BitLocker-概念.docx

BitLocker 概念BitLocker 通过组合两个主要的数据保护步骤帮助防止对已丢失或已盗计算机上的数据进行未经授权的访问： 加密硬盘上的整个 Windows 操作系统卷。 验证早期启动组件和启动配置数据的完整性。 BitLocker 的最安全实现利用了受信任的平台模块 (TPM)1.2 版的增强安全功能。TPM 是计算机制造商在很多较新的计算机上安装的硬件组件。它与 BitLocker 结合使用可以帮助保护用户数据，并且确保当此系统脱机时，运行 WindowsVista 的计算机不会被篡改。 此外，BitLocker 还提供锁定正常启动过程的选项，直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动 USB 设备（如闪存驱动器）。这些附加的安全措施提供多重身份验证，保证在提供正确的 PIN 或启动密钥之前，计算机不会启动或从休眠中恢复。在没有 TPM1.2 版的计算机上，仍然可以使用 BitLocker 加密 Windows 操作系统卷。但是，实现此功能将要求用户插入 USB 启动密钥来启动计算机或从休眠中恢复，而不提供 BitLocker 与 TPM 结合使用所提供的预启动系统完整性验证。脱机数据增强当系统脱机时，BitLocker 通过以下方法帮助保护数据： 加密整个 Windows 操作系统卷，包括用户数据和系统文件、休眠文件、页面文件以及临时文件。 为非 Microsoft 应用程序提供保护伞，当安装在已加密的卷上时会自动受益。系统完整性验证BitLocker 使用 TPM 验证早期启动组件和启动配置数据的完整性。这有助于确保仅在这些组件尚未被篡改，并且已加密的驱动器位于原始计算机中时，BitLocker 才能使已加密的卷可以访问。BitLocker 通过以下方法帮助确保启动过程的完整性： 提供一种方法，用于检查是否已保持早期启动文件的完整性，并且帮助确保尚未对这些文件进行对抗性修改，如引导扇区病毒或 rootkit。 增强保护以减少基于脱机软件的攻击。可能启动系统的任何其他软件都没有权限访问 Windows 操作系统卷的解密密钥。 当被篡改时锁定系统。如果任何监视的文件已被篡改，则系统不会启动。由于系统无法正常启动，因此这可以警告用户有人篡改。如果发生系统锁定，BitLocker 可以提供一个简单的恢复过程。BitLocker 优势BitLocker 的优势包括增强易用性、企业实现以及计算机解除授权或回收。易用性在日常使用中，实际上 BitLocker 保护对用户来说是透明的。如果发生系统锁定（例如，由于硬件故障、硬件更改或尝试利用安全漏洞），BitLocker 会提供一个简单有效的恢复过程。企业实现BitLocker 紧密集成到 WindowsVista 中，为企业提供无缝且易于管理的数据保护解决方案。例如，BitLocker 可以利用企业现有的 Active Directory(R) 域服务 (ADDS) 基础结构远程托管恢复密钥。BitLocker 提供一个用于设置和管理的向导，并且通过支持脚本的 Windows Management Instrumentation (WMI) 接口提供可扩展性和可管理性。BitLocker 具有一个已集成到早期启动过程中的恢复控制台，能够使用户或支持人员重新获得对锁定计算机的访问权限。有关为 BitLocker 编写脚本的详细信息，请参阅 Win32_EncryptableVolume (/fwlink/?LinkId=85983)（可能为英文网页）。计算机解除授权或回收BitLocker 简化了对计算机进行解除授权或回收的过程。通过删除访问卷所需的 BitLocker 密钥，可以使加密卷中的数据不可访问。BitLocker 安全注意事项由于安全性是管理风险的过程，因此重要的是明白 BitLocker 无法使计算机防护所有可能的攻击。例如，如果恶意用户或程序（如病毒或 rootkit）在计算机丢失或被盗之前就具有对该计算机的访问权限，则他们可能通过访问加密的数据并由此引入漏洞。如果 USB 启动密钥保留在计算机中，或者 PIN 或 Windows 登录密码没有保密，则 BitLocker 保护可能也不起作用。仅 TPM 身份验证模式（即没有启动密钥或 PIN）提供最透明的组织用户体验，而这需要基线级别的数据保护以符合安全策略。仅 TPM 模式最容易部署、管理和使用。这更适合于无人参与的计算机或必须在无人参与时重新启动的计算机。但是，仅 TPM 模式提供最少量的数据保护。该模式防护某些修改早期启动组件的攻击，但是防护级别受操作系统、硬件或 BIOS 中的潜在安全漏洞的影响。添加 PIN 或 USB 启动密钥可以帮助减少很多此类攻击。如果您组织的几个部分在移动计算机上具有认为非常敏感的数据，则考虑在这些计算机上部署具有多重身份验证的 BitLocker。有关 BitLocker 安全注意事项的详细信息，请参阅用于移动 PC 的数据加密工具包 (/fwlink/?LinkId=85982)（可能为英文网页）。 硬件、固件和软件要求若要使用 BitLocker，计算机必须符合 BitLocker WindowsVista 徽标要求指定的某些要求。 若要使 BitLocker 利用 TPM 提供的系统完整性检查，计算机必须具有 TPM 1.2 版。如果您的计算机没有 TPM，则启用 BitLocker 将要求您将启动密钥保存在可移动 USB 设备（如闪存驱动器）上。有关在非 TPM 计算机上使用 BitLocker 的详细信息，请参阅仅启动密钥方案（无 TPM）。 具有 TPM 的计算机还必须具有符合受信任计算组 (TCG) 的 BIOS。BIOS 为预操作系统启动建立了一个信任链，并且必须包括对指定的 TCG 信任度量静态根的支持。没有 TPM 的计算机不需要符合 TCG 的 BIOS。 系统 BIOS（对于 TPM 和非 TPM 计算机）必须支持 USB 海量存储设备类别，包括读取预操作系统环境中 USB 闪存驱动器上的小文件。有关 USB 的详细信息，请参阅 USB 网站上的“仅 USB 海量存储”和“海量存储 UFI 命令”规范 (/fwlink/?LinkId=83120)（可能为英文网页）。 必须至少将硬盘分区为两个卷：o 操作系统卷（或启动卷）包含 WindowsVista 操作系统及其支持文件；必须使用 NTFS 文件系统对其进行格式化。在此卷上启用 BitLocker。o 系统卷包含 BIOS 已启动平台之后加载 Windows 所需的文件。在此卷上不启用 BitLocker。若要使 BitLocker 起作用，请不要对系统卷进行加密，必须区别于操作系统卷，并且必须使用 NTFS 文件系统对其进行格式化。系统卷应该至少为 1.5 千兆字节 (GB)。 BitLocker 体系结构BitLocker 有助于在计算机脱机时防止对硬盘的操作系统卷进行未经授权的访问。为了实现该功能，BitLocker 使用全卷加密和 TPM 提供的安全增强。在具有 TPM 的计算机上，BitLocker 还支持多重身份验证。 BitLocker 使用 TPM 对早期启动的关键组件执行系统完整性检查。TPM 收集和存储多个早期启动组件以及启动配置数据的度量以为该计算机创建系统标识符，就像指纹。如果早期启动组件发生更改或被篡改，如更改 BIOS、更改主启动记录 (MBR) 或将硬盘移动到另一台计算机，则 TPM 防止 BitLocker 对加密卷和进入恢复模式的计算机进行解锁。如果 TPM 验证系统完整性，则 BitLocker 对受保护的卷进行解锁。然后启动操作系统，系统保护便成为用户和操作系统的职责。图1 显示了如何用全卷加密密钥对受 BitLocker 保护的卷进行加密，而又如何用卷主密钥对全卷加密密钥进行加密。保证卷主密钥的安全是保护卷上数据的间接方法：添加卷主密钥允许在信任链中的密钥上游丢失或损坏时，轻松对系统执行密钥更新操作。这种密钥更新系统的功能使您无需再次解密和加密整个卷。BitLocker 对受保护的操作系统卷的访问进行身份验证之后，当将数据写入受保护的卷或从受保护的卷中读取数据时，WindowsVista 文件系统堆栈中的筛选器驱动程序对磁盘扇区透明地进行加密和解密。当计算机休眠时，休眠文件以加密形式保存到受保护的卷。当计算机从休眠中恢复时，对加密的休眠文件进行解密。在设置期间 BitLocker 加密受保护的卷，通常加密和解密对日常系统性能的影响非常微小。如果临时禁用 BitLocker（例如，要更新 BIOS），则操作系统卷仍然保持加密，但会用以未加密形式存储在硬盘上的“明文密钥”对卷主密钥进行加密。使用此未加密的密钥会禁用 BitLocker 提供的数据保护。当重新启用 BitLocker 时，将从磁盘中删除未加密的密钥，对卷主密钥再次执行设置密钥和加密操作，BitLocker 保护恢复。IT 管理员可以通过 BitLocker 设置向导本地配置 BitLocker，或借助 WindowsVista 操作系统的 Win32_EncryptableVolume WMI 提供程序提供的界面进行本地和远程配置。界面包括对卷开始、暂停和恢复加密以及配置如何保护卷的管理功能。管理脚本 (manage-bde.wsf)，可用于 WindowsVista 和 Windows Server2008，它为 IT 管理员提供一个管理和检查 BitLocker 状态的简单命令行界面。该脚本是在可用的 WMI 提供程序的基础上编写的，可以对其进行修改，帮助构建自定义的解决方案以满足不同企业管理的需求。有关 BitLocker 驱动器加密驱动程序的详细信息，请参阅 /fwlink/?LinkId=80600（可能为英文网页）。体系结构图表图2 显示了整个 BitLocker 体系结构，包括它的各种子组件。它显示了 BitLocker 的用户模式和内核模式组件，包括 TPM 以及它们与不同层的操作系统集成的方式。按启动顺序的身份验证模式根据计算机的硬件功能以及所需的安全级别，BitLocker 支持四种不同的身份验证模式： 具有 TPM 的 BitLocker（无其他身份验证因子） 具有 TPM 和 PIN 的 BitLocker 具有 TPM 和 USB 启动密钥的 BitLocker 没有 TPM 的 BitLocker（需要 USB 启动密钥）每次启用 BitLocker 启动 WindowsVista 时，启动代码在卷保护集的基础上执行一系列步骤。这些步骤包括系统完整性检查和其他身份验证步骤（PIN 或 USB 启动密钥），解锁受保护的卷之前必须对其进行验证。 为了进行恢复，BitLocker 使用恢复密钥（存储在 USB 设备上）或恢复密码（数字密码），如图1 中所示。在初始化 BitLocker 期间，创建恢复密钥或恢复密码。如果尝试违反安全性或系统出现故障，则插入恢复密钥或键入恢复密码能够使已授权的用户重新获得对加密卷的访问权限。BitLocker 按照以下顺序搜索密钥：1. 明文密钥：系统完整性验证已被禁用，并且 BitLocker 卷主密钥可以自由访问。不必进行身份验证。2. 恢复密钥或启动密钥（如果存在）：如果存在恢复密钥或启动密钥，则 BitLocker 将立即使用该密钥，不尝试采用其他方式对卷进行解锁。3. 身份验证 1. TPM：TPM 成功验证早期启动组件以对卷主密钥进行解封。2. TPM + 启动密钥：TPM 成功验证早期启动组件和包含已插入的正确启动密钥的 USB 闪存驱动器。3. TPM + PIN：TPM 成功验证早期启动组件以及用户是否输入了正确的 PIN。4. 恢复1. 恢复密码：用户必须输入正确的恢复密码。2. 恢复密钥：如果上面的步骤均未成功对驱动器进行解锁，则会提示用户插入包含恢复密钥的 USB 闪存驱动器，然后重新启动计算机。BitLocker 生命周期如图 3 所示，在 BitLocker 生命周期中有四个主要的阶段。这些阶段包括安装、初始化、日常使用和计算机解除授权或回收。1. 安装：BitLocker 作为 WindowsVista 的一部分安装或作为 Windows Server2008 的选项添加。2. 初始化：初始化并启用 BitLocker。3. 日常使用：在日常情况下使用计算机。BitLocker 在初始化期间所选身份验证选项的基础上提供保护级别。4. 计算机解除授权和回收：需要对启用 BitLocker 的计算机解除授权或回收。下列各部分描述了上述每个阶段。有关详细的体系结构图表，请参阅体系结构图表。安装对于 Windows Vista Enterprise 和 Windows Vista Ultimate，BitLocker 自动作为操作系统安装的一部分安装。但是，BitLocker 无法启用直到使用 BitLocker 控制面板打开为止。初始化在安装和进行初始操作系统设置之后的任何时间，系统管理员可以使用 WindowsVista 中的“控制面板”初始化 BitLocker。在初始化的过程中有两个步骤： 1. 在具有 TPM 的计算机上，通过使用 TPM 初始化向导、BitLocker 控制面板或通过运行专门设计为对其进行初始化的脚本来初始化 TPM。通过 TPM 管理控制台向导可以访问 TPM 初始化向导，该向导是从 BitLocker 控制面板中某个链接启动的 。如有必要，打开 BitLocker 控制面板将自动启动 TPM 初始化。也支持 TPM 的远程初始化。尽管通常需要现场操作才能初始化计算机的 TPM，但是如果提供的计算机已经打开 TPM，则不需要现场操作。BitLocker 的 TPM 服务组件包括允许对初始化步骤（包括设置所有者和创建 TPM 管理密码）编写脚本的管理 API。2. 设置 BitLocker。从 WindowsVista“控制面板”中访问 BitLocker 设置向导，该向导将指导您完成设置并提供高级身份验证选项。1.注意 当本地管理员初始化 BitLocker 时，管理员还应该创建恢复密码或恢复密钥。如果没有恢复密钥或恢复密码，则加密驱动器上的所有数据将不可访问，并且当操作系统卷出现问题时这些数据将不可恢复。 必须由计算机上本地 Administrators 组的成员执行 BitLocker 和 TPM 初始化。非管理员用户可以从 BitLocker 数据保护中获益，但无法启用或禁用它。有关在 WindowsVista 上配置和部署 BitLocker 的详细信息，请参阅 Windows BitLocker 驱动器加密循序渐进指南 (/fwlink/?LinkID=53779)（可能为英文网页）。日常使用已初始化 BitLocker 并对卷进行加密之后，仅当用户在进行身份验证和执行临时管理任务期间才会遇到它。根据计算机的硬件功能以及所需的安全级别，BitLocker 支持四种不同的身份验证模式： 具有 TPM 的 BitLocker 具有 TPM 和 PIN 的 BitLocker 具有 TPM 和 USB 启动密钥的 BitLocker 没有 TPM 的 BitLocker（需要 USB 启动密钥）对于只依赖于 TPM 进行身份验证，而没有其他 BitLocker 身份验证方法的启用 BitLocker 的计算机，可以像使用其他任何计算机一样使用该计算机。用户启动 Windows 并且提示用户提供他们的用户名和密码，这是正常的登录体验。除非非常了解 BitLocker，否则用户可能不会注意他们的计算机包含额外级别的数据保护。如果出于增强安全的考虑配置了 BitLocker，则需要用户输入 PIN 或插入 USB 启动密钥才能启动 WindowsVista。在这种情况下，修改正常的启动流程或恢复流程以提示其他身份验证方法。有关 BitLocker 身份验证模式的详细信息，请参阅 Windows BitLocker 驱动器加密循序渐进指南 (/fwlink/?LinkID=53779)（可能为英文网页）。仅 TPM 方案在这种方案中，在具有 TPM 的计算机上启用 BitLocker，但尚不启用其他身份验证方法。将硬盘分区为两个卷： 1. 系统卷2. WindowsVista 操作系统卷如图 4 所示，BitLocker 用全卷加密密钥对操作系统卷进行加密。用卷主密钥对该密钥本身进行加密，反过来由 TPM 对卷主密钥进行加密。 本地管理员可以通过使用 WindowsVista“控制面板”中的“安全”项目启用或禁用该方案。关闭 BitLocker 会对卷进行解密并删除所有密钥。之后再打开 BitLocker 会创建新的密钥。 注意 当本地管理员打开 BitLocker 时，管理员还应该创建恢复密码或恢复密钥。如果没有恢复密钥或恢复密码，则加密驱动器上的所有数据将不可访问，并且当操作系统卷出现问题时这些数据将不可恢复。 增强身份验证方案这些方案向以前描述的基本方案中添加其他身份验证方法。如图5 所示，使用具有 TPM 的计算机上的 BitLocker 提供两个多重身份验证选项： TPM 和 PIN（系统完整性检查和用户了解的某些内容） TPM 和存储在 USB 闪存驱动器上的启动密钥（系统完整性检查和用户了解的某些内容）这些方案的优势在于并不是所有的密钥资料都存储在本地计算机上。PIN 身份验证在这种方案中，管理员在初始化 BitLocker 期间设置数字 PIN。BitLocker 使用 SHA-256 哈希 PIN，并将前 160 位哈希用作授权数据发送到 TPM 以对卷主密钥进行密封。现在卷主密钥同时受到 TPM 和 PIN 的保护。若要解封卷主密钥，每次计算机启动或从休眠中恢复时都需要用户输入 PIN。 备注 若要在服务器上实现，启用 PIN 功能可能不会令人满意，因为启动速度或无法重新启动时的人工干预都会对其产生影响。 启动密钥身份验证在这种方案中，管理员在初始化 BitLocker 期间创建启动密钥。该密钥存储在任何 BIOS 枚举存储设备（如可插拔的 USB 闪存驱动器）上，并且用户必须在每次计算机启动或从休眠中恢复时插入该设备。必须将包含启动密钥的 USB 闪存驱动器插入到通过打开电源启动的计算机中，加载 Windows 之后应该将其移除。仅启动密钥方案（无 TPM）在这种方案中，管理员在不包含 TPM 的计算机上启用 BitLocker。每次计算机启动或从休眠中恢复时该计算机用户都必须插入包含启动密钥的 USB 闪存驱动器。 备注 使用仅启动密钥方案的系统安全配置文件将与使用 TPM 的系统安全配置文件不同；在非 TPM 系统上将不会验证早期启动组件的完整性。 在初始化 BitLocker 期间，必须通过 BitLocker 设置向导或通过编写脚本为非 TPM 计算机创建启动密钥。BitLocker 生成启动密钥，用户插入 USB 闪存驱动器，然后系统将启动密钥存储在该设备上。 使用 BitLocker“控制面板”项目，用户可以创建启动密钥的备份副本。启动密钥未加密，并以原始二进制数据形式存储在“.bek”文件中。如果丢失启动密钥，必须使用恢复密钥或恢复密码恢复该卷，并且必须生成新的启动密钥（这个过程将吊销原始启动密钥）。还必须对使用丢失的启动密钥的所有其他卷执行类似的步骤，以确保丢失的启动密钥不会被未经授权的用户使用。管理管理员可以使用位于 WindowsVista“控制面板”的“安全”项目中的 BitLocker 控制面板管理 BitLocker。IT 管理员也可以使用命令行管理工具 manage-bde.wsf 远程执行编写脚本的功能。有关在 WindowsVista 上配置和部署 BitLocker 的详细信息，请参阅 Windows BitLocker 驱动器加密循序渐进指南 (/fwlink/?LinkID=53779)（可能为英文网页）。密钥管理已经对卷进行加密并且具有 BitLocker 保护之后，本地和域管理员可以使用 BitLocker 控制面板中的“管理密钥”页面复制密钥和重置 PIN。 BitLocker 配置和 TPM 管理WindowsVista“控制面板”中的“安全”项目中的 BitLocker 控制面板显示 BitLocker 状态并提供启用或禁用 BitLocker 的功能。如果由于最近的安装卸载请求 BitLocker 正在积极地加密或解密，则会显示进度状态。管理员还可以使用 BitLocker 控制面板访问 TPM 管理 MMC。有关详细信息，请参阅初始化。 计算机更新和升级：禁用 BitLocker 保护管理员可能希望在某些情况下临时禁用 BitLocker，如： 在不需要用户输入（例如，PIN 或启动密钥）的情况下，重新启动计算机进行维护。 更新 BIOS 在没有触发 BitLocker 恢复的情况下升级关键的早期启动组件。例如：o 安装不同版本的操作系统或另一个操作系统，这可能会更改主启动记录 (MBR)。o 对磁盘重新进行分区，这可能会更改分区表。o 执行其他系统任务，这些任务会更改由 TPM 验证的启动组件。 在没有触发 BitLocker 恢复的情况下，升级主板以更换或移除 TPM。 在没有触发 BitLocker 恢复的情况下，关闭（禁用）或清除 TPM。 在没有触发 BitLocker 恢复的情况下，将受 BitLocker 保护的磁盘卷移动到另一台计算机。这些方案统称为计算机升级方案。可以通过 Windows“控制面板”中的 BitLocker 项目启用或禁用 BitLocker。升级启用 BitLocker 的计算机需要执行以下步骤。1. 通过将 BitLocker 置于禁用模式临时关闭 BitLocker。2. 升级系统或 BIOS。3. 再次打开 BitLocker。强制 BitLocker 进入禁用模式将使卷保持加密，但将用存储在硬盘上的未加密对称密钥对卷主密钥进行加密。使用这个未加密的密钥会禁用由 BitLocker 提供的数据保护，但会确保随后的计算机启动成功，而无需用户进一步输入。当重新启动 BitLocker 时，将从磁盘中删除未加密的密钥，并且再次打开 BitLocker 保护。此外，再次对卷主密钥执行设置密钥并加密。将加密的卷（即物理磁盘）移动到另一台启用 BitLocker 的计算机不需要任何附加步骤，因为保护卷主密钥的密钥以未加密形式存储在磁盘上。注意 暴露卷主密钥（即使是短暂的一段时间）也会有安全风险，因为当这些密钥以明文密钥形式暴露时，攻击者可能已经访问了此卷主密钥以及全卷加密密钥。 有关禁用 BitLocker 的详细信息，请参阅 Windows BitLocker 驱动器加密循序渐进指南 (/fwlink/?LinkID=53779)（可能为英文网页）。计算机解除授权和回收目前，很多个人计算机被该计算机最初所有者或用户之外的人重新使用。在企业方案中，可能会将计算机重新部署到其他部门，或将计算机保留为公司标准计算机硬件刷新循环的一部分。 在未加密的驱动器上，甚至对驱动器进行格式化之后，数据可能仍然可读。企业通常利用多次覆盖或物理破坏来减少暴露已解除授权的驱动器上的数据的风险。BitLocker 可以帮助创建一个简单、经济有效解除授权过程。通过保持数据由 BitLocker 加密，然后删除密钥，企业可以永久减少暴露该数据的风险。删除所有 BitLocker 密钥之后，几乎不可能访问由 BitLocker 加密的数据，因为这需要破解 128 位或 256 位 AES 加密。注意 只有将来不需要该数据时，才执行此部分所述的步骤。位于加密卷中的数据将不可恢复。 管理员可以通过从 WindowsVista 中格式化该卷来删除卷的 BitLocker 密钥。已经对 “format” 命令进行了更新，以便支持该操作。若要格式化操作系统卷，可以使用 WindowsVista 安装 DVD 中附带的恢复环境打开命令提示符。 管理员还可以创建有效删除所有 BitLocker 密钥保护程序的脚本。重新启动计算机时，运行此类脚本将使所有由 BitLocker 加密的数据不可恢复。作为一项安全措施，BitLocker 要求加密的卷至少具有一个密钥保护程序。给定此要求，您可以通过创建新的外部密钥保护程序解除驱动器的授权，从而避免保存创建的外部密钥信息，然后删除卷上的所有其他密钥保护程序。有关为 BitLocker 编写脚本的详细信息，请参阅 Win32_EncryptableVolume (/fwlink/?LinkId=85983)（可能为英文网页）。已经从卷中删除 BitLocker 密钥之后，需要执行后续任务来完成解除授权过程。例如：通过清除 TPM 将 TPM 重置为其出厂默认值，丢弃为卷保存的恢复信息，如打印输出、存储在 USB 设备上的文件，以及存储在 Active Directory 中的信息。系统恢复很多方案可以触发恢复过程，例如： 将 BitLocker 保护的驱动器移动到新的计算机上。 安装具有新的 TPM 的新主板。 关闭、禁用或清除 TPM。 更新 BIOS 升级关键的早期启动组件，从而导致系统完整性验证无法通过。 在已启用 PIN 身份验证时，忘记 PIN。 在已启用启动密钥身份验证时，丢失包含启动密钥的 USB 闪存驱动器。作为一种访问控制机制，管理员也可以触发恢复（例如，在计算机重新部署期间）。管理员可以决定锁定加密的驱动器，并且要求用户获得 BitLocker 恢复信息才能解锁该驱动器。如果 BitLocker 进入恢复模式，则可以通过需要最小化设置的过程恢复加密卷中的数据。有关详细信息，请参阅 Windows BitLocker 驱动器加密循序渐进指南 (/fwlink/?LinkID=53779)（可能为英文网页）。恢复设置使用组策略，IT 管理员可以选择需要、不允许何种恢复方法，或由启用 BitLocker 的用户进行选择。可以将恢复密码存储在 Active Directory 域服务 (ADDS) 中，管理员可以使该选项必选、禁用或由该计算机的每个用户选择。此外，还可以将恢复数据存储在 USB 闪存驱动器上。 恢复方案在 BitLocker 中，恢复包括使用存储在 USB 闪存驱动器上的恢复密钥或从恢复密码中派生的加密密钥对卷主密钥的副本进行解密。在任何恢复方案中未涉及 TPM，因此如果 TPM 未通过启动组件验证、出现故障或被删除，也仍然可以进行恢复。 恢复密码恢复密码是随机生成的 48 位数，可以在 BitLocker 设置期间创建该密码。如果计算机进入恢复模式，则会提示用户使用功能键（F0 到 F9）键入该密码。启用 BitLocker 之后，可以对恢复密码进行管理和复制。使用 BitLocker 控制面板，可以打印恢复密码，也可以将其保存到文件中，以便将来使用。域管理员可以将组策略配置为自动生成恢复密码，并在启用 BitLocker 之后透明地将其备份到 ADDS。域管理员还可以选择只有当计算机连接到网络并且恢复密码的 ADDS 备份成功时才允许 BitLocker 对驱动器进行加密。恢复密钥在 BitLocker 设置期间，可以创建恢复密钥并将其保存到 USB 闪存驱动器；启用 BitLocker 之后，还可以对其进行管理和复制。如果计算机进入恢复模式，则会提示用户将恢复密钥插入计算机。 /zh-cn/library/cc766159(v=ws.10).aspxTrusted Platform Module (TPM) Services is a new feature set in WindowsVista and WindowsServer2008 that is used to administer the TPM security hardware in a computer. The TPM Services architecture provides the infrastructure for hardware-based security by providing access to and assuring application-level sharing of a TPM. The TPM Management console is a Microsoft Management Console (MMC) snap-in that allows administrators to interact with TPM Services.What is a Trusted Platform Module?A TPM is a microchip designed to provide basic security-related functions, primarily involving encryption keys. The TPM is usually installed on the motherboard of a computer, and communicates with the rest of the system by using a hardware bus.Computers that incorporate a TPM have the ability to create cryptographic keys and encrypt them so that they can be decrypted only by the TPM. This process, often called wrapping or binding a key, can help protect the key from disclosure. Each TPM has a master wrapping key, called the Storage Root Key (SRK), which is stored within the TPM itself. The private portion of a key created in a TPM is never exposed to any other component, software, process, or user.Computers that incorporate a TPM can also create a key that has not only been wrapped, but also tied to certain platform measurements. This type of key can only be unwrapped when those platform measurements have the same values that they had when the key was created. This process is called sealing the key to the TPM. Decrypting it is called unsealing. The TPM can also seal and unseal data generated outside of the TPM. With this sealed key and software like Windows BitLocker Drive Encryption, you can lock data until specific hardware or software conditions are met. With a TPM, private portions of key pairs are kept separated from the memory controlled by the operating system. Keys can be sealed to the TPM, and certain assurances about the state of a systemassurances that define the trustworthiness of a systemcan be made before the keys are unsealed and released for use. Because the TPM