文章内容

Windows 7 中加密移动存储设备

发布时间: 2012/7/5 10:12:21

　　概要：
　　虽然技术的发展使得通过网络共享文件成为一件非常简单快捷的事情，但因为各种原因，依然有很多人需要通过可移动存储设备在不同电脑，或不同人之间共享文件。例如 USB 接口的移动硬盘、U盘等，这些设备通常是交换大量文件的首选方式。甚至有些人的日常工作也离不开此类设备，下班时间到了，发现自己还有重要工作没有完成，直接带笔记本电脑回家比较麻烦，这时候很多人就会选择将工作所需的文件都复制到可移动存储设备中，带回家在家里的电脑上继续工作。
　　这类可移动存储设备为了便携，往往体积都非常小，尤其是 U盘，现在有些大容量U盘甚至只有几毫米厚度。虽然便携性提高了，但丢失的风险也随之增大。硬件设备丢了是小事，反正现在这些设备都非常便宜，可设备中最贵重的数据一旦丢失，不仅麻烦，而且可能因为泄密导致严重的后果。
　　因此最好有一种专门针对可移动存储设备的加密方式，那就是 Windows 7 中提供的 BitLocker To Go 功能。该功能可用于将可移动存储设备上的整个分区进行加密，并设置密码和恢复密钥文件。以后每次读写该设备时，需要输入密码；而如果忘记密码，则需要提供恢复密钥文件。
　　该功能的易用性要比 EFS 好很多，因为正常使用过程中不再要求密钥的参与，只要记住密码，就可以在任何一台支持该功能的电脑上读写设备中的数据，而在整个过程中数据都会维持加密状态。如果希望用该功能加密可移动存储设备，要求使用 Windows 7 企业版或旗舰版操作系统，但加密后的设备，不仅可通过任何版本的 Windows 7 对设备进行读写，而且可通过 Windows XP SP2/Vista/Server 2008 进行读取（注意，在老版本系统上，只能在提供密码后读取设备，无法向设备写入文件）。因此就算需要在其他电脑上使用被加密设备，也不用考虑对方的操作系统问题，因为该功能向后兼容的操作系统非常广泛，基本上覆盖了目前普及率较高的所有版本的 Windows。
　　BitLocker To Go 的使用没有什么特殊的要求，只要有可移动存储设备，且设备的可用空间不小于 64 MB 即可。而且并非仅限于使用 USB接口的可移动存储设备，实际上任何能够用于存储数据的设备，只要能被 Windows 7 正确识别为标准移动存储设备，无论使用什么方式连接到电脑，都可以使用 BitLocker To Go 加密。例如 USB接口的 U盘或移动硬盘、1394接口的硬盘、SD存储卡等，都可以这样使用。

　　正文：
　　加密设备
　　要想使用 BitLocker To Go 功能加密可移动存储设备，可以按照下列步骤操作：
　　在 Windows 7 企业版\旗舰版上，依次进入控制面板 - 系统和安全 - BitLocker驱动器加密。
　　将希望加密的设备连接到电脑，稍等片刻，如果一切无误，该设备将出现在 BitLocker 驱动器加密窗口中（如下图所示）。如果想要加密的设备没能出现在这里，则意味着该设备无法被 BitLocker To Go 加密。

　　在 BitLocker To Go 选项下，对于可加密的设备，将显示有启用BitLocker 的字样；而已经被加密的设备，则会在设备图标上显示锁图标，如果当前尚未解锁该设备，那么锁图标将会是黄色闭合的；如果设备已经解锁，则锁图标会变为灰色打开状态。
　　对于需要加密的设备，单击对应的启用BitLocker 链接，随后系统会对设备进行一些检查，以确认该设备可以被加密，并对设备进行初始化。检查验证无误后，可以看到下图所示的界面。

　　在加密设备时，可以使用密码，或者使用智能卡。通常来说，密码方式更加通用一些，而要使用智能卡，则只有在统一部署了智能卡验证服务的某些企业环境中才能使用。因此请直接选中使用密码解锁驱动器，并输入和确认用于解锁该驱动器的密码。单击下一步，随后可以看到下图所示的界面，在这里需要指定恢复密钥的保存方式。

　　恢复密钥是在忘记密码的时候使用的，并且有两种处理方式：直接保存为密钥文件，或者打印到纸上。无论使用任何一种方式都需要注意，任何人，哪怕不知道解锁密码，只要有恢复密钥，一样可以解锁被加密的设备，并读取其中的文件。因此恢复密钥一定要妥善保存到安全可靠的地方。
　　如果要将恢复密钥保存成文件，请单击将恢复密钥保存到文件按钮，并选择文件的保存位置。随后可以获得一个纯文本文件，其中列出了该设备的恢复密钥内容。如果日后忘记解锁密码，只要使用该文件即可解锁设备，并重设密码。如果要打印恢复密钥，则可以单击打印恢复密钥按钮，并选择要使用的打印机，随后恢复密钥内容就会被打印到纸上。日后如果忘记解锁密码，需要找到打印了恢复密钥的纸，并手工输入密钥。
　　另外需要注意：如果在同一台电脑上使用 BitLocker To Go 功能加密了多个设备，虽然可以给所有设备使用相同的解锁密码，但恢复密钥是不会相同的，并且也不通用。因此如果是这种情况，建议将恢复密钥进行适当的标识，如果是保存成恢复密钥文件，可以使用存储设备的型号和容量等信息为名称创建文件夹，将对应的恢复密钥文件保存到文件夹中；如果恢复密钥打印到纸上，则可以将设备的型号和容量等信息直接写在纸上，方便区分。
　　保存好恢复密钥后，单击下一步按钮，并单击启动加密按钮，随后程序会对该设备进行加密，并显示下图所示的进度框。取决于设备的容量，加密过程可能会很长，但这个过程只需要进行一次，以后使用的时候，文件的加密和解密工作是实时进行的。

　　如果设备中已经保存了文件，则也不用担心，加密过程完成后，所有文件依然可以直接访问，并不会被破坏。
　　在加密的过程中，可以单击暂停按钮暂停加密过程，并将存储设备断开电脑。下一次连接该设备后，只要输入解锁密码，系统就可以继续完成剩余的加密工作。不过一般来说，在加密过程中建议不要暂停，更不要断开设备，最好让这个工作一次完成。
　　解锁设备
　　使用 BitLocker To Go 功能将设备加密后，如果需要使用该设备，需要使用下列步骤对设备进行解锁：
　　将加密后的设备连接到电脑，随后可以看到下图所示的解锁对话框。

　　由于在加密设备时使用的是密码解锁，因此只需要在密码输入框中输入解锁密码，并单击解锁按钮，随后就可以访问设备。并且只要不将设备从电脑上断开，解锁后的设备将一直保持解锁状态，可以随时使用。如果断开设备，再次连接到电脑后，则需要重新输入解锁密码，重新解锁。
　　如果不解锁，在计算机窗口中虽然可以显示出该设备，但尝试双击打开时会出现拒绝访问的错误信息。这种情况下，虽然无法读取设备中的文件，但依然可以对设备进行格式化操作。
　　如果不希望每次使用设备时都输入解锁密码，例如家里和办公室都有运行 Windows 7 企业版\旗舰版的电脑，并且电脑都放置在安全的环境，外人无法接触到，只希望使用 BitLocker To Go 功能在上下班的路上保护设备中的数据，则可以在输入了密码，单击解锁按钮之前选中从现在开始在此计算机上自动解锁选项，这样Windows将记住该设备的解锁密码，以后每次将这个设备连接到本机后，都会使用记住的解锁密码自动解锁。对于已经解锁的设备，如果希望对 BitLocker To Go 功能的行进行配置，则可执行列操作：
　　将设备连接到电脑，并输入密码解锁。
　　打开控制面板，依次进入系统和安全-BitLocker驱动器加密。
　　对于已经解锁的设备，单击管理BitLocker 链接，随后将看到下图所示的管理对话框。

　　取决于具体情况，这里列出了五个选项，这些选项的含义分别如下：
　　更改用于解锁驱动器的密码： 如果希望更改密码，可以单击该选项，并输入新的解锁密码，这样以后就必须使用新的密码解锁该设备，但之前保存的恢复密钥依然是可以使用的。
　　删除此驱动器的密码： 如果不再希望对该设备使用 BitLocker To Go，就可以使用该选项将设备彻底解密，以后使用之前将不再需要输入密码解密，而任何人也将可以读取其中的内容。这里有一个小窍门：解密过程所需的时间和加密过程一样长，因此如果设备中保存的文件不是很多，可以将文件首先复制到本地硬盘，然后格式化设备，并将文件重新复制回去，这样往往可以更快一些。
　　添加智能卡以解锁驱动器： 如果曾经使用密码加密该设备，则可以通过该选项添加智能卡解密功能，这样以后可以同时使用密码和智能卡进行解密。
　　再次保存或打印恢复密钥： 如果加密设备时设置的恢复密钥丢失，则可通过该选项重新获得恢复密钥文件，或重新打印恢复密钥。
　　在此计算机上自动解锁此驱动器： 如果在解锁设备时没有选中自动解锁选项，则可以在这里设置自动解锁驱动器；如果已经使用了自动解锁功能，则可通过该选项禁止自动解锁。
　　根据需要执行完所需操作后，单击关闭按钮。
　　忘记密码后的恢复
　　对于已经加密的设备，如果忘记了解密密码，则可以通过加密设备时获得的恢复密钥进行恢复，具体过程如下：
　　将设备连接到电脑，随后会出现用于输入解锁密码的对话框，在该对话框上直接单击我忘记了密码链接，随后将看到下图所示的恢复界面。

　　找出加密设备时保存的恢复密钥（可能是硬盘上的一个纯文本文件，或者是打印的一张纸），留意可以通过以下方式识别您的恢复密钥字样后面显示的设备标记。
　　在恢复密钥文件或纸张上，应该可以看到下图所示的内容，请留意恢复密钥中显示的标记与上图显示的标记是否一致。如果一致，证明该恢复密钥是这个设备的；如果不一致，则证明这个密钥并不是这个设备的。