iThome

在過去Windows作業系統的使用者,如果想要保護電腦中的資料,只能借助第三方加密軟體或是EFS(Encrypting File System,加密檔案系統),不過各種第三方加密軟體使用的技術都不相同,使用者必須在不同的電腦上安裝同樣的軟體,而Windows內建的EFS也僅能加密單一檔案或資料夾,無法全面性地保護整臺磁碟機,使用上有諸多限制。

到了Windows Vista,微軟在作業系統中加入了內建的磁碟加密工具「BitLocker」,它能保護系統磁碟(通常為C槽)中所有的檔案或資料夾,而不像EFS必須分開加密並保存金鑰或密碼,如果再搭配AD中的群組原則,可以大幅提升系統磁碟的資料安全性,同時減少檔案加密時間。

以Vista SP1來說,BitLocker加密的範圍已經可以包含全部的本機磁碟,而不是受限於安裝Windows作業系統的系統磁碟。然而,由於外接式磁碟或USB隨身碟攜帶方便,幾乎已經成為暫時存放或遷移資料時不可或缺的重要儲存設備,不過由於體積小、重量輕,這類型的裝置遺失率也特別高,而其中儲存的重要資料價值,更是遠在設備本身之上,所以如何管理隨身碟一直是企業相當重視的環節,BitLocker的加密功能卻並沒有將這類型的儲存裝置納入保護範圍內。

一直到了Windows 7,微軟再度改進加密資料的BitLocker功能,延伸至上述的抽取式儲存設備,讓企業在全面禁用或開啟USB隨身碟的管理方式外,能有較為彈性的選擇,同時又能保障資料安全。

企業版及旗艦版的專屬功能

這項新的磁碟加密功能稱為「BitLocker To Go」,目前僅內建在企業版與旗艦版的Windows 7中,不過其他版本的Windows(Vista或XP)仍然可以讀取被BitLocker To Go加密過的磁碟。

BitLocker To Go可加密所有使用FAT(包含FAT32、exFAT等)或NTFS格式的抽取式儲存設備,同時作業方式也和BitLocker互相獨立,換句話說,使用這項功能時,並不需要先使用BitLocker加密其他本機磁碟,電腦也不需要內建TPM安全晶片。

BitLocker To Go的特殊加密機制

當使用者刪除磁碟機中的檔案時,這些資料並不是真的消失,而只是把資料和讀取裝置之間的連結移除而已,因此有些看起來是閒置的空間,事實上卻包含了機密資料,所以一般而言,加密軟體的處理流程是先讀取資料(包含未使用空間),然後將這些資料加密,最後再把加密過的資料寫入磁碟。但是當磁碟空間使用率不到20%時,讀取可用空間並加密的行為,就會顯得相當耗時。

BitLocker採取的作法則是僅加密已使用空間的檔案,再自行創造一些無意義的資料來填補未使用空間,以避免系統浪費時間在加密已刪除的資料上,微軟宣稱,這樣的機制讓BitLocker加密閒置空間資料的速度,比加密一般資料快2倍。

加密後不影響檔案傳輸效能

根據我們的實測,在Intel Core i7處理器搭配3GB記憶體的個人電腦上,使用BitLocker加密容量為2GB的隨身碟(內含755MB的檔案),約需費時16分鐘30秒。相較於知名的企業級加密軟體PGP,加密過程約需耗時5小時20分,BitLocker To Go的加密速度顯然較快。至於免費軟體TrueCrypt,雖然加密同樣容量的隨身碟(不含資料)僅需6分鐘20秒,不過當隨身碟內存有檔案時,必須先利用本機磁碟手動建立一個新的加密磁區,再將隨身碟上的所有檔案搬移到加密磁區中,之後才能完成檔案加密,過程相當麻煩。

即使BitLocker To Go的加密速度仍有進步空間,但經過加密的隨身碟能保持和未加密相同的讀取效能。我們將大小為755MB的檔案複製到未加密的隨身碟中,歷時31.3秒,平均每秒傳輸速度為24.11MB;如果複製到由BitLocker To Go加密過的同一個USB隨身碟,則是費時31.4秒,平均每秒可傳送24.05MB的資料,兩者之間幾乎沒有差別。

向下相容於Windows XP和Vista環境

不僅如此,BitLocker To Go的便利性也相當不錯。舉例來說,隨身碟加密後,除了一開始必須需入密碼來解開鎖定,其餘使用方式都和原本相同。相較於TrueCrypt必須先隨身碟中建立一個虛擬映像檔,之後再將需要加密的檔案移至映像檔中才能受到保護,BitLocker To Go的工作方式顯然更直覺、簡單。

當受到BitLocker To Go保護的隨身碟,連接至Windows 7環境的電腦時,使用者可以透過輸入密碼、插入智慧卡,或是自動解鎖等方式來存取隨身碟內的資料,不過只有當使用者先輸入正確的密碼後,才能勾選自動解鎖選項。至於在Windows XP(SP3)和Vista作業系統下,雖然無法選擇自動解鎖,但仍可以透過前兩種方式來存取隨身碟內的資料。

以Windows XP環境為例,當使用者將加密過的隨身碟插入USB埠,系統會要求輸入解鎖密碼,以便讀取隨身碟中的資料。但由於XP本身並不支援BitLocker To Go,因此解鎖後並不會出現一般的檔案總管視窗,取而代之的是一個稱為「BitLocker To Go讀取裝置(BitLocker To Go Reader)」的操作介面,此時隨身碟將呈現唯讀狀態,因此使用者必須將隨身碟內的指定檔案先複製到本機磁碟,才能修改或編輯檔案內容,同時也無法將檔案寫入受到BitLocker保護的隨身碟中。

當使用BitLocker加密時,系統會自動將「BitLocker To Go讀取裝置」程式寫入隨身碟,並設定為自動執行,所以在一般情況下,一旦XP或Vista判讀目前正在連接的隨身碟,已受到BitLocker To Go保護時,就會自動彈出這個程式,以便使用者存取檔案。然而,在我們測試的過程中,也曾出現隨身碟無法存取的錯誤訊息,這時使用者可以自行到微軟下載BitLocker To Go Reader這個操作介面。

此外,如果在更早的作業系統版本環境下,例如Windows XP SP2,插入已使用BitLocker To Go加密的隨身碟,系統將顯示為「未格式化」裝置,也無法存取其中的資料。

只要是Windows 7環境的電腦,都可以順利讀取經過BitLocker To Go加密的隨身碟,而安裝XP SP3或Vista作業系統的電腦,也能利用讀取程式來存取隨身磁內的檔案,而不需要另外安裝其他程式,相較於其他加密軟體必須在不同電腦上建立同樣的環境,BitLocker To Go可以在兼顧資料安全性的情況下,保有更高的檔案流通便利性。

修復金鑰可儲存在本機磁碟或AD

任何加密系統最讓人擔心的就是忘記密碼或解密程序,導致資料無法存取,針對這一點,BitLocker也提供多種解密方式。

在使用BitLocker加密時,使用者可以選擇以密碼、智慧卡或是TPM安全晶片來保護加密內容,解密時也必須使用相同機制,如果不幸忘記密碼,還可以利用修復金鑰來存取加密的資料。

修復金鑰是BitLocker在加密過程中,自動產生的一組序號,它包含48位純數字的修復金鑰,以及一組32位英/數混合的金鑰識別碼,其中前者可以用來解密,後者則是當系統內存放了多組修復金鑰時,使用者可以用它來判斷裝置與修復金鑰之間對應關係。

舉例來說,如果在解密時選擇「忘記密碼」,系統便會要求輸入修復金鑰,並提示金鑰識別碼的前8個字元,這時我們只要找到檔案名稱或內容具有這8個字元的純文字文件,就可以得知正確的修復金鑰。

一般來說,使用者會將修復金鑰儲存在本機磁碟以便隨時取用,不過在企業環境中,IT人員也可以選擇把金鑰備份到Active Directory Domain Services(AD DS)以免遺失。

值得注意的是,在啟用這項功能時,必須決定一旦備份失敗,是否要繼續啟用BitLocker,如果選取「需要BitLocker備份至AD DS」選項,則電腦必須連接到網域,同時BitLocker修復資訊也成功備份至AD DS,BitLocker才會開啟。這個選項在預設情況下會自行套用,以確保BitLocker修復金鑰可被存取並執行。

如果需要一次解密大量經BitLocker加密的儲存裝置,IT人員只要利用資料復原代理(Data Recovery Agent,DRA)就能達到目的。在啟用DRA之前,必須先到本機群組原則設定項中,找到位於「公開金鑰原則」的「BitLocker磁碟機加密設定」,再從右鍵選單中點選「新增資料復原代理」,以啟用DRA精靈,並指定特定的使用者帳戶為BitLocker的復原代理,讓這個帳戶能透過公開的金鑰來解密加密磁區。所有被設定為復原代理的帳戶,都必須具備復原代理憑證,IT人員可以手動建立此憑證,或是直接從AD的使用者清單中挑選。

在Windows 7眾多專屬於企業應用的新功能裡,相較於DirectAccess、BranchCache等,BitLocker To Go對個人使用者的幫助顯然更為明顯,不過使用上仍有不便之處,例如該功能只能在企業版或旗艦版中啟用,再加上在非Windows 7的既有視窗環境下,加密後的隨身碟將被鎖定在唯讀狀態。如果能克服上述2項限制,這個功能應用起來對於機敏資料的保護將更有幫助。

 

如何使用BitLocker To Go

在控制臺啟動BitLocker To Go

使用者可以到控制臺的「BitLocker磁碟機加密」選項中開啟BitLocker To Go,如果想要解除加密狀態,也必須到控制臺才能執行解密。

 

用右鍵選單啟動BitLocker To Go

除了從控制臺啟用外,直接在檔案總管的卸除式磁碟圖示上按下滑鼠右鍵,就會出現「開啟BitLocker」選項,點選後就能直接開始加密。

 

支援密碼或智慧卡保護

加密過程中可以選擇使用密碼或智慧卡來鎖定或解除加密裝置。在IT人員未啟用強制套用強式密碼群組原則的 情況下,密碼需超過8個字元。

 

BitLocker加密圖示

經BitLocker加密過的外接式硬碟或USB隨身碟,Windows 7會以不同顏色的鎖和鑰匙圖示來反映目前的存取狀況,其中灰色代表加密的磁碟已經解鎖,黃色則是未解鎖。

 

用修復金鑰解鎖BitLocker To Go隨身碟

一般情況下, 使用者可以透過密碼或智慧卡來解除BitLocker,如果忘記密碼,也可以選擇使用修復金鑰來解除鎖定的磁碟機,系統將提示8位數的金鑰識別碼。

 

BitLocker To Go在XP環境的使用限制

在Windows XP 環境下,只能以唯讀的方式來存取經過BitLocker To Go加密的隨身碟資料,使用者可以直接將檔案「拖」出來, 或是點選檔案後再指定複製位置。這個BitLocker專屬的讀取程式,會在加密過程中一併安裝於被加密的卸除式磁碟,並於 連接電腦後自動執行。

 

BitLocker與EFS比較表

(看大圖)

 

常見的免費隨身碟加密軟體比較表

(看大圖)

 

搭配群組原則管理可提升安全性

BitLocker To Go這項新功能除了能用來加密資料外,IT管理人員也可以透過Windows Server 2008 R2及Windows 7新增的群組原則,來管理員工使用隨身碟的行為,目前共有6項可管理卸除式磁碟的BitLocker群組原則。

舉例來說,在群組原則的「BitLocker磁碟機加密」項目中,可以找到「拒絕未受BitLocker保護之卸除式磁碟機的寫入存取權」,一旦套用這條規則,外接式磁碟機都將被鎖定在唯讀狀態,直到該磁碟機以BitLocker To Go加密。

而在群組原則中,IT人員也可以利用抽取式磁碟的管理條件,直接將所有可攜式儲存設備強制設定成唯讀狀態,這時即使使用者輸入正確的BitLocker解鎖密碼,也無法將資料儲存至隨身碟或外接式硬碟。

此外,IT人員還能藉由「設定卸除式資料磁碟機的密碼使用方式」,來強制規定使用BitLocker To Go加密時,必須設定符合強式密碼原則的解鎖密碼。

針對早期版本(XP或Vista)的作業系統,我們也可以利用「允許從舊版Windows 存取受BitLocker保護的卸除式資料磁碟機」這項群組原則,來限制是否要讓非Windows 7的視窗作業系統讀取加密資料。

 

用群組原則管理BitLocker隨身碟

在Windows 7的群組原則中,共有6項與BitLocker To Go有關,IT人員可在此限制員工的隨身碟使用原則,例如必須啟用BitLocker加密才能儲存資料。

 

熱門新聞

Advertisement