Bitlocker,初学者指南
- 类别: 安全
Windows Vista首次引入的BitLocker是一种全驱动器加密技术,可与兼容计算机(称为“受信任的平台模块”(TPM芯片))中的硬件一起使用。它提供企业级数据加密,并在一些政府机构首次出现时引起了一些争议,这些机构呼吁微软给他们留下后门,而微软对此坚决拒绝。
如果您有一台带有TPM芯片的便携式计算机,那么使用BitLocker加密硬盘上的内容是非常值得的活动,尤其是对于您可能在员工或客户中携带敏感个人数据或任何数据的办公计算机随身携带都应遵守当地数据保护法规。
Bitlocker也易于使用,您只需进入Windows控制面板中的BitLocker选项,选择要加密的硬盘,如果计算机具有TPM芯片,则将其打开。但是使用BitLocker会带来什么问题和陷阱呢?
Bitlocker将在后台非常有效且安静地工作,您甚至都不会意识到它在那里。如果Windows出现问题,这可能会导致问题,您需要从备份中还原它,或者完全重新安装它。
使用BitLocker加密磁盘时,Windows会提示您将加密密钥的副本存储在USB笔式驱动器上。这样做有充分的理由,明智的做法是在该Pen Drive上保留加密密钥的副本,并将驱动器本身放在安全但方便的地方。显然,如果您要带出一台笔记本电脑,并且您不应该始终将Pen Drive随身携带,以免笔记本电脑被盗,这几乎与根本没有加密一样严重。
如果您需要从备份映像还原Windows,则Windows中的“完整系统还原”将要求您提供加密密钥的副本,然后才能与您的硬盘一起使用。它将很高兴地在Pen Drives上查找并找到适当的键。没有这些键,还原过程将根本无法进行,Windows 7中的任何启动修复选项也将根本无法进行。
当您重新安装Windows时,问题将更加严重。在执行此操作之前,完全解密受BitLocker保护的驱动器是非常明智的。这个过程最好是整夜运行。如果尝试在已加密的分区上重新安装Windows 7,或者擦除并重新创建原始分区并为文件添加第二个分区或磁盘,则可能会造成各种类型的安全问题。
BitLocker加密的磁盘与Windows安装的引导加载程序绑定在一起,正是由于这个原因,它会在TPM芯片释放解密密钥之前寻找它是否被修改。重新安装Windows太容易了,然后发现您再也无法访问您的文件和数据了,因为它们已经加密并且没有以安全的非加密形式备份。
当您处理任何形式的文件或磁盘加密时,备份是必不可少的,甚至我个人讨厌Windows EFS(加密文件系统),因为它在压缩文件时出于毫无意义的原因将有用的元数据从文件中剥离出来。您应始终确保将文件的至少一个完全未加密的备份副本存储在安全的位置。
我还建议您将加密密钥的副本保存在安全的位置,也许是Microsoft的SkyDrive服务。如果黑客获得了您的帐户访问权限并下载了密钥,这甚至都没有关系,因为如果没有物理访问它们所关联的计算机的权限,密钥对他们就完全没有用了。
因此,尽管BitLocker是一个绝妙的主意,并且我将其与指纹扫描仪配对在自己的笔记本电脑上使用,但在实施时需要非常小心。