■ 威海職業(yè)學(xué)院 趙永華

編者按：對(duì)SSD的加密是必不可少的，而且采用硬件加密的方式要比軟件加密形式更為有效，一般來(lái)說(shuō)，Windows系統(tǒng)中并未對(duì)SSD進(jìn)行真正的加密工作，我們需要進(jìn)行設(shè)置。

有些SSDs廠商宣稱其產(chǎn)品支持“硬件加密”，但是在使用時(shí)能有多少用戶真的采取“硬加密”呢？

我們相信更多的用戶在Windows 10中會(huì)啟用BitLocker，這些用戶天真地認(rèn)為每當(dāng)他們將文件存放到SSD時(shí)，BitLocker就會(huì)對(duì)其進(jìn)行加密。其實(shí)根本不是這樣。事實(shí)是，BitLocker對(duì)于自稱支持硬件加密的SSD就不會(huì)做任何加密工作！

不可否認(rèn)，硬件加密方式要比軟件方式更快，SSD若真的采用了硬件加密當(dāng)然性能會(huì)更好。在新款Mac中專門植入了T2安全芯片，它對(duì)Mac自帶的SSD確實(shí)采用了硬件加密，所以對(duì)于它BitLocker之類的工具確實(shí)純屬多余無(wú)用之物。

可是Windows PC從來(lái)沒(méi)有提供類似技術(shù)，廠商們的廣告僅僅是促銷用語(yǔ)而已。所以，為了讓BitLocker 對(duì)SSD真的進(jìn)行加密，需要進(jìn)行組策略設(shè)置。

具體方法是，運(yùn)行組策略編輯程序“gpedit.msc”，找到以下內(nèi)容：

Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption

然后雙擊右側(cè)面板選項(xiàng) “Configure use of hardware-based encryption for fixed data drives”，選擇“Disabled”后點(diǎn)擊“OK”，如此BitLocker便會(huì)真的對(duì)SSD加密了。

當(dāng)然也可棄用BitLocker，比如采用開(kāi)源的VeraCrypt，它不像BitLocker會(huì)對(duì)SSD廠商的廣告信以為真，它對(duì)SSD一律加密。

SSD下載地址為：https://archive.codeplex.com/ ?p=veracrypt

下載安裝之后，點(diǎn)擊菜 單“System”→“Encrypt System Partition/Drive啟用機(jī)密運(yùn)行”。

此時(shí)，程序會(huì)詢問(wèn)您是要使用正常方式“Normal”還是隱藏系統(tǒng)的“Hidden”加密方式。此處“Normal”選項(xiàng)會(huì)正常加密系統(tǒng)分區(qū)或驅(qū)動(dòng)器，啟動(dòng)機(jī)器時(shí)用戶必須提供加密密碼才能訪問(wèn)，若沒(méi)有密碼任何人都無(wú)法訪問(wèn)你的文件。

另一種“Hidden”選項(xiàng)則會(huì)在隱藏的VeraCrypt卷中創(chuàng)建操作系統(tǒng)，此時(shí)用戶將擁有一個(gè)隱藏的“真實(shí)”操作系統(tǒng)和一個(gè)“替身”操作系統(tǒng)。當(dāng)啟動(dòng)PC時(shí)，用戶可以輸入真實(shí)密碼來(lái)啟動(dòng)隱藏的操作系統(tǒng),或輸入替身操作系統(tǒng)的密碼來(lái)啟動(dòng)替身操作系統(tǒng)。如果某人強(qiáng)迫用戶提供對(duì)加密驅(qū)動(dòng)器的訪問(wèn)權(quán)限（例如敲詐勒索），用戶可以向他們提供替身操作系統(tǒng)的密碼，他們根本不應(yīng)該知道隱藏的操作系統(tǒng)。

用戶還可以進(jìn)一步選擇是“加密Windows系統(tǒng)分區(qū)”還是“加密整個(gè)驅(qū)動(dòng)器”。如果Windows系統(tǒng)分區(qū)是驅(qū)動(dòng)器上的唯一分區(qū)，則兩種選項(xiàng)基本相同。如果我們只想加密Windows系統(tǒng)分區(qū)并單獨(dú)保留驅(qū)動(dòng)器的其余部分，則選擇“加密Windows系統(tǒng)分區(qū)”。如果你有多個(gè)具有敏感數(shù)據(jù)的分區(qū)——例如，C：處的系統(tǒng)分區(qū)和D處的文件分區(qū)，那么就選擇“加密整個(gè)驅(qū)動(dòng)器”以確保所有Windows分區(qū)都已加密。

VeraCrypt會(huì)要求選擇加密類型，雖有多種選擇但建議使用默認(rèn)的AES加密。AES加密和SHA-256哈希算法都是可靠的加密方案，然后需要輸入密碼，要求至少20個(gè)以上的混合型字符（即大小寫(xiě)字母和數(shù)字及符號(hào)）。

VeraCrypt向?qū)Чぞ咭笊梢粋€(gè)緊急救援盤，以防文件損壞時(shí)用它進(jìn)行引導(dǎo)。VeraCrypt在加密驅(qū)動(dòng)器之前會(huì)進(jìn)行驗(yàn)證工作，單擊“Test”，VeraCrypt將 在PC上安裝VeraCrypt引導(dǎo)程序并重新啟動(dòng)。用戶必須在引導(dǎo)時(shí)輸入加密密碼。