“黄金有价、数据无价”,从一个方面说出了数据的重要。为了保护重要的数据不丢失或损坏,应该将数据保存在不同的位置并分别备份。但是,既然数据如此重要,怎么保护数据的安全呢?如果才能保证数据不被非法复制呢?

如果将数据保存在计算机硬盘上,是设置BIOS密码开机密码,还是设置密码操作系统登录密码,亦或是使用第三方软件加密数据呢?

如果将数据保存在U盘或活动硬盘中,或者笔记本电脑中,一旦这些设备丢失怎么办?与此同时,保存在这些设备上的数据是否会给你带来更大的损失呢?

即便没有丢失,如果你的计算机、笔记本出了问题,例如需要重装系统,在找人安装系统的过程中,你的相片或其他重要的资料,是不是会被人拷贝复制呢?

本文介绍使用Windows内置的BitLocker驱动器加密,保护计算机本地硬盘、活动硬盘(包括U盘)数据安全。

1 什么是BitLocker驱动器加密?

BitLocker驱动器加密是从Windows Vista操作系统开始提供的一个必不可少的安全功能,该功能帮助保护存储在固定和可移动数据驱动器以及操作系统驱动器上的数据。BitLocker有助于防范“脱机***”,即通过禁用或阻止已安装的操作系统而展开的***,或通过实际取走硬盘来单独***数据而展开的***。对于固定和可移动数据驱动器,BitLocker帮助确保用户只有在拥有所需密码、智能卡凭据或者在拥有合适密钥的计算机上使用受BitLocker保护的数据驱动器时才能够在驱动器上读取数据和将数据写入到驱动器。如果您的组织包含运行先前版本Windows的计算机,BitLocker To Go读取器可用于允许那些计算机来阅读受BitLocker保护的可移动驱动器。

要在计算机上启用BitLocker驱动器加密,需要软件与硬件两方面的支持。对于软件,则需要操作系统是Windows Vista/7/8/2008/2008 R2/2012;对于硬件,要求启用BitLocker驱动器加密的计算机上内置TPM芯片。对于没有集成TPM芯片的计算机,则可以采用智能卡,也可以使用U盘存储BitLocker驱动器密钥。

TPM通过与BitLocker操作系统驱动器保护交互帮助在系统启动时提供保护。这对于用户是不可见的,用户登录体验并未改变。但是,如果启动信息发生更改,则BitLocker将进入恢复模式,您需要输入恢复密码或恢复密钥才能重新访问这些数据。

受信任的平台模块(TPM,Trusted Platform Module)是一种微芯片,使计算机能够利用高级安全功能,例如BitLocker驱动器加密。已将TPM内置到某些新型计算机中。请检查随计算机附带的信息,以查看计算机是否安装了 TPM。

当前一些品牌的笔记本或商用台式机,配备用TPM兼容的芯片。对于大部分的家用计算机、笔记本电脑则没有兼容的TPM芯片。如果要启用BitLocker驱动器加密功能,可能采用U盘存储密钥,对于企业用户来说,则可以通过配备智能卡、为智能卡申请BitLocker驱动器加密证书的方式,保护企业或个人数据。本文通过图2-1的拓扑介绍,在企业中配置BitLocker驱动器加密的方式。

clip_image002

图2-1 BitLocker驱动器加密功能

在图2-1中,一台Active Directory服务器,该服务器安装Windows Server 2008 R2操作系统,并安装企业证书服务器,网络中操作系统使用Windows 7或Windows 8操作系统。企业中的每个员工配备智能卡,并自行从企业网络申请BitLocker驱动器加密证书,加密员工计算机及可移动设备磁盘,达到保护数据安全的目的。

2配置Active Directory与企业证书服务器

如果向智能卡写入“BitLocker驱动器加密”证书,则需要“企业证书服务器”,而“企业证书服务器”则需要Active Directory的支持。所以,要为企业网络构建用智能卡实现BitLocker驱动器加密的体系架构,则需要Active Directory及企业证书服务器。在本文中,Active Directory的配置与企业证书服务器的安装不做过多介绍。

3添加BitLocker驱动器加密功能

在安装好“企业证书服务器”之后,还要在证书服务器上,添加“BitLocker驱动器加密”功能,主要步骤如下。

(1)在“服务器管理器”中,右击“功能”选择“添加功能”。

(2)在“选择功能”对话框中,选择“BitLocker驱动器加密”,如图2-18所示。

clip_image004

图2-18选择功能

(3)安装完成之后,重新启动服务器。

4添加BitLocker模板

在企业证书服务器中,并没有为“BitLocker驱动器加密”配置证书模板,管理员可以通过复制一个现有的模板,并为其添加BitLocker驱动器加密功能。

(1)在安装了企业证书服务器及BitLocker驱动加密的服务器中,打开“证书颁发机构”,右击“证书模板”选择“管理”,如图2-21所示。

clip_image006

图2-21管理证书模板

(2)在“证书模板控制台”对话框,右击“用户”,在弹出的快捷菜单中选择“复制模板”,如图2-22所示。

clip_image008

图2-22复制用户模板

(3)在“复制模板”对话框中,选择“Windows Server 2003 Enterprise”。

(4)在“新模板的属性”对话框,在“常规”选项卡中,修改模板的显名名称及模板名,在此修改为“BitLocker”,如图2-24所示。

clip_image010

图2-24修改模板名称

【说明】不需要修改该证书的有效期。使用BitLocker驱动器加密时,证书即使过期也仍然可以使用。

(5)在“使用者名称”对话框,在“用Active Directory中的信息生成”选项组中,只选择“用户主体名称”,如图2-25所示。取消“在使用者名称中包括电子邮件名”、“电子邮件名”的选择。

clip_image012

图2-25使用者名称

(6)在“扩展”选项卡中,在“这个模板中包括的扩展”选项中,选择“应用程序策略”,单击“编辑”按钮,在弹出的“编辑应用程序策略扩展”对话框中,删除“安全电子邮件”、“加密文件系统”、“客户端身份验证”然后单击“添加”按钮,在弹出的“添加应用程序策略”对话框,选中“BitLocker驱动器加密”,单击“确定”按钮返回到“编辑应用程序策略扩展”对话框,如图2-28所示。

clip_image014

图2-28扩展

(9)在“安全”选项卡,添加“Domain Users”用户组具有“注册”权限,如图2-29所示,这样域中所有用户都可以自己申请“BitLocker驱动器加密”证书。

clip_image016

图2-29安全选项卡

(10)在“请求处理”对话框,修改“最小密钥大小”为1024,然后单击“CSP”按钮,在弹出的“CSP选择”对话框中,选择“请求可以使用证书使用者计算机上任何可用的CSP”,如图2-30所示。然后两次单击“确定”按钮,完成证书模板创建。

clip_image018

图2-30修改密钥大小及可用CSP

(11)返回到“证书颁发机构”,右击“证书模板”,在弹出的对话框中,选择“新建→要颁发的证书模板”。

(12)在弹出的“启用证书模板”对话框,选择“BitLocker”,单击“确定”按钮,如图2-32所示。

clip_image019

图2-32 添加新建的证书模板

5用户为智能卡申请BitLocker加密证书

最后,为每个用户颁发一个智能卡,让用户在自己的计算机上,安装智能卡驱动程序,然后用本人的域用户帐户,登录企业证书颁发机构,申请“BitLocker驱动器加密”证书并颁发到智能卡中,即可以加密驱动器。本节介绍安装智能卡驱动程序及申请证书的方法,主要步骤如下。

(1)安装智能卡驱动程序。

(2)然后登录企业证书颁发机构,使用自己的用户名登录,如图2-35所示。

clip_image021

图2-35使用用户名密码

(3)登录之后,依次单击“申请证书→高级证书申请→创建并向此CA提交一个申请”链接,在“高级证书申请”对话框中,在“证书模板”中选择“BitLocker”,在“CSP”列表中选择当前智能卡所匹配的CSP,在此为“Longmail InSEC SmartCard RSA Full Provider 1.1”,其他选择默认值,然后单击“提交”按钮,如图2-36所示。

clip_image023

图2-36申请BitLocker驱动器加密证书

(4)随后弹出访问智能卡的登录界面,输入智能卡的PIN登录,如图2-37所示。

clip_image025

图2-37使用PIN访问智能卡

(5)在“证书己颁发”对话框,单击“安装此证书”链接,如图2-38所示。

clip_image027

图2-38安装此证书

6使用智能卡实现BitLocker驱动器加密

在为智能卡申请证书之后,就可以使用BitLocker驱动器加密功能了。

(1)在“控制面板”中,单击“BitLocker驱动器加密”,如图2-39所示。

clip_image029

图2-39 BitLocker驱动器加密

(2)在“控制面板→所有控制面板项→BitLocker驱动器加密”中,选择一个磁盘,例如E盘,单击“启用BitLocker”,如图2-40所示。

clip_image031

图2-40启用BitLocker

(3)在“BitLocker驱动器加密”对话框,选择“使用智能卡解锁驱动器”,如图2-41所示。

clip_image033

图2-41使用智能卡解锁驱动器

(4)在“您希望如何存储恢复密钥”对话框,单击“将恢复密钥保存到文件”,如图2-42所示。

clip_image035

图2-42将恢复密钥保存到文件

(5)在弹出的“将BitLocker恢复密钥另存为”对话框中,选择一个位置保存恢复密钥,注意,不能将恢复密钥保存到将要加密的驱动器中,如图2-43所示。暂时将恢复密钥保存在“文档”文件夹中,稍后,等BitLocker驱动器加密完成后,请将恢复密钥保存到另一台计算机,或者你的网络存储或网络U盘中,推荐在至少2~3个不同的位置分别保存一份。

clip_image037

图2-43保存恢复密钥

(6)在保存恢复密钥之后,单击“启动加密”按钮,开始加密所选择的驱动器,如图2-44所示。

clip_image039

图2-44开始加密

(7)随后BitLocker驱动加密程序开始加密所选择的虚拟机,并显示加密进度。

随后将BitLocker恢复解密打开,查看并记录恢复密钥,并将该文件保存到其他计算机或其他位置,如图2-46所示。

clip_image041

图2-46查看并记录恢复密钥

【说明】恢复密钥只与所加密的驱动器相关。该恢复密钥只能恢复所加密的驱动器,不能恢复其他驱动器。

7解锁BitLocker驱动器

当驱动器加密后,如果要查看或使用被加密的驱动器,可以在“资源管理器”,中,右击加密的驱动器,在弹出的对话框中选择“解锁驱动器”,如图2-47所示。

clip_image043

图2-47解锁驱动器

在弹出的“此驱动器由BitLocker驱动器加密保护”对话框中,插入智能卡,单击“解锁”按钮,如图2-48所示。如果选中了“从现在开始在此计算机上自动解锁”,只要解锁成功,以后在重新开机后会自动解锁,只有当BitLocker驱动器加密检测到硬件变动时,会自动锁定此驱动器并需要再次解锁。

clip_image044

图2-47解锁

在输入智能卡的PIN后,开始解锁。解锁之后,显示驱动器内容,并能正常读写,如图2-49所示。

clip_image046

图2-49解锁成功

8使用恢复密码恢复BitLocker驱动器

如果执行BitLocker驱动器加密的智能卡损坏(几率非常低)或丢失(有可能),则需要使用恢复密钥(图2-43保存)或恢复密码(在图2-41中可以设置)进行恢复。

(1)右击加密的驱动器,在弹出的快捷菜单中选择“解锁驱动器”。

(2)在弹出的对话框中,选择“我没有智能卡”(由于智能卡损坏或丢失)。

(3)在“使用恢复密钥解锁此驱动器”对话框,单击“键入恢复密钥”。

(4)然后打开以前保存的恢复密钥文件,复制BitLocker恢复密钥,如图2-53所示。

clip_image048

图2-53复制BitLocker恢复密钥

(5)在“输入恢复密钥”对话框,粘贴上一步复制的恢复密钥,如图2-54所示。

clip_image049

图2-54键入恢复密钥

(6)之后弹出“您现在具有对此驱动器的临时访问权”对话框,单击“管理BitLocker”链接。

(7)在“选择要管理的选项”对话框中,可以单击“添加用于解锁此驱动器的密码”。

(8)在“创建用于解锁此驱动器的密码”对话框,创建一个管理密码,用来以后访问并打开此加密的驱动器(此密码至少需要8位并且要设置复杂密码,该密码不同于恢复密码)。如图2-57所示。

clip_image051

图2-57创建用于解锁此驱动器的密码

由于原来加密的智能卡已经丢失或损坏(或智能卡虽然没有丢失但却删除了该智能卡中的证书),需要为此驱动器加密更换新的智能卡,步骤如下。

(1)返回到“选择要管理的选项”后,单击“从此驱动器中移除智能卡”。

(2)再次选择到“选择要管理的选项”对话框,此时插上新的智能卡,单击“添加智能卡以解锁驱动器”。

在添加了解锁密码以及更新了解锁的驱动卡后,以后再解锁驱动器时,可以使用设置的解锁密码或智能卡,如图2-60所示。

clip_image052

图2-60解锁方式

9 Active Directory网络中保存恢复密钥到服务器

在前面的内容中,当丢失(或损坏)加密的智能卡后,是由用户使用恢复密钥恢复加密的驱动器。如果在企业网络之中,员工即丢失了恢复密钥又丢失了加密的智能卡,那加密的驱动器怎么恢复呢?如果要在企业网络中规划BitLocker驱动器加密,就要避免这个问题。管理员可以修改组策略,让员工在启用BitLocker驱动器加密时,同时将恢复密钥保存到Active Directory,并且在需要恢复时,由域管理员告知恢复密钥。

9.1修改组策略将恢复密钥保存到AD

(1)以域管理员帐户登录到Active Directory服务器,打开“组策略管理”,右击“Default Domain Policy”,在弹出的快捷菜单中选择“编辑”,如图2-61所示。

clip_image054

图2-61编辑组策略

(2)打开“组策略管理编辑器”,修改“计算机配置→策略→管理模板→Windows组件→BitLocker驱动器加密”对应项,如图2-62所示。在此项中分别有“操作系统驱动器”、“固定数据驱动器”及“可移动数据驱动器”三个分组,分别对应安装有操作系统分区、本地数据硬盘及可移动硬盘(例如活动硬盘、U盘)的BitLocker驱动器加密项,每项设置基本相同,但又略有区别。

clip_image056

图2-62 BitLocker驱动器加密项

(3)在“BitLocker驱动器加密→操作系统驱动器”选项中,可以设置启动时的选项,以及“选择如何才能恢复受BitLocker保护的操作系统驱动器”,如图2-63所示。

clip_image058

图2-63操作系统驱动器BitLocker驱动器加密选项

(4)在“选择如何才能恢复受BitLocker保护的操作系统驱动器”对话框中,选择“己启用”,并在“选项”中,选择“为操作系统驱动器将BitLocker恢复信息保存到AD DS中”,并选择“在为操作系统驱动器将恢复信息存储到AD DS之前禁止启用BitLocker”,如图2-64所示。这样在启用此策略之后,当用户在加入到域的Windows 7或Windows 8或Windows Server 2008 R2及Windows Server 2012计算机,在为操作系统驱动器启用BitLocker驱动器加密时,会将BitLocker恢复信息保存到AD DS中,如果没有保存或保存不成功则不会启用BitLocker驱动器加密。

clip_image060

图2-64保存BitLocker恢复信息

【说明】在“固定数据驱动器”选项中的配置与“操作系统驱动器”配置类似,不再介绍。

(5)在“可移动数据驱动器”选项中,在“控制对可移动驱动器使用BitLocker”设置中,如果启用该策略,可选择用于控制用户如何配置BitLocker的属性。如果选中“允许用户对可移动驱动器应用BitLocker保护”,则用户可以在可移动数据驱动器上运行BitLocker安装向导。如果选中“允许用户对可移动数据驱动器暂住使用BitLocker保护并对其进行解密”,则用户可以在执行维护时从驱动器删除BitLocker驱动器加密,或暂停加密。如图2-65所示。

clip_image062

图2-65控制对可移动驱动器使用BitLocker

(6)在“拒绝对不受BitLocker保护的可移动驱动器的写访问”对话框,在启用此策略时,如果选中“不允许对其他组织中配置的设备进行写访问”选项,则只有标识字段与计算机标识字段匹配的驱动器才会被授予写访问权限,如图2-66所示。当访问可移动数据驱动器时,系统将会检查其是否具备有效标识字段和允许的标准字段,该字段由“为组织提供唯一标识符”策略定义。

clip_image064

图2-66拒绝对不受BitLocker保护的可移动驱动器的写访问

(7)在“BitLocker驱动器加密”对话框,双击“为组织提供唯一标识符”,在启用此策略时,在“BitLocker标识字段”及“允许的BitLocker标识字段”设置标识符,该标识符可以自定,如图2-67所示。

clip_image066

图2-67设置标识符

在设置策略之后,进入命令提示窗口,执行gpupdate /force,更新策略。

9.2查找BitLocker驱动器加密恢复密钥

在配置好组策略之后,以后域中的计算机,在启用BitLocker驱动器加密后,密钥会保存在Active Directory中。如果计算机对多个驱动器(包括可移动驱动器)启用了BitLocker加密,则会将每次的恢复密钥保存在AD DS中。

(1)在“Active Directory用户和计算机”中,在“Computers”容器中,右击某个启用BitLocker加密的计算机,在弹出的快捷菜单中选择“属性”,如图2-68所示。

clip_image068

图2-68计算机属性

(2)在计算机属性对话框中,在“BitLocker恢复”选项卡中,可以看到密码ID及对应的恢复密码,如图2-69所示。

clip_image070

图2-69恢复密钥

10 在Windows XP中打开BitLocker加密后的驱动器

BitLocker驱动器加密是Windows Vista开始提供的功能,为了实现对以前操作系统的支持,Microsoft提供了BitLocker To Go工具,用于在Windows XP SP3操作系统上打开经过加密的驱动器。

(1)在Windows XP SP3操作系统中,插入使用BitLocker驱动器加密的U盘或活动硬盘,可以看到该U盘(或活动硬盘)上只有一个BitLockerToGo.exe的程序,如图2-70所示。

clip_image072

图2-70 BitLockerToGo程序

(2)双击这个程序,弹出“键入密码以解锁此驱动器”对话框,输入解密密码,然后单击“解锁”,如图2-71所示。

clip_image074

图2-71 解锁驱动器

(3)之后会打开“BitLocker To Go”阅读器,在此阅读器中可以查看到加密后的文件,可以将这些文件“复制”到本地硬盘中编辑使用,但不能修改、添加或删除这些文件。如图2-72所示。可以说,在Windows XP计算机中,BitLocker加密的设备是一个“只读”的磁盘。

clip_image076

图2-72 BitLocker To Go阅读器

在Windows XP中,只有使用BitLocker To Go程序才能查看加密后的数据。但在使用该程序之前,如果你在“资源管理器”中,显示所有文件及隐藏的操作系统文件,还是可以看到BitLocker加密后的数据的,如果删除这些文件(COV开始的文件),则BitLocker加密的源文件同时也会被删除,如图2-73所示。所以说,如果你的U盘丢失让他人得到,得到U盘的人可以通过删除、格式化的方式,删除这些数据,可以重新使用U盘,但不会知道U盘中原来的文件内容,这样就避免了数据泄密的可能。

clip_image078

图2-73 显示所有文件