Windows Server 2008 には、ネットワークの機能強化のほかにも、Windows Vista プラットフォームに含まれる以上の多数の改良点があります。
Windows Server 2008 におけるBitLocker の機能強化
最初に,Windows Vista のEnterprise Edition/Ultimate Edition や、Windows Server 2008 で使用可能なデータ保護機能であるBitLocker ドライブ暗号化について説明しましょう。BitLocker は、紛失や盗難に遭ったコンピュータのデータが盗まれたり公開されたりすることを防ぐために強化された保護機能です。また、BitLocker で保護されたコンピュータが廃棄される場合には、より安全にデータを削除する機能も提供しています。
BitLocker は、紛失または盗難コンピュータへの許可されないデータアクセスを主に2 つのデータ保護機能によって抑制します。1つはWindows のハードディスクボリューム全体(スワップファイルや休止状態ファイルを含む)を暗号化する方法、もう1つはTPM(Trusted Platform Module)バージョン1.2 をサポートするコンピュータ上の初期ブートコンポーネントとブート構成データの整合性をチェックする方法です。
Windows Server 2008 のBitLocker がWindows Vista におけるBitLocker の実装と異なる主な点は、データボリュームもサポートすることです。その他の変更点は、EFI(Extensible Firmware Interface :拡張可能ファームウェアインターフェイス)サポートと新たな多要素認証(Multifactor Authentication)があります。
Windows Server 2008 のBitLockerドライブ暗号化(BDE:BitLocker Drive Encryption)は、サーバーマネージャを使用してインストールするオプションコンポーネントです。Windows Server 2008 のBDE は、現時点で以下をサポートしています。
- データボリューム:OS またはシステムボリュームを除く任意の数のボリューム
- 新しい認証:TPM+USB+PIN
- EFI サポート
データボリューム
これは、Windows Vista クライアント(Enterprise Edition およびUltimate Edition)のブート可能ボリューム以外のボリュームでもBitLocker 暗号化をサポートできるようにする新機能です。これらのボリュームはデータボリュームと呼ばれます。
データボリュームは、起動されたOS のコンテキストにおいてプラグアンドプレイで表示されます。これは、ローカルに作成された内部ボリュームであり、起動されたボリュームではありません。プラグアンドプレイで表示される非アクティブなボリュームであり、データのみを含む、あるいは起動/実行中のOS 以外のOS の別のインスタンスを含むものは、データボリュームと見なされます。ユーザーがアクセスを試みる暗号化されたボリュームで、ブートマネージャで実行されるBitLocker コードによってロック解除されていないものは、データボリュームと見なされます。
新しい認証
この認証は、セキュリティレベルの向上を望むさまざまなパートナーの要求に応えて追加されたものです。TPM により保護されたキーと、USB ストレージデバイスに保存されたスタートアップキー(SK:Startup Key)と、ユーザーが生成する個人識別番号(PIN:Personal Identification Number)を組み合わせた多要素認証方法が追加されました。この方法によって、顧客は簡単なセキュリティポリシーを実装できるので、開発チームは官公庁におけるBitLocker の採用率が高まることを期待しています。
EFI
今日では、ほとんどのコンピュータがPC/AT(またはINT 19 形式)BIOS アーキテクチャに依存しています。ただし、代替テクノロジであるEFI への移行が現在進んでいます。TPMおよび関連テクノロジを定義する業界標準化団体であるTCG(Trusted Computing Group)とIntel は、PC/AT 系の信頼されるプラットフォームBIOS でファームウェア機能パリティを提供する作業に取り組んでいます。この新機能によって、Windows Vista ローダーで関連機能がサポートされ、BIOS ベースのマシンでの機能パリティが提供されます。