笔记本电脑失窃导致机密数据丢失的消息在媒体上出现得越来越频繁,很多人也开始关注数据的安全,于是BitLocker应运而生。
中国论文网 /8/view-8693324.htm
有了EFS,还要BitLocker?
说到Windows自带加密手段,大家就会想到EFS(加密文件系统),EFS的确能够在一定程度保证数据不被非法访问。但这还远远不够,因为EFS无法加密Windows系统,只能加密数据,通过第三方软件修改用户密码等方式仍然可窥探用户数据。微软在Windows Vista中新增了一种叫做BitLocker的功能,在Windows Vista企业版和旗舰版中,可以有效防范已知的各种脱机攻击方式。
BitLocker的工作方式
启用BitLocker后,系统会把硬盘的主引导记录(MBR)、NTFS卷的引导扇区、NTFS引导代码,甚至整个Windows Vista的安装分区,包括系统文件、注册表、EFS密钥等文件全部加密,而解密所用的密钥会被保存在另外的地方(TPM芯片或优盘等介质)。以后Vista每次启动时,都会自动使用保存的密钥来解密Windows安装分区,并开始系统的引导工作。BitLocker加密的模式有两种,分别有不同的要求和安全级别。
TPM模式:这种模式要求电脑的主板带有1.2版本的TPM芯片,TPM模式的BitLocker不仅可以实现加密操作系统分区,还可以保证分区的完整性和不可篡改性。
u盘模式:如果没有TPM芯片,还可以采用U盘,条件是电脑的BIOS支持开机时访问USB闪盘(如果不支持,可能需要更新主板BIOS或者更换主板)。这种情况下我们可以将解锁磁盘所需的启动密钥存放在U盘里,开机时必须插入这块U盘,随后才能解锁加密的Windows卷,以便正常启动Windows Vista。但是要注意,这种模式只能加密Windows分区,无法实现完整性检查,也就无法防范上文所说的脱机攻击。
使用BitLocker的前提条件
目前主流的电脑都没有集成TPM芯片,因此下文重点介绍U盘模式的使用方法。
要使用BitLocker,最重要的是要保证自己的硬盘分区.符合要求。硬盘上至少要有两个分区:一个的可用空间不能小于1.5GB,并且必须是活动分区(也就意味着该分区必须是主分区,不能是扩展分区,也不能是逻辑驱动器),Vista不能安装在这个分区上;另一个分区则没那么多要求,只要可用空间能满足Vista的安装要求即可。
如果你用的是Windows Vista旗舰版,那么还可以通过Windows Update安装“BitLocker和EFS增强”这个程序,这是一个Windows Ultimate Extras程序,因此无法被企业般用户使用。
安装该程序后,打开开始菜单,然后依次打开“所有程序/附件/系统工具/BitLocker/BitLocker驱动器准备工具”,并接受许可协议启动该工具,这个工具可以检查系统配置(主要是硬盘分区情况)。如果出现一个对话框告诉你不需要运行准备工具,那么证明你的系统已经准备好了。如果不满足要求。
在这个界面上点击“继续”两次,待准备好之后,该工具会要求我们重启系统。这时候如果运行diskmgmt.msc打开磁盘管理工.具,可以看到准备工具在原本只有一个分区的硬盘上新建了一个1.5GB的活动分区,图中的C盘依旧是系统盘,随后会被加密,另外薪增加了一个S盘,用于保存引导Vista所需的引导文件,这个分区不会被加密。
重启动系统之后,硬盘分区方面的准备工作就全部完成了。不过这时候我们还需要对组策略进行一些调整。因为默认情况下Vista只允许我们使用TPM模式的BitLocker加密,因此要使用U盘模式,必须启用一项策略。
运行gpedit.msc打开组策略编辑器,定位到“计算机配-置-管理模板-Windows组件-BitLocker驱动器加密”,双击右侧的“控制面板设置:启用高级启动选项”这条策略,选择“已启用”,然后确保选中了下方的“没有兼容的TPM时允许BitLocker”选项。至此所有设置工作都已经完成。
启用u盘模式的BitLocker
在控制面板中依次点击“安全-BitLocker驱动器加密”,可以打开BitLocker的启动界面。如果前面的设置都正确,可以看到安装Vista的分区,并且这个分区下有一个“启动BitLocker”链接。
因为我们只打算使用U盘模式,本机也没有安装任何TPM芯片,因此选择唯一可用的选项,点击“下一步”。,在这里我们将准备好的U盘插入USB接口,待这块U盘出现在BitLocker设置窗口中之后,点击选中,然后点击“保存”。
接着Vista会要我们输入一个48位的密码,这个密码主要是为了数据恢复使用。例如,使用BitLocker加密系统时将保存密钥的U盘弄丢或者弄坏了,将导致无法进人系统。遇到类似情况时就可以使用这时候设置的48位密码来恢复系统,所以这个密码是非常重要的,应妥善保管。
输入密码,这里提供了三个选项备份恢复密码。例如我们可以将这个密码保存到u盘中,或者保存到硬盘上,另外还可以直接打印。建议在处理这个备份的恢复密码的时候要小心,尽量不要保存在本地硬盘上,就算要保存到U盘中,最好使用另一块U盘,同时将这块U盘保管到安全的地方。当然,如果用纸把密码打印保存是最好的办法,因为在某种程度来说,纸质文档还是比电子文档安全可靠。
在安装了上文说的BitLocker和EFS增强程序后,在Windows Vista旗舰版中,我们还可以把BitLocker的恢复密码保存到微软的服务器上。这是微软为Windows Vista旗舰版用户提供的一项增值服务,日后因为丢失了密钥以及恢复密码而导致系统无法启动时,我们还可以使用其他电脑访问服务网站,获取自己的恢复密码。
我们可以打开控制面板,然后依次单击“安全一密钥安全联机备份一保存BitLocker恢复密码”,要想联机保存自己的密钥,我们必须使用一个windows Live ID登录。日后如果需要找回自己的恢复密码,我们需要访问Windows Market Place网站(www.windowsmarketplace.com)上的Digital Locker服务,然后使用同样的Live ID登录并下载即可。
随后系统会询问我们是否进行BitLocker系统检查,建议进行一次检查。确认检查后,系统会首先重启动一次,确保可以在启动过程中从u盘读取BitLocker密钥,然后才会真正加密Windows安装分区。如果不检查直接加密,等到重启动后才发现BitLocker功能在自己的电脑上有问题,那时候才是欲哭无泪。
选中检查的选项,并点击“继续”。随后系统会重启动,并进行BitLocker检查,如果检查一切无误,那么就可以开始加密Windows安装分区。加密需要一定的时间,虽然在这过程中系统还可以正常使用,不过建议你不要进行其他操作,等待加密完成即可。
BitLocker的恢复
经过上面的设置,以后每次重启电脑,我们都需要提供保存了BitLocker密钥的U盘(上文中使用的第一个U盘,而非第二个,那是用于保存恢复密码的)。如果某天这个U盘遗失了,或者损坏了,导致系统无法启动,这时候也不用担心。之前不是设置过恢复密码么,赶快把这个密码从保险柜里找出来吧。无法提供密钥的时候,Vista的启动过程将会停留在图5所示的地方。
如果之前在设置恢复密码的时候我们选择了将恢复密码保存在U盘上,这时候只要插入保存了恢复密码的U盘,然后按下Esc重启动系统即可。如果当时把密码打印了,或者作为文件保存在其他地方,这时候可以按下回车键开始输入。按照屏幕上的提示挨个输入,最后按下回车键即可。