对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密就显得很有必要了。
全盘加密的意义有以下两个:
1、淘汰旧电脑的时候,旧电脑硬盘上遗留的机密数据不会被有心人士挖掘出来并公之于众;
2、只要加密强度设置地足够高,无论是执法人员还是那些企图盗取数据的不法分子都无法获取他们想要的数据。
对于Windows平台,这里我介绍一种系统自带的全盘加密方法:
UEFI启动方式:BitLocker加密。某些设备像Surface系列出厂就默认开启了,这里讨论的是那些默认不开启的电脑。
Legacy启动方式:使用开源加密软件,如VeraCrypt(TrueCrypt的分支项目)。
当然,只要满足一定条件,Legacy启动方式下也可以使用BitLocker加密。
首先,介绍BitLocker加密如何操作。BitLocker加密功能不适用于家庭版的Windows Vista/7/8/8.1/10。BitLocker加密最好在至少Windows 8专业版或企业版下完成,这里使用Windows 10专业版来演示。
理论上讲Windows Vista商业版/企业版/旗舰版、Windows 7专业版/企业版/旗舰版、WES7也可以BitLocker全盘加密,但是无法在开机输入普通的解密密码解密,只能使用TPM芯片、密钥盘和难以记忆的恢复密钥来解密。
在系统盘按鼠标右键,选择启用BitLocker。
很多人的电脑都没有TPM芯片,会收到这个提示。商用级别的电脑一般会具备TPM芯片,可以正常进行步骤。
将它关闭,运行组策略管理器(gpedit.msc)。
依次展开计算机配置下的"管理模板"、"Windows组件"、"BitLocker驱动器加密"、"操作系统驱动器"。
打开"启动时需要附加身份验证"。将其配置成"已启用",并开启"没有兼容的TPM时允许BitLocker"。如果你的电脑有TPM芯片但不想利用硬件自带的TPM芯片来实现开机自动解密,那么将配置TPM启动改成"不允许TPM",其余保持默认,确定。
如果你想提高加密的安全性,依次展开计算机配置下的"管理模板"、"Windows组件"、"BitLocker驱动器加密",里面有"选择驱动器加密方法和密码长度"。
对于Windows Vista到Windows 10首个正式版,建议选择AES 256位。
对于Windows 10版本1511(TH2)和以上版本,建议按照下图配置。
修改成256位加密之后,加密所需时间可能会比使用128位加密更长,但是为了获取更高的安全性,这是十分值得的。
这个时候应该就可以加密了。
执行到这个步骤的时候,系统会问你是打算利用U盘解密还是输入密码解密。
个人比较推荐使用密码来解密。
输入一个强密码,这个步骤不用我多说了,越复杂越好,越没规律越好,不要设置成你的生日,手机号之类的简单密码。
最后系统会问你将恢复密钥保存到哪里。
如果使用的是Windows 8或以上版本,你可以保存到微软账户上。你也可以保存到U盘上或者是移动硬盘上,或者是打印下来(不推荐)。
删除恢复密钥,就等于切断了你救回数据的重要途径。
如果使用的是Windows 8或以上版本,系统会问你是加密已使用空间还是整个驱动器。
这里我们使用"加密整个驱动器"。
系统右下角会提示你准备重启电脑,点开之后,点"立即重新启动"。
重启之后,将你前面设置的密码照着输入一遍,然后回车进入系统。
重启回到系统之后,系统就会自动对系统盘进行加密处理。
如果你用的不是Administrator账号,你是看不到系统盘加密进度的。这种情况下,你可以利用管理员命令提示符或是PowerShell执行manage-bde -status命令来查看加密进度。
然后你可以继续加密其它非系统盘或U盘,这个加密过程可以实时看到。
加密非系统盘的界面和加密系统盘的界面有一定区别,少了一些步骤。
你还可以打开BitLocker驱动器加密管理(在Cortana搜索框可以轻易调出),在里面开启非系统盘自动解锁。但是,开启这个功能的前提是系统盘必须要开启BitLocker加密。
由于加密过程十分漫长,系统支持在加密的过程中暂停加密,等时间允许之后再来完全加密。
Legacy启动方式使用BitLocker全盘加密的一个基本要求是,启动文件必须放在一个单独的分区里,也就是系统保留分区,这样才可以BitLocker全盘加密。如果是使用原版安装镜像安装的Windows且确实保留了系统保留分区,那么一般是符合这个条件的。
不知道的话,可以打开磁盘管理(diskmgmt.msc)检查是否有系统保留分区。
以后每次开机,都会见到这个BitLocker加密输入密码的提示。
使用硬盘加密,要说明的几个注意事项:
1、一定要设置一个开机密码,不用电脑的时候将电脑锁定;
2、如果电脑有1394接口,一定要禁用掉,并在组策略禁止1394设备的安装防止有心人士加装1394扩展卡。因为IEEE1394可以直接访问内存,只要在系统登录界面下,拿出另一台电脑,用火线将两台电脑连接起来,通过某些工具直接将整个内存做一个镜像,然后从内存读取解密密码,剩下的就不用多说了。这个操作就是所谓的"火线攻击"(Firewire Attack)。禁用1394接口带来的影响,就是使用1394接口的外设全部无法使用。不过我想现在应该没几个人还在用1394接口传输数据了吧;
3、不要将密码存在不安全的地方,例如写在一张纸条放在电脑旁边,这跟没加密没区别了。加密的意义就是要防止有心人士获取不想被其他人获取的数据。
4、加密会对硬盘的性能带来一定影响。如果这个电脑不拿来进行机密文件的处理,就是拿来日常娱乐,那么全盘加密是毫无必要的。
,