Windows 7保护操作系统常见的技巧       

  准备 BitLocker

  Windows 7 中最显著的安全性改进之一是 BitLocker,这是在 Windows Vista 中首次引入的硬盘加密和启动环境完整性保护技术。.Windows 7 企业版和旗舰版中包含 BitLocker。该技术可确保只要便携式计算机在被盗或丢失时处于关闭状态,未授权用户就无法从失踪的便携式计算机的硬盘驱动器恢复数据。

  然而,BitLocker 也带来了一个难题,即在出现锁定受保护卷的硬件故障后的数据恢复问题。因此,虽然 BitLocker 可提供出色的保护,但是很多 IT 专业人员仍然觉得有问题,因为他们往往只有在必须执行恢复操作时才会注意到它。

  数据恢复需要访问与锁定卷关联的 BitLocker 密钥或密码。尽管对于较少数量的计算机,跟踪这些内容比较简单,但是对于数百台计算机则困难得多。

  组策略可帮助 IT 专业人员配置 BitLocker,使其仅在恢复密钥和密码成功备份到 Active Directory 时才能激活。通过改进 Windows Server 2008 R2 中的 Active Directory 用户和计算机控制台和运行 Windows 7 的计算机的远程服务器管理工具,已大大简化了对这些恢复数据的提取。查找恢复密码和密钥也比使用 Windows Vista 中的工具要简单许多。

  可以从 BitLocker 恢复选项卡访问 BitLocker 恢复密钥和密码,而不必下载、安装和配置专用工具。在 Active Directory 用户和计算机中查看计算机帐户属性时可看到这些信息。确保备份 BitLocker 密钥和密码的过程包含三个步骤:

  1. 在 BitLocker 保护的系统的计算机帐户组策略中,导航到“计算机配置”|“Windows 设置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”。

  2. 现在,如果计算机只有一个存储驱动器,请导航到“操作系统驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略。如果计算机有多个存储驱动器,则还应转到“固定数据驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的固定数据驱动器”策略。请注意,虽然可以将其配置为相同的设置,但是这些策略应用于不同的驱动器。

  3. 若要配置 BitLocker 以便在 BitLocker 保护激活时可以将密码和密钥备份到 Active Directory,请确保启用以下设置:

  为操作系统驱动器将 BitLocker 恢复信息保存到 AD DS 中(或在适当时候为固定数据驱动器)

  在为操作系统驱动器将恢复信息存储到 AD DS 之前禁止启用 BitLocker(或在适当时候为固定数据驱动器)

  仅当应用策略后才会备份受保护卷的密钥和密码。在实现策略前针对 BitLocker 保护配置的卷不会自动将其密钥和密码存储在 Active Directory 中。必须在这些计算机上禁用并重新启用 BitLocker,才能确保这些恢复信息存储到 AD DS 数据库中。

配置数据恢复代理程序

  如果需要恢复受 BitLocker 保护的卷而不输入特定计算机帐户的唯一密码或 PIN,还可以选择使用另一种方法,即数据恢复代理程序 (DRA)。这是一种与用户帐户关联的特殊类型的证书,可用于恢复加密数据。

  BitLocker 数据恢复代理程序通过在“添加数据恢复代理程序”向导(我将简要讨论一下该向导)中编辑组策略并指定 DRA 证书来进行配置。不过,若要使用该向导,必须在可访问的文件系统上提供 DRA 证书,或在 Active Directory 中发布该证书。承载 Active Directory 证书服务角色的计算机可以颁发这些证书。

  必须恢复数据时,在本地安装 DRA 证书的用户帐户将无法解除对受 BitLocker 保护的卷的锁定。通过导航到“计算机配置”|“Windows 设置”|“安全设置”|“公钥策略”节点,右键单击“BitLocker 驱动器加密”,然后选择“添加数据恢复代理程序”选项,可以访问“添加数据恢复代理程序”向导。

  若要通过 DRA 使用 BitLocker,还必须在“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略中(适当时候还要在固定数据驱动器策略中)选中“启用数据恢复代理程序”复选框。可以使用 DRA 和 Active Directory 密钥/密码备份来恢复受 BitLocker 保护的相同卷。

  DRA 恢复只能用于受 BitLocker 保护并且在执行策略后启用了 BitLocker 的卷。此方法相对于密码/密钥恢复的优点在于使用 DRA 函数作为 BitLocker 主密钥。这使您可以恢复在该策略影响下加密的任何受保护卷,而不必为要恢复的每个卷查找唯一密码或密钥。

 

 

 

加密软件www.encryptedworks.com


网站首页   |   产品介绍   |    新闻报道   |   版本价格   |   操作简介   |   常见问题   |   购买方式   |   经典案例   |   技术支持与服务      

陕ICP备09017460号 擎天公司地址:西安市高新技术产业开发区,锦业路69号创业研发园瞪羚谷B座五楼504
电子邮箱:Boobsoft@boobsoft.com 热线电话:029-86693008 13572182310 传真:95105572-888008 邮编编码:710077