Windows BitLocker 驱动器加密循序渐进指南.docx
《Windows BitLocker 驱动器加密循序渐进指南.docx》由会员分享,可在线阅读,更多相关《Windows BitLocker 驱动器加密循序渐进指南.docx(16页珍藏版)》请在冰豆网上搜索。
WindowsBitLocker驱动器加密循序渐进指南
WindowsBitLocker驱动器加密循序渐进指南
应用到:
WindowsServer2008,WindowsVista
本循序渐进指南提供在测试环境中使用Windows®BitLocker(TM)驱动器加密所需的说明。
建议您首先在测试实验室环境中执行本指南中提供的步骤。
不一定必须使用循序渐进指南才能部署Windows Vista®操作系统功能,而不使用随附文档(例如在其他资源部分列出的文档),应将其作为独立的文档谨慎使用。
什么是BitLocker驱动器加密?
BitLocker驱动器加密是Windows Vista操作系统包含的一项完整的新安全功能,可以很安全地保护计算机上的操作系统和操作系统卷中存储的数据。
BitLocker可确保存储在运行Windows Vista的计算机上的数据始终处于加密状态,即使计算机在未运行操作系统时被篡改也是如此。
这有助于防范“脱机攻击”,即通过禁用或阻止已安装的操作系统而展开的攻击,或通过实际取走硬盘来单独攻击数据而展开的攻击。
BitLocker使用受信任的平台模块(TPM)为数据提供增强保护,并确保早期启动组件的完整性。
通过加密整个Windows卷,此模块可以帮助防止数据被盗或XX查看。
BitLocker的目的在于提供无缝的用户体验。
它专用于具有兼容的TPM微芯片和BIOS的系统。
兼容的TPM被定义为1.2版TPM。
根据受信任的计算组所定义的内容,兼容的BIOS必须支持TPM和信任度量静态根。
有关TPM规范的详细信息,请访问受信任的计算组网站的TPM规范部分(
TPM通过与BitLocker交互帮助在系统启动时提供无缝保护。
这对于用户是透明的,用户登录体验并未改变。
但是,如果TPM丢失或发生更改,或者启动信息发生更改,则BitLocker将进入恢复模式,您需要输入恢复密码才能重新访问这些数据。
应使用BitLocker驱动器加密的用户
本指南主要供以下用户参考:
∙评估产品的IT计划者和分析者
∙安全架构师
本指南中包含的内容
本指南的目的是帮助管理员熟悉Windows Vista的BitLocker驱动器加密功能。
下面各部分提供管理员在自己的网络中配置和部署BitLocker所需的基本信息和步骤。
方案 1提供有关创建BitLocker驱动器加密所需的两个分区的说明。
方案2解释如何使用BitLocker和TPM加密驱动器。
方案 3介绍如何使用BitLocker高级启动选项。
方案 4描述如何在锁定后访问加密数据,以及如何通过生成锁定对BitLocker进行测试。
方案5指导您关闭BitLocker。
备注
本指南中讨论的方案与使用BitLocker驱动器加密操作系统卷有关。
当操作系统卷经过加密后,BitLocker还可以用于加密固定数据卷。
∙BitLocker驱动器加密的要求
∙方案1:
为BitLocker驱动器加密对硬盘进行分区
∙方案2:
打开BitLocker驱动器加密
∙方案3:
启用BitLocker驱动器加密高级启动选项
∙方案4:
恢复由BitLocker驱动器加密保护的数据
∙方案5:
关闭BitLocker驱动器加密
∙其他资源
BitLocker驱动器加密的要求
这些步骤仅供测试使用。
本指南不应作为您用来部署MicrosoftWindows Server® 2008或Windows Vista功能的唯一资源。
硬件和软件要求
∙满足Windows Vista的最低要求的计算机。
∙已打开的TPM微芯片1.2版。
(方案 2和3)。
∙与受信任的计算组(TCG)兼容的BIOS(方案 2和3)。
∙两个NTFS驱动器分区,一个用于系统卷,一个用于操作系统卷。
系统卷分区必须至少为1.5GB并设置为活动分区(方案1)。
∙首先从硬盘驱动器而不是USB或CD驱动器启动的BIOS设置。
备注
对于包含USB闪存驱动器的任何测试,BIOS必须支持在启动时读取USB闪存驱动器。
∙我们强烈建议在启用BitLocker后不要运行内核调试程序,因为可以通过该调试程序访问加密密钥和其他敏感数据。
但是,可以在启用BitLocker之前启用内核调试。
如果在启用BitLocker后启用内核调试,则每次重新启动计算机时,系统都会自动启动恢复过程。
如果启用启动调试程序(使用“-bootdebug”选项执行内核调试),则每次重新启动计算机时,系统都会自动启动恢复进程。
方案1:
为BitLocker驱动器加密对硬盘进行分区
为了使用BitLocker,您的硬盘上必须至少包含两个分区。
第一个分区作为系统卷,在本文档中标记为S。
此卷包含未加密空间中的启动信息。
第二个分区作为操作系统卷,在本文档中标记为C。
该卷已加密,并包含操作系统和用户数据。
必须在安装Windows Vista之前创建这些分区。
备注
某些情况下,一个卷可能会涉及多个分区。
本文档仅讨论简单卷,此时卷和分区功能相当。
BitLocker与卷(一种逻辑结构)配合工作,但是许多磁盘工具考虑的是物理磁盘分区。
方案1描述如何创建BitLocker所需的两个分区。
该过程假设您已备份磁盘上的所有数据。
∙如果您有一个仅带单个分区的未使用磁盘,请按照为BitLocker对不带操作系统的驱动器进行分区中的步骤进行操作。
备注
请确保您已备份所有数据,并且拥有Windows Vista的产品密钥。
备注
如果已经将Windows Vista安装在单个分区上,则可以使用BitLocker驱动器准备工具配置BitLocker所需的卷。
有关详细信息,请参阅
为BitLocker对不带操作系统的磁盘进行分区
在此过程中,将从产品DVD启动计算机,然后输入一系列命令执行以下操作:
∙创建一个新的1.5GB主分区。
∙将此分区设置为活动分区。
∙使用磁盘上的剩余空间创建第二主分区。
∙格式化这两个新分区,以便将其用作Windows卷。
∙将Windows Vista安装在较大的卷(驱动器C)上。
备注
必须创建第二个活动分区,BitLocker才能正常工作。
您的驱动器号可能与本示例中的不对应。
在本示例中,操作系统卷标记为C,系统卷标记为S(代表系统卷)。
在本示例中,我们还假设该系统只有一个物理硬盘驱动器。
为BitLocker对不带操作系统的磁盘进行分区的步骤
1.从Windows Vista产品DVD启动计算机。
2.在最先显示的“安装Windows”屏幕上,选择“安装语言”、“时间和货币格式”及“键盘布局”,然后单击“下一步”。
3.在下一个“安装Windows”屏幕上,单击屏幕左下角的“修复计算机”。
4.在“系统恢复选项”对话框中,确保未选中任何操作系统。
为此,请单击“操作系统”列表中所有列出项下面的空白区域。
然后,单击“下一步”。
5.在下一个“系统恢复选项”对话框中,单击“命令提示符”。
6.使用Diskpart创建操作系统卷的分区。
在命令提示符下,键入 diskpart,然后按Enter。
7.键入 selectdisk0。
8.键入 clean 以清除现有分区表。
9.键入 createpartitionprimarysize=1500 以将正在创建的分区设置为主分区。
10.键入 assignletter=S 以便为此分区提供S表示符。
11.键入 active 以便将新的分区设置为活动分区。
12.键入 createpartitionprimary 创建另一个主分区。
您将在这一较大的分区上安装Windows。
13.键入 assignletter=C 以便为此分区提供C表示符。
14.键入 listvolume 以查看此磁盘上的所有卷的显示。
您将看到列出的每个卷、卷编号、卷号、标签、文件系统、类型、大小、状态和信息。
检查您是否有两个卷,以及是否知道用于每个卷的标签。
15.键入 exit 以退出diskpart应用程序。
16.键入 formatc:
/y/q/fs:
NTFS 以便对C卷正确进行格式化。
17.键入 formats:
/y/q/fs:
NTFS 以便对S卷正确进行格式化。
18.键入 exit 以离开命令提示符。
19.在“系统恢复选项”窗口中,使用右上角的关闭窗口图标(或者按Alt+F4)关闭窗口,返回主安装屏幕。
(切勿单击“关机”或“重新启动”。
)
20.单击“现在安装”,继续执行Windows Vista安装过程。
在较大的卷C:
(操作系统卷)上安装Windows Vista。
方案2:
打开BitLocker驱动器加密
方案2概括介绍了在带有TPM的系统中打开BitLocker驱动器加密保护功能的过程。
加密卷后,用户可以正常登录计算机。
使用以下过程可打开BitLocker驱动器加密。
开始之前
∙您必须以管理员身份登录。
∙您可以对打印机进行配置,以打印恢复密码。
打开BitLocker驱动器加密的步骤
1.依次单击「开始」、“控制面板”、“安全”和“BitLocker驱动器加密”。
2.如果出现“用户帐户控制”消息,请验证建议的操作是否为您请求的操作,然后单击“继续”。
有关详细信息,请参阅本文档稍后介绍的其他资源。
3.在“BitLocker驱动器加密”页上,在操作系统卷上单击“打开BitLocker”。
如果未初始化TPM,您将看到“初始化TPM安全硬件”向导。
请按照指示初始化TPM并重新启动计算机。
4.在“保存恢复密码”页上,您将看到以下选项:
o“在USB驱动器上保存密码”。
将密码保存到USB闪存驱动器。
o“在文件夹中保存密码”。
将密码保存到网络驱动器或其他位置。
o“打印密码”。
打印密码。
请使用其中的一个或多个选项保留恢复密码。
对于每个选项,请选择该选项并按照向导步骤设置用于保存或打印恢复密码的位置。
在完成保存恢复密码后,请单击“下一步”。
重要事项
如果必须将加密驱动器移动到其他计算机,或者对系统启动信息进行更改,将需要恢复密码。
此密码非常重要,因此建议您在安全位置另外存储一个该密码的副本,以确保能够访问您的数据。
如果BitLocker进入锁定状态,则需要使用恢复密码才能解除锁定卷上的加密数据(请参阅方案4:
恢复由BitLocker驱动器加密保护的数据)。
此恢复密码专用于此特定的BitLocker加密。
您无法使用该密码来恢复任何其他BitLocker加密会话中的加密数据。
重要事项
为尽量保证安全,请将恢复密码存储在计算机以外的位置。
5.在“加密所选磁盘卷”页上,确认选中了“运行BitLocker系统检查复选框,然后单击“继续”。
通过单击“立即重新启动”确认您要重新启动计算机。
计算机将重新启动,BitLocker将验证计算机是否兼容BitLocker以及是否做好了加密准备。
否则,您将看到一条错误消息,警告您有问题。
6.如果已经准备好加密,将会显示“加密进行中”状态栏。
将鼠标光标拖到屏幕底部工具栏中的BitLocker驱动器加密图标上,可以监视正在进行的磁盘卷加密的完成状态。
.
完成此步骤后,您已经加密了操作系统卷,并创建了该卷的唯一恢复密码。
下次登录时,您不会看到任何更改。
如果TPM发生更改或无法访问,如果对关键系统文件做过更改,或者如果有人尝试从磁盘启动计算机以阻止操作系统,则计算机将切换到恢复模式,直到提供恢复密码为止。
方案3:
启用BitLocker驱动器加密高级启动选项
方案3提供更改计算机组策略设置的过程,以便您可以在没有TPM的情况下启用BitLocker驱动器加密,或启用BitLocker高级启动选项之一:
使用带有PIN的TPM或使用带有启动密钥的TPM。
对于非TPM方案,您可以使用启动密钥对自己进行身份验证。
打开计算机之前,启动密钥位于插入计算机的USB闪存驱动器中。
在这种情况下,计算机必须具有能够在预操作系统环境(在启动时)中读取USB闪存驱动器的BIOS。
BitLocker设置向导最后阶段的硬件测试可以检查BIOS。
在使用带有高级启动选项的TPM的方案中,可以向标准TPM保护功能添加第二个身份验证因素:
PIN(“您所知的事物”)或USB闪存驱动器上的启动密钥(“您拥有的事物”)。
若要使用带有TPM的USB闪存驱动器,计算机必须具有能够在预操作系统环境(在启动时)中读取USB闪存驱动器的BIOS。
BitLocker设置向导最后阶段的硬件测试可以检查BIOS。
开始之前
∙您必须以管理员身份登录。
∙必须有一个USB闪存驱动器用于保存恢复密码。
∙我们建议使用另一个USB闪存驱动器存储启动密钥,将启动密钥与恢复密码分开存储。
在不含兼容TPM的计算机上打开BitLocker驱动器加密的步骤
1.单击「开始」,在“开始搜索”框中键入 gpedit.msc,然后按Enter。
2.如果出现“用户帐户控制”对话框,请验证建议的操作是否为您请求的操作,然后单击“继续”。
有关详细信息,请参阅本文档稍后介绍的其他资源。
3.在“组策略对象编辑器”控制台树中,依次单击“本地计算机策略”、“管理模板”和“Windows组件”,然后双击“BitLocker驱动器加密”。
4.双击“控制面板设置:
启用高级启动选项”设置。
“控制面板设置:
启用高级启动选项”对话框即会显示。
5.选择“启用”选项,选中“没有兼容的TPM时允许BitLocker”复选框,然后单击“确定”。
您已更改了策略设置,因而可以使用启动密钥,而不是TPM。
6.关闭“组策略对象编辑器”。
7.若要立即强制应用组策略,可以单击「开始」,在“开始搜索”框中键入 gpupdate.exe/force,然后按Enter。
等待进程完成。
8.依次单击「开始」、“控制面板”、“安全”和“BitLocker驱动器加密”。
9.如果出现“用户帐户控制”消息,请验证建议的操作是否为您请求的操作,然后单击“继续”。
有关详细信息,请参阅本文档稍后介绍的其他资源。
10.在“BitLocker驱动器加密”页上,在操作系统卷上单击“打开BitLocker”。
11.在“设置BitLocker启动首选项”页上,选择“每一次启动时要求启动USB密钥”选项。
这是非TPM配置的唯一可用选项。
在启动计算机前,每次都必须插入此密钥。
12.如果USB闪存驱动器不在计算机中,请将其插入。
13.在“保存启动密钥”页上,选择USB闪存驱动器的位置,然后单击“保存”。
14.在“保存恢复密码”页上,您将看到以下选项:
o“在USB驱动器上保存密码”。
将密码保存到USB闪存驱动器。
o“在文件夹中保存密码”。
将密码保存到网络驱动器或其他位置。
o“打印密码”。
打印密码。
请使用其中的一个或多个选项保留恢复密码。
对于每个选项,请选择该选项并按照向导步骤设置用于保存或打印恢复密码的位置。
在完成保存恢复密码后,请单击“下一步”。
重要事项
如果必须将加密驱动器移动到其他计算机,或者对系统启动信息进行更改,将需要恢复密码。
此密码非常重要,因此建议您在安全位置另外存储一个该密码的副本,以确保能够访问您的数据。
如果BitLocker进入锁定状态,则需要使用恢复密码才能解除锁定卷上的加密数据(请参阅方案4:
恢复由BitLocker驱动器加密保护的数据)。
此恢复密码专用于此特定的BitLocker加密。
您无法使用该密码来恢复任何其他BitLocker加密会话中的加密数据。
重要事项
为尽量保证安全,请将恢复密码存储在计算机以外的位置。
15.在“加密所选磁盘卷”页上,确认选中了“运行BitLocker系统检查复选框,然后单击“继续”。
通过单击“立即重新启动”确认您要重新启动计算机。
计算机将重新启动,BitLocker将确保计算机兼容BitLocker并做好了加密准备。
否则,您将看到一条错误消息,警告您在开始加密之前的问题。
16.如果已经准备好加密,将会显示“加密进行中”状态栏。
将鼠标光标拖到屏幕底部工具栏中的BitLocker驱动器加密图标上或单击“加密”气球,可以监视正在进行的磁盘卷加密的完成状态。
完成此步骤后,您已经加密了操作系统卷,并创建了该卷的唯一恢复密码。
下次打开计算机时,必须将USB闪存驱动器插入计算机上的USB端口。
如果未插入,您将无法访问加密卷上的数据。
请将启动密钥保存在计算机之外的地方,以提高安全性。
如果您没有包含启动密钥的USB闪存驱动器,则需要使用恢复模式并提供恢复密码,才能访问数据。
使用TPM及PIN或使用TPM及USB闪存驱动器上的启动密钥的打开BitLocker驱动器加密的步骤
1.单击「开始」,在“开始搜索”框中键入 gpedit.msc,然后按Enter。
2.如果出现“用户帐户控制”对话框,请验证建议的操作是否为您请求的操作,然后单击“继续”。
有关详细信息,请参阅本文档稍后介绍的其他资源。
3.在“组策略对象编辑器”控制台树中,依次单击“本地计算机策略”、“管理模板”和“Windows组件”,然后双击“BitLocker驱动器加密”。
4.双击“控制面板设置:
启用高级启动选项”设置。
“控制面板设置:
启用高级启动选项”对话框即会显示。
5.选择“已启用”选项。
对于TPM及PIN或启动密钥配置,您不需要进一步更改任何设置,但是您可以选择要求用户创建启动密钥或PIN还是不允许用户执行该操作。
单击“确定”。
6.单击「开始」,在“搜索”框中键入 gpupdate.exe/force,然后按Enter。
等待进程完成。
7.依次单击「开始」、“控制面板”、“安全”和“BitLocker驱动器加密”。
8.如果出现“用户帐户控制”消息,请验证建议的操作是否为您请求的操作,然后单击“继续”。
有关详细信息,请参阅本文档稍后介绍的其他资源。
9.在“BitLocker驱动器加密”页上,在系统卷上单击“打开BitLocker”。
10.在“设置BitLocker启动首选项”页上,选择需要的启动选项。
可以仅选择下列选项之一:
o无更多安全性。
o“每一次启动时要求PIN”。
您将看到“设置启动PIN”页。
输入您的PIN,确认,然后单击“设置PIN”。
o“每一次启动时要求启动USB密钥”。
您将看到“保存启动密钥”页。
插入USB闪存驱动器,选择驱动器位置,然后单击“保存”。
备注
Windows上运行的屏幕读取软件等辅助技术软件无法读取BitLocker启动屏幕,因为运行启动管理器时才显示这些屏幕。
启动管理器是在运行Windows之前运行的代码。
其中包括您键入PIN或恢复代码时显示的屏幕,以及任何BitLocker错误消息。
11.在“保存恢复密码”页上,您将看到以下选项:
o“在USB驱动器上保存密码”。
将密码保存到USB闪存驱动器。
o“在文件夹中保存密码”。
将密码保存到网络驱动器或其他位置。
o“打印密码”。
打印密码。
重要事项
如果必须将加密驱动器移动到其他计算机,或者对系统启动信息进行更改,将需要恢复密码。
此密码非常重要,因此建议您在安全位置另外存储一个该密码的副本,以确保能够访问您的数据。
如果BitLocker进入锁定状态,则需要使用恢复密码才能解除锁定卷上的加密数据(请参阅方案 4:
恢复由BitLocker驱动器加密保护的数据)。
此恢复密码专用于此特定的BitLocker加密。
您无法使用该密码来恢复任何其他BitLocker加密会话中的加密数据。
12.请选择以上任何一个选项保留恢复密码。
为尽量保证安全,请将恢复密码存储在计算机以外的位置。
若要选择多种恢复密码存储方法,请选择一种,按照向导确定保存或打印位置,然后单击“下一步”。
然后可以重复此步骤,选择其他恢复密码存储方法。
13.在“加密所选磁盘卷”页上,确认选中了“运行BitLocker系统检查复选框,然后单击“继续”。
通过单击“立即重新启动”确认您要重新启动计算机。
计算机将重新启动,BitLocker将确保计算机兼容BitLocker并做好了加密准备。
否则,您将看到一条错误消息,警告您在开始加密之前的问题。
14.如果已经准备好加密,将会显示“加密进行中”状态栏。
将鼠标光标拖到屏幕底部工具栏中的BitLocker驱动器加密图标上或单击“加密”气球,可以监视正在进行的磁盘卷加密的完成状态。
完成此步骤后,您已经加密了操作系统卷,并创建了该卷的唯一恢复密码。
下次打开计算机时,必须将USB闪存驱动器插入计算机上的USB端口,或必须输入PIN。
如果未插入,您将无法访问加密卷上的数据。
请将启动密钥保存在计算机之外的地方,以提高安全性。
如果没有启动密钥或PIN,您需要进入恢复模式并提供恢复密码,才能访问数据。
方案4:
恢复由BitLocker驱动器加密保护的数据
方案4描述BitLocker进入恢复模式后,恢复数据的过程。
如果磁盘加密密钥不可用,BitLocker将锁定计算机。
以下是可能原因列表:
∙出现与TPM相关的错误。
∙修改了早期启动文件之一。
∙TPM意外关闭,计算机关闭。
∙TPM意外清除,计算机关闭。
当计算机处于锁定状态时,启动过程很快就会中断,此时操作系统还没有启动。
必须使用USB闪存驱动器中的恢复密码,或者使用功能键来输入恢复密码。
F1到F9表示数字1到9,F10表示0。
由于恢复在启动过程中非常早的阶段就发生了,因此Windows的辅助功能不可用。
如果需要使用辅助功能,请考虑在恢复时需要执行什么操作。
此方案包括两个步骤:
∙测试数据恢复
∙恢复数据
测试数据恢复的步骤
1.依次单击「开始」、“所有程序”、“附件”,然后单击“运行”。
2.在“打开”框中键入 tpm.msc,然后单击“确定”。
此时将显示“TPM管理控制台”。
3.在“操作”下,单击“关闭TPM”。
4.如果需要,请提供TPM所有者密码。
5.当“本地计算机上的TPM管理”任务面板中的“状态”面板显示“TPM已关闭,并已获取所有权”时,请关闭此任务面板。
6.关闭所有打开的窗口。
7.如果已将包含恢复密码的USB闪存驱动器插入系统中,请使用通知区域中的“安全删除硬件”图标,从系统