Vista安全：加密、限制两手抓

　　在企事业单位多人共用一台计算机是比较普遍的，因此保障公用电脑的信息安全就显得尤为重要。或者家庭电脑用户需要对家中孩子使用计算机的情况作出相关限制，保障他们健康用电脑。

　　对于诸如此类的需求，我们必须要借助第三方软件吗?其实，只要你的操作系统是Vista，通过其自身提供的加密与限制功能就能满足你的要求。

　　一、硬件级加密杜绝数据泄密

　　如果你的计算机主板集成了TPM安全芯片，而且使用的Windows Vista是企业版本(Enterprise)或旗舰版本(Ultimate)，那么就可以使用BitLocker这项加密驱动器的新技术。

　　如果你的计算机主板不支持TPM，那么在使用BitLocker加密驱动器时会弹出图1所示的黄色的警告框，说是找不到TPM。不过，只要你使用的操作系统是UltimateEdition，那么也可以按照下面的方法体验BitLocker：(图1)

　　第一步：安装BitLocker更新。需要指出的是，BitLocker并非系统的默认组件，必须通过“WindowsUpdate”手工安装，如图2所示，安装成功后可以在“已安装的更新”列表框中看到BitLockerDrivePreparationTool(KB933246)”这款更新，这是使用BitLocker的前提条件。(图2)

　　第二步：启用高级启动选项。以管理员身份打开运行对话框，输入“gpedit.msc”进入组策略对象编辑器窗口，依次定位到入“计算机配置→管理模板→Windows组件→BitLicker驱动器加密”页面，此时在右侧窗格中会发现很多的选项，找到“控制面板设置：启用高级启动选项”，双击打开图3所示的属性窗口，在这里修改为“已启用”，此时下面的“没有兼容的TPM时允许BitLocker”选项会自动勾选，最后单击“应用”或“确定”按钮使其生效。(图3)

　　第三步：设置加密等级。双击“配置加密方法”打开属性窗口，首先修改为“已启用”，可以发现在“选择加密方法”下拉列表框中提供了多种不同的安全等待，默认是“含有扩散器的AEC128位”，它和另外一种“含有扩散器的AES256位”提供了超强的安全等级，可以将数据分散在整个硬盘空间，即使你的硬盘失窃，窃贼们也不可能获得硬盘中的数据。当然，对于一般的用户来说，选择“AES128位”或“AES256位”也就完全足够了。(图4)

　　第四步：启用BitLocker。完成上述工作后，就可以进入控制面板的安全窗口，在这里单击“BitLocker驱动器加密”，在随之弹出的窗口中单击“启用BitLocker”，确认后会弹出图5所示的向导框，按照提示进行操作就可以了。以后每次启动系统时，你就必须将包含密钥的USB闪存盘插入计算机上的USB端口，否则将无法进入系统。(图5)

　　二、普通用户，降低权限

　　毕竟并非所有用户的硬件和软件都符合备使用BitLocker的条件，不过我们可以通过创建密码和添加标准账户来实现：

　　第一步：提升权限。在首次登录系统时，系统会提示用户创建一个账户，这个账户就是允许设置计算机以及安装所有程序的管理员账户，不过部分朋友进入系统后可能会基于安全角度的考虑以标准账户进行操作，如果是这种情况，请注销后重新以管理员账户进行登录。

　　如果你确认自己的操作有足够的可控制性，那么可以启用最高级别的超级管理员账户，方法是右击开始菜单中的“附件→命令提示符”，从快捷菜单中选择“以管理员身份运行”，然后在命令提示符模式下手工输入“net user administrator /active:yes”，执行后注销系统，重新登录时选择“Administrator”账户即可。(图6)

　　第二步：创建密码。默认设置下，即使是“Administrator”账户，也是一个空密码，因此当务之急是立即为这个超级管理员创建一个足够安全的密码，否则就太危险了。从控制面板中进入“用户账户和家庭安全→用户账户”窗口，如图7所示，在这里选择“为您的账户创建密码”，创建密码”按钮，如果有可能的话最好创建一张密码重置软盘，这在日后可能会用到。(图7)

　　第三步：添加账户。在控制面板中的“用户账户和家庭安全”小节中选择“添加或删除用户账户，然后在随之弹出的窗口底部单击“创建一个新账户”，如图8所示，账户名可任意输入，但必须是选择“标准用户”，这样他们的操作才会受到一定的权限限制，否则就适得其反了。(图8)

　　三、启用家长控制

　　家庭电脑用户往往比较担心孩子访问了黄、黑、毒级别的网页，担心孩子玩游戏的时间过长，担心孩子由于误下载文件导致系统崩溃，如果你是企业的网络管理员，希望对同事作出类似的限制，那么都可以借助“家长控制”来实现。

　　第一步：启用家长控制。首先请保证已创建了相关的账户，然后进入“用户账户和家庭安全→家长控制”窗口，在这里选择需要控制的账户，进入用户控制窗口，如图9所示，在这里选择“启用，强制当前设置”以启用家长控制功能，然后才能谈到接下来的其他操作。(图9)

　　第二步：设置权限。通过相应的设置就可以控制该账户使用计算机的时间段和时长、允许运行的游戏和应用程序、允许访问的网站以及进行的各种在线操作。默认设置下，启用家长控制后，受限账户除了访问Web页面有一定的限制之外，在时间限制、游戏分级、程序限制这些方面都没有作出相应的限制，因此我们还需要根据实际情况作出相应的限制：(图10)

　　(1).WindowsVistaWeb筛选器：可以限制允许访问的网站、检查年龄分级、指定是否允许下载文件，还可以阻止或允许访问特定的网站。(图11)

　　(2).时间限制：可以禁止在指定的时段登录计算机，如果在分配的时间结束后其仍然处于登录状态，那么系统将自动注销。(图12)

　　(3).游戏：可以控制对游戏的访问、选择年龄分级级别、选择要阻止的内容类型、确定是允许还是阻止特定游戏。(图13)

　　(4).允许和阻止特定程序：默认设置是允许使用所有程序，请选择“只能使用我允许的程序”，然后在“检查可以使用的程序”列表框中勾选允许使用的特定程序，那些没有被勾选的程序，该账户将无法使用。(图14)

　　总结：结合BitLocker加密和权限控制，我们既可以在硬件层面对磁盘进行加密，又可以通过层层细化的权限设置对标准账户作出使用方面的限制，如果你有这样的需求可以试试。