Windows system >> Windowsの知識 >  >> Windows 7システムチュートリアル >> Win7システムの基本 >> Windows 7のBitLockerはエンタープライズデータをエスコートします(2)

Windows 7のBitLockerはエンタープライズデータをエスコートします(2)

  

次に、BitLockerの方が共有しやすいです。

フォルダ内のファイルがEFS暗号化システムで暗号化されている場合、そのファイルをネットワーク上で共有するのは面倒です。システム管理者が他のユーザーのオペレーティングシステムにユーザーの証明書をインポートしたい場合、またはその他の類似の方法でファイルを共有できる場合があります。ただし、BitLocker保護メカニズムを使用している場合は、このファイル共有の方が便利です。

ユーザーがBitLockerメカニズムを使用するドライブにファイルを保存すると、そのファイルは自動的に暗号化されます。しかし、ユーザーがこの暗号化ファイルをBitLockerテクノロジを使用していない別のドライブにコピーするとどうなりますか?ファイルは自動的に復号化されます。この時点で、他のユーザーは、適切な権限を持っているかぎり読むことができます。ただし、ファイルをコピーしたユーザーが復号化する権利を持っていることが前提です。 EFSによるファイル暗号化システムの処理方法は、ここでも同じです。ただし、このファイル共有では、まだ両者間に大きな違いがあります。ユーザーがBitLocker暗号化メカニズムで暗号化されたファイルをネットワーク経由で他のユーザーと共有したいとします。この時点でオペレーティングシステムはどうなりますか?最初に明らかになることは、共有ファイルが保護されたドライブ上にある限り、ファイルは暗号化された形式で保存され、オペレーティングシステムはそれを復号化しないことです。第2に、ユーザーが他のユーザーに共有ファイルへのアクセスを許可する限り(許可認証によって実装される)、他のユーザーはそのファイルにアクセスできます。 EFS暗号化ファイルシステムなどの他のユーザーに証明書を手動でインポートする代わりに。つまり、BitLocker保護メカニズムの下では、この認証および承認プロセスはユーザーに対して透過的です。これは、EFSファイル暗号化システムと比較した場合のBitLockerの最大の改善点の1つです。

第三に、オペレーティングシステムパーティションの特別な保護。

EFS暗号化ファイルシステムは、システムファイルを通常のユーザーファイルと同じように扱います。ただし、BitLocker保護メカニズムでは、システムファイルのセキュリティを最大限に保護するために特別な保護対策が講じられています。システム管理者がBitLockerテクノロジを使用してシステムパーティションを暗号化している限り、オペレーティングシステムの起動後、ディスクエラー、BiOSの変更、スタートアップ構成ファイルの変更など、システムは常にコンピュータを監視し、これを防ぐことができます。セキュリティ上のリスクオペレーティングシステムがこれらのエラーを検出すると、BitLockerは自動的にディスクドライブをロックします。この時点で、システム管理者はプリセットキーでドライブのロックを解除する必要があります。この対策により、システム管理者の知らないうちにオペレーティングシステムのファイルおよび設定ファイルが変更されるのを防ぎます。これは、トロイの木馬、ウイルス、悪意のあるプログラムなどがオペレーティングシステムを損傷するのを防ぐのに役立ちます。

ただし、この保護メカニズムをオペレーティングシステムに使用するときは、2つの点に注意する必要があります。最初に、システム区画の暗号化保護メカニズムを初めて使用するときには、ロック解除パスワードを作成する必要があります。そうでないと、システム管理者は不審なツールによってオペレーティングシステムがロックされても、ロックを解除できません。このドライブのファイルにもアクセスできません。そのため、各ドライブでこの保護メカニズムを有効にするときは、ロック解除パスワードを忘れずに設定してください。次に、TPMチップがユーザーのコンピューターにインストールされている場合は、パスワードをチップに保存できます。システムパーティションがロックされると、BitLockerはチップの要求に応じてパスワードをロック解除します。 Windows 7オペレーティングシステムをサーバーとして使用する場合、このサーバー用にTPMチップを構成し、システムパーティションでBitLocker保護メカニズムを有効にすると、サーバーシステムのセキュリティと安定性を大幅に保証できます。このことからも、マイクロソフトはサーバーのセキュリティと安定性を継続的に向上させていることがわかります。

さらに、EFS暗号化ファイルシステムを使用している場合、攻撃者はアカウントとパスワードを知っている限り、オペレーティングシステムにログインできます。この時点で、EFS暗号化ファイルの保護メカニズムは失われています。ただし、BitLockerもこの点で改善されています。攻撃者がユーザーのアカウントとパスワードを知っていても、システムファイルを保護するための措置を講じることができます。つまり、BitLockerはシステムファイルへの変更を監視します。この変更がオペレーティングシステムにセキュリティ上のリスクをもたらすことが判明した場合は、変更を拒否する手順を実行します。これまでのところ、これはEFSファイル暗号化システムでは不可能な機能です。

EFS暗号化システムとBitLocker暗号化メカニズムは、実装の詳細という点で大きく異なります。 BitLockerは、システムパーティションの保護において比較的ユニークなパフォーマンスを発揮します。そして共有ファイルの管理にもっと便利です。

Copyright © Windowsの知識 All Rights Reserved