Bitlocker企業安全加密管理系列-1

對于企業來講，裝置值錢嗎？值錢是肯定的，但有比裝置更值錢的嗎？當然那就是在裝置上存儲的資料了。

在當今社會，我們國家提倡大衆創業，萬衆創新的大環境下，當我們在計算機上創新您的高科技産品或者設計時，您是否擔心這些設計的竊取或者遺失呢？如何保障這些資料的安全呢？接下來在我的《Bitlocker企業安全加密管理系列》中，我将帶大家重新認識一下變化一新的企業安全加密是如何為您的資料安全保駕護航的。

我們的系列會分為個人的安全機密和企業級安全機密這兩個部分來分别給大家展開來講。

那對于有些使用者來講一定不知道什麼是Bitlocker吧？

<a href="http://s3.51cto.com/wyfs02/M01/7F/2D/wKiom1cVzaLDzsZiAAECFIt6Ozs604.png" target="_blank"></a>

我先給大家普及一下：

從Vista開始，就誕生了Bitlocker，但主要還是針對本機計算機的磁盤進行加密，後來演變成為企業中安全防護的重要手段之一。

其次還有RMS，針對特定的Office文檔進行安全通路控制。

那麼efs,rms和bitlocker這3種加密有什麼差別嗎？

首先我們的作業系統是安裝在磁盤上的，那麼Bitlocker是底層的安全保護，基于磁盤的底層加密，在這層加密之上才是我們的Windows系統；

過了Bitlocker驗證以後那麼我們就到了Windows登陸驗證了，這是我們的第二個基于作業系統層面的安全保護；

接着我們如果要對所有的基于在NTFS上的檔案進行加密保護，那麼就可以采取EFS用證書進行安全保護；

如果我們要對特定的Office文檔進行通路控制管理，那麼就需要RMS進行保護;

後來微軟又推出了Azure RMS這一項服務，實作了針對于txt，cad，jpg 等其它格式的加密.

部分IT專業人士應該在Vista和Windows 7時代體驗過Bitlocker吧，應該大部分都是個人體驗，那麼我們先說說當時的情況是怎麼樣的？

啟用Bitlocker前需要将該分區的資料全部拷出備份，因為啟用加密的過程會幹掉該分區的資料。

磁盤分區越大，加密該分區耗時越長，往往出現加密一半時下班了，我是關掉電腦呢還是不關電腦呢？擔心加密一半半途而廢出現問題，其實這個不用擔心，關掉明天開機繼續加密即可。

從Windows 7開始出現了Bitlocker To Go，可以對移動儲存設備進行加密。

對于需要進行作業系統盤符加密的計算機需要該計算機具備TPM晶片的支援。

OK，那後來Bitlocker發生了什麼樣的演變呢？相信被很多人遺忘或者忽略了，今天我來幫大家溫故一下全新的Bitlocker的新特性和更棒的地方一定會讓你大吃一驚。

新特點有如下：

從Windows 8開始，沒有TPM晶片也可以對系統盤加密了喲

從Windows 8開始，不用再導出資料啟用Bitlocker，可以對已用空間的加密和全盤加密，最後都是完全啟用Bitlocker，但一個快，一個慢，資料不用拷出實作加密需求。

從Windows 8.1開始，Bitlocker恢複密鑰可以儲存在OneDriver中

除了Windows 8上面針對于Bitlocker的功能增強外，微軟還有專門針對于企業Bitlocker集中管理的産品  Microsoft BitLocker Administration and Monitoring (MBAM) ，MBAM是微軟MDOP解決方案中的套件，主要用于集中管理企業環境Bitlocker加密，提高IT人員工作效率，提供自助門戶及IT管理門戶，提供合規性報表。

MBAM主要功能如下:

MBAM出現了IT管理門戶以及使用者恢複密鑰自助門戶，所有門戶操作可以支援審計和記錄。

MBAM支援将恢複密鑰存儲在AD和SQL中

MBAM支援報表審計，彙總企業中處于安全的計算機有多少并且有更為詳細的報告展現

MBAM可以對未啟用Bitlocker的計算機間隔提醒啟用Bitlocker已保證資料安全

MBAM可以對移動儲存設備隻讀不寫，除非加密該移動儲存設備

MBAM還可以和SCCM內建，實作更為統一的報表展現，DCM符合性基線修複

最新的MBAM 2.5SP1支援全中文了喲，在2.0版本支援最大20W的終端，在2.5SP1中支援最大50W終端

最新的MBAM 2.5SP1支援系統盤Bitlocker的PIN、Unicode、ASCII碼等，并可以設定複雜度要求以及期限要求，可以強制使用者進行加密要求

最新的MBAM 2.5SP1支援Windows 10和SQL 2014 With SP1

最新的MBAM 2.5SP1支援美國聯邦資訊處理标準 (FIPS) 相容的 BitLocker 恢複密鑰

最新的MBAM 2.5SP1不再是本地Administrators管理組而是AD管理組，這樣權限管理更加合理

最新的MBAM 2.5SP1還支援高可用，前端IIS NLB高可用，後端SQL的Alwayson和Cluster高可用

最新的MBAM 2.5SP1還支援Powershell哦

下圖就是我自己的筆記本電腦沒有TPM晶片的加密狀态，如果您的企業也恰巧有這些安全加密的需求，那就期待我後續的該系列文章吧。

<a href="http://s3.51cto.com/wyfs02/M02/7F/2D/wKiom1cVzaWwxAltAAN9uTctwwM865.png" target="_blank"></a>

您的支援，我的動力。

本文轉自 ZJUNSEN 51CTO部落格，原文連結：http://blog.51cto.com/rdsrv/1765357，如需轉載請自行聯系原作者