在 Windows 上使用 Bitlocker 加密硬盘 2008 o Windows Vista作系统

这是 Windows Server 为我们带来的新功能之一 2008 在 Windows Vista 中也可用, 可以加密我们的硬盘，以至于无法提取任何数据, 全部加密. 我们可以将此密钥存储在 USB 闪存驱动器或直接存储在软盘中, 没有它, 计算机既无法重启，也无法解密硬盘. 这在我们的计算机从某些用于获取数据或破解 Windows 密码的 LiveCD 启动时是非常典型的情况. 当你去美国，他们在海关拿走你的笔记本时，这是理想的, 哈哈, 虽然肯定会让你输入密码或者… 拿出橡胶手套 ;), 但原则上这是无法访问的信息，因为它已被加密.

可选择使用受信任的平台模块 (TPM) (TPM （TPM）) 以增强数据保护. 虽然也可以在没有兼容 TPM 模块的设备上使用, 有了这个, 提供卷加密，但没有启动前文件完整性验证的额外安全性. 停下, 我们将使用 USB 驱动器或软盘在启动时验证用户身份. 总而言之:

有 TPM 时我们有两种方式: 一种, 仅使用 TPM: 对用户来说是透明的，不会改变登录方式. 然而, 如果 TPM 缺失或被修改, BitLocker 将进入恢复模式，并有密码或恢复密钥以重新访问数据. 第二种, 跟 启动密钥: 用户将需要一个启动密钥才能登录电脑. 此密钥可以是物理的 (在一个包含可在电脑上读取的密钥的USB闪存驱动器中) 或个人的 (用户设定的密钥).

没有TPM: (这将是本文档的示例) 将通过 USB闪存驱动器密钥. 用户将在激活电脑之前插入一个USB驱动器, USB驱动器的密钥, 将解锁电脑.

井, 开始, 以使用BitLocker或BitLocker驱动器加密加密磁盘, 首先, 我们必须在安装操作系统之前对磁盘进行分区, 因为磁盘上需要两个分区. 第一个分区 (系统卷), 在未加密的空间中有启动信息. 第二个分区 (操作系统卷) 被加密并包含用户和操作系统的待加密数据. 所以我们必须在安装 Windows Server 之前创建这些分区 2008 o Windows Vista作系统.

启动计算机并插入 Windows 光盘, 在光盘上启动安装向导, “以后”,

点击 “修复计算机”,

“以后”,

压 “命令提示符” 因为我们将从命令行创建两个分区.

不错, 我们必须创建两个分区, 第一个至少 1.5Gb，第二个使用磁盘剩余空间, 因为 Windows 将安装在这里，而且我们的数据将被加密. 从DOS控制台, 跑 “diskpart” 进入Microsoft分区工具. 选择我们要分区的硬盘, 如果我们只有一个硬盘, 写 “select disk 0” > “clean” > “创建主分区大小=1500” > “分配驱动器字母=S” > “积极” > “create partition primary” > “分配驱动器字母=C” > “列出卷”. 有了这个, 我们创建了一个 1.5GB 的分区，这是 BitLocker 所需的，并创建了 C 分区: 我们将在那里安装 Windows, 我们检查它并退出 “退出” DiskPart,

现在我们需要使用 NTFS 格式格式化这两个分区, 为此:
“格式化 C: /和 /q /fs:NTFS” 和 “格式化 S: /和 /q /fs:NTFS”

退出 DOS “退出”,

眼睛, 现在我们必须通过点击小窗口的 “X” 😍，退出系统恢复选项，以便继续安装操作系统.

按照正常向导继续安装我们的设备, 所以我们点击 “立即安装”,

将显示我们通过 Diskpart 创建的分区，并选择将安装 Windows 的大分区 2008 o Windows Vista作系统, “以后” 然后继续进行 Windows 安装向导的所有步骤, 安装完成后，我们将继续文档.

还行, Windows 安装完成后, 我们将激活 BitLocker, 但在此之前, 我们需要安装它, 因为它是 Windows 的新功能, 我们打开 “服务器管理员” 我们将 “特性” > “添加功能”,

马克 “BitLocker 驱动器加密” & “以后”,

还行, 点击 “安装” 进行安装…

…

不错, 我们需要重启计算机以使刚刚安装的功能生效, 所以我们点击 “关闭”,

现在重启还是稍后重启,

重新启动后, BitLocker 安装向导会出现，并确认安装成功. “关闭”,

井, 现在进行激活, 为此, 我们要去 “Panel de Control” 然后我们就完成了 “安全”, 点击 “BitLocker 驱动器加密”,

它提示我们的设备没有兼容的 TPM 芯片, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

井, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, 为此: “开始” > “执行” > “gpedit.msc” & “接受”.

我们将 “设备设置” > “管理模板” > “Windows 组件” > “BitLocker 驱动器加密”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, 以及 “Configurar opción de clave de inicio del TPM” 和 “Configurar opción del NIP de inicio del TPM” 自 “Permitir al usuario crear u omitir” 无论我们是否感兴趣. 答案是肯定的, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

准备好后, si volvemos al “Panel de Control” > “BitLocker 驱动器加密” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “救”,

除此之外, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaré “将密码保存在 USB 驱动器上”,

IDEM 比以前, 插入 U 盘 & “救”,

保存后点击 “以后”,

我们就可以加密硬盘的卷或分区了, 标记 “执行 BitLocker 系统检查” & “继续”. 我在我的情况下不会通过 GUI 来做，因为顺便看看 DOS 可用的命令.

在这种情况下，将密码保存到软盘，而不是 USB 设备, 所以通过这个脚本，我们将启动硬盘的加密，并将密钥保存在软盘上. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on 表示要加密的驱动器; -rp 表示使用数字密码，-sk 表示指定密钥的保存位置),

一旦执行了命令，我们就会在软盘上得到密钥, 现在我们应该记下恢复密码 (就是那个显示给我们的) 以防万一在启动密钥丢失时需要. 我们需要重启电脑以进行硬件测试,

计算机重新启动后, 如果我们执行脚本: “cscript C:WindowsSystem32manage-bde.wsf -status” 我们就可以检查 BitLocker 加密的状态, 在这种情况下，我们看到硬盘还没有被加密, 正在进行中 47%, 我们给它时间完成…

还行, 准备, 我的硬盘使用 AES 128 位加密!

我们也可以从磁盘管理器中进行检查, 它会显示 “已使用 BitLocker 加密”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, 从 “Panel de Control” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

井, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.