在Windows下使用Bitlokcer保护存储设备里的数据是有必要的,尤其是所使用的笔记本、移动硬盘经常出差往外带,还放了隐私数据等不能为外人看的东西,使用Bitlocker是必要的。
Bitlocker能做什么
Bitlocker可以对存储设备做硬件加密,防止设备丢失时,导致文件内容被别人破解查看。这些设备包括电脑硬盘、移动硬盘、U盘及其它可以被Bitlocker加密的存储设备。
Bitlocker在平时并没有什么可见的用处,但Bitlocker应对的是万一,当这个万一发生时可以防止存储设备内的数据被非授权查看,我们启用Bitlocker,但并不希望有它发挥作用的一天。
首先要了解的
对性能的影响
对硬盘的写入有一定的影响,但很小,尤其是当今SSD当道的时代,基本可能忽略,个人使用过程中没发现有什么影响。关于对性能的影响可以参看末尾的介绍。
对日常操作的影响
绝大部分场景都可以使用自动解锁的方式实现对用户的透明效果。少部分场景会要求输入PIN码,如下:
- 设置系统盘启用了开机为必须输入PIN码时,在电脑开机加载系统前会要求输入PIN码;
- 移动存储设备中启用Bitlocker,一般会使用PIN码解锁,方便在其他人的电脑上使用,自己的或者常用电脑可以在解锁时勾选自动解锁,前提是这台电脑的系统盘必须已启用Bitlocker,因为自动解锁的实现方式是以在Windows系统盘存储一个对应的解锁密钥,得确保该密钥存储的地方也是受加密保护、不会被随意盗取的。
使用Bitlocker的前置条件
- 使用Windows系统平台
- 良好的Windows账户配置习惯
- 良好的密钥、密码保存恢复策略
- 良好的数据备份习惯
前置条件有一部分是硬性要求,比如在Windows平台下可以良好运行,而其它平台未必,而其它的条件是为了防止意外情况的发生,比如丢失解锁密钥,比如设备故障。这个时候Bitloker可能反而成为数据恢复的阻碍,我们需要防止这些事情发生。
为什么要有良好的账户配置习惯
Bitlocker的配置是可以被管理员账户改变的,如果你像我一样在组策略中设置了只要求TPM即可解锁系统盘,那么开机会直接到Windows登陆界面,如果你的账户没有密码,那就是长驱直入了,尤其是如果你的管理员账户还没密码,那Bitlocker就是个摆设而已,所以设置好你的账户密码,尤其是管理员账户,可以使用lusrmgr.msc管理你的Windows账户。
备份好密钥
简单来说,Bitlocker的解锁方式主要有三种,TPM、PIN、恢复密钥。
TPM是在主板上的硬件芯片,可以存储各种证书密钥,不是所有电脑都有,PIN就是自己设置的一个解锁密码,恢复密钥是一个最短48位的数字,可以被制作成密钥文件存储于U盘作为解密工具。
我们要做的就是妥善保管恢复密钥和这个密钥对应的ID。这是最重要的一件事情,不要相信自己的记忆能力。当忘记移动盘PIN,或者TPM密钥失效需要解锁的时候,备份的密钥是必不可少的,所以密钥的保存就是必须的,这里推荐使用Keepass之类的密码管理软件进行存储管理。存储安全,取用方便。或者打印出来放好。
良好的数据备份习惯
比使用Bitlocker保护数据更重要的是数据的备份,之前有写过简易个人数据备份方案,很简单,但实现了3-2-1的数据备份要求。
做好了备份的情况下,不论是遇到Bitlocker锁定,还是SSD硬盘故障,都是不算事,如果你不幸碰到了必须恢复Bitlocker的情况,也许可以尝试使用 BitLocker Repair Tool 救一命。
Bitlocker 使用操作简介
启用Bitlocker很简单,但是完善的使用Bitlocker并不是简单的启用就行了,需要一系列的准备工作,以更好的使用,并防止各种意外导致的额外损失,上面已经做了相应的介绍。
这里并不会过多阐述操作Bitlocker的具体操作方法,只简单指出下面几点,更多的可以通过微软的说明进行了解。
简单使用
点击开始菜单,输入Bitlocker进行搜索即可找到控制面板中的Bitlocker管理面板。可实现加密、解密及密钥备份等操作,够用。
进阶操作
如果想要进一步了解操作bitlocker,通过命令行工具 manage-bde.exe 可以实现
配置选项
通过组策略(gpedit.msc)可以实现Bitlocker选项的配置,比如加密复杂度、开机解锁方式等,可以尝试研究一下
参考
网友评论