亲身体验Windows 2008 Server R2下的BitLocker驱动器加密
微软新近推出的一款磁盘加密工具BitLocker驱动器加密(BitLocker Drive Encryption)听说功能非常强,即使你的磁盘不幸丢失了,也无须担心其中的隐私数据被别人看到,因为即使把丢失的磁盘挂在别的计算机上,也是看不到你的重要隐私的。(呵呵,还有这等工具,这可是我仰慕已久的工具,可惜没有早日推出,要不然就不会出现很多门事件了)。
Bitlocker默认会使用含扩散器的128bit-AES算法加密数据,并且可以通过组策略将密钥扩充至256bit。 可见Bitlocker加密强度是 非常高的。
闲话少叙,还是看看如何使用BitLocker吧!
1. BitLocker驱动器加密的使用要求
(1)硬件要求
需要TPM(可信任安全平台模组),TPM是一个微芯片,设计用于提供基本安全性相关功能,主要涉及加密密钥。一般来说只有那些支持高级安全功能的计算机会有此芯片(可以查看计算机的BISO以确认是否支持TPM),BitLocker会将解密密钥存入在TMP芯片内。
可是大多数用户的计算机还没有那么高级,那是不是就不能使用BitLocker驱动器加密的功能了呢?
非也,非也,我们可以使用小小的U盘代替TPM,也就是说我们也以把解密密钥存放在U盘内,不过你在每次启动计算机的时候需要插入该U盘,而且这个U盘是保管好的,千万不要弄丢了。
(2)分区要求
在你的硬盘上至少需要两个NTFS分区才允许使用BitLocker
一个用来安装操作系统的磁盘分区,通常是我们的C盘
另一个用于启动计算机,而且它必须被设置为活动分区
2. BitLocker驱动器加密实战
我们在安装Windows 2008 Server R2时会自动创建两个磁盘分区,其中一个用来启动计算机(图中标示 为系统保留,大小为100MB),另一个就是C分区,另外我准备使用U盘存储解密密钥,所有的条件都已具备,只欠东风了
(1)安装BitLocker
系统默认是没有安装BitLocker的,安装方法是打开”服务器管理器“组件――添加功能
选择BitLocker驱动器加密
提示安装完成之后需要重启
(2)启用U盘支持方式
BitLocker驱动器加密默认只支持TPM方式,如果使用U盘存储密钥,还需要在组策略中(gpedit.msc)打开U盘支持功能,方法为计算机管理――管理模板――windows组件――BitLocker驱动器加密
――操作系统驱动器
在右侧窗格中双击”启动时需要附加身份验证”,选择已启用
(3)在控制面板――系统和安全中启用BitLocker驱动器加密
如下图选择启用Bitlocker
启用之后会弹出警示框,主要是说起用BitLocker驱动器加密会降低
选择下图所示每次启动时都需要密钥
出现保存启动密钥对话框时,提示请插入U盘,等发现你插入的可移动磁盘后单击保存按钮。
之后,会询问你希望如何存储恢复密钥?请注意,恢复密钥不同于启动密钥。如果计算机出现问题,造成你无法访问文件和文件夹,可以使用恢复密钥来进行访问
选择将恢复密钥保存到USB闪存驱动器,建议使用另一个U盘存储恢复密钥。
如图所示保存之后,会弹出“是否准备加密该驱动器?”并建议运行Bitlocker检查
单击继续,取出光盘,重新启动
重新启动登录系统 后从系统状态栏得知Bitlocker正在将系统磁盘加密,这会花费很长一段时间
这样以后每次启动系统时都必须插入存储解密密钥的U盘,才可以启动系统,如没有插入会提醒你插入密钥存储媒体,并按ESC重新启动
如果存储解密密钥的U盘的丢失或损坏,就必须输入修复密钥
3.bitlocker管理
(1)挂起bitlocker----启动系统不需要插入U盘
通过以上的操作实例,我们可以体会到bitlocker的强大功能,每次启动系统时都需要提供含有解密密钥的U盘,如果我们想在每次启动Windows 2008 Server R2时不需要插入U盘,可以把bitlocker功能挂起
如图所示单击挂起保护即可
可以看到挂起操作通常适用于升级计算机的BIOS、硬件或操作系统时使用
我们也可以随时重新启用Bitlocker,只需要选择恢复保护即可
(2)管理Bitlocker
如图所示,管理Bitlocker通常适用于“再次保存恢复密钥或复制启动密钥”两种情况。
4,使用Bitlocker to GO功能对可移动设备进行加密
Bitlocker to GO是2008 R2版本所做的改进,支持对移动存储设备加密,并且在使用Bitlocker to GO加密时候,会向设备中复制一个BitlockertoGO.exe的工具,这个工具是Bitlocker reader工具,它可以帮助用户在其他系统如Windows XP上解锁设备,但只能使用恢复密钥的方式
在U盘上启用Bitlocker,如图,可以看到正在启动Bitlocker
然后选择解锁此驱动器的方式
这样就完成了对可移动存储的加密,我个人觉得这 要比那些网上流传的U盘加密工具要好,而且安全。
以上就是我对Bitlocker的一些看法和操作,期间参考了大量网友和专家的资料,在此深表感谢。