科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道使用Vista BitLocker保护硬盘数据

使用Vista BitLocker保护硬盘数据

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Windows Vista中全新的BitLocker数据保护系统为用户提供了磁盘级加密功能,大大加强了PC或笔记本电脑的安全性。在本文中笔者将向大家介绍如何通过配置BitLocker来保护自己的数据。

作者:ZDNet China 2007年3月13日

关键字: 加密解密 数据安全 Windows Vista

  • 评论
  • 分享微博
  • 分享邮件
在Windows Vista中,新加入了一个叫做BitLocker的数据保护功能,他可以提供磁盘级的数据加密能力。作为Windows Vista企业版和旗舰版的标准组件,BitLocker在某些情况下甚至可以代替Windows EFS (加密文件系统) 。

在本文中,我将向大家介绍如何开启BitLocker,并让它对启动分区(一般来说就是C盘)进行保护。在开始前,我们首先了解一下BitLocker加密功能实现的最低系统需求。下表是开启BitLocker的最低需求。

方案 1 方案 2
TPM 1.2 硬件模块 普通 USB数据密钥 *
1.5 GB NTFS 活动系统分区 1.5 GB NTFS活动系统分区
50+ GB 启动分区 ** 50+ GB 启动分区 **

*需要本地或活动目录组策略的调整以便可以使用U盘。

**此项内容并没有在官方文档中出现,但是如果启动分区少于50GB,很可能会出现"insufficient space errors"(不足的磁盘空间)错误。我并不肯定具体的磁盘需求是多大,但是设置到50GB以上确实可以避免BitLocker报错。一旦微软就此问题给了明确答复,我会及时更新本文档内容。

1.5 GB NTFS活动系统分区是用来存放Vista操作系统启动时所需的必要文件的,这些文件不能被EFS加密。另外50+GB启动分区是Windows系统所安装的分区,也是存放页面文件和临时文件的分区,因为EFS系统同样无法对这些内容进行加密,因此必需由BitLocker进行保护。

要实现以上需求,最好的方法是在安装vista前先创建一个1.5GB的分区和一个50GB以上的分区。如果已经安装了Vista,也不用后悔,一个叫做BitLocker Drive Preparation Tool的工具可以自动帮助你重新对硬盘进行分区。如果你已经手动分出了一个1.5GB的分区,那么也需要使用BitLocker Drive Preparation Tool工具自动将某些必需的文件从Windows Vista安装目录移动到1.5GB的活动分区中。不过需要注意的是,当安装Vista后再划分出1.5GB分区,如果硬盘剩余空间不够多时,由于软件需要调整数据的位置以便清理出一个分区,因此可能会耗费不少时间。

要获取BitLocker Drive Preparation Tool工具也很简单,只需要进入Windows Update,然后在Vista Ultimate Extras中找到该项并点击即可。要在系统中查找并运行该工具,只需要在开始菜单中的搜索栏中输入bitl即可。搜索结果中的BitLocker Drive Preparation Tool如图A所示。

使用Vista BitLocker保护硬盘数据

图A

通过快速搜索功能来启动应用程序是Windows Vista的一项新功能,除了可以用来搜索和启动BitLocker Drive Preparation Tool,也可以用来启动其它任何程序。如果在第一列中没有出现所要的程序,只需要向下滚动即可。在本例中,由于我们所需的工具列在了最顶上,因此只需直接按回车键即可启动BitLocker Drive Preparation Tool工具。该工具采用向导模式,你只需要跟随着向导,一路点击下一步,然后重新启动PC就可以了。重启后,你才可以进行下一步工作。

现在我们启动组策略编辑器。对于家用电脑或者没有加入活动目录的电脑来说,所打开的就是本地组策略编辑器。活动目录管理员可以在AD级别进行设定,并将设定的内容应用到组织单元或者整个AD范围。

要启动组策略编辑器,我们只需要打开开始菜单,在快速搜索框中输入gpedit.msc。如图B所示。

使用Vista BitLocker保护硬盘数据

图B

接下来,我们将组策略内容展开到BitLocker Drive Encryption文件夹,如图C所示。然后双击Control Panel Setup: Enable Advanced Startup Options

使用Vista BitLocker保护硬盘数据

图C

将此项设置为Enabled ,然后选择 Allow BitLocker Without A Compatible TPM如图D所示。

使用Vista BitLocker保护硬盘数据

图D

修改后,点击Apply和OK,然后点击图C中的Configure Encryption Method ,接下来会出现如图E所示的窗口。

使用Vista BitLocker保护硬盘数据

图E

AES 128属于政府安全级别,AES 256则是NSA设定的安全等级。Diffuser是一种数据分散机制,可以将数据分散在整个分区空间,就算黑客获取了硬盘,也无法查看数据。AES 256 bit with Diffuser是Vista所能提供的最高级安全模式。AES 128则是安全性相对最低的(但是也足够安全了)。

修改后,点击Apply和OK,然后关闭组策略编辑器。通过gpupdate/force命令,我们可以强制系统更新组策略,而不必重新启动系统,如图F所示。

使用Vista BitLocker保护硬盘数据

图F

现在我们就准备要运行BitLocker Drive Encryption工具了。我们可以通过图A的方式,输入bitl然后在搜索结果中双击BitLocker Drive Encryption。接下来会出现如图G所示的窗口。

使用Vista BitLocker保护硬盘数据

图G

点击Turn On BitLocker接下来出现如图H所示窗口。

使用Vista BitLocker保护硬盘数据

图H

在继续前,我们要在电脑中插入一个任意存储量的U盘。要记住,从此刻起,这个U盘对于你的电脑来说就是至关重要的了。一旦开启了BitLocker,如果没有这个U盘,你将无法开启电脑。一般来说,我建议大家将这么重要的U盘作为钥匙链,而不是放在笔记本包里。因为一旦你的笔记本连包一起丢失,那么BitLocker也就没有意义了。在BitLocker开启后,U盘也不需要一直插在电脑中,它仅仅在Windows启动前几秒内有作用。

下一步就是备份你的密码,这个密码是用来进行紧急恢复的,如图I所示。

使用Vista BitLocker保护硬盘数据

图I

你可以选择将密码备份到同一个U盘,然后在拷贝到其它地方。如果你选择将密码备份到一个文件夹,那么应该选择启动卷以外的其它分区中。并且也不能存储在分区的根目录上,必需要存入一个文件夹。企业版可以将BitLocker的密码通过活动目录进行备份。另外要搞清楚,这个密码并不是BitLocker的密钥本身,但是可以用来生成密钥。备份完毕后,你就可以加密分区了,如图J所示。

使用Vista BitLocker保护硬盘数据

图J

点击Continue,BitLocker将检测你的系统然后开始对启动分区进行加密。这个过程根据分区的大小和系统的处理速度,可能需要一两个小时。然后,系统需要重新启动,这时你需要将刚才制作的U盘插入电脑。重新启动后的系统就处于BitLocker的保护之下了。

为了让大家对整个过程有一个大概的了解,我用我的系统(Intel Core 2 Duo E6400,双硬盘)做了一次试验。我采用的是BitLocker 128 AES加密方式,从一块磁盘向另一块磁盘拷贝BitLocker必需进行加密的启动文件。磁盘间的拷贝速度是500 mbps,两个CPU内核的平均负荷为30%。这意味着BitLocker对目前主流机型的性能影响并不大。

(责任编辑:陈毅东

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章