探索ＢｉｔＬｏｃｋｅｒ加密

筆記本電腦失竊導致機密數據丟失的消息在媒體上出現得越來越頻繁，很多人也開始關注數據的安全，于是BitLocker應運而生。

有了EFS，還要BitLocker?

說到Windows自帶加密手段，大家就會想到EFS(加密文件系統)，EFS的確能夠在一定程度保證數據不被非法訪問。但這還遠遠不夠，因為EFS無法加密Windows系統，只能加密數據，通過第三方軟件修改用戶密碼等方式仍然可窺探用戶數據。微軟在Windows Vista中新增了一種叫做BitLocker的功能，在Windows Vista企業版和旗艦版中，可以有效防范已知的各種脫機攻擊方式。

BitLocker的工作方式

啟用BitLocker后，系統會把硬盤的主引導記錄(MBR)、NTFS卷的引導扇區、NTFS引導代碼，甚至整個Windows Vista的安裝分區，包括系統文件、注冊表、EFS密鑰等文件全部加密，而解密所用的密鑰會被保存在另外的地方(TPM芯片或優盤等介質)。以后Vista每次啟動時，都會自動使用保存的密鑰來解密Windows安裝分區，并開始系統的引導工作。BitLocker加密的模式有兩種，分別有不同的要求和安全級別。

TPM模式：這種模式要求電腦的主板帶有1.2版本的TPM芯片，TPM模式的BitLocker不僅可以實現加密操作系統分區，還可以保證分區的完整性和不可篡改性。

u盤模式：如果沒有TPM芯片，還可以采用U盤，條件是電腦的BIOS支持開機時訪問USB閃盤(如果不支持，可能需要更新主板BIOS或者更換主板)。這種情況下我們可以將解鎖磁盤所需的啟動密鑰存放在U盤里，開機時必須插入這塊U盤，隨后才能解鎖加密的Windows卷，以便正常啟動Windows Vista。但是要注意，這種模式只能加密Windows分區，無法實現完整性檢查，也就無法防范上文所說的脫機攻擊。

使用BitLocker的前提條件

目前主流的電腦都沒有集成TPM芯片，因此下文重點介紹U盤模式的使用方法。

要使用BitLocker，最重要的是要保證自己的硬盤分區．符合要求。硬盤上至少要有兩個分區：一個的可用空間不能小于1.5GB，并且必須是活動分區(也就意味著該分區必須是主分區，不能是擴展分區，也不能是邏輯驅動器)，Vista不能安裝在這個分區上；另一個分區則沒那么多要求，只要可用空間能滿足Vista的安裝要求即可。

如果你用的是Windows Vista旗艦版，那么還可以通過Windows Update安裝“BitLocker和EFS增強”這個程序，這是一個Windows Ultimate Extras程序，因此無法被企業般用戶使用。

安裝該程序后，打開開始菜單，然后依次打開“所有程序/附件/系統工具/BitLocker/BitLocker驅動器準備工具”，并接受許可協議啟動該工具，這個工具可以檢查系統配置(主要是硬盤分區情況)。如果出現一個對話框告訴你不需要運行準備工具，那么證明你的系統已經準備好了。如果不滿足要求。

在這個界面上點擊“繼續”兩次，待準備好之后，該工具會要求我們重啟系統。這時候如果運行diskmgmt.msc打開磁盤管理工．具，可以看到準備工具在原本只有一個分區的硬盤上新建了一個1.5GB的活動分區，圖中的C盤依舊是系統盤，隨后會被加密，另外薪增加了一個S盤，用于保存引導Vista所需的引導文件，這個分區不會被加密。

重啟動系統之后，硬盤分區方面的準備工作就全部完成了。不過這時候我們還需要對組策略進行一些調整。因為默認情況下Vista只允許我們使用TPM模式的BitLocker加密，因此要使用U盤模式，必須啟用一項策略。

運行gpedit.msc打開組策略編輯器，定位到“計算機配-置－管理模板－Windows組件－BitLocker驅動器加密”，雙擊右側的“控制面板設置：啟用高級啟動選項”這條策略，選擇“已啟用”，然后確保選中了下方的“沒有兼容的TPM時允許BitLocker”選項。至此所有設置工作都已經完成。

啟用u盤模式的BitLocker

在控制面板中依次點擊“安全－BitLocker驅動器加密”，可以打開BitLocker的啟動界面。如果前面的設置都正確，可以看到安裝Vista的分區，并且這個分區下有一個“啟動BitLocker”鏈接。

因為我們只打算使用U盤模式，本機也沒有安裝任何TPM芯片，因此選擇唯一可用的選項，點擊“下一步”。，在這里我們將準備好的U盤插入USB接口，待這塊U盤出現在BitLocker設置窗口中之后，點擊選中，然后點擊“保存”。

接著Vista會要我們輸入一個48位的密碼，這個密碼主要是為了數據恢復使用。例如，使用BitLocker加密系統時將保存密鑰的U盤弄丟或者弄壞了，將導致無法進人系統。遇到類似情況時就可以使用這時候設置的48位密碼來恢復系統，所以這個密碼是非常重要的，應妥善保管。

輸入密碼，這里提供了三個選項備份恢復密碼。例如我們可以將這個密碼保存到u盤中，或者保存到硬盤上，另外還可以直接打印。建議在處理這個備份的恢復密碼的時候要小心，盡量不要保存在本地硬盤上，就算要保存到U盤中，最好使用另一塊U盤，同時將這塊U盤保管到安全的地方。當然，如果用紙把密碼打印保存是最好的辦法，因為在某種程度來說，紙質文檔還是比電子文檔安全可靠。

在安裝了上文說的BitLocker和EFS增強程序后，在Windows Vista旗艦版中，我們還可以把BitLocker的恢復密碼保存到微軟的服務器上。這是微軟為Windows Vista旗艦版用戶提供的一項增值服務，日后因為丟失了密鑰以及恢復密碼而導致系統無法啟動時，我們還可以使用其他電腦訪問服務網站，獲取自己的恢復密碼。

我們可以打開控制面板，然后依次單擊“安全一密鑰安全聯機備份一保存BitLocker恢復密碼”，要想聯機保存自己的密鑰，我們必須使用一個windows Live ID登錄。日后如果需要找回自己的恢復密碼，我們需要訪問Windows Market Place網站(www.windowsmarketplace.com)上的Digital Locker服務，然后使用同樣的Live ID登錄并下載即可。

隨后系統會詢問我們是否進行BitLocker系統檢查，建議進行一次檢查。確認檢查后，系統會首先重啟動一次，確保可以在啟動過程中從u盤讀取BitLocker密鑰，然后才會真正加密Windows安裝分區。如果不檢查直接加密，等到重啟動后才發現BitLocker功能在自己的電腦上有問題，那時候才是欲哭無淚。

選中檢查的選項，并點擊“繼續”。隨后系統會重啟動，并進行BitLocker檢查，如果檢查一切無誤，那么就可以開始加密Windows安裝分區。加密需要一定的時間，雖然在這過程中系統還可以正常使用，不過建議你不要進行其他操作，等待加密完成即可。

BitLocker的恢復

經過上面的設置，以后每次重啟電腦，我們都需要提供保存了BitLocker密鑰的U盤(上文中使用的第一個U盤，而非第二個，那是用于保存恢復密碼的)。如果某天這個U盤遺失了，或者損壞了，導致系統無法啟動，這時候也不用擔心。之前不是設置過恢復密碼么，趕快把這個密碼從保險柜里找出來吧。無法提供密鑰的時候，Vista的啟動過程將會停留在圖5所示的地方。

如果之前在設置恢復密碼的時候我們選擇了將恢復密碼保存在U盤上，這時候只要插入保存了恢復密碼的U盤，然后按下Esc重啟動系統即可。如果當時把密碼打印了，或者作為文件保存在其他地方，這時候可以按下回車鍵開始輸入。按照屏幕上的提示挨個輸入，最后按下回車鍵即可。