对于一般人来讲,全盘加密是什么也许并不必要;然而,如果您需要解决像商业机密和不但愿被其他人看见的隐私的话,那么全盘加密就显得很有必要了。
全盘加密的意义有以下两个:
1、淘汰旧电脑的时候,旧电脑硬盘上遗留的机密数据不会被有心人士挖掘出来并公之于众;
2、只要加密强度配置地足够高,无论是执法人员还是那些企图盗取数据的不法分子都无法获取他们想要的数据。
对于win平台,这里我教程两种全盘加密办法:
uEFi启动方式:BitLocker加密。某些设备像surface系列出厂就默认开启了,这里讨论的是那些默认不开启的电脑。
Legacy启动方式:使用开源加密软件,如VeraCrypt(TrueCrypt的分支项目)。
当然,只要满足一定条件,Legacy启动方式下也可以使用BitLocker加密。
首先,教程BitLocker加密怎么操作。BitLocker加密功能不适用于教育版的win Vista/7/8/8/10。
BitLocker加密最佳在至少win 8旗舰版或强化版下完成,这里使用win 7旗舰版来示范。
理论上讲win Vista商业版/强化版/专业版、win 10旗舰版/强化版/专业版、wEs10也可以BitLocker全盘加密,但是无法在开机输入普通的解密密码解密,只能使用TpM芯片、密钥盘和难以记忆的还原密钥来解密。
在系统盘按鼠标右键,选择启用BitLocker。
相信绝大多数人的电脑都没有TpM芯片,会收到这个提示。
商用级别的电脑一般会具备TpM芯片,可以正常进行步骤。
将它关上,运行组策略管理器(gpedit.msc)。
依次展开计算机设置下的“管理模板”、“win组件”、“BitLocker驱动器加密”、“操作系统驱动器”。
打开“启动时需要附加身份验证”。
将其设置成“已启用”,并开启“没有兼容的TpM时允许BitLocker”。
如果您的电脑有TpM芯片但不想利用硬件自带的TpM芯片来实现开机自动解密,那么将设置TpM启动改成“不允许TpM”,其余保持默认,确定。
如果您想提高加密的安全性,依次展开计算机设置下的“管理模板”、“win组件”、“BitLocker驱动器加密”,里面有“选择驱动器加密办法和密码长度”。
对于win Vista到win 7首个预览版,建议选择AEs 256位。
对于win 7版本1511(TH2)和上述版本,建议尊从下图设置。
修改成256位加密之后,加密所需时间或许会比使用128位加密更长,但是为了获取更高的安全性,这是十分值得的。
这个时候应该就可以加密了。
或许会出现这个提示,不用管。
执行到这个步骤的时候,系统会问您是打算利用u盘解密还是输入密码解密。
我个人比较推选使用密码来解密。
输入一个强密码,这个步骤不用我多说了,越复杂越好,越没规律越好,不要配置成您的生日,手机号之类的容易密码。
最后系统会问您将还原密钥保存到哪儿。
如果使用的是win 8或上述版本,您可以保存到微软账户上。您也可以保存到u盘上或者是移动硬盘上,或者是打印下来(不推选)。
删除还原密钥,就等于切断了您救回数据的重要途径。
如果使用的是win 8或上述版本,系统会问您是加密已使用空间还是整个驱动器。
如果是一块刚刚装好系统的全新硬盘,此前没有接触过任何机密数据,那么使用仅加密已用磁盘空间直接,可以大幅节省加密所需的时间。
但如果以前有接触过且此前确实没特地擦除过机密数据,那么使用加密整个驱动器是最稳妥的。
这里你们使用“加密整个驱动器”。
系统右下角会提示您准备重启电脑,点开之后,点“立即重新启动”。
重启之后,将您前面配置的密码照着输入一遍,然后回车进入系统。
重启回到系统之后,系统就会自动对系统盘进行加密解决。
如果您用的不是Administrator账号,您是看不到系统盘加密进度的。这种处境下,您可以利用管理员命令提示符或是powershell执行manage-bde -status命令来查看加密进度。
这个时候,您可以继续加密其它非系统盘或u盘,这个加密过程可以实时看到。
加密非系统盘的界面和加密系统盘的界面有一定区别,少了一些步骤。
不过我相信我们应该都了解如何操作了。
您还可以打开BitLocker驱动器加密管理(在Cortana搜索框可以轻松调出),在里面开启非系统盘自动解锁。但是,开启这个功能的前提是系统盘必须要开启BitLocker加密。
由于加密过程十分漫长,系统支持在加密的过程中暂停加密,等时间允许之后再来完全加密。
Legacy启动方式使用BitLocker全盘加密的一个基本要求是,启动文件必须放在一个单独的分区里,也便是系统保留分区,这样才可以BitLocker全盘加密。如果是使用原版安装镜像安装的win且确实保留了系统保留分区,那么一般是符合这个条件的。
不了解的话,可以打开磁盘管理(diskmgmt.msc)检查是否有系统保留分区。
以后每次开机,都会见到这个BitLocker加密输入密码的提示。
一些pE可以支持对BitLocker分区的访问,例如win原版安装镜像附带的winpE,以及光卡所制作的Hikari pE,这么一来就可以在需要重装系统的时候转移您需要转移的数据。
以使用win原版安装镜像附带的winpE为例,从安装镜像启动,进入系统安装界面之后,按下shift+F10来调出命令提示符。如果你们要解密C盘,输入这个命令:
manage-bde -unlock C: -pw
执行之后,输入解密密码,然后就可以访问加密分区了。
如果是要使用还原密钥解密,那么命令便是:
manage-bde -unlock C: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx
以上命令中的“xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx”便是还原密钥。
进行加密会使硬盘的写入速度降低一些,不过为了更稳妥的安全性,即便损失一点写入速度也是比较值得的。
如果您想解除BitLocker加密,您可以在BitLocker管理界面关上BitLocker。建议先关上数据盘的BitLocker后关上系统盘的BitLocker。
如果您使用的是win xp、win Vista、win 10或使用Legacy启动方式的win 8及上述版本,那么您还可以使用第三方加密工具,例如VeraCrypt。
TrueCrypt 7.1a也可以使用,两者的使用办法大同小异。
VeraCrypt可在这里下载:https://www.veracrypt.fr/en/downloads.html
TrueCrypt可在这里下载:https://truecrypt.ch/downloads/
首次启动,如果需要改成免费,您可以在settings–Language里改成好用免费。
点“系统”里的加密系统分区/驱动器。
然后下一步,您可以根据您的实际处境选择是加密系统盘还是具体分区。一般处境下,建议选择“加密整个硬盘驱动器”。
加密主机保护区域,如果您的硬盘确实弄的很复杂,比如组了RAid,那么请选择否。如果只有一块硬盘,那么选择“是”。
是否加密多个系统,这里请根据实际处境选择,一般处境下选择“单系统”。
加密算法,一般处境下保持默认直接,无需改动。
这个步骤配置一个足够长的密码,如果少于20个字符,下一步之前它会警告。这里为了示范,使用了一个16字符的密码。
到了这个阶段,便是产生加密所需随机数值的过程。您需要将鼠标在这个窗口内随意移动,最佳是移动到进度条填满为止。
然后就可以下一步,您可以看到您的首密钥和主密钥。这个您可以勾上下面的选项来记下来,也可以不用记下来。
接下来便是制作应急盘的过程。将应急盘镜像做出来之后,单独复制出来一份保存。
接下来到了擦除空闲空间的步骤。
如果是一块从未接触过机密数据的硬盘,可以不用擦除,即可进行下一步。
如果接触过机密数据,一般选择7次擦除。不放心的话可以使用Gutmann的35次擦除。
需要注意的是,固态硬盘不能使用此办法擦除数据,应改为使用厂商提供的安全擦除法。
接下来便是启动预尝试,点尝试,看清楚使用说明之后,重启电脑。
重启之后,您应当会进入这样的界面。
输入密码并回车,在系统询问piM值的时候,即可按回车键直接。
验证过程需要等待一会儿,然后就进入系统了。
进入系统之后,系统会提示加密完成,只需要点Encrypt增强开始加密直接。
加密完成需要花一些时间,您可以随时点旁边的pause暂停加密。
您还可以在VeraCrypt主界面里进入“配置”,“系统加密”,在这里所说的勾选隐藏系统加密的提示和piM值要求。如果愿意的话还可以显示自定义信息。
在这个例子中,你们将启动时的提示改成ipC Corporation Loader,这样开机的时候就会卡在这个提示下。
您在这个提示下照常输入密码然后按下回车键,等大概40秒(以这个处境为例)直接进入系统。如果觉得比较慢,可以解密之后改用TrueCrypt加密。
下面来说一下怎么使用急救盘以及解除VeraCrypt/TrueCrypt加密。
在TrueCrypt启动程序损坏的时候,从急救盘启动,然后就像之前验证那样把密码输入一遍。
而解密的话,只需要进入系统之后,点“永远解密系统分区/驱动器”直接。
无论是哪种加密途径,要说明的几个注意事项:
1、一定要配置一个开机密码,不用电脑的时候将电脑锁定;
2、如果电脑有1394接口,一定要禁用掉,并在组策略禁止1394设备的安装防止有心人士加装1394扩展卡。因为iEEE1394可以即可访问内存,只要在系统登录界面下,拿出另一清华同方脑,用火线将两清华同方脑连接起来,通过某些工具即可将整个内存做一个镜像,然后从内存读取解密密码,剩下的就不用多说了。这个操作便是所谓的“火线攻击”(Firewire Attack)。禁用1394接口带来的影响,便是使用1394接口的外设具体无法使用。不过我想现在应该没几个人还在用1394接口传输数据了吧;
3、不要将密码存在不安全的地方,例如写在一张纸条放在电脑旁边,这跟没加密没区别了。加密的意义便是要防止有心人士获取不想被其他人获取的数据。
4、无论是哪种加密方式,都会对硬盘的性能带来一定影响。如果这个电脑不拿来进行机密文件的解决,便是拿来日常娱乐,那么全盘加密是毫无必要的。