■ 威海职业学院 赵永华

编者按：对SSD的加密是必不可少的，而且采用硬件加密的方式要比软件加密形式更为有效，一般来说，Windows系统中并未对SSD进行真正的加密工作，我们需要进行设置。

有些SSDs厂商宣称其产品支持“硬件加密”，但是在使用时能有多少用户真的采取“硬加密”呢？

我们相信更多的用户在Windows 10中会启用BitLocker，这些用户天真地认为每当他们将文件存放到SSD时，BitLocker就会对其进行加密。其实根本不是这样。事实是，BitLocker对于自称支持硬件加密的SSD就不会做任何加密工作！

不可否认，硬件加密方式要比软件方式更快，SSD若真的采用了硬件加密当然性能会更好。在新款Mac中专门植入了T2安全芯片，它对Mac自带的SSD确实采用了硬件加密，所以对于它BitLocker之类的工具确实纯属多余无用之物。

可是Windows PC从来没有提供类似技术，厂商们的广告仅仅是促销用语而已。所以，为了让BitLocker 对SSD真的进行加密，需要进行组策略设置。

具体方法是，运行组策略编辑程序“gpedit.msc”，找到以下内容：

Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption

然后双击右侧面板选项 “Configure use of hardware-based encryption for fixed data drives”，选择“Disabled”后点击“OK”，如此BitLocker便会真的对SSD加密了。

当然也可弃用BitLocker，比如采用开源的VeraCrypt，它不像BitLocker会对SSD厂商的广告信以为真，它对SSD一律加密。

SSD下载地址为：https://archive.codeplex.com/ ?p=veracrypt

下载安装之后，点击菜 单“System”→“Encrypt System Partition/Drive启用机密运行”。

此时，程序会询问您是要使用正常方式“Normal”还是隐藏系统的“Hidden”加密方式。此处“Normal”选项会正常加密系统分区或驱动器，启动机器时用户必须提供加密密码才能访问，若没有密码任何人都无法访问你的文件。

另一种“Hidden”选项则会在隐藏的VeraCrypt卷中创建操作系统，此时用户将拥有一个隐藏的“真实”操作系统和一个“替身”操作系统。当启动PC时，用户可以输入真实密码来启动隐藏的操作系统,或输入替身操作系统的密码来启动替身操作系统。如果某人强迫用户提供对加密驱动器的访问权限（例如敲诈勒索），用户可以向他们提供替身操作系统的密码，他们根本不应该知道隐藏的操作系统。

用户还可以进一步选择是“加密Windows系统分区”还是“加密整个驱动器”。如果Windows系统分区是驱动器上的唯一分区，则两种选项基本相同。如果我们只想加密Windows系统分区并单独保留驱动器的其余部分，则选择“加密Windows系统分区”。如果你有多个具有敏感数据的分区——例如，C：处的系统分区和D处的文件分区，那么就选择“加密整个驱动器”以确保所有Windows分区都已加密。

VeraCrypt会要求选择加密类型，虽有多种选择但建议使用默认的AES加密。AES加密和SHA-256哈希算法都是可靠的加密方案，然后需要输入密码，要求至少20个以上的混合型字符（即大小写字母和数字及符号）。

VeraCrypt向导工具要求生成一个紧急救援盘，以防文件损坏时用它进行引导。VeraCrypt在加密驱动器之前会进行验证工作，单击“Test”，VeraCrypt将 在PC上安装VeraCrypt引导程序并重新启动。用户必须在引导时输入加密密码。