探索ＢｉｔＬｏｃｋｅｒ加密

筆記本電腦失竊導(dǎo)致機(jī)密數(shù)據(jù)丟失的消息在媒體上出現(xiàn)得越來越頻繁，很多人也開始關(guān)注數(shù)據(jù)的安全，于是BitLocker應(yīng)運(yùn)而生。

有了EFS，還要BitLocker?

說到Windows自帶加密手段，大家就會(huì)想到EFS(加密文件系統(tǒng))，EFS的確能夠在一定程度保證數(shù)據(jù)不被非法訪問。但這還遠(yuǎn)遠(yuǎn)不夠，因?yàn)镋FS無法加密Windows系統(tǒng)，只能加密數(shù)據(jù)，通過第三方軟件修改用戶密碼等方式仍然可窺探用戶數(shù)據(jù)。微軟在Windows Vista中新增了一種叫做BitLocker的功能，在Windows Vista企業(yè)版和旗艦版中，可以有效防范已知的各種脫機(jī)攻擊方式。

BitLocker的工作方式

啟用BitLocker后，系統(tǒng)會(huì)把硬盤的主引導(dǎo)記錄(MBR)、NTFS卷的引導(dǎo)扇區(qū)、NTFS引導(dǎo)代碼，甚至整個(gè)Windows Vista的安裝分區(qū)，包括系統(tǒng)文件、注冊(cè)表、EFS密鑰等文件全部加密，而解密所用的密鑰會(huì)被保存在另外的地方(TPM芯片或優(yōu)盤等介質(zhì))。以后Vista每次啟動(dòng)時(shí)，都會(huì)自動(dòng)使用保存的密鑰來解密Windows安裝分區(qū)，并開始系統(tǒng)的引導(dǎo)工作。BitLocker加密的模式有兩種，分別有不同的要求和安全級(jí)別。

TPM模式：這種模式要求電腦的主板帶有1.2版本的TPM芯片，TPM模式的BitLocker不僅可以實(shí)現(xiàn)加密操作系統(tǒng)分區(qū)，還可以保證分區(qū)的完整性和不可篡改性。

u盤模式：如果沒有TPM芯片，還可以采用U盤，條件是電腦的BIOS支持開機(jī)時(shí)訪問USB閃盤(如果不支持，可能需要更新主板BIOS或者更換主板)。這種情況下我們可以將解鎖磁盤所需的啟動(dòng)密鑰存放在U盤里，開機(jī)時(shí)必須插入這塊U盤，隨后才能解鎖加密的Windows卷，以便正常啟動(dòng)Windows Vista。但是要注意，這種模式只能加密Windows分區(qū)，無法實(shí)現(xiàn)完整性檢查，也就無法防范上文所說的脫機(jī)攻擊。

使用BitLocker的前提條件

目前主流的電腦都沒有集成TPM芯片，因此下文重點(diǎn)介紹U盤模式的使用方法。

要使用BitLocker，最重要的是要保證自己的硬盤分區(qū)．符合要求。硬盤上至少要有兩個(gè)分區(qū)：一個(gè)的可用空間不能小于1.5GB，并且必須是活動(dòng)分區(qū)(也就意味著該分區(qū)必須是主分區(qū)，不能是擴(kuò)展分區(qū)，也不能是邏輯驅(qū)動(dòng)器)，Vista不能安裝在這個(gè)分區(qū)上；另一個(gè)分區(qū)則沒那么多要求，只要可用空間能滿足Vista的安裝要求即可。

如果你用的是Windows Vista旗艦版，那么還可以通過Windows Update安裝“BitLocker和EFS增強(qiáng)”這個(gè)程序，這是一個(gè)Windows Ultimate Extras程序，因此無法被企業(yè)般用戶使用。

安裝該程序后，打開開始菜單，然后依次打開“所有程序/附件/系統(tǒng)工具/BitLocker/BitLocker驅(qū)動(dòng)器準(zhǔn)備工具”，并接受許可協(xié)議啟動(dòng)該工具，這個(gè)工具可以檢查系統(tǒng)配置(主要是硬盤分區(qū)情況)。如果出現(xiàn)一個(gè)對(duì)話框告訴你不需要運(yùn)行準(zhǔn)備工具，那么證明你的系統(tǒng)已經(jīng)準(zhǔn)備好了。如果不滿足要求。

在這個(gè)界面上點(diǎn)擊“繼續(xù)”兩次，待準(zhǔn)備好之后，該工具會(huì)要求我們重啟系統(tǒng)。這時(shí)候如果運(yùn)行diskmgmt.msc打開磁盤管理工．具，可以看到準(zhǔn)備工具在原本只有一個(gè)分區(qū)的硬盤上新建了一個(gè)1.5GB的活動(dòng)分區(qū)，圖中的C盤依舊是系統(tǒng)盤，隨后會(huì)被加密，另外薪增加了一個(gè)S盤，用于保存引導(dǎo)Vista所需的引導(dǎo)文件，這個(gè)分區(qū)不會(huì)被加密。

重啟動(dòng)系統(tǒng)之后，硬盤分區(qū)方面的準(zhǔn)備工作就全部完成了。不過這時(shí)候我們還需要對(duì)組策略進(jìn)行一些調(diào)整。因?yàn)槟J(rèn)情況下Vista只允許我們使用TPM模式的BitLocker加密，因此要使用U盤模式，必須啟用一項(xiàng)策略。

運(yùn)行g(shù)pedit.msc打開組策略編輯器，定位到“計(jì)算機(jī)配-置－管理模板－Windows組件－BitLocker驅(qū)動(dòng)器加密”，雙擊右側(cè)的“控制面板設(shè)置：?jiǎn)⒂酶呒?jí)啟動(dòng)選項(xiàng)”這條策略，選擇“已啟用”，然后確保選中了下方的“沒有兼容的TPM時(shí)允許BitLocker”選項(xiàng)。至此所有設(shè)置工作都已經(jīng)完成。

啟用u盤模式的BitLocker

在控制面板中依次點(diǎn)擊“安全－BitLocker驅(qū)動(dòng)器加密”，可以打開BitLocker的啟動(dòng)界面。如果前面的設(shè)置都正確，可以看到安裝Vista的分區(qū)，并且這個(gè)分區(qū)下有一個(gè)“啟動(dòng)BitLocker”鏈接。

因?yàn)槲覀冎淮蛩闶褂肬盤模式，本機(jī)也沒有安裝任何TPM芯片，因此選擇唯一可用的選項(xiàng)，點(diǎn)擊“下一步”。，在這里我們將準(zhǔn)備好的U盤插入U(xiǎn)SB接口，待這塊U盤出現(xiàn)在BitLocker設(shè)置窗口中之后，點(diǎn)擊選中，然后點(diǎn)擊“保存”。

接著Vista會(huì)要我們輸入一個(gè)48位的密碼，這個(gè)密碼主要是為了數(shù)據(jù)恢復(fù)使用。例如，使用BitLocker加密系統(tǒng)時(shí)將保存密鑰的U盤弄丟或者弄壞了，將導(dǎo)致無法進(jìn)人系統(tǒng)。遇到類似情況時(shí)就可以使用這時(shí)候設(shè)置的48位密碼來恢復(fù)系統(tǒng)，所以這個(gè)密碼是非常重要的，應(yīng)妥善保管。

輸入密碼，這里提供了三個(gè)選項(xiàng)備份恢復(fù)密碼。例如我們可以將這個(gè)密碼保存到u盤中，或者保存到硬盤上，另外還可以直接打印。建議在處理這個(gè)備份的恢復(fù)密碼的時(shí)候要小心，盡量不要保存在本地硬盤上，就算要保存到U盤中，最好使用另一塊U盤，同時(shí)將這塊U盤保管到安全的地方。當(dāng)然，如果用紙把密碼打印保存是最好的辦法，因?yàn)樵谀撤N程度來說，紙質(zhì)文檔還是比電子文檔安全可靠。

在安裝了上文說的BitLocker和EFS增強(qiáng)程序后，在Windows Vista旗艦版中，我們還可以把BitLocker的恢復(fù)密碼保存到微軟的服務(wù)器上。這是微軟為Windows Vista旗艦版用戶提供的一項(xiàng)增值服務(wù)，日后因?yàn)閬G失了密鑰以及恢復(fù)密碼而導(dǎo)致系統(tǒng)無法啟動(dòng)時(shí)，我們還可以使用其他電腦訪問服務(wù)網(wǎng)站，獲取自己的恢復(fù)密碼。

我們可以打開控制面板，然后依次單擊“安全一密鑰安全聯(lián)機(jī)備份一保存BitLocker恢復(fù)密碼”，要想聯(lián)機(jī)保存自己的密鑰，我們必須使用一個(gè)windows Live ID登錄。日后如果需要找回自己的恢復(fù)密碼，我們需要訪問Windows Market Place網(wǎng)站(www.windowsmarketplace.com)上的Digital Locker服務(wù)，然后使用同樣的Live ID登錄并下載即可。

隨后系統(tǒng)會(huì)詢問我們是否進(jìn)行BitLocker系統(tǒng)檢查，建議進(jìn)行一次檢查。確認(rèn)檢查后，系統(tǒng)會(huì)首先重啟動(dòng)一次，確?？梢栽趩?dòng)過程中從u盤讀取BitLocker密鑰，然后才會(huì)真正加密Windows安裝分區(qū)。如果不檢查直接加密，等到重啟動(dòng)后才發(fā)現(xiàn)BitLocker功能在自己的電腦上有問題，那時(shí)候才是欲哭無淚。

選中檢查的選項(xiàng)，并點(diǎn)擊“繼續(xù)”。隨后系統(tǒng)會(huì)重啟動(dòng)，并進(jìn)行BitLocker檢查，如果檢查一切無誤，那么就可以開始加密Windows安裝分區(qū)。加密需要一定的時(shí)間，雖然在這過程中系統(tǒng)還可以正常使用，不過建議你不要進(jìn)行其他操作，等待加密完成即可。

BitLocker的恢復(fù)

經(jīng)過上面的設(shè)置，以后每次重啟電腦，我們都需要提供保存了BitLocker密鑰的U盤(上文中使用的第一個(gè)U盤，而非第二個(gè)，那是用于保存恢復(fù)密碼的)。如果某天這個(gè)U盤遺失了，或者損壞了，導(dǎo)致系統(tǒng)無法啟動(dòng)，這時(shí)候也不用擔(dān)心。之前不是設(shè)置過恢復(fù)密碼么，趕快把這個(gè)密碼從保險(xiǎn)柜里找出來吧。無法提供密鑰的時(shí)候，Vista的啟動(dòng)過程將會(huì)停留在圖5所示的地方。

如果之前在設(shè)置恢復(fù)密碼的時(shí)候我們選擇了將恢復(fù)密碼保存在U盤上，這時(shí)候只要插入保存了恢復(fù)密碼的U盤，然后按下Esc重啟動(dòng)系統(tǒng)即可。如果當(dāng)時(shí)把密碼打印了，或者作為文件保存在其他地方，這時(shí)候可以按下回車鍵開始輸入。按照屏幕上的提示挨個(gè)輸入，最后按下回車鍵即可。