Bitlocker 小技巧 - 在需要时通过批处理命令激活敏感数据卷

        因为时间的安排,暂时无法将完整的 Bitlocker 应用文章奉献给大家,计划安排到下个月再把 Bitlocker 比较完整的日志发出来。本篇日志主要介绍如何通过批处理的方式来激活敏感的数据卷。如果你还没明白我在说什么,那么继续看下文,相信会有一定的收获。

        Bitlocker 与传统的加密方式不同,能够对全盘进行加密,这样一来应用和维护起来将会非常便捷。比如 gOxiA 有一些敏感数据不经常使用,所以只在需要的时候能被访问即可,其他时间最好能隐藏起来。此外些时候也可能要发给其他同事使用,如果使用传统的 EFS 单独加密文件,比较繁琐。当传递给其他同事后,还需要将自己的证书也发给对方,那安全性就等于零,如果再单独解密实在是耗费时间和精力。

        现在通过 Bitlocker gOxiA 解决了这一系列的需求。因为之前又购置了一块新的 WD500G 硬盘,所以借此机会 gOxiA 也重新对分区卷进行了规划。经过深思熟虑,gOxiA 最终是这样划分的:系统卷、个人数据卷、资源卷、敏感数据卷、VHD Native Boot 专用卷。(注意:当前状态是已经完全解锁的情况下进行截图的。)

partition

        其中系统卷(Win7Ultimate)、个人数据卷(Personal)、敏感数据卷(PrivateDatas)都使用 Bitlocker 进行了加密,而前两者都配置了自动解锁;而 PrivateDatas 卷不经常使用,所以未配置自动解锁,为了不影响整体使用,平常还会移除掉驱动器号。下面是几张应用时的截图,用于前后对比。

        第一张,Bitlocker 常规应用下的卷列表图示,我们会发现 PrivateDatas 卷因为未解锁,图示显示与其他卷有所不同,在长期使用后 gOxiA 感觉到这样非常不舒服,因为那个未解锁的 PrivateDatas 卷太显眼了。也许还会被其他人追问这个卷里是什么东东!

listpart1

        第二张,下面是经过改进的图示,在不使用 PrivateDatas 卷时将其隐藏,需要时分配其驱动器号并解锁。反之则加锁后移除分配的驱动器号实现锁定并隐藏。这一系列的操作其实很容易实现,但是实际的操作步骤却相当繁琐。后面我会详细与大家探讨这个问题,继续看最后一张截图,第三张。

listpart3

        第三张,已经解锁并分配了驱动器号的图示。显得很整洁,很直观!

listpart2

        OK,看完三张截图来说说前面讲到的默认操作流程。加锁并隐藏的操作步骤如下:

  1. 卷一旦被解锁而要重新加锁,必须依靠 Bitlocker 提供的命令来执行加锁。为此我们需要借助 Bitlcker 命令 manage-bde.exe –lock f: 来加锁 PrivateDatas 卷。以管理员方式打开 cmd 环境,执行前面的命令。(PS:比较繁琐!)
  2. 将驱动器加锁后,还需要打开磁盘管理器,移除 PrivateDatas 所分配的驱动器号。(PS:比较繁琐)

        总之,时间长了你会发现这样操作实在繁琐。当要重新分配驱动器号并解锁,除了要重新通过磁盘管理器分配驱动器号后,还需要选中该卷并单击鼠标右键,选择 Bitlocker 管理来解锁。

        那么有没有比较快捷的方法来执行这一系列的操作呢?!其实很简单,移除和分配驱动器号可以使用 diskpart.exe 命令来执行。而加锁和解锁分别使用 manage-bde.exe 和 bdeunlockwizard.exe 命令即可,下来我们就制作一套加锁和解锁的批处理文件并存放到一个位置即可。这里,gOxiA 创建了一个名为 BitlockerTools 的目录,并创建4个文件,如下图所示:

bitlockertools

        其中 assignletter.txt 和 removeletter.txt 是用于 diskpart 执行分配和移除驱动器号的脚本,起到隐藏卷的作用。assignletter.txt 的内容如下:

sel disk 0

sel partition 5

assign letter=f

exit

        而 removeletter.txt 的内容为:

sel disk 0

sel partition 5

remove

exit

        接下来就是加锁隐藏卷和显示卷并解锁的批处理脚本,lock_device_f.bat 和 unlock_device_f.bat,内容分别如下:

start /w manage-bde -lock f:

start /w diskpart /s D:\Tools\BitlockerTools\removeletter.txt

        上面的命令行将首先加锁 PrivateDatas 卷(F盘),之后删除其F的盘符。而显示卷和解锁的命令行如下:

start /w diskpart /s D:\Tools\BitlockerTools\assignletter.txt

start /w bdeunlockwizard f:

        这里解锁卷时使用的是 bdeunlockwizard 命令,之所以这样做是为了保护解锁密码的安全,执行该命令后便会弹出输入解锁密码的向导程序,手工输入密码后即可访问 PrivateDatas 卷了。

        采用上面的解决办法,相信实际使用时会感觉轻松许多!需要注意的是在执行批处理的时候会弹出 UAC 提示,确定执行即可。

天天琐记 | 评论(4) | 引用(0) | 阅读(14553)
peyanan
2010/09/10 21:05
非常实用,试着做了一下,很成功。
gOxiA Email Homepage
2010/07/06 21:05
to:patriot1949,在Windows下是无法修改或删除包含启动信息或页面文件的驱动器号,处于受保护状态。
patriot1949
2010/07/06 20:02
虚拟磁盘服务错误:不允许分配或删除当前启动卷或页面文件上的驱动器号...以管理员运行cmd下都不能删掉卷标,不知道怎么回事
起衣 Email Homepage
2010/06/27 18:12
还没有尝试过给本地硬盘的分区加密,学习一下-.-
不过我的硬盘分区规划倒是类似,只是将主分区放在了后面,方便扩展,还给linux预留了空间~
分页: 1/1 第一页 1 最后页
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我