Bitlocker企业安全加密管理系列-1

对于企业来讲，设备值钱吗？值钱是肯定的，但有比设备更值钱的吗？当然那就是在设备上存储的数据了。

在当今社会，我们国家提倡大众创业，万众创新的大环境下，当我们在计算机上创新您的高科技产品或者设计时，您是否担心这些设计的窃取或者遗失呢？如何保障这些数据的安全呢？接下来在我的《Bitlocker企业安全加密管理系列》中，我将带大家重新认识一下变化一新的企业安全加密是如何为您的数据安全保驾护航的。

我们的系列会分为个人的安全机密和企业级安全机密这两个部分来分别给大家展开来讲。

那对于有些用户来讲一定不知道什么是Bitlocker吧？

我先给大家普及一下：

Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM，则必须通过使用组策略更改BitLocker安装向导的默认行为，或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时，所需加密密钥存储在USB闪存驱动器中，必须提供该驱动器才能解锁存储在卷上的数据。

从Vista开始，就诞生了Bitlocker，但主要还是针对本机计算机的磁盘进行加密，后来演变成为企业中安全防护的重要手段之一。

那么在此之前微软有哪些加密手段呢？有大家很少使用的文件证书加密efs：加密文件系统。 EFS加密是基于公钥策略的， 对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。

其次还有RMS，针对特定的Office文档进行安全访问控制。

那么efs,rms和bitlocker这3种加密有什么区别吗？

• 首先我们的操作系统是安装在磁盘上的，那么Bitlocker是底层的安全保护，基于磁盘的底层加密，在这层加密之上才是我们的Windows系统；

• 过了Bitlocker验证以后那么我们就到了Windows登陆验证了，这是我们的第二个基于操作系统层面的安全保护；

• 接着我们如果要对所有的基于在NTFS上的文件进行加密保护，那么就可以采取EFS用证书进行安全保护；

• 如果我们要对特定的Office文档进行访问控制管理，那么就需要RMS进行保护;

• 后来微软又推出了Azure RMS这一项服务，实现了针对于txt，cad，jpg 等其它格式的加密.

部分IT专业人士应该在Vista和Windows 7时代体验过Bitlocker吧，应该大部分都是个人体验，那么我们先说说当时的情况是怎么样的？

• 启用Bitlocker前需要将该分区的数据全部拷出备份，因为启用加密的过程会干掉该分区的数据。

• 磁盘分区越大，加密该分区耗时越长，往往出现加密一半时下班了，我是关掉电脑呢还是不关电脑呢？担心加密一半半途而废出现问题，其实这个不用担心，关掉明天开机继续加密即可。

• 从Windows 7开始出现了Bitlocker To Go，可以对移动存储设备进行加密。

• 对于需要进行操作系统盘符加密的计算机需要该计算机具备TPM芯片的支持。

OK，那后来Bitlocker发生了什么样的演变呢？相信被很多人遗忘或者忽略了，今天我来帮大家温故一下全新的Bitlocker的新特性和更棒的地方一定会让你大吃一惊。

新特点有如下：

• 从Windows 8开始，没有TPM芯片也可以对系统盘加密了哟

• 从Windows 8开始，不用再导出数据启用Bitlocker，可以对已用空间的加密和全盘加密，最后都是完全启用Bitlocker，但一个快，一个慢，数据不用拷出实现加密需求。

• 从Windows 8.1开始，Bitlocker恢复密钥可以保存在OneDriver中

除了Windows 8上面针对于Bitlocker的功能增强外，微软还有专门针对于企业Bitlocker集中管理的产品  Microsoft BitLocker Administration and Monitoring (MBAM) ，MBAM是微软MDOP解决方案中的套件，主要用于集中管理企业环境Bitlocker加密，提高IT人员工作效率，提供自助门户及IT管理门户，提供合规性报表。

MBAM主要功能如下:

• MBAM出现了IT管理门户以及用户恢复密钥自助门户，所有门户操作可以支持审计和记录。

• MBAM支持将恢复密钥存储在AD和SQL中

• MBAM支持报表审计，汇总企业中处于安全的计算机有多少并且有更为详细的报告展现

• MBAM可以对未启用Bitlocker的计算机间隔提醒启用Bitlocker已保证数据安全

• MBAM可以对移动存储设备只读不写，除非加密该移动存储设备

• MBAM还可以和SCCM集成，实现更为统一的报表展现，DCM符合性基线修复

• 最新的MBAM 2.5SP1支持全中文了哟，在2.0版本支持最大20W的终端，在2.5SP1中支持最大50W终端

• 最新的MBAM 2.5SP1支持系统盘Bitlocker的PIN、Unicode、ASCII码等，并可以设置复杂度要求以及期限要求，可以强制用户进行加密要求

• 最新的MBAM 2.5SP1支持Windows 10和SQL 2014 With SP1

• 最新的MBAM 2.5SP1支持美国联邦信息处理标准 (FIPS) 相容的 BitLocker 恢复密钥

• 最新的MBAM 2.5SP1不再是本地Administrators管理组而是AD管理组，这样权限管理更加合理

• 最新的MBAM 2.5SP1还支持高可用，前端IIS NLB高可用，后端SQL的Alwayson和Cluster高可用

• 最新的MBAM 2.5SP1还支持Powershell哦

下图就是我自己的笔记本电脑没有TPM芯片的加密状态，如果您的企业也恰巧有这些安全加密的需求，那就期待我后续的该系列文章吧。

您的支持，我的动力。