在 Windows 上使用 Bitlocker 加密硬盘 2008 o Windows Vista作系统

这是 Windows Server 为我们带来的新功能之一 2008 在 Windows Vista 中也可用, 可以加密我们的硬盘，以至于无法提取任何数据, 全部加密. 我们可以将此密钥存储在 USB 闪存驱动器或直接存储在软盘中, 没有它, 计算机既无法重启，也无法解密硬盘. 这在我们的计算机从某些用于获取数据或破解 Windows 密码的 LiveCD 启动时是非常典型的情况. 当你去美国，他们在海关拿走你的笔记本时，这是理想的, 哈哈, 虽然肯定会让你输入密码或者… 拿出橡胶手套 ;), pero en principio es información que no se podría acceder ya que está cifrada.

Opcionalmente usa un módulo de plataforma de confianza (TPM （TPM）) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, 有了这个, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. 停下, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. 然而, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, 跟 clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

井, 开始, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, 首先, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. 第一个分区 (系统卷), 在未加密的空间中有启动信息. 第二个分区 (操作系统卷) 被加密并包含用户和操作系统的待加密数据. 所以我们必须在安装 Windows Server 之前创建这些分区 2008 o Windows Vista作系统.

启动计算机并插入 Windows 光盘, 在光盘上启动安装向导, “以后”,

点击 “修复计算机”,

“以后”,

压 “命令提示符” 因为我们将从命令行创建两个分区.

不错, 我们必须创建两个分区, 第一个至少 1.5Gb，第二个使用磁盘剩余空间, 因为 Windows 将安装在这里，而且我们的数据将被加密. Desde la consola de DOS, 跑 “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, 写 “select disk 0” > “clean” > “create partition primary size=1500” > “assign letter=S” > “积极” > “create partition primary” > “assign letter=C” > “list volume”. 有了这个, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “退出” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, 为此:
“format c: /y /q /fs:NTFS” 和 “format s: /y /q /fs:NTFS”

Salimos de DOS con “退出”,

眼睛, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, 所以我们点击 “立即安装”,

将显示我们通过 Diskpart 创建的分区，并选择将安装 Windows 的大分区 2008 o Windows Vista作系统, “以后” 然后继续进行 Windows 安装向导的所有步骤, 安装完成后，我们将继续文档.

还行, Windows 安装完成后, 我们将激活 BitLocker, 但在此之前, 我们需要安装它, 因为它是 Windows 的新功能, 我们打开 “服务器管理员” 我们将 “特性” > “添加功能”,

马克 “BitLocker 驱动器加密” & “以后”,

还行, 点击 “安装” 进行安装…

…

不错, 我们需要重启计算机以使刚刚安装的功能生效, 所以我们点击 “关闭”,

现在重启还是稍后重启,

重新启动后, BitLocker 安装向导会出现，并确认安装成功. “关闭”,

井, ahora queda activarlo, 为此, 我们要去 “Panel de Control” y ahí lo tendremos en “安全”, 点击 “BitLocker 驱动器加密”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

井, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, 为此: “开始” > “执行” > “gpedit.msc” & “接受”.

我们将 “设备设置” > “管理模板” > “Windows 组件” > “BitLocker 驱动器加密”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, 以及 “Configurar opción de clave de inicio del TPM” 和 “Configurar opción del NIP de inicio del TPM” 自 “Permitir al usuario crear u omitir” 无论我们是否感兴趣. 答案是肯定的, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

准备好后, si volvemos al “Panel de Control” > “BitLocker 驱动器加密” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “救”,

除此之外, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaré “将密码保存在 USB 驱动器上”,

IDEM 比以前, 插入 U 盘 & “救”,

保存后点击 “以后”,

我们就可以加密硬盘的卷或分区了, 标记 “执行 BitLocker 系统检查” & “继续”. 我在我的情况下不会通过 GUI 来做，因为顺便看看 DOS 可用的命令.

在这种情况下，将密码保存到软盘，而不是 USB 设备, 所以通过这个脚本，我们将启动硬盘的加密，并将密钥保存在软盘上. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on 表示要加密的驱动器; -rp 表示使用数字密码，-sk 表示指定密钥的保存位置),

一旦执行了命令，我们就会在软盘上得到密钥, 现在我们应该记下恢复密码 (就是那个显示给我们的) 以防万一在启动密钥丢失时需要. 我们需要重启电脑以进行硬件测试,

计算机重新启动后, 如果我们执行脚本: “cscript C:WindowsSystem32manage-bde.wsf -status” 我们就可以检查 BitLocker 加密的状态, 在这种情况下，我们看到硬盘还没有被加密, 正在进行中 47%, 我们给它时间完成…

还行, 准备, 我的硬盘使用 AES 128 位加密!

我们也可以从磁盘管理器中进行检查, 它会显示 “已使用 BitLocker 加密”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, 从 “Panel de Control” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

井, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.