改进BitLocker，浅谈Vista SP1中的磁盘加密技术

以前提到过，Vista SP1 的更新包中，改进了BitLocker Drive Encryption(BDE)，提供TMP加密支持，包括闪存加密和PIN。

BitLocker不仅可以对整个系统分区加密，还支持对非系统分区的加密，可以在本地创建机密数据分区。经过 BitLocker 驱动器加密 (BitLocker) 一个分区后，上面存储的所有文件都受到了保护。而且当我们把新的文件复制到该分区中时，文件会自动被加密，而不用我们再做其他操作。哎呀网
x#Z5L3t[z$r$W
哎呀网B#R,eU*H*s
如果我们的机器送修或是被盗，别人将硬盘挂在其他机器上，在计算机启动时，如果 BitLocker 检测到某个系统条件可能存在安全风险（例如，磁盘错误、对 BIOS 的更改或对任何启动文件的更改），那么BitLocker 将锁定驱动器并且需要使用特定的 BitLocker 恢复密码才能进行解锁，这样谁也不能偷窥我们的加密资料了。哎呀网WQ)J!yL
Q }

;y5[0Yj~Lwm当然，我们可以随时通过禁用 BitLocker 将其临时关闭，或者通过解密驱动器将其永久关闭。方法也很简单，依次选择“开始→控制面板→Bitlocker驱动器加密”，单击“关闭 BitLocker”选项，弹出“BitLocker 驱动器加密”对话框，若要解密驱动器，请单击“解密卷”选项，若要临时禁用BitLocker，请单击“禁用 BitLocker 驱动器加密”。

q#Y.E$w2L X;] C小提示哎呀网kJPL)qy,~R

`jY }g1|:qt5r\需要注意的是，这个功能不仅需要硬件TMP技术的支持，而且文件只有存储在加密分区时才保持加密状态。如果我们把文件复制到其他驱动器或计算机上时，文件将被解密。 

M)l y0_/s特别整理了一点帮助信息，希望对大家有所帮助：

一、BitLocker 驱动器加密的硬件要求：

-A6Vo8Cn {&l因为 BitLocker 会将其自身的加密和解密密钥存储在硬盘之外的某个硬件设备上，所以您必须具有以下硬件设备之一：哎呀网+s'h!s+xl

,`ltqc~9F具有受信任的平台模块 (TPM)（某些新型计算机中一种支持高级安全功能的特殊微芯片）的计算机。如果计算机是使用 TPM 版本 1.2 或更高版本制造的，则 BitLocker 会将其密钥存储在 TPM 中。
\Gh
H RT)k)Uz
?V%[kY+?&e'Z可移动 USB 内存设备，例如 USB 闪存驱动器。如果计算机没有 TPM 版本 1.2 或更高版本，则 BitLocker 会将其密钥存储在闪存驱动器中。哎呀网(m5y)mNlx
哎呀网;E6rF)@v+iugl
注意哎呀网(bsAU&i
可以通过组策略设置来启用某些 BitLocker 功能和设置。
sw Z]-V'Idy+M0h哎呀网{ Gz6U-fp
若要打开 BitLocker 驱动器加密，计算机硬盘必须满足以下条件：
TqUR*@R q8FG哎呀网*V/[p3l6};Z J'T
1、至少具有两个分区。其中一个分区必须包含安装 Windows 的驱动器。该驱动器是 BitLocker 将进行加密的驱动器。另一个分区是活动分区，必须保持未加密状态，以便可以启动计算机。哎呀网JU.nV:EQ

T8_Hb+k(ss2、必须使用 NTFS 文件系统进行格式化。
2tl6ojO9[ B5x,d哎呀网oeE I~*J0b#a/o
所使用的 BIOS 与 TPM 兼容，并且在计算机启动时支持 USB 设备。如果情况并非如此，则您将需要在使用 BitLocker 之前更新 BIOS。哎呀网Y0GM[Sed

二、使用BitLocker驱动器加密保护文件哎呀网Y B+OV"`!H^g

G~/TZRb&IU&M打开 BitLocker 驱动器加密 (BitLocker) 可帮助保护安装 Windows 的驱动器上存储的所有文件。哎呀网^Z$RF8U7A$}
哎呀网h3a'l5`GTeXXi;O|
加密文件系统 (EFS) 可以加密单独文件，与其不同的是，BitLocker 将加密整个系统驱动器，包括启动和登录所需的 Windows 系统文件。可以正常登录和使用文件，但是 BitLocker 可以帮助阻止黑客访问您的系统文件，黑客依靠系统文件发现您的密码，或者通过从计算机删除系统文件并将其安装在其他计算机上来访问您的硬盘。BitLocker 只能帮助保护存储在安装 Windows 的驱动器上的文件。如果将文件存储在其他驱动器上，则可以使用 EFS 帮助保护那些文件。有关详细信息，请参阅下面的什么是加密文件系统 (EFS)？
e}]UBetB{#n哎呀网y$W3ukaS
在将新的文件添加到具有 BitLocker 的驱动器时，BitLocker 可自动对其进行加密。文件只有存储在加密驱动器中时才保持加密状态。复制到其他驱动器或计算机的文件将被解密。如果与其他用户共享文件（例如通过网络），则当这些文件存储在已加密驱动器上时仍将保持加密状态，但是授权用户通常可以访问这些文件。哎呀网W(m
rR1Y@
哎呀网4m(H"{PR7Q
在计算机启动时，如果 BitLocker 检测到某个系统条件可能表示存在安全风险（例如，磁盘错误、对 BIOS 的更改或对任何启动文件的更改），则 BitLocker 将锁定驱动器并且需要使用特定的 BitLocker 恢复密码才能进行解锁。请确保在第一次打开 BitLocker 时创建此恢复密码；否则，您可能会永久失去对文件的访问权限。
!F_)H2CK#l-ml#j#h
T,znG)K$~BitLocker 通常使用计算机中受信任的平台模块 (TPM) 芯片来存储用于解锁已加密硬盘的密钥。登录计算机时，BitLocker 会要求 TPM 提供硬盘密钥并将其解锁。由于在您登录计算机后 TPM 会立即为 BitLocker 提供密钥，因此计算机的安全性取决于登录密码的强度。如果您使用强密码防止未经授权的用户登录，则受 BitLocker 保护的硬盘将保持锁定状态。 哎呀网BV#hi ~s9}jch7S

.JF\5IV0L:e#l {可以随时通过禁用 BitLocker 将其临时关闭，或者通过解密驱动器将其永久关闭。
Eww7LC$X4\7w哎呀网0f&f
`N kTu
三、什么是加密文件系统 (EFS)？哎呀网[PX)?}7Y&NU

加密文件系统 (EFS) 是 Windows 的一项功能，它允许您将信息以加密的形式存储在硬盘上。加密是 Windows 提供用于保护信息安全的最强保护措施。
[7Z9cS8@(^哎呀网6B)k?
U3t9Z*RPdL\
EFS 的一些重要功能：哎呀网0sz5KG4nIl-g.v+m

}Uwb
Ci6H[%["c加密方法十分简单；仅须选中文件或文件夹属性中的复选框即可启用加密。哎呀网e6y3yOps_

k/x:u O [1hl ^]您可以控制哪些人能够读取这些文件。
'E#aD]%n(e,\D'`rGzW
NEpy6S{在关闭文件时文件即被加密，但是当打开这些文件时，文件将会自动处于备用状态。
_Fl|?+v/n(E哎呀网 oWh4c2i7SZLt+jt
如果不再希望对某个已加密的文件实施加密，清除该文件的属性中的复选框即可。哎呀网 t0Q'aA qn_;g+]
哎呀网]g Jn\!O;kA
注意
Y-p;?KsN
jxMEFS 未完全受到 Windows Vista Starter、Windows Vista Home Basic 和 Windows Vista Home Premium 的支持。对于 Windows 的这些版本，如果具有加密密钥或证书，则可以执行以下操作：哎呀网:h1L*TEeU

*v8RGGd.g1、通过在命令提示符窗口中运行 Cipher.exe 解密文件（适用于高级用户）
#j9^lp9x }e
*sL&[y H+xNq2、修改加密文件哎呀网G5y
m~+Z9Y@QT
哎呀网O)l x/X2D,{u#P
3、复制加密文件（在解密到计算机的硬盘过程中）哎呀网l#V8U]lm{w+LK3}

/p
Ey0[:b A4、导入 EFS 证书和密钥
7n*?}E5J,mu
l6F9ewGT9d%j5、通过在命令提示符窗口中运行 Cipher.exe 备份 EFS 证书和密钥（适用于高级用户）

TAG: BitLocker Vista vista 磁盘 加密