Vista系统BitLocker使用揭秘（下）

　　混合TPM模式的BitLocker加密有以下两种模式：　　

　　●TPM芯片和启动PIN组合加密：在纯TPM模式的基础上，再设置一个启动密码（PIN码），这个启动密码由4到20位数字组成。每次启动计算机时，必须手动输入这个PIN码，然后和TPM芯片中的存储根密钥（SRK）结合起来，才能解密系统盘。　　

　　●TPM芯片和启动USB密钥组合加密：在纯TPM模式的基础上，再设置一个启动密钥，这个密钥存放在U盘里。每次启动计算机时，必须提供保存密钥的U盘，然后和TPM芯片中的存储根密钥（SRK）结合起来，才能解密系统盘。 　　

　　BitLocker支持的所有工作模式

　　下文将分别介绍这两种模式。　　

　　TPM+PIN

　　默认情况下，在Windows Vista中只能使用纯TPM模式的BitLocker加密，因此首先需要对组策略设置进行一些调整。具体方法如下：　　

　　运行“gpedit.msc”打开组策略编辑器，从编辑器窗口左侧的控制台树形图中定位到“计算机配置”　“管理模板”　“Windows组件”　“BitLocker驱动器加密”；　　

　　在右侧的控制台窗口中找到并双击打开“控制面板设置：启用高级启动选项”这个策略，选择“已启用”；　　

　　然后在该对话框的“配置TPM启动PIN选项”下拉菜单中选择“允许用户创建或跳过”选项；在“配置TPM启动密钥选项”下拉菜单中选择“允许用户创建或跳过”选项；　　

　　单击“确定”保存设置。　　

　　接下来可以开始启用BitLocker了，具体的过程和上文介绍的U盘模式差不多，只不过其中有些选项是新增的，需要注意：　　

　　打开“控制面板”窗口，依次进入“安全”　“BitLocker驱动器加密”；　　

　　单击“启用BitLocker”链接，随后可以看到设置启动首选项的对话框。这里和上文中的设置启动首选项有所不同，新增了两个设置选项。　　

　　这些选项的作用如下：
　　
　　●使用没有附加密钥的BitLocker：纯TPM模式的加密。　　

　　●每一次启动要求PIN：TPM芯片和启动PIN码的混合模式加密。　　

　　●每一次启动时要求启动USB密钥：TPM芯片和启动USB密钥混合模式加密。
　　
　　因为我们需要的是TPM+PIN的方式，因此直接单击“每一次启动时要求PIN”按钮，随后可以看到设置启动PIN的对话框。　　

　　设置启动PIN码。 　　

　　输入一个PIN，然后单击“设置PIN”按钮。接下来的步骤就和U盘模式类似了，设置恢复密码，进行加密。同样，加密过程需要很长时间。日后使用系统的时候，不仅要确保TPM芯片的正常工作，而且必须在加载系统之前输入在这里指定的PIN码。　　

　　TPM+U盘

　　对于TPM+U盘的模式，在操作上则和上一节中介绍的TPM+PIN码的步骤基本类似，只不过需要在设置启动首选项的界面上单击“每一次启动时要求启动USB密钥”按钮，然后将用于保存启动密钥的U盘连接到计算机即可。　　

　　在使用这种模式后，日后每次开机后不仅要确保TPM芯片的正常工作，而且必须预先将保存了启动密钥的U盘连接到计算机上。

　　如果在启用了BitLocker加密后，因为各种原因导致系统无法启动，例如保存了启动密钥的U盘丢失或者损坏，那么只要还保留之前的恢复密码，我们也可以将密钥文件恢复。经过恢复操作，我们可以重新创建一个启动密钥盘，同时之前创建的密钥盘将会被自动作废。这样就算别人窃取了密钥盘，只要能及时发现，并即使执行恢复程序，创建新的密钥盘，那么获得旧密钥盘的人也无法访问我们的系统。
　　
　　如果需要进行恢复，请在系统启动时要求提供密钥盘的界面上直接按下回车键，随后系统会提示输入驱动器的恢复密码。这时请找出当初启用BitLocker 时创建的启动密码，例如，我们可能将密码打印在纸上，或者保存在其他U盘或者网络共享文件夹中。如果打印在纸上，请直接找出这张纸；如果保存在U盘或者网络共享文件夹中，请在其他计算机上查看保存的文件。　　

　　在恢复页面上通过键盘上的F1到F9键代表1～9这九个数字，用F10键代表数字0，输入正确的恢复密码。只要密码输入正确，输入最后一位后整个屏幕会黑掉，同时硬盘灯开始频繁闪烁。这时候不用着急，等待片刻后即可看到Windows Vista的登录界面。当然，如果在创建恢复密码的时候选择保存在U盘上，这时候直接提供保存了恢复密码的U盘也可以实现同样的结果，而且更快捷。　　

　　不过有一点需要注意，如果使用恢复密码启动了系统，那么建议重新创建启动密钥盘，否则每次启动系统的时候都需要提供恢复密码，不是很方便。创建的方法如下：

　　使用恢复密码启动系统，并使用管理员账户登录后，在“控制面板”中依次打开“安全”　“BitLocker驱动器加密”。　　

　　单击“管理BitLocker密钥”链接，随后将打开密钥管理的界面。　　

　　如果是因为丢失了启动密钥，需要重新创建密钥盘，可以单击“复制启动密钥”按钮，并根据屏幕上的提示提供一个空白的U盘，完成后续操作。　　

　　如果是希望在更多的地方保存恢复密码，则可以单击“复制恢复密码”按钮，并继续后面的操作。

　　管理BitLocker的启动密钥。 　　

　　对于启动密钥，实际上是一个扩展名为“.fek”的，具有隐藏属性的文件，该文件会被放置在启动密钥盘的根目录下。因此我们完全可以通过手工复制文件的方式将该文件放在更多的U盘上，或者放在其他计算机的硬盘上，只有在需要的时候才复制到U盘的根目录下，作为备份的密钥盘使用。要想在Windows资源管理器中看到这个文件，我们需要对Windows资源管理器进行一些设置：打开“计算机”窗口，按下键盘上的Alt键显示菜单栏，依次单击“工具”　“文件夹选项”　“查看”，在随后打开的“查看”选项卡中，选中“显示隐藏文件”选项，并反选“隐藏受保护的操作系统文件（推荐）”这个选项即可。通过这样的方法，我们可以手工创建出多个可以同时使用的启动密钥盘。但一定要注意，每个启动密钥盘都必须妥善保管。　　

　　如果已经丢失了启动密钥，而使用本节介绍的方法通过恢复密码启动了系统，这时候我们可以按照上文介绍的方法让系统为我们重新创建密钥盘。这个过程和手工复制文件“备份”密钥盘的结果是一样的，只不过由Windows Vista代替我们完成而已。然而需要注意，对于因为启动密钥盘损坏导致的启动密钥丢失，我们可以借助这种方法恢复；但如果是启动密钥盘失窃导致系统无法启动，那么在使用恢复密码启动系统之后，最好能够更新启动密钥。否则拿到原先启动密钥盘的人将可以使用这个密钥盘访问我们的系统。在Windows Vista中，目前无法主动更新启动密钥，我们必须首先解密对系统盘的加密，并禁用BitLocker，然后重新启用，并加密系统盘，方法会在下文介绍。