包含敏感數(shù)據(jù)的筆記本電腦被盜怎么辦？最簡便的方法就是對筆記本硬盤進行加密，這就應(yīng)用到了我們今天談的話題——存儲加密技術(shù)。存儲加密技術(shù)是一種簡單的加密機制，用于加密存儲在硬盤和其它一些媒介如備份磁盤上的數(shù)據(jù)。除非小偷知道用戶密碼，否則他是不能訪問用戶數(shù)據(jù)的。

然而，熟悉電腦的小偷會利用一種方法去重新設(shè)置本地管理員的密碼，從而訪問數(shù)據(jù)，或者只需移去硬盤并把它裝在另一臺電腦從而避開Windows操作系統(tǒng)的限制。所以，除非這些硬盤上的數(shù)據(jù)加密了，否則這兩種方法可以很快就讓小偷訪問用戶的數(shù)據(jù)。

在以上情況出現(xiàn)時，存儲級加密可以保護數(shù)據(jù)，但有其他一些加密技術(shù)達到的效果可以更好。例如，Windows加密文件系統(tǒng)（EFS）可以對數(shù)據(jù)卷進行加密，但它不能加密包含啟動 Windows所需特定硬盤文件的系統(tǒng)卷。這意味著，只有在電腦本身的物理安全得到保障的前提下，EFS加密的數(shù)據(jù)才會繼續(xù)受到保護。

如果計算機被盜，加密的硬盤又被移除并安裝到另一臺計算機上，此時EFS加密將會防止數(shù)據(jù)的泄密。然而，由于系統(tǒng)卷是不受保護，這樣就無法阻止小偷采用一種可行的方法重新設(shè)置管理員密碼，進而啟動Windows，用新密碼登陸，并獲取數(shù)據(jù)。

Windows Vista和Windows Server 2008提供BitLocker功能，從而解決了這個問題。它使用的可信平臺模塊去加密系統(tǒng)卷。因為這是一個BIOS級的加密機制，所以它能防止密碼重置攻擊（假設(shè)系統(tǒng)卷已被加密）。

如果您正在考慮使用存儲級加密，此時仔細制定密鑰管理計劃，并擁有一個密鑰恢復(fù)機制就顯得很重要了。密鑰的丟失是一個相當普遍的問題。當鑰匙丟失時，加密的數(shù)據(jù)無法讀取。除非有備份的密鑰可用，否則其結(jié)果將是數(shù)據(jù)永久性的丟失。

第三方的存儲級加密產(chǎn)品大多與EFS的工作機制類似，但其管理起來更加容易。除了采用不同的加密算法外，EFS和其他產(chǎn)品一個很重要的區(qū)別是密鑰存儲的方式。

Windows把EFS密鑰存儲在系統(tǒng)盤上，這將產(chǎn)生一些棘手的問題。第一，當系統(tǒng)盤無法正常工作時，密鑰便丟失，這將導致數(shù)據(jù)永久性的丟失，除非有備份的密鑰可用（作為域的一部分的Windows工作站通常會指派域管理員作為恢復(fù)密鑰的代理）。第二，如果一臺筆記本電腦被盜，熟練的黑客可以從系統(tǒng)盤上提取到密鑰，并利用它們來解開加密的數(shù)據(jù)。許多第三方的加密產(chǎn)品通過把密鑰存儲在U盤或網(wǎng)絡(luò)服務(wù)器上來應(yīng)對這種盜取密鑰的方法。

admin

收藏 海報分享