刚刚重新安装了操作系统,放弃掉EFS加密方式,改用bitlocker磁盘加密。有关bitlocker的资料网上查找比较稀少,包括看了微软MSDN的资料,查阅了一些文档稍微对bitlocker有一些了解。bitlocker是微软在Vista和windows 7中加入的一项磁盘加密功能,配合主板的TPM芯片保护磁盘中的数据。即使电脑、硬盘、U盘丢失也不会发生机密数据的泄露。
我们知道可以用系统自带的EFS加密功能对NTFS文件系统进行数据加密,但是它不能加密系统文件和U盘数据。又或者使用权限分配的方式管理我们的数据也会被轻易破解,例如计算机物理丢失后攻击者可以通过其他方式访问硬盘数据。bitlocker功能主要面向商务用户和IT工作者,可以直接对硬盘分区进行加密,防止信息泄露。根据微软的说法:废弃的硬盘可以在扔掉以前,使用bitlocker进行数据加密,然后扔掉,回收硬盘或是捡到硬盘的人是无法从里面读到任何数据的。可见bitlocker的强大性。
百度百科介绍:
bitlocker http://baike.baidu.com/view/1178175.htm
TPM安全芯片 http://baike.baidu.com/view/687208.htm
使用bitlocker的硬件要求:
1.主板有TPM芯片支持 2.系统可以优先启动USB设备
除去以上两点,还有一些细微要求:系统登录用户须是管理员或者超级管理员方式登录。另外如操作系统必须是vista或windows 7企业版或旗舰版。在windows 7专业版和家庭版中是没有这个功能。windows 7旗舰版也就比专业版多添加有多语言和bitlocker功能,如不使用bitlocker建议不要安装旗舰版。另外需要windows 7有100M系统保留分区存在。在windows 7系统安装的时候,默认会分配一个100M的系统保留分区,里面有储存系统启动引导文件。在Vista下是一个1.5G的分区放boot loader,而Windows 7就是现在的100M分区。除了启动引导程序以外,另外还有bitlocker必要的解锁信息。如果没有100M,bitlocker会报错,但是也能使用,只能是使用USB设备来保存,并且随时随地插在电脑上并且主板必须要在进入操作系统之前就可以识别这个USB设备。很多人通过PE等方式进行系统分区,刻意删除掉100M系统保留引导程序的分区,虽然可以使用其他方式正常引导系统,但是如果使用bitlocker的情况下建议保留此分区,避免解密文件无法正常加载。
另外需要硬件支持TPM模块(受信任的平台模块)。TPM是一个芯片,安装在主板当中。一般在个人计算机不管品牌机组装机都是没有,一般这种硬件只针对企业级别计算机才有。可以在设备管理器或者进入BIOS查看主板是否有TPM芯片。TPM也必须1.2或者以上版本才可以支持,如果以下是不能够使用。但没有TPM不意味着不能够使用bitlocker,我们也可以使用USB等方式来存储。USB设备必须在启动系统之前就可以识别USB设备,如果我们使用USB方式存储密钥,就需要在启动系统的时候可以加载USB。但是第一启动顺序必须是硬盘,不能是其他设备。密钥信息可以保存在USB设备当中,在需要启动磁盘的时候需要USB设备来进行解密。系统盘符加密的方式的话,加密信息如放置USB设备中,在启动时候如果没有USB设备解密的话系统是无法进入。
非系统盘进行加密,只需要有系统保留100M分区来进行放置加密信息或者使用USB设备来保存,USB设备保存的话在分区需要关闭加密的时候需要使用。移动硬盘、U盘类的方式的话加密信息不可保存在USB设备或者智能卡里面,只允许使用PIN码方式加密,加密信息保存在其他路径或者打印方式保存。另外对于不同配置不同规格不同大小的硬盘,加密以及关闭bitlocker使用时间不尽相同,bitlocker加密的时间会较长,短则3、5小时,长则10几个小时,不建议在进行加密的时候对磁盘进行操作,操作不当可能引起磁盘出现故障。
磁盘进行加密后,需要有与之对应的解密密钥来进行。磁盘在未授权的情况下无法打开,其中包括破解、解密等方式暂时都无济于事。即使磁盘被卸下加载到另外的系统下也需要相应的解密信息。如密钥丢失可以通过相应的保存的密钥识别码解密。在无授权的情况下无法打开磁盘,但是可以格式化,从而保障了数据安全。另外,普通用户如若无必要,建议不使用此功能,文件可以使用文件加密功能等方式。对于此类磁盘加密方式,如果非工作需要,专业人员的话,不能够很好的驾驭此类程序的话,将会带来毁灭性灾难,丢失的数据或许比硬盘本身珍贵许多。
下图来自微软网站
假如加密的是U盘,如果想继续在XP中使用的话,那么这个U盘的文件格式只能是FAT32,如果U盘文件格式为NTFS格式,插入XP系统(SP3)后会提示磁盘没有格式化,但此时绝对不能格式化,否则格式化后数据会全部丢失。
采用FAT32格式的U盘可以在XP下使用,插入U盘会显示一个带锁的图标,双击之后,会提示输入密码后才可以访问。非常值得注意的是,在解锁之后,会弹出一个叫做“BitLocker To Go阅读器”的界面,所有加密的文件只能在这个阅读器中查看。这时U盘是只读状态,里面的内容只能读取不能写入,对于经常在不同地方使用U盘的朋友,这个功能非常贴心,可以保障U盘的安全。