想要有效保護主機中各類重要的敏感資料,可藉由各種安全加密機制來做防護。只是當需要保護的對象是虛擬機器而非實體主機時,該怎麼辦呢?且看本文以實戰講解方式說明如何運用vSphere 6.7對於vTPM技術的支援,解決極機密虛擬機器資料的保護需求。
如圖24所示,接著在「要如何備份您的修復金鑰」頁面中選取要用來備份修復金鑰的位置。建議選擇「儲存到檔案」並且自行選擇儲存的裝置與路徑,等到事後再自行將這個檔案複製多份,並且置放到多個不同的位置,例如雲端硬碟、隨身碟、網路硬碟等等,以便萬一電腦發生故障而無法啟動時,還能夠透過這個修復金鑰檔案來存取已遭BitLocker加密的檔案。完成修復金鑰的備份後,按下〔下一步〕按鈕完成加密模式的選擇即可。
 |
| ▲圖24 選擇備份修復金鑰的方式。 |
在完成BitLocker的加密設定與重新開機後,如圖25所示在檔案管理介面中針對已加密的系統磁碟按下滑鼠右鍵,便會發現選單中相較於結合vTPM(TPM)的配置方式,多出了一個【變更BitLocker密碼】選項,點選它繼續。
 |
| ▲圖25 系統磁碟右鍵選單多了一個【變更BitLocker密碼】選項。 |
如圖26所示,隨後出現「變更啟動密碼」頁面,便可以依序輸入舊的BitLocker啟動密碼、新的密碼、確認新密碼來完成密碼的異動。密碼的設定建議越複雜越好,不過無論如何必須牢記,否則無法啟動作業系統,而演變成得依賴備份的修復金鑰來解決。
 |
| ▲圖26 變更啟動密碼。 |
如圖27所示便是BitLocker系統開機時的啟動密碼提示,只要輸入正確的密碼後按下〔Enter〕鍵即可啟動作業系統。如果忘記啟動密碼,那就得按下〔Esc〕鍵進行BitLocker的修復操作。
 |
| ▲圖27 BitLocker要求輸入開機解鎖密碼。 |
關於BitLocker的管理,除了透過簡易的GUI操作介面外,對於進階的管理員而言,也可以透過Windows PowerShell來完成,可參閱表2的說明。若想知道某一個命令的用法與範例,只要執行「Get-Help 命令名稱 -Detailed」即可。
表2 BitLocker管理命令一覽
使用虛擬化型安全性
虛擬化型安全性(Virtualization-based Security,VBS)是一項從Windows Server 2016和Windows 10(版本 1511)版本開始提供的一項新安全性功能驗證保護(Credential Guard)功能,可強化Window驗證子系統和使用者認證的保護。
它的運作原理基本上是透過Microsoft Hyper-V虛擬化技術來隔離虛擬化運作架構下的Windows作業系統核心服務,如此一來,想嘗試非法操控系統關鍵服務的可能性便會大幅降低。