縱觀這些年來，IT業(yè)的某些元素已經(jīng)從“值得具備”演變?yōu)?ldquo;絕對的必要條件”。如果回望十年前，IT環(huán)境非常不同：企業(yè)對修復(fù)系統(tǒng)還存在問題，配置基本不是標(biāo)準(zhǔn)化配置，并且數(shù)據(jù)被存儲在很多不同的地點。快進(jìn)到2011年，我們看到了很多方面的改進(jìn)：補丁修復(fù)管理大部分都已經(jīng)自動化，配置管理可以規(guī)范服務(wù)器和桌面架構(gòu)，而數(shù)據(jù)仍然存儲在很多不同地點。不管你喜不喜歡，數(shù)據(jù)加密是必須的，而且應(yīng)該強制要求。事實上，移動設(shè)備變得越來越普遍，越來越多的雇主開始意識到當(dāng)員工在家、咖啡廳或者飛機場使用公司配備的筆記本，將會為公司制造麻煩，這些移動設(shè)備可能會丟失、遺忘在的士或飛機上，或者遭受惡意攻擊。現(xiàn)在很少公司在爭論數(shù)據(jù)加密的原因，重點已經(jīng)轉(zhuǎn)移到如何進(jìn)行數(shù)據(jù)加密。

　　內(nèi)建磁盤加密還是選擇第三方？

　　六七年前，磁盤加密產(chǎn)品還只是“生態(tài)位空間”;Guardian Edge、Safe Boot和 PGP等供應(yīng)商出售的磁盤加密產(chǎn)品能夠被安裝在當(dāng)時運行Windows XP的計算機上，而為這些產(chǎn)品頒布證書是獨立的，企業(yè)趨向于為他們的移動設(shè)備的這些產(chǎn)品頒布證書，并將移動設(shè)備與傳統(tǒng)的“固定”設(shè)備分隔開來。

　　在2006年，微軟推出了Bitlocker Drive Encryption，該產(chǎn)品被嵌入到操作系統(tǒng)(Windows Vista Enterprise和Windows Vista Ultimate)的某種SKU中。由于Vista系統(tǒng)的普及度并不高，所以Bitlocker也鮮有人問津。內(nèi)建磁盤加密已經(jīng)足夠好，還是說IT專家需要繼續(xù)證明第三方磁盤加密軟件的許可費用?

　　微軟在Windows7中對Bitlocker進(jìn)行了改進(jìn)，包括加密多個卷的能力(在Vista中，引導(dǎo)卷是唯一能夠被加密的)等。他們還添加了Bitlocker To Go功能，該功能允許對能夠在其他Windows 7設(shè)備以及舊頒布操作系統(tǒng)(Windows Vista和Windows XP)上使用的可移動設(shè)備(例如usb閃存盤或移動硬盤)進(jìn)行加密。然而，在微軟的內(nèi)建解決方案中仍然存在一些缺點，特別是，報告和綜合管理能力。

　　一體化

　　很多IT部門面臨著殘酷的現(xiàn)實：隨著公司不斷發(fā)展，環(huán)境變得越來越復(fù)雜，能夠幫助降低成本和消除復(fù)雜性的綜合一站式解決方案對企業(yè)不僅僅是吸引，而且逐漸成為必需品。安全供應(yīng)商也開始意識到這種一體式理念，他們收購磁盤加密“單點解決方案”(例如McAfee收購Safe Boot)并將其整合到他們的套件中。但是對于那些無法負(fù)擔(dān)這些解決方案的IT部門該怎么辦?微軟的內(nèi)建技術(shù)中是否提供了具有競爭力的功能?

　　現(xiàn)在很多IT專家都在構(gòu)建和部署新的windows 7映象，這些問題也開始浮出水面，現(xiàn)在是時候認(rèn)真研究一下微軟應(yīng)該在這個領(lǐng)域提供哪些功能了。微軟在MBAM解決方案中增加了更多對Bitlocker的控制，該解決方案目前還是測試版本。很多人批評微軟沒有為企業(yè)報告磁盤加密狀況提供完整的解決方案。

　　MBAM 的優(yōu)點和缺點

　　MBAM具有幾個顯著的優(yōu)點。首先，整合到windows 7中的構(gòu)建和部署映象是很廣泛的。MBAM“客戶端”可以用于與你選擇的部署工具，以自動化加密過程(當(dāng)系統(tǒng)被映象化或換出的時候)。針對性也是很有效的，如果你只想針對某些設(shè)備子集，例如確定沒有問題的筆記本模型。建議你從磁盤加密基線開始，因為非移動設(shè)備也并不意味著它不能移動，特別是在物理上不安全的區(qū)域。

　　報告功能也相當(dāng)完善。報告引擎建立在SQL Reporting Services上面，正如圖1中所示，根據(jù)操作系統(tǒng)、合規(guī)狀態(tài)、計算機類型等來分類，都可以通過瀏覽器的形式來觀看。用戶可以快速查看某設(shè)備是否符合標(biāo)準(zhǔn)，以及快速識別設(shè)備不符合規(guī)則的根本原因。

▲圖1： SQL Reporting Services Source生成的報告

　　密鑰托管和管理方面有很大的提高，這也是Vista和Windows 7磁盤加密功能存在不足的地方。Bitlocker支持基于Active Directory的密鑰托管，但是在對這些寶貴私鑰信息的訪問權(quán)限方面存在問題。Active Directory真的是所有企業(yè)存儲密鑰的最佳位置嗎?從合規(guī)的角度來看，企業(yè)如何處理密鑰的監(jiān)管鏈?

　　在MBAM中，密鑰托管現(xiàn)在可以被傳輸?shù)郊用艿腟QL數(shù)據(jù)庫中，而不是Active Directory。這為密鑰信息安全提供了更好的保障。移除服務(wù)臺或桌面支持團隊對Active Directory的訪問權(quán)限也是MBAM吸引人的功能之一。密鑰恢復(fù)也大大提高了，用戶現(xiàn)在可以通過網(wǎng)頁執(zhí)行恢復(fù)。當(dāng)然，他們將需要一個單獨的機器來完成，如果他們的機器位于“前啟動”Bitlocker Recovery控制臺。

　　在企業(yè)部署windows 7映象作為“標(biāo)準(zhǔn)”用戶方面，微軟也進(jìn)行了重大改進(jìn)，現(xiàn)在最終用戶可以進(jìn)行加密過程(內(nèi)建windows要求由管理員進(jìn)行)。另外更改啟動PIIN等管理任務(wù)也進(jìn)行了調(diào)整。

　　當(dāng)然，MBAM也有缺點。MBAM將不會是一個免費的附件，微軟正計劃將其包含在微軟桌面優(yōu)化包(MDOP)中，其中包括應(yīng)用虛擬化以及診斷和恢復(fù)工具集(DART)等功能。這將是一個額外需要訂購的服務(wù)。

　　總結(jié)

　　不管你堅持現(xiàn)有的“附加”產(chǎn)品還是正在評估windows的內(nèi)建解決方案，磁盤加密都是每個操作系統(tǒng)的必要組成部分。對于很多想要降低成本和充分利用操作系統(tǒng)集成功能的企業(yè)而言，MBAM提供的密鑰報告和管理功能已足夠滿足他們的要求。

原文鏈接：http://safe.it168.com/a2011/0819/1235/000001235244.shtml