不辞辛劳的 CEO 决定将工作带回家做,因此她将几个机密文档复制到 USB 闪存驱动器。当她从钱包拿车钥匙时,闪存驱动器掉到了停车场。接下来发生什么取决于 CEO 回到办公室后所做的选择:
- 如果她启用了 BitLocker,会损失一晚上的工作成果和 10 美元的闪存驱动器。
- 如果她未启用 BitLocker,且机密文档最终落到坏人手中,公司可能损失数百万美元。
当然,CEO 应启用 BitLocker,但是您知道有多少 CEO 愿意等待半小时以便 BitLocker 完成加密闪存驱动器呢?
使用 Windows 8,BitLocker 最高可提速 99%,具体取决于存储了多少文件。如果您有新的驱动器或现有设备上只有几个文件,Windows 8 不到 1 分钟就可以完成加密新的闪存驱动器。
当您使用 Windows Vista 或 Windows 7 加密驱动器时,BitLocker 加密驱动器上的所有空间,即使该空间未使用。 Windows 8 引入了"仅限已用磁盘空间"加密选项,使您可以仅加密驱动器上当前正在使用的空间。
您赶快尝试一下吧。找一个闪存驱动器(任意闪存驱动器均可)并将一些文件复制到其中。然后,使用"仅限已用磁盘空间"加密选项或不使用该选项加密它,比较两者所需的时间。如果您以前未使用过 BitLocker,本文将逐步引导您完成此过程。在本文末尾,我们将分享我们使用不同闪存驱动器和数据得到的测试结果。
加密整个驱动器
首先,加密整个闪存驱动器,了解该过程需要多长时间:
- 将 USB 闪存驱动器连接到您的 PC 并复制几个文档到其中。
- 在文件资源管理器中,右键单击您的 USB 闪存驱动器,然后单击"启用 BitLocker"。
- 在"选择希望解锁此驱动器的方式"页上,选中"使用密码解锁驱动器"复选框。在两个框中键入密码,然后单击"下一步"。
- 在"你希望如何备份恢复密钥"页上,选择"保存到文件",将该文件保存到您的 PC。单击"下一步"。
- 在"选择要加密的驱动器空间大小"页(Windows 8 中的新选项)上,选择"加密整个驱动器"。单击"下一步"。
- 在"是否准备加密该驱动器"页上,单击"开始加密"。
请找个舒服的地方等着,因为这可能需要 20-30 分钟。加密完成后,按照以下步骤确定加密所用的时间:
- 在"开始"屏幕上,键入"eventvwr.msc"并按"Enter"以打开事件查看器控制台。
- 在左窗格中,选择"Windows 日志系统"。
- 浏览包含" BitLocker-驱动器的源"的最近事件。查找具有说明"卷的加密已开始"的事件并记下时间。然后,查找具有说明"卷的加密已完成"的事件,记下它所用的时间。
我们将在文本末尾提供我们从几个不同测试中得到的结果。
关闭 BitLocker
通过使用相同的驱动器和数据重复测试,我们可以消除影响结果的一些变量。按照以下步骤重置您的闪存驱动器,以便我们可以使用"仅限已用磁盘空间"加密选项执行相同的测试:
- 在文件资源管理器中,右键单击您的 USB 闪存驱动器,然后单击"管理 BitLocker"。
- 在"BitLocker 驱动器加密"页上,单击"关闭 BitLocker",当出现提示时再次单击"关闭 BitLocker"。
- 完成解密后,单击"关闭"。
使用"仅限已用磁盘空间"加密
闪存驱动器恢复原始状态后,使用"仅限已用磁盘空间"加密选项重复该加密过程:
- 在文件资源管理器中,右键单击您的 USB 闪存驱动器,然后单击"启用 BitLocker"。
- 在"选择希望解锁此驱动器的方式"页上,选中"使用密码解锁驱动器"复选框。在两个框中键入密码,然后单击"下一步"。
- 在"你希望如何备份恢复密钥"页上,选择"保存到文件",将该文件保存到您的 PC。单击"下一步"。
-
在"选择要加密的驱动器空间大小"页上,选择"仅加密已用磁盘空间",如图 1 中所示。因为此选项不加密以前编辑或删除过的文件,您一般在驱动器为新驱动器或其上没有机密数据时才使用此选项。单击"下一步"。
图 1:选择"仅加密已用磁盘空间"可以节约 1 个多小时的时间。
- 在"是否准备加密该驱动器"页上,单击"开始加密"。
- 加密完成时,返回到事件查看器并查找指示加密何时开始和结束的条目。
结果有什么区别呢?除非您填满了驱动器,否则选择"仅限已用磁盘空间"选项后加密应快多了。下一节显示我们自己的测试结果。
我们的结果
每个人应试着自己执行此测试,它很有趣,结果表明加密速度大大提高了。下表显示我们在各种不同方案中测试得到的时间(所有测试均在中程移动 PC 上进行):
闪存驱动器
|
完全加密时间
|
"仅限已用磁盘空间"加密时间
|
改进
|
8 GB USB 2.0 驱动器,包含 1 MB 数据
|
25 分 26 秒
|
0 分 56 秒
|
速度提高 96%
|
8 GB USB 2.0 驱动器,包含 4 GB 数据
|
28 分 25 秒
|
16 分 28 秒
|
速度提高 42%
|
32 GB USB 3.0 驱动器,包含 1 MB 数据
|
24 分 30 秒
|
0 分 18 秒
|
速度提高 99%
|
32 GB USB 3.0 驱动器,包含 4 GB 数据
|
26 分 50 秒
|
5 分 48 秒
|
速度提高 78%
|
结论
便利和安全性是不可分的。安全功能越易于使用,使用它的用户就越多。通过使 BitLocker 加密速度更快,我们希望更多的人使用它,最终实现很好保护每个人的机密数据的安全。但是,请注意,您应仅在驱动器过去从未存储机密数据时使用"仅限已用磁盘空间"加密选项。如果驱动器以前存储过机密文件,后来被删除了,您仍应加密整个驱动器以防止攻击者从驱动器现在未使用的部分恢复数据。
您可以使用组策略通过以下方式要求 BitLocker 加密可移动的闪存驱动器:启用"计算机配置""策略""管理模板""Windows 组件""BitLocker 驱动器加密""可移动数据驱动器""对未由 BitLocker 策略保护的可移动驱动器拒绝写访问"。该策略也适用于 Windows 7,但是很多用户不愿意等待 20-30 分钟以便 Windows 7 中的 BitLocker 加密其闪存驱动器。使用 Windows 8 和"仅限已用磁盘空间"加密选项,新闪存驱动器的等待时间不到 1 分钟,提供足够的安全性而不会给用户带来不便。
Windows 8 中的 BitLocker 还包括几个其他改进:
- 单一登录:支持所有连接的备用硬件要求的 Windows 8 认证的平板电脑可以免受基于 DMA 端口的冷引导攻击而不需要预引导身份验证保护程序(如 PIN)。
- 强力保护: Windows 登录现在使用 BitLocker 技术通过增强的强力保护得到保护。这个可选的配置功能在检测到对 Windows 登录的强力攻击时将设备置于 BitLocker 恢复模式。这会使设备无法引导,直到获得授权的用户使用 48 位 BitLocker 恢复密钥解锁它。
- 加密的硬盘驱动器支持: Windows 8 中的 BitLocker 支持具有内置密码功能的硬盘驱动器,这可以提高读和写的性能。
- BitLocker 预设置:将 Windows 8 部署到新 PC 时,管理员现在可以在安装 Windows 前启用 BitLocker,从而减少部署时间达数小时甚至数天。
- 标准用户 PIN 和密码更改:用户现在可以重置 BitLocker PIN 或密码而无需管理特权,这减少了支持票证。
- 网络解锁:具有受 BitLocker 保护的系统驱动器的 PC(需要 PIN 或智能卡来启动)在连接到内部网络时现在无需 PIN 或智能卡即可重新启动。这允许管理员远程重新启动 PC 以便进行维护或更新。
您想了解有关 BitLocker 的更多信息吗?请查看 工作智能化:使用 Windows 8 BitLocker 保护数据。
|