BitLocker更方便共享

二、BitLocker更方便共享。

    如果某个文件夹中的文件采用了EFS加密系统加密，那么这个文件要在网络上共享是比较麻烦的。如系统管理员往往要将某个用户的证书导入到另外一个用户的操作系统，或者其他类似的手段才可以实现这文件的共享。不过如果采用BitLocker保护机制的话，则在这个文件共享上面会更加的方便。

    当用户将文件保存到采用BitLocker机制的驱动器之后，系统会自动对其进行加密。但是如果用户将这个加密后的文件复制到其他没有采用BitLocker技术的驱动器中，会出现什么情况呢？此时文件会被自动解密。此时其他用户只要具有相关的权限，就可以随意的阅读。不过前提是这个复制文件的用户其具有解密的权限。到这里为止跟EFS的文件加密系统处理方法还是类似的。不过在这文件共享上双方还是有很大的不同。假设现在用户要将某个采用BitLocker加密机制加密过的文件，通过网络共享给其他的用户。此时操作系统会如何处理呢？首先需要明确的是，只要这个共享的文件仍然在这个受保护的驱动器上，那么这个文件仍然是以加密的形态保存的，操作系统不会对其解密。其次只要这个用户允许其他用户访问这个共享文件（通过授权认证来实现），那么其他用户就可以访问这个文件。而不需要像EFS加密文件系统那样，手工给其他用户导入证书等等。也就是说，在BitLocker保护机制下，这个认证授权过程对用户来说是透明的。这是BitLocker与EFS文件加密系统相比，最大的改善之一。

三、对操作系统分区的特殊保护。

    EFS加密文件系统将系统文件与普通的用户文件是同等对待的。但是，BitLocker保护机制中，则对其采用了专门的保护措施，可以在最大程度上保护系统文件的安全。只要系统管理员利用BitLocker技术对系统分区进行了加密，则在操作系统启动后系统就会一直监视计算机，如会监视磁盘错误、Bios的更改、启动配置文件的更改等等，并可以防止由此带来的安全风险。如果操作系统检测到以上的这些错误，则BitLocker会自动的将这个磁盘驱动器锁住。此时系统管理员需要利用预先设置的一个密钥来解锁这个驱动器。通过这种措施可以防止操作系统的文件以及配置文件在系统管理员不知觉的情况下被修改。这对于防止木马、病毒、恶意程序等等对操作系统的破坏很有作用。

    不过在对操作系统采用这个保护机制的时候，需要注意两点。首先在首次对系统分区采用加密保护机制时，需要创建一个解锁密码。否则的话，当操作系统因为遭受可疑的工具而被锁住驱动器时，系统管理员就无法对其进行解锁。而这驱动器中的文件也将无法访问。所以说，在各驱动器启用这个保护机制时，别忘了设置一个解锁的密码。其次，如果用户的电脑中安装了TPM芯片时，则可以将这个密码存储在这个芯片上。当遇到系统分区被锁住时，BitLocker就会像这块芯片所要密码进行解锁。如果将Windows7操作系统作为服务器来使用，则为这个服务器配置一块TPM芯片并在系统分区上启用BitLocker保护机制，能够在很大程度上保障服务器系统的安全与稳定型。从这也可以看出，微软在服务器的安全与稳定性方面，一直在不断的改进。

    另外如果采用EFS加密文件系统的话，只要攻击者知道了帐户与密码，则其可以登陆到操作系统。此时EFS加密文件的保护机制就失去了作用。不过BitLocker在这方面也有所改善。即使攻击者知道了用户的帐户与密码，其仍然可以采取措施来保护系统文件，即BitLocker会监测系统文件的更改。如果其发现这个更改会给操作系统带来安全上的风险时，就会采取措施拒绝其更改。到目前为止，这是EFS文件加密系统所不能够实现的功能。

    可见EFS加密系统与BitLocker加密机制在实现细节上还有很大的不同。BitLocker主要在对系统分区的保护上有比较独特的表现。而且其在共享文件的管理上也更加的方便。