內建在Windows Vista旗艦版、企業版,以及Windows Server2008中的BitLocker,是一項可以保護磁碟中重要資料的安全性防護功能。它能加密整個磁碟分割區,包括使用者資料、系統檔案、休眠檔案、分頁檔案及暫存檔,也會利用檢查和監控檔案機制,保持Windows 開機檔案的完整性,並在這些資料遭到竄改時自動鎖定系統。

想要利用BitLocker 加密磁碟機中的資料有幾個必要條件:首先,電腦必須具備可信賴平臺模組(TPM)1.2 ,並在BIOS 中啟用相關功能;其次就是確認磁碟區已依照BitLocker 的建置條件正確設定。

不過除了少數較高階的商用電腦外,TPM晶片在一般桌上型電腦中較少見,導致這些使用者無法利用W i n d o w sVista內建的加密機制,來保護磁碟中的重要資料。幸好我們仍能調整群組原則,再配合隨身碟或網路磁碟,強制開啟這項功能。

可利用工具自動設定磁碟機

在啟用BitLocker 之前,我們必須先建立BitLocker 所需的系統環境,其中包含金鑰儲存單元和磁碟機分割格式。雖然設定磁碟機的步驟相當複雜,不過我們可以利用微軟的BitLocker Drive Preparation Tool(BitLocker磁碟機準備工具)來完成這些工作。這個工具原本可以在Windows Update 中的Windows Vista Ultimate Extra 中找到,不過目前旗艦版的使用者也必須和企業版用戶同樣自行下載。

這個工具在系統只有單一磁區的情況下,會自動壓縮磁碟區,並用壓縮後剩餘的空間來建立第二個磁碟分割,然後進行所有必要的設定變更,像是指定容量大小、變更磁碟機代號,以及格式化為NTFS 等,最後再將啟動檔案移至磁碟中的正確位置。

然而,在使用BitLocker 磁碟機準備工具時,有時會發生「找不到目標的系統磁碟機」,或是「無法在這個版本的Windows中使用」等錯誤訊息,這時就必須手動設定磁碟機。

我們可以使用Windows 內建的「磁碟管理」(位於控制臺下,系統管理工具中的電腦管理選項), 來手動建立BitLocker 磁區。首先,我們必須在電腦中先建立一個大小為1.5GB 的主要磁碟分割,這部分可以使用原本電腦中尚未使用的磁碟單元,或是將磁碟壓縮以產生新的分割空間。接下來,再將這個未配置的空間,新增簡單磁碟區,並設為主要磁碟分割,並格式化為NTFS 。這個磁碟分割的作用為儲存BitLocker加密所需的資料,所以必須指定磁碟機代號為「S」,同時也不能用來存放其他檔案。

強制啟用BitLocker

雖然在BitLocker的系統需求說明中,註明必須要使用支援TPM 1.2的電腦,才能開啟這項功能,不過事實上,即使沒有這項裝置,我們仍然可以搭配網路磁碟機或U S B 隨身碟來啟用BitLocker,步驟如下:

1. 變更群組原則設定,以解除TPM限制

在預設的情況下, BitLocker 磁碟加密功能是關閉的,所以我們首先需要利用「本機群組原則編輯器」,來變更BitLocker 磁碟加密功能的設定。只要在開始功能表的「執行」中, 輸入「gpedit.msc」就可以開啟群組原則編輯器,之後再到「電腦設定」的「系統管理範本」項,變更「Windows元件」中的「BitLocker 磁碟機加密」設定,並在點選「控制臺設定:啟用進階啟動選項」後,將其設定改成「已啟用」。接下來再將「設定加密方法」更改為「已啟用」,並選擇「具有Diffuser 的AES128位元加密方式」,即可在電腦不支援TPM的情況下,啟動BitLocker。

2. 將金鑰儲存在USB隨身碟中

完成上述設定後,就可以在控制臺中利用BitLocker 加密系統磁碟,但在加密過程中,由於電腦並未裝置TPM 安全晶片,所以只能選擇「每次啟動時都要求提供啟動USB 金鑰」,再指定想要使用的隨身碟。之後我們可以選擇將密碼儲存在USB磁碟機、資料夾中或列印出來,不過值得注意的是,密碼只能儲存在卸除式磁碟或網路磁碟的資料夾,而不能放在本機磁碟分割中。

如果選擇將密碼儲存在USB磁碟機,金鑰會以TXT 格式儲存在卸除式磁碟中,之後系統會自動重新開機,在這個過程中,儲存密碼的隨身碟必須插在USB 埠上,以便BitLocker 加密機制能在開機時驗證密碼是否有效。一旦驗證完成,開機後系統就會開始加密磁碟,加密的時間隨磁碟大小和硬體效能而有不同,以我們使用的系統為例(使用Core i7處理器、3GB DDR3記憶體,以及20GB硬碟建置的虛擬機器),約需40分鐘。

另外,在開始加密之前,也可以選擇不要執行BitLocker系統檢查,這時電腦不需要重新開機,就會立刻開始執行磁碟加密作業,不過這樣一來,在每次開機要進入作業系統或BIOS設定畫面時,都會出現必須輸入金鑰的畫面,所以最好將儲存在隨身碟中的密碼列印出來,或是準備其他電腦來讀取相關資料,以便手動輸入,而這時隨身碟或網路磁碟機可以不用和被加密的電腦連接,只要密碼輸入正確,就能登入系統。

值得注意的是, 如果想要使用BitLocker 加密其他磁碟,必須先加密系統磁碟(一般為C碟),而加密其他非系統磁碟時,電腦則不需要重新開機。

 

BitLocker建置流程圖

(看大圖)

 

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement