2011年11月30日 星期三

使用Windows行動碟加密技術--Bitlocker To Go

微軟從Windows Vista與Windows Server 2008作業系統開始支援Bitlocker磁碟機加密功能,提供了離線保護磁碟機資料私密性的能力,而Windows 7與Windows Server 2008 R2作業系統則更進一步擴充BitLocker功能,最主要的加強無非是提供USB行動儲存裝置的加密技術—Bitlocker to go。

外接式磁碟或USB隨身碟攜帶相當方便,幾乎已經成為每個人存放或搬移資料時相當依賴的儲存設備,不過由於USB行動的體積小、重量輕,故此類型的裝置遺失率也特別高,而其中儲存的重要資料一旦外洩,恐衍生其它資安問題,所以如何管理USB隨身碟一直是企業越來越重視的議題,而微軟在Windows 7 企業版與旗艦版以及Windows Server 2008 R2作業系統上終於將抽取式儲存設備納入保護範圍。

Bitlocker To Go主要特性

  1. BitLocker To go 可加密格式化為FAT32、exFAT或NTFS格式的抽取式儲存裝置。
  2. 無需內建TPM安全晶片。
  3. 使用BitLocker加密的抽取式儲存裝置只需輸入密碼即可使用,若密碼忘記了可使用修復金鑰啟動此抽取式儲存裝置後再重設密碼即可。
  4. 日後可關閉BitLocker加密功能,還原成未加密儲存狀況。
  5. 只有Windows 7企業版和旗艦版以及Windows Server 2008 R2作業系統可以啟動BitLocker to go 加密功能,但Windows XP可以讀取加密的抽取式儲存裝置 (但只能讀無法寫入)。

使用Bitlocker to Go

使用與管理Bitlocker to go的主要工作有三:

  1. 替USB行動裝置啟用Bitlocker 加密
  2. 存取Bitlocker加密行動裝置
  3. 關閉解密Bitlocker加密行動裝置

 

一. 使用Bitlocker to go 替行動碟加密

若要對USB行動碟啟用BitLocker加密功能,首先自然需先插入您的行動碟,接下來依照下列步驟完成加密工作 (Windows Server 2008 R2需要先利用伺服器管理新增BitLocker磁碟機這項功能):

  1. 由控制台內啟動Bitlocker磁碟機加密。
  2. 在行動碟圖示旁,按一下【開啟Bitlocker】
  3. 接下來將選取解除鎖定磁碟機的方法,您有二種選擇:(1) 密碼或較安全的雙因子驗證方法—(2)智慧卡,一般而言,大多採用較簡單的密碼方式,所以您需要輸入二次嚴謹的密碼。
  4. 接下來,您需要儲存一個修復金鑰以便將來密碼忘記或智慧卡遺失時仍可以透過這個修復金鑰來解除鎖定,您可以選擇儲存金鑰檔案或列印出來,不過不論選擇那一種方法,一定要確保其私密性,絕不能它人取得或看到此修復金鑰,大部份的情況應用採用儲存檔案方式。按下一步繼續。
  5. 接下來的畫面請直接按下方的【開始加密】按鈕開始對行動碟進行加密,加密過程可能需要等待一段時間才會完成。
     
  6. 一旦磁加密完成,日後欲存取此加密行動碟時,均需輸入正確密碼才能解除鎖定存取裏面的資料。

 

二. 存取Bitlocker加密行動裝置

下圖為將Bitlocker行動碟插入電腦時會自動顯示輸入密碼的對話方塊,您只要輸入正確密碼就可以解除鎖定而開始使用行動碟資料。

 

在檔案總管內,您可以藉由行動碟圖示上鎖的顏色而判斷是否已解除鎖定,若鎖的顏色為黃色,則此時行動碟為鎖定狀況無法使用,若鎖的顏色為灰色,則此時的行動碟為已解除鎖定狀況,是允許存取使用的。

 

三. 關閉與解密Bitlocker加密行動裝置

對於已加密的行動碟,日後如果不再需要,就可以關閉加密功能,亦即將其解密以還原為未加密的行動碟,步驟如下。

  1. 插入行動裝置。
  2. 輸入密碼以解除加密狀況。
  3. 開啟控制台內的【Bitlocker磁碟機加密】。
  4. 按下Bitlocker to go 的加密行動裝置右側的【關閉Bitlocker】,接下來於出現的對話方塊上按【解密磁碟機】按鈕開始進行解密,您需要等待一段時間以完成解密工作。

結語

行動碟的使用日益頻繁,但其體積小、易於攜帶的優點卻也產生了容易遺失的缺點,一旦其內存放了機密性或個人隱私性的資料,如何有效的保護資料不外洩的問題至為重要,而Windows 7的Bitlocker To Go提供了一項有效的解決方案。