随着微软的大力推广,很多的朋友都已经用上了Windows Vista,不同的用户对于Vista自然有着不同的需求,个人用户更多关心的是美伦美奂的Aero效果,而企业用户更多关注的是Vista的安全性能。如果你使用的是Windows Enterprise Vista(企业版本)或Windows Ultimate Vista(旗舰版本),那么可以通过其中提供的“BitLocker”标准组件,从而获得前所未有的安全保护。
一、BitLocker工作原理
在Windows Vista研发期间,微软曾为了解决Windows XP的安全问题,而中断新系统研究,转向修补Windows XP的安全问题,也就是大家现在非常熟悉的SP2补丁包。对于懂一点专业技术的“黑客”来说,Windows XP帐户密码无需费多大力气就能将其破解,从而盗取计算机里面的数据,这种攻击方法称为离线式攻击。也就是说,攻击者是直接使用你的计算机入侵。因此,在Windows Vista里,微软自然在安全上下了非常大的功夫,BitLocker也就是在这样一种局面下诞生了,它和EFS相互补充,采用了硬件和软件相结合的方法来保护硬盘数据。
这里简要和大家说一下BitLocker的工作原理,BitLocker加密后的磁盘或磁盘分区是与主板上的TMP芯片(或者USB闪存)捆绑在一起的。所以,就算别人盗取了这些数据,由于在其它计算机是不能解密本机的BitLocker加密数据,这样也就保证了数据不再被离线攻击。
要正式使用BitLocker功能之前,我们需要安装相关的更新。进入“Windows Update”窗口,选择“查看可用更新”,在这里勾选“BitLocker和EFS增强”复选框,然后单击右下角的“安装”按钮,稍候片刻,系统会自动下载并安装更新。更新安装完成后,我们可以在“已安装的更新”列表框中看到“BitLocker Drive Preparation Tool (KB933246)”和“Secure Online Key Backup (KB932926)”两款更新。
现在,进入控制面板的“安全”窗口,在这里我们可以发现“BitLocker驱动器加密”和“密钥安全联机备份”两个项目。
由于目前支持TPM的计算机可以说是少之又少(仅在部分高端产品中才会采用该技术),因此我们如果现在立即去使用BitLocker,那么加密驱动器时会提示黄色的警示信息,说是找不到TPM。由于前面提到的原因,既然无法通过TPM加密驱动器,那么只能考虑选择USB模式的BitLocker。不过,默认设置下Windows Vista却是自动禁用USB模式,请按照下面的步骤手工启用:
步骤1 按下“Win+R”组合键打开运行对话框,或者直接激活“开始搜索”框,在这里输入“gpedit.msc”进入组策略对象编辑器,逐步进入“计算机配置→管理模板→Windows组件→BitLicker驱动器加密”。
步骤2 在右侧窗格中双击“控制面板设置:启用高级启动选项”,选择“已启用”,此时下面的“没有兼容的TPM时允许BitLocker”选项会自动勾选,最后单击右下角的“应用”按钮。
三、通过USB闪存盘实现BitLocker加密
进入控制面板的“安全”窗口,单击“启用BitLocker”按钮,这里会有一个名为“每一次启动时要求启动USB密钥”的选项,根据提示插入可移 undefined undefined动USB内存设备,这是用来保存启动密钥,然后单击右下角的“保存”按钮。
这里的选项就丰富多了,我们可以选择“在USB驱动器上保存密码”,也可以选择“在文件夹中保存密码”,不过建议还是同时将密码打印出来。此时会再次要求插入USB设备,单击“保存”按钮,稍等片刻待恢复密码被成功保存后,单击“下一步”按钮。
默认设置下,BitLocker会对Windows Vista系统所在的卷进行加密,加密之前将首先进行系统检查,检查完成之后单击“继续”按钮,接下来需要重新启动计算机,在重启时需要插入包含启动密钥的USB存储设备。重新启动之后,系统将开始进行BitLocker的加密操作,我们可以在系统托盘处查看具体的进度,单击可以查看详细信息,耐心等待片刻就是了。
驱动器加密完成后,如果进入“计算机管理→存储→磁盘管理”的界面,我们会看到被加密的卷的状态较以前有了显然的变化,这里的状态是“启动,页面文件,故障转储,逻辑驱动器”,而“文件系统”也显示为“NTFS(BitLocker已加密)”的字样。
如果你安装了Windows XP、Windows Vista的双系统,那么当进入Windows XP访问已被加密的Windows Vista卷时,得到的提示将是“驱动器不可用”,而该加密卷的文件系统将是“RAW”。
四、BitLocker加密的恢复
假如日后由于某些原因,需要关闭BitLocker,可以进入“控制面板→安全→BitLocker驱动器加密”窗口,在这里单击“关闭BitLocker”,此时会弹出一个确认提示框,我们可以在这里选择是禁用或解密,选择“解密此卷”。
接下来,系统会对已被加密的卷进行解密,“BitLocker驱动器加密”的界面下会显示“解密中”的字样。与此同时,系统托盘区也会显示一个小图标,单击后可以查看到详细的解密进度,这里需要的时间也是相当的漫长,解密完成后,会弹出相应的提示框。
如果此时再次进入磁盘管理的界面,会看到这里已经完全恢复为加密前的状态。