Vista高手进阶 全面熟悉BitLocker

逍遥

　　不同的用户对于Vista自然有着不同的需求，个人用户更多关心的是美伦美奂的Aero效果，而企业用户更多关注的是Vista的安全性能，而Windows Enterprise Vista(企业版本)和Windows Ultimate Vista(旗舰版本)提供了一个名为“BitLocker”的标准组件，可以为这部分用户提供前所未有的安全保护。
　　一、为系统安装BitLocker更新
　　进入“Windows Update”窗口，选择“查看可用更新”，在这里勾选“BitLocker和EFS增强”复选框，然后单击右下角的“安装”按钮，如图1所示。
　　
　　图1(点击看大图)
　　稍候片刻，系统会自动下载并安装更新，如图2所示。
　　
　　图2(点击看大图)
　　更新安装完成后，我们可以在“已安装的更新”列表框中看到“BitLocker Drive Preparation Tool (KB933246)”和“Secure Online Key Backup ()KB932926)”两款更新，如图3所示。
　　
　　图3(点击看大图)
　　现在进入控制面板的“安全”窗口，在这里我们可以发现“BitLocker驱动器加密”和“密钥安全联机备份”两个项目，如图4所示。
　　
　　图4(点击看大图)
　　二、BitLocker的实现原理
　　EFS是工作在文件系统级别，基于用户权限以有受PKI保护的线程密钥对文件进行加密，它实际上是在Windows系统启动之后才开始工作，而BitLocker则是在工作在磁盘底层，它对整个卷进行加密，是在Windows启动之前就开始工作。
　　BitLocker使用128位或256位的AES(Advanced Encryption Standard，高级加密标准)进行加密，加密级别完全由用户决定，并且可以通过组策略进行设置。
　　不过，BitLocker仅仅对计算机中的操作系统所在分区提供保护，因此对于其他非操作系统所在的分区，推荐使用EFS()，实际上当EFS与BitLocker联合使用时，EFS本身也可以发挥更佳的功能，同时还解决了EFS自身的功能限制问题，因为EFS本身无法对系统根目录的文件进行加密，现在这些文件都会受到BitLocker的保护，而其他的文件则受到EFS的保护，可以说是相得益彰。
　　如果你的计算机采用受信任的平台模块(TPM)1.2芯片，那么BitLocker可以在解锁你的驱动器之前使用该芯片来执行系统完整性检查，该过程会验证计算机系统是否未被篡改。如果计算机主板中不存在TPM1.2芯片，那么仍然可以使用BitLocker提供的加密功能，但是无法执行系统完整性检查。
　　如果计算机是使用TPM1.2或更高版本所制造，那么BitLocker会将其密钥存储在TPM中。不过这样一来，也会带来安全方面的隐患，因为如果你的计算机被盗，TPM模块自然也就随之丢失，如果不增加密码保护的话，这种安全机制根本就是形同虚设。
　　由于目前支持TPM1.2的计算机可以说是少之又少，如果使用BitLocker加密驱动器时会提示黄色的警示信息，说是找不到TPM，如图5所示。
　　
　　图5(点击看大图)
　 三、基于USB闪存盘模式的BitLocker加密
　　选择USB模式的BitLocker，可惜的是默认设置下Windows Vista却又自动禁用了USB模式，必须手工启用才行。
　　1.加密系统卷
　　第1步：按下“Win+R”组合键打开运行对话框，或者直接激活“开始搜索”框，在这里输入“gpedit.msc”进入组策略对象编辑器，逐步进入“计算机配置→管理模板→Windows组件→BitLicker驱动器加密”，如图6所示。
　　

　　图6(点击看大图)
　　第2步：在右侧窗格中双击“控制面板设置：启用高级启动选项”，选择“已启用”，此时下面的“没有兼容的TPM时允许BitLocker”选项会自动勾选，最后单击右下角的“应用”按钮，如图7所示。
　　
　　图7
　　第3步：进入控制面板的“安全”窗口，单击“BitLocker驱动器加密”，在随之弹出的窗口中单击“启用BitLocker”，现在已经可以看到完全不同的界面，如图8所示。
　　
　　图8(点击看大图)
　　第4步：单击“启用BitLocker”按钮，这里只有“每一次启动时要求启动USB密钥”的选项。插入可移动USB内存设备，这是用来保存启动密钥，然后单击右下角的“保存”按钮。
　　第5步：这里的选项就丰富多了，我们可以选择“在USB驱动器上保存密码”，也可以选择“在文件夹中保存密码”，不过建议还是同时将密码打印出来，如图9所示。此时会再次要求插入USB设备，单击“保存”按钮。
　　
　　图9
　　第6步：恢复密码保存成功后，单击“下一步”按钮。默认设置下，BitLocker会对Windows Vista系统所在的卷进行加密，加密之前将首先进行系统检查，单击“继续”按钮。
　　第7步：接下来，系统会要求重新启动计算机，当然在重启时需要插入相应的USB存储设备，如图10所示。
　　
　　图10
　　第8步：重新启动之后，系统将开始进行BitLocker的加密操作，我们可以在系统托盘处查看具体的进度，单击可以查看详细信息，耐心等待片刻就是了。
　　此时，如果进入“计算机管理→存储→磁盘管理”的界面，我们会看到被加密的卷的状态较以前有了显然的变化，如图11所示，这里的状态是“启动，页面文件，故障转储，逻辑驱动器”，而“文件系统”也显示为“NTFS(BitLocker已加密)”的字样。如果你安装了Windows XP、Windows Vista的双系统，那么当进入Windows XP访问已被加密的Windows Vista卷时，得到的提示将是“驱动器不可用”，而该加密卷的文件系统将是“RAW”。
　　
　　图11(点击看大图)
　　2.BitLocker加密卷的解密
　　假如日后需要关闭BitLocker，可以进入“控制面板→安全→BitLocker驱动器加密”窗口，在这里单击“关闭BitLocker”。此时会弹出一个确认提示框，我们可以在这里选择是禁用或解密，选择“解密此卷”。
　　接下来，系统会对已被加密的卷进行解密，“BitLocker驱动器加密”的界面下会显示“解密中”的字样，如图12所示。与此同时，系统托盘区也会显示一个小图标，单击后可以查看到详细的解密进度，这里需要的时间也是相当的漫长。
　　
　　图12(点击看大图)
　　解密完成后，我们会看到如图13所示的对话框。如果此时再次进入磁盘管理的界面，会看到这里已经完全恢复为加密前的状态。