标签归档:BitLocker

系统加密比较:Vista BitLocker vs. Mac OS X FileVault

  早在Windows Vista上市之前,便有许多人有意无意地将其与苹果(Apple)的Mac OS X相提并论,试图比较二者的优劣。毕竟,从简单的角度看,Windows Vista与Mac OS 间存在太多的相似点,比如说,Windows Vista的Aero Galss界面与Tiger中的Aqua界面,再比如说Windows Vista中的即时搜索与Mac中的“Spotlight”等.而在操作系统对文件的加密方面,Windows Vista中引入了对BitLocker的支持,这与Mac OS X中的FileVault 也有一定程度的近似,二者欲实现的目标也基本相同:即保护用户的重要数据,使其即使在电脑遗失的情况下也不会造成机密的外流。
  从技术上看,无论BitLocker还是FileVault,均是一种系统级的加密,但尽管二者的目标相同,采取的具体机制则有明显的差别。那么,究竟孰优孰劣?下面我们进行简单的比较。

Windows Vista的BitLocker
  与Mac OS X中的FileVault相比,Windows Vista中的驱动器加密功能BitLocker更为强大,不仅加密、保护用户文件,事实上,BitLocker加密的是整个系统分区,包括Windows系统文件、应用程序以及存放于系统盘的任何个人数据。

  启用了BitLocker的Windows Vista系统,要求在启动时必须插入存有密钥的USB盘,或具有BitLocker恢复密码,不然,系统将无法启动。BitLocker在加密过程中使用一个相对较小的启动分区来检查密钥,只有检测通过硬盘数据才可存取,这样,即使非法使用者将该硬盘挂接在别的可正常启动的系统上,也无法读取该分区中的数据。

  BitLocker的优势: 没有正确的密钥,不仅无法启动进入Windows Vista,而且,正如上文所言,即使非法使用者采取其他手段,如试图以脱机方式浏览存储在受保护驱动器中的文件,也无法读取加密分区内的数据,最大程度地保证了数据的安全。

  BitLocker的不足:从某种程度上说,BitLocker的优势也具有双面性,用户必须确保将自己存有密钥USB盘不要遗失,或者,将BitLocker恢复密码保存到安全位置,不然,也许会发生反而将自己“拒之门外”的惨剧。

  此外,要享受BitLocker带来的好处,用户必须购买Windows Vista Ultimate或Enterprise版,并且,在设置时需调整硬盘分区,新建一个启动分区以及将密钥保存到USB盘等繁琐过程。

Mac OS X的 FileVault
  在Mac OS X中,FileVault自动加密用户文件目录及其中的文件。当用户对其目录中的文件进行读写操作时,FileVault在后台自动对相应文件进行加解密过程,其效率极高,事实上,大多数用户在操作中甚至感觉不到存在这么一个加、解密的过程。

  FileVault使用用户的登录密码作为加解密的密钥。也即是说,只有当用户使用正确的密码登录时,才能看到自己主目录及其下的文件。不然,该文件夹将不可存取。如果同一台Mac机上存在多个用户,那么,每个用户只能看到自己的主目录及目录下的文件,而无法对其他用户目录下的文件进行操作。

  FileVault的优势:FileVault是Mac OS X系统的默认功能,用户不必像Windows Vista那样,必须购买更昂贵的Windows Vista Ultimate 或 Enterprise版才能享受BitLocker功能。同时,与BitLocker相比,不必对硬盘进行重新分区,不必创建存有密钥的USB启动盘,几乎不需任何用户设置,应用较为简便、方便。

  FileVault的不足:即便启用FileVault,非法用户仍能正常启动Mac,这与BitLocker直接让非法用户无法进入系统存在距离,虽然此时从理论上说,非法用户仍然无法读取用户目录下的文件。

小结:Windows Vista更胜一筹
  从上文的简单比较可以看出,尽管要应用BitLocker,需要购买更昂贵的Windows Vista版本,需要远较FileVault复杂的设置过程,但BitLocker的安全防护更为全面,可以从根本上把非法使用者拒之门外,即使其拿到您的PC、您的硬盘,也同样对其上的数据无能为力。

  此外,还必须考虑到,在Windows Vista中,除了BitLocker,还可以使用EFS(Encrypt File System : 加密文件系统),加密特定文件/文件夹,这可实施进行更灵活的数据保护。

Windows Vista系统BitLocker使用方法

提供BitLocker加密分区恢复:http://www.datarelab.com/blog/DataRecoveryServer.html

 

1、使用BitLocker的前提条件

很多人可能都听说过ERD Commander之类的软件,这种软件可以创建一个引导光盘,用户可以用这张光盘将电脑引导进入一个特殊的WindowsPE环境(可以理解为运行在光盘上的Window系统)中。在这个环境中,我们可以在不知道电脑上安装的操作系统管理员账户和密码的情况下直接编辑系统的注册表或者修改任何一个账户的登陆密码。甚至还可以获得文件的NTFS访问权限,并绕过Windows的权限设置读取需要的机密文件。这种在Windows没有运行着的情况下对系统进行“攻击”的操作就叫做“脱机攻击”。

其实类似这样的工具还有很多,有些是售价昂贵的商业软件,有些甚至是可以免费获得的软件。但是这是否意味着Windows的安全性很差呢?其实不然,因为进行脱机攻击的时候,被攻击的Windows并没有运行,因此Windows的各种安全保护机制也无法生效,进而造成了被攻击的可能。其实不仅仅是Windows,任何操作系统都无法有效避免这种脱机攻击。至于从物理层面的攻击,例如恶意拔掉服务器电源导致服务中断,或者损坏硬件造成数据丢失,更是无法仅依靠完善操作系统避免。所以说实现系统安全和数据安全的一个大前提就是首先要保证计算机在物理上的安全,不能让攻击者从物理层面上接触到计算机。

不过好在Windows Vista中的BitLocker功能可以保护整个Windows本身不被脱机攻击,并保护我们的机密数据无法被允许的Windows以外的其他操作系统访问。简单来说,BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密,并将密钥保存在硬盘之外的地方。这样,要想启动Windows或者读取保存在电脑中的文件,就必须先提供密钥,随后引导程序才会使用提供的密钥解密系统文件,并加载和运行Windows,供我们读取文件。

BitLocker是Windows Vista中的一项新功能,只能用于Windows Vista企业版和旗舰版。另外,在初始版本的Vista中,该功能只能加密安装了Vista的分区,不过在安装SP1之后可以加密任何一个本地硬盘分区。

不同模式的不同要求
BitLocker主要有两种工作模式:TPM模式和U盘模式,为了实现更高程度的安全,我们还可以同时启用这两种模式。

要使用TPM模式,要求计算机中必须具备不低于1.2版TPM芯片,这种芯片是通过硬件提供的,一般只出现在对安全性要求较高的商用电脑或工作站上,家用电脑或普通的商用电脑通常不会提供。

要想知道电脑是否有TPM芯片,可以运行“devmgmt.msc”打开设备管理器,然后看看设备管理器中是否存在一个叫做“安全设备”的节点,该节点下是否有“受信任的平台模块”这类的设备,并确定其版本即可。

如果要使用U盘模式,则需要电脑上有USB接口,计算机的BIOS支持在开机的时候访问USB设备(能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能),并且需要有一个专用的U盘(U盘只是用于保存密钥文件,容量不用太大,但是质量一定要好)。使用U盘模式后,用于解密系统盘的密钥文件会被保存在U盘上,每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

Vista系统BitLocker使用揭秘

受信任的平台模块是实现TPM模式BitLocker的前提条件。

对硬盘分区的要求
硬件满足上述要求后,还要确保硬盘分区的安排可以满足要求。通常情况下,我们可能习惯这样给硬盘分区:首先,在第一块硬盘上划分一个活动主分区,用于安装Windows,这个分区是系统盘;其次,对于剩下的空间继续划分更多主分区,或者创建一个扩展分区,然后在上面创建逻辑驱动器。简单来说,我们已经习惯于让第一块硬盘的第一个分区成为系统盘,并在上面安装Windows。

Vista系统BitLocker使用揭秘 

 传统方式下的硬盘分区情况。

在一台安装Windows Vista的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。
这里重点需要关注的是,硬盘上是否有超过一个的活动分区。例如图中的“磁盘0”,该磁盘上有两个分区,对应的盘符分别是“C”和“D”,其中“C”就是第一块硬盘上的第一个分区,属于系统盘而且是活动的。但问题在于,如果除了系统盘外,硬盘上不存在其他活动分区,这种情况下是无法直接启用BitLocker的(无论是TPM模式还是U盘模式)。原因很简单,源于其工作原理,BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密,在启动系统的时候,我们必须提供解密的密钥,来解密原本被加密的文件,这样才能启动操作系统或者读取机密文件。但这就有一个问题,用于解密的密钥可以保存在TPM芯片或者U盘中,但是解密程序应该放在哪里?难道就放在系统盘吗?可是系统盘已经被加密了,这就导致了一种很矛盾的状态:因为用于解密的程序被加密了,因此无法运行,导致无法解密文件。

所以如果要顺利使用BitLocker功能,硬盘上必须至少有两个活动分区,除了系统盘外,额外的活动分区必须保持未加密状态(且必须是NTFS文件系统),同时可用空间不能少于1.5GB。为了保证可靠性,这个专门的活动分区最好专用,不要在上面保存其他文件或者安装额外的操作系统。

 

2、准备磁盘分区

遗憾的是,一般情况下,很少有人会在自己的硬盘上创建多个活动分区。那么我们又该怎样设置硬盘,以满足BitLocker的要求?如果是在安装Windows Vista之前看到了这段内容,并且打算安装好之后使用BitLocker功能,那么我们可以在安装的时候直接将分区准备好。

如果是在安装了Windows Vista,并且在打算使用BitLocker的时候才看到这段内容,而硬盘分区已经按照传统的方式划分好了,那么也不用担心。通过一些方法,我们可以在不破坏现有系统以及所有数据的前提下为BitLocker腾出一部分空间来创建另一个分区。

如果还没有安装Vista

如果正打算在一块新硬盘上安装Windows Vista企业版或旗舰版,那么就可以在安装的过程中创建出符合BitLocker要求的分区结构。具体的过程如下:

准备好Windows Vista安装光盘,并在计算机的BIOS设置中设定通过光盘引导计算机(具体的设置方法请参考计算机或主板的说明书);

打开电源,立刻将Windows Vista安装光盘放入计算机。如果设置无误,那么计算机会自动从光盘引导,稍等片刻,屏幕上就会出现一个绿色的滚动条,就像Windows Vista正常启动时候那样;

当看到“安装Windows”对话框之后,选择要安装的语言、时间和货币格式,以及键盘和输入方法,设置好之后单击“下一步”按钮;

单击窗口左下角的“修复安装”链接;

随后可以看到“系统恢复选项”对话框,因为这是一块新硬盘,因此不会列出任何内容,直接单击“下一步”按钮;

在接下来看到的“系统恢复选项”对话框中,单击“命令提示符”链接;

Vista系统BitLocker使用揭秘

通过“命令提示符”创建符合要求的分区

当打开“命令提示行”窗口后,依次运行下面列出的命令(除了第一条和最后两条命令外,其他所有命令都需要在“diskpart>”提示符下运行,括号内的文字是对命令的解释,不用输入。):

Diskpart(启动diskpart.exe,这是一个命令行界面下的硬盘分区调整程序。)

Select Disk 0(将第一块硬盘选中,作为后续操作的目标盘。如果有多块硬盘,并且希望将Windows Vista安装到其他硬盘上,请更改数字“0”为目标硬盘的编号。如果想知道分别有哪些硬盘,各自的编号是什么,请首先运行“list disk”命令。)

Clean(清空所选硬盘上的分区表信息。注意:目标硬盘上如果有数据,将被全部清除。)

Create Partition Primary Size=1500(创建一个体积为1.5GB的主分区,这个分区用于日后保存引导文件。)

Assign Letter=S(将这个1.5GB分区的盘符设置为“S”,或者其他任何想要使用的字母,但不建议使用“C”,毕竟很多人都习惯于将Windows安装到C盘。)

Active(将这个1.5GB的分区设置为活动分区。)

Create Partition Primary(用所有剩余空间创建一个主分区,如果希望除了这个主分区外还创建其他分区,请使用“size=xxx”参数指定这个主分区的大小。)

Assign Letter=C(将这个分区的盘符设置为“C”,接下来会将Windows安装到这个分区,同时最终被BitLocker加密的也是这个分区。)

List Volume(查看已经分好的区,正常情况下可以看到划分好的分区界面。)

Exit(退出Diskpart程序。)

Format C: /Y /Q /FS:NTFS(用NTFS文件系统快速格式化C盘。)

Format S: /Y /Q /FS:NTFS(用NTFS文件系统快速格式化S盘。)

经过上述设置,我们可以重新启动计算机,并再次使用Windows Vista安装光盘引导系统,完成操作系统的安装工作。在安装过程中需要注意,系统必须安装到C盘,而不能安装到S盘。

Vista系统BitLocker使用揭秘 

在命令提示行下创建好的分区

如果已经安装了Vista

如果已经安装好了Windows Vista旗舰版或企业版,并在打算启用BitLocker的时候才发现系统被安装到磁盘0分区1上,也不用担心。只要分区0可用空间足够,我们完全可以将其中一部分空间拆借出来,创建一个新的磁盘0分区1。

虽然有很多第三方软件可以做到这一点,不过往往需要付费购买,而且因为在系统盘的前面添加了一个新的分区,导致盘符变化,可能会使得Windows无法正常启动,因此不建议使用这类第三方软件。

要想在保留现有数据的前提下给原本安装了Windows的“磁盘0分区1”前面新建一个分区,我们可以使用微软提供的一个免费软件:BitLocker和EFS增强,这个软件是作为Windows Vista Ultimate Extras提供的。顾名思义,该软件只能由正版Windows Vista旗舰版用户通过Windows Update获得。不过根据微软的说明,Windows Vista企业版用户可以联系微软获取该软件,联系方式是:http://support.microsoft.com/contactus/?ws=support

安装了BitLocker和EFS增强工具后,请这样操作:

从“开始”菜单下的“所有程序”|“附件”|“系统工具”|“BitLocker”路径下启动“BitLocker驱动器准备工具”,在授权协议页面上单击“我接受”,随后该软件将自动检查本机的配置情况。

阅读屏幕上显示的注意事项,按照提示照做后单击“继续”按钮。

随后程序会自动调整硬盘分区,整个过程分为三个步骤:缩小(压缩)现有的系统盘;利用压缩获得的可用空间创建一个用于保存引导文件的新分区;然后根据BitLocker的要求调整新分区的设置。

这个过程大概需要三分钟左右,完成后单击“完成”按钮,系统会自动重启动。这时准备工作已经全部完成。通过上述操作,在本机会出现一个盘符为“S”,可用空间为1.5GB的新分区,引导文件和启动过程中的临时文件会保存在这里。

 Vista系统BitLocker使用揭秘

使用专用工具准备所需的分区

另外,在使用BitLocker和EFS增强工具调整硬盘分区的时候,还必须保证之前的系统盘在减少1.5GB的可用空间后保留的可用空间不小于分区总容量的10%。

3、调整系统配置:纯U盘模式

默认情况下,Vista中只能使用TPM模式的BitLocker,因此要使用U盘模式,我们必须配置组策略将其启用。好在支持BitLocker功能的Windows Vista版本都是具有组策略的。具体做法如下:

运行“gpedit.msc”打开组策略编辑器,从编辑器窗口左侧的控制台树形图中定位到“计算机配置”|“管理模板”|“Windows组件”|“BitLocker驱动器加密”。

在右侧的控制台窗口中找到并双击打开“控制面板设置:启用高级启动选项”这个策略,选择“已启用”。

单击“确定”保存设置,这样我们已经在本机启用了U盘模式的BitLocker。

启用BitLocker

在安装SP1之后的Vista企业版和旗舰版中,我们可以使用三种模式的BitLocker:

●纯TPM模式,要求系统中具有TPM芯片,这样用于解密的密钥以及用于验证引导文件完整性的相关文件都会保存在TPM芯片中。

●纯U盘模式,要求系统符合上文中提到的和USB设备有关的条件,这样用于解密的密钥会被保存在U盘中。

●混合模式,可以使用TPM+U盘,TPM+PIN,以及TPM+U盘+PIN的形式进一步增强系统安全。

那么这些模式分别要怎样使用?让我们来看看。

纯U盘模式

因为目前具有TPM芯片的电脑还不是很多,因此我们首先介绍纯U盘模式的使用方法,毕竟这种方式才适合最多人使用。

打开控制面板,依次单击“安全”|“BitLocker驱动器加密”,我们可以看到BitLocker加密驱动器的界面。

这里已经列出了当前安装电脑的所有本地硬盘分区,对于想要加密的分区,单击对应的“启用BitLocker”链接,随后可以看到设置启动首选项的界面,在这里我们需要选择BitLocker的工作方式。因为没有TPM芯片,因此只能选择最后一个选项,这样以后每次启动系统的时候都必须提供保存了密钥的U盘,不过系统启动后就不再需要了。因此在这里直接单击“每一次启动时要求启动USB密钥”选项。

Vista系统BitLocker使用揭秘 

对特定分区启用BitLocker加密。

Vista系统BitLocker使用揭秘

选择要使用的BitLocker工作模式。

将准备好的U盘连接到计算机,等程序界面上显示了这个U盘后,单击将其选中,然后单击“保存”按钮,这样用于解密被BitLocker加密的分区所需的密钥就会被保存在所选的U盘上。

随后可以看到保存恢复密码的界面,在这里我们需要决定恢复密码的处理方式。需要注意,在平时的使用过程中,并不需要提供恢复密码,我们只要提供之前一步操作中指定的U盘即可,而恢复密码是在U盘不可用(例如,丢失或者损坏)时使用的,因此建议将其妥善处理。例如,如果本机安装了打印机,可以将恢复密码打印在纸上,并将这张纸保存在安全的地方。同时因为非常重要,建议同时保留恢复密码的多个副本,例如多次打印,然后将打印的密码分别保存在不同的安全位置,或者保存在另外的U盘上(最好不要将恢复密码和启动密码保存在同一个U盘上)。

保管好恢复密码后单击“下一步”按钮,随后程序会对我们的操作进行一个概述。同时为了进一步确认本机可以正常使用BitLocker功能,请保持选中“运行BitLocker系统检查”选项,这样程序会在进行加密之前先对系统中的各项设置进行检查。如果确认无误,请单击“继续”按钮(注意:在整个过程中,最先使用的U盘一定不能拔下来,如果需要将恢复密码保存在其他U盘上,请将第二块U盘连接到计算机的其他USB接口上)。

Vista系统BitLocker使用揭秘

决定恢复密码的处理方式

Vista系统BitLocker使用揭秘

加密过程进度对话框

接下来需要重新启动系统,准备好之后单击“现在重启动”按钮。重启动完成,并成功登录后,桌面右下角会显示一个气泡图标,提示我们系统正在进行加密,单击这个气泡图标后可以看到显示加密进度的对话框。在这里我们可以暂停加密操作,并在稍后继续进行,但是无法停止或者撤销加密操作。

加密操作需要一定的时间,主要取决于系统盘的大小以及计算机的硬件速度。不过好在这个操作只需要进行一次。而且在日后的使用过程中,系统的运行速度并不会有太大的降低,因此可以放心使用。加密完成后单击“完成”按钮即可。经过上述操作,BitLocker功能已经被成功启用。但是还有几点问题需要注意:

●应用BitLocker加密后,当Windows Vista启动后,我们查看系统文件时将不会看到文件带有任何与“加密”有关的属性,这属于正常现象,因为BitLocker的加密是在系统底层,从文件系统上实现的,而在用户看来,启动了的系统里的系统文件并没有被加密。但如果换个角度来看,例如一台计算机上安装了两个系统,或者将装有系统的硬盘拆掉,连接到其他计算机上,在试图访问应用了BitLocker的系统所在的分区时,我们会收到拒绝访问的信息,而且拒绝的原因是目标分区没有被格式化。这都属于正常现象,而且也证明了BitLocker正在保护我们操作系统的安全(设想一下,连访问分区都无法实现,又如何进行脱机攻击?)。

●另外,保存了启动密钥的U盘,直接在Windows资源管理器下查看的时候,完全看不到其中保存的密钥文件。这也是为了安全。同时建议这个U盘只用于保存BitLocker的启动密钥,而不要用作其他用途。这主要是为了尽量避免U盘因为各种原因,例如病毒感染或者频繁写入损坏而造成系统无法访问。而且需要注意,密钥盘只是在启动系统的时候需要,只要系统启动完成,我们就可以将其拔出,并妥善保管起来。操作系统的正常运行过程中并不需要我们反复提供密钥盘。

●最后一点,在加密过程中,系统盘的可用磁盘空间将会急剧减少。这属于正常情况,因为这个过程中会产生大量临时文件。加密完成后这些文件会被自动删除,同时可用空间数量会恢复正常。在解密被加密的系统盘时也会遇到类似的情况。

在应用了U盘模式的BitLocker后,每次启动系统前都必须将保存了启动密钥的U盘连接到计算机,否则系统会提示需要BitLocker驱动器加密密钥。这就要求我们必须将保存了启动密钥的U盘连接到计算机后重启动,才能完成Windows的启动和加载过程。如果因为某些原因,例如保存了启动密钥的U盘损坏或者丢失,只要还保留有启用BitLocker时创建的恢复密码,那么可以在这个界面上按下回车键进行恢复(详细的恢复方法请参考下文)。

 

4、纯TPM模式

如果电脑主板上具有1.2版以上版本的TPM芯片,那么就可以采用纯TPM模式的BitLocker加密保护系统。使用这种模式后,等于将硬盘、系统,以及计算机主板(或者扩展卡形式的TPM卡)捆绑在一起。只有特定TPM芯片存在的情况下才可以启动对应的操作系统。也就是说,如果台式机的硬盘被拆掉,安装到其他计算机上,将无法直接读取系统盘的任何数据。而且这种模式不需要用户在启动系统的时候提供任何密码或者U盘。

在继续下面的操作之前,我们可能需要将计算机的主板BIOS更新到最新的版本,或者安装最新版本的TPM芯片驱动程序。详细信息请查阅主板或者TPM芯片的说明书。

如果确认计算机上的TPM芯片符合要求,请按照下列步骤对本机上的TPM芯片进行初始化:
运行“tpm.msc”打开TPM管理控制台。

单击窗口最右侧操作窗格中的“初始化TPM”链接,随后可以打开 “初始化TPM安全硬件”对话框。单击“自动创建密码(推荐)”链接。

在随后显示的对话框上会显示TPM所有者的密码,单击其中的“保存密码”按钮,接下来会出现一个“另存为”对话框,我们需要为TPM所有者的密码指定一个保存路径和文件名。

当出现“完成”按钮后表示TPM芯片的初始化工作已经结束,单击即可退出。

Vista系统BitLocker使用揭秘

在这里完成TPM芯片的初始化工作

Vista系统BitLocker使用揭秘

决定TPM所有者密码的创建方式

在初始化过程中,对创建的TPM所有者密码一定要妥善保管。在对TPM完成初始化工作后,我们就可以启用BitLocker了。需要注意的是,如果没有修改过有关BitLocker功能的组策略设置,那么将只能使用TPM模式的BitLocker加密,因此在启用BitLocker的时候,系统并不会让我们选择使用哪种模式。

随后我们可以按照上文中“纯U盘模式”一节的介绍启用BitLocker,唯一的不同在于需要选择“使用没有附加密钥的BitLocker”,剩下的过程基本上完全一样,因此不再重复说明。

 

5、混合模式

混合TPM模式的BitLocker加密有以下两种模式:

●TPM芯片和启动PIN组合加密:在纯TPM模式的基础上,再设置一个启动密码(PIN码),这个启动密码由4到20位数字组成。每次启动计算机时,必须手动输入这个PIN码,然后和TPM芯片中的存储根密钥(SRK)结合起来,才能解密系统盘。

●TPM芯片和启动USB密钥组合加密:在纯TPM模式的基础上,再设置一个启动密钥,这个密钥存放在U盘里。每次启动计算机时,必须提供保存密钥的U盘,然后和TPM芯片中的存储根密钥(SRK)结合起来,才能解密系统盘。

Vista系统BitLocker使用揭秘

BitLocker支持的所有工作模式

下文将分别介绍这两种模式。

TPM+PIN

默认情况下,在Windows Vista中只能使用纯TPM模式的BitLocker加密,因此首先需要对组策略设置进行一些调整。具体方法如下:

运行“gpedit.msc”打开组策略编辑器,从编辑器窗口左侧的控制台树形图中定位到“计算机配置”|“管理模板”|“Windows组件”|“BitLocker驱动器加密”;

在右侧的控制台窗口中找到并双击打开“控制面板设置:启用高级启动选项”这个策略,选择“已启用”;

然后在该对话框的“配置TPM启动PIN选项”下拉菜单中选择“允许用户创建或跳过”选项;在“配置TPM启动密钥选项”下拉菜单中选择“允许用户创建或跳过”选项;

单击“确定”保存设置。

接下来可以开始启用BitLocker了,具体的过程和上文介绍的U盘模式差不多,只不过其中有些选项是新增的,需要注意:

打开“控制面板”窗口,依次进入“安全”|“BitLocker驱动器加密”;

单击“启用BitLocker”链接,随后可以看到设置启动首选项的对话框。这里和上文中的设置启动首选项有所不同,新增了两个设置选项。

这些选项的作用如下:

●使用没有附加密钥的BitLocker:纯TPM模式的加密。

●每一次启动要求PIN:TPM芯片和启动PIN码的混合模式加密。

●每一次启动时要求启动USB密钥:TPM芯片和启动USB密钥混合模式加密。

因为我们需要的是TPM+PIN的方式,因此直接单击“每一次启动时要求PIN”按钮,随后可以看到设置启动PIN的对话框。

Vista系统BitLocker使用揭秘

设置启动PIN码。

输入一个PIN,然后单击“设置PIN”按钮。接下来的步骤就和U盘模式类似了,设置恢复密码,进行加密。同样,加密过程需要很长时间。日后使用系统的时候,不仅要确保TPM芯片的正常工作,而且必须在加载系统之前输入在这里指定的PIN码。

TPM+U盘

对于TPM+U盘的模式,在操作上则和上一节中介绍的TPM+PIN码的步骤基本类似,只不过需要在设置启动首选项的界面上单击“每一次启动时要求启动USB密钥”按钮,然后将用于保存启动密钥的U盘连接到计算机即可。

在使用这种模式后,日后每次开机后不仅要确保TPM芯片的正常工作,而且必须预先将保存了启动密钥的U盘连接到计算机上。

 

6、BitLocker的灾难恢复

如果在启用了BitLocker加密后,因为各种原因导致系统无法启动,例如保存了启动密钥的U盘丢失或者损坏,那么只要还保留之前的恢复密码,我们也可以将密钥文件恢复。经过恢复操作,我们可以重新创建一个启动密钥盘,同时之前创建的密钥盘将会被自动作废。这样就算别人窃取了密钥盘,只要能及时发现,并即使执行恢复程序,创建新的密钥盘,那么获得旧密钥盘的人也无法访问我们的系统。

如果需要进行恢复,请在系统启动时要求提供密钥盘的界面上直接按下回车键,随后系统会提示输入驱动器的恢复密码。这时请找出当初启用BitLocker时创建的启动密码,例如,我们可能将密码打印在纸上,或者保存在其他U盘或者网络共享文件夹中。如果打印在纸上,请直接找出这张纸;如果保存在U盘或者网络共享文件夹中,请在其他计算机上查看保存的文件。

在恢复页面上通过键盘上的F1到F9键代表1~9这九个数字,用F10键代表数字0,输入正确的恢复密码。只要密码输入正确,输入最后一位后整个屏幕会黑掉,同时硬盘灯开始频繁闪烁。这时候不用着急,等待片刻后即可看到Windows Vista的登录界面。当然,如果在创建恢复密码的时候选择保存在U盘上,这时候直接提供保存了恢复密码的U盘也可以实现同样的结果,而且更快捷。

不过有一点需要注意,如果使用恢复密码启动了系统,那么建议重新创建启动密钥盘,否则每次启动系统的时候都需要提供恢复密码,不是很方便。创建的方法如下:

使用恢复密码启动系统,并使用管理员账户登录后,在“控制面板”中依次打开“安全”|“BitLocker驱动器加密”。

单击“管理BitLocker密钥”链接,随后将打开密钥管理的界面。

如果是因为丢失了启动密钥,需要重新创建密钥盘,可以单击“复制启动密钥”按钮,并根据屏幕上的提示提供一个空白的U盘,完成后续操作。

如果是希望在更多的地方保存恢复密码,则可以单击“复制恢复密码”按钮,并继续后面的操作。

Vista系统BitLocker使用揭秘

管理BitLocker的启动密钥。

对于启动密钥,实际上是一个扩展名为“.fek”的,具有隐藏属性的文件,该文件会被放置在启动密钥盘的根目录下。因此我们完全可以通过手工复制文件的方式将该文件放在更多的U盘上,或者放在其他计算机的硬盘上,只有在需要的时候才复制到U盘的根目录下,作为备份的密钥盘使用。要想在Windows资源管理器中看到这个文件,我们需要对Windows资源管理器进行一些设置:打开“计算机”窗口,按下键盘上的Alt键显示菜单栏,依次单击“工具”|“文件夹选项”|“查看”,在随后打开的“查看”选项卡中,选中“显示隐藏文件”选项,并反选“隐藏受保护的操作系统文件(推荐)”这个选项即可。通过这样的方法,我们可以手工创建出多个可以同时使用的启动密钥盘。但一定要注意,每个启动密钥盘都必须妥善保管。

如果已经丢失了启动密钥,而使用本节介绍的方法通过恢复密码启动了系统,这时候我们可以按照上文介绍的方法让系统为我们重新创建密钥盘。这个过程和手工复制文件“备份”密钥盘的结果是一样的,只不过由Windows Vista代替我们完成而已。然而需要注意,对于因为启动密钥盘损坏导致的启动密钥丢失,我们可以借助这种方法恢复;但如果是启动密钥盘失窃导致系统无法启动,那么在使用恢复密码启动系统之后,最好能够更新启动密钥。否则拿到原先启动密钥盘的人将可以使用这个密钥盘访问我们的系统。在Windows Vista中,目前无法主动更新启动密钥,我们必须首先解密对系统盘的加密,并禁用BitLocker,然后重新启用,并加密系统盘,方法会在下文介绍。

 

7、关闭或禁用BitLocker

如果在启用BitLocker后因为任何原因不想继续使用这一功能,我们可以考虑将其关闭。在Windows Vista中,有两种方法可以禁用BitLocker:禁用BitLocker或者解密系统盘。

简单来说,禁用BitLocker是一种临时性的措施。在禁用BitLocker后,系统盘仍然处于被BitLocker加密的状态下,不过系统会自动生成一个包含了启动密钥的临时文件放在本地硬盘上。也就是说,系统启动的时候,将不再需要我们提供启动密钥盘,而是直接借助硬盘上保存的密钥文件来解密。这种方法适合需要临时禁用BitLocker的情况下。例如,我们可能需要更新计算机的BIOS,或者更改启动文件(例如,在原有一个Windows Vista的基础上安装其他Windows系统,形成多系统环境)。这种情况下,为了确保操作可以顺利进行,就必须暂时性禁用BitLocker。当操作完成后,我们还可以重新启用BitLocker,这样硬盘上保存的临时密钥文件将会被自动删除,而我们可以使用之前创建的启动密钥盘和恢复密码对BitLocker功能进行操作。在禁用模式下,系统依然可以受到BitLocker的部分保护。

至于解密系统盘,则是一种比较彻底的方式。在这种方式下,启动密钥盘会被彻底禁用,而如果是TPM模式,则TPM芯片中保存的信息也会被撤销,同时系统盘的所有文件会被解密。因此解密系统盘适合不打算继续使用这个功能的用户使用。解密系统盘后,系统将完全不会受到BitLocker的保护。

禁用BitLocker

如果需要禁用BitLocker,我们可以这样操作:

使用管理员账户登录Windows Vista,打开控制面板;

依次进入到“安全”|“BitLocker驱动器加密”,单击“关闭BitLocker”链接,随后可以看到选择解密类型的界面;

单击“禁用BitLocker驱动器加密”按钮。随后桌面右下角将会出现一个图标,告诉我们BitLocker功能已经被暂时禁用。接下来可以进行需要执行的操作(更新BIOS、安装多重引导系统等)。

在禁用后如果需要重新启用BitLocker,只需要单击桌面右下角系统通知区域的BitLocker图标,并在随后出现的窗口中单击“启用BitLocker”链接,BitLocker立刻就会被重新启用。

解密系统盘

如果觉得自己不再需要BitLocker功能,那么我们可以将其彻底禁用,并将系统盘解密。具体做法如下:

使用管理员账户登录Windows Vista,打开控制面板;

依次进入到“安全”|“BitLocker驱动器加密”,单击“关闭BitLocker”链接,随后可以看到上文中提到的选择解密类型的界面;

Vista系统BitLocker使用揭秘

选择不同的BitLocker解密级别。

单击“解密此卷”按钮,系统会自动将所有启动密钥和恢复密码作废,并开始解密系统盘。需要注意,解密操作和加密操作几乎要使用同样长的时间,而且该操作只可以暂停,但无法被取消。

 

8、注意事项

其实BitLocker能够做到的还有更多,例如TPM模式的使用,或者混合模式的使用等。如果需要更高程度的安全性,我们还可以在这方面多下一些功夫。

例如,有人询问过这样的问题:如果单纯使用TPM模式,可能还不如U盘模式的安全程度高。抱有这种观点的人认为,如果使用U盘模式,至少密钥盘和计算机是可以分开保存的,这样如果单纯丢失了密钥盘或者计算机,都不会造成太大的损失。但是对于笔记本电脑用户,就存在这样一个很突出的问题:如果笔记本电脑本身带有TPM芯片,而我们又启用了TPM模式的BitLocker,那么一旦笔记本电脑失窃,等于窃贼同时获得了我们的硬盘以及启动密钥。在这种情况下BitLocker功能可以提供的保护等于没有。

这种问题确实存在,但BitLocker功能的设计者早就考虑到了。我们可以使用混合模式的BitLocker。这样除了TPM芯片外,我们还可以给系统再加一道锁,这道锁可以是一个独立于Windows账户的密码,或者是一个保存了启动密钥的U盘。这样,只要不是硬盘、TPM芯片,以及U盘和密码同时全部失窃,那么系统的安全依然可以得到保障。

但依然有一个问题需要注意:恢复密码的妥善保管。无论使用单纯的U盘模式、TPM模式,或者任何一种混合模式,在启用BitLocker时候设置的恢复密码一定要妥善保管,因为只要手头有恢复密码,无论什么模式的BitLocker加密,都将可以被绕过,并重设。因此恢复密码的安全性问题是绝对不能忽视的。

那么除了U盘模式外,其他几种模式的BitLocker分别是如何使用的?因为现在具有TPM芯片的计算机还不是很多,因此本文不准备详细介绍具体过程,只准备大概列出操作步骤,供感兴趣的朋友参考。

在BitLocker加密的使用过程中,密钥的作用是很重大的。如果缺少启动密钥,系统将被锁定,无法启动,除非能够提供恢复密码;但如果恢复密码丢失了,那么在遇到特殊情况后我们将被挡在系统的大门外。因此妥善处理启动密钥和恢复密码是使用BitLocker过程中最需要关注的。

在给Windows Vista旗舰版安装了BitLocker和EFS增强软件后,我们可以将自己的BitLocker恢复密码保存在微软提供的在线服务上,同时这些内容会受到微软的妥善保管。我们只要使用相同的Windows Live ID登录在线服务即可备份这些密钥,或者在密钥丢失后从备份中重新找回。

有关BitLocker和EFS增强这个程序,我们在上文中已经有过介绍,因此如果还没有安装,请立刻通过Windows Update安装。另外,我们还需要一个Windows Live ID,用于识别自己的身份。如果已经有了MSN/Hotmail邮箱,那么就可以直接使用这个邮箱的完整地址和密码作为自己的Windows Live ID使用。

在安装了BitLocker和EFS增强软件,并申请了自己的Windows Live ID后,我们可以开始备份和还原自己的密钥了。备份的过程如下:

打开“控制面板”,依次进入“安全”|“密钥安全联机备份”,随后可以看到保存恢复密码的界面。

如果希望联机备份BitLocker的恢复密码,请单击“保存BitLocker恢复密码”按钮;如果希望备份EFS恢复证书,请单击“保存EFS恢复证书”按钮。单击对应的按钮后可以看到登录界面,首先在“描述”文本框中输入对该内容的描述(例如“台式机的BitLocker密钥备份”),然后在登录文本框中输入自己的Windows Live ID名称和密码,并单击“提交”按钮。

Vista系统BitLocker使用揭秘

选择要联机备份的密钥

经过上述操作,BitLocker的恢复密码就会备份到微软的服务器上。通常情况下,我们可以随时使用自己的Windows Live ID登录,并找回这些东西。而且这个找回操作可以在任意一台可以连接到互联网的计算机上进行。

如果需要找回自己的密钥,可以在任何一台计算机上启动Internet Explorer浏览器,在地址栏输入“https://www.windowsmarketplace.com”,并按下回车键。

在随后出现的页面的右上角单击“Sign In”按钮,并使用备份密钥时使用的Windows Live ID登录,随后可以返回之前打开的主页面。在主页面上单击页面顶部中央的“Your Digital Locker”链接,可以看到下载恢复密钥的界面。

Vista系统BitLocker使用揭秘

将备份的密钥下载到本地

在了解了上述两种混合模式后,可能会有人问,既然在使用混合模式的时候一样需要提供U盘,或者输入PIN码,那么到底TPM芯片还有没有存在的必要呢?当然有,在有TPM芯片参与的情况下,BitLocker加密功能不仅可以有效保护系统分区不被未经授权的访问或者脱机攻击,而且可以保证系统盘重要文件的“合法性”。

在有TPM芯片参与的BitLocker加密模式下,在加密系统盘的同时,加密程序会把主引导记录(MBR)、NTFS卷的引导扇区、NTFS引导代码、还有BitLocker密钥等启动部件(要知道,这些重要的启动部件并非全部保存在被加密的Windows安装分区中,还有一部分是被保存在未加密的“系统盘”中的)做一个“快照”保存在TPM芯片里。每次系统启动时,解密程序会自动将这些文件的内容与TPM芯片里保存的快照进行比较,只有发现这些启动部件没有发生变化的情况下,才会继续解密过程。也就是说,有TPM芯片参与的BitLocker加密可以接管系统的引导过程,保证引导文件的完整性,并保证在操作系统完全启动好之前不被攻击。一旦发现这些重要引导文件的内容和TPM芯片中保存的“快照”信息不相符(可能是硬件损坏或者被病毒感染导致,也有可能是用户自己的操作导致,例如安装多系统,或者更新BIOS),那么就会提示用户,系统文件可能已经经过了篡改,而单纯的U盘模式BitLocker无法实现这项功能。

Windows 7的BitLocker为数据保驾护航

    操作系统的安全泛泛而谈其实包括两个方面的内容,分别为操作系统本身的安全与操作系统上数据的安全。在Windows 7种,通过UAC控制机制、系统备份与还原等措施在很大程度上提高了操作系统的安全性与稳定性。那么我们不仅问,Windows 7 在数据安全的保护是是否也有新举措呢?这个答案是让人兴奋的。在Windows 7 中,其提出了一种新的数据保护机制,即BitLocker。这个工具可以为企业信息文件的安全保驾护航。

    默认情况下,Window操作系统是不启动这个BitLocker功能的。如果企业对于数据文件的安全性要求比较高,则可以视情况来启动这个功能。那么这个功能到底有什么特色呢?其使用起来又有什么限制呢?笔者今天就为大家来解开这个谜题。

一、BitLockerEFS加密机制的不同。

     以前用过Windows操作系统的人一定了解,从2000操作系统开始,微软就在操作系统上实现了一种叫做NTFS的文件格式。这个文件格式根FAT32文件格式相比,相对来说比较安全与稳定一点。而且在这个分区格式上,微软还实现了很多让人欣喜的功能。其中EFS文件加密机制就是其中的一种。那么这个EFS文件加密机制与这个BitLocker有什么联系呢?又会有什么不同?

    首先值得肯定的是,这两种技术都是很好的文件保护机制,能够在很大程度上保障数据文件的安全。不过他们有一个很大的差异,即EFS是针对特定的文件或者文件夹来进行加密的。而BitLocker则是针对整个驱动器来进行加密。也就是说,采用EFS技术的话,用户可以有选择的对一些重要的文件或者文件夹进行加密。而如果采用BitLocker的话,用户没有这个选择权。其要么对某个驱动器的所有文件夹进行加密,要么就全部不加密。这是这两种文件加密机制的主要差异。

    不过他们也有很大的共同点。如无论是EFS加密系统,还是BitLocker保护机制,对于终端用户来说都是透明的。这个主要体现在如下几个方面。首先只要是合法的用户,其在访问数据的时候,是感受不到这种保护措施存在的,无论是对数据进行加密或者解密的过程,都是在后台完成,不需要用户干预。如只要在驱动器上实现了BitLocker技术,则当用户往这个驱动器中保存文件时,操作系统会自动对其加密。当下次访问时,操作系统也会自动对其进行解密。其次,如果其他非首选用户试图访问加密过的数据时,则其就会受到“访问拒绝”的错误提示。无论是EFS加密系统,还是BitLocker保护机制,其能够很好的保护用户的非授权访问。第三,他们的用户验证过程都是在登陆Windows操作系统是完成的。也就是说,他们的密钥是直接跟操作系统的帐户挂钩的。为此如果用户非法的将文件复制到其他主机上,如果没有主人用户的授权(证书),那么其他非法用户即使有了这些文件,那么他们也是无法打开的。

    可见EFS与这个BitLocker保护机制具有很多的相同地方。那么为什么微软还要费力气开发这个BitLocker文件加密保护机制呢?这主要是因为这个保护机制还是有其自身很多特点的。而这些特点在某些程度上又弥补了EFS文件加密系统的不足。

二、BitLocker更方便共享。

    如果某个文件夹中的文件采用了EFS加密系统加密,那么这个文件要在网络上共享是比较麻烦的。如系统管理员往往要将某个用户的证书导入到另外一个用户的操作系统,或者其他类似的手段才可以实现这文件的共享。不过如果采用BitLocker保护机制的话,则在这个文件共享上面会更加的方便。

    当用户将文件保存到采用BitLocker机制的驱动器之后,系统会自动对其进行加密。但是如果用户将这个加密后的文件复制到其他没有采用BitLocker技术的驱动器中,会出现什么情况呢?此时文件会被自动解密。此时其他用户只要具有相关的权限,就可以随意的阅读。不过前提是这个复制文件的用户其具有解密的权限。到这里为止跟EFS的文件加密系统处理方法还是类似的。不过在这文件共享上双方还是有很大的不同。假设现在用户要将某个采用BitLocker加密机制加密过的文件,通过网络共享给其他的用户。此时操作系统会如何处理呢?首先需要明确的是,只要这个共享的文件仍然在这个受保护的驱动器上,那么这个文件仍然是以加密的形态保存的,操作系统不会对其解密。其次只要这个用户允许其他用户访问这个共享文件(通过授权认证来实现),那么其他用户就可以访问这个文件。而不需要像EFS加密文件系统那样,手工给其他用户导入证书等等。也就是说,在BitLocker保护机制下,这个认证授权过程对用户来说是透明的。这是BitLockerEFS文件加密系统相比,最大的改善之一。

三、对操作系统分区的特殊保护。

    EFS加密文件系统将系统文件与普通的用户文件是同等对待的。但是,BitLocker保护机制中,则对其采用了专门的保护措施,可以在最大程度上保护系统文件的安全。只要系统管理员利用BitLocker技术对系统分区进行了加密,则在操作系统启动后系统就会一直监视计算机,如会监视磁盘错误、Bios的更改、启动配置文件的更改等等,并可以防止由此带来的安全风险。如果操作系统检测到以上的这些错误,则BitLocker会自动的将这个磁盘驱动器锁住。此时系统管理员需要利用预先设置的一个密钥来解锁这个驱动器。通过这种措施可以防止操作系统的文件以及配置文件在系统管理员不知觉的情况下被修改。这对于防止木马、病毒、恶意程序等等对操作系统的破坏很有作用。

    不过在对操作系统采用这个保护机制的时候,需要注意两点。首先在首次对系统分区采用加密保护机制时,需要创建一个解锁密码。否则的话,当操作系统因为遭受可疑的工具而被锁住驱动器时,系统管理员就无法对其进行解锁。而这驱动器中的文件也将无法访问。所以说,在各驱动器启用这个保护机制时,别忘了设置一个解锁的密码。其次,如果用户的电脑中安装了TPM芯片时,则可以将这个密码存储在这个芯片上。当遇到系统分区被锁住时,BitLocker就会像这块芯片所要密码进行解锁。如果将Windows 7操作系统作为服务器来使用,则为这个服务器配置一块TPM芯片并在系统分区上启用BitLocker保护机制,能够在很大程度上保障服务器系统的安全与稳定型。从这也可以看出,微软在服务器的安全与稳定性方面,一直在不断的改进。

    另外如果采用EFS加密文件系统的话,只要攻击者知道了帐户与密码,则其可以登陆到操作系统。此时EFS加密文件的保护机制就失去了作用。不过BitLocker在这方面也有所改善。即使攻击者知道了用户的帐户与密码,其仍然可以采取措施来保护系统文件,即BitLocker会监测系统文件的更改。如果其发现这个更改会给操作系统带来安全上的风险时,就会采取措施拒绝其更改。到目前为止,这是EFS文件加密系统所不能够实现的功能。

    可见EFS加密系统与BitLocker加密机制在实现细节上还有很大的不同。BitLocker主要在对系统分区的保护上有比较独特的表现。而且其在共享文件的管理上也更加的方便。

 

点击查看原图

 

BitLocker数据恢复服务:http://www.datarelab.com/blog/DataRecoveryServer.html