BitLocker Windows 資料保護 作業系統 MBAM 加密 資安 AD

集中控管企業Windows 10 BitLocker磁碟加密機制

2015-11-09
為了避免敏感資訊不慎外洩,微軟提供了BitLocker加密保護功能,而針對BitLocker電腦的集中控管需求,微軟進一步釋出MDAM套件,能夠集中管理Windows用戶端的BitLocker磁碟機加密,從管理端或使用者自助網站上取得修復金鑰資訊,以解決一般使用者忘記密碼或PIN碼的窘境。
現今無論組織的大小規模如何,建構完善的全球營運網已是跨國企業獲利與永續經營之道,而在這樣的運作模式下,除了需要有流暢的協同合作入口平台讓小組團隊以更簡潔有效率的方式達成工作目標外,還需要針對整天奔走在外的行動工作者之隨身筆電(或Windows平板)加入必備的資料加密保護措施,以防範因行動電腦的不慎遺失而造成公司營運的莫大損失。

為了有效解決企業敏感資訊的不慎外洩問題,打從最早的Windows XP年代,Microsoft就已經內建EFS(Encrypting File System)檔案加密系統。

EFS檔案加密系統讓用戶端使用者可以保護本機磁碟內的檔案,避免遭到未經授權的複製與使用,並且可以結合企業憑證授權中心的使用者憑證集中管理機制,來管理儲存在檔案伺服器中的共用存放區之加密保護。

幾年之後,為了進一步解決數位內容的保護問題,微軟接著推出數位版權管理服務套件,此功能後來直接內建在Windows Server 2012/R2內,成了一個名為ADRMS(Active Directory Rights Management Services)的伺服器角色。

值得注意的是,如今的AD RMS不僅可以加密Microsoft Office文件內容,還能夠保護Adobe Acrobat PDF文件內容,並且除了保護的安全原則設定外,還可以套用至Windows檔案伺服器和SharePoint文件庫內。

儘管EFS與ADRMS已經提供了相當完整的檔案加密保護措施,但這樣的保護能力仍只是檔案層級的加密處理而已,這對於現今以行動工作者為主的企業應用需求,似乎仍有商業敏感資訊不慎外流的安全疑慮。說白了,就是不知道這些整天在外奔走的人員,何時會一時大意弄丟了隨身的Windows 筆電或平板,造成硬碟內的商業機密被有心人士惡意利用。

關於這一點安全疑問,有人可能會質疑:「不是已有EFS或ADRMS的加密保護嗎?」這個問題的答案就是:「沒有人會將整個硬碟中的所有檔案,都使用EFS或ADRMS加密保護。」換句話說,如果能夠提供完整磁碟機加密的保護措施,來搭配EFS及ADRMS的檔案層級加密保護,便可以讓一般檔案與不同安全等級的數位資產,完全徹底地受到整體性的加密保護。

因應磁碟機層級的加密保護需要,Microsoft早在Windows Vista推出時就提供了BitLocker加密保護功能,不過當時還必須結合TPM(Trusted Platform Module)晶片模組才能使用,也就是說,沒有TPM晶片的電腦就無法使用此項功能。

而從Windows 8開始到目前最新版本的Windows 10,無論是針對外接的USB隨身碟還是本機的固定式作業系統磁碟機,即便在沒有相容TPM晶片的電腦上一樣可以啟用BitLocker的加密功能。

為了解決企業對於BitLocker電腦的集中控管需求,Microsoft進一步提供了所謂的MDAM(Microsoft BitLocker Administration and Monitoring)套件,它是微軟在桌面最佳化套件組MDOP(Microsoft Desktop Optimization Pack)中的一個工具套件。

此套件主要用途在集中管理Windows用戶端的BitLocker磁碟機加密,包括提供從管理端或使用者自助網站上取得修復金鑰資訊,以解決一般使用者忘記密碼或PIN碼的窘境。一部MBAM可同時控管高達五十?萬台安裝有的MBAM Client的Windows電腦。


MBAM系統部署要求

MBAM的整體部署包括伺服器系統與用戶端代理程式(Agent),它們基本的共同需要就是Active Directory網域環境,且至少有一部Windows Server 2008 R2以上版本的網域控制站,以便後續可以透過群組原則來集中管理Windows 7 SP1以上版本的MBAM用戶端。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!