FVE 是過濾器驅(qū)動(dòng)程序 ， 因此它會(huì)自動(dòng)查看 NTFS 發(fā)送到卷的所有 I/O 請(qǐng)求 ， 在其寫入時(shí)加密塊 ， 在其讀取時(shí)（在初始配置使用 BitLocker 時(shí) ， 會(huì)使用分配到塊的完整卷加密密鑰 (FVEK) 讀取它們）解密塊 。默認(rèn)情況下 ， 使用 128 位 AES 密鑰和 128 位擴(kuò)散器密鑰加密卷 。因?yàn)榧用芎徒饷馨l(fā)生在 I/O 系統(tǒng)的 NTFS 之下 ， 所以卷在 NTFS 看來好象沒有加密 ， 并且 NTFS 甚至不需要知道已啟用了 BitLocker 。不過 ， 如果您嘗試從 Windows 外讀取卷上的數(shù)據(jù) ， 它又看來象是隨機(jī)數(shù)據(jù) 。FVEK 使用卷主密鑰 (VMK) 加密 ， 并存儲(chǔ)在卷的特殊元數(shù)據(jù)區(qū)域 。當(dāng)您配置 BitLocker 時(shí) ， 會(huì)有許多關(guān)于如何保護(hù) VMK 的選項(xiàng) ， 取決于系統(tǒng)的硬件功能 。如果系統(tǒng)有符合 TPM 規(guī)范 v1.2 的受信任的平臺(tái)模塊 (TPM) ， 并有相關(guān)的 BIOS 支持 ， 則您可以使用 TPM 加密 VMK（讓系統(tǒng)使用存儲(chǔ)在 TPM 中的密鑰或存儲(chǔ)在 USB 閃存設(shè)備中的密鑰加密 VMK） ， 或使用 TPM 存儲(chǔ)的密鑰和在系統(tǒng)啟動(dòng)時(shí)輸入的 PIN 加密密鑰 。對(duì)于沒有 TPM 的系統(tǒng) ， BitLocker 提供使用存儲(chǔ)在外部 USB 閃存設(shè)備中的密鑰加密 VMK 的選項(xiàng) 。在任何情況下 ， 您都需要一個(gè)未加密的 1.5GB NTFS 系統(tǒng)卷 ， 在該卷中存儲(chǔ)了啟動(dòng)管理器和引導(dǎo)配置數(shù)據(jù)庫(kù) (BCD) 。使用 TPM 的優(yōu)勢(shì)在于 ， 如果 BIOS 或系統(tǒng)啟動(dòng)文件在啟用 BitLocker 后做出更改 ， BitLocker 會(huì)使用 TPM 功能確保不解密 VMK 和解除對(duì)引導(dǎo)卷的鎖定 。當(dāng)您第一次加密系統(tǒng)卷 ， 以及每次對(duì)提及的所有組件執(zhí)行更新時(shí) ， BitLocker 會(huì)借助于 TPM 設(shè)備驅(qū)動(dòng)程序 (%Systemroot%System32DriversTpm.sys) 計(jì)算這些組件的 SHA-1 哈希 ， 并將稱為測(cè)量的每個(gè)哈希存儲(chǔ)到不同的 TPM 平臺(tái)配置注冊(cè)表 (PCR) 。接下來 ， 它使用 TPM 密封 VMK ， 該操作使用存儲(chǔ)在 TPM 中的私鑰加密 TPM 和與 BitLocker 傳遞到 TPM 的其他數(shù)據(jù)一起存儲(chǔ)在 PCR 中的值 。然后 ， BitLocker 將密封的 VMK 和加密的 FVEK 存儲(chǔ)在卷的元數(shù)據(jù)區(qū)域 。當(dāng)系統(tǒng)啟動(dòng)時(shí) ， 它會(huì)測(cè)量自己的哈希和 PCR 加載代碼 ， 并將哈希寫入 TPM 的第一個(gè) PCR 。然后 ， 它哈希 BIOS ， 并將該測(cè)量存儲(chǔ)到相應(yīng)的 PCR 。接下來 ， BIOS 按啟動(dòng)序列哈希下一個(gè)組件 ， 即引導(dǎo)卷的主引導(dǎo)記錄 (MBR) ， 此過程會(huì)一直繼續(xù) ， 直到測(cè)量操作系統(tǒng)加載器 。運(yùn)行的每個(gè)后續(xù)代碼段負(fù)責(zé)測(cè)量其加載的代碼 ， 并將測(cè)量結(jié)果存儲(chǔ)到 TPM 中相應(yīng)的注冊(cè)表 。最后 ， 當(dāng)用戶選擇要啟動(dòng)哪個(gè)操作系統(tǒng)時(shí) ， 啟動(dòng)管理器 (Bootmgr) 會(huì)從卷讀取加密的 VMK ， 并要求 TPM 取消密封 。只有所有測(cè)量與密封 VMK 時(shí)相同時(shí)（包括可選的 PIN） ， TPM 才成功解密 VMK 。您可以考慮將此方案作為驗(yàn)證鏈 ， 其中啟動(dòng)序列中的每個(gè)組件會(huì)描述 TPM 的下一個(gè)組件 。只有所有描述與提供的原始描述相符時(shí) ， TPM 才泄露其秘密 。因此 ， 即使卸下磁盤并裝到其他系統(tǒng)、使用不同的操作系統(tǒng)啟動(dòng)系統(tǒng)或引導(dǎo)卷上未加密文件遭到破壞 ， BitLocker 也會(huì)保護(hù)加密數(shù)據(jù) 。
5.代碼完整性驗(yàn)證
作為內(nèi)核模式設(shè)備驅(qū)動(dòng)程序執(zhí)行的惡意軟件（包括 rootkit）與內(nèi)核在相同的權(quán)限級(jí)別運(yùn)行 ， 因此最難識(shí)別和刪除 。這類惡意軟件可以修改內(nèi)核和其他驅(qū)動(dòng)程序的行為 ， 以便使其變得不可見 。內(nèi)核模式代碼功能的 Windows Vista 代碼完整性 ， 也稱為內(nèi)核模式代碼簽名 (KMCS) ， 僅允許加載由開發(fā)人員發(fā)布和經(jīng)過數(shù)字簽名的設(shè)備驅(qū)動(dòng)程序 ， 這些開發(fā)人員已經(jīng)過為數(shù)不多的證書頒發(fā)機(jī)構(gòu) (CA) 之一的審查 。默認(rèn)情況下 ， KMCS 在 Windows Vista 64 位系統(tǒng)上強(qiáng)制執(zhí)行 。因?yàn)樽C書頒發(fā)機(jī)構(gòu)會(huì)對(duì)其服務(wù)收取費(fèi)用并進(jìn)行基本的背景檢查 ， 如驗(yàn)證業(yè)務(wù)識(shí)別 ， 所以很難產(chǎn)生在 64 位 Windows Vista 上運(yùn)行的匿名內(nèi)核模式惡意軟件 。此外 ， 設(shè)法溜過驗(yàn)證進(jìn)程的惡意軟件可能會(huì)留下線索 ， 這些線索在受到危害的系統(tǒng)發(fā)現(xiàn)惡意軟件時(shí) ， 可以反擊作者 。KMCS 還有一些次要的用途 ， 如在懷疑驅(qū)動(dòng)程序有使客戶系統(tǒng)崩潰的錯(cuò)誤和解除高清晰度多媒體內(nèi)容鎖定（我會(huì)在稍后簡(jiǎn)單介紹）時(shí) ， 會(huì)向 Windows 在線崩潰分析團(tuán)隊(duì)提供聯(lián)系信息 。KMCS 使用 Windows 十多年來一直采用的公鑰加密技術(shù) ， 并要求內(nèi)核模式代碼包括由受信任證書頒發(fā)機(jī)構(gòu)之一生成的數(shù)字簽名 。如果發(fā)布者將驅(qū)動(dòng)程序提交給 Microsoft Windows 硬件質(zhì)量實(shí)驗(yàn)室 (WHQL) ， 并且驅(qū)動(dòng)程序通過了可靠性測(cè)試 ， 則 Microsoft 會(huì)充當(dāng)簽署代碼的證書頒發(fā)機(jī)構(gòu) 。大多數(shù)發(fā)布者將通過 WHQL 獲得簽名；但是如果驅(qū)動(dòng)程序沒有 WHQL 測(cè)試程序 ， 發(fā)布者不想提交到 WHQL 測(cè)試 ， 或者驅(qū)動(dòng)程序是在系統(tǒng)啟動(dòng)早期加載的引導(dǎo)啟動(dòng)驅(qū)動(dòng)程序 ， 則發(fā)布者必須自己簽署代碼 。為此 ， 他們必須首先從 Microsoft 確定為受信任內(nèi)核模式代碼簽名的證書頒發(fā)機(jī)構(gòu)之一獲得代碼簽名證書 。然后 ， 作者通過數(shù)字方式哈希代碼 ， 通過使用私鑰進(jìn)行加密來簽署哈希 ， 并將證書和加密的哈希包含在代碼中 。當(dāng)驅(qū)動(dòng)程序嘗試加載時(shí) ， Windows 會(huì)使用存儲(chǔ)在證書中的公鑰解密包含在代碼中的哈希 ， 然后驗(yàn)證哈希與代碼中包含的哈希是否匹配 。證書的真實(shí)性也通過相同的方式進(jìn)行檢查 ， 但使用 Windows 附帶的證書頒發(fā)機(jī)構(gòu)的公鑰 。Windows 還檢查相關(guān)的證書鏈 ， 一直檢查到 Windows 啟動(dòng)加載器和操作系統(tǒng)內(nèi)核中嵌入的根頒發(fā)機(jī)構(gòu)之一 。嘗試加載未簽名的 64 位驅(qū)動(dòng)程序不應(yīng)該發(fā)生在生產(chǎn)系統(tǒng) ， 因此不同于“即插即用”管理器（它在指向加載沒有確認(rèn)是否通過 WQHL 測(cè)試簽名的驅(qū)動(dòng)程序時(shí)顯示警告對(duì)話框） ， 64 位 Windows Vista 在阻止加載未簽名驅(qū)動(dòng)程序時(shí) ， 在無提示的情況下隨時(shí)將事件寫入代碼完整性應(yīng)用程序事件日志 ， 如圖 5 所示 。32 位 Windows Vista 也檢查驅(qū)動(dòng)程序簽名 ， 但允許加載未簽名的驅(qū)動(dòng)程序 。阻止它們將會(huì)破壞升級(jí)的 Windows XP 系統(tǒng)（要求在 Windows XP 上加載驅(qū)動(dòng)程序 ， 并且還允許支持僅存在 Windows XP 驅(qū)動(dòng)程序的硬件） 。不過 ， 32 位 Windows Vista 還會(huì)在加載未簽名驅(qū)動(dòng)程序時(shí)將事件寫入代碼完整性事件日志 。因?yàn)榇a簽名通常用來將代碼標(biāo)記為經(jīng)過嚴(yán)格測(cè)試的官方發(fā)行版本 ， 所以發(fā)布者通常并不想對(duì)測(cè)試代碼簽名 。因此 ， Windows Vista 包括可以使用 Bcdedit 工具（在 TechNet 雜志 2007 年 3 月份我的文章中介紹過）啟用和禁用的測(cè)試簽名模式 ， 它將加載使用由內(nèi)部證書頒發(fā)機(jī)構(gòu)生成的測(cè)試證書經(jīng)過數(shù)字簽名的內(nèi)核模式驅(qū)動(dòng)程序 。此模式設(shè)計(jì)為供程序員在開發(fā)其代碼時(shí)使用 。當(dāng) Windows 處于此模式時(shí) ， 它會(huì)在桌面上顯示標(biāo)記 ， 如圖中所示 。

推薦閱讀

• 

  如何將西文空格全部刪除 怎么講文檔中的西文空格刪除
• 

  垃圾食品的危害有哪些 常見的垃圾食品有哪些
• 

  蔓越莓奶酥怎么做 蔓越莓奶酥
• 

  冬天洗車最好用什么水 冬天洗車盡量用什么水
• 

  轉(zhuǎn)向系統(tǒng)的組成
• 

  2021年OPPO最新手機(jī)篇：揭秘OPPO超強(qiáng)手機(jī)系統(tǒng)和設(shè)計(jì)理念
• 

  dnf玲瓏徽章怎么升級(jí)
• 

  華為nova3i怎么錄制屏幕? 華為nova3i怎么錄制屏幕
• 

  如何搜索種子、種子怎么搜索
• 

  classic是什么牌子 classic是什么檔次的
• 

  鞭炮長(zhǎng)什么樣
• 

  嘴凸法令紋深怎么辦
• 

  暴汗服面料是什么材質(zhì)
• 

  開車掛檔，開車二檔進(jìn)三檔離合可以松快點(diǎn)嗎
• 

  胃痛的時(shí)候這些事情一定不能做
• 

  有什么軟件可以看高鐵的時(shí)刻表，高鐵管家時(shí)刻表查詢使用方法有哪些

• Windows Vista系統(tǒng)如何優(yōu)化磁盤性能
• 快速創(chuàng)建Windows Vista系統(tǒng)健康報(bào)告
• Windows Vista105個(gè)禁止系統(tǒng)功能的注冊(cè)表?xiàng)l目
• 最快關(guān)閉Windows Vista UAC保護(hù)的方法
• 到底誰好 微軟Windows Vista PK XP操作系統(tǒng)
• Windows Vista下Bt和迅雷下載慢的解決方案
• Windows Vista不識(shí)別數(shù)字照相機(jī)怎么辦
• Windows Vista下使用Media Center錄制電視節(jié)目
• 提高系統(tǒng)性能 在Windows Vista中啟用大緩存
• 410不銹鋼能煮東西嗎