用于加密的 BitLocker 和 Distributed Key Manager (DKM)
Microsoft 服务器使用 BitLocker 在卷级别加密包含客户静态数据的磁盘驱动器。 BitLocker 加密是 Windows 中内置的数据保护功能。 BitLocker 是用于防范威胁的技术之一,在其他流程或控制 ((例如,访问控制或硬件) 的回收)中存在失误,这可能会导致某人获得对包含客户数据的磁盘的物理访问权限。 在这种情况下,BitLocker 消除了由于计算机和磁盘丢失、被盗或不当解除授权而导致数据被盗或泄露的可能性。
BitLocker 在包含 Exchange Online、SharePoint Online 和 Skype for Business 中的客户数据的磁盘上部署高级加密标准 (AES) 256 位加密。 磁盘扇区使用全卷加密密钥 (FVEK) 进行加密,该密钥使用卷主密钥 (VMK) 进行加密,后者又绑定到服务器中的受信任的平台模块 (TPM) 。 VMK 直接保护 FVEK,因此,保护 VMK 变得至关重要。 下图演示了给定服务器 (的 BitLocker 密钥保护链的示例,在本例中使用Exchange Online服务器) 。
下表描述了给定服务器 (的 BitLocker 密钥保护链,在这种情况下,Exchange Online服务器) 。
| KEY PROTECTOR | 粒 度 | 如何生成? | 它存储在何处? | 保护 |
|---|---|---|---|---|
| AES 256 位外部密钥 | 每个服务器 | BitLocker API | TPM 或机密安全 | 密码箱/访问控制 |
| 邮箱服务器注册表 | TPM 加密 | |||
| 48 位数字密码 | 每个磁盘 | BitLocker API | Active Directory | 密码箱/访问控制 |
| X.509 证书作为数据恢复代理 (DRA) 也称为公钥保护程序 | 环境 (例如,Exchange Online多租户) | Microsoft CA | 生成系统 | 没有一个用户拥有私钥的完整密码。 密码处于物理保护之下。 |
BitLocker 密钥管理涉及管理用于在 Microsoft 数据中心解锁/恢复加密磁盘的恢复密钥。 Microsoft 365 将主密钥存储在安全的共享中,只有经过筛选和批准的个人才能访问。 密钥的凭据存储在访问控制数据的安全存储库中, (我们称之为“机密存储”) ,这需要高级别的提升和管理批准才能使用实时访问提升工具进行访问。
BitLocker 支持两个管理类别的密钥:
BitLocker 管理的密钥,生存期较短,与安装在服务器上或给定磁盘上的操作系统实例的生存期相关联。 这些密钥会在服务器重新安装或磁盘格式化期间删除并重置。
BitLocker 恢复密钥,在 BitLocker 外部管理,但用于磁盘解密。 BitLocker 将恢复密钥用于重新安装操作系统且已存在加密数据磁盘的场景。 恢复密钥也由 Exchange Online 中的托管可用性监视探测使用,响应者可能需要在其中解锁磁盘。
受 BitLocker 保护的卷使用完整卷加密密钥进行加密,后者又使用卷主密钥进行加密。 BitLocker 使用符合 FIPS 的算法来确保永远不会通过网络以明文形式存储或发送加密密钥。 客户静态数据保护的 Microsoft 365 实现不会偏离默认的 BitLocker 实现。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈