縱觀這些年來，IT業(yè)的某些元素已經(jīng)從“值得具備”演變?yōu)?ldquo;絕對(duì)的必要條件”。如果回望十年前，IT環(huán)境非常不同：企業(yè)對(duì)修復(fù)系統(tǒng)還存在問題，配置基本不是標(biāo)準(zhǔn)化配置，并且數(shù)據(jù)被存儲(chǔ)在很多不同的地點(diǎn)。快進(jìn)到2011年，我們看到了很多方面的改進(jìn)：補(bǔ)丁修復(fù)管理大部分都已經(jīng)自動(dòng)化，配置管理可以規(guī)范服務(wù)器和桌面架構(gòu)，而數(shù)據(jù)仍然存儲(chǔ)在很多不同地點(diǎn)。不管你喜不喜歡，數(shù)據(jù)加密是必須的，而且應(yīng)該強(qiáng)制要求。事實(shí)上，移動(dòng)設(shè)備變得越來越普遍，越來越多的雇主開始意識(shí)到當(dāng)員工在家、咖啡廳或者飛機(jī)場(chǎng)使用公司配備的筆記本，將會(huì)為公司制造麻煩，這些移動(dòng)設(shè)備可能會(huì)丟失、遺忘在的士或飛機(jī)上，或者遭受惡意攻擊?，F(xiàn)在很少公司在爭論數(shù)據(jù)加密的原因，重點(diǎn)已經(jīng)轉(zhuǎn)移到如何進(jìn)行數(shù)據(jù)加密。

　　內(nèi)建磁盤加密還是選擇第三方？

　　六七年前，磁盤加密產(chǎn)品還只是“生態(tài)位空間”;Guardian Edge、Safe Boot和 PGP等供應(yīng)商出售的磁盤加密產(chǎn)品能夠被安裝在當(dāng)時(shí)運(yùn)行Windows XP的計(jì)算機(jī)上，而為這些產(chǎn)品頒布證書是獨(dú)立的，企業(yè)趨向于為他們的移動(dòng)設(shè)備的這些產(chǎn)品頒布證書，并將移動(dòng)設(shè)備與傳統(tǒng)的“固定”設(shè)備分隔開來。

　　在2006年，微軟推出了Bitlocker Drive Encryption，該產(chǎn)品被嵌入到操作系統(tǒng)(Windows Vista Enterprise和Windows Vista Ultimate)的某種SKU中。由于Vista系統(tǒng)的普及度并不高，所以Bitlocker也鮮有人問津。內(nèi)建磁盤加密已經(jīng)足夠好，還是說IT專家需要繼續(xù)證明第三方磁盤加密軟件的許可費(fèi)用?

　　微軟在Windows7中對(duì)Bitlocker進(jìn)行了改進(jìn)，包括加密多個(gè)卷的能力(在Vista中，引導(dǎo)卷是唯一能夠被加密的)等。他們還添加了Bitlocker To Go功能，該功能允許對(duì)能夠在其他Windows 7設(shè)備以及舊頒布操作系統(tǒng)(Windows Vista和Windows XP)上使用的可移動(dòng)設(shè)備(例如usb閃存盤或移動(dòng)硬盤)進(jìn)行加密。然而，在微軟的內(nèi)建解決方案中仍然存在一些缺點(diǎn)，特別是，報(bào)告和綜合管理能力。

　　一體化

　　很多IT部門面臨著殘酷的現(xiàn)實(shí)：隨著公司不斷發(fā)展，環(huán)境變得越來越復(fù)雜，能夠幫助降低成本和消除復(fù)雜性的綜合一站式解決方案對(duì)企業(yè)不僅僅是吸引，而且逐漸成為必需品。安全供應(yīng)商也開始意識(shí)到這種一體式理念，他們收購磁盤加密“單點(diǎn)解決方案”(例如McAfee收購Safe Boot)并將其整合到他們的套件中。但是對(duì)于那些無法負(fù)擔(dān)這些解決方案的IT部門該怎么辦?微軟的內(nèi)建技術(shù)中是否提供了具有競爭力的功能?

　　現(xiàn)在很多IT專家都在構(gòu)建和部署新的windows 7映象，這些問題也開始浮出水面，現(xiàn)在是時(shí)候認(rèn)真研究一下微軟應(yīng)該在這個(gè)領(lǐng)域提供哪些功能了。微軟在MBAM解決方案中增加了更多對(duì)Bitlocker的控制，該解決方案目前還是測(cè)試版本。很多人批評(píng)微軟沒有為企業(yè)報(bào)告磁盤加密狀況提供完整的解決方案。

　　MBAM 的優(yōu)點(diǎn)和缺點(diǎn)

　　MBAM具有幾個(gè)顯著的優(yōu)點(diǎn)。首先，整合到windows 7中的構(gòu)建和部署映象是很廣泛的。MBAM“客戶端”可以用于與你選擇的部署工具，以自動(dòng)化加密過程(當(dāng)系統(tǒng)被映象化或換出的時(shí)候)。針對(duì)性也是很有效的，如果你只想針對(duì)某些設(shè)備子集，例如確定沒有問題的筆記本模型。建議你從磁盤加密基線開始，因?yàn)榉且苿?dòng)設(shè)備也并不意味著它不能移動(dòng)，特別是在物理上不安全的區(qū)域。

　　報(bào)告功能也相當(dāng)完善。報(bào)告引擎建立在SQL Reporting Services上面，正如圖1中所示，根據(jù)操作系統(tǒng)、合規(guī)狀態(tài)、計(jì)算機(jī)類型等來分類，都可以通過瀏覽器的形式來觀看。用戶可以快速查看某設(shè)備是否符合標(biāo)準(zhǔn)，以及快速識(shí)別設(shè)備不符合規(guī)則的根本原因。

▲圖1： SQL Reporting Services Source生成的報(bào)告

　　密鑰托管和管理方面有很大的提高，這也是Vista和Windows 7磁盤加密功能存在不足的地方。Bitlocker支持基于Active Directory的密鑰托管，但是在對(duì)這些寶貴私鑰信息的訪問權(quán)限方面存在問題。Active Directory真的是所有企業(yè)存儲(chǔ)密鑰的最佳位置嗎?從合規(guī)的角度來看，企業(yè)如何處理密鑰的監(jiān)管鏈?

　　在MBAM中，密鑰托管現(xiàn)在可以被傳輸?shù)郊用艿腟QL數(shù)據(jù)庫中，而不是Active Directory。這為密鑰信息安全提供了更好的保障。移除服務(wù)臺(tái)或桌面支持團(tuán)隊(duì)對(duì)Active Directory的訪問權(quán)限也是MBAM吸引人的功能之一。密鑰恢復(fù)也大大提高了，用戶現(xiàn)在可以通過網(wǎng)頁執(zhí)行恢復(fù)。當(dāng)然，他們將需要一個(gè)單獨(dú)的機(jī)器來完成，如果他們的機(jī)器位于“前啟動(dòng)”Bitlocker Recovery控制臺(tái)。

　　在企業(yè)部署windows 7映象作為“標(biāo)準(zhǔn)”用戶方面，微軟也進(jìn)行了重大改進(jìn)，現(xiàn)在最終用戶可以進(jìn)行加密過程(內(nèi)建windows要求由管理員進(jìn)行)。另外更改啟動(dòng)PIIN等管理任務(wù)也進(jìn)行了調(diào)整。

　　當(dāng)然，MBAM也有缺點(diǎn)。MBAM將不會(huì)是一個(gè)免費(fèi)的附件，微軟正計(jì)劃將其包含在微軟桌面優(yōu)化包(MDOP)中，其中包括應(yīng)用虛擬化以及診斷和恢復(fù)工具集(DART)等功能。這將是一個(gè)額外需要訂購的服務(wù)。

　　總結(jié)

　　不管你堅(jiān)持現(xiàn)有的“附加”產(chǎn)品還是正在評(píng)估windows的內(nèi)建解決方案，磁盤加密都是每個(gè)操作系統(tǒng)的必要組成部分。對(duì)于很多想要降低成本和充分利用操作系統(tǒng)集成功能的企業(yè)而言，MBAM提供的密鑰報(bào)告和管理功能已足夠滿足他們的要求。

原文鏈接：http://safe.it168.com/a2011/0819/1235/000001235244.shtml