作者:长江边上
【IT168 实用技巧】不同的用户对于Vista自然有着不同的需求,个人用户更多关心的是美伦美奂的Aero效果,而企业用户更多关注的是Vista的安全性能,而Windows Enterprise Vista(企业版本)和Windows Ultimate Vista(旗舰版本)提供了一个名为“BitLocker”的标准组件,可以为这部分用户提供前所未有的安全保护 。
一、为系统安装BitLocker更新
进入“Windows Update”窗口,选择“查看可用更新”,在这里勾选“BitLocker和EFS增强”复选框,然后单击右下角的“安装”按钮,如图1所示 。
图1
稍候片刻,系统会自动下载并安装更新,如图2所示 。
图2 更新安装完成后,我们可以在“已安装的更新”列表框中看到“BitLocker Drive Preparation Tool (KB933246)”和“Secure Online Key Backup ()KB932926)”两款更新,如图3所示 。
图3现在进入控制面板的“安全”窗口,在这里我们可以发现“BitLocker驱动器加密”和“密钥安全联机备份”两个项目,如图4所示 。
图4
二、BitLocker的实现原理
EFS是工作在文件系统级别,基于用户权限以有受PKI保护的线程密钥对文件进行加密,它实际上是在Windows系统启动之后才开始工作,而BitLocker则是在工作在磁盘底层,它对整个卷进行加密,是在Windows启动之前就开始工作 。
BitLocker使用128位或256位的AES(Advanced Encryption Standard,高级加密标准)进行加密,加密级别完全由用户决定,并且可以通过组策略进行设置 。
不过,BitLocker仅仅对计算机中的操作系统所在分区提供保护,因此对于其他非操作系统所在的分区,推荐使用EFS(),实际上当EFS与BitLocker联合使用时,EFS本身也可以发挥更佳的功能,同时还解决了EFS自身的功能限制问题,因为EFS本身无法对系统根目录的文件进行加密,现在这些文件都会受到BitLocker的保护,而其他的文件则受到EFS的保护,可以说是相得益彰 。
如果你的计算机采用受信任的平台模块(TPM)1.2芯片,那么BitLocker可以在解锁你的驱动器之前使用该芯片来执行系统完整性检查,该过程会验证计算机系统是否未被篡改 。如果计算机主板中不存在TPM1.2芯片,那么仍然可以使用BitLocker提供的加密功能,但是无法执行系统完整性检查 。
【Vista高手讲解 帮你全面熟悉BitLocker】如果计算机是使用TPM1.2或更高版本所制造,那么BitLocker会将其密钥存储在TPM中 。不过这样一来,也会带来安全方面的隐患,因为如果你的计算机被盗,TPM模块自然也就随之丢失,如果不增加密码保护的话,这种安全机制根本就是形同虚设 。
由于目前支持TPM1.2的计算机可以说是少之又少,如果使用BitLocker加密驱动器时会提示黄色的警示信息,说是找不到TPM,如图5所示 。
图5
三、基于USB闪存盘模式的BitLocker加密
选择USB模式的BitLocker,可惜的是默认设置下Windows Vista却又自动禁用了USB模式,必须手工启用才行 。
1.加密系统卷
第1步:按下“Win R”组合键打开运行对话框,或者直接激活“开始搜索”框,在这里输入“gpedit.msc”进入组策略对象编辑器,逐步进入“计算机配置→管理模板→Windows组件→BitLicker驱动器加密”,如图6所示 。
图6第2步:在右侧窗格中双击“控制面板设置:启用高级启动选项”,选择“已启用”,此时下面的“没有兼容的TPM时允许BitLocker”选项会自动勾选,最后单击右下角的“应用”按钮,如图7所示 。
图7第3步:进入控制面板的“安全”窗口,单击“BitLocker驱动器加密”,在随之弹出的窗口中单击“启用BitLocker”,现在已经可以看到完全不同的界面,如图8所示 。
推荐阅读
- 北京奥运选择WinXP放弃Vista系统
- 让XP披上Vista外衣 完美模拟并不复杂
- 王者之争?六款Vista优化软件全面横评
- 从细节看Windows Vista:Copy错误代码
- 解决Vista系统与游戏不兼容的终极方法
- 评论:微软在Windows Vista上的5大失误
- Tech?Ed SEA 2007 将展示 Vista SP1
- 北京奥运选择WinXP放弃Vista
- Windows Vista SP1泄漏版深度揭秘
- 揪出Windows Vista蓝屏的真正幕后原因