浅谈Windows7系统下BitLocker驱动器加密.doc

浅谈Windows7系统下BitLocker驱动器加密 　　摘 要：伴随着网络的快速发展，电脑应用越来越广泛，隐私安全问题也越来越突出。本文主要阐述Windows7旗舰版下本地硬盘的BitLocker加密功能。 关键词：windows7系统；分区；BitLocker加密 中图分类号：TP316.7 BitLocker是Windowsvista和Windows7所引入的一个新功能，其全称是BitLocker驱动器加密（BitLockerDriveEncryption）。BitLocker可以对整个Windows分区进行加密，经过BitLocker加密，即使计算机丢失，所保存的资料也不会泄露。Windows7系统中，BitLocker加密只可用于Windows7旗舰版与Windows7专业版。 1 BitLocker加密对磁盘的分区要求 1.1 系统保留分区 Windows7在安装时就会默认创建好BitLocker所需100MB空间的系统保留分区。系统保留分区的功能是引导计算机，该分区必须标记为活动并不能被加密。 1.2 Windows系统分区 Windows系统分区用来安装Windows7系统文件，里面保存有操作系统、休眠文件、页面文件、机密数据与临时文件等，可以对该分区进行全卷加密。 1.3 除Windows系统分区以外的其他数据分区 这类分区相对独立，里面保存有用户各种资料，可以对这类分区全卷加密。 2 BitLocker加密模式 2.1 TPM模式 要求计算机的主板带有1.2版本的TPM芯片，系统会将解锁磁盘所需的根密钥存放在TPM芯片里。TPM模式还另外支持系统启动部件的完整性检测，可以实现最高等级的安全保护措施。设置BitLocker加密时，系统会把主引导记录（MBR），NTFS卷的引导扇区与引导代码、以及BitLocker密钥做成一个“快照”存放在TPM芯片里。每次系统启动时会自动与TPM芯片里的快照进行比较，当检测到这些启动部件没有变化才会继续解密过程。 2.2 USB闪盘模式 假如主板不带TPM芯片，那可以使用USB闪盘。可以将解锁磁盘所需的密钥放在USB闪盘里。计算机BIOS③支持USB启动，USB闪盘模式才可以加密解锁Windows分区。 3 纯TPM模式对Windows系统分区进行BitLocker加密 3.1 初始化TPM 用这种方法对Windows系统分区加密后，用户访问计算机时非常方便，不需要额外的操作。假如是第一次进行操作，首先必须初始化TPM，以获得TPM芯片的控制权。在开始菜单的搜索框中输入“tpm.msc”后按回车打开TPM管理窗口；其次，在该窗口的右侧操作窗格中单击“初始化TPM”链接就可打开“初始化TPM安全硬件”对话窗口；再次，单击“自动创建密码（推荐）”链接，在接下来的对话框中会显示TPM所有者的密码，单击“保存密码”链接；接着，指定密码保存的路径，应该将其保存在移动硬盘或者USB闪盘等移动介质上，便于今后安全访问。最后，显示TPM初始化完成，点击“关闭”按钮即可。 3.2 实现TPM的BitLocker加密，TPM芯片初始化完成就可以开始对系统分区进行加密了 （1）在“开始”菜单的搜索框中输入“BitLocker驱动器加密”回车，进入BitLocker驱动器加密控制面板窗口，可以看到其列出的所有可加密的磁盘分区。 （2）单击Windows系统分区一栏的“启用BitLocker”链接，系统会自动开始检查计算机是否满足要求，然后会提示开始准备启用BitLocker加密。单击“下一步”按钮，接下来系统会进行一些准备工作，例如将Windows恢复环境迁移。 （3）单击“下一步”按钮，出现对话框提示用户保存恢复密码。最好不要把恢复密码保存在本地计算机上，以免计算机丢失后被他人轻易获取恢复密码。这里选择“将恢复密码保存到USB闪存驱动器”选项，然后插入USB闪存，选择保存位置点击“保存”按钮。 （4）保存以后会弹出新的对话框，在对话框中选中“运行BitLocker系统检查”复选框，确保系统能够正常支持BitLocker加密。 （5）单击“继续”按钮，提示必须重新启动计算机，单击“现在重启动”按钮。 （6）计算机重新启动后，如果检查没有问题，系统就会自动开始加密进程。 根据计算机性能，加密分区数据量的大小，整个加密过程需要花费一定时间。加密完成后几乎感觉不到BitLocker的存在，使用过程中没有额外的操作，也不会感觉到计算机性能的损失。如果拆下该硬盘安装在其他计算机上访问，会提示分区尚未格式化的错误消息。 3.3 对其他数据分区的加密