域環境下如何保護重要資料檔案的安全(三)—BitLocker(上)

餘二五發表於2017-11-22

之所以把BitLocker放在最後為大家介紹，一是因為這項技術相對EFS、RMS出現的較晚，從Vista企業版和終極版中才有的，遺憾的是由於Vista在我國的市場佔有率並不高，加上BitLocker在Vista中的使用者體驗及使用都不是很好，所以實際應用過它的朋友也比較少。另一方面，設計它的主要目的是對整個磁碟進行加密，這包括了作業系統分割槽，存放資料的資料分割槽等，使得即使計算機或者計算機磁碟丟失後上面的資料也不會被惡意分子破解出來，這個初衷點和EFS、RMS等方案有些差別。

BitLocker是如此的不同，所以微軟為了讓更多人瞭解它使用它，也在後續的作業系統（Win7，Windows server 2008 R2）中對它進行了改進，我這裡要為大家介紹的也是基於Windows 7系統之上改良過的BitLocker及嶄新的BitLocker To Go.

我們還是先看一下BitLocker的一些概念知識。

在Vista之前的作業系統中，我們對資料加密的常規方法就是使用EFS，我前面的文章中也詳細介紹過了它的優勢和不足，其中比較明顯的幾個弱勢之處有：EFS無法加密系統檔案；對使用者加密私鑰依賴性極強，如果發生未匯出儲存或沒有恢復代理的情況，很有可能發生無法開啟加密檔案的事件，同時，如果發生計算機、計算機磁碟被盜竊/丟失的情況，惡意之徒可以將磁碟掛載到其他計算機上並使用工具搜尋使用者金鑰從而破解。而說到AD RMS，其侷限性是顯而易見的，目前支援其API開發出的軟體還是比較少的，很多格式的資料檔案皆不能應用它。

那麼，來看看BitLocker是怎樣為我們服務的。

BitLocker會將Windows的安裝分割槽或者其他用於儲存檔案的分割槽進行加密，並將金鑰儲存在磁碟之外的地方。這樣，要想啟動Windows或者讀取儲存在計算機中的檔案，就必須先提供金鑰，隨後載入程式才會使用提供的金鑰解密系統檔案，並載入和執行Windows，供我們讀取檔案。這樣的過程，就完全避免了惡意之徒利用WinPE或者將磁碟掛載到別的計算機上讀取資料的可能。

上面說到BitLocker會將金鑰儲存在磁碟之外的地方，那麼具體是什麼地方呢？

一是存放在TPM上。說到TPM，它的全名是Trusted Platform Module，是一種硬體晶片，在安全性要求比較高的桌上型電腦/工作站/筆記本上基本都會有。以筆者的工作電腦HP compaq dc7800p（系統為win7旗艦版）來說，開啟裝置管理器，可以看到

這裡的安全裝置—受信任的平臺模組1.2便是TPM1.2了。1.2版本也是對於TPM的最低版本要求。

預設情況下，使用BitLocker會要求使用TPM模式。

那如果你的計算機是家用級別的臺式/筆記本的話，是不是就不能體驗和使用BitLocker了呢？

當然不會，你還可以選擇將金鑰放在U盤上，然後在每次啟動系統的時候必須在開機之前將U盤連線到計算機上才能進入系統。

WOW~，這麼強大的BitLocker~為什麼就沒有火起來呢？為什麼呢？這是為什麼呢？…

這個，就得回顧一下在Vista中的BitLocker了。

1. BitLocker只在Windows Vista企業版和旗艦版中提供給使用者。這個蠻要命的。畢竟連微軟自己都承認Vista在中國的失敗，可以想象一下有多少使用者通過合法手段使用著E版和U版的Vista了。拿筆者自己的軟硬體來說，購買的上萬元的Dell Studio XPS 9000也選擇的是Home Premium版本，要選擇升級到Ultimate得加1119塊錢…

所以，也就無緣得用BitLocker了…

至於說有多少企業採購了Vista企業版/旗艦版，我手頭並沒有相關資料，不過在論壇當版主這麼久，看到網友問題中描述的企業環境，Vista基本不會被選擇用在客戶端。

2. 要在Vista E/U上使用BitLocker，計算機磁碟上必須至少兩個活動分割槽。為什麼呢？原因很簡單，源於其工作原理，BitLocker功能在將作業系統或者機密資料所在的硬碟分割槽進行加密後，在啟動系統的時候，我們必須提供解密的金鑰，來解密原本被加密的檔案，這樣才能啟動作業系統或者讀取機密檔案。但這就有一個問題，用於解密的金鑰可以儲存在TPM晶片或者U盤中，但是解密程式應該放在哪裡？難道就放在系統盤嗎？可是系統盤已經被加密了，這就導致了一種很矛盾的狀態：因為用於解密的程式被加密了，因此無法執行，導致無法解密檔案。所以要想使用BitLocker功能，就需要這麼一個單獨的活動分割槽存放BitLocker的解密程式，並且微軟建議此分割槽空間大小為1.5G。

可能有人會說，這沒有什麼不方便啊，現在硬碟都這麼大，隨便劃個分割槽讓它用唄~

那我只能說你沒有仔細看上面的文字，這裡要求的是“活動分割槽”！

何謂“活動分割槽”？

活動分割槽就是計算機的啟動分割槽，一般大家安裝作業系統的C盤就是活動分割槽。

而後面的主分割槽、擴充套件分割槽都不能再設定為“活動分割槽”。

問題出現了，在分割槽設定已經完成的Vista系統之上，我們怎麼樣為BitLocker劃出它要用的那塊活動分割槽？而且這個活動分割槽要位於C盤的前面而優先被載入！

答案可能讓你難以接受，這就是：需要重新安裝作業系統，在安裝系統之時進入WinRE環境使用diskpart命令重新劃分分割槽並啟用活動分割槽。

如果你的企業中的計算機在大規模部署安裝Vista企業版/旗艦版的初始並沒有想到過使用BitLocker，那麼情形可能會比較囧，要使用BitLocker還得重做系統重新分割槽？~Oh，No~

3. 第三點是接著上面第二點說的。

考慮到第二點的尷尬情景，微軟特別開發了一個叫做“BitLocker和EFS增強”的工具，這個工具是作為Windows Vista Ultimate Extras提供給使用者的，也就是通過Vista Ultimate的自動更新獲得的，如果是Vista Enterprise版本則需要聯絡微軟獲得此工具，除此之外你找不到下載它的地方

。。。

使用這個工具，可以自動收縮現有的系統分割槽（一般為C：），然後將擠出來的空間設定為供BitLocker使用的磁碟驅動器。當然，要能擠出那1.5G來，你的C盤本身還需要剩餘比較大的空間才可以~

這種方式比我們重新劃分分割槽再重新安裝Vista是省事了些，不過對於使用者來說，都是不太可能讓他們直接操作的，使用者好感度極低~

正因為以上的種種因素，微軟在windows7中對BitLocker進行了改進，改進後的BitLocker操作變得十分簡單，也不用去管那個活動分割槽的事了，使用者自己就能輕鬆完成加密操作。

由此開始，我會為大家邊演示邊講解如何在windows 7中應用BitLocker。

因為試驗計算機上擁有TPM1.2晶片，所以我們先一起看一下有TPM時的BitLocker加密解密等操作過程。

這是我的計算機的一些資訊，安裝的是中文Win7 RTM旗艦版。

第一次想要啟用BitLocker的話可以直接在要加密的磁碟分割槽上右鍵，選擇“啟用BitLocker”，也可以在控制皮膚中進行操作。

這裡我選擇到控制皮膚中設定BitLocker，這樣更直觀一些。

因為這次演示過程我是在物理機器上直接操作的，所以暫時不選擇加密系統分割槽，因為加密後啟動時不方便截圖看效果，所以我後面會用虛擬機器來演示加密系統分割槽的效果，這裡我選擇加密資料分割槽D盤。

當點選“啟用BitLocker”後，會提示“選擇希望解鎖此驅動器的方式”

這裡有三種方式供我們選擇，

1．使用密碼解鎖。選擇此解密方式，我們在要訪問此分割槽時會要輸入符合複雜性要求的密碼才能繼續。

2．使用智慧卡解鎖。智慧卡在當今安全性要求較高的企業中應用的越來越多，不止是VPN等等身份認證才能用到，BitLocker也可以使用智慧卡作為解鎖方式。

3．在計算機上自動解鎖此驅動器。要使用此方式必須先加密系統分割槽。

因為我只想加密D盤這個資料分割槽，而手頭也沒有SmartCard，所以我選擇第一項，使用密碼加解密。這裡我輸入了一串包含大小寫字母符號等的複雜密碼。

點選下一步後會提示希望如何儲存恢復密碼。

恢復密碼這個概念在BitLocker中非常重要！

關於恢復密碼的重要性，微軟官網上有極其詳細的描述：

在計算機啟動過程中，BitLocker 驅動器加密可以檢測到阻止其對安裝了 Windows 的驅動器或該計算機上任何其他 BitLocker 加密驅動器進行解鎖的情況。例如，這些情況可能包括磁碟錯誤、對基本輸入/輸出系統 (BIOS) 的更改或對任何啟動檔案的更改。如果發生了此類情況之一，將不能登入和訪問受保護的檔案，直到使用 BitLocker 恢復密碼解除對該驅動器的鎖定。如果嘗試啟動其他計算機上的硬碟，則仍需要 BitLocker 恢復密碼。

應通過列印或者將其作為資料檔案儲存在可移動介質或資料夾中的方式儲存恢復密碼。將恢復密碼儲存在計算機以外的位置。

如果您對其他資料驅動器進行了加密，則每個驅動器都有其自己的恢復密碼，這些密碼與安裝了 Windows 的驅動器的密碼都不同，應妥善儲存。

只有在第一次開啟 BitLocker 時，才可以建立此恢復密碼。在建立恢復密碼之後，可以使用 BitLocker 管理金鑰功能製作其他副本。

· 如果計算機是域的一部分，域策略可能會控制可用的恢復密碼選項。

· （注：這句的意思就是可以將恢復密碼儲存在AD中）

我這裡選擇將恢復密碼儲存到本地磁碟上，然後會開啟它讓大家看看裡面到底是什麼內容。