BitLocker 驱动器加密

1、了解有关BitLocker 驱动器加密的更多信息BitLocker 驱动器加密可为丢失或被盗的操作系统驱动器、固定数据驱动器和可移动数据驱动器提供保护。BitLocker 是通过以下方法来提供保护的：加密驱动器的内容并要求用户对其凭据进行身份验证来访问该信息。在安装 Windows 的驱动器上，BitLocker 使用受信任的平台模块 (TPM 来检测计算机的关键启动进程是否已被篡改。另外，可能要求用户提供 PIN 或启动密钥才能访问驱动器数据。在固定数据驱动器和可移动数据驱动器上，用户可以通过使用密码、通过使用智能卡或通过自动解锁驱动器来访问受BitLocker 保护的驱动器。启用BitLo

2、ckerBitLocker 安装向导可以从控制面板或 Windows 资源管理器启动，它用于在计算机上安装的固定数据驱动器或可移动数据驱动器上启用BitLocker ，或者用于在具有兼容 TPM 的计算机的操作系统驱动器上启用BitLocker 。如果希望在不带 TPM 的计算机的操作系统驱动器上启用BitLocker ，或者使用其他BitLocker 功能和选项，则可以修改BitLocker 组策略设置，这些设置控制通过BitLocker 安装向导可以访问哪些功能。在带有兼容 TPM 的计算机上，可以使用以下四种方式解锁受BitLocker 保护的操作系统驱动器：仅 TPM 。使用“仅 TP

3、M ”验证不要求与用户进行任何交互来解密驱动器及提供对驱动器的访问。如果 TPM 验证成功，则用户登录体验与标准登录相同。如果缺少或已更改 TPM ，或者如果 TPM 检测到关键的操作系统启动文件发生更改，则BitLocker 将进入其恢复模式，需要恢复密码才能重新获得对数据的访问权限。有启动密钥的 TPM 。除 TPM 提供的保护之外，会将部分加密密钥存储在 USB 闪存驱动器中。这称为启动密钥。没有启动密钥将无法访问加密卷上的数据。有 PIN 的 TPM 。除 TPM 提供的保护之外，BitLocker 还要求用户输入个人标识号 (PIN。如果不输入 PIN ，将无法访问加密卷上的数据。有

4、启动密钥和 PIN 的 TPM 。此选项仅可以通过使用 Manage-bde 命令行工具进行配置。除 TPM 提供的核心组件保护之外，会将加密密钥的一部分存储在 USB 闪存驱动器上，并且需要一个 PIN 来验证用户对 TPM 的访问权限。这会提供多重身份验证，这样，如果 USB 密钥丢失或被盗，因为还需要正确的 PIN ，所以不能使用 USB 密钥访问驱动器。注意建议始终将默认的 Windows TPM 驱动程序与BitLocker 一起使用。如果安装了非 Microsoft TPM 驱动程序，则它可能会阻止加载默认 TPM 驱动程序并导致BitLocker 报告计算机上不存在 TPM 。在

5、这种情况下，BitLocker 将不能使用 TPM 。如果将组策略设置配置为要求将BitLocker 与 TPM 一起使用，则直到删除非 Microsoft 驱动程序，才能启用BitLocker 。若要使用BitLocker 保护不带 TPM 的计算机上的操作系统驱动器，可以使用下列选项：仅启动密钥。所有必需的加密密钥信息均存储在 USB 闪存驱动器上。启动过程中，用户必须在计算机中插入 USB 闪存驱动器。存储在 USB 闪存驱动器上的密钥将解锁计算机。计算机没有 TPM 时，读取加密驱动器所需的所有信息均包含在启动密钥中。建议使用 TPM ，因为它可帮助防止计算机关键启动过程受到攻击。在固

6、定数据驱动器或可移动数据驱动器上启用BitLocker 时，BitLocker 可以使用下列解锁方法：密码。可以使用密码对固定数据驱动器（如内部硬盘驱动器）和可移动数据驱动器（如外部硬盘驱动器和 USB 闪存驱动器）进行解锁。组策略设置可以用于设置最小密码长度。智能卡。若要将智能卡与BitLocker 一起使用，必须在智能卡上具有兼容的证书。除非您有多个兼容的证书（在此情况下，必须选择要使用的证书），否则BitLocker 将自动选择证书。安全注意事项在使用智能卡对驱动器加密时，会在该驱动器上创建一个基于证书的保护程序。此保护程序包含驱动器解锁所需的一些未加密信息。用于加密驱动器的证书的公钥和

7、指纹以未加密的形式存储在驱动器上保护程序的元数据中。此信息可以用于识别颁发证书的证书颁发机构 (CA。自动解锁。可以将使用BitLocker 加密的固定数据驱动器配置为在登录到 Windows 时自动解锁。在加密可移动数据驱动器之后，可以选择对其进行自动解锁。若要能够自动解锁固定数据驱动器，还必须使用BitLocker 对安装 Windows 的驱动器进行加密。访问受BitLocker 保护的数据驱动器上的内容在使用BitLocker 保护数据驱动器之后，会立即在显示内容之前验证对驱动器的访问权限。在解锁操作系统驱动器之后，可以自动解锁固定数据驱动器。如果该驱动器未自动解锁，则可以单击“计算机

8、”来显示计算机上的驱动器，右键单击该驱动器，然后单击“解锁”，或者使用“控制面板”中的“BitLocker 驱动器加密”项目。根据为计算机配置的身份验证方法，将自动解锁驱动器，或者提示您提供智能卡或密码。如果将可移动数据驱动器插入计算机，则在检测到驱动器受BitLocker 保护之后，将提示您提供密码或智能卡。恢复选项为了防止在发生 TPM 故障、忘记密码或丢失智能卡或 USB 密钥时失去对受BitLocker 保护的驱动器的访问权限，具有一种管理员用于获取对BitLocker 驱动器的访问权限的方式是很重要的。BitLocker 支持下列用于恢复对受保护驱动器的访问权限的方法：恢复密钥或恢复密码。可以将恢复密钥或恢复密码与BitLocker 一起使用。如果BitLocker 密钥不可用（如在丢失智能卡或忘记用户密码的情况下），则可以使用一个 48 位的恢复密码来解锁受保护的驱动器。还可以使用已存储到可移动媒体（如 USB 闪存驱动器）上的某个文件中的恢复密钥代替密码来解锁受保护的驱动器。将密钥备份到 Active Directory 域服务中。可以将BitLocker 恢复密码存储在 Active Directory 域服务中。这使管理员（如技术支持人员）能够在用户忘记或放错其恢复密码时帮助用户恢复受BitLocker 保护的驱动器。数据