使用智能卡提供BitLocker驅動器加密功能

 

「黃金有價、數據無價」，從一個方面說出了數據的重要。爲了保護重要的數據不丟失或損壞，應該將數據保存在不一樣的位置並分別備份。可是，既然數據如此重要，怎麼保護數據的安全呢？若是才能保證數據不被非法複製呢？

若是將數據保存在計算機硬盤上，是設置BIOS密碼開機密碼，仍是設置密碼操做系統登陸密碼，亦或是使用第三方軟件加密數據呢？

若是將數據保存在U盤或活動硬盤中，或者筆記本電腦中，一旦這些設備丟失怎麼辦？與此同時，保存在這些設備上的數據是否會給你帶來更大的損失呢？

即使沒有丟失，若是你的計算機、筆記本出了問題，例如須要重裝系統，在找人安裝系統的過程當中，你的相片或其餘重要的資料，是否是會被人拷貝複製呢？

本文介紹使用Windows內置的BitLocker驅動器加密，保護計算機本地硬盤、活動硬盤（包括U盤）數據安全。

1 什麼是BitLocker驅動器加密？

BitLocker驅動器加密是從Windows Vista操做系統開始提供的一個必不可少的安全功能，該功能幫助保護存儲在固定和可移動數據驅動器以及操做系統驅動器上的數據。BitLocker有助於防範「脫機***」，即經過禁用或阻止已安裝的操做系統而展開的***，或經過實際取走硬盤來單獨***數據而展開的***。對於固定和可移動數據驅動器，BitLocker幫助確保用戶只有在擁有所需密碼、智能卡憑據或者在擁有合適密鑰的計算機上使用受BitLocker保護的數據驅動器時纔可以在驅動器上讀取數據和將數據寫入到驅動器。若是您的組織包含運行先前版本Windows的計算機，BitLocker To Go讀取器可用於容許那些計算機來閱讀受BitLocker保護的可移動驅動器。

要在計算機上啓用BitLocker驅動器加密，須要軟件與硬件兩方面的支持。對於軟件，則須要操做系統是Windows Vista/7/8/2008/2008 R2/2012；對於硬件，要求啓用BitLocker驅動器加密的計算機上內置TPM芯片。對於沒有集成TPM芯片的計算機，則能夠採用智能卡，也可使用U盤存儲BitLocker驅動器密鑰。

TPM經過與BitLocker操做系統驅動器保護交互幫助在系統啓動時提供保護。這對於用戶是不可見的，用戶登陸體驗並未改變。可是，若是啓動信息發生更改，則BitLocker將進入恢復模式，您須要輸入恢復密碼或恢復密鑰才能從新訪問這些數據。

受信任的平臺模塊(TPM，Trusted Platform Module)是一種微芯片，使計算機可以利用高級安全功能，例如BitLocker驅動器加密。已將TPM內置到某些新型計算機中。請檢查隨計算機附帶的信息，以查看計算機是否安裝了 TPM。

當前一些品牌的筆記本或商用臺式機，配備用TPM兼容的芯片。對於大部分的家用計算機、筆記本電腦則沒有兼容的TPM芯片。若是要啓用BitLocker驅動器加密功能，可能採用U盤存儲密鑰，對於企業用戶來講，則能夠經過配備智能卡、爲智能卡申請BitLocker驅動器加密證書的方式，保護企業或我的數據。本文經過圖2-1的拓撲介紹，在企業中配置BitLocker驅動器加密的方式。

圖2-1 BitLocker驅動器加密功能

在圖2-1中，一臺Active Directory服務器，該服務器安裝Windows Server 2008 R2操做系統，並安裝企業證書服務器，網絡中操做系統使用Windows 7或Windows 8操做系統。企業中的每一個員工配備智能卡，並自行從企業網絡申請BitLocker驅動器加密證書，加密員工計算機及可移動設備磁盤，達到保護數據安全的目的。

2配置Active Directory與企業證書服務器

若是向智能卡寫入「BitLocker驅動器加密」證書，則須要「企業證書服務器」，而「企業證書服務器」則須要Active Directory的支持。因此，要爲企業網絡構建用智能卡實現BitLocker驅動器加密的體系架構，則須要Active Directory及企業證書服務器。在本文中，Active Directory的配置與企業證書服務器的安裝不作過多介紹。

3添加BitLocker驅動器加密功能

在安裝好「企業證書服務器」以後，還要在證書服務器上，添加「BitLocker驅動器加密」功能，主要步驟以下。

（1）在「服務器管理器」中，右擊「功能」選擇「添加功能」。

（2）在「選擇功能」對話框中，選擇「BitLocker驅動器加密」，如圖2-18所示。

圖2-18選擇功能

（3）安裝完成以後，從新啓動服務器。

4添加BitLocker模板

在企業證書服務器中，並無爲「BitLocker驅動器加密」配置證書模板，管理員能夠經過複製一個現有的模板，併爲其添加BitLocker驅動器加密功能。

（1）在安裝了企業證書服務器及BitLocker驅動加密的服務器中，打開「證書頒發機構」，右擊「證書模板」選擇「管理」，如圖2-21所示。

圖2-21管理證書模板

（2）在「證書模板控制檯」對話框，右擊「用戶」，在彈出的快捷菜單中選擇「複製模板」，如圖2-22所示。

圖2-22複製用戶模板

（3）在「複製模板」對話框中，選擇「Windows Server 2003 Enterprise」。

（4）在「新模板的屬性」對話框，在「常規」選項卡中，修改模板的顯名名稱及模板名，在此修改成「BitLocker」，如圖2-24所示。

圖2-24修改模板名稱

【說明】不須要修改該證書的有效期。使用BitLocker驅動器加密時，證書即便過時也仍然可使用。

（5）在「使用者名稱」對話框，在「用Active Directory中的信息生成」選項組中，只選擇「用戶主體名稱」，如圖2-25所示。取消「在使用者名稱中包括電子郵件名」、「電子郵件名」的選擇。

圖2-25使用者名稱

（6）在「擴展」選項卡中，在「這個模板中包括的擴展」選項中，選擇「應用程序策略」，單擊「編輯」按鈕，在彈出的「編輯應用程序策略擴展」對話框中，刪除「安全電子郵件」、「加密文件系統」、「客戶端身份驗證」而後單擊「添加」按鈕，在彈出的「添加應用程序策略」對話框，選中「BitLocker驅動器加密」，單擊「肯定」按鈕返回到「編輯應用程序策略擴展」對話框，如圖2-28所示。

圖2-28擴展

（9）在「安全」選項卡，添加「Domain Users」用戶組具備「註冊」權限，如圖2-29所示，這樣域中全部用戶均可以本身申請「BitLocker驅動器加密」證書。

圖2-29安全選項卡

（10）在「請求處理」對話框，修改「最小密鑰大小」爲1024，而後單擊「CSP」按鈕，在彈出的「CSP選擇」對話框中，選擇「請求可使用證書使用者計算機上任何可用的CSP」，如圖2-30所示。而後兩次單擊「肯定」按鈕，完成證書模板建立。

圖2-30修改密鑰大小及可用CSP

（11）返回到「證書頒發機構」，右擊「證書模板」，在彈出的對話框中，選擇「新建→要頒發的證書模板」。

（12）在彈出的「啓用證書模板」對話框，選擇「BitLocker」，單擊「肯定」按鈕，如圖2-32所示。

圖2-32 添加新建的證書模板

5用戶爲智能卡申請BitLocker加密證書

最後，爲每一個用戶頒發一個智能卡，讓用戶在本身的計算機上，安裝智能卡驅動程序，而後用本人的域用戶賬戶，登陸企業證書頒發機構，申請「BitLocker驅動器加密」證書並頒發到智能卡中，便可以加密驅動器。本節介紹安裝智能卡驅動程序及申請證書的方法，主要步驟以下。

（1）安裝智能卡驅動程序。

（2）而後登陸企業證書頒發機構，使用本身的用戶名登陸，如圖2-35所示。

圖2-35使用用戶名密碼

（3）登陸以後，依次單擊「申請證書→高級證書申請→建立並向此CA提交一個申請」連接，在「高級證書申請」對話框中，在「證書模板」中選擇「BitLocker」，在「CSP」列表中選擇當前智能卡所匹配的CSP，在此爲「Longmail InSEC SmartCard RSA Full Provider 1.1」，其餘選擇默認值，而後單擊「提交」按鈕，如圖2-36所示。

圖2-36申請BitLocker驅動器加密證書

（4）隨後彈出訪問智能卡的登陸界面，輸入智能卡的PIN登陸，如圖2-37所示。

圖2-37使用PIN訪問智能卡

（5）在「證書己頒發」對話框，單擊「安裝此證書」連接，如圖2-38所示。

圖2-38安裝此證書

6使用智能卡實現BitLocker驅動器加密

在爲智能卡申請證書以後，就可使用BitLocker驅動器加密功能了。

（1）在「控制面板」中，單擊「BitLocker驅動器加密」，如圖2-39所示。

圖2-39 BitLocker驅動器加密

（2）在「控制面板→全部控制面板項→BitLocker驅動器加密」中，選擇一個磁盤，例如E盤，單擊「啓用BitLocker」，如圖2-40所示。

圖2-40啓用BitLocker

（3）在「BitLocker驅動器加密」對話框，選擇「使用智能卡解鎖驅動器」，如圖2-41所示。

圖2-41使用智能卡解鎖驅動器

（4）在「您但願如何存儲恢復密鑰」對話框，單擊「將恢復密鑰保存到文件」，如圖2-42所示。

圖2-42將恢復密鑰保存到文件

（5）在彈出的「將BitLocker恢復密鑰另存爲」對話框中，選擇一個位置保存恢復密鑰，注意，不能將恢復密鑰保存到將要加密的驅動器中，如圖2-43所示。暫時將恢復密鑰保存在「文檔」文件夾中，稍後，等BitLocker驅動器加密完成後，請將恢復密鑰保存到另外一臺計算機，或者你的網絡存儲或網絡U盤中，推薦在至少2～3個不一樣的位置分別保存一份。

圖2-43保存恢復密鑰

（6）在保存恢復密鑰以後，單擊「啓動加密」按鈕，開始加密所選擇的驅動器，如圖2-44所示。

圖2-44開始加密

（7）隨後BitLocker驅動加密程序開始加密所選擇的虛擬機，並顯示加密進度。

隨後將BitLocker恢復解密打開，查看並記錄恢復密鑰，並將該文件保存到其餘計算機或其餘位置，如圖2-46所示。

圖2-46查看並記錄恢復密鑰

【說明】恢復密鑰只與所加密的驅動器相關。該恢復密鑰只能恢復所加密的驅動器，不能恢復其餘驅動器。

7解鎖BitLocker驅動器

當驅動器加密後，若是要查看或使用被加密的驅動器，能夠在「資源管理器」，中，右擊加密的驅動器，在彈出的對話框中選擇「解鎖驅動器」，如圖2-47所示。

圖2-47解鎖驅動器

在彈出的「此驅動器由BitLocker驅動器加密保護」對話框中，插入智能卡，單擊「解鎖」按鈕，如圖2-48所示。若是選中了「從如今開始在此計算機上自動解鎖」，只要解鎖成功，之後在從新開機後會自動解鎖，只有當BitLocker驅動器加密檢測到硬件變更時，會自動鎖定此驅動器並須要再次解鎖。

圖2-47解鎖

在輸入智能卡的PIN後，開始解鎖。解鎖以後，顯示驅動器內容，並能正常讀寫，如圖2-49所示。

圖2-49解鎖成功

8使用恢復密碼恢復BitLocker驅動器

若是執行BitLocker驅動器加密的智能卡損壞（概率很是低）或丟失（有可能），則須要使用恢復密鑰（圖2-43保存）或恢復密碼（在圖2-41中能夠設置）進行恢復。

（1）右擊加密的驅動器，在彈出的快捷菜單中選擇「解鎖驅動器」。

（2）在彈出的對話框中，選擇「我沒有智能卡」（因爲智能卡損壞或丟失）。

（3）在「使用恢復密鑰解鎖此驅動器」對話框，單擊「鍵入恢復密鑰」。

（4）而後打開之前保存的恢復密鑰文件，複製BitLocker恢復密鑰，如圖2-53所示。

圖2-53複製BitLocker恢復密鑰

（5）在「輸入恢復密鑰」對話框，粘貼上一步複製的恢復密鑰，如圖2-54所示。

圖2-54鍵入恢復密鑰

（6）以後彈出「您如今具備對此驅動器的臨時訪問權」對話框，單擊「管理BitLocker」連接。

（7）在「選擇要管理的選項」對話框中，能夠單擊「添加用於解鎖此驅動器的密碼」。

（8）在「建立用於解鎖此驅動器的密碼」對話框，建立一個管理密碼，用來之後訪問並打開此加密的驅動器（此密碼至少須要8位而且要設置複雜密碼，該密碼不一樣於恢復密碼）。如圖2-57所示。

圖2-57建立用於解鎖此驅動器的密碼

因爲原來加密的智能卡已經丟失或損壞（或智能卡雖然沒有丟失但卻刪除了該智能卡中的證書），須要爲此驅動器加密更換新的智能卡，步驟以下。

（1）返回到「選擇要管理的選項」後，單擊「今後驅動器中移除智能卡」。

（2）再次選擇到「選擇要管理的選項」對話框，此時插上新的智能卡，單擊「添加智能卡以解鎖驅動器」。

在添加了解鎖密碼以及更新瞭解鎖的驅動卡後，之後再解鎖驅動器時，可使用設置的解鎖密碼或智能卡，如圖2-60所示。

圖2-60解鎖方式

9 Active Directory網絡中保存恢復密鑰到服務器

在前面的內容中，當丟失（或損壞）加密的智能卡後，是由用戶使用恢復密鑰恢復加密的驅動器。若是在企業網絡之中，員工即丟失了恢復密鑰又丟失了加密的智能卡，那加密的驅動器怎麼恢復呢？若是要在企業網絡中規劃BitLocker驅動器加密，就要避免這個問題。管理員能夠修改組策略，讓員工在啓用BitLocker驅動器加密時，同時將恢復密鑰保存到Active Directory，而且在須要恢復時，由域管理員告知恢復密鑰。

9.1修改組策略將恢復密鑰保存到AD

（1）以域管理員賬戶登陸到Active Directory服務器，打開「組策略管理」，右擊「Default Domain Policy」，在彈出的快捷菜單中選擇「編輯」，如圖2-61所示。

圖2-61編輯組策略

（2）打開「組策略管理編輯器」，修改「計算機配置→策略→管理模板→Windows組件→BitLocker驅動器加密」對應項，如圖2-62所示。在此項中分別有「操做系統驅動器」、「固定數據驅動器」及「可移動數據驅動器」三個分組，分別對應安裝有操做系統分區、本地數據硬盤及可移動硬盤（例如活動硬盤、U盤）的BitLocker驅動器加密項，每項設置基本相同，但又略有區別。

圖2-62 BitLocker驅動器加密項

（3）在「BitLocker驅動器加密→操做系統驅動器」選項中，能夠設置啓動時的選項，以及「選擇如何才能恢復受BitLocker保護的操做系統驅動器」，如圖2-63所示。

圖2-63操做系統驅動器BitLocker驅動器加密選項

（4）在「選擇如何才能恢復受BitLocker保護的操做系統驅動器」對話框中，選擇「己啓用」，並在「選項」中，選擇「爲操做系統驅動器將BitLocker恢復信息保存到AD DS中」，並選擇「在爲操做系統驅動器將恢復信息存儲到AD DS以前禁止啓用BitLocker」，如圖2-64所示。這樣在啓用此策略以後，當用戶在加入到域的Windows 7或Windows 8或Windows Server 2008 R2及Windows Server 2012計算機，在爲操做系統驅動器啓用BitLocker驅動器加密時，會將BitLocker恢復信息保存到AD DS中，若是沒有保存或保存不成功則不會啓用BitLocker驅動器加密。

圖2-64保存BitLocker恢復信息

【說明】在「固定數據驅動器」選項中的配置與「操做系統驅動器」配置相似，再也不介紹。

（5）在「可移動數據驅動器」選項中，在「控制對可移動驅動器使用BitLocker」設置中，若是啓用該策略，可選擇用於控制用戶如何配置BitLocker的屬性。若是選中「容許用戶對可移動驅動器應用BitLocker保護」，則用戶能夠在可移動數據驅動器上運行BitLocker安裝嚮導。若是選中「容許用戶對可移動數據驅動器暫住使用BitLocker保護並對其進行解密」，則用戶能夠在執行維護時從驅動器刪除BitLocker驅動器加密，或暫停加密。如圖2-65所示。

圖2-65控制對可移動驅動器使用BitLocker

（6）在「拒絕對不受BitLocker保護的可移動驅動器的寫訪問」對話框，在啓用此策略時，若是選中「不容許對其餘組織中配置的設備進行寫訪問」選項，則只有標識字段與計算機標識字段匹配的驅動器纔會被授予寫訪問權限，如圖2-66所示。當訪問可移動數據驅動器時，系統將會檢查其是否具有有效標識字段和容許的標準字段，該字段由「爲組織提供惟一標識符」策略定義。

圖2-66拒絕對不受BitLocker保護的可移動驅動器的寫訪問

（7）在「BitLocker驅動器加密」對話框，雙擊「爲組織提供惟一標識符」，在啓用此策略時，在「BitLocker標識字段」及「容許的BitLocker標識字段」設置標識符，該標識符能夠自定，如圖2-67所示。

圖2-67設置標識符

在設置策略以後，進入命令提示窗口，執行gpupdate /force，更新策略。

9.2查找BitLocker驅動器加密恢復密鑰

在配置好組策略以後，之後域中的計算機，在啓用BitLocker驅動器加密後，密鑰會保存在Active Directory中。若是計算機對多個驅動器（包括可移動驅動器）啓用了BitLocker加密，則會將每次的恢復密鑰保存在AD DS中。

（1）在「Active Directory用戶和計算機」中，在「Computers」容器中，右擊某個啓用BitLocker加密的計算機，在彈出的快捷菜單中選擇「屬性」，如圖2-68所示。

圖2-68計算機屬性

（2）在計算機屬性對話框中，在「BitLocker恢復」選項卡中，能夠看到密碼ID及對應的恢復密碼，如圖2-69所示。

圖2-69恢復密鑰

10 在Windows XP中打開BitLocker加密後的驅動器

BitLocker驅動器加密是Windows Vista開始提供的功能，爲了實現對之前操做系統的支持，Microsoft提供了BitLocker To Go工具，用於在Windows XP SP3操做系統上打開通過加密的驅動器。

（1）在Windows XP SP3操做系統中，插入使用BitLocker驅動器加密的U盤或活動硬盤，能夠看到該U盤（或活動硬盤）上只有一個BitLockerToGo.exe的程序，如圖2-70所示。

圖2-70 BitLockerToGo程序

（2）雙擊這個程序，彈出「鍵入密碼以解鎖此驅動器」對話框，輸入解密密碼，而後單擊「解鎖」，如圖2-71所示。

圖2-71 解鎖驅動器

（3）以後會打開「BitLocker To Go」閱讀器，在此閱讀器中能夠查看到加密後的文件，能夠將這些文件「複製」到本地硬盤中編輯使用，但不能修改、添加或刪除這些文件。如圖2-72所示。能夠說，在Windows XP計算機中，BitLocker加密的設備是一個「只讀」的磁盤。

圖2-72 BitLocker To Go閱讀器

在Windows XP中，只有使用BitLocker To Go程序才能查看加密後的數據。但在使用該程序以前，若是你在「資源管理器」中，顯示全部文件及隱藏的操做系統文件，仍是能夠看到BitLocker加密後的數據的，若是刪除這些文件（COV開始的文件），則BitLocker加密的源文件同時也會被刪除，如圖2-73所示。因此說，若是你的U盤丟失讓他人獲得，獲得U盤的人能夠經過刪除、格式化的方式，刪除這些數據，能夠從新使用U盤，但不會知道U盤中原來的文件內容，這樣就避免了數據泄密的可能。

圖2-73 顯示全部文件