浅析Windows7系统下的BitLocker驱动器加密

摘 要：伴随着网络的快速发展，电脑应用越来越广泛，隐私安全问题也越来越突出。本文主要阐述Windows7旗舰版下本地硬盘的BitLocker加密功能。

关键词：windows7系统；分区；bitlocker加密

中图分类号：TP316.7

BitLocker是Windowsvista和Windows7所引入的一个新功能，其全称是BitLocker驱动器加密（BitLockerDriveEncryption）。BitLocker可以对整个Windows分区进行加密，经过BitLocker加密，即使计算机丢失，所保存的资料也不会泄露。Windows7系统中，BitLocker加密只可用于Windows7旗舰版与Windows7专业版。

1 BitLocker加密对磁盘的分区要求

1.1 系统保留分区

Windows7在安装时就会默认创建好BitLocker所需100MB空间的系统保留分区。系统保留分区的功能是引导计算机，该分区必须标记为活动并不能被加密。

1.2 Windows系统分区

Windows系统分区用来安装Windows7系统文件，里面保存有操作系统、休眠文件、页面文件、机密数据与临时文件等，可以对该分区进行全卷加密。

1.3 除Windows系统分区以外的其他数据分区

这类分区相对独立，里面保存有用户各种资料，可以对这类分区全卷加密。

2 BitLocker加密模式

2.1 TPM模式

要求计算机的主板带有1.2版本的TPM芯片，系统会将解锁磁盘所需的根密钥存放在TPM芯片里。TPM模式还另外支持系统启动部件的完整性检测，可以实现最高等级的安全保护措施。设置BitLocker加密时，系统会把主引导记录（MBR），NTFS卷的引导扇区与引导代码、以及BitLocker密钥做成一个“快照”存放在TPM芯片里。每次系统启动时会自动与TPM芯片里的快照进行比较，当检测到这些启动部件没有变化才会继续解密过程。

2.2 USB闪盘模式

假如主板不带TPM芯片，那可以使用USB闪盘。可以将解锁磁盘所需的密钥放在USB闪盘里。计算机BIOS③支持USB启动，USB闪盘模式才可以加密解锁Windows分区。

3 纯TPM模式对Windows系统分区进行BitLocker加密

3.1 初始化TPM

用这种方法对Windows系统分区加密后，用户访问计算机时非常方便，不需要额外的操作。假如是第一次进行操作，首先必须初始化TPM，以获得TPM芯片的控制权。在开始菜单的搜索框中输入“tpm.msc”后按回车打开TPM管理窗口；其次，在该窗口的右侧操作窗格中单击“初始化TPM”链接就可打开“初始化TPM安全硬件”对话窗口；再次，单击“自动创建密码（推荐）”链接，在接下来的对话框中会显示TPM所有者的密码，单击“保存密码”链接；接着，指定密码保存的路径，应该将其保存在移动硬盘或者USB闪盘等移动介质上，便于今后安全访问。最后，显示TPM初始化完成，点击“关闭”按钮即可。

3.2 实现TPM的BitLocker加密，TPM芯片初始化完成就可以开始对系统分区进行加密了

（1）在“开始”菜单的搜索框中输入“BitLocker驱动器加密”回车，进入BitLocker驱动器加密控制面板窗口，可以看到其列出的所有可加密的磁盘分区。

（2）单击Windows系统分区一栏的“启用BitLocker”链接，系统会自动开始检查计算机是否满足要求，然后会提示开始准备启用BitLocker加密。单击“下一步”按钮，接下来系统会进行一些准备工作，例如将Windows恢复环境迁移。

（3）单击“下一步”按钮，出现对话框提示用户保存恢复密码。最好不要把恢复密码保存在本地计算机上，以免计算机丢失后被他人轻易获取恢复密码。这里选择“将恢复密码保存到USB闪存驱动器”选项，然后插入USB闪存，选择保存位置点击“保存”按钮。

（4）保存以后会弹出新的对话框，在对话框中选中“运行BitLocker系统检查”复选框，确保系统能够正常支持BitLocker加密。

（5）单击“继续”按钮，提示必须重新启动计算机，单击“现在重启动”按钮。

（6）计算机重新启动后，如果检查没有问题，系统就会自动开始加密进程。

根据计算机性能，加密分区数据量的大小，整个加密过程需要花费一定时间。加密完成后几乎感觉不到BitLocker的存在，使用过程中没有额外的操作，也不会感觉到计算机性能的损失。如果拆下该硬盘安装在其他计算机上访问，会提示分区尚未格式化的错误消息。

3.3 对其他数据分区的加密

对除Windows系统分区的其他数据分区加密时，系统会提示用户选择一个解锁驱动器的方式，如果选中“使用密码解锁驱动器”复选框，则要在此输入密码，今后每次访问此驱动器都要输入该密码；如果选中“在此计算机上自动解锁此驱动器”，则可以直接访问该驱动器。

点击“下一步”按钮进入“您希望如何存储恢复密钥”页面，这个恢复密钥很重要，一旦用户忘记解锁密码就需要用它来访问驱动器，可以选择将其保存在USB闪存文件中，也可以直接将其打印出来。恢复密钥保存后点击“下一步”按钮系统会提示开始驱动器加密，单击“启动加密”按钮即可。加密完成后今后如果再访问这个驱动器，就会弹出对话框提示输入解锁密码，如果不希望每次访问该驱动器时都要输入解锁密码，可以该对话框中选中“从现在开始在此计算机上自动解锁”复选框。

4 USB闪盘加密

Windows7默认不支持USB闪盘方式的BitLocker加密，需要在组策略里启用相应设置。在“开始”菜单的搜索框中输入“gpedit.msc”后按回车键，打开“本地组策略编辑器”。在左侧的控制台树里面定位到“计算机配置”―“管理模板”―“Windows组件”―“BitLocker驱动器加密”―“操作系统驱动器”，在右侧双击“启动时需要附加身份验证”策略项，在打开的对话框中确保选中“已启用”选项，确保选中“没有兼容的TPM时允许BitLocker（在USB闪存驱动器上需要启动密钥）”复选框。准备就绪后就可以开始加密过程了。首先，在“开始”菜单搜索框中输入“BitLocker驱动器加密”，打开对话框提示计算机似乎没有配备TPM芯片，选择“每次启动时要求启动USB密钥”选项。其次，插入USB闪盘，选中该闪盘的某个分区盘符后单击“保存”按钮，即可把密钥保存在USB闪盘里。再次，指定保存一个48位数字的恢复密码，有“保存在USB闪盘”、“保存在文件”或者“打印”3种方式可选。任选一种保存完毕后出现一个对话框，询问是否要进行系统检测，推荐进行这个检测。最后，单击“继续”按钮，系统会提示重新启动，重新启动后会自动进行系统检测。假如检测时发现无法从USB闪存中读取启动密码或者恢复密钥，就会出现报警消息，这样只能放弃BitLocker加密。如果没有发现问题就可以开始加密Windows分区。

5 BitLocker加密方式的恢复

可靠的恢复方法对一个加密方案来说非常重要。BitLocker提供了非常可靠且方便的恢复手段。当出现以下情况，Windows分区就无法解密：（1）TPM芯片出现故障；（2）硬盘拆卸后被挂接到其他计算机上；（3）启动PIN遗忘；（4）启动USB密钥损坏。

这时候若尝试启动计算机，计算机会被锁定，提示你插入密钥存储媒体或者为该驱动器输入恢复密钥，这时候你只要插入保存有恢复密码的USB闪存或者手动输入48位数字的恢复密码，计算机就会顺利启动。

参考文献：

[1]吴丽.浅析Windows系统安全防护[J].计算机光盘软件与应用，2012，1.