共用方式為


Windows 7 BitLocker 实战

6月3日将讲一场关于Windows 7 BitLocker的webcast,欢迎大家注册参加

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032413839&culture=zh-CN

为了方便不能参加webcast的听众,我做了一些小结如下:

   1. 什么是BitLocker

   2. Windows 7 BitLocker改进

   3. 配置Windows 7 BitLocker

   4. 配置Windows 7 BitLocker To Go

   5. 按序排列的BitLocker 重要资源

注:为求易于理解和操作,本文尽量不适用复杂的术语。

 

1. 什么是BitLocker
出现于Vista的一种数据加密保护方式。可以加密整个操作系统分区,数据分区。能够与硬件TPM(Trusting Platform Module,多数商业用笔记本与台式机,服务器的主板均包括此组件)安全组件结合使用,除传统数据加密保护外,还可以防止硬盘被插到其他计算机上或启动组件/配置被修改。
BitLocker在配置后,其加密/解密过程对用户透明,对硬盘性能影响极小。且相比与EFS而言,可以有效防止电脑丢失等场景下的数据加密。
注:
在Windows Vista之前,微软用于Data层数据加密保护的主要方式是EFS,该功能出现于Windows 2000中。EFS本身已经非常强大,但存在两个弱点:1)无法加密系统文件 2)默认其加密私钥存于用户配置文件中,因此在用户电脑失窃情况下,黑客可以将电脑硬盘换至另外一台计算机并搜索用户私钥。(如用户未导出并删除私钥)

 

2. Windows 7 BitLocker的改进
这方面的文档特别多,我个人认为:

a) 界面友善,操作特别方便。几乎所有的操作,都可以在1个向导内执行完毕

b) 支持加密U盘,且U盘不必为NTFS。这是非常有用,常用的场景

c) 丰富的组策略配置,适于企业不熟

 

3. 配置Windows 7 BitLocker
官方指南可以参考:
BitLocker Drive Encryption Step-by-Step Guide for Windows 7
https://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx
下面的步骤适用于加密操作系统分区:

a) 检测BIOS中的TPM是否Enable。一般在与安全相关的设置项下,如ThinkPad为Security\Security Chips选项
如配置好,在进入系统后可以在

Device Manager中找到TPM。
clip_image004

b) 如果您的计算机没有TPM,也可以使用Bitlocker。但是每次启动要插入一个U盘。使用U盘需要在配置BitLocker之前激活一个组策略
-运行gpedit.msc,
-在Computer\Administrative Template\Windows Components \BitLocker Drive Encryption\Operating System Drive Encryption下,激活”Require Additonal Authentication at Startup”
-运行 gpupdate /force

0-EnableNoneTPM 

c) 在Control Panel下找到BitLocker Driver Encryption。选择C盘,Turn On
clip_image008
向导会自动检测TPM,如果有TPM则初始化TPM,如果没有则提示插入U盘并使用Startup Key。
过程中,会提示保存BitLocker Recovery Key。这是非常重要的一个密码。如果更换硬盘位置,或者修改启动配置都需要该密码进行数据解锁。一般存于U盘clip_image010
系统会提示进行System Check. 建议选中并执行。系统重启后开始加密。
clip_image012
加密过程中可以继续使用电脑。完成后系统会提示。
clip_image014

 

4. 配置Windows 7 BitLocker To Go
BitLocker To Go是Windows 7中的新功能,顾名思义就是可以加密移动硬盘。
注意:

  a) 该功能支持FAT等非NTFS格式的U盘

  b) 使用该功能加密的U盘在Win7之前的系统上只能读取,不能写入

  c) 使用Bitlocker to go加密的移动硬盘,可以配置为插入后自动解锁,无需输入密码(或插SmartCard)

可以参考Windows 7 Screencast
https://edge.technet.com/Media/Windows-7--Bitlocker-to-Go/

步骤:

a) 插入U盘,在Control Panel下找到BitLocker Driver Encryption。选择U盘,然后Turn On。也可以直接在资源管理器中选择U盘,右键,然后开启BitLocker
clip_image016

b) 选择解锁方式
clip_image018

c) 保持Recovery Key。当忘记密码时可以使用该Key解锁数据
clip_image020

d) 开始加密
clip_image022

e) 加密后在Windows7计算机上插入U盘。
需要输入密码,并可以选择以后在这台电脑上均自动解锁
clip_image024

f) 如果是Windows XP,则对该盘只能读取
clip_image026
clip_image028

5. 按序排列的重要资源
关于BitLocker,有很多资源。下面假设您对BitLocker并不了解。列出一些最主要的资源,节省我们的阅读时间:

a) 先操作一遍,BitLocker操作并不复杂。
BitLocker Drive Encryption Step-by-Step Guide for Windows 7
https://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx
使用本Blog也可以。

b) 了解BitLocker的诸多技术细节
Windows BitLocker Drive Encryption Frequently Asked Questions
(非常详细的分类技术资源列表,个人认为这个列表是最好的)
https://technet.microsoft.com/en-us/library/cc766200.aspx#BKMK_WhatIsBitLocker

c) 如需在企业内部署,考虑诸如使用AD备份BitLocker Recovery Key,请参考
Windows BitLocker Drive Encryption Design and Deployment Guides - Download
https://www.microsoft.com/downloads/details.aspx?familyid=41BA0CF0-57D6-4C38-9743-B7F4DDBE25CD

d) 最后,如果您还有兴趣了解Vista或者2008下的老版本BitLocker,可以看一段20分钟的Screencast。这段视频中也掩饰了使用Recovery Key的部分操作。
https://edge.technet.com/Media/Bitlocker-Screencast/