0
0

启用BitLocker

Felix021 发表于 2016年08月14日 15:11 | Hits: 251
Tag: 操作系统

  记得很早之前就想给自己的电脑启用BitLocker,但是因为主板上没有TPM芯片(用于存储密钥),不能给系统盘加密;而不能给系统盘加密的话,其他盘的解密就需要每次启动系统以后再输入一次密钥,然而我的文档、桌面等一般都存在其他盘,我估摸着会出现一些奇怪的现象,所以就放弃了。

  昨天兴起又研究了一下,发现其实并不是一定要有TPM才能给系统盘加密——这个限制是Vista第一次引入BitLocker时的要求,后来微软也意识到,由于大多数民用主板上没有集成TPM芯片,导致BitLocker略显鸡肋,于是在Win7开始做了个变通,允许把加密密钥保存在单独的启动分区里,通过一个密码(或启动U盘)来保证密钥的安全,但是需要在组策略编辑器里将“计算机配置-管理模板-Windows组件-BitLocker驱动器加密-操作系统驱动器-启动时需要附加身份验证”修改为已启用(注意左下角“没有兼容的TPM时允许BitLocker”被打上勾了),系统盘被加密后,用户在启动电脑时输入一次密码即可。

  对Win7系统安装略有了解的同学大概注意到了,从光盘启动安装的话,除了Windows系统盘之外,还会创建一个100M的启动分区和一个恢复分区,其中启动分区一方面是为了兼容UEFI,另一方面也一定程度上解决了TPM的问题。虽然可以不需要TPM了,但是必须要说一句,这样的安全性还是降低了,因为启动分区是不加密的,这意味着有心人可以替换启动器(启动分区的第一个扇区,或者BOOTMGR)收集到用户启动时输入的密码,从而获得加密密钥。我想这也是微软默认仍然需要tpm,除非用户主动修改组策略的原因吧。

  我以前一直很不喜欢Windows的这个小动作(凭什么一个系统要占据3个Primary Partition?要知道MBR方式的磁盘只支持4个主分区或者3主分区+1逻辑分区,这么搞真浪费),所以我通常是用Wim安装器来安装,只需要一个主分区,结果就把自己坑了……还好补救措施很简单,通过DiskPark或者DiskGenius或者diskmgmt.msc开一个100M的主分区(注意不能是逻辑分区),激活(设置为启动分区,此处应有55AA梗),格式化为NTFS,把系统盘的 boot目录、bootmgr文件 拷贝到新分区,再用管理员cmd执行 "bcdedit /export X:\boot\bcd" ,重启电脑后就能开启BitLocker了。

  开启了BitLocker以后感觉心里踏实了很多,毕竟Chrome保存了那么多密码,如果电脑被偷走还是挺头疼的。

原文链接: https://www.felix021.com/blog/read.php?2167

0     0

评价列表(0)