Vista系统BitLocker使用揭秘
其实BitLocker能够做到的还有更多,例如TPM模式的使用,或者混合模式的使用等。如果需要更高程度的安全性,我们还可以在这方面多下一些功夫。
例如,有人询问过这样的问题:如果单纯使用TPM模式,可能还不如U盘模式的安全程度高。抱有这种观点的人认为,如果使用U盘模式,至少密钥盘和计算机是可以分开保存的,这样如果单纯丢失了密钥盘或者计算机,都不会造成太大的损失。但是对于笔记本电脑用户,就存在这样一个很突出的问题:如果笔记本电脑本身带有TPM芯片,而我们又启用了TPM模式的BitLocker,那么一旦笔记本电脑失窃,等于窃贼同时获得了我们的硬盘以及启动密钥。在这种情况下BitLocker功能可以提供的保护等于没有。
这种问题确实存在,但BitLocker功能的设计者早就考虑到了。我们可以使用混合模式的BitLocker。这样除了TPM芯片外,我们还可以给系统再加一道锁,这道锁可以是一个独立于Windows账户的密码,或者是一个保存了启动密钥的U盘。这样,只要不是硬盘、TPM芯片,以及U盘和密码同时全部失窃,那么系统的安全依然可以得到保障。
但依然有一个问题需要注意:恢复密码的妥善保管。无论使用单纯的U盘模式、TPM模式,或者任何一种混合模式,在启用BitLocker时候设置的恢复密码一定要妥善保管,因为只要手头有恢复密码,无论什么模式的BitLocker加密,都将可以被绕过,并重设。因此恢复密码的安全性问题是绝对不能忽视的。
那么除了U盘模式外,其他几种模式的BitLocker分别是如何使用的?因为现在具有TPM芯片的计算机还不是很多,因此本文不准备详细介绍具体过程,只准备大概列出操作步骤,供感兴趣的朋友参考。
在BitLocker加密的使用过程中,密钥的作用是很重大的。如果缺少启动密钥,系统将被锁定,无法启动,除非能够提供恢复密码;但如果恢复密码丢失了,那么在遇到特殊情况后我们将被挡在系统的大门外。因此妥善处理启动密钥和恢复密码是使用BitLocker过程中最需要关注的。
在给Windows Vista旗舰版安装了BitLocker和EFS增强软件后,我们可以将自己的BitLocker恢复密码保存在微软提供的在线服务上,同时这些内容会受到微软的妥善保管。我们只要使用相同的Windows Live ID登录在线服务即可备份这些密钥,或者在密钥丢失后从备份中重新找回。
有关BitLocker和EFS增强这个程序,我们在上文中已经有过介绍,因此如果还没有安装,请立刻通过Windows Update安装。另外,我们还需要一个Windows Live ID,用于识别自己的身份。如果已经有了MSN/Hotmail邮箱,那么就可以直接使用这个邮箱的完整地址和密码作为自己的Windows Live ID使用。
在安装了BitLocker和EFS增强软件,并申请了自己的Windows Live ID后,我们可以开始备份和还原自己的密钥了。备份的过程如下:
打开“控制面板”,依次进入“安全”|“密钥安全联机备份”,随后可以看到保存恢复密码的界面。
如果希望联机备份BitLocker的恢复密码,请单击“保存BitLocker恢复密码”按钮;如果希望备份EFS恢复证书,请单击“保存EFS恢复证书”按钮。单击对应的按钮后可以看到登录界面,首先在“描述”文本框中输入对该内容的描述(例如“台式机的BitLocker密钥备份”),然后在登录文本框中输入自己的Windows Live ID名称和密码,并单击“提交”按钮。
经过上述操作,BitLocker的恢复密码就会备份到微软的服务器上。通常情况下,我们可以随时使用自己的Windows Live ID登录,并找回这些东西。而且这个找回操作可以在任意一台可以连接到互联网的计算机上进行。
如果需要找回自己的密钥,可以在任何一台计算机上启动Internet Explorer浏览器,在地址栏输入“https://www.windowsmarketplace.com”,并按下回车键。
在随后出现的页面的右上角单击“Sign In”按钮,并使用备份密钥时使用的Windows Live ID登录,随后可以返回之前打开的主页面。在主页面上单击页面顶部中央的“Your Digital Locker”链接,可以看到下载恢复密钥的界面。
在了解了上述两种混合模式后,可能会有人问,既然在使用混合模式的时候一样需要提供U盘,或者输入PIN码,那么到底TPM芯片还有没有存在的必要呢?当然有,在有TPM芯片参与的情况下,BitLocker加密功能不仅可以有效保护系统分区不被未经授权的访问或者脱机攻击,而且可以保证系统盘重要文件的“合法性”。
在有TPM芯片参与的BitLocker加密模式下,在加密系统盘的同时,加密程序会把主引导记录(MBR)、NTFS卷的引导扇区、NTFS引导代码、还有BitLocker密钥等启动部件(要知道,这些重要的启动部件并非全部保存在被加密的Windows安装分区中,还有一部分是被保存在未加密的“系统盘”中的)做一个“快照”保存在TPM芯片里。每次系统启动时,解密程序会自动将这些文件的内容与TPM芯片里保存的快照进行比较,只有发现这些启动部件没有发生变化的情况下,才会继续解密过程。也就是说,有TPM芯片参与的BitLocker加密可以接管系统的引导过程,保证引导文件的完整性,并保证在操作系统完全启动好之前不被攻击。一旦发现这些重要引导文件的内容和TPM芯片中保存的“快照”信息不相符(可能是硬件损坏或者被病毒感染导致,也有可能是用户自己的操作导致,例如安装多系统,或者更新BIOS),那么就会提示用户,系统文件可能已经经过了篡改,而单纯的U盘模式BitLocker无法实现这项功能。□
例如,有人询问过这样的问题:如果单纯使用TPM模式,可能还不如U盘模式的安全程度高。抱有这种观点的人认为,如果使用U盘模式,至少密钥盘和计算机是可以分开保存的,这样如果单纯丢失了密钥盘或者计算机,都不会造成太大的损失。但是对于笔记本电脑用户,就存在这样一个很突出的问题:如果笔记本电脑本身带有TPM芯片,而我们又启用了TPM模式的BitLocker,那么一旦笔记本电脑失窃,等于窃贼同时获得了我们的硬盘以及启动密钥。在这种情况下BitLocker功能可以提供的保护等于没有。
这种问题确实存在,但BitLocker功能的设计者早就考虑到了。我们可以使用混合模式的BitLocker。这样除了TPM芯片外,我们还可以给系统再加一道锁,这道锁可以是一个独立于Windows账户的密码,或者是一个保存了启动密钥的U盘。这样,只要不是硬盘、TPM芯片,以及U盘和密码同时全部失窃,那么系统的安全依然可以得到保障。
但依然有一个问题需要注意:恢复密码的妥善保管。无论使用单纯的U盘模式、TPM模式,或者任何一种混合模式,在启用BitLocker时候设置的恢复密码一定要妥善保管,因为只要手头有恢复密码,无论什么模式的BitLocker加密,都将可以被绕过,并重设。因此恢复密码的安全性问题是绝对不能忽视的。
那么除了U盘模式外,其他几种模式的BitLocker分别是如何使用的?因为现在具有TPM芯片的计算机还不是很多,因此本文不准备详细介绍具体过程,只准备大概列出操作步骤,供感兴趣的朋友参考。
在BitLocker加密的使用过程中,密钥的作用是很重大的。如果缺少启动密钥,系统将被锁定,无法启动,除非能够提供恢复密码;但如果恢复密码丢失了,那么在遇到特殊情况后我们将被挡在系统的大门外。因此妥善处理启动密钥和恢复密码是使用BitLocker过程中最需要关注的。
在给Windows Vista旗舰版安装了BitLocker和EFS增强软件后,我们可以将自己的BitLocker恢复密码保存在微软提供的在线服务上,同时这些内容会受到微软的妥善保管。我们只要使用相同的Windows Live ID登录在线服务即可备份这些密钥,或者在密钥丢失后从备份中重新找回。
有关BitLocker和EFS增强这个程序,我们在上文中已经有过介绍,因此如果还没有安装,请立刻通过Windows Update安装。另外,我们还需要一个Windows Live ID,用于识别自己的身份。如果已经有了MSN/Hotmail邮箱,那么就可以直接使用这个邮箱的完整地址和密码作为自己的Windows Live ID使用。
在安装了BitLocker和EFS增强软件,并申请了自己的Windows Live ID后,我们可以开始备份和还原自己的密钥了。备份的过程如下:
打开“控制面板”,依次进入“安全”|“密钥安全联机备份”,随后可以看到保存恢复密码的界面。
如果希望联机备份BitLocker的恢复密码,请单击“保存BitLocker恢复密码”按钮;如果希望备份EFS恢复证书,请单击“保存EFS恢复证书”按钮。单击对应的按钮后可以看到登录界面,首先在“描述”文本框中输入对该内容的描述(例如“台式机的BitLocker密钥备份”),然后在登录文本框中输入自己的Windows Live ID名称和密码,并单击“提交”按钮。
|
|
选择要联机备份的密钥 |
如果需要找回自己的密钥,可以在任何一台计算机上启动Internet Explorer浏览器,在地址栏输入“https://www.windowsmarketplace.com”,并按下回车键。
在随后出现的页面的右上角单击“Sign In”按钮,并使用备份密钥时使用的Windows Live ID登录,随后可以返回之前打开的主页面。在主页面上单击页面顶部中央的“Your Digital Locker”链接,可以看到下载恢复密钥的界面。
|
|
将备份的密钥下载到本地 |
在有TPM芯片参与的BitLocker加密模式下,在加密系统盘的同时,加密程序会把主引导记录(MBR)、NTFS卷的引导扇区、NTFS引导代码、还有BitLocker密钥等启动部件(要知道,这些重要的启动部件并非全部保存在被加密的Windows安装分区中,还有一部分是被保存在未加密的“系统盘”中的)做一个“快照”保存在TPM芯片里。每次系统启动时,解密程序会自动将这些文件的内容与TPM芯片里保存的快照进行比较,只有发现这些启动部件没有发生变化的情况下,才会继续解密过程。也就是说,有TPM芯片参与的BitLocker加密可以接管系统的引导过程,保证引导文件的完整性,并保证在操作系统完全启动好之前不被攻击。一旦发现这些重要引导文件的内容和TPM芯片中保存的“快照”信息不相符(可能是硬件损坏或者被病毒感染导致,也有可能是用户自己的操作导致,例如安装多系统,或者更新BIOS),那么就会提示用户,系统文件可能已经经过了篡改,而单纯的U盘模式BitLocker无法实现这项功能。□
评论
楼层 |
评论人 |
评论内容摘要 | 发表时间 |
新品欣赏
 |  |  |