Win7安全工具 Windows BitLocker

那年闹得鸡飞狗跳，娱乐圈人人自危的艳照门，着实成了街头巷尾的热议，一切皆源于一个送去修理的笔记本电脑，由于硬盘数据被人窃取，终于演变成了一个娱乐圈的超级地震。本文主要介绍Win7的一个安全功能 -- Windows BitLocker。这个功能用于对驱动器加密，是一种全新的安全功能，该功能通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。如果冠希能早点用上Win7,就不至于要弄到远走美国，退出娱乐圈的下场。至于他利用这个事件提高知名度，重又杀回香港娱乐圈那是后话。

凡是试用过win7 RC版的用户都能感觉到，Win7为用户提供了更高的可用性，更流畅的界面，同时也提供了更高的安全性。计算机界，对于计算机安全的讨论很早就已经包括了加密整个操作系统。据统计，每天都有几千台手提电脑在机场或车站失窃，这些计算机硬盘里面的各种数据不需要任何专用设备即可直接读取;而人们现在越来越多的使用U盘进行数据存储和转移，但是一旦遗失，里面的数据也是不设防的。要想使用好Bitlocker的功能，需要了解三个方面的内容：

1、Win7和Vista中Bitlocker功能的区别

早在Vista中就已经集成了Bitlocker的功能，但是由于没有一个很好的安装机制，一直没有得到广泛的应用。大部分的用户会将系统装在第一个活动分区中(C盘)。而Bitlocker需要在系统安装的时候产生至少两个格式化成NTFS卷，一个卷用于安装被加密的操作系统，另一个卷用来启动计算机并且大小不小于1.5GB。如果在windows安装完以后在扩展卷，系统需要重新安装。这个限制导致Bitlocker功能无法大规模的推广。我的Vista SP2 Enterprise就无法启动该功能，并提示我进行重新分区。但是在Win7的安装过程中，会自动产生一个100M的隐藏磁盘，用来保存启动管理器等文件，用户不需要重新分区和格式化。大大方便了这个功能的推广。安装完系统之后，可以直接对计算机中的磁盘进行加密，而不需要其他操作。下面一张图是我的Vista上的截图，可以清楚的看到无法进行磁盘加密，并提示重新分区。

2、如何启动Bitlocker功能加密磁盘

注意：win7对于加密系统盘和数据盘的硬件要求是不一样的，对于安装了操作系统的分区来说，需要将密钥保存在磁盘以外的硬件上。BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，我们还可以同时启用这两种模式。要使用TPM模式，要求计算机中必须具备不低于1.2版TPM芯片，这种芯片是通过硬件提供的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。要想知道电脑是否有TPM芯片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。

如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备，并且需要有一个专用的U盘(U盘只是用于保存密钥文件，容量不用太大，但是质量一定要好)。使用U盘模式后，用于解密系统盘的密钥文件会被保存在U盘上，每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

所以如果要顺利使用BitLocker功能，硬盘上必须至少有两个活动分区，除了系统盘外，额外的活动分区必须保持未加密状态(且必须是NTFS文件系统)，同时可用空间不能少于200M。为了保证可靠性，这个专门的活动分区最好专用，不要在上面保存其他文件或者安装额外的操作系统。Win7中的Bitlocker对于非系统盘的加密非常简单，打开控制面板，依次单击“安全”“BitLocker驱动器加密”，我们可以看到BitLocker加密驱动器的界面。

这里已经列出了当前安装电脑的所有本地硬盘分区，对于想要加密的分区，单击对应的“启用BitLocker”链接，随后可以看到驱动器加密向导。可以选择使用密码还是智能卡进行加密，以及是否在这台计算机上自动解码。注意密码的输入必须符合长度和大小写的要求。我在这里遇到了一点困难，因为我是域用户，在登陆不到域的情况下不允许加密，点击下一步，对话框的下部显示RPC服务器不可用。只有连到公司域加密对话框才能够继续。对于工作组用户应该不会有这个问题。点击下一步进入密码保存对话框，可以选择将恢复秘钥存储到U盘，本地文件或是打印出来。推荐保存到网络存储器中。保存完密码就可以开始加密了。等到

3,、Bitlocker To Go功能

Vista版本中只支持对于计算机内部的磁盘进行加密，而Win7提供了加密U盘或其他移动存储设备的功能，大大方便了现在广泛使用的移动存储设备，这就是Win7新加入的Bitlocker To Go功能。微软的设计非常人性化，使用起来非常的简单，和加密本地磁盘的方法很相近。首先插入移动存储设备，系统提示发现U盘。打开控制面板，依次单击“安全”“BitLocker驱动器加密”，我们可以看到计算机中所有的磁盘，包括新加入的移动存储设备。选择U盘，点击右侧的启用Bitlocker链接。就会弹出向导，输入密码，下次访问U盘的密码，如果有读卡器，也可以使用磁卡上的Pin码进行加密。

使用bitlocker的加密级别非常高，一旦忘记密码，就可能损失所有数据，windows提供了恢复秘要的功能，可以保存在文件中或打印出来。点击下一步，开始进行全盘加密，根据磁盘中的文件大小，会显示加密进度。下次再使用时，插入U盘，系统提示U盘被bitlocker进行加密，使用前需要输入加密的密码，这下你的U盘中的数据只有你能够打开了。还可以把密码保存在经常使用的计算机上，自动进行解锁，这样个人使用的计算机上酒不需要反复输入密码。经过我的验证，使用了加密功能以后，U盘的性能并没有受到影响。

对了，Bitlocker的功能只在Win7的高级版本中才有，比如说企业版或终结版。如果你购买的家庭版中没有的话，可别来找我呀!