BitLocker在Windows Vista下的應用

作者：張齊

隨著微軟的大力推廣，很多的朋友都已經用上了Windows Vista，不同的用戶對于Vista自然有著不同的需求，個人用戶更多關心的是美倫美奐的Aero效果，而企業用戶更多關注的是Vista的安全性能。如果你使用的是Windows Enterprise Vista（企業版本）或Windows Ultimate Vista（旗艦版本），那么可以通過其中提供的“BitLocker”標準組件，從而獲得前所未有的安全保護。

一、BitLocker工作原理

在Windows Vista研發期間，微軟曾為了解決Windows XP的安全問題，而中斷新系統研究，轉向修補Windows XP的安全問題，也就是大家現在非常熟悉的SP2補丁包。對于懂一點專業技術的“黑客”來說，Windows XP帳戶密碼無需費多大力氣就能將其破解，從而盜取計算機里面的數據，這種攻擊方法稱為離線式攻擊。也就是說，攻擊者是直接使用你的計算機入侵。因此，在Windows Vista里，微軟自然在安全上下了非常大的功夫，BitLocker也就是在這樣一種局面下誕生了，它和EFS相互補充，采用了硬件和軟件相結合的方法來保護硬盤數據。

這里簡要和大家說一下BitLocker的工作原理，BitLocker加密后的磁盤或磁盤分區是與主板上的TMP芯片（或者USB閃存）捆綁在一起的。所以，就算別人盜取了這些數據，由于在其它計算機是不能解密本機的BitLocker加密數據，這樣也就保證了數據不再被離線攻擊。

TPM的全稱是Trusted Platform Module，即可信任安全平臺模組。TPM可以進行密鑰的生成和存儲，目前很多筆記型電腦也會內置TPM規格的晶片構建Vista的安全機制。對于沒有TPM硬件的計算機，BitLocker也可以將加密信息存儲到USB閃存里，當然由于USB閃存的移動性，如果USB閃存不慎遺失，那么計算機里加密的數據也就無法正常讀取了。

二、做好準備工作

要正式使用BitLocker功能之前，我們需要安裝相關的更新。進入“Windows Update”窗口，選擇“查看可用更新”，在這里勾選“BitLocker和EFS增強”復選框，然后單擊右下角的“安裝”按鈕，稍候片刻，系統會自動下載并安裝更新。更新安裝完成后，我們可以在“已安裝的更新”列表框中看到“BitLocker Drive Preparation Tool (KB933246)”和“Secure Online Key Backup (KB932926)”兩款更新。

現在，進入控制面板的“安全”窗口，在這里我們可以發現“BitLocker驅動器加密”和“密鑰安全聯機備份”兩個項目。

由于目前支持TPM的計算機可以說是少之又少（僅在部分高端產品中才會采用該技術），因此我們如果現在立即去使用BitLocker，那么加密驅動器時會提示黃色的警示信息，說是找不到TPM。由于前面提到的原因，既然無法通過TPM加密驅動器，那么只能考慮選擇USB模式的BitLocker。不過，默認設置下Windows Vista卻是自動禁用USB模式，請按照下面的步驟手工啟用：

步驟1 按下“Win+R”組合鍵打開運行對話框，或者直接激活“開始搜索”框，在這里輸入“gpedit.msc”進入組策略對象編輯器，逐步進入“計算機配置→管理模板→Windows組件→BitLicker驅動器加密”。

步驟2 在右側窗格中雙擊“控制面板設置：啟用高級啟動選項”，選擇“已啟用”，此時下面的“沒有兼容的TPM時允許BitLocker”選項會自動勾選，最后單擊右下角的“應用”按鈕。

步驟3 進入控制面板的“安全”窗口，單擊“BitLocker驅動器加密”，在隨之彈出的窗口中單擊“啟用BitLocker”，現在已經可以看到與上面完全不同的界面。

三、通過USB閃存盤實現BitLocker加密

進入控制面板的“安全”窗口，單擊“啟用BitLocker”按鈕，這里會有一個名為“每一次啟動時要求啟動USB密鑰”的選項，根據提示插入可移動USB內存設備，這是用來保存啟動密鑰，然后單擊右下角的“保存”按鈕。

這里的選項就豐富多了，我們可以選擇“在USB驅動器上保存密碼”，也可以選擇“在文件夾中保存密碼”，不過建議還是同時將密碼打印出來。此時會再次要求插入USB設備，單擊“保存”按鈕，稍等片刻待恢復密碼被成功保存后，單擊“下一步”按鈕。

默認設置下，BitLocker會對Windows Vista系統所在的卷進行加密，加密之前將首先進行系統檢查，檢查完成之后單擊“繼續”按鈕，接下來需要重新啟動計算機，在重啟時需要插入包含啟動密鑰的USB存儲設備。重新啟動之后，系統將開始進行BitLocker的加密操作，我們可以在系統托盤處查看具體的進度，單擊可以查看詳細信息，耐心等待片刻就是了。

驅動器加密完成后，如果進入“計算機管理→存儲→磁盤管理”的界面，我們會看到被加密的卷的狀態較以前有了顯然的變化，這里的狀態是“啟動，頁面文件，故障轉儲，邏輯驅動器”，而“文件系統”也顯示為“NTFS（BitLocker已加密）”的字樣。

如果你安裝了Windows XP、Windows Vista的雙系統，那么當進入Windows XP訪問已被加密的Windows Vista卷時，得到的提示將是“驅動器不可用”，而該加密卷的文件系統將是“RAW”。

四、BitLocker加密的恢復

假如日后由于某些原因，需要關閉BitLocker，可以進入“控制面板→安全→BitLocker驅動器加密”窗口，在這里單擊“關閉BitLocker”，此時會彈出一個確認提示框，我們可以在這里選擇是禁用或解密，選擇“解密此卷”。

接下來，系統會對已被加密的卷進行解密，“BitLocker驅動器加密”的界面下會顯示“解密中”的字樣。與此同時，系統托盤區也會顯示一個小圖標，單擊后可以查看到詳細的解密進度，這里需要的時間也是相當的漫長，解密完成后，會彈出相應的提示框。

如果此時再次進入磁盤管理的界面，會看到這里已經完全恢復為加密前的狀態。