Windows BitLocker是由Windows從Windows Vista時代就開始推出的功能,一開始只能加密所謂系統碟(安裝作業系統的磁碟)。經過時間的推進,在Windows 7後可以加密所有的本機磁碟(開機碟和資料碟),這個時候BitLocker都是針對全磁碟進行加密,所以加解密的過程所花費的時間會隨著你的磁碟機大小有著高度相關性。直到Windows 8以後,BitLocker推出了部分加密,部分加密功能只加密磁碟機已使用的空間,這功能能夠大大的降低加解密所花費的時間。
Windows BitLocker開啟時會要求輸入一組密碼並產生一組救援金鑰後,就會開始加密儲存在磁碟機的資料而進入加密狀態,重新開機後經過加密的磁碟就會上鎖,在上鎖狀態的時候,是無法讀取磁碟機內的資料的。要讀取裡面的資料的時候就會要求輸入密碼來解鎖,成功輸入密碼之後就可以解鎖該磁碟,磁碟機解鎖後就可以無感的讀取磁碟機內的資料。而Windows也表示BitLocker絕無後門,所以一但忘記密碼和還原金鑰就在也無法讀取磁碟機內的資料。但如果電腦或硬碟失竊,也將不用再擔心硬碟中的重要資料被有心人士取得,造成公司的損失。
【圖一 BitLocker磁碟機狀態】
X-FORT整合了Windows的BitLocker的功能推出了新的硬碟防護功能『BitLocker硬碟防護』即將在5.5.0.0推出。
『BitLocker硬碟防護』以中央控管的方式,能夠自動幫使用者的資料碟開啟BitLocker功能,且同時間將救援金鑰加密儲存在資料庫中,若發生問題時就不怕找不到還原金鑰。『BitLocker硬碟防護』在開機後自動的進行解鎖的動作,讓使用者能夠無感的進行操作。
若該作業系統支援『BitLocker硬碟防護』將會取代原有的硬碟防護功能,而且『BitLocker硬碟防護』同時支援MBR與GPT格式,X-FORT對硬碟的防護功能不再受限於只有MBR。(原X-FORT提供的MBR硬碟防護,仍只適用於MBR硬碟)。
『BitLocker硬碟防護』功能與操作
其實並不是所有的作業系統都支援BitLocker,所以在第一欄的電腦資訊就會列出使用者的電腦作業統、是否支援BitLocker、是否搭載TPM晶片等資訊。
【圖二『BitLocker硬碟防護』Console】
X-FORT BitLocker控管功能
啟動『BitLocker硬碟防護』後預設會對電腦的所有資料碟進行啟動BitLocker的動作。系統碟(開機碟)的部分,若該電腦沒有TPM晶片,可能會在電腦剛開機的時候就要由使用者手動輸入密碼來開機,這邊另外分開是否要加密開機碟的選項來選擇。如果該電腦擁有TPM晶片,在開機時,TPM晶片會自動解鎖讓開機程序可以順利進行,就可以達到全自動化的目的。而僅加密在有TPM晶片才會加密系統碟的選項就可以自動判定,電腦若有TPM就會對系統碟加密,如果沒有TPM就不會對系統碟加密。
阻止使用者操作可以阻止一般的使用者,對BitLocker進行各種的操作,例如解密,換密碼、解鎖…等。
BitLocker狀態會列出目前電腦磁碟機BitLocker的狀態,包含BitLocker啟動與否、加密狀態、鎖定狀態、控管者、密碼和還原金鑰等資訊都可以在此表格中一目了然。一般情況下,密碼是不會顯示出來的,只有在Windows 8、Windows 10沒有TPM的情況,且加密系統碟才會顯示密碼。在系統碟的欄位密碼才會顯示出來,讓管理者告訴使用者,必須用這組密碼才能開機。當該磁碟受到X-FORT控管狀後該磁碟會在控管者欄位上顯示X-FORT,若不是受到X-FORT控管的磁碟則會顯示Windows。若使用者先前已使用BitLocker加密,一開始則會是Windows,X-FORT會搶回主控權,讓該磁碟機受到X-FORT控管,接著控管者欄位就會改成X-FORT。
最底下的三個按鈕:遠端解鎖、移機解密、取得一次性密碼,提供了故障排除的機制,這三種機制可以排除大多數的問題。一般情況這些按鈕是無法按下的,當使用者回報某些磁碟機無法使用,管理者就可以因應使用者的狀況使用這三種不同的功能來進行故障排除。