基本介紹
Windows BitLocker驅(qū)動器加密通過加密Windows操作系統(tǒng)卷上存儲的所有數(shù)據(jù)可以更好地保護計算機中的數(shù)據(jù)�。BitLocker使用TPM(受信任的平臺模塊)幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計算機即使在無人參與��、丟失或被盜的情況下也不會被篡改����。BitLocker還可以在沒有TPM的情況下使用。若要在計算機上使用BitLocker而不使用TPM�,則必須通過使用組策略更改BitLocker安裝向?qū)У哪J行為,或通過使用腳本配置BitLocker�����。使用BitLocker而不使用TPM時���,所需加密密鑰存儲在USB閃存驅(qū)動器中��,必須提供該驅(qū)動器才能解鎖存儲在卷上的數(shù)據(jù)�。
原理
通過加密整個Windows操作系統(tǒng)卷保護數(shù)據(jù)。
如果計算機安裝了兼容TPM�,BitLocker將使用TPM鎖定保護數(shù)據(jù)的加密密鑰。因此����,在TPM已驗證計算機的狀態(tài)之后,才能訪問這些密鑰����。加密整個卷可以保護所有數(shù)據(jù),包括操作系統(tǒng)本身�、Windows注冊表�、臨時文件以及休眠文件。因為解密數(shù)據(jù)所需的密鑰保持由TPM鎖定�,因此攻擊者無法通過只是取出硬盤并將其安裝在另一臺計算機上來讀取數(shù)據(jù)。
在啟動過程中�,TPM將釋放密鑰,該密鑰僅在將重要操作系統(tǒng)配置值的一個哈希值與一個先前所拍攝的快照進行比較之后解鎖加密分區(qū)�����。這將驗證Windows啟動過程的完整性�����。如果TPM檢測到Windows安裝已被篡改,則不會釋放密鑰�。
默認情況下,BitLocker安裝向?qū)渲脼榕cTPM無縫使用�����。管理員可以使用組策略或腳本啟用其他功能和選項�。
為了增強安全性,可以將TPM與用戶輸入的PIN或存儲在USB閃存驅(qū)動器上的啟動密鑰組合使用����。
在不帶有兼容TPM的計算機上,BitLocker可以提供加密�,而不提供使用TPM鎖定密鑰的其他安全。在這種情況下�,用戶需要創(chuàng)建一個存儲在USB閃存驅(qū)動器上的啟動密鑰。
TPM(受信任的平臺模塊)
TPM是一個微芯片��,設計用于提供基本安全性相關(guān)功能���,主要涉及加密密鑰���。TPM通常安裝在臺式計算機或者便攜式計算機的主板上,通過硬件總線與系統(tǒng)其余部分通信��。
合并了TPM的計算機能夠創(chuàng)建加密密鑰并對其進行加密,以便只可以由TPM解密�����。此過程通常稱作“覆蓋”或“綁定”密鑰����,可以幫助避免密鑰泄露。每個TPM有一個主覆蓋密鑰�,稱為“存儲根密鑰(SRK)”,它存儲在TPM的內(nèi)部�����。在TPM中創(chuàng)建的密鑰的隱私部分從不暴露給其他組件�����、軟件����、進程或者人員����。
合并了TPM的計算機還可以創(chuàng)建一個密鑰�����,該密鑰不僅被覆蓋��,而且還被連接到特定硬件或軟件條件�����。這稱為“密封”密鑰���。首次創(chuàng)建密封密鑰時,TPM將記錄配置值和文件哈希的快照�����。僅在這些當前系統(tǒng)值與快照中的值相匹配時才“解封”或釋放密封密鑰���。BitLocker使用密封密鑰檢測對Windows操作系統(tǒng)完整性的攻擊�。
使用TPM��,密鑰的隱私部分在操作系統(tǒng)控制的內(nèi)存之外單獨保存���。因為TPM使用自身的內(nèi)部固件和邏輯電路來處理指令����,所以它不依賴于操作系統(tǒng),也不會受外部軟件漏洞的影響���。
機制
首先需要強調(diào)的是�����,并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驅(qū)動器加密�,相應的功能只有Windows Vista的Enterprise版和Ultimate版才能夠?qū)崿F(xiàn)�����。其目標即是讓Windows Vista(or Windows 7)用戶擺脫因PC硬件丟失�����、被盜或不當?shù)奶蕴幚矶鴮е碌臄?shù)據(jù)失竊或泄露構(gòu)成的威脅��。
BitLocker保護的 Windows Vista計算機的日常使用對用戶來說是完全透明的���。在具體實現(xiàn)方面,BitLocker主要通過兩個主要子功能���,完整的驅(qū)動器加密和對早期引導組件的完整性檢查�����,及二者的結(jié)合來增強數(shù)據(jù)保護�����。其中:
通過加密整個Windows卷�,驅(qū)動器加密能夠有效地防止未經(jīng)授權(quán)的用戶破壞Windows Vista(or Windows 7)文件以及完成系統(tǒng)對已丟失或被盜計算機的防護。利用BitLocker�����,所有用戶和系統(tǒng)文件都可加密�����,包括交換和休眠文件�。
對早期引導組件進行完整性檢查有助于確保只有在這些組件看起來未受干擾時才執(zhí)行數(shù)據(jù)解密,還可確保加密的驅(qū)動器位于原始計算機中���。通過BitLocker����,還可選擇鎖定正常的引導過程,直至用戶提供PIN(類似于ATM卡PIN)或插入含有密鑰資料的USB閃存驅(qū)動器為止�����。這些附加的安全措施可實現(xiàn)多因素驗證���,并確保在提供正確的PIN或USB閃存驅(qū)動器之前計算機不會從休眠狀態(tài)中啟動或恢復�����。
BitLocker緊密集成于Windows Vista(or Windows 7)中��,為企業(yè)提供了無縫�����、安全和易于管理的數(shù)據(jù)保護解決方案����。例如���,BitLocker可選擇利用企業(yè)現(xiàn)有的Active Directory域服務基礎結(jié)構(gòu)來遠程委托恢復密鑰。BitLocker還具備一個與早期引導組件相集成的災難恢復控制臺,以供用于“實地”數(shù)據(jù)檢索���。
安裝
基本的BitLocker安裝和部署不需要外來的和特殊的硬件或者軟件���。該服務器必須滿足支持Windows Server 2012的最小要求,但仍會發(fā)生一些硬件小問題����。
首先,考慮服務器具有可信任平臺模塊(TPM)1.2或2.0版本��。TPM不需要安裝和使用BitLocker�����,但是需要能夠保證系統(tǒng)啟動時的完整性����,并將BitLocker本地磁盤綁定到專門的物理服務器。這可以防止其他系統(tǒng)安裝加密磁盤�����。
接著���,評估服務器的BIOS特征����。具有TPM的系統(tǒng)需要兼容性良好的固件。如果BIOS為TPM服務�,其必須支持統(tǒng)一的可擴展固定接口(UEFI)標準。BIOS必須從硬盤首次啟動�,而不是從外部驅(qū)動器,比如USB或光盤�。還有,BIOS在啟動期間應該讀取USB閃存盤���,以防需要緊急加密恢復丟失或毀壞的證書����。
最后���,一個加密的驅(qū)動器必須提供兩部分:一部分是操作系統(tǒng)的FAT32或NTFS分區(qū)����;另一部分是另外的350MB的NTFS分區(qū)(或者更大)——安裝BitLocker的系統(tǒng)驅(qū)動器大小���。硬件加密驅(qū)動器受支持���,安裝時必須關(guān)閉車載安全特性�。單獨的分區(qū)在啟動期間需要執(zhí)行系統(tǒng)完整性檢查����。系統(tǒng)驅(qū)動器通常包含其他的數(shù)據(jù)��,比如恢復信息和其他工具�。
因為XP系統(tǒng)沒有集成BitLocker,所以是通過內(nèi)置在加密磁盤中的BitLocker To Go 程序來瀏覽文件而不是Windows的資源管理器����。經(jīng)BitLocker加密的U盤在xp系統(tǒng)中只能讀不能寫,且僅能訪問FAT格式或ExFat格式的文件系統(tǒng)���,暫時無法訪問NTFS格式文件系統(tǒng)��。NTFS格式磁盤在XP下獲取盤符后���,雙擊磁盤圖標,只會提示是否格式化����。
工作模式
BitLocker主要有兩種工作模式:TPM模式和U盤模式���,為了實現(xiàn)更高程度的安全,還可以同時啟用這兩種模式��。
TPM模式
要使用TPM模式�,要求計算機中必須具備不低于1.2版TPM芯片,這種芯片是通過硬件提供的���,一般只出現(xiàn)在對安全性要求較高的商用電腦或工作站上����,家用電腦或普通的商用電腦通常不會提供�。
要想知道電腦是否有TPM芯片,可以運行“devmgmt.msc”打開設備管理器��,然后看看設備管理器中是否存在一個叫做“安全設備”的節(jié)點�,該節(jié)點下是否有“受信任的平臺模塊”這類的設備,并確定其版本即可�����。
U盤模式
如果要使用U盤模式�,則需要電腦上有USB接口,計算機的BIOS支持在開機的時候訪問USB設備(能夠流暢運行Windows Vista(or Windows 7)的計算機基本上都應該具備這樣的功能)�����,并且需要有一個專用的U盤(U盤只是用于保存密鑰文件,容量不用太大�����,但是質(zhì)量一定要好)�����。使用U盤模式后��,用于解密系統(tǒng)盤的密鑰文件會被保存在U盤上�����,每次重啟動系統(tǒng)的時候必須在開機之前將U盤連接到計算機上����。
受信任的平臺模塊是實現(xiàn)TPM模式BitLocker的前提條件����。
啟用和取消BitLocker
啟用
在安裝SP1之后的Vista企業(yè)版和旗艦版中,可以使用三種模式的BitLocker:
●純TPM模式��,要求系統(tǒng)中具有TPM芯片,這樣用于解密的密鑰以及用于驗證引導文件完整性的相關(guān)文件都會保存在TPM芯片中���。
●純U盤模式�����,要求系統(tǒng)符合上文中提到的和USB設備有關(guān)的條件�����,這樣用于解密的密鑰會被保存在U盤中�����。
●混合模式���,可以使用TPM+U盤,TPM+PIN����,以及TPM+U盤+PIN的形式進一步增強系統(tǒng)安全。
將準備好的U盤連接到計算機���,等程序界面上顯示了這個U盤后����,單擊將其選中,然后單擊“保存”按鈕��,這樣用于解密被BitLocker加密的分區(qū)所需的密鑰就會被保存在所選的U盤上���。
隨后可以看到保存恢復密碼的界面����,在這里我們需要決定恢復密碼的處理方式��。需要注意�����,在平時的使用過程中����,并不需要提供恢復密碼�,我們只要提供之前一步操作中指定的U盤即可,而恢復密碼是在U盤不可用(例如�,丟失或者損壞)時使用的,因此建議將其妥善處理。例如����,如果本機安裝了打印機,可以將恢復密碼打印在紙上����,并將這張紙保存在安全的地方。同時因為非常重要���,建議同時保留恢復密碼的多個副本���,例如多次打印,然后將打印的密碼分別保存在不同的安全位置����,或者保存在另外的U盤上(最好不要將恢復密碼和啟動密碼保存在同一個U盤上)。
保管好恢復密碼后單擊“下一步”按鈕���,隨后程序會對我們的操作進行一個概述�����。同時為了進一步確認本機可以正常使用BitLocker功能��,請保持選中“運行BitLocker系統(tǒng)檢查”選項��,這樣程序會在進行加密之前先對系統(tǒng)中的各項設置進行檢查�。如果確認無誤,請單擊“繼續(xù)”按鈕(注意:在整個過程中���,最先使用的U盤一定不能拔下來��,如果需要將恢復密碼保存在其他U盤上����,請將第二塊U盤連接到計算機的其他USB接口上)����。
接下來需要重新啟動系統(tǒng),準備好之后單擊“現(xiàn)在重啟動”按鈕����。重啟動完成�����,并成功登錄后�,桌面右下角會顯示一個氣泡圖標,提示我們系統(tǒng)正在進行加密,單擊這個氣泡圖標后可以看到顯示加密進度的對話框�����。在這里我們可以暫停加密操作�����,并在稍后繼續(xù)進行���,但是無法停止或者撤銷加密操作�。
加密操作需要一定的時間����,主要取決于系統(tǒng)盤的大小以及計算機的硬件速度。不過好在這個操作只需要進行一次��。而且在日后的使用過程中��,系統(tǒng)的運行速度并不會有太大的降低�����,因此可以放心使用��。加密完成后單擊“完成”按鈕即可。經(jīng)過上述操作�����,BitLocker功能已經(jīng)被成功啟用��。但是還有幾點問題需要注意:
●應用BitLocker加密后���,當Windows Vista啟動后��,我們查看系統(tǒng)文件時將不會看到文件帶有任何與“加密”有關(guān)的屬性�,這屬于正?���,F(xiàn)象,因為BitLocker的加密是在系統(tǒng)底層�����,從文件系統(tǒng)上實現(xiàn)的��,而在用戶看來��,啟動了的系統(tǒng)里的系統(tǒng)文件并沒有被加密�����。但如果換個角度來看�,例如一臺計算機上安裝了兩個系統(tǒng),或者將裝有系統(tǒng)的硬盤拆掉�,連接到其他計算機上,在試圖訪問應用了BitLocker的系統(tǒng)所在的分區(qū)時�����,我們會收到拒絕訪問的信息�,而且拒絕的原因是目標分區(qū)沒有被格式化。這都屬于正?����,F(xiàn)象��,而且也證明了BitLocker正在保護我們操作系統(tǒng)的安全(設想一下��,連訪問分區(qū)都無法實現(xiàn)�,又如何進行脫機攻擊?)���。
●另外�����,保存了啟動密鑰的U盤�����,直接在Windows資源管理器下查看的時候�����,完全看不到其中保存的密鑰文件����。這也是為了安全。同時建議這個U盤只用于保存BitLocker的啟動密鑰�����,而不要用作其他用途����。這主要是為了盡量避免U盤因為各種原因,例如病毒感染或者頻繁寫入損壞而造成系統(tǒng)無法訪問����。而且需要注意,密鑰盤只是在啟動系統(tǒng)的時候需要��,只要系統(tǒng)啟動完成�����,我們就可以將其拔出�����,并妥善保管起來�����。操作系統(tǒng)的正常運行過程中并不需要我們反復提供密鑰盤���。
●最后一點�����,在加密過程中��,系統(tǒng)盤的可用磁盤空間將會急劇減少�����。這屬于正常情況�,因為這個過程中會產(chǎn)生大量臨時文件。加密完成后這些文件會被自動刪除�,同時可用空間數(shù)量會恢復正常。在解密被加密的系統(tǒng)盤時也會遇到類似的情況���。
在應用了U盤模式的BitLocker后��,每次啟動系統(tǒng)前都必須將保存了啟動密鑰的U盤連接到計算機���,否則系統(tǒng)會提示需要BitLocker驅(qū)動器加密密鑰。這就要求我們必須將保存了啟動密鑰的U盤連接到計算機后重啟動���,才能完成Windows的啟動和加載過程�����。如果因為某些原因���,例如保存了啟動密鑰的U盤損壞或者丟失,只要還保留有啟用BitLocker時創(chuàng)建的恢復密碼�����,那么可以在這個界面上按下回車鍵進行恢復。
但是�����,對于bitlocker分區(qū)后�,數(shù)據(jù)丟失�����,可以選擇赤兔Bitlocker分區(qū)恢復軟件��,此軟件能夠恢復誤操作����、重裝系統(tǒng)等原因造成的Bitlocker加密分區(qū)丟失、Bitlocker加密分區(qū)無法打開的數(shù)據(jù)恢復�。
取消
進入控制面板系統(tǒng)和安全BitLocker驅(qū)動器加密,選擇你被加密的盤符�����,點旁邊的“解除BitLocker”��,就行了。
使用BitLocker
保護Windows To Go驅(qū)動器
如果Windows To Go設備丟失或被盜�����,敏感數(shù)據(jù)和網(wǎng)絡資源可能處于危險之中����。幸運的是,可以通過BitLocker保護Windows To Go驅(qū)動器��。BitLocker是Windows 7和Windows 8內(nèi)置的全盤加密功能��。BitLocker使用進階加密標準算法保護128位或256位加密卷��。
通常情況下�����,BitLocker依賴可信平臺模塊標準認證來引導路徑和保護加密密鑰����。因為這種方法是不支持Windows To Go驅(qū)動器,BitLocker使用用戶定義的密碼來加密和解密磁盤���。用戶必須提供驅(qū)動器的解鎖密碼并引導到Windows To Go工作區(qū)���。只要密碼本身是安全的���,未經(jīng)授權(quán)的用戶通常不能訪問受保護的數(shù)據(jù)或安全的網(wǎng)絡資源。
如果計劃部署Windows To Go驅(qū)動器�,提供這些支持的設備應該啟用BitLocker。但是這并不總是可行的�����。舉個例子���,如果提供多個驅(qū)動器,可能想使用USB驅(qū)動器復印器來簡化這個過程���,不幸的是���,BitLocker驅(qū)動器不能進行復制。這意味著你必須首先提供驅(qū)動器����,然后為其配置Windows 8特性。
如果正在使用許多驅(qū)動器——使用復印器時可能出現(xiàn)的情況�����,可能想要通過BitLocker將數(shù)據(jù)給你的用戶。這個過程本身是很容易的�����。桌面版本為Windows 8和Windows 8.1的用戶可以簡單地遵循BitLocker安裝向?qū)е械牟襟E���。
更關(guān)鍵的是確保用戶真正實現(xiàn)了BitLocker����。因為沒有辦法確認Windows To Go是否已經(jīng)被保護����,只有你可以確保你的用戶妥善保護了自己的密碼。
注意事項
1����、保存好恢復文件
根據(jù)提示,一步一步進行加密設置�,一般來說選擇使用密碼加密即可,但是特別需要注重的是需要把恢復密碼保存到非加密的分區(qū)文件中�,而且不能保存在根目錄下。而且一定要記住保存位置�,牢記密碼���。
2、加密后的U盤怎樣才能在XP下使用
U盤只要是FAT32格式就能在xp系統(tǒng)中使用�,如果不是FAT32格式在xp系統(tǒng)中只會提示你U盤沒有格式化而如果你格式化了將丟失所有數(shù)據(jù)。
3�、加密速度偏慢
該軟件的加密速度并不快,根據(jù)文件的大小不同加密的時間不同���,一般來說4G的文件加密速度需要10幾分鐘���。
4、BitLocker加密功能的開啟
正常下的windows7系統(tǒng)(or windows10)�,右擊盤符就可啟用BitLocker�����,如果右鍵菜單中沒有的話���,可能是關(guān)閉這個服務了�����,需要我們?nèi)ラ_啟����。方法是開啟系統(tǒng)服務中的“ShellHWDetection”和“BDESVC”服務就可以了。
特色功能
功能介紹
BitLocker驅(qū)動器加密它是在Windows Vista中新增的一種數(shù)據(jù)保護功能�,主要用于解決一個人們越來越關(guān)心的問題:由計算機設備的物理丟失導致的數(shù)據(jù)失竊或惡意泄漏。隨同Windows Server 2008一同發(fā)布的有BitLocker實用程序�,該程序能夠通過加密邏輯驅(qū)動器來保護重要數(shù)據(jù),還提供了系統(tǒng)啟動完整性檢查功能���。
受信任的平臺模塊(TPM)是一個內(nèi)置在計算機中的微芯片�����。它用于存儲加密信息�����,如加密密鑰���。存儲在TPM上的信息會更安全,避免受到外部軟件攻擊和物理盜竊�。BitLocker使用TPM幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計算機即使在無人參與����、丟失或被盜的情況下也不會被篡改����。BitLocker可加密存儲于Windows操作系統(tǒng)卷上的所有數(shù)據(jù)�,默認情況下,使用TPM以確保早期啟動組件的完整性(組件用于啟動進程的更早時期)��,以及“鎖定”任何BitLocker保護卷�����,使之即便在計算機受到篡改時也能得到保護���。
但是BitLocker有一項不足����,即打開加密盤后��,再次進入就不需要密碼了��。那么如何才能使每次訪問加密盤都要密碼呢����?這恐怕是微軟后續(xù)改進的問題了��,但是目前,我們可以在開始任務欄里輸入“cmd”�����,然后以管理員身份運行�����,輸入manage-bde(空格)-lock(空格)X:�����,x為加密磁盤盤符��。這樣就可以再次鎖住加密盤了���。
原理
通過加密整個Windows操作系統(tǒng)卷保護數(shù)據(jù)�。
如果計算機安裝了兼容TPM�,BitLocker將使用TPM鎖定保護數(shù)據(jù)的加密密鑰。因此��,在TPM已驗證計算機的狀態(tài)之后��,才能訪問這些密鑰��。加密整個卷可以保護所有數(shù)據(jù),包括操作系統(tǒng)本身���、Windows注冊表�����、臨時文件以及休眠文件����。因為解密數(shù)據(jù)所需的密鑰保持由TPM鎖定�����,因此攻擊者無法通過只是取出硬盤并將其安裝在另一臺計算機上來讀取數(shù)據(jù)�����。
在啟動過程中����,TPM將釋放密鑰,該密鑰僅在將重要操作系統(tǒng)配置值的一個哈希值與一個先前所拍攝的快照進行比較之后解鎖加密分區(qū)��。這將驗證Windows啟動過程的完整性��。如果TPM檢測到Windows安裝已被篡改���,則不會釋放密鑰�����。
默認情況下�,BitLocker安裝向?qū)渲脼榕cTPM無縫使用���。管理員可以使用組策略或腳本啟用其他功能和選項��。
為了增強安全性�����,可以將TPM與用戶輸入的PIN或存儲在USB閃存驅(qū)動器上的啟動密鑰組合使用�。
在不帶有兼容TPM的計算機上�,BitLocker可以提供加密,而不提供使用TPM鎖定密鑰的其他安全�����。在這種情況下,用戶需要創(chuàng)建一個存儲在USB閃存驅(qū)動器上的啟動密鑰�。
十大硬盤加密軟件 NO.4
旅游榜
娛樂榜
人物榜
服務榜
城市榜
美食榜
趣聞榜
行業(yè)榜
展會榜
商務榜
歷史榜
國家榜
人群榜
節(jié)日榜
特色榜
