亲身体验Windows 2008 Server R2下的BitLocker驱动器加密

微软新近推出的一款磁盘加密工具BitLocker驱动器加密(BitLocker Drive Encryption)听说功能非常强,即使你的磁盘不幸丢失了,也无须担心其中的隐私数据被别人看到,因为即使把丢失的磁盘挂在别的计算机上,也是看不到你的重要隐私的。(呵呵,还有这等工具,这可是我仰慕已久的工具,可惜没有早日推出,要不然就不会出现很多门事件了)。

Bitlocker默认会使用含扩散器的128bit-AES算法加密数据,并且可以通过组策略将密钥扩充至256bit。 可见Bitlocker加密强度是 非常高的。

闲话少叙,还是看看如何使用BitLocker吧!

1. BitLocker驱动器加密的使用要求

(1)硬件要求

需要TPM(可信任安全平台模组),TPM是一个微芯片,设计用于提供基本安全性相关功能,主要涉及加密密钥。一般来说只有那些支持高级安全功能的计算机会有此芯片(可以查看计算机的BISO以确认是否支持TPM),BitLocker会将解密密钥存入在TMP芯片内。

可是大多数用户的计算机还没有那么高级,那是不是就不能使用BitLocker驱动器加密的功能了呢?

非也,非也,我们可以使用小小的U盘代替TPM,也就是说我们也以把解密密钥存放在U盘内,不过你在每次启动计算机的时候需要插入该U盘,而且这个U盘是保管好的,千万不要弄丢了。

(2)分区要求

在你的硬盘上至少需要两个NTFS分区才允许使用BitLocker

一个用来安装操作系统的磁盘分区,通常是我们的C盘

另一个用于启动计算机,而且它必须被设置为活动分区

2. BitLocker驱动器加密实战

我们在安装Windows 2008 Server R2时会自动创建两个磁盘分区,其中一个用来启动计算机(图中标示 为系统保留,大小为100MB),另一个就是C分区,另外我准备使用U盘存储解密密钥,所有的条件都已具备,只欠东风了

2012-3-22 15-50-55

(1)安装BitLocker

系统默认是没有安装BitLocker的,安装方法是打开”服务器管理器“组件――添加功能

2012-3-22 15-25-52

选择BitLocker驱动器加密

2012-3-22 15-27-29

提示安装完成之后需要重启

2012-3-22 15-30-00

(2)启用U盘支持方式

BitLocker驱动器加密默认只支持TPM方式,如果使用U盘存储密钥,还需要在组策略中(gpedit.msc)打开U盘支持功能,方法为计算机管理――管理模板――windows组件――BitLocker驱动器加密

――操作系统驱动器

2012-3-22 15-55-28

在右侧窗格中双击”启动时需要附加身份验证”,选择已启用

2012-3-22 15-55-53

(3)在控制面板――系统和安全中启用BitLocker驱动器加密

2012-3-22 15-57-10

如下图选择启用Bitlocker

2012-3-22 15-59-11

启用之后会弹出警示框,主要是说起用BitLocker驱动器加密会降低

选择下图所示每次启动时都需要密钥

2012-3-22 15-59-55

出现保存启动密钥对话框时,提示请插入U盘,等发现你插入的可移动磁盘后单击保存按钮。

2012-3-23 14-40-27

之后,会询问你希望如何存储恢复密钥?请注意,恢复密钥不同于启动密钥。如果计算机出现问题,造成你无法访问文件和文件夹,可以使用恢复密钥来进行访问

 

2012-3-22 16-02-02

选择将恢复密钥保存到USB闪存驱动器,建议使用另一个U盘存储恢复密钥。

 

2012-3-22 16-08-19

如图所示保存之后,会弹出“是否准备加密该驱动器?”并建议运行Bitlocker检查

2012-3-22 16-08-51

单击继续,取出光盘,重新启动

 

 

2012-3-23 14-41-18

2012-3-22 16-09-46

重新启动登录系统 后从系统状态栏得知Bitlocker正在将系统磁盘加密,这会花费很长一段时间

2012-3-22 16-15-59

这样以后每次启动系统时都必须插入存储解密密钥的U盘,才可以启动系统,如没有插入会提醒你插入密钥存储媒体,并按ESC重新启动

 

2012-3-22 19-46-53

如果存储解密密钥的U盘的丢失或损坏,就必须输入修复密钥

 

2012-3-22 19-58-46

3.bitlocker管理

(1)挂起bitlocker----启动系统不需要插入U盘

通过以上的操作实例,我们可以体会到bitlocker的强大功能,每次启动系统时都需要提供含有解密密钥的U盘,如果我们想在每次启动Windows 2008 Server R2时不需要插入U盘,可以把bitlocker功能挂起

如图所示单击挂起保护即可

可以看到挂起操作通常适用于升级计算机的BIOS、硬件或操作系统时使用

2012-3-23 15-17-37

我们也可以随时重新启用Bitlocker,只需要选择恢复保护即可

2012-3-23 15-20-05

(2)管理Bitlocker

如图所示,管理Bitlocker通常适用于“再次保存恢复密钥或复制启动密钥”两种情况。

 

2012-3-23 15-19-06

4,使用Bitlocker to GO功能对可移动设备进行加密

Bitlocker to GO是2008 R2版本所做的改进,支持对移动存储设备加密,并且在使用Bitlocker to GO加密时候,会向设备中复制一个BitlockertoGO.exe的工具,这个工具是Bitlocker reader工具,它可以帮助用户在其他系统如Windows XP上解锁设备,但只能使用恢复密钥的方式

2012-3-23 15-15-23

在U盘上启用Bitlocker,如图,可以看到正在启动Bitlocker

2012-3-23 15-20-37

然后选择解锁此驱动器的方式

2012-3-23 15-20-59

这样就完成了对可移动存储的加密,我个人觉得这 要比那些网上流传的U盘加密工具要好,而且安全。

以上就是我对Bitlocker的一些看法和操作,期间参考了大量网友和专家的资料,在此深表感谢。

你可能感兴趣的:(加密,windows,工具,组策略)