如何使用BitLocker来给硬盘数据加密

在Windows Vista 和 Windows 7中,新加入了一个叫做BitLocker的数据保护功能,他可以提供磁盘级的数据加密能力。以防止电脑丢失后硬盘数据被人窃取。当然BitLocker也可以当做一个电脑锁,如果没有U盘钥匙,那么谁也别想使用你的电脑。仅供大家学习,一般没什么重要文件的就别使用这个功能了吧)

相信大家如果硬盘坏了但是数据可备份,和硬盘彻底报废数据无法恢复的感觉绝对是不一样的。可是说硬盘里边的数据在一定情况下价值要远远大于硬盘本身。很多人还习惯将各种密码写在文本文件里,如果你的电脑被偷了,那么损失不是更大?你说你的WINDOWS有密码?现在从XP到WIN 7,随便使用个PE就可以将所有的密码破解掉。所以基于这种情况,微软做出了一个更强大的硬盘数据防护软件BitLocker,用来保护硬盘数据。

简单来说,BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密,并将密钥保存在硬盘之外的地方。这样,要想启动Windows或者读取保存在电脑中的文件,就必须先提供密钥,随后引导程序才会使用提供的密钥解密系统文件,并加载和运行Windows,供我们读取文件。  

本文转载自至顶网华军,由 FORECE 编辑收集整理

BitLocker主要有两种工作模式:TPM模式和U盘模式,为了实现更高程度的安全,我们还可以同时启用这两种模式。
  
TPM 1.2
1.5 GB NTFS 活动系统分区
50+ GB 启动分区 **

受信任的平台模块是实现TPM模式BitLocker的前提条件。

要使用TPM模式,要求计算机中必须具备不低于1.2版TPM芯片,这种芯片是通过硬件提供的,一般只出现在对安全性要求较高的商用电脑或工作站上,家用电脑或普通的商用电脑通常不会提供。

要想知道电脑是否有TPM芯片,可以运行“devmgmt.msc”打开设备管理器,然后看看设备管理器中是否存在一个叫做“安全设备”的节点,该节点下是否有“受信任的平台模块”这类的设备,并确定其版本即可。  

方案 2
USB数据密钥 *
1.5 GB NTFS活动系统分区
50+ GB 启动分区 **

如果要使用U盘模式,则需要电脑上有USB接口,计算机的BIOS支持在开机的时候访问USB设备(能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能),并且需要有一个专用的U盘(U盘只是用于保存密钥文件,容量不用太大,但是质量一定要好)。使用U盘模式后,用于解密系统盘的密钥文件会被保存在U盘上,每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

*需要本地或活动目录组策略的调整以便可以使用U盘。

**此项内容并没有在官方文档中出现,但是如果启动分区少于50GB,很可能会出现"insufficient space errors"(不足的磁盘空间)错误。我并不肯定具体的磁盘需求是多大,但是设置到50GB以上确实可以避免BitLocker报错。

对硬盘分区的要求

硬件满足上述要求后,还要确保硬盘分区的安排可以满足要求。通常情况下,我们可能习惯这样给硬盘分区:首先,在第一块硬盘上划分一个活动主分区,用于安装Windows,这个分区是系统盘;其次,对于剩下的空间继续划分更多主分区,或者创建一个扩展分区,然后在上面创建逻辑驱动器。简单来说,我们已经习惯于让第一块硬盘的第一个分区成为系统盘,并在上面安装Windows。

传统方式下的硬盘分区情况。

在一台安装Windows Vista 或 WIN7 的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。

这里重点需要关注的是,硬盘上是否有超过一个的活动分区。例如图中的 "磁盘0",该磁盘上有两个分区,对应的盘符分别是"C"和"D",其中"C"就是第一块硬盘上的第一个分区,属于系统盘而且是活动的。但问题在于,如果除了系统盘外,硬盘上不存在其他活动分区,这种情况下是无法直接启用BitLocker的(无论是TPM模式还是U盘模式)。原因很简单,源于其工作原理,BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密,在启动系统的时候,我们必须提供解密的密钥,来解密原本被加密的文件,这样才能启动操作系统或者读取机密文件。但这就有一个问题,用于解密的密钥可以保存在TPM芯片或者U盘中,但是解密程序应该放在哪里?难道就放在系统盘吗?可是系统盘已经被加密了,这就导致了一种很矛盾的状态:因为用于解密的程序被加密了,因此无法运行,导致无法解密文件。  

所以如果要顺利使用BitLocker功能,硬盘上必须至少有两个活动分区,除了系统盘外,额外的活动分区必须保持未加密状态(且必须是NTFS文件系统),同时可用空间不能少于1.5GB。为了保证可靠性,这个专门的活动分区最好专用,不要在上面保存其他文件或者安装额外的操作系统。

1.5 GB NTFS活动系统分区是用来存放Vista操作系统启动时所需的必要文件的,这些文件不能被EFS加密。另外50+GB启动分区是Windows系统所安装的分区,也是存放页面文件和临时文件的分区,因为EFS系统同样无法对这些内容进行加密,因此必需由BitLocker进行保护。

要实现以上需求,最好的方法是在安装Vista 或 Win 7 前先创建一个1.5GB的分区和一个50GB以上的分区。如果已经安装了Vista,也不用后悔,一个叫做BitLocker Drive Preparation Tool 的工具可以自动帮助你重新对硬盘进行分区。如果你已经手动分出了一个1.5GB的分区,那么也需要使用BitLocker Drive Preparation Tool工具自动将某些必需的文件从Windows Vista 或 WIN 7安装目录移动到1.5GB的活动分区中。不过需要注意的是,当安装Vista后再划分出1.5GB分区,如果硬盘剩余空间不够多时,由于软件需要调整数据的位置以便清理出一个分区,因此可能会耗费不少时间。

要获取BitLocker Drive Preparation Tool工具也很简单,只需要进入Windows Update,然后在Vista Ultimate Extras中找到该项并点击即可。要在系统中查找并运行该工具,只需要在开始菜单中的搜索栏中输入BitLocker即可。搜索结果中的BitLocker Drive Preparation Tool。

现在我们启动组策略编辑器。对于家用电脑或者没有加入活动目录的电脑来说,所打开的就是本地组策略编辑器。活动目录管理员可以在AD级别进行设定,并将设定的内容应用到组织单元或者整个AD范围。

要启动组策略编辑器,我们只需要打开开始菜单,在快速搜索框中输入gpedit.msc。

接下来,我们将组策略内容展开到BitLocker Drive Encryption文件夹,如图所示。然后双击Control Panel Setup: Enable Advanced Startup Options

将此项设置为Enabled ,然后选择 Allow BitLocker Without A Compatible TPM如图所示。

修改后,点击Apply和OK,然后点击图C中的Configure Encryption Method ,接下来会出现如图所示的窗口。

AES 128属于政府安全级别,AES 256则是NSA设定的安全等级。Diffuser是一种数据分散机制,可以将数据分散在整个分区空间,就算黑客获取了硬盘,也无法查看数据。AES 256 bit with Diffuser是Vista所能提供的最高级安全模式。AES 128则是安全性相对最低的(但是也足够安全了)。

修改后,点击Apply和OK,然后关闭组策略编辑器。通过gpupdate/force命令,我们可以强制系统更新组策略,而不必重新启动系统,如图所示。

现在我们就准备要运行BitLocker Drive Encryption工具了。我们可以通过图A的方式,输入bitl然后在搜索结果中双击BitLocker Drive Encryption。

点击Turn On BitLocker

在继续前,我们要在电脑中插入一个任意存储量的U盘。要记住,从此刻起,这个U盘对于你的电脑来说就是至关重要的了。一旦开启了BitLocker,如果没有这个U盘,你将无法开启电脑。一般来说,我建议大家将这么重要的U盘作为钥匙链,而不是放在笔记本包里。因为一旦你的笔记本连包一起丢失,那么BitLocker也就没有意义了。在BitLocker开启后,U盘也不需要一直插在电脑中,它仅仅在Windows启动前几秒内有作用。

下一步就是备份你的密码,这个密码是用来进行紧急恢复的,如图所示。

你可以选择将密码备份到同一个U盘,然后在拷贝到其它地方。如果你选择将密码备份到一个文件夹,那么应该选择启动卷以外的其它分区中。并且也不能存储在分区的根目录上,必需要存入一个文件夹。企业版可以将BitLocker的密码通过活动目录进行备份。另外要搞清楚,这个密码并不是BitLocker的密钥本身,但是可以用来生成密钥。备份完毕后,你就可以加密分区了

点击Continue,BitLocker将检测你的系统然后开始对启动分区进行加密。这个过程根据分区的大小和系统的处理速度,可能需要一两个小时。然后,系统需要重新启动,这时你需要将刚才制作的U盘插入电脑。重新启动后的系统就处于BitLocker的保护之下了。