Vista系统BitLocker使用揭秘（下）

核心提示： 在安装了BitLocker和EFS增强软件，并申请了自己的Windows Live ID后，Vista系统BitLocker使用揭秘（下）(8)，我们可以开始备份和还原自己的密钥了，备份的过程如下：打开“控制面板”，那么就会提示用户，系统文件可能已经经过了篡改，依次

在安装了BitLocker和EFS增强软件，并申请了自己的Windows Live ID后，我们可以开始备份和还原自己的密钥了。备份的过程如下：　　

打开“控制面板”，依次进入“安全”　“密钥安全联机备份”，随后可以看到保存恢复密码的界面。　　

如果希望联机备份BitLocker的恢复密码，请单击“保存BitLocker恢复密码”按钮；如果希望备份EFS恢复证书，请单击“保存EFS恢复证书”按钮。单击对应的按钮后可以看到登录界面，首先在“描述”文本框中输入对该内容的描述（例如“台式机的BitLocker密钥备份”），然后在登录文本框中输入自己的Windows Live ID名称和密码，并单击“提交”按钮。　　

选择要联机备份的密钥

经过上述操作，BitLocker的恢复密码就会备份到微软的服务器上。通常情况下，我们可以随时使用自己的Windows Live ID登录，并找回这些东西。而且这个找回操作可以在任意一台可以连接到互联网的计算机上进行。　　

如果需要找回自己的密钥，可以在任何一台计算机上启动Internet Explorer浏览器，在地址栏输入“https://www.windowsmarketplace.com”，并按下回车键。　　

在随后出现的页面的右上角单击“Sign In”按钮，并使用备份密钥时使用的Windows Live ID登录，随后可以返回之前打开的主页面。在主页面上单击页面顶部中央的“Your Digital Locker”链接，可以看到下载恢复密钥的界面。

将备份的密钥下载到本地

在了解了上述两种混合模式后，可能会有人问，既然在使用混合模式的时候一样需要提供U盘，或者输入PIN码，那么到底TPM芯片还有没有存在的必要呢？当然有，在有TPM芯片参与的情况下，BitLocker加密功能不仅可以有效保护系统分区不被未经授权的访问或者脱机攻击，而且可以保证系统盘重要文件的“合法性”。　　

在有TPM芯片参与的BitLocker加密模式下，在加密系统盘的同时，加密程序会把主引导记录（MBR）、NTFS卷的引导扇区、NTFS引导代码、还有BitLocker密钥等启动部件（要知道，这些重要的启动部件并非全部保存在被加密的Windows安装分区中，还有一部分是被保存在未加密的“系统盘”中的）做一个“快照”保存在TPM芯片里。每次系统启动时，解密程序会自动将这些文件的内容与TPM芯片里保存的快照进行比较，只有发现这些启动部件没有发生变化的情况下，才会继续解密过程。也就是说，有TPM芯片参与的BitLocker加密可以接管系统的引导过程，保证引导文件的完整性，并保证在操作系统完全启动好之前不被攻击。一旦发现这些重要引导文件的内容和TPM芯片中保存的“快照”信息不相符（可能是硬件损坏或者被病毒感染导致，也有可能是用户自己的操作导致，例如安装多系统，或者更新BIOS），那么就会提示用户，系统文件可能已经经过了篡改，而单纯的U盘模式BitLocker无法实现这项功能。