首页 > 单独文章 > 正文

巧用U盘锁住你的Vista

时间:2008-08-06 10:19:35 作者:officeba 【认证】

   看到这个标题别以为我要介绍“把启动的必须文件转移到U盘上来实现U盘开机功能”这种老伎俩来骗稿费,那种方法只能用来骗菜鸟。Win2000开始引入了NTFS分区的EFS加密功能,保障了重要文件的安全性;但它是基于文件加密的,且无法加密系统必须的重要文件,其他用户依然可以看到文件只是无法打开。如果在该系统中拥有一定的权限,目前也已经有办法读取其他用户EPS加密的文件(XP/2000)。宣扬安全的Vista这次内置了新的Bitlocker功能,实现分区级别的加密,且不像EFS一样依赖用户,最大限度的保证了系统的安全。下面我们来看看怎样用好它。本文使用Vista Sp1旗舰版为例子介绍。

     目前网上流传的XXX精简版基本上都“阉割”掉了Bitlocker功能,为了保证正常地使用它请使用完整安装版。也并非所有Vista版本都支持Bitlocker,仅企业版(Enterprise)和旗舰版(Ultimate)拥有这个功能。Vista SP1的Bitlocker支持非启动卷的加密,而Vista RTM只支持加密系统分区,如果没有升级到SP1其他分区请使用EFS辅助保护。

     第一步:准备Bitlocker所需要的分区

     Bitlocker要求至少有两个分区,其中一个自然是Vista的系统分区,另外一个是不能加密的活动分区,两个分区都必须是NTFS格式。我个人则建议电脑上面所有的分区格式均转化为NTFS格式。不加密的活动分区将作为Bitlocker的工作分区,微软建议这个分区的容量不低于1.5GB。建议大家按照微软的建议值分配。

     如果已经安装了Vista也不必担心,微软提供了工具来解决这个问题。

     Step1、到开始菜单的“方案和升级”中点击Windows Ultimate Extras。在Windows Update的搜索结果的Windows Ultimate Extras中找到“BitLocker和EFS增强”并安装。

     Step2、安装完毕之后,在开始菜单的搜索中输入“BitLocker”,运行找到的“BitLocker驱动器准备工具”。

     Step3、软件提示“正在为BitLocker准备驱动器”,然后软件会压缩驱动器C并建立一个新的分区,然后把启动文件移动到新的驱动器。软件还提示,新的驱动器不受BitLocker保护。接下来重启计算机。



图1、安装“BitLocker和EFS增强”



图2、软件会自动创建一个1.5G的分区

     小贴士:在Windows 7 M1的体验文章中,曾提到过如果使用一块空硬盘安装Win7且使用这块硬盘的所有空间,那么将会自动分出一个500MB的小分区。这个小分区很有可能就是为Windows7中携带的Bitlocker功能准备的。

     第二步:启用Bitlocker功能

     Step1:点击开始菜单,在搜索框中输入gpedit.msc,等出现结果之后按下回车。

     Step2: 在组策略对象编辑器中,依次进入本地计算机策略→管理模板→Windows组件→BitLocker 驱动器加密,双击“控制面板设置: 启用高级启动选项”。选择“已启用”,并选中“没有兼容的 TPM 时允许 BitLocker”复选框,然后单击“确定”。

     Step3:选择“配置加密方法”,设置为“已启用”,并选择下拉菜单中的任意一个加密方法,默认是“含有扩散器的AES 128位”。

     Step4:重启或者在开始菜单的搜索框中输入gpupdate.exe /force,然后按回车,等待命令完成。这条命令的作用是强制应用组策略而不需要重新启动系统。



图3、搜索框可以替代运行框



图4、启用BitLocker

     第三步:设置Bitlocker

     Step1、进入控制面板→安全→BitLocker 驱动器加密→在特定驱动器那里选择“启用Bitlocker”。

图5、为驱动器选择加密

     Step2、在“设置 BitLocker 启动首选项”中,选择“每一次启动时要求USB密钥”,没有TPM的情况下这也是唯一的可选项;插入U盘并选择保存启动密钥。



图6、恢复密钥很重要

     备用、保存密钥到U盘

     Step3、在“保存恢复密码”中,把恢复密码保存好。可以选择在U盘上保存,可以保存在文件夹中,也可以打印出来。建议多使用几种保存方式,当然都要保证密码能安全的保存。这个密码非常重要,如果把加密的驱动器转移到其他电脑上或者Bitlocker被锁定的情况下,必须使用恢复密码才能解密卷上面的数据。

     Step4、在“加密卷”中,确认选中“运行BitLocker系统检查”,点击“继续”并选择“立即重新启动”,请看清楚注意事项。当加密过程完成之后,下次启动的时候必须把U盘插入USB口中才能进入系统,U盘必须在系统引导前就能被正确识别。如果U盘不见了,那请使用“恢复模式”并提供恢复密码。



图7、确认勾选“运行BitLocker系统检查”



图8、恢复模式界面

     临时禁用BitLocker或者解密分区

     有时候出于特殊的原因需要临时禁用或者永久禁用(解密)Bitlocker。打开控制面板的“Bitlocker驱动器加密”,选择“关闭Bitlocker”。在接下来的对话框中,如果选择“解密驱动器”则Bitlocker将会被彻底解除,下次使用的时候需要按上面的步骤再来一次。如果选择“禁用Bitlocker驱动器加密”,将暂时关闭Bitlocker功能,方便下次使用。

     小贴士:如果开启了Bitlocker的Vista无法启动,需要恢复其中的数据;那么可用备份的密钥和http://support.microsoft.com/kb/928201/zh-cn提到的工具来进行修复。这并不意味着可以通过这个工具破解Bitlocker,因为它依然需要密钥;可见保护好密钥的重要性。

     为了给自己留条后路,请一定要保护/备份好密钥,并且放在一个安全的地方。建议准备两个U盘,一个用于保存恢复密钥,一个用于保存启动密钥。U盘最好开启写保护,防止误删除文件。万一文件被错误删除了,尝试使用FinalData恢复,恢复出来的文件不一定能用,最好保存有备份。

     Bitlocker只能在系统启动的时候发挥作用,主要是应对离线破解和笔记本被盗之类可能会引起泄密的事件 。进入系统之后,和EFS一样,所有加密/解密均是实时运行,不再具有保护作用。也就说在这种状态之下无法保护系统免受病毒和黑客的攻击,通常的系统安全策略仍需要继续执行。



图9 禁用BitLocker



图10 设置Bitlocker


相关文章

同类最新