Microsoft 在 Windows Vista 中導入「BitLocker 磁碟機加密」,以協助避免遺失、遭竊或未適當報廢之電腦上的機密資料遭受未經授權使用者存取的問題。Windows 7 除了進一步將 BitLocker 保護功能延伸到 USB 儲存裝置,更將原本的功能修改成更容易使用。
BitLocker To Go 將 BitLocker 資料保護功能延伸到 USB 儲存裝置,讓 IT 系統管理員可以透過複雜密碼來限制資料存取。IT 系統管理員除了可以控制複雜密碼的長度與複雜性之外,還可以設定原則以要求使用者必須先套用 BitLocker 保護功能至卸除式磁碟機才能寫入資料。BitLocker To Go 也可以讓使用者更安全地與未部署 Windows 7 的使用者共用資料。
大家平常用電腦時,在 LAN 裡面和同事或同學交換資料,以人類的想法是把資料由 A 送到 B,好了,現在我們來深入一點想,你的電腦是透過網路卡和 HUB 連接,當你用人類想法覺得是由 A 送資料到 B,其實你是將整個資料送到 HUB 裡面,而 HUB 其實是不知道所謂 B 機器是在那個 HUB 插座內的電腦(註),所以它就將訊號送給在 HUB 上面的所有機器,讓它們自己去判斷這資料是不是送給你。
將檔案從一個目錄「搬移」到另一個目錄時 ( Ctrl + X , Ctrl + V )
在「搬移」檔案時,情況稍稍複雜一些,共有兩種狀況:
1. 在相同磁碟之間搬移檔案 ( 例如從 C:\DirA 複製到 C:\DirB )
- 這種情況下,檔案被搬移過去後,檔案的 NTFS 權限會被完整保留
- 這種相同磁碟搬移檔案的過程就好像在同一個目錄下將檔案「重新命名」一樣,而在作業系統中實際上也真的只是做重新命名的動作而已!
2. 在不同的磁碟之間搬移檔案( 例如從 C:\ 複製到 D:\ )
- 這種情況與「複製」檔案是一樣的,檔案必須先在目的磁碟建立新檔,然後再將來源檔案刪除!
- 換個角度想,如果你有一個 50GB 的大檔案,如果從 C:\DirA 目錄搬移到 C:\DirB 目錄,也許只要 1 秒的時間,但是若你將這個 50GB 的大檔案,從 C:\ 目錄搬移到 D:\ 目錄,可能會花上 10 分鐘之久。
IP中加入安全性協定的最大好處在於確保所有網路通訊的安全。也就是說,即使位於IP層上層的應用程式或傳輸層沒有提供任何安全性的機制,由於IP層加入了安全機制,因此可保護整個網路通訊的內容。
IPSec主要可提供兩種功能:認證功能(Authentication)與保密功能(Confidentiality)。所謂認證,是指確認通訊雙方的身份,以及確保雙方之間傳輸的資料未受他人破壞或竄改。保密則是將通訊內容予以加密,防止網路上的第三者讀取通訊內容。
安裝 NPS 角色服務之後,即可部署下列技術:
- NAP 原則伺服器。當您設定 NPS 做為 NAP 原則伺服器時,NPS 會評估要在網路上相互通訊並支援 NAP 的用戶端電腦所傳送的健康狀態聲明 (SoH)。您可以在 NPS 中建立 NAP 原則,讓用戶端電腦更新其設定,使其符合組織的網路原則。
- IEEE 802.11 無線。使用 NPS Microsoft Management Console (MMC) 嵌入式管理單元,您可以為 IEEE 802.11 無線用戶端網路存取設定 802.1X 型連線要求原則。您也可以設定無線存取點做為 NPS 中的 RADIUS 用戶端,並使用 NPS 做為 RADIUS 伺服器以處理連線要求,以及為 802.11 無線連線執行驗證、授權和帳戶處理等作業。 當您部署無線 802.1X 驗證基礎結構時,可以將 IEEE 802.11 無線存取和 NAP 完全整合,如此就能在允許用戶端連線到網路之前,根據健康原則檢查無線用戶端的健康情況。
- IEEE 802.3 有線。使用 NPS MMC 嵌入式管理單元,您可以為 IEEE 802.3 有線用戶端乙太網路存取設定 802.1X 型連線要求原則。您也可以設定 802.1X 相容交換機做為 NPS 中的 RADIUS 用戶端,並使用 NPS 做為 RADIUS 伺服器以處理連線要求,以及為 802.3 乙太網路連線執行驗證、授權和帳戶處理等作業。當您部署有線 802.1X 驗證基礎結構時,可以將 IEEE 802.3 有線用戶端存取與 NAP 完全整合。
- RADIUS 伺服器。NPS 可為無線、驗證交換器及遠端存取撥號與 VPN 連線,以及連到終端機服務閘道 (TS 閘道) 電腦的連線,執行集中化的連線驗證、授權及帳戶處理作業。當您使用 NPS 做為 RADIUS 伺服器時,可以設定網路存取伺服器 (例如,無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。您也可以設定 NPS 用來授權連線要求的網路原則。您可以設定 RADIUS 帳戶處理,讓 NPS 將帳戶處理資訊記錄到本機硬碟上或 Microsoft(R) SQL Server(TM) 資料庫中的記錄檔。
- RADIUS Proxy。使用 NPS 做為 RADIUS Proxy 時,您可以設定連線要求原則,告訴執行 NPS 的伺服器要將哪些連線要求轉送到其他 RADIUS 伺服器,以及要將連線要求轉送到哪些 RADIUS 伺服器。您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的帳戶處理資料。
1) 什麼是電子簽名?
基於PKI(公鑰基礎設施)的電子簽名被稱作“數位簽名”。:
:
PKI的核心執行機構是電子認證服務提供者,即通稱為認證機構CA(Certificate Authority),PKI簽名的核心元素是由CA簽發的數字證書。
使用 TPM 管理封鎖及允許 TPM 命令
依序按一下 [開始]、[所有程式] 及 [附屬應用程式],然後按一下 [執行]。
在 [開啟] 方塊中,輸入 tpm.msc,然後按 ENTER 鍵。
如果出現 [使用者帳戶控制] 對話方塊,請確認顯示的動作為所需動作,然後按一下 [繼續]。
在主控台樹狀目錄中,按一下 [命令管理]。TPM 命令清單會隨即顯示。
從清單中選取要封鎖或允許的命令。
在 [動作] 下,視需要按一下 [封鎖選取的命令] 或 [允許選取的命令]。
網路存取保護
網路存取保護 (NAP) 是建置在 Windows Vista 與 Windows Server 2008 作業系統中的原則強制平台,允許您強制遵循系統健全狀況需求,更有效的保護網路資產。
BitLocker 最低需求
若要使用 BitLocker 保護同時包含 Windows 作業系統的磁碟機,需要有下列項目:
- BitLocker 在硬碟以外的硬體裝置儲存其加密和解密金鑰,因此您的電腦必須具有信賴平台模組 (TPM,在許多電腦中支援進階安全性功能的特殊微晶片) 或卸除式 USB 記憶體裝置 (例如 USB 快閃磁碟機)。這些硬體裝置都可以用來儲存 BitLocker 金鑰。如果您的電腦具備 TPM 1.2 (含) 以上版本,BitLocker 會將其金鑰儲存在 TPM。如果您的電腦沒有 TPM 1.2 (含) 以上版本,BitLocker 會將其金鑰儲存在 USB 快閃磁碟機中。只有在系統管理員已經將 BitLocker 群組原則設定設為允許在 TPM 無法使用時使用啟動金鑰時,才能使用 USB 快閃磁碟機來儲存 BitLocker 金鑰。
- 電腦必須已經設定為具有另一個使用中的磁碟分割,以做為系統磁碟分割。此系統磁碟分割將包含啟動電腦所需的檔案。作業系統磁碟分割 (包含 Windows 7 或 Windows Server 2008 R2) 將會由 BitLocker 加密。此系統磁碟分割將保持未加密狀態,讓電腦可以啟動。如果您的電腦沒有另一個使用中的磁碟分割,BitLocker 會為您建立一個磁碟分割。系統磁碟分割和作業系統磁碟分割都必須是以 NTFS 檔案系統格式化。
