BitLocker驱动器加密详解
BitLocker驱动器加密详解
BitLocker驱动器加密它是在Windows Vista中新增的一种数据保护功能,主要用于解决一个人们越来越关心的问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。
概述
Windows BitLocker驱动器加密是一种全新的安全功能,该功能通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。
受信任的平台模块(TPM)是一个内置在计算机中的微芯片。它用于存储加密信息,如加密密钥。存储在TPM上的信息会更安全,避免受到外部软件攻击和物理盗窃。
BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM,则必须通过使用组策略更改BitLocker安装向导的默认行为,或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时,所需加密密钥存储在USB闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。
工作原理
通过加密整个Windows操作系统卷保护数据。
如果计算机安装了兼容TPM,BitLocker将使用TPM锁定保护数据的加密密钥。因此,在TPM已验证计算机的状态之后,才能访问这些密钥。加密整个卷可以保护所有数据,包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定,因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。
在启动过程中,TPM将释放密钥,该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证Windows启动过程的完整性。如果TPM检测到Windows安装已被篡改,则不会释放密钥。
默认情况下,BitLocker安装向导配置为与TPM无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。
为了增强安全性,可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动密钥组合使用。
在不带有兼容TPM的计算机上,BitLocker可以提供加密,而不提供使用TPM锁定密钥的其他安全。在这种情况下,用户需要创建一个存储在USB闪存驱动器上的启动密钥。
TPM
TPM是一个微芯片,设计用于提供基本安全性相关功能,主要涉及加密密钥。TPM通常安装在台式计算机或者便携式计算机的主板上,通过硬件总线与系统其余部分通信。
合并了TPM的计算机能够创建加密密钥并对其进行加密,以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”密钥,可以帮助避免泄露密钥。每个TPM有一个主覆盖密钥,称为“存储根密钥(SRK)”
,它存储在TPM的内部。在TPM中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。
合并了TPM的计算机还可以创建一个密钥,该密钥不仅被覆盖,而且还被连接到特定硬件或软件条件。这称为“密封”密钥。首次创建密封密钥时,TPM将记录配置值和文件哈希的快照。仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。BitLocker使用密封密钥检测对Windows操作系统完整性的攻击。
使用TPM,密钥对的隐私部分在操作系统控制的内存之外单独保存。因为TPM使用自身的内部固件和逻辑电路来处理指令,所以它不依赖于操作系统,也不会受外部软件漏洞的影响。
工作过程
BitLocker主要有两种工作模式:TPM模式和U盘模式,为了实现更高程度的安全,我们还可以同时启用这两种模式。 
要使用TPM模式,要求计算机中必须具备不低于1.2版TPM芯片,这种芯片是通过硬件提供的,一般只出现在对安全性要求较高的商用电脑或工作站上,家用电脑或普通的商用电脑通常不会提供。
要想知道电脑是否有TPM芯片,可以运行“devmgmt.msc”打开设备管理器,然后看看设备管理器中是否存在一个叫做“安全设备”的节点,该节点下是否有“受信任的平台模块”这类的设备,并确定其版本即可。 
如果要使用U盘模式,则需要电脑上有USB接口,计算机的BIOS支持在开机的时候访问USB设备(能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能),并且需要有一个专用的U盘(U盘只是用于保存密钥文件,容量不用太大,但是质量一定要好)。使用U盘模式后,用于解密系统盘的密钥文件会被保存在U盘上,每次重启动系统的时候必须在开机之前将U盘连接到计算机上。
受信任的平台模块是实现TPM模式BitLocker的前提条件。
对硬盘分区的要求
硬件满足上述要求后,还要确保硬盘分区的安排可以满足要求。通常情况下,我们可能习惯这样给硬盘分区:首先,在第一块硬盘上划分一个活动主分区,用于安装Windows,这个分区是系统盘;其次,对于剩下的空间继续划分更多主分区,或者创建一个扩展分区,然后在上面创建逻辑驱动器。简单来说,我们已经习惯于让第一块硬盘的第一个分区成为系统盘,并在上面安装Windows。
传统方式下的硬盘分区情况。
在一台安装Windows Vista的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。
这里重点需要关注的是,硬盘上是否有超过一个的活动分区。如果该磁盘上有两个分区,对应的盘符分别是“C”和“D”,其中“C”就是第一块硬盘上的第一个分区,属于系统盘而且是活动的
。但问题在于,如果除了系统盘外,硬盘上不存在其他活动分区,这种情况下是无法直接启用BitLocker的(无论是TPM模式还是U盘模式)。原因很简单,源于其工作原理,BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密,在启动系统的时候,我们必须提供解密的密钥,来解密原本被加密的文件,这样才能启动操作系统或者读取机密文件。但这就有一个问题,用于解密的密钥可以保存在TPM芯片或者U盘中,但是解密程序应该放在哪里?难道就放在系统盘吗?可是系统盘已经被加密了,这就导致了一种很矛盾的状态:因为用于解密的程序被加密了,因此无法运行,导致无法解密文件。 
所以如果要顺利使用BitLocker功能,硬盘上必须至少有两个活动分区,除了系统盘外,额外的活动分区必须保持未加密状态(且必须是NTFS文件系统),同时可用空间不能少于1.5GB。为了保证可靠性,这个专门的活动分区最好专用,不要在上面保存其他文件或者安装额外的操作系统。
遗憾的是,一般情况下,很少有人会在自己的硬盘上创建多个活动分区。那么我们又该怎样设置硬盘,以满足BitLocker的要求?如果是在安装Windows Vista之前看到了这段内容,并且打算安装好之后使用BitLocker功能,那么我们可以在安装的时候直接将分区准备好。  怎样给硬盘加密
如果是在安装了Windows Vista,并且在打算使用BitLocker的时候才看到这段内容,而硬盘分区已经按照传统的方式划分好了,那么也不用担心。通过一些方法,我们可以在不破坏现有系统以及所有数据的前提下为BitLocker腾出一部分空间来创建另一个分区。 
如果还没有安装Vista
如果正打算在一块新硬盘上安装Windows Vista企业版或旗舰版,那么就可以在安装的过程中创建出符合BitLocker要求的分区结构。具体的过程如下: 
准备好Windows Vista安装光盘,并在计算机的BIOS设置中设定通过光盘引导计算机(具体的设置方法请参考计算机或主板的说明书); 
打开电源,立刻将Windows Vista安装光盘放入计算机。如果设置无误,那么计算机会自动从光盘引导,稍等片刻,屏幕上就会出现一个绿的滚动条,就像Windows Vista正常启动时候那样;
当看到“安装Windows”对话框之后,选择要安装的语言、时间和货币格式,以及键盘和输入方法,设置
好之后单击“下一步”按钮; 
单击窗口左下角的“修复安装”链接; 
随后可以看到“系统恢复选项”对话框,因为这是一块新硬盘,因此不会列出任何内容,直接单击“下一步”按钮; 
在接下来看到的“系统恢复选项”对话框中,单击“命令提示符”链接
通过“命令提示符”创建符合要求的分区   
当打开“命令提示行”窗口后,依次运行下面列出的命令(除了第一条和最后两条命令外,其他所有命令都需要在“diskpart>”提示符下运行,括号内的文字是对命令的解释,不用输入。): 
Diskpart(启动,这是一个命令行界面下的硬盘分区调整程序。) 
Select Disk 0(将第一块硬盘选中,作为后续操作的目标盘。如果有多块硬盘,并且希望将Windows Vista安装到其他硬盘上,请更改数字“0”为目标硬盘的编号。如果想知道分别有哪些硬盘,各自的编号是什么,请首先运行“list disk”命令。) 
Clean(清空所选硬盘上的分区表信息。注意:目标硬盘上如果有数据,将被全部清除。)
Create Partition Primary Size=1500(创建一个体积为1.5GB的主分区,这个分区用于日后保存引导文件。) 
Assign Letter=S(将这个1.5GB分区的盘符设置为“S”,或者其他任何想要使用的字母,但不建议使用“C”,毕竟很多人都习惯于将Windows安装到C盘。) 
Active(将这个1.5GB的分区设置为活动分区。) 
Create Partition Primary(用所有剩余空间创建一个主分区,如果希望除了这个主分区外还创建其他分区,请使用“size=xxx”参数指定这个主分区的大小。) 
Assign Letter=C(将这个分区的盘符设置为“C”,接下来会将Windows安装到这个分区,同时最终被BitLocker加密的也是这个分区。) 
List Volume(查看已经分好的区,正常情况下可以看到划分好的分区界面。) 
Exit(退出Diskpart程序。) 
Format C: /Y /Q /FS:NTFS(用NTFS文件系统快速格式化C盘。) 
Format S: /Y /Q /FS:NTFS(用NTFS文件系统快速格式化S盘。)   
经过上述设置,我们可以重新启动计算机,并再次使用Windows Vista安装光盘引导系统,完成操作系统的安装工作。在安装过程中需要注意,系统必须安装到C盘,而不能安装到S盘。
在命令提示行下创建好的分区
如果已经安装了Vista
如果已经安装好了Windows Vista旗舰版或企业版,并在打算启用BitLocker的时候才发现系统被安装到磁盘0分区1上,也不用担心。只要分区0可用空间足够,我们完全可以将其中一部分空间拆借出来,创建一个新的磁盘0分区1。 
虽然有很多第三方软件可以做到这一点,不过往往需要付费购买,而且因为在系统盘的前面添加了一个新的分区,导致盘符变化,可能会使得Windows无法正常启动,因此不建议使用这类第三方软件。
要想在保留现有数据的前提下给原本安装了Windows的“磁盘0分区1”前面新建一个分区,我们可以使用微软提供的一个免费软件:BitLocker和EFS
增强,这个软件是作为Windows Vista Ultimate Extras提供的。顾名思义,该软件只能由正版Windows
Vista旗舰版用户通过Windows Update获得。不过根据微软的说明,Windows Vista企业版用户可以联系微软获取该软件,是:support.microsoft/contactus/?ws=support。 
安装了BitLocker和EFS增强工具后,请这样操作: 
从“开始”菜单下的“所有程序” “附件” “系统工具” “BitLocker”路径下启动“BitLocker驱动器准备工具”,在授权协议页面上单击“我接受”,随后该软件将自动检查本机的配置情况。 
阅读屏幕上显示的注意事项,按照提示照做后单击“继续”按钮。 
随后程序会自动调整硬盘分区,整个过程分为三个步骤:缩小(压缩)现有的系统盘;利用压缩获得的可用空间创建一个用于保存引导文件的新分区;然后根据BitLocker的要求调整新分区的设置。
这个过程大概需要三分钟左右,完成后单击“完成”按钮,系统会自动重启动。这时准备工作已经全部完成。通过上述操作,在本机会出现一个盘符为“S”,可用空间为1.5GB的新分区,引导文件和启动过程中的临时文件会保存在这里。
另外,在使用BitLocker和EFS增强工具调整硬盘分区的时候,还必须保证之前的系统盘在减少1.5GB的可用空间后保留的可用空间不小于分区总容量的10%。
默认情况下,Vista中只能使用TPM模式的BitLocker,因此要使用U盘模式,我们必须配置组策略将其启用。好在支持BitLocker功能的Windows Vista版本都是具有组策略的。具体做法如下: 
运行“gpedit.msc”打开组策略编辑器,从编辑器窗口左侧的控制台树形图中定位到“计算机配置” “管理模板” “Windows组件” “BitLocker驱动器加密”。 
在右侧的控制台窗口中到并双击打开“控制面板设置:启用高级启动选项”这个策略,选择“已启用”。 
单击“确定”保存设置,这样我们已经在本机启用了U盘模式的BitLocker。 
启用BitLocker
在安装SP1之后的Vista企业版和旗舰版中,我们可以使用三种模式的BitLocker: 
●纯TPM模式,要求系统中具有TPM芯片,这样用于解密的密钥以及用于验证引导文件完整性的相关文件都会保存在TPM芯片中。 
●纯U盘模式,要求系统符合上文中提到的和USB设备有关的条件,这样用于解密的密钥会被保存在U盘中。 
●混合模式,可以使用TPM+U盘,TPM+PIN,以及TPM+U盘+PIN的形式进一步增强系统安全。 
那么这些模式分别要怎样使用?让我们来看看。 
纯U盘模式
因为目前具有TPM芯片的电脑还不是很多,因此我们首先介绍纯U盘模式的使用方法,毕竟这种方式才适合

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。