BitLocker de Windows7 acompaña a los datos empresariales.

La seguridad del sistema operativo generalmente incluye dos aspectos, a saber, la seguridad del propio sistema operativo y la seguridad de los datos en el sistema operativo. En Windows 7, el mecanismo de control de UAC, la copia de seguridad del sistema y las medidas de restauración han mejorado considerablemente la seguridad y la estabilidad del sistema operativo. Por lo tanto, no solo preguntamos: ¿existen nuevas medidas para la protección de la seguridad de los datos en Windows7? Esta respuesta es emocionante. En Windows 7, propuso un nuevo mecanismo de protección de datos, BitLocker. Esta herramienta puede proteger la seguridad de los archivos de información corporativa.

Como se muestra en la figura anterior, es la interfaz para iniciar el controlador de BitLocker. De forma predeterminada, el sistema operativo Windows no inicia esta función de BitLocker. Si la empresa tiene mayores requisitos de seguridad para los archivos de datos, esta función se puede activar según corresponda. ¿Cuáles son las características de esta función? ¿Qué restricciones existen al usarla? Resolveré este enigma para todos hoy.

Primero, la diferencia entre BitLocker y el mecanismo de encriptación EFS.

Las personas que han usado el sistema operativo Windows deben entender que, desde el sistema operativo 2000, Microsoft ha implementado un formato de archivo llamado NTFS en el sistema operativo. Este formato de archivo es relativamente más seguro y más estable que el formato de archivo FAT32 raíz. Y en este formato de partición, Microsoft también ha implementado muchas características interesantes. El mecanismo de cifrado de archivos EFS es uno de ellos. Entonces, ¿cuál es la conexión entre este mecanismo de cifrado de archivos EFS y este BitLocker? ¿Cuál es la diferencia?

Lo primero que debe asegurarse es que ambas tecnologías son buenos mecanismos de protección de archivos y se pueden utilizar en gran medida. Asegure los archivos de datos. Sin embargo, tienen una gran diferencia, es decir, EFS se cifra para archivos o carpetas específicos. BitLocker cifra todo el disco. En otras palabras, con la tecnología EFS, los usuarios pueden cifrar selectivamente algunos archivos o carpetas importantes. Y si se usa BitLocker, el usuario no tiene esta opción. Encripta todas las carpetas de una unidad o no las encripta todas. Esta es la principal diferencia entre los dos mecanismos de cifrado de archivos.

Pero también tienen mucho en común. Por ejemplo, ya sea un sistema de cifrado EFS o un mecanismo de protección de BitLocker, es transparente para el usuario final. Esto se refleja principalmente en los siguientes aspectos. En primer lugar, mientras sea un usuario legítimo, no cree que existan medidas de protección al acceder a los datos, ya sea encriptación o descifrado de datos, se realiza en segundo plano sin la intervención del usuario. Si se implementa la tecnología BitLocker en la unidad, el sistema operativo cifrará automáticamente el archivo cuando el usuario guarde el archivo en la unidad. El sistema operativo lo descifra automáticamente la próxima vez que se acceda. En segundo lugar, si otros usuarios no preferidos intentan acceder a los datos cifrados, se les solicitará un error de "acceso denegado". Ya sea un sistema de cifrado EFS o un mecanismo de protección de BitLocker, puede proteger el acceso no autorizado de los usuarios. En tercer lugar, su proceso de autenticación de usuario se completa al iniciar sesión en el sistema operativo Windows. En otras palabras, sus claves están directamente vinculadas a la cuenta del sistema operativo. Por este motivo, si el usuario copia ilegalmente el archivo a otro host, si no hay una autorización (certificado) del usuario propietario, incluso si otros usuarios ilegales tienen estos archivos, no pueden abrirlo.

El EFS visible tiene muchos de los mismos lugares con este mecanismo de protección de BitLocker. Entonces, ¿por qué Microsoft sigue luchando para desarrollar este mecanismo de protección de cifrado de archivos de BitLocker? Esto se debe principalmente a que este mecanismo de protección aún tiene sus propias características. Estas características, hasta cierto punto, compensan las deficiencias del sistema de cifrado de archivos EFS.

Segundo, BitLocker es más conveniente para compartir.

Si un archivo en una carpeta está cifrado con un sistema de cifrado EFS, es incómodo compartir el archivo en la red. Por ejemplo, un administrador del sistema a menudo quiere importar el certificado de un usuario al sistema operativo de otro usuario, u otros medios similares pueden lograr compartir este archivo. Sin embargo, si utiliza el mecanismo de protección de BitLocker, será más conveniente compartir este archivo.

Cuando un usuario guarda un archivo en una unidad que usa el mecanismo de BitLocker, se cifra automáticamente. Pero, ¿qué sucede si el usuario copia este archivo cifrado en otra unidad que no utiliza la tecnología BitLocker? El archivo se descifra automáticamente. En este punto, otros usuarios pueden leer tanto como tienen los permisos relevantes. Sin embargo, la premisa es que el usuario que copió el archivo tiene el derecho de descifrar. El método de procesamiento de sistema de cifrado de archivos con EFS sigue siendo similar aquí. Sin embargo, todavía hay una gran diferencia entre los dos lados en este intercambio de archivos. Supongamos ahora que los usuarios desean compartir un archivo cifrado con el mecanismo de cifrado de BitLocker a otros usuarios a través de la red. ¿Qué sucede con el sistema operativo en este momento? Lo primero que debe quedar claro es que mientras el archivo compartido aún se encuentre en la unidad protegida, el archivo aún se almacena en forma cifrada y el sistema operativo no lo descifra. En segundo lugar, siempre que el usuario permita que otros usuarios accedan al archivo compartido (implementado por autenticación de autorización), otros usuarios pueden acceder al archivo. En lugar de importar manualmente certificados a otros usuarios, como el sistema de archivos cifrado EFS. Es decir, bajo el mecanismo de protección de BitLocker, este proceso de autenticación y autorización es transparente para el usuario. Esta es una de las mejoras más grandes en BitLocker en comparación con el sistema de cifrado de archivos EFS.

Tercero, la protección especial de la partición del sistema operativo.

El sistema de archivos cifrados EFS trata los archivos del sistema de la misma manera que los archivos de usuarios normales. Sin embargo, en el mecanismo de protección de BitLocker, se toman medidas de protección especiales para proteger la seguridad de los archivos del sistema en la mayor medida posible. Siempre que el administrador del sistema encripte la partición del sistema utilizando la tecnología BitLocker, el sistema siempre supervisará la computadora después de que se inicie el sistema operativo, como la supervisión de errores de disco, cambios de BiOS, cambios en el archivo de configuración de inicio, etc. Los riesgos de seguridad. Si el sistema operativo detecta estos errores, BitLocker bloqueará automáticamente la unidad de disco. En este punto, el administrador del sistema debe desbloquear la unidad con una clave preestablecida. Esta medida evita que los archivos del sistema operativo y de configuración se modifiquen sin el conocimiento del administrador del sistema. Esto es útil para evitar que troyanos, virus, programas maliciosos, etc. dañen el sistema operativo.

Sin embargo, al utilizar este mecanismo de protección para el sistema operativo, debe prestar atención a dos puntos. Primero, cuando utiliza el mecanismo de protección de cifrado por primera vez para la partición del sistema, debe crear una contraseña de desbloqueo. De lo contrario, cuando el sistema operativo está bloqueado por una herramienta sospechosa, el administrador del sistema no puede desbloquearlo. Los archivos en esta unidad también serán inaccesibles. Por lo tanto, no olvide establecer una contraseña desbloqueada cuando esta unidad esté habilitada para cada unidad. En segundo lugar, si el chip TPM está instalado en la computadora del usuario, la contraseña se puede almacenar en el chip. Cuando la partición del sistema está bloqueada, BitLocker desbloqueará la contraseña según lo requiera el chip. Si el sistema operativo Windows 7 se utiliza como servidor, la configuración de un chip TPM para este servidor y la habilitación del mecanismo de protección de BitLocker en la partición del sistema puede garantizar en gran medida la seguridad y la estabilidad del sistema del servidor. También se puede ver en esto que Microsoft ha estado mejorando continuamente la seguridad y la estabilidad del servidor.

Además, si se usa el sistema de archivos cifrados EFS, el atacante puede iniciar sesión en el sistema operativo siempre que el atacante conozca la cuenta y la contraseña. En este punto, el mecanismo de protección del archivo cifrado EFS se pierde. Sin embargo, BitLocker también ha mejorado en este sentido. Incluso si el atacante conoce la cuenta y la contraseña del usuario, todavía puede tomar medidas para proteger los archivos del sistema, es decir, BitLocker supervisará los cambios en los archivos del sistema. Si encuentra que este cambio representa un riesgo de seguridad para el sistema operativo, toma medidas para rechazar el cambio. Hasta ahora, esta es una característica que el sistema de cifrado de archivos EFS no puede.

El sistema de cifrado EFS visible y el mecanismo de cifrado de BitLocker son muy diferentes en términos de detalles de implementación. BitLocker tiene un rendimiento relativamente único en la protección de particiones del sistema. Y es más conveniente en la gestión de archivos compartidos.