使用智能卡提供BitLocker驱动器加密功能

 

“黄金有价、数据无价”，从一个方面说出了数据的重要。为了保护重要的数据不丢失或损坏，应该将数据保存在不一样的位置并分别备份。可是，既然数据如此重要，怎么保护数据的安全呢？若是才能保证数据不被非法复制呢？

若是将数据保存在计算机硬盘上，是设置BIOS密码开机密码，仍是设置密码操做系统登陆密码，亦或是使用第三方软件加密数据呢？

若是将数据保存在U盘或活动硬盘中，或者笔记本电脑中，一旦这些设备丢失怎么办？与此同时，保存在这些设备上的数据是否会给你带来更大的损失呢？

即使没有丢失，若是你的计算机、笔记本出了问题，例如须要重装系统，在找人安装系统的过程当中，你的相片或其余重要的资料，是否是会被人拷贝复制呢？

本文介绍使用Windows内置的BitLocker驱动器加密，保护计算机本地硬盘、活动硬盘（包括U盘）数据安全。

1 什么是BitLocker驱动器加密？

BitLocker驱动器加密是从Windows Vista操做系统开始提供的一个必不可少的安全功能，该功能帮助保护存储在固定和可移动数据驱动器以及操做系统驱动器上的数据。BitLocker有助于防范“脱机***”，即经过禁用或阻止已安装的操做系统而展开的***，或经过实际取走硬盘来单独***数据而展开的***。对于固定和可移动数据驱动器，BitLocker帮助确保用户只有在拥有所需密码、智能卡凭据或者在拥有合适密钥的计算机上使用受BitLocker保护的数据驱动器时才可以在驱动器上读取数据和将数据写入到驱动器。若是您的组织包含运行先前版本Windows的计算机，BitLocker To Go读取器可用于容许那些计算机来阅读受BitLocker保护的可移动驱动器。

要在计算机上启用BitLocker驱动器加密，须要软件与硬件两方面的支持。对于软件，则须要操做系统是Windows Vista/7/8/2008/2008 R2/2012；对于硬件，要求启用BitLocker驱动器加密的计算机上内置TPM芯片。对于没有集成TPM芯片的计算机，则能够采用智能卡，也可使用U盘存储BitLocker驱动器密钥。

TPM经过与BitLocker操做系统驱动器保护交互帮助在系统启动时提供保护。这对于用户是不可见的，用户登陆体验并未改变。可是，若是启动信息发生更改，则BitLocker将进入恢复模式，您须要输入恢复密码或恢复密钥才能从新访问这些数据。

受信任的平台模块(TPM，Trusted Platform Module)是一种微芯片，使计算机可以利用高级安全功能，例如BitLocker驱动器加密。已将TPM内置到某些新型计算机中。请检查随计算机附带的信息，以查看计算机是否安装了 TPM。

当前一些品牌的笔记本或商用台式机，配备用TPM兼容的芯片。对于大部分的家用计算机、笔记本电脑则没有兼容的TPM芯片。若是要启用BitLocker驱动器加密功能，可能采用U盘存储密钥，对于企业用户来讲，则能够经过配备智能卡、为智能卡申请BitLocker驱动器加密证书的方式，保护企业或我的数据。本文经过图2-1的拓扑介绍，在企业中配置BitLocker驱动器加密的方式。

图2-1 BitLocker驱动器加密功能

在图2-1中，一台Active Directory服务器，该服务器安装Windows Server 2008 R2操做系统，并安装企业证书服务器，网络中操做系统使用Windows 7或Windows 8操做系统。企业中的每一个员工配备智能卡，并自行从企业网络申请BitLocker驱动器加密证书，加密员工计算机及可移动设备磁盘，达到保护数据安全的目的。

2配置Active Directory与企业证书服务器

若是向智能卡写入“BitLocker驱动器加密”证书，则须要“企业证书服务器”，而“企业证书服务器”则须要Active Directory的支持。因此，要为企业网络构建用智能卡实现BitLocker驱动器加密的体系架构，则须要Active Directory及企业证书服务器。在本文中，Active Directory的配置与企业证书服务器的安装不作过多介绍。

3添加BitLocker驱动器加密功能

在安装好“企业证书服务器”以后，还要在证书服务器上，添加“BitLocker驱动器加密”功能，主要步骤以下。

（1）在“服务器管理器”中，右击“功能”选择“添加功能”。

（2）在“选择功能”对话框中，选择“BitLocker驱动器加密”，如图2-18所示。

图2-18选择功能

（3）安装完成以后，从新启动服务器。

4添加BitLocker模板

在企业证书服务器中，并无为“BitLocker驱动器加密”配置证书模板，管理员能够经过复制一个现有的模板，并为其添加BitLocker驱动器加密功能。

（1）在安装了企业证书服务器及BitLocker驱动加密的服务器中，打开“证书颁发机构”，右击“证书模板”选择“管理”，如图2-21所示。

图2-21管理证书模板

（2）在“证书模板控制台”对话框，右击“用户”，在弹出的快捷菜单中选择“复制模板”，如图2-22所示。

图2-22复制用户模板

（3）在“复制模板”对话框中，选择“Windows Server 2003 Enterprise”。

（4）在“新模板的属性”对话框，在“常规”选项卡中，修改模板的显名名称及模板名，在此修改成“BitLocker”，如图2-24所示。

图2-24修改模板名称

【说明】不须要修改该证书的有效期。使用BitLocker驱动器加密时，证书即便过时也仍然可使用。

（5）在“使用者名称”对话框，在“用Active Directory中的信息生成”选项组中，只选择“用户主体名称”，如图2-25所示。取消“在使用者名称中包括电子邮件名”、“电子邮件名”的选择。

图2-25使用者名称

（6）在“扩展”选项卡中，在“这个模板中包括的扩展”选项中，选择“应用程序策略”，单击“编辑”按钮，在弹出的“编辑应用程序策略扩展”对话框中，删除“安全电子邮件”、“加密文件系统”、“客户端身份验证”而后单击“添加”按钮，在弹出的“添加应用程序策略”对话框，选中“BitLocker驱动器加密”，单击“肯定”按钮返回到“编辑应用程序策略扩展”对话框，如图2-28所示。

图2-28扩展

（9）在“安全”选项卡，添加“Domain Users”用户组具备“注册”权限，如图2-29所示，这样域中全部用户均可以本身申请“BitLocker驱动器加密”证书。

图2-29安全选项卡

（10）在“请求处理”对话框，修改“最小密钥大小”为1024，而后单击“CSP”按钮，在弹出的“CSP选择”对话框中，选择“请求可使用证书使用者计算机上任何可用的CSP”，如图2-30所示。而后两次单击“肯定”按钮，完成证书模板建立。

图2-30修改密钥大小及可用CSP

（11）返回到“证书颁发机构”，右击“证书模板”，在弹出的对话框中，选择“新建→要颁发的证书模板”。

（12）在弹出的“启用证书模板”对话框，选择“BitLocker”，单击“肯定”按钮，如图2-32所示。

图2-32 添加新建的证书模板

5用户为智能卡申请BitLocker加密证书

最后，为每一个用户颁发一个智能卡，让用户在本身的计算机上，安装智能卡驱动程序，而后用本人的域用户账户，登陆企业证书颁发机构，申请“BitLocker驱动器加密”证书并颁发到智能卡中，便可以加密驱动器。本节介绍安装智能卡驱动程序及申请证书的方法，主要步骤以下。

（1）安装智能卡驱动程序。

（2）而后登陆企业证书颁发机构，使用本身的用户名登陆，如图2-35所示。

图2-35使用用户名密码

（3）登陆以后，依次单击“申请证书→高级证书申请→建立并向此CA提交一个申请”连接，在“高级证书申请”对话框中，在“证书模板”中选择“BitLocker”，在“CSP”列表中选择当前智能卡所匹配的CSP，在此为“Longmail InSEC SmartCard RSA Full Provider 1.1”，其余选择默认值，而后单击“提交”按钮，如图2-36所示。

图2-36申请BitLocker驱动器加密证书

（4）随后弹出访问智能卡的登陆界面，输入智能卡的PIN登陆，如图2-37所示。

图2-37使用PIN访问智能卡

（5）在“证书己颁发”对话框，单击“安装此证书”连接，如图2-38所示。

图2-38安装此证书

6使用智能卡实现BitLocker驱动器加密

在为智能卡申请证书以后，就可使用BitLocker驱动器加密功能了。

（1）在“控制面板”中，单击“BitLocker驱动器加密”，如图2-39所示。

图2-39 BitLocker驱动器加密

（2）在“控制面板→全部控制面板项→BitLocker驱动器加密”中，选择一个磁盘，例如E盘，单击“启用BitLocker”，如图2-40所示。

图2-40启用BitLocker

（3）在“BitLocker驱动器加密”对话框，选择“使用智能卡解锁驱动器”，如图2-41所示。

图2-41使用智能卡解锁驱动器

（4）在“您但愿如何存储恢复密钥”对话框，单击“将恢复密钥保存到文件”，如图2-42所示。

图2-42将恢复密钥保存到文件

（5）在弹出的“将BitLocker恢复密钥另存为”对话框中，选择一个位置保存恢复密钥，注意，不能将恢复密钥保存到将要加密的驱动器中，如图2-43所示。暂时将恢复密钥保存在“文档”文件夹中，稍后，等BitLocker驱动器加密完成后，请将恢复密钥保存到另外一台计算机，或者你的网络存储或网络U盘中，推荐在至少2～3个不一样的位置分别保存一份。

图2-43保存恢复密钥

（6）在保存恢复密钥以后，单击“启动加密”按钮，开始加密所选择的驱动器，如图2-44所示。

图2-44开始加密

（7）随后BitLocker驱动加密程序开始加密所选择的虚拟机，并显示加密进度。

随后将BitLocker恢复解密打开，查看并记录恢复密钥，并将该文件保存到其余计算机或其余位置，如图2-46所示。

图2-46查看并记录恢复密钥

【说明】恢复密钥只与所加密的驱动器相关。该恢复密钥只能恢复所加密的驱动器，不能恢复其余驱动器。

7解锁BitLocker驱动器

当驱动器加密后，若是要查看或使用被加密的驱动器，能够在“资源管理器”，中，右击加密的驱动器，在弹出的对话框中选择“解锁驱动器”，如图2-47所示。

图2-47解锁驱动器

在弹出的“此驱动器由BitLocker驱动器加密保护”对话框中，插入智能卡，单击“解锁”按钮，如图2-48所示。若是选中了“从如今开始在此计算机上自动解锁”，只要解锁成功，之后在从新开机后会自动解锁，只有当BitLocker驱动器加密检测到硬件变更时，会自动锁定此驱动器并须要再次解锁。

图2-47解锁

在输入智能卡的PIN后，开始解锁。解锁以后，显示驱动器内容，并能正常读写，如图2-49所示。

图2-49解锁成功

8使用恢复密码恢复BitLocker驱动器

若是执行BitLocker驱动器加密的智能卡损坏（概率很是低）或丢失（有可能），则须要使用恢复密钥（图2-43保存）或恢复密码（在图2-41中能够设置）进行恢复。

（1）右击加密的驱动器，在弹出的快捷菜单中选择“解锁驱动器”。

（2）在弹出的对话框中，选择“我没有智能卡”（因为智能卡损坏或丢失）。

（3）在“使用恢复密钥解锁此驱动器”对话框，单击“键入恢复密钥”。

（4）而后打开之前保存的恢复密钥文件，复制BitLocker恢复密钥，如图2-53所示。

图2-53复制BitLocker恢复密钥

（5）在“输入恢复密钥”对话框，粘贴上一步复制的恢复密钥，如图2-54所示。

图2-54键入恢复密钥

（6）以后弹出“您如今具备对此驱动器的临时访问权”对话框，单击“管理BitLocker”连接。

（7）在“选择要管理的选项”对话框中，能够单击“添加用于解锁此驱动器的密码”。

（8）在“建立用于解锁此驱动器的密码”对话框，建立一个管理密码，用来之后访问并打开此加密的驱动器（此密码至少须要8位而且要设置复杂密码，该密码不一样于恢复密码）。如图2-57所示。

图2-57建立用于解锁此驱动器的密码

因为原来加密的智能卡已经丢失或损坏（或智能卡虽然没有丢失但却删除了该智能卡中的证书），须要为此驱动器加密更换新的智能卡，步骤以下。

（1）返回到“选择要管理的选项”后，单击“今后驱动器中移除智能卡”。

（2）再次选择到“选择要管理的选项”对话框，此时插上新的智能卡，单击“添加智能卡以解锁驱动器”。

在添加了解锁密码以及更新了解锁的驱动卡后，之后再解锁驱动器时，可使用设置的解锁密码或智能卡，如图2-60所示。

图2-60解锁方式

9 Active Directory网络中保存恢复密钥到服务器

在前面的内容中，当丢失（或损坏）加密的智能卡后，是由用户使用恢复密钥恢复加密的驱动器。若是在企业网络之中，员工即丢失了恢复密钥又丢失了加密的智能卡，那加密的驱动器怎么恢复呢？若是要在企业网络中规划BitLocker驱动器加密，就要避免这个问题。管理员能够修改组策略，让员工在启用BitLocker驱动器加密时，同时将恢复密钥保存到Active Directory，而且在须要恢复时，由域管理员告知恢复密钥。

9.1修改组策略将恢复密钥保存到AD

（1）以域管理员账户登陆到Active Directory服务器，打开“组策略管理”，右击“Default Domain Policy”，在弹出的快捷菜单中选择“编辑”，如图2-61所示。

图2-61编辑组策略

（2）打开“组策略管理编辑器”，修改“计算机配置→策略→管理模板→Windows组件→BitLocker驱动器加密”对应项，如图2-62所示。在此项中分别有“操做系统驱动器”、“固定数据驱动器”及“可移动数据驱动器”三个分组，分别对应安装有操做系统分区、本地数据硬盘及可移动硬盘（例如活动硬盘、U盘）的BitLocker驱动器加密项，每项设置基本相同，但又略有区别。

图2-62 BitLocker驱动器加密项

（3）在“BitLocker驱动器加密→操做系统驱动器”选项中，能够设置启动时的选项，以及“选择如何才能恢复受BitLocker保护的操做系统驱动器”，如图2-63所示。

图2-63操做系统驱动器BitLocker驱动器加密选项

（4）在“选择如何才能恢复受BitLocker保护的操做系统驱动器”对话框中，选择“己启用”，并在“选项”中，选择“为操做系统驱动器将BitLocker恢复信息保存到AD DS中”，并选择“在为操做系统驱动器将恢复信息存储到AD DS以前禁止启用BitLocker”，如图2-64所示。这样在启用此策略以后，当用户在加入到域的Windows 7或Windows 8或Windows Server 2008 R2及Windows Server 2012计算机，在为操做系统驱动器启用BitLocker驱动器加密时，会将BitLocker恢复信息保存到AD DS中，若是没有保存或保存不成功则不会启用BitLocker驱动器加密。

图2-64保存BitLocker恢复信息

【说明】在“固定数据驱动器”选项中的配置与“操做系统驱动器”配置相似，再也不介绍。

（5）在“可移动数据驱动器”选项中，在“控制对可移动驱动器使用BitLocker”设置中，若是启用该策略，可选择用于控制用户如何配置BitLocker的属性。若是选中“容许用户对可移动驱动器应用BitLocker保护”，则用户能够在可移动数据驱动器上运行BitLocker安装向导。若是选中“容许用户对可移动数据驱动器暂住使用BitLocker保护并对其进行解密”，则用户能够在执行维护时从驱动器删除BitLocker驱动器加密，或暂停加密。如图2-65所示。

图2-65控制对可移动驱动器使用BitLocker

（6）在“拒绝对不受BitLocker保护的可移动驱动器的写访问”对话框，在启用此策略时，若是选中“不容许对其余组织中配置的设备进行写访问”选项，则只有标识字段与计算机标识字段匹配的驱动器才会被授予写访问权限，如图2-66所示。当访问可移动数据驱动器时，系统将会检查其是否具有有效标识字段和容许的标准字段，该字段由“为组织提供惟一标识符”策略定义。

图2-66拒绝对不受BitLocker保护的可移动驱动器的写访问

（7）在“BitLocker驱动器加密”对话框，双击“为组织提供惟一标识符”，在启用此策略时，在“BitLocker标识字段”及“容许的BitLocker标识字段”设置标识符，该标识符能够自定，如图2-67所示。

图2-67设置标识符

在设置策略以后，进入命令提示窗口，执行gpupdate /force，更新策略。

9.2查找BitLocker驱动器加密恢复密钥

在配置好组策略以后，之后域中的计算机，在启用BitLocker驱动器加密后，密钥会保存在Active Directory中。若是计算机对多个驱动器（包括可移动驱动器）启用了BitLocker加密，则会将每次的恢复密钥保存在AD DS中。

（1）在“Active Directory用户和计算机”中，在“Computers”容器中，右击某个启用BitLocker加密的计算机，在弹出的快捷菜单中选择“属性”，如图2-68所示。

图2-68计算机属性

（2）在计算机属性对话框中，在“BitLocker恢复”选项卡中，能够看到密码ID及对应的恢复密码，如图2-69所示。

图2-69恢复密钥

10 在Windows XP中打开BitLocker加密后的驱动器

BitLocker驱动器加密是Windows Vista开始提供的功能，为了实现对之前操做系统的支持，Microsoft提供了BitLocker To Go工具，用于在Windows XP SP3操做系统上打开通过加密的驱动器。

（1）在Windows XP SP3操做系统中，插入使用BitLocker驱动器加密的U盘或活动硬盘，能够看到该U盘（或活动硬盘）上只有一个BitLockerToGo.exe的程序，如图2-70所示。

图2-70 BitLockerToGo程序

（2）双击这个程序，弹出“键入密码以解锁此驱动器”对话框，输入解密密码，而后单击“解锁”，如图2-71所示。

图2-71 解锁驱动器

（3）以后会打开“BitLocker To Go”阅读器，在此阅读器中能够查看到加密后的文件，能够将这些文件“复制”到本地硬盘中编辑使用，但不能修改、添加或删除这些文件。如图2-72所示。能够说，在Windows XP计算机中，BitLocker加密的设备是一个“只读”的磁盘。

图2-72 BitLocker To Go阅读器

在Windows XP中，只有使用BitLocker To Go程序才能查看加密后的数据。但在使用该程序以前，若是你在“资源管理器”中，显示全部文件及隐藏的操做系统文件，仍是能够看到BitLocker加密后的数据的，若是删除这些文件（COV开始的文件），则BitLocker加密的源文件同时也会被删除，如图2-73所示。因此说，若是你的U盘丢失让他人获得，获得U盘的人能够经过删除、格式化的方式，删除这些数据，能够从新使用U盘，但不会知道U盘中原来的文件内容，这样就避免了数据泄密的可能。

图2-73 显示全部文件