在上一篇文章中我们了解了如何使用Windows自带的EFS功能将自己的重要文件加密起来，然而这样做并不完善。因为EFS只能从文件级别保护重要数据的安全，不过对操作系统本身不会起到任何保护作用。例如，如果将装有系统的硬盘挂到其他电脑上，并使用软件破解其中保护的帐户信息，EFS因为无法加密系统文件，因此无法防范这种攻击。这时候可以使用BitLocker。

      BitLocker是Windows Vista企业版和旗舰版中的一个功能，该功能可以将操作系统所在的硬盘分区或者其他硬盘分区加密，这样不仅可以防范未经授权的访问，而且可以保持文件的完整性。

      取决于加密和解密所需的密钥的保存位置，BitLocker功能有两种主要方式：TPM芯片方式，以及U盘方式。其中TPM模式最安全，但要求电脑上具有一块硬件的TPM加密芯片，而目前具备该芯片的电脑还很少。因此本文主要介绍U盘模式。

      要想顺利使用BitLocker，首先需要做好两个准备工作：准备好必要的硬盘分区，调整默认的BitLocker设置。

      因为BitLocker对于硬盘分区的要求比较复杂，为了简化使用，微软提供了一个叫做BitLocker和EFS增强的程序，Windows Vista旗舰版用户可以通过Windows Update功能下载并安装该程序。

从开始菜单下的“所有程序-附件-系统工具-BitLocker”路径下启动“BitLocker驱动器准备工具”，在授权协议页面上单击“我接受”，随后该软件将自动检查本机的配置情况。如果需要调整分区，那么程序会请求我们的许可，这时候单击“继续”按钮，随后可以看到图 1所示的界面。

 

图 1，用工具调整硬盘分区以便启用BitLocker

      在这里，程序会将C盘的剩余空间划分出一部分，并创建“S”盘，这个S盘将被用于保存引导文件。因此在经过上述操作后，系统中将会新增一个“S”盘，建议不要给这个分区中保存其他数据，也不要删除其中的任何内容，更不要对其进行格式化操作。

      整个操作需要花掉几分钟时间，当屏幕上出现“完成”按钮后单击，并重启动系统。为了验证硬盘分区已经为BitLocker做好了准备，我们可以这样操作：在开始菜单左下角的搜索框中输入“diskmgmt.msc”并回车，打开磁盘管理控制台，如果能看到一个卷标为“S”的盘，并且标记有“系统，活动”字样（图 2），这表示硬盘已经准备好了。

图 2，准备好的硬盘分区

因为默认情况下在Windows Vista中只能使用TPM模式的Bitlocker，因此我们还需要对组策略进行配置，以便使用U盘模式。打开开始菜单，在左下角的搜索框中输入“gpedit.msc”并回车，打开打开组策略编辑器，从编辑器窗口左侧的控制台树形图中定位到“计算机配置-管理模板-Windows组件-BitLocker驱动器加密”。在右侧窗格中双击打开“控制面板设置：启用高级启动选项”这条策略，并选择“已启用”，这样我们将可以使用U盘模式的BitLocker功能（图 3）。

 

图 3，通过策略允许使用U盘模式的BitLocker

至此准备工作已经全部完成。

      经过上文的操作，我们已经让系统做好了准备，随后需要启用BitLocker并对系统盘或者其他硬盘分区进行加密。这里需要注意，在安装SP1之前，BitLocker只能加密Windows所在的硬盘分区，只有在安装SP1之后才可以加密其他分区。另外，我们还需要准备一个质量较好的U盘（速度和容量都不是问题，因为这个U盘只是用于保存密钥，几KB大小而已）。

      打开控制面板，依次单击“安全-BitLocker驱动器加密”，随后可以看到图 4所示的界面。

图 4，可被BitLocker加密的硬盘分区

      对于希望加密的分区，单击对应的“启用BitLocker”链接，随后可以看到图 5所示的界面。在这里我们需要选择加密方式。因此准备使用U盘模式，而且系统中没有TPM芯片，因此直接单击“每一次启动时要求启动USB密钥”。

图 5，设置BitLocker的工作方式

      将用于保存密钥的U盘连接到电脑上，随后系统会用图 6所示的界面显示所有可以用于保存密钥的设备，正常情况下这里应该可以看到我们提供的U盘。单击将其选中，然后单击“保存”按钮。

图 6，选择用于保存密钥的设备

      这里需要注意，如果我们提供的U盘没有显示在这里，那么可能表示这台电脑无法在启动的时候读取该U盘，可能是因为电脑的BIOS太老，或者存在硬件兼容性问题。这种情况下请尝试更新BIOS，或者换用其他U盘。但如果电脑实在是太老，可能将无法使用。

      接着我们还需要设置恢复密码（图 7）。需要注意的是，恢复密码在BitLocker中是一个很重要的概念。如果丢失了启动密钥（例如U盘丢失或者损坏），我们还可以使用恢复密码进入系统，因此恢复密码一定要妥善保管好。一般建议使用打印机打印出来，然后保存到安全的地方。同时稳妥起见建议同时保存在多个安全的地方，以免忘记密钥导致自己被系统拒之门外。

图 7，设定恢复密码的保存方式

      为恢复密码指定好保存方式后单击“下一步”，复查所有设置。如果一切无误就单击“现在重启动”按钮，系统将自动重启动，并在重启动后开始加密所选分区，加密过程如图 8所示。整个过程可能会需要一段时间，因此请耐心等待。

图 8，BitLocker正在对分区进行加密

      加密完成后，以后每次开机，我们都必须提供保存了密钥的U盘，才能启动系统。如果无法提供这个U盘，系统将无法启动。同时为了保险，我们还可以创建密钥盘的备份，并将备份保存在安全的地方。这样一旦密钥盘的硬件损坏，我们还可以使用备份的密钥盘启动系统。备份的方法很简单，只要用Windows资源管理器将密钥盘中的所有文件复制到其他U盘中即可。