实验13 使用Windows server BitLocker保护硬盘数据Word文件下载.docx

实验13 使用Windows server BitLocker保护硬盘数据Word文件下载.docx

《实验13 使用Windows server BitLocker保护硬盘数据Word文件下载.docx》由会员分享，可在线阅读，更多相关《实验13 使用Windows server BitLocker保护硬盘数据Word文件下载.docx（12页珍藏版）》请在冰豆网上搜索。

方案1

方案2

TPM1.2硬件模块

普通USB数据密钥*

1.5GBNTFS活动系统分区

1.5GBNTFS活动系统分区

50+GB启动分区**

*需要本地或活动目录组策略的调整以便可以使用U盘。

**此项内容并没有在官方文档中出现，但是如果启动分区少于50GB，很可能会出现"

insufficientspaceerrors"

（不足的磁盘空间）错误。

我并不肯定具体的磁盘需求是多大，但是设置到50GB以上确实可以避免BitLocker报错。

一旦微软就此问题给了明确答复，我会及时更新本文档内容。

1.5GBNTFS活动系统分区是用来存放Windowsserver2008操作系统启动时所需的必要文件的，这些文件不能被EFS加密。

另外50+GB启动分区是Windows系统所安装的分区，也是存放页面文件和临时文件的分区，因为EFS系统同样无法对这些内容进行加密，因此必需由BitLocker进行保护。

要实现以上需求，最好的方法是在安装windowsserver2008前先创建一个1.5GB的分区和一个50GB以上的分区。

如果已经安装了Windowsserver2008，也不用后悔，一个叫做的工具可以自动帮助你重新对硬盘进行分区。

如果你已经手动分出了一个1.5GB的分区，那么也需要使用BitLockerDrivePreparationTool工具自动将某些必需的文件从WindowsWindowsserver2008安装目录移动到1.5GB的活动分区中。

不过需要注意的是，当安装Windowsserver2008后再划分出1.5GB分区，如果硬盘剩余空间不够多时，由于软件需要调整数据的位置以便清理出一个分区，因此可能会耗费不少时间。

要获取BitLockerDrivePreparationTool工具也很简单，只需要进入WindowsUpdate，然后在Windowsserver2008UltimateExtras中找到该项并点击即可。

要在系统中查找并运行该工具，只需要在开始菜单中的搜索栏中输入bitl即可。

搜索结果中的BitLockerDrivePreparationTool如图A所示。

图A

通过快速搜索功能来启动应用程序是WindowsWindowsserver2008的一项新功能，除了可以用来搜索和启动BitLockerDrivePreparationTool，也可以用来启动其它任何程序。

如果在第一列中没有出现所要的程序，只需要向下滚动即可。

在本例中，由于我们所需的工具列在了最顶上，因此只需直接按回车键即可启动BitLockerDrivePreparationTool工具。

该工具采用向导模式，你只需要跟随着向导，一路点击下一步，然后重新启动PC就可以了。

重启后，你才可以进行下一步工作。

现在我们启动组策略编辑器。

对于家用电脑或者没有加入活动目录的电脑来说，所打开的就是本地组策略编辑器。

活动目录管理员可以在AD级别进行设定，并将设定的内容应用到组织单元或者整个AD范围。

要启动组策略编辑器，我们只需要打开开始菜单，在快速搜索框中输入gpedit.msc。

如图B所示。

图B

接下来，我们将组策略内容展开到BitLockerDriveEncryption文件夹，如图C所示。

然后双击ControlPanelSetup:

EnableAdvancedStartupOptions

图C

将此项设置为Enabled，然后选择AllowBitLockerWithoutACompatibleTPM如图D所示。

图D

修改后，点击Apply和OK，然后点击图C中的ConfigureEncryptionMethod，接下来会出现如图E所示的窗口。

图E

AES128属于政府安全级别，AES256则是NSA设定的安全等级。

Diffuser是一种数据分散机制，可以将数据分散在整个分区空间，就算黑客获取了硬盘，也无法查看数据。

AES256bitwithDiffuser是Windowsserver2008所能提供的最高级安全模式。

AES128则是安全性相对最低的（但是也足够安全了）。

修改后，点击Apply和OK，然后关闭组策略编辑器。

通过gpupdate/force命令，我们可以强制系统更新组策略，而不必重新启动系统，如图F所示。

图F

现在我们就准备要运行BitLockerDriveEncryption工具了。

我们可以通过图A的方式，输入bitl然后在搜索结果中双击BitLockerDriveEncryption。

接下来会出现如图G所示的窗口。

图G

点击TurnOnBitLocker接下来出现如图H所示窗口。

图H

在继续前，我们要在电脑中插入一个任意存储量的U盘。

要记住，从此刻起，这个U盘对于你的电脑来说就是至关重要的了。

一旦开启了BitLocker，如果没有这个U盘，你将无法开启电脑。

一般来说，我建议大家将这么重要的U盘作为钥匙链，而不是放在笔记本包里。

因为一旦你的笔记本连包一起丢失，那么BitLocker也就没有意义了。

在BitLocker开启后，U盘也不需要一直插在电脑中，它仅仅在Windows启动前几秒内有作用。

下一步就是备份你的密码，这个密码是用来进行紧急恢复的，如图I所示。

图I

你可以选择将密码备份到同一个U盘，然后在拷贝到其它地方。

如果你选择将密码备份到一个文件夹，那么应该选择启动卷以外的其它分区中。

并且也不能存储在分区的根目录上，必需要存入一个文件夹。

企业版可以将BitLocker的密码通过活动目录进行备份。

另外要搞清楚，这个密码并不是BitLocker的密钥本身，但是可以用来生成密钥。

备份完毕后，你就可以加密分区了，如图J所示。

图J

点击Continue，BitLocker将检测你的系统然后开始对启动分区进行加密。

这个过程根据分区的大小和系统的处理速度，可能需要一两个小时。

然后，系统需要重新启动，这时你需要将刚才制作的U盘插入电脑。

重新启动后的系统就处于BitLocker的保护之下了。

为了让大家对整个过程有一个大概的了解，我用我的系统（IntelCore2DuoE6400，双硬盘）做了一次试验。

我采用的是BitLocker128AES加密方式，从一块磁盘向另一块磁盘拷贝BitLocker必需进行加密的启动文件。

磁盘间的拷贝速度是500mbps，两个CPU内核的平均负荷为30％。

这意味着BitLocker对目前主流机型的性能影响并不大。