BitLocker – 徹底保護你的硬碟/隨身碟資料

當年某男星送修電腦的事情彷彿一場夢一樣轉眼間快三年了,這個教訓讓許多人在修電腦的時候都特別注意自己的私密資料是否安全,麻煩的是需要透過特殊的抹除軟體或是第三方加密軟體來達到保護的效果,為什麼Windows沒有這個功能,而BitLocker正好在大家期望下所問世…

BitLocker

以往Windows使用者如果要保護電腦資料,只能透過內建加密檔案系統或是第三方軟體來保護電腦資料,可惜的是Windows內建加密系統不能對整個硬碟做加密,因此如果有心人士想要破解還是有地方可以鑽,然第三方廠商所開發的加密軟體則是因為各家不同的實作,因此最常遇到的問題就是如果要讀取資料還需另外安裝外掛造成不便。
因此微軟在Windows Vista內建了磁碟加密解決方案也就是BitLocker,而BitLocker也在Windows各個版本中也持續的改進,如下
作業系統/版本 BitLocker功能
Windows Vista 僅可加密本機系統磁碟(通常為C槽)
Windows Vista SP1 可保護所有本機磁碟
Windows 7 企業版/旗艦版 可保護所有本機磁碟
可對USB 快閃磁碟機及外接式硬碟進行加密

現在的BitLocker已經能提供相當完整的功能,它有幾個特色

  1. 完整磁碟機加密,透過BitLocker可以對整個硬碟做加密,有心人士無法藉由透過其他作業系統,或是其它軟體來讀取到機密資料。
  2. 早期開機元件的完整性檢查(Integrity checking of early boot components),BitLocker為在BIOS開機時期進行檢查,以確保系統不被竄改,代完整性檢查無誤與拿到正確的金鑰後系統才會開始解密。
  3. 冷開機攻擊保護(cold boot attacks),透過PIN碼或是有金鑰的USB裝置來讓系統開機或從休眠甦醒
  4. 簡化硬碟回收作業,在以往硬碟更換時,總是要小心硬碟機敏資訊被還原回來,按造美國國安局NSA規範至少要複寫7次才算安全,而對於被BitLocker加密過的硬碟只需要將解密的金要移除即可,回收到的人沒有解密金鑰完全無從下手。
  5. 擴大加密裝置,除了加密保護本機硬碟還可以加密USB 快閃磁碟機及外接式硬碟

Windows7BitLocker介紹

1.本機系統碟加密

在磁碟上按右鍵點選開啟BitLocker

BitLocker系統準備檢查畫面,如果您的電腦是出現找不到TPM模組,請參考最後的附件,這個部分檢查完會重新開機才正是進入加密的設定
這裡我們示範沒有TPM模組的加密方式,因為沒有TPM所以我們目前不能設定PIN,而且我們必須準備一支USB裝置來儲存啟動金鑰,而因為我們是將啟動金鑰儲在USB,因此之後開機都必須有支設備,否則便會出現「需要Windows BitLocker磁碟機加密金鑰-插入金鑰儲存媒體」的訊息,好那…我們準備好USB就可以開始了
選擇儲存的USB設備
選擇[將修復金鑰儲存到USB快閃磁碟機中]

加密磁碟前需要檢查系統的狀況是否都設定好

接下來重新啟動系統,加密的動作就會開始

加密完成後,我們可以看到C磁碟多了一個鎖,便完成了加密動作,這是就算是拿到其它硬碟沒有金鑰也無法存取裡面資訊。


2.加密隨身硬碟

在USB隨身碟按右鍵點選啟用BitLocker

設定解除BitLocker鎖定的密碼,千萬要記得這個密碼,以後要透過這組密碼才可以存取加密的磁碟

修復金鑰正是用在您忘記密碼的時候,所以務必把這組金鑰存好,假設連這組都忘記,那微軟也沒辦法幫你了

加密完硬碟後,可以看到隨身碟上多了鎖,這時只有輸入正確密碼才可以存取設備

加密完的硬碟可以在Windows Vista與Windows 7正常的存取,在Windows XP需要安裝更新才可存取加密的相關檔案。

Windows XP BitLocker To Go 讀取裝置更新檔:
http://www.microsoft.com/downloads/details.aspx?FamilyID=64851943-78c9-4cd4-8e8d-f551f06f6b3d&DisplayLang=zh-tw#filelist

系統安全分析

為了證明加密磁碟的安全性,我透過自己作的電腦鑑識分析光碟裡面的兩套商業軟體FinalData與R-Studio來嘗試看看是否可以讀取加密碟的檔案,不幸的是FinalData連加密硬碟的格式讀取都有點問題,我試著用R-Studio來解析加密碟,好不容易掃完的結果卻無法發現上面的任何檔案,這也簡單得確認了它的安全性,並印證他說得如果沒有金鑰硬碟就像是新的一樣也簡化了回收程序。

R-Studio掃描分析被BitLocker加密的磁碟

可以看到分析完後在R-Studio找不到加密碟裡面的任何資料

補充附件:在沒有TPM模組的環境啟用BitLocker

如果在USB裝置按右鍵找不到開啟BitLocker,或是出現找不到TPM請作以下兩個步驟

開始功能表搜尋輸入gpedit.msc開啟本機群組原則編輯器

電腦設定>系統管理範本> BitLocker磁碟機加密

  1. [設定磁碟機加密方法與加密長度]狀態更改成「已啟用」並選擇加密方法「具有Diffuser的AES 128位元(預設)」
  2. 作業系統磁碟機>[啟動時需要其他驗證]狀態更改成「已啟用」並確認在「不含相容TPM的情況下允許使用BitLocker」被勾選

完成這兩個設定後,便可以在沒有TPM模組的環境下透過USB來加密存取系統碟

結論

BitLocker幫助使用者從裡到外完整的保護資料,因此如果您的電腦有這個功能,千萬不要吝嗇使用它,它可是可以幫您保護公司重要機密而且避免你成為冠希的重要武器。

參考資料

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *


*