解決SSD在Windows 10中的隱憂

■ 威海職業(yè)學院 趙永華

編者按：對SSD的加密是必不可少的，而且采用硬件加密的方式要比軟件加密形式更為有效，一般來說，Windows系統(tǒng)中并未對SSD進行真正的加密工作，我們需要進行設置。

有些SSDs廠商宣稱其產品支持“硬件加密”，但是在使用時能有多少用戶真的采取“硬加密”呢？

我們相信更多的用戶在Windows 10中會啟用BitLocker，這些用戶天真地認為每當他們將文件存放到SSD時，BitLocker就會對其進行加密。其實根本不是這樣。事實是，BitLocker對于自稱支持硬件加密的SSD就不會做任何加密工作！

不可否認，硬件加密方式要比軟件方式更快，SSD若真的采用了硬件加密當然性能會更好。在新款Mac中專門植入了T2安全芯片，它對Mac自帶的SSD確實采用了硬件加密，所以對于它BitLocker之類的工具確實純屬多余無用之物。

可是Windows PC從來沒有提供類似技術，廠商們的廣告僅僅是促銷用語而已。所以，為了讓BitLocker 對SSD真的進行加密，需要進行組策略設置。

具體方法是，運行組策略編輯程序“gpedit.msc”，找到以下內容：

Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption

然后雙擊右側面板選項 “Configure use of hardware-based encryption for fixed data drives”，選擇“Disabled”后點擊“OK”，如此BitLocker便會真的對SSD加密了。

當然也可棄用BitLocker，比如采用開源的VeraCrypt，它不像BitLocker會對SSD廠商的廣告信以為真，它對SSD一律加密。

SSD下載地址為：https://archive.codeplex.com/ ?p=veracrypt

下載安裝之后，點擊菜 單“System”→“Encrypt System Partition/Drive啟用機密運行”。

此時，程序會詢問您是要使用正常方式“Normal”還是隱藏系統(tǒng)的“Hidden”加密方式。此處“Normal”選項會正常加密系統(tǒng)分區(qū)或驅動器，啟動機器時用戶必須提供加密密碼才能訪問，若沒有密碼任何人都無法訪問你的文件。

另一種“Hidden”選項則會在隱藏的VeraCrypt卷中創(chuàng)建操作系統(tǒng)，此時用戶將擁有一個隱藏的“真實”操作系統(tǒng)和一個“替身”操作系統(tǒng)。當啟動PC時，用戶可以輸入真實密碼來啟動隱藏的操作系統(tǒng),或輸入替身操作系統(tǒng)的密碼來啟動替身操作系統(tǒng)。如果某人強迫用戶提供對加密驅動器的訪問權限（例如敲詐勒索），用戶可以向他們提供替身操作系統(tǒng)的密碼，他們根本不應該知道隱藏的操作系統(tǒng)。

用戶還可以進一步選擇是“加密Windows系統(tǒng)分區(qū)”還是“加密整個驅動器”。如果Windows系統(tǒng)分區(qū)是驅動器上的唯一分區(qū)，則兩種選項基本相同。如果我們只想加密Windows系統(tǒng)分區(qū)并單獨保留驅動器的其余部分，則選擇“加密Windows系統(tǒng)分區(qū)”。如果你有多個具有敏感數據的分區(qū)——例如，C：處的系統(tǒng)分區(qū)和D處的文件分區(qū)，那么就選擇“加密整個驅動器”以確保所有Windows分區(qū)都已加密。

VeraCrypt會要求選擇加密類型，雖有多種選擇但建議使用默認的AES加密。AES加密和SHA-256哈希算法都是可靠的加密方案，然后需要輸入密碼，要求至少20個以上的混合型字符（即大小寫字母和數字及符號）。

VeraCrypt向導工具要求生成一個緊急救援盤，以防文件損壞時用它進行引導。VeraCrypt在加密驅動器之前會進行驗證工作，單擊“Test”，VeraCrypt將 在PC上安裝VeraCrypt引導程序并重新啟動。用戶必須在引導時輸入加密密碼。