文章內容

Windows 7 中加密移動存儲設備

發布時間: 2012/7/5 10:12:21

　　概要：
　　雖然技術的發展使得通過網絡共享文件成為一件非常簡單快捷的事情，但因為各種原因，依然有很多人需要通過可移動存儲設備在不同電腦，或不同人之間共享文件。例如 USB 接口的移動硬盤、U盤等，這些設備通常是交換大量文件的首選方式。甚至有些人的日常工作也離不開此類設備，下班時間到了，發現自己還有重要工作沒有完成，直接帶筆記本電腦回家比較麻煩，這時候很多人就會選擇將工作所需的文件都復制到可移動存儲設備中，帶回家在家里的電腦上繼續工作。
　　這類可移動存儲設備為了便攜，往往體積都非常小，尤其是 U盤，現在有些大容量U盤甚至只有幾毫米厚度。雖然便攜性提高了，但丟失的風險也隨之增大。硬件設備丟了是小事，反正現在這些設備都非常便宜，可設備中最貴重的數據一旦丟失，不僅麻煩，而且可能因為泄密導致嚴重的后果。
　　因此最好有一種專門針對可移動存儲設備的加密方式，那就是 Windows 7 中提供的 BitLocker To Go 功能。該功能可用于將可移動存儲設備上的整個分區進行加密，并設置密碼和恢復密鑰文件。以后每次讀寫該設備時，需要輸入密碼；而如果忘記密碼，則需要提供恢復密鑰文件。
　　該功能的易用性要比 EFS 好很多，因為正常使用過程中不再要求密鑰的參與，只要記住密碼，就可以在任何一臺支持該功能的電腦上讀寫設備中的數據，而在整個過程中數據都會維持加密狀態。如果希望用該功能加密可移動存儲設備，要求使用 Windows 7 企業版或旗艦版操作系統，但加密后的設備，不僅可通過任何版本的 Windows 7 對設備進行讀寫，而且可通過 Windows XP SP2/Vista/Server 2008 進行讀取（注意，在老版本系統上，只能在提供密碼后讀取設備，無法向設備寫入文件）。因此就算需要在其他電腦上使用被加密設備，也不用考慮對方的操作系統問題，因為該功能向后兼容的操作系統非常廣泛，基本上覆蓋了目前普及率較高的所有版本的 Windows。
　　BitLocker To Go 的使用沒有什么特殊的要求，只要有可移動存儲設備，且設備的可用空間不小于 64 MB 即可。而且并非僅限于使用 USB接口的可移動存儲設備，實際上任何能夠用于存儲數據的設備，只要能被 Windows 7 正確識別為標準移動存儲設備，無論使用什么方式連接到電腦，都可以使用 BitLocker To Go 加密。例如 USB接口的 U盤或移動硬盤、1394接口的硬盤、SD存儲卡等，都可以這樣使用。

　　正文：
　　加密設備
　　要想使用 BitLocker To Go 功能加密可移動存儲設備，可以按照下列步驟操作：
　　在 Windows 7 企業版\旗艦版上，依次進入控制面板 - 系統和安全 - BitLocker驅動器加密。
　　將希望加密的設備連接到電腦，稍等片刻，如果一切無誤，該設備將出現在 BitLocker 驅動器加密窗口中（如下圖所示）。如果想要加密的設備沒能出現在這里，則意味著該設備無法被 BitLocker To Go 加密。

　　在 BitLocker To Go 選項下，對于可加密的設備，將顯示有啟用BitLocker 的字樣；而已經被加密的設備，則會在設備圖標上顯示鎖圖標，如果當前尚未解鎖該設備，那么鎖圖標將會是黃色閉合的；如果設備已經解鎖，則鎖圖標會變為灰色打開狀態。
　　對于需要加密的設備，單擊對應的啟用BitLocker 鏈接，隨后系統會對設備進行一些檢查，以確認該設備可以被加密，并對設備進行初始化。檢查驗證無誤后，可以看到下圖所示的界面。

　　在加密設備時，可以使用密碼，或者使用智能卡。通常來說，密碼方式更加通用一些，而要使用智能卡，則只有在統一部署了智能卡驗證服務的某些企業環境中才能使用。因此請直接選中使用密碼解鎖驅動器，并輸入和確認用于解鎖該驅動器的密碼。單擊下一步，隨后可以看到下圖所示的界面，在這里需要指定恢復密鑰的保存方式。

　　恢復密鑰是在忘記密碼的時候使用的，并且有兩種處理方式：直接保存為密鑰文件，或者打印到紙上。無論使用任何一種方式都需要注意，任何人，哪怕不知道解鎖密碼，只要有恢復密鑰，一樣可以解鎖被加密的設備，并讀取其中的文件。因此恢復密鑰一定要妥善保存到安全可靠的地方。
　　如果要將恢復密鑰保存成文件，請單擊將恢復密鑰保存到文件按鈕，并選擇文件的保存位置。隨后可以獲得一個純文本文件，其中列出了該設備的恢復密鑰內容。如果日后忘記解鎖密碼，只要使用該文件即可解鎖設備，并重設密碼。如果要打印恢復密鑰，則可以單擊打印恢復密鑰按鈕，并選擇要使用的打印機，隨后恢復密鑰內容就會被打印到紙上。日后如果忘記解鎖密碼，需要找到打印了恢復密鑰的紙，并手工輸入密鑰。
　　另外需要注意：如果在同一臺電腦上使用 BitLocker To Go 功能加密了多個設備，雖然可以給所有設備使用相同的解鎖密碼，但恢復密鑰是不會相同的，并且也不通用。因此如果是這種情況，建議將恢復密鑰進行適當的標識，如果是保存成恢復密鑰文件，可以使用存儲設備的型號和容量等信息為名稱創建文件夾，將對應的恢復密鑰文件保存到文件夾中；如果恢復密鑰打印到紙上，則可以將設備的型號和容量等信息直接寫在紙上，方便區分。
　　保存好恢復密鑰后，單擊下一步按鈕，并單擊啟動加密按鈕，隨后程序會對該設備進行加密，并顯示下圖所示的進度框。取決于設備的容量，加密過程可能會很長，但這個過程只需要進行一次，以后使用的時候，文件的加密和解密工作是實時進行的。

　　如果設備中已經保存了文件，則也不用擔心，加密過程完成后，所有文件依然可以直接訪問，并不會被破壞。
　　在加密的過程中，可以單擊暫停按鈕暫停加密過程，并將存儲設備斷開電腦。下一次連接該設備后，只要輸入解鎖密碼，系統就可以繼續完成剩余的加密工作。不過一般來說，在加密過程中建議不要暫停，更不要斷開設備，最好讓這個工作一次完成。
　　解鎖設備
　　使用 BitLocker To Go 功能將設備加密后，如果需要使用該設備，需要使用下列步驟對設備進行解鎖：
　　將加密后的設備連接到電腦，隨后可以看到下圖所示的解鎖對話框。

　　由于在加密設備時使用的是密碼解鎖，因此只需要在密碼輸入框中輸入解鎖密碼，并單擊解鎖按鈕，隨后就可以訪問設備。并且只要不將設備從電腦上斷開，解鎖后的設備將一直保持解鎖狀態，可以隨時使用。如果斷開設備，再次連接到電腦后，則需要重新輸入解鎖密碼，重新解鎖。
　　如果不解鎖，在計算機窗口中雖然可以顯示出該設備，但嘗試雙擊打開時會出現拒絕訪問的錯誤信息。這種情況下，雖然無法讀取設備中的文件，但依然可以對設備進行格式化操作。
　　如果不希望每次使用設備時都輸入解鎖密碼，例如家里和辦公室都有運行 Windows 7 企業版\旗艦版的電腦，并且電腦都放置在安全的環境，外人無法接觸到，只希望使用 BitLocker To Go 功能在上下班的路上保護設備中的數據，則可以在輸入了密碼，單擊解鎖按鈕之前選中從現在開始在此計算機上自動解鎖選項，這樣Windows將記住該設備的解鎖密碼，以后每次將這個設備連接到本機后，都會使用記住的解鎖密碼自動解鎖。對于已經解鎖的設備，如果希望對 BitLocker To Go 功能的行進行配置，則可執行列操作：
　　將設備連接到電腦，并輸入密碼解鎖。
　　打開控制面板，依次進入系統和安全-BitLocker驅動器加密。
　　對于已經解鎖的設備，單擊管理BitLocker 鏈接，隨后將看到下圖所示的管理對話框。

　　取決于具體情況，這里列出了五個選項，這些選項的含義分別如下：
　　更改用于解鎖驅動器的密碼： 如果希望更改密碼，可以單擊該選項，并輸入新的解鎖密碼，這樣以后就必須使用新的密碼解鎖該設備，但之前保存的恢復密鑰依然是可以使用的。
　　刪除此驅動器的密碼： 如果不再希望對該設備使用 BitLocker To Go，就可以使用該選項將設備徹底解密，以后使用之前將不再需要輸入密碼解密，而任何人也將可以讀取其中的內容。這里有一個小竅門：解密過程所需的時間和加密過程一樣長，因此如果設備中保存的文件不是很多，可以將文件首先復制到本地硬盤，然后格式化設備，并將文件重新復制回去，這樣往往可以更快一些。
　　添加智能卡以解鎖驅動器： 如果曾經使用密碼加密該設備，則可以通過該選項添加智能卡解密功能，這樣以后可以同時使用密碼和智能卡進行解密。
　　再次保存或打印恢復密鑰： 如果加密設備時設置的恢復密鑰丟失，則可通過該選項重新獲得恢復密鑰文件，或重新打印恢復密鑰。
　　在此計算機上自動解鎖此驅動器： 如果在解鎖設備時沒有選中自動解鎖選項，則可以在這里設置自動解鎖驅動器；如果已經使用了自動解鎖功能，則可通過該選項禁止自動解鎖。
　　根據需要執行完所需操作后，單擊關閉按鈕。
　　忘記密碼后的恢復
　　對于已經加密的設備，如果忘記了解密密碼，則可以通過加密設備時獲得的恢復密鑰進行恢復，具體過程如下：
　　將設備連接到電腦，隨后會出現用于輸入解鎖密碼的對話框，在該對話框上直接單擊我忘記了密碼鏈接，隨后將看到下圖所示的恢復界面。

　　找出加密設備時保存的恢復密鑰（可能是硬盤上的一個純文本文件，或者是打印的一張紙），留意可以通過以下方式識別您的恢復密鑰字樣后面顯示的設備標記。
　　在恢復密鑰文件或紙張上，應該可以看到下圖所示的內容，請留意恢復密鑰中顯示的標記與上圖顯示的標記是否一致。如果一致，證明該恢復密鑰是這個設備的；如果不一致，則證明這個密鑰并不是這個設備的。