摘 要：伴隨著網(wǎng)絡(luò)的快速發(fā)展，電腦應(yīng)用越來越廣泛，隱私安全問題也越來越突出。本文主要闡述Windows7旗艦版下本地硬盤的BitLocker加密功能。

關(guān)鍵詞：windows7系統(tǒng)；分區(qū)；BitLocker加密

中圖分類號(hào)：TP316.7

BitLocker是Windowsvista和Windows7所引入的一個(gè)新功能，其全稱是BitLocker驅(qū)動(dòng)器加密（BitLockerDriveEncryption）。BitLocker可以對(duì)整個(gè)Windows分區(qū)進(jìn)行加密，經(jīng)過BitLocker加密，即使計(jì)算機(jī)丟失，所保存的資料也不會(huì)泄露。Windows7系統(tǒng)中，BitLocker加密只可用于Windows7旗艦版與Windows7專業(yè)版。

1 BitLocker加密對(duì)磁盤的分區(qū)要求

1.1 系統(tǒng)保留分區(qū)

Windows7在安裝時(shí)就會(huì)默認(rèn)創(chuàng)建好BitLocker所需100MB空間的系統(tǒng)保留分區(qū)。系統(tǒng)保留分區(qū)的功能是引導(dǎo)計(jì)算機(jī)，該分區(qū)必須標(biāo)記為活動(dòng)并不能被加密。

1.2 Windows系統(tǒng)分區(qū)

Windows系統(tǒng)分區(qū)用來安裝Windows7系統(tǒng)文件，里面保存有操作系統(tǒng)、休眠文件、頁面文件、機(jī)密數(shù)據(jù)與臨時(shí)文件等，可以對(duì)該分區(qū)進(jìn)行全卷加密。

1.3 除Windows系統(tǒng)分區(qū)以外的其他數(shù)據(jù)分區(qū)

這類分區(qū)相對(duì)獨(dú)立，里面保存有用戶各種資料，可以對(duì)這類分區(qū)全卷加密。

2 BitLocker加密模式

2.1 TPM模式

要求計(jì)算機(jī)的主板帶有1.2版本的TPM芯片，系統(tǒng)會(huì)將解鎖磁盤所需的根密鑰存放在TPM芯片里。TPM模式還另外支持系統(tǒng)啟動(dòng)部件的完整性檢測(cè)，可以實(shí)現(xiàn)最高等級(jí)的安全保護(hù)措施。設(shè)置BitLocker加密時(shí)，系統(tǒng)會(huì)把主引導(dǎo)記錄（MBR），NTFS卷的引導(dǎo)扇區(qū)與引導(dǎo)代碼、以及BitLocker密鑰做成一個(gè)“快照”存放在TPM芯片里。每次系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)與TPM芯片里的快照進(jìn)行比較，當(dāng)檢測(cè)到這些啟動(dòng)部件沒有變化才會(huì)繼續(xù)解密過程。

2.2 USB閃盤模式

假如主板不帶TPM芯片，那可以使用USB閃盤?？梢詫⒔怄i磁盤所需的密鑰放在USB閃盤里。計(jì)算機(jī)BIOS③支持USB啟動(dòng)，USB閃盤模式才可以加密解鎖Windows分區(qū)。

3 純TPM模式對(duì)Windows系統(tǒng)分區(qū)進(jìn)行BitLocker加密

3.1 初始化TPM

用這種方法對(duì)Windows系統(tǒng)分區(qū)加密后，用戶訪問計(jì)算機(jī)時(shí)非常方便，不需要額外的操作。假如是第一次進(jìn)行操作，首先必須初始化TPM，以獲得TPM芯片的控制權(quán)。在開始菜單的搜索框中輸入“tpm.msc”后按回車打開TPM管理窗口；其次，在該窗口的右側(cè)操作窗格中單擊“初始化TPM”鏈接就可打開“初始化TPM安全硬件”對(duì)話窗口；再次，單擊“自動(dòng)創(chuàng)建密碼（推薦）”鏈接，在接下來的對(duì)話框中會(huì)顯示TPM所有者的密碼，單擊“保存密碼”鏈接；接著，指定密碼保存的路徑，應(yīng)該將其保存在移動(dòng)硬盤或者USB閃盤等移動(dòng)介質(zhì)上，便于今后安全訪問。最后，顯示TPM初始化完成，點(diǎn)擊“關(guān)閉”按鈕即可。

3.2 實(shí)現(xiàn)TPM的BitLocker加密，TPM芯片初始化完成就可以開始對(duì)系統(tǒng)分區(qū)進(jìn)行加密了

（1）在“開始”菜單的搜索框中輸入“BitLocker驅(qū)動(dòng)器加密”回車，進(jìn)入BitLocker驅(qū)動(dòng)器加密控制面板窗口，可以看到其列出的所有可加密的磁盤分區(qū)。

（2）單擊Windows系統(tǒng)分區(qū)一欄的“啟用BitLocker”鏈接，系統(tǒng)會(huì)自動(dòng)開始檢查計(jì)算機(jī)是否滿足要求，然后會(huì)提示開始準(zhǔn)備啟用BitLocker加密。單擊“下一步”按鈕，接下來系統(tǒng)會(huì)進(jìn)行一些準(zhǔn)備工作，例如將Windows恢復(fù)環(huán)境遷移。

（3）單擊“下一步”按鈕，出現(xiàn)對(duì)話框提示用戶保存恢復(fù)密碼。最好不要把恢復(fù)密碼保存在本地計(jì)算機(jī)上，以免計(jì)算機(jī)丟失后被他人輕易獲取恢復(fù)密碼。這里選擇“將恢復(fù)密碼保存到USB閃存驅(qū)動(dòng)器”選項(xiàng)，然后插入U(xiǎn)SB閃存，選擇保存位置點(diǎn)擊“保存”按鈕。

（4）保存以后會(huì)彈出新的對(duì)話框，在對(duì)話框中選中“運(yùn)行BitLocker系統(tǒng)檢查”復(fù)選框，確保系統(tǒng)能夠正常支持BitLocker加密。

（5）單擊“繼續(xù)”按鈕，提示必須重新啟動(dòng)計(jì)算機(jī)，單擊“現(xiàn)在重啟動(dòng)”按鈕。

（6）計(jì)算機(jī)重新啟動(dòng)后，如果檢查沒有問題，系統(tǒng)就會(huì)自動(dòng)開始加密進(jìn)程。

根據(jù)計(jì)算機(jī)性能，加密分區(qū)數(shù)據(jù)量的大小，整個(gè)加密過程需要花費(fèi)一定時(shí)間。加密完成后幾乎感覺不到BitLocker的存在，使用過程中沒有額外的操作，也不會(huì)感覺到計(jì)算機(jī)性能的損失。如果拆下該硬盤安裝在其他計(jì)算機(jī)上訪問，會(huì)提示分區(qū)尚未格式化的錯(cuò)誤消息。

3.3 對(duì)其他數(shù)據(jù)分區(qū)的加密

對(duì)除Windows系統(tǒng)分區(qū)的其他數(shù)據(jù)分區(qū)加密時(shí)，系統(tǒng)會(huì)提示用戶選擇一個(gè)解鎖驅(qū)動(dòng)器的方式，如果選中“使用密碼解鎖驅(qū)動(dòng)器”復(fù)選框，則要在此輸入密碼，今后每次訪問此驅(qū)動(dòng)器都要輸入該密碼；如果選中“在此計(jì)算機(jī)上自動(dòng)解鎖此驅(qū)動(dòng)器”，則可以直接訪問該驅(qū)動(dòng)器。

點(diǎn)擊“下一步”按鈕進(jìn)入“您希望如何存儲(chǔ)恢復(fù)密鑰”頁面，這個(gè)恢復(fù)密鑰很重要，一旦用戶忘記解鎖密碼就需要用它來訪問驅(qū)動(dòng)器，可以選擇將其保存在USB閃存文件中，也可以直接將其打印出來?；謴?fù)密鑰保存后點(diǎn)擊“下一步”按鈕系統(tǒng)會(huì)提示開始驅(qū)動(dòng)器加密，單擊“啟動(dòng)加密”按鈕即可。加密完成后今后如果再訪問這個(gè)驅(qū)動(dòng)器，就會(huì)彈出對(duì)話框提示輸入解鎖密碼，如果不希望每次訪問該驅(qū)動(dòng)器時(shí)都要輸入解鎖密碼，可以該對(duì)話框中選中“從現(xiàn)在開始在此計(jì)算機(jī)上自動(dòng)解鎖”復(fù)選框。

4 USB閃盤加密

Windows7默認(rèn)不支持USB閃盤方式的BitLocker加密，需要在組策略里啟用相應(yīng)設(shè)置。在“開始”菜單的搜索框中輸入“gpedit.msc”后按回車鍵，打開“本地組策略編輯器”。在左側(cè)的控制臺(tái)樹里面定位到“計(jì)算機(jī)配置”—“管理模板”—“Windows組件”—“BitLocker驅(qū)動(dòng)器加密”—“操作系統(tǒng)驅(qū)動(dòng)器”，在右側(cè)雙擊“啟動(dòng)時(shí)需要附加身份驗(yàn)證”策略項(xiàng)，在打開的對(duì)話框中確保選中“已啟用”選項(xiàng)，確保選中“沒有兼容的TPM時(shí)允許BitLocker（在USB閃存驅(qū)動(dòng)器上需要啟動(dòng)密鑰）”復(fù)選框。準(zhǔn)備就緒后就可以開始加密過程了。首先，在“開始”菜單搜索框中輸入“BitLocker驅(qū)動(dòng)器加密”，打開對(duì)話框提示計(jì)算機(jī)似乎沒有配備TPM芯片，選擇“每次啟動(dòng)時(shí)要求啟動(dòng)USB密鑰”選項(xiàng)。其次，插入U(xiǎn)SB閃盤，選中該閃盤的某個(gè)分區(qū)盤符后單擊“保存”按鈕，即可把密鑰保存在USB閃盤里。再次，指定保存一個(gè)48位數(shù)字的恢復(fù)密碼，有“保存在USB閃盤”、“保存在文件”或者“打印”3種方式可選。任選一種保存完畢后出現(xiàn)一個(gè)對(duì)話框，詢問是否要進(jìn)行系統(tǒng)檢測(cè)，推薦進(jìn)行這個(gè)檢測(cè)。最后，單擊“繼續(xù)”按鈕，系統(tǒng)會(huì)提示重新啟動(dòng)，重新啟動(dòng)后會(huì)自動(dòng)進(jìn)行系統(tǒng)檢測(cè)。假如檢測(cè)時(shí)發(fā)現(xiàn)無法從USB閃存中讀取啟動(dòng)密碼或者恢復(fù)密鑰，就會(huì)出現(xiàn)報(bào)警消息，這樣只能放棄BitLocker加密。如果沒有發(fā)現(xiàn)問題就可以開始加密Windows分區(qū)。

5 BitLocker加密方式的恢復(fù)

可靠的恢復(fù)方法對(duì)一個(gè)加密方案來說非常重要。BitLocker提供了非常可靠且方便的恢復(fù)手段。當(dāng)出現(xiàn)以下情況，Windows分區(qū)就無法解密：（1）TPM芯片出現(xiàn)故障；（2）硬盤拆卸后被掛接到其他計(jì)算機(jī)上；（3）啟動(dòng)PIN遺忘；（4）啟動(dòng)USB密鑰損壞。

這時(shí)候若嘗試啟動(dòng)計(jì)算機(jī)，計(jì)算機(jī)會(huì)被鎖定，提示你插入密鑰存儲(chǔ)媒體或者為該驅(qū)動(dòng)器輸入恢復(fù)密鑰，這時(shí)候你只要插入保存有恢復(fù)密碼的USB閃存或者手動(dòng)輸入48位數(shù)字的恢復(fù)密碼，計(jì)算機(jī)就會(huì)順利啟動(dòng)。

參考文獻(xiàn)：

[1]吳麗.淺析Windows系統(tǒng)安全防護(hù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，1.