BitLocker 做系统的“中南海保镖”
董师傅茶房
要说现在电脑的数据安全问题已经是越来越被人们重视了,特别是现在电脑已经慢慢变成个人或单位重要数据的存储介质的情况下,一旦出现电脑丢失、敏感数据泄露的情况,例如个人网银账户被盗、单位机密数据泄露等,都可能造成极其严重的后果!欢迎大家来到董师傅茶坊,我是主持人——说一不二(逗号)的董师傅。今天我们的话题就是如何利用Windows 7的BitLocker功能做你电脑出色的Bodyguard。
加密系统分区 严防非法启动
如果笔记本电脑丢失,损失的不仅是本本自身,更严重的是如果其中的数据被别有用心的人利用,那么带来的损失可能是惨重的,正所谓硬件有价数据无价。所以,如果你的本本当中存储着重要的数据,那么对系统分区进行加密,就可以有效防范电脑被盗后的非法启动,也能防止离线(即将硬盘挂接到其他电脑上)读取系统分区中的内容,从而有效地保护用户文件和数据的安全。
加密先决条件
要对系统分区进行加密,必须具备两个条件:
1. 硬盘中有两个采用NTFS文件系统的主分区(如图1所示)。
默认情况下,在全新安装Windows 7的同时,系统会自动创建一个NTFS格式的,大小为100MB的“系统保留”分区,主要用于存放一些与系统启动相关的文件(该分区不能进行BitLocker加密)。另一NTFS格式的分区就是Windows 7的系统分区。
董师傅提示:如果在Windows XP下安装Windows 7而形成菜单式多系统,那么安装Windows XP的分区相当于“系统保留”分区,这一分区也不能加密。此外,目前很多Ghost版的Windows 7,安装后也没有划分“系统保留”分区,此时将无法对安装Windows 7的系统分区进行BitLocker加密处理。
2. 电脑主板上具备符合条件的TPM芯片,如果没有兼容的TPM芯片,那么就必须使用闪存来进行BitLocker加密操作。
董师傅提示:要用闪存来进行加密,必须先在组策略中开启它,具体方法是:按“Win + R”键调出“运行”栏,然后输入“gpedit.msc”打开组策略。再从弹出的组策略编辑器中依次打开“本地计算机策略→计算机配置→管理模板→Windows 组件→BitLocker驱动器加密→操作系统驱动器”。然后找到并双击“启动时需要附加身份验证”,选择其下的“已启用”,同时勾选“没有兼容的TPM时允许BitLocker”。
加密操作方法
具体的加密操作就很简单了,只要根据加密向导的说明和提示进行设置即可完成。
用鼠标右键单击安装Windows 7的系统分区,选择“启用BitLocker”,加密向导即可运行。根据提示,分别选择“每次启动时要求启动密钥”、“一只已插入电脑的闪存来保存启动密钥”、“指定恢复密钥的存放位置或现场打印”。完成后,电脑会自动重启。重启后,加密操作将自动继续。
整个加密操作过程的速度比较缓慢,需要你有足够的耐心。不过相比重要数据的安全性而言,这点时间是值得付出的。完成后,即可在系统分区上看到加密锁标志,如果为灰色解锁图标,表示分区已解密,如果为彩色锁住图标,则表示分区未解密。
加密效果及管理
对系统分区进行加密后,如果在电脑上没有插入密钥闪存,会提示我们插入密钥闪存或手动输入恢复密钥,否则系统将无法启动,这样就能有效保护系统文件和数据的安全。
董师傅提示:要注意的是,启动密钥与恢复密钥是不同的。启动密钥是一个扩展名为BEK的隐藏文件。而恢复密钥是一个非隐藏的文本文件。启动密钥由电脑自动识别,无法通过常规方法查看到密钥的内容。而恢复密钥则只能手动输入。
不过BitLocker的加密功能非常强大,如果管理不好造成密钥闪存丢失、忘记恢复密钥等情况,即便你是电脑的主人也会被毫不留情地拒之门外,从而造成系统无法启动的情况。由此可见,加密后密钥的管理就显得非常重要了。
打开控制面板并查看所有项,单击“BitLocker驱动器加密”即可进入管理窗口(如图2所示)。单击“管理BitLocker”,即可再次打印恢复密钥或复制更多的密钥闪存。通过这个操作,就可以有效避免密钥闪存遗失或忘记恢复密钥带来的问题。
此外对系统分区还能进行“挂起保护”操作。该功能主要适用于在对系统分区进行加密后,如果更新了主板的BIOS设置,可能会造成系统无法正常启动的情况。因此在挂起后,系统分区不会被解密,但依然可以正常启动,在启动后再单击“恢复保护”(“挂起保护”后,这一选项将自动切换为“恢复保护”)来恢复对系统分区的BitLocker加密。这样就可避免解密和重新加密的漫长等待过程了。
加密普通分区 保护文件数据
加密系统分区后,虽然离线操作系统分区的数据依然可以得到有效的保护,但其他分区当中的数据和文件将完全处于裸奔的状态。此外,一些移动存储设备,例如移动硬盘或闪存当中的文件和数据,也同样面临这样的问题。因此利用BitLocker进行加密操作,就显得更实际、更有必要了。
下面我们就以加密闪存为例进行说明。
用鼠标右键单击闪存,选择“启用BitLocker”,运行加密向导。注意设置过程中勾选“使用密码解锁驱动器”,并牢记你输入的密码,然后根据提示创建或现场打印恢复密钥。
董师傅提示:手动输入的密码是不会以文件形式保存的,相当于加密系统分区时的密钥闪存。恢复密钥的创建与使用与系统分区完全相同。此外,与系统分区的加密相比,非系统分区不支持密钥闪存,加密后也不能设置为挂起状态。
那么将闪存加密后,连接到其他电脑中打开会有哪些不同问题呢?例如将闪存连接到Windows XP系统的电脑上时能否正常打开?实测表明,经过BitLocker加密的移动存储设备,只要不是NTFS的分区格式,都可以在Windows XP系统中正常打开,不过只能读取其中的内容,而无法写入新的数据。而如果是NTFS格式的分区,则会提示“分区尚未格式化,现在格式化吗”,此时千万不要点击格式化,否则将造成数据永久丢失,且目前尚无有效方法恢复!请千万注意!
在Windows XP当中打开经过加密的分区操作跟平时的操作没有什么不同。首先,双击被加密后的分区,按提示输入密码,如果密码丢失,还可单击“我忘记了密码”来输入恢复密钥(如图3所示)。密码通过后,出现“BitLocker TO GO阅读器窗口”,就能打开其中的文件了。
董师傅提示:在Windows XP下双击BitLocker加密分区时,不一定会出现密码输入窗口——这与当前的Windows XP系统设置有关。此时,可以打开加密后的分区,再双击其下的“BitLockerToGo.exe”来读取其中的数据。此外,在Windows 7的家庭版或专业版中,虽然不能实施BitLocker加密,但却可打开加密后的分区,并且可以进行写入操作。
无论在Windows 7还是在Windows XP下,BitLocker加密都无法阻止对分区进行格式化操作,这种“鱼死网破”的形式能在很大程度上避免数据的泄露。而对于一些企业用户来说,如果想要永久删除一些重要数据,也可以选择在BitLocker加密后删除所有的BitLocker 密钥,这样就几乎不可能访问经过BitLocker加密的数据,因为这需要破解128位或256位的AES加密,比多重覆盖或物理破坏硬盘来得更为安全。
如果你的笔记本、台式机或移动存储设备有重要的个人信息或企业数据需要保护,那么利用Windows 7旗舰版当中的BitLocker来进行加密,就显得非常重要了。赶快动手操作吧!
董师傅点评>>
BitLocker是什么?它是微软提供的采用硬件和软件相结合的方法来保护硬盘数据的一个加密程序组件,最早出现在Windows Vista系统中。在Windows 7当中,其功能又得到了进一步的加强。
通过它,可以实现对磁盘系统分区和普通分区或移动存储设备的加密操作,进而确保用户文件和数据信息安全。此外,经过BitLocker加密的分区,有传闻说在格式化之后依然无法破解,经董师傅亲自验证,确实属实。经过加密的分区在被格式化后,不论原始文件是什么,利用数据恢复软件恢复出来的文件不论文件大小、文件夹结构还是每一个文件夹下的文件个数、大小等全部一致,且无法正常打开(未知文件形式)。
不过遗憾的是,BitLocker目前只有在Windows 7的旗舰版当中才有,其他版本的用户却无法享受该功能带来的方便。而且,启用BitLocker加密的时间也非常漫长。经董师傅亲自验证,加密时间主要与磁盘容量和磁盘读写速度有关,而与磁盘文件多少无关。不过好在加密的同时并不影响你的其他操作,我们可以不用傻傻地在那里等待,而相对重要文件和数据的安全性,这些时间也是绝对值得付出的,且加密后不会影响数据存取速度。
此外,普通的闪存采用BitLocker加密后,在XP系统当中只能读取,不能写入,显得很不方便,所以董师傅建议,如果你的闪存只是用于平时普通文件的移动存储所用,那么就不要启用BitLocker加密了;如果你经常使用移动硬盘,并且移动硬盘当中存储了重要的文件或数据,那么董师傅建议你,将移动硬盘单独划分一个重要数据分区,然后将所有重要文件和数据转移到这个分区后,再用BitLocker进行加密,这样既不影响平时的移动存储功用,又能有效防止重要数据的泄露和丢失。