深入挖掘BitLocker系统自带加密功能

为了更好地保护数据安全，Vista以上版本系统自带了功能十分强大的磁盘加密程序――BitLocker，借助这种全新的数据保护机制，用户在不需要第三方专业工具的帮助下，也能将磁盘加密操作做到固若金汤。那么，BitLocker程序究竟与传统的EFS加密功能有什么区别，它是如何对磁盘进行加密保护的，这种程序的加密安全性真的无懈可击吗?相信下面的内容，会让大家更高效地用好BitLocker加密程序!

认识BitLocker程序

为了增强数据文件的安全性。微软公司从Windows 2000系统开始，就针对NTFS格式的磁盘分区提出了EFS加密功能，不过该功能只能对单个文件进行加密，同时无法加密页面文件和休眠文件，黑客可能通过翻看系统页面文件中的数据信息偷窥重要隐私内容。为了避免上述安全麻烦，vista、Windows 7、WindoWS 2008系统特地提出了新的安全保护功能，那就是BitLocker2D密磁盘功能，该功能主要是用来帮助用户防止重要数据对外泄露或抵御数据失窃的；由于该功能在windows7系统中表现得较为成熟。为此本文在这里就以Windows 7系统为蓝本，详细为大家介绍BitLocker程序的前世今生。

BitLocke程序采用卷级加密技术，来保护由数据存储设备丢失引起的数据泄露或恶意失窃行为，在默认状态下，该程序使用支持扩散器的128位加密算法保护数据安全，用户能通过调整系统组策略相关配置将加密密钥扩充到256位。BitLocke程序通过一个内置在计算机中的TPM微芯片，来存储加密信息，如果计算机安装了兼容TPM，那么在TPM已检查启动文件和启动组件的状态后，才能访问这些加密信息；在启动过程中，TPM将释放密钥，该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区，这将验证windows系统启动过程的完整性，要是TPM检测到Windows安装已被篡改，则不会释放密钥。在缺省状态下，BitLocker安装向导配置为与TPM无缝使用，管理员可以使用组策略或脚本启用其他功能和选项，为了增强安全性，可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动密钥组合使用。在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。在这种情况下，用户需要创建一个存储在USB闪存驱动器上的启动密钥。

与旧版本系统中的EFS加密功能一样，BitLocker的加密、解密过程，对终端用户来说都是非常透明的，合法用户在访问加密内容时，根本觉察不到加密功能的存在，无论是加密操作还是解密操作，其实都是在系统后台悄悄进行的。这两种加密功能，对用户的身份进行验证时，都是在登录Windows系统过程中完成的，显然它们的加密密钥都是与用户的登录账号直接绑定在一起的，所以即使有人悄悄将加密内容拷贝到其他位置处，但如果没有登录用户的合法授权，这些被转移到其他地方的加密文件是无法打开的。

与EFS加密功能不一样的是，BitLocker要么对整个磁盘卷进行加密，要么就不进行加密，它的加密灵活性没有EFS功能强，但是加密整个磁盘卷，可以保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件，显然它的加密效率和保护范围都要强于EFS功能。更为重要的是，BitLocker功能可以有效保护系统分区的安全，在操作系统启动运行后，该功能能一直监控系统的运行安全，一旦发现启动配置文件被更改、磁盘发生损坏或BIOS被修改，那么它就会自动锁住系统分区，这个时候必须要用事先准备好的加密密钥才能解锁，通过这种保护方式能避免病毒、木马、恶意程序对系统分区的攻击和破坏，而EFS加密功能只能保护单个文件或文件夹。

BitLocker加密要求

Windows 7系统中的BitLocker功能，对不同的加密内容有不同的加密要求，通常该功能对普通的数据磁盘加密要求不高，凡是Windows 7系统能正常安装工作的环境，都能成功进行数据磁盘分区的加密操作，而要想成功对系统分区进行加密，就必须要求Windows 7系统所在的计算机符合一定的硬件条件，这主要是BitLocker功能在对系统分区进行加密时，需要将加密密钥和解密密钥保存在硬盘之外的独立设备上。

根据独立设备的不同，BitLocker功能主要包含两种工作模式，一种是TPM模式，另外一种是U盘模式。要想让BitLocker功能工作在TPM模式，计算机一定要具备不低于1.2版TPM芯片，这种芯片一般是借助硬件提供的，通常只会出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑不会提供。如果计算机没有TPM芯片，可以使用优盘等USB设备来保存加密密钥和解密密钥，这时BitLocker功能需要工作在U盘模式，而且每次重新启动系统的时候，一定要在开机之前将优盘连接到计算机上。

除了要满足硬件方面的要求外，计算机硬盘还要在分区方面满足一定的要求：首先硬盘至少要保留两个活动分区，一个是操作系统所在的系统分区，另外一个是用来存储解密程序的额外活动分区，该分区必须是NTFS格式，同时处于未加密状态，并且它们的可用空间不能少于1.5GB，要是计算机硬盘不支持两个活动分区，BitLocker功能可以自行创建它们，只是用户必须选择NTFS格式来对它们进行格式化；其次计算机要支持USB设备启动，或者所使用的BIOS与TPM芯片要能相互兼容，否则BitLocker功能将无法正常工作。

在这里需要提醒大家的是，要判断计算机是否支持TPM功能时，可以依次单击“开始”|“控制面板”命令，在弹出的系统控制面板窗口中，双击“系统和安全”图标，在其后界面中点击“BitLocker驱动器加密”选项，弹出如图1所示的管理窗口；在该窗口的左侧列表中，点击“TPM管理”按钮，切换到本地计算机上受信任的平台模块管理窗口，如果窗口中出现了“找不到兼容的TPM”提示时(如图2所示)，那就意味着本地计算机没有TPM芯片。相反，要是本地计算机上受信任的平台模块管理窗口左侧存在一个叫做“安全设备”的节点，该节点往往会显示出“受信任的平台模块”这类的设备，同时我们还能看到它的版本信息。

加密解密数据分区

对于保存了重要数据的磁盘分区，我们可以利用BitLocker程序对其直接进行加密，这样只有合法用户才能访问加密的数据

内容，其他用户在尝试访问加密了的数据分区时，系统往往会弹出“拒绝访问”的提示。在加密数据分区时，可以按照如下步骤来进行：

首先打开Windows 7系统的资源管理器窗口，从中找到保存了重要数据的磁盘分区，用鼠标右键单击目标磁盘分区，从弹出的右键莱单中执行“启用BitLocker”命令，切换到如图3所示的加密设置对话框，在这里BitLocker序为用户提供了两种加密方式，一种是使用密码解锁方式，一种是使用智能卡解锁方式，要是本地计算机没有TPM芯片，那么我们就不能选用智能卡解锁方式，假设在这里我们选择了“使用密码解锁驱动器”选项；

其次输入两遍密码内容，单击“下一步”按钮，弹出如图4所示的设置界面，该界面允许用户选择存储恢复密钥方式，在这里用户可以尝试将恢复密钥保存到优盘中，或者是保存到文件中，需要提醒用户的是，恢复密钥一定要保管好，日后密码一旦忘记了，需要通过它来恢复文件，鉴于它的重要性，我们建议将恢复密钥同时保留多个副本，比方说既将密钥保存到优盘中，又将密钥内容打印出来，再将打印出来的密钥内容放置到不同的安全位置；

选择好存储恢复密钥方式后，继续单击“下一步”按钮，随后加密向导会弹出是否准备加密该驱动器的提示，单击其中的“启动加密”按钮，之后Windows 7系统会自动启动运行BitLocker乖呈序，来对目标磁盘分区执行加密操作，加密过程需要耗费的时间，视目标磁盘分区空间的大小和磁盘文件数量的多少而有所不同，如果磁盘空间大，那么加密过程需要等待的时间就很长(如图5所示)，加密结束后系统会自动弹出“加密已完成”的提示。为了让加密设置生效，我们还需要重新启动Windows 7系统，启动成功后系统还会继续进行剩余的处理操作，处理完毕后，加密过程才算彻底结束。接下来，切换到系统资源管理器窗口，我们就能看到目标磁盘分区圈标上多出了一个小锁标志，这说明该磁盘分区已被成功加密，而普通的磁盘分区则没有小锁标志。

在访问加密了的分区内容时，只要输入事先设置的密码，就能进行访问，要是本地计算机中同时安装了两个操作系统，切换到非Windows 7系统状态中运行的话，用户尝试访问加密磁盘分区中的内容时，系统屏幕上会自动弹出“驱动器不可用”的提示，查看该驱动器的分区格式，会发现已经变成“RAW”格式。即使用户将加密分区所在的硬盘转移到其他安装了Windows 7系统的计算机中，该分区中的内容也不能被直接访问，必须凭事先准备好的备份密钥才能访问，如果手头没有备份密钥，那么用户自己也将不能访问加密内容，显然这种加密特性大大提升了硬盘数据的安全性。

大家知道，通过观察分区图标上的小锁标志(如图6所示)，就能识别出磁盘分区是否被加密了。在访问加密了的磁盘分区内容时，需要经过解密操作，那么解密操作是如何进行的呢?一般来说，用鼠标双击加密了的磁盘分区时，系统首先会弹出密码验证对话框，要求用户输入正确的加密密钥，如果输入的密钥内容不正确，系统就会弹出拒绝使用的错误。当密钥内容输入正确后，BitLocker程序就会自动对目标磁盘分区执行解密操作，解密任务完成后，会自动打开播放窗口，单击“打开文件夹以查看史件”按钮，就能顺利地访问到加密磁盘分区中的数据文件了；在本次登录系统的过程中，用户可以一直很顺畅地访问加密内容，而不要重复输入访问密钥。不过，这种解密特性对不少重要的数据来说，还是存在安全隐患的，例如多个用户使用相同的一台计算机时，如果用户临时离开计算机一段时间，一些恶意用户可能会趁机访问加密内容，那么对磁盘分区进行解密后，有没有办法再次对它加密呢?此时我们发现，从右键莱单中已经无法找到加密命令了，甚至在Windows 7系统中也无法对加密分区进行再次加密了，不过利用DOS命令可以实现再次加密目的。例如，要对F盘执行再次加密时，可以依次单击“开始”|“运行”命令，在系统运行对话框中输入

“cmd”，切换到DOS命令行工作窗口，输入“manage-bde-lock F：”命令，单击回车键后，F盘就能被再次锁定了。此外，如果希望系统开机启动后，系统能自动解锁，可以先用鼠标右键单击目标磁盘分区，点选右键莱单中的

“解锁驱动器”命令，在其后弹出的解锁对话框中，选中

“从现在开始在此计算机上自动解锁”选项，再按“解锁”按钮就能达到目的了。不过，要想享受到自动解锁的便利，必须要求目标磁盘分区已经被BitLocker程序加锁，不然的话自动解锁功能无法生效。

除了通过双击鼠标的方法打开密码验证对话框来解密外，用户还能通过右键菜单中的“解密驱动器”命令，来实现快速解密的目的。

加密解密系统分区

由于系统分区的加密、解密比较特殊，我们必须认真对待，才能避免系统受到病毒、木马的侵害。考虑到系统分区的加密，需要硬件环境的支持，特别是TPM芯片的支持，为此在加密系统分区的时候，一定要查看本地计算机是否存在TPM芯片{要是发现TPM芯片真的存在时，那我们就能放心地对系统分区进行加密操作了。

在进行具体加密操作时，首先打开Windows 7系统的资源管理器窗口，选中操作系统所在的磁盘分区，并用鼠标右键单击该分区图标，从弹出的右键菜单中执行“启用BitLocker”命令，BitLocker程序就能自动扫描本地系统，以识别系统是否满足加密要求；当本地系统满足加密要求后，BitLocker程序将会弹出提示，告诉用户接下来要进行的一些操作，例如准备驱动器、打开TPM、加密驱动器等。如果本地计算机中只有一个操作系统分区，那么BitLocker程序将会通过收缩、创建等操作，来准备好驱动器，当驱动器准备好后，将本地计算机重新启动一下，之后系统会对TPM执行初始化操作，这个过程主要包括移除任何CD或USB驱动器、重新启动计算机系统、打开TPM等环节，有的时候我们需要进入到BIOS配置界面，通过手工方式才能成功启用TPM，并对TPM执行安全硬件初始化操作；初始化操作结束后，剩余的加密设置过程就与普通数据分区的加密过程几乎一样了。

如果本地计算机不支持TPM芯片，那么我们必须插入优盘，才能对系统分区执行加密操作。在利用优盘加密系统分区时，可以依次单击“开始”｜“运行”命令，在弹出的系统运行对话框中，输入“gpedit.rose”命令，单击“确定”按钮后，切换到系统组策略编辑窗口，将

鼠标定位到该窗口左侧列表中的“计算机配置”｜“管理模板”｜“windows组件”｜“BitLocker驱动器加密”、“操作系统驱动器”分支上，用鼠标双击目标分支下的“启动时需要附加身份验证”选项，弹出如图7所示的选项设置框，选中“已启用”选项，再将“没有兼容的TPM时允许BitLocker”复选框勾选起来，最后单击“确定”按钮保存设置操作，这样我们就能借助优盘来加密系统分区了。

在利用优盘加密系统分区时，选中操作系统所在的磁盘分区，并用鼠标右键单击该分区图标，从弹出的右键菜单中执行“启用BitLocker”命令，BitLocker程序就能自动扫描本地系统，扫描结束后，会自动提示用户准备磁盘空间来启用BitLocker程序；之后，按照向导提示设置该程序的启动首选项，对于不支持TPM芯片的计算机来说，一定要选中“每一次启动时要求启动USB密钥”选项，插入需要保存密钥内容的优盘，单击“重试”按钮，切换到保存启动密钥对话框，将优盘选中并导入进来，再按“保存”按钮。当加密向导要求选择恢复密钥的保存位置时，我们可以选择打印保存、文件保存或优盘保存；由于加密密钥比较重要，我们在选择密钥保存位置时，应该多选择几个位置，确保在需要恢复对驱动器的访问时，能够很方便地找到加密密钥。当选择好密钥保存位置后，加密向导会询问用户是否真的要加密系统驱动器，我们应该选择“运行BitLocker检查”选项，同时单击“继续”按钮，加密向导将会重新启动系统，启动后开始正式执行加密操作，加密完成后，日后每次启动系统都要先插入启动优盘，才能保证系统启动正常，如果插入了其他的优盘，那么用户是无法进入到Windows 7系统界面的。

管理BitLoeker程序

要想让BitLocker程序的作用得到切实发挥，我们必须加强对它的有效管理，只有这样才不会出现由于密钥损坏而造成重要内容无法访问的尴尬。

当我们对Windows系统进行在线更新或对病毒库在线更新时，BitLocker程序会错误认为病毒在非法入侵，于是会要求用户输入恢复密钥；为了避免这样的烦恼，我们可以对BitLocker程序执行挂起操作，来临时取消对系统的保护。在进行这种操作时，可以依次单击“开始”｜“控制面板”命令，双击系统控制面板窗口中的“系统和安全”图标，选择其后界面中的“BitLocker驱动器加密”选项，切换到驱动器加密管理界面，选中系统分区当中的“挂起保护”选项，就能实现临时挂起目的。

如果不想对某个磁盘分区进行加密时，可以关闭BitLocker程序，取消对目标磁盘分区的加密保护。在关闭BitLocker程序保护时，可以先打开驱动器加密管理界面，单击目标磁盘分区右侧的“关闭BitLocker”按钮，如图8所示，之后系统会弹出一个确认对话框，单击“解密此卷”按钮，随后系统会自动执行解密操作，同时系统任务栏中会出现一个小图标，点击这个小图标，能看到详细的解密进度，解密操作结束后，之前有小锁标志的磁盘图标上就变成普通的磁盘图标了。

由于加密密钥非常重要，如果被丢失或损坏的话，我们就不能正常进入Windows 7系统，或者无法访问重要数据了，而且密钥内容一旦被丢失，还可能造成重要数据对外泄密的风险。为此，定期备份或修改密钥内容，就显得非常重要了。在修改或备份密钥内容时，可以先打开系统资源管理器窗口，用鼠标右键单击目标磁盘分区，点选右键菜单中的“管理BitLocker”命令，弹出如图9所示的设置对话框，单击其中的“更改用于解锁驱动器的密码”按钮，来修改密钥内容，单击“再次保存或打印恢复密钥”按钮，来备份密钥内容。