时间:2017-07-30 来源:u小马 访问:次
对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密就显得很有必要了。
全盘加密的意义有以下两个:
1、淘汰旧电脑的时候,旧电脑硬盘上遗留的机密数据不会被有心人士挖掘出来并公之于众;
2、只要加密强度设置地足够高,无论是执法人员还是那些企图盗取数据的不法分子都无法获取他们想要的数据。
对于windows平台,这里我介绍两种全盘加密方法:
UEFI启动方式:BitLocker加密。某些设备像Surface系列出厂就默认开启了,这里讨论的是那些默认不开启的电脑。
Legacy启动方式:使用开源加密软件,如VeraCrypt(TrueCrypt的分支项目)。
当然,只要满足一定条件,Legacy启动方式下也可以使用BitLocker加密。
首先,介绍BitLocker加密如何操作。BitLocker加密功能不适用于家庭版的windows Vista/7/8/8.1/10。
BitLocker加密最好在至少windows 8专业版或企业版下完成,这里使用windows 10专业版来演示。
理论上讲windows Vista商业版/企业版/旗舰版、windows 7专业版/企业版/旗舰版、WES7也可以BitLocker全盘加密,但是无法在开机输入普通的解密密码解密,只能使用TPM芯片、密钥盘和难以记忆的恢复密钥来解密。
在系统盘按鼠标右键,选择启用BitLocker。
相信绝大多数人的电脑都没有TPM芯片,会收到这个提示。
商用级别的电脑一般会具备TPM芯片,可以正常进行步骤。
将它关闭,运行组策略管理器(gpedit.msc)。
依次展开计算机配置下的“管理模板”、“windows组件”、“BitLocker驱动器加密”、“操作系统驱动器”。
打开“启动时需要附加身份验证”。
将其配置成“已启用”,并开启“没有兼容的TPM时允许BitLocker”。
如果你的电脑有TPM芯片但不想利用硬件自带的TPM芯片来实现开机自动解密,那么将配置TPM启动改成“不允许TPM”,其余保持默认,确定。
如果你想提高加密的安全性,依次展开计算机配置下的“管理模板”、“windows组件”、“BitLocker驱动器加密”,里面有“选择驱动器加密方法和密码长度”。
对于windows Vista到windows 10首个正式版,建议选择AES 256位。
对于windows 10版本1511(TH2)和以上版本,建议按照下图配置。
修改成256位加密之后,加密所需时间可能会比使用128位加密更长,但是为了获取更高的安全性,这是十分值得的。
这个时候应该就可以加密了。
可能会出现这个提示,不用管。
执行到这个步骤的时候,系统会问你是打算利用U盘解密还是输入密码解密。
我个人比较推荐使用密码来解密。
输入一个强密码,这个步骤不用我多说了,越复杂越好,越没规律越好,不要设置成你的生日,手机号之类的简单密码。
最后系统会问你将恢复密钥保存到哪里。
如果使用的是windows 8或以上版本,你可以保存到微软账户上。你也可以保存到U盘上或者是移动硬盘上,或者是打印下来(不推荐)。
删除恢复密钥,就等于切断了你救回数据的重要途径。
如果使用的是windows 8或以上版本,系统会问你是加密已使用空间还是整个驱动器。
如果是一块刚刚装好系统的全新硬盘,此前没有接触过任何机密数据,那么使用仅加密已用磁盘空间即可,可以大幅节省加密所需的时间。
但如果以前有接触过且此前确实没特地擦除过机密数据,那么使用加密整个驱动器是最稳妥的。
这里我们使用“加密整个驱动器”。
系统右下角会提示你准备重启电脑,点开之后,点“立即重新启动”。
重启之后,将你前面设置的密码照着输入一遍,然后回车进入系统。
重启回到系统之后,系统就会自动对系统盘进行加密处理。
如果你用的不是Administrator账号,你是看不到系统盘加密进度的。这种情况下,你可以利用管理员命令提示符或是PowerShell执行manage-bde -status命令来查看加密进度。
这个时候,你可以继续加密其它非系统盘或U盘,这个加密过程可以实时看到。
加密非系统盘的界面和加密系统盘的界面有一定区别,少了一些步骤。
不过我相信你们应该都知道怎么操作了。
你还可以打开BitLocker驱动器加密管理(在Cortana搜索框可以轻易调出),在里面开启非系统盘自动解锁。但是,开启这个功能的前提是系统盘必须要开启BitLocker加密。
由于加密过程十分漫长,系统支持在加密的过程中暂停加密,等时间允许之后再来完全加密。
Legacy启动方式使用BitLocker全盘加密的一个基本要求是,启动文件必须放在一个单独的分区里,也就是系统保留分区,这样才可以BitLocker全盘加密。如果是使用原版安装镜像安装的windows且确实保留了系统保留分区,那么一般是符合这个条件的。
不知道的话,可以打开磁盘管理(diskmgmt.msc)检查是否有系统保留分区。
以后每次开机,都会见到这个BitLocker加密输入密码的提示。
一些PE可以支持对BitLocker分区的访问,例如windows原版安装镜像附带的winPE,以及光卡所制作的Hikari PE,这么一来就可以在需要重装系统的时候转移你需要转移的数据。
以使用windows原版安装镜像附带的winPE为例,从安装镜像启动,进入系统安装界面之后,按下Shift+F10来调出命令提示符。如果我们要解密C盘,输入这个命令:
manage-bde -unlock C: -pw
执行之后,输入解密密码,然后就可以访问加密分区了。
如果是要使用恢复密钥解密,那么命令就是:
manage-bde -unlock C: -recoverypassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
上述命令中的“XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX”就是恢复密钥。
进行加密会使硬盘的写入速度降低一些,不过为了更稳妥的安全性,即便损失一点写入速度也是比较值得的。
如果你想解除BitLocker加密,你可以在BitLocker管理界面关闭BitLocker。建议先关闭数据盘的BitLocker后关闭系统盘的BitLocker。
如果你使用的是windows XP、windows Vista、windows 7或使用Legacy启动方式的windows 8及以上版本,那么你还可以使用第三方加密工具,例如VeraCrypt。
TrueCrypt 7.1a也可以使用,两者的使用方法大同小异。
VeraCrypt可在这里下载:https://www.veracrypt.fr/en/Downloads.html
TrueCrypt可在这里下载:https://truecrypt.ch/downloads/
首次启动,如果需要改成中文,你可以在Settings–Language里改成简体中文。
点“系统”里的加密系统分区/驱动器。
然后下一步,你可以根据你的实际情况选择是加密系统盘还是全部分区。一般情况下,建议选择“加密整个硬盘驱动器”。
加密主机保护区域,如果你的硬盘确实弄的很复杂,比如组了RAID,那么请选择否。如果只有一块硬盘,那么选择“是”。
是否加密多个系统,这里请根据实际情况选择,一般情况下选择“单系统”。
加密算法,一般情况下保持默认即可,无需改动。
这个步骤设置一个足够长的密码,如果少于20个字符,下一步之前它会警告。这里为了演示,使用了一个16字符的密码。
到了这个阶段,就是产生加密所需随机数值的过程。你需要将鼠标在这个窗口内随意移动,最好是移动到进度条填满为止。
然后就可以下一步,你可以看到你的首密钥和主密钥。这个你可以勾上下面的选项来记下来,也可以不用记下来。
接下来就是制作应急盘的过程。将应急盘镜像做出来之后,单独复制出来一份保存。
接下来到了擦除空闲空间的步骤。
如果是一块从未接触过机密数据的硬盘,可以不用擦除,直接进行下一步。
如果接触过机密数据,一般选择7次擦除。不放心的话可以使用Gutmann的35次擦除。
需要注意的是,固态硬盘不能使用此方法擦除数据,应改为使用厂商提供的安全擦除法。
接下来就是启动预测试,点测试,看清楚使用说明之后,重启电脑。
重启之后,你应当会进入这样的界面。
输入密码并回车,在系统询问PIM值的时候,直接按回车键即可。
验证过程需要等待一会儿,然后就进入系统了。
进入系统之后,系统会提示加密完成,只需要点Encrypt正式开始加密即可。
加密完成需要花一些时间,你可以随时点旁边的Pause暂停加密。
你还可以在VeraCrypt主界面里进入“设置”,“系统加密”,在这里所说的勾选隐藏系统加密的提示和PIM值要求。如果愿意的话还可以显示自定义信息。
在这个例子中,我们将启动时的提示改成IPC Corporation Loader,这样开机的时候就会卡在这个提示下。
你在这个提示下照常输入密码然后按下回车键,等大概40秒(以这个情况为例)即可进入系统。如果觉得比较慢,可以解密之后改用TrueCrypt加密。
下面来说一下如何使用急救盘以及解除VeraCrypt/TrueCrypt加密。
在TrueCrypt启动程序损坏的时候,从急救盘启动,然后就像之前验证那样把密码输入一遍。
而解密的话,只需要进入系统之后,点“永久解密系统分区/驱动器”即可。
无论是哪种加密途径,要说明的几个注意事项:
1、一定要设置一个开机密码,不用电脑的时候将电脑锁定;
2、如果电脑有1394接口,一定要禁用掉,并在组策略禁止1394设备的安装防止有心人士加装1394扩展卡。因为IEEE1394可以直接访问内存,只要在系统登录界面下,拿出另一台电脑,用火线将两台电脑连接起来,通过某些工具直接将整个内存做一个镜像,然后从内存读取解密密码,剩下的就不用多说了。这个操作就是所谓的“火线攻击”(Firewire Attack)。禁用1394接口带来的影响,就是使用1394接口的外设全部无法使用。不过我想现在应该没几个人还在用1394接口传输数据了吧;
3、不要将密码存在不安全的地方,例如写在一张纸条放在电脑旁边,这跟没加密没区别了。加密的意义就是要防止有心人士获取不想被其他人获取的数据。
4、无论是哪种加密方式,都会对硬盘的性能带来一定影响。如果这个电脑不拿来进行机密文件的处理,就是拿来日常娱乐,那么全盘加密是毫无必要的。