,虽然 BitLocker 可提供出色的保护,但是很多 IT **人员仍然觉得有问题,因为他们往往只有在必须执行恢复操作时才会注意到它。
数据恢复需要访问与锁定卷关联的 BitLocker 密钥或密码。尽管对于较少数量的计算机,跟踪这些内容比较简单,但是对于数百台计算机则困难得多。
组策略可帮助 IT **人员配置 BitLocker,使其仅在恢复密钥和密码成功备份到 Active Directory 时才能激活。通过改进 Windows Server 2008 R2 中的 Active Directory 用户和计算机控制台和运行 Windows 7 的计算机的远程服务器管理工具,已大大简化了对这些恢复数据的提取。查找恢复密码和密钥也比使用 Windows Vista 中的工具要简单许多。
可以从 BitLocker 恢复选项卡访问 BitLocker 恢复密钥和密码,而不必下载、安装和配置专用工具。在 Active Directory 用户和计算机中查看计算机帐户属性时可看到这些信息。确保备份 BitLocker 密钥和密码的过程包含三个步骤:
1. 在 BitLocker 保护的系统的计算机帐户组策略中,导航到“计算机配置”|“Windows 设置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”。
2. 现在,如果计算机只有一个存储驱动器,请导航到“操作系统驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略。如果计算机有多个存储驱动器,则还应转到“固定数据驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的固定数据驱动器”策略。请注意,虽然可以将其配置为相同的设置,但是这些策略应用于不同的驱动器。
3. 若要配置 BitLocker 以便在 BitLocker 保护激活时可以将密码和密钥备份到 Active Directory,请确保启用以下设置:
为操作系统驱动器将 BitLocker 恢复信息保存到 AD DS 中(或在适当时候为固定数据驱动器)
在为操作系统驱动器将恢复信息存储到 AD DS 之前禁止启用 BitLocker(或在适当时候为固定数据驱动器)
仅当应用策略后才会备份受保护卷的密钥和密码。在实现策略前针对 BitLocker 保护配置的卷不会自动将其密钥和密码存储在 Active Directory 中。必须在这些计算机上禁用并重新启用 BitLocker,才能确保这些恢复信息存储到 AD DS 数据库中。
配置数据恢复代理程序
如果需要恢复受 BitLocker 保护的卷而不输入特定计算机帐户的唯一密码或 PIN,还可以选择使用另一种方法,即数据恢复代理程序 (DRA)。这是一种与用户帐户关联的特殊类型的证书,可用于恢复加密数据。
BitLocker 数据恢复代理程序通过在“添加数据恢复代理程序”向导(我将简要讨论一下该向导)中编辑组策略并指定 DRA 证书来进行配置。不过,若要使用该向导,必须在可访问的文件系统上提供 DRA 证书,或在 Active Directory 中发布该证书。承载 Active Directory 证书服务角色的计算机可以颁发这些证书。
必须恢复数据时,在本地安装 DRA 证书的用户帐户将无法解除对受 BitLocker 保护的卷的锁定。通过导航到“计算机配置”|“Windows 设置”|“安全设置”|“公钥策略”节点,右键单击“BitLocker 驱动器加密”,然后选择“添加数据恢复代理程序”选项,可以访问“添加数据恢复代理程序”向导。
若要通过 DRA 使用 BitLocker,还必须在“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略中(适当时候还要在固定数据驱动器策略中)选中“启用数据恢复代理程序”复选框。可以使用 DRA 和 Active Directory 密钥/密码备份来恢复受 BitLocker 保护的相同卷。
DRA 恢复只能用于受 BitLocker 保护并且在执行策略后启用了 BitLocker 的卷。此方法相对于密码/密钥恢复的优点在于使用 DRA 函数作为 BitLocker 主密钥。这使您可以恢复在该策略影响下加密的任何受保护卷,而不必为要恢复的每个卷查找唯一密码或密钥。
BitLocker To Go
如今很多可移动存储设备的平均存储容量都接近十年前大多数小型和中型部门级别文件共享的容量。这带来了几个难题。
首先,当可移动存储设备丢失或被盗时,可能会破坏大量组织数据。更大的问题可能在于,尽管用户丢失便携式计算机时会很快通知 IT 部门,但是丢失可能包含数 GB 组织数据的 USB 存储设备时,他们不会感到同样紧张。
BitLocker To Go 是随 Windows 7 引入的一项新功能,使用该功能可以通过与 BitLocker 为操作系统和固定驱动器提供的方式类似的方式来保护 USB 存储设备。通过组策略,可以对组织中的计算机进行限制,使这些计算机只能向受 BitLocker To Go 保护的可移动存储设备写入数据。这样可以确保在用户丢失某个可移动设备时,至少该设备上的数据是加密的,未授权的第三方无法轻易访问这些数据,从而增强了安全性。
相关的 BitLocker To Go 策略位于“计算机配置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”| 组策略项目的“可移动数据驱动器”节点。这些策略包括:
控制对可移动驱动器使用 BitLocker。使用此策略可配置对可移动驱动器使用 BitLocker 的方式,包括普通用户是否可以对可移动设备启用或禁用该功能。例如,您可能希望特定用户将数据存储在已配置了保护功能的可移动设备上,但阻止这些用户使用该功能配置其自己的设备。
拒绝对不受 BitLocker 保护的可移动驱动器的写访问。使用此策略可以限制用户,使其只能向受 BitLocker To Go 加密保护的设备写入数据。启用此策略后,未授权人员无法轻易访问写入某个可移动设备的数据,因为该设备受加密保护。
选择如何才能恢复受 BitLocker 保护的可移动驱动器。使用此策略可以配置数据恢复代理程序或在 Active Directory 中保存 BitLocker To Go 恢复信息。此策略非常重要,因为如果选择实现 BitLocker To Go 来保护可移动设备上的数据,则您应具有一种策略,用于在出现用户忘记其 BitLocker To Go 密码这种不可避免的情况时恢复数据。
为某个可移动存储设备配置了 BitLocker To Go 时,用户必须在另一台计算机上输入密