域環境下如何保護重要資料文件的安全(三)---BitLocker(上)

之所以把BitLocker放在最後爲大家介紹，一是因爲這項技術相對EFS、RMS出現的較晚，從Vista企業版和終極版中才有的，遺憾的是由於Vista在我國的市場佔有率並不高，加上BitLocker在Vista中的用戶體驗及使用都不是很好，所以實際應用過它的朋友也比較少。另一方面，設計它的主要目的是對整個磁盤進行加密，這包括了操作系統分區，存放資料的數據分區等，使得即使計算機或者計算機磁盤丟失後上面的數據也不會被惡意分子破解出來，這個初衷點和EFS、RMS等方案有些差別。

BitLocker是如此的不同，所以微軟爲了讓更多人瞭解它使用它，也在後續的操作系統（Win7，Windows server 2008 R2）中對它進行了改進，我這裏要爲大家介紹的也是基於Windows 7系統之上改良過的BitLocker及嶄新的BitLocker To Go.

我們還是先看一下BitLocker的一些概念知識。

在Vista之前的操作系統中，我們對數據加密的常規方法就是使用EFS，我前面的文章中也詳細介紹過了它的優勢和不足，其中比較明顯的幾個弱勢之處有：EFS無法加密系統文件；對用戶加密私鑰依賴性極強，如果發生未導出保存或沒有恢復代理的情況，很有可能發生無法打開加密文件的事件，同時，如果發生計算機、計算機磁盤被盜竊/丟失的情況，惡意之徒可以將磁盤掛載到其他計算機上並使用工具搜索用戶密鑰從而破解。而說到AD RMS，其侷限性是顯而易見的，目前支持其API開發出的軟件還是比較少的，很多格式的數據文件皆不能應用它。

那麼，來看看BitLocker是怎樣爲我們服務的。

BitLocker會將Windows的安裝分區或者其他用於保存文件的分區進行加密，並將密鑰保存在磁盤之外的地方。這樣，要想啓動Windows或者讀取保存在計算機中的文件，就必須先提供密鑰，隨後引導程序纔會使用提供的密鑰解密系統文件，並加載和運行Windows，供我們讀取文件。這樣的過程，就完全避免了惡意之徒利用WinPE或者將磁盤掛載到別的計算機上讀取資料的可能。

上面說到BitLocker會將密鑰保存在磁盤之外的地方，那麼具體是什麼地方呢？

一是存放在TPM上。說到TPM，它的全名是Trusted Platform Module，是一種硬件芯片，在安全性要求比較高的臺式機/工作站/筆記本上基本都會有。以筆者的工作電腦HP compaq dc7800p（系統爲win7旗艦版）來說，打開設備管理器，可以看到

這裏的安全設備---受信任的平臺模塊1.2便是TPM1.2了。1.2版本也是對於TPM的最低版本要求。

默認情況下，使用BitLocker會要求使用TPM模式。

那如果你的計算機是家用級別的臺式/筆記本的話，是不是就不能體驗和使用BitLocker了呢？

當然不會，你還可以選擇將密鑰放在U盤上，然後在每次啓動系統的時候必須在開機之前將U盤連接到計算機上才能進入系統。

WOW~，這麼強大的BitLocker~爲什麼就沒有火起來呢？爲什麼呢？這是爲什麼呢？…

這個，就得回顧一下在Vista中的BitLocker了。

1. BitLocker只在Windows Vista企業版和旗艦版中提供給用戶。這個蠻要命的。畢竟連微軟自己都承認Vista在中國的失敗，可以想象一下有多少用戶通過合法手段使用着E版和U版的Vista了。拿筆者自己的軟硬件來說，購買的上萬元的Dell Studio XPS 9000也選擇的是Home Premium版本，要選擇升級到Ultimate得加1119塊錢…

所以，也就無緣得用BitLocker了…
至於說有多少企業採購了Vista企業版/旗艦版，我手頭並沒有相關數據，不過在論壇當版主這麼久，看到網友問題中描述的企業環境，Vista基本不會被選擇用在客戶端。

2. 要在Vista E/U上使用BitLocker，計算機磁盤上必須至少兩個活動分區。爲什麼呢？原因很簡單，源於其工作原理，BitLocker功能在將操作系統或者機密數據所在的硬盤分區進行加密後，在啓動系統的時候，我們必須提供解密的密鑰，來解密原本被加密的文件，這樣才能啓動操作系統或者讀取機密文件。但這就有一個問題，用於解密的密鑰可以保存在TPM芯片或者U盤中，但是解密程序應該放在哪裏？難道就放在系統盤嗎？可是系統盤已經被加密了，這就導致了一種很矛盾的狀態：因爲用於解密的程序被加密了，因此無法運行，導致無法解密文件。所以要想使用BitLocker功能，就需要這麼一個單獨的活動分區存放BitLocker的解密程序，並且微軟建議此分區空間大小爲1.5G。
可能有人會說，這沒有什麼不方便啊，現在硬盤都這麼大，隨便劃個分區讓它用唄~
那我只能說你沒有仔細看上面的文字，這裏要求的是“活動分區”！
何謂“活動分區”？
活動分區就是計算機的啓動分區，一般大家安裝操作系統的C盤就是活動分區。

而後面的主分區、擴展分區都不能再設置爲“活動分區”。

問題出現了，在分區設置已經完成的Vista系統之上，我們怎麼樣爲BitLocker劃出它要用的那塊活動分區？而且這個活動分區要位於C盤的前面而優先被加載！

答案可能讓你難以接受，這就是：需要重新安裝操作系統，在安裝系統之時進入WinRE環境使用diskpart命令重新劃分分區並激活活動分區。

如果你的企業中的計算機在大規模部署安裝Vista企業版/旗艦版的初始並沒有想到過使用BitLocker，那麼情形可能會比較囧，要使用BitLocker還得重做系統重新分區？~Oh，No~

3. 第三點是接着上面第二點說的。

考慮到第二點的尷尬情景，微軟特別開發了一個叫做“BitLocker和EFS增強”的工具，這個工具是作爲Windows Vista Ultimate Extras提供給用戶的，也就是通過Vista Ultimate的自動更新獲得的，如果是Vista Enterprise版本則需要聯繫微軟獲得此工具，除此之外你找不到下載它的地方

。。。

使用這個工具，可以自動收縮現有的系統分區（一般爲C：），然後將擠出來的空間設定爲供BitLocker使用的磁盤驅動器。當然，要能擠出那1.5G來，你的C盤本身還需要剩餘比較大的空間纔可以~

這種方式比我們重新劃分分區再重新安裝Vista是省事了些，不過對於用戶來說，都是不太可能讓他們直接操作的，用戶好感度極低~

正因爲以上的種種因素，微軟在windows7中對BitLocker進行了改進，改進後的BitLocker操作變得十分簡單，也不用去管那個活動分區的事了，用戶自己就能輕鬆完成加密操作。

由此開始，我會爲大家邊演示邊講解如何在windows 7中應用BitLocker。

因爲試驗計算機上擁有TPM1.2芯片，所以我們先一起看一下有TPM時的BitLocker加密解密等操作過程。

這是我的計算機的一些信息，安裝的是中文Win7 RTM旗艦版。

第一次想要啓用BitLocker的話可以直接在要加密的磁盤分區上右鍵，選擇“啓用BitLocker”，也可以在控制面板中進行操作。

這裏我選擇到控制面板中設定BitLocker，這樣更直觀一些。

因爲這次演示過程我是在物理機器上直接操作的，所以暫時不選擇加密系統分區，因爲加密後啓動時不方便截圖看效果，所以我後面會用虛擬機來演示加密系統分區的效果，這裏我選擇加密數據分區D盤。

當點擊“啓用BitLocker”後，會提示“選擇希望解鎖此驅動器的方式”

這裏有三種方式供我們選擇，

1．使用密碼解鎖。選擇此解密方式，我們在要訪問此分區時會要輸入符合複雜性要求的密碼才能繼續。

2．使用智能卡解鎖。智能卡在當今安全性要求較高的企業中應用的越來越多，不止是***等等身份認證才能用到，BitLocker也可以使用智能卡作爲解鎖方式。

3．在計算機上自動解鎖此驅動器。要使用此方式必須先加密系統分區。

因爲我只想加密D盤這個數據分區，而手頭也沒有SmartCard，所以我選擇第一項，使用密碼加解密。這裏我輸入了一串包含大小寫字母符號等的複雜密碼。

點擊下一步後會提示希望如何存儲恢復密碼。

恢復密碼這個概念在BitLocker中非常重要！

關於恢復密碼的重要性，微軟官網上有極其詳細的描述：

在計算機啓動過程中，BitLocker 驅動器加密可以檢測到阻止其對安裝了 Windows 的驅動器或該計算機上任何其他 BitLocker 加密驅動器進行解鎖的情況。例如，這些情況可能包括磁盤錯誤、對基本輸入/輸出系統 (BIOS) 的更改或對任何啓動文件的更改。如果發生了此類情況之一，將不能登錄和訪問受保護的文件，直到使用 BitLocker 恢復密碼解除對該驅動器的鎖定。如果嘗試啓動其他計算機上的硬盤，則仍需要 BitLocker 恢復密碼。

應通過打印或者將其作爲數據文件存儲在可移動介質或文件夾中的方式存儲恢復密碼。將恢復密碼存儲在計算機以外的位置。

如果您對其他數據驅動器進行了加密，則每個驅動器都有其自己的恢復密碼，這些密碼與安裝了 Windows 的驅動器的密碼都不同，應妥善保存。

只有在第一次打開 BitLocker 時，纔可以創建此恢復密碼。在創建恢復密碼之後，可以使用 BitLocker 管理密鑰功能製作其他副本。

· 如果計算機是域的一部分，域策略可能會控制可用的恢復密碼選項。

· （注：這句的意思就是可以將恢復密碼存儲在AD中）

我這裏選擇將恢復密碼保存到本地磁盤上，然後會打開它讓大家看看裏面到底是什麼內容。