bitlocker

BitLocker驅動器加密它是在Windows Vista中新增的一種數據保護功能，主要用於解決一個人們越來越關心的問題：由計算機設備的物理丟失導致的數據失竊或惡意泄漏。在新一代作業系統Windows 8.1中也能使用此加密驅動。隨同Windows Server 2008一同發布的有BitLocker實用程式，該程式能夠通過加密邏輯驅動器來保護重要數據，還提供了系統啟動完整性檢查功能。

BitLocker使用TPM幫助保護Windows作業系統和用戶數據，並幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。

受信任的平台模組(TPM)是一個內置在計算機中的微晶片。它用於存儲加密信息，如加密密鑰。存儲在TPM上的信息會更安全，避免受到外部軟體攻擊和物理盜竊。BitLocker可加密存儲於Windows作業系統卷上的所有數據，默認情況下，使用TPM以確保早期啟動組件的完整性（組件用於啟動進程的更早時期），以及“鎖定”任何BitLocker保護卷，使之在即便計算機受到篡改也得到保護。

但是BitLocker有一項不足，打開加密盤後，再次進入就不需要密碼了，那么如何才能使每次訪問加密盤都要密碼呢？這恐怕是微軟後續改進的問題了，但是目前，我們可以在開始系統列里輸入“cmd”，然後以管理員身份運行，輸入 manage-bde（空格）-lock（空格）X：，x為加密磁碟盤符。這樣就可以再次鎖住加密盤了。

通過加密整個Windows作業系統卷保護數據。

如果計算機安裝了兼容TPM，BitLocker將使用TPM鎖定保護數據的加密密鑰。因此，在TPM已驗證計算機的狀態之後，才能訪問這些密鑰。加密整個卷可以保護所有數據，包括作業系統本身、Windows註冊表、臨時檔案以及休眠檔案。因為解密數據所需的密鑰保持由TPM鎖定，因此攻擊者無法通過只是取出硬碟並將其安裝在另一台計算機上來讀取數據。

在啟動過程中，TPM將釋放密鑰，該密鑰僅在將重要作業系統配置值的一個哈希值與一個先前所拍攝的快照進行比較之後解鎖加密分區。這將驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改，則不會釋放密鑰。

默認情況下，BitLocker安裝精靈配置為與TPM無縫使用。管理員可以使用組策略或腳本啟用其他功能和選項。

為了增強安全性，可以將TPM與用戶輸入的PIN或存儲在USB快閃記憶體驅動器上的啟動密鑰組合使用。

在不帶有兼容TPM的計算機上，BitLocker可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。在這種情況下，用戶需要創建一個存儲在USB快閃記憶體驅動器上的啟動密鑰。

TPM是一個微晶片，設計用於提供基本安全性相關功能，主要涉及加密密鑰。TPM通常安裝在台式計算機或者攜帶型計算機的主機板上，通過硬體匯流排與系統其餘部分通信。

合併了TPM的計算機能夠創建加密密鑰並對其進行加密，以便只可以由TPM解密。此過程通常稱作“覆蓋”或“綁定”密鑰，可以幫助避免泄露密鑰。每個TPM有一個主覆蓋密鑰，稱為“存儲根密鑰(SRK)”，它存儲在TPM的內部。在TPM中創建的密鑰的隱私部分從不暴露給其他組件、軟體、進程或者人員。

合併了TPM的計算機還可以創建一個密鑰，該密鑰不僅被覆蓋，而且還被連線到特定硬體或軟體條件。這稱為“密封”密鑰。首次創建密封密鑰時，TPM將記錄配置值和檔案哈希的快照。僅在這些當前系統值與快照中的值相匹配時才“解封”或釋放密封密鑰。BitLocker使用密封密鑰檢測對Windows作業系統完整性的攻擊。

使用TPM，密鑰對的隱私部分在作業系統控制的記憶體之外單獨保存。因為TPM使用自身的內部固件和邏輯電路來處理指令，所以它不依賴於作業系統，也不會受外部軟體漏洞的影響。

首先需要強調的是，並不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驅動器加密，相應的功能只有Windows Vista 的Enterprise版和Ultimate版才能夠實現。其目標即是讓Windows Vista(or Windows 7)用戶擺脫因 PC 硬體丟失、被盜或不當的淘汰處理而導致由數據失竊或泄漏構成的威脅，

BitLocker保護的 Windows Vista 計算機的日常使用對用戶來說是完全透明的。在具體實現方面，BitLocker主要通過兩個主要子功能，完整的驅動器加密和對早期引導組件的完整性檢查，及二者的結合來增強數據保護。其中：

驅動器加密能夠有效地防止未經授權的用戶破壞 Windows Vista(or Windows 7)檔案以及系統對已丟失或被盜計算機的防護，通過加密整個 Windows 捲來實現。利用 BitLocker，所有用戶和系統檔案都可加密，包括交換和休眠檔案。

對早期引導組件進行完整性檢查有助於確保只有在這些組件看起來未受干擾時才執行數據解密，還可確保加密的驅動器位於原始計算機中。通過 BitLocker，還可選擇鎖定正常的引導過程，直至用戶提供 PIN（類似於 ATM 卡 PIN）或插入含有密鑰資料的 USB 快閃記憶體驅動器為止。這些附加的安全措施可實現多因素驗證，並確保在提供正確的 PIN 或 USB 快閃記憶體驅動器之前計算機不會從休眠狀態中啟動或恢復。

BitLocker 緊密集成於 Windows Vista(or Windows 7) 中，為企業提供了無縫、安全和易於管理的數據保護解決方案。例如，BitLocker 可選擇利用企業現有的 Active Directory 域服務基礎結構來遠程委託恢復密鑰。BitLocker 還具備一個與早期引導組件相集成的災難恢復控制台，以供用於“實地”數據檢索。

基本的BitLocker安裝和部署不需要外來的和特殊的硬體或者軟體。該伺服器必須滿足支持Windows Server 2012的最小要求。但仍會發生一些硬體小問題。

首先，考慮伺服器具有可信任平台模組（TPM）1.2或2.0版本。TPM不需要安裝和使用BitLocker，但是需要能夠保證系統啟動時的完整性，並將BitLocker本地磁碟綁定到專門的物理伺服器。這防止其他系統安裝加密磁碟。

接著，評估伺服器的BIOS特徵。具有TPM的系統需要兼容性良好的固件。如果BIOS為TPM服務，其必須支持統一的可擴展固定接口（UEFI）標準。BIOS必須從硬碟首次啟動，而不是從外部驅動器，比如USB或光碟。還有，BIOS在啟動期間應該讀取USB快閃記憶體盤，以防需要緊急加密恢復丟失或毀壞的證書。

最後，一個加密的驅動器必須提供兩部分：一部分是作業系統的FAT32或NTFS分區；另一部分是另外的350MB的NTFS分區（或者更大）——安裝BitLocker的系統驅動器大小。硬體加密驅動器受支持，安裝時必須關閉車載安全特性。單獨的分區在啟動期間需要執行系統完整性檢查。系統驅動器通常包含其他的數據，比如恢覆信息和其他工具。

因為XP系統沒有集成BitLocker，所以是通過內置在加密磁碟中的BitLocker To Go 程式來瀏覽檔案而不是Windows的資源管理器。經BitLocker加密的隨身碟在xp系統中只能讀不能寫,且僅能訪問FAT格式或ExFat格式的檔案系統,暫時無法訪問NTFS格式檔案系統.NTFS格式磁碟在XP下獲取盤符後,雙擊磁碟圖示,只會提示是否格式化。

BitLocker主要有兩種工作模式：TPM模式和隨身碟模式，為了實現更高程度的安全，我們還可以同時啟用這兩種模式。

要使用TPM模式，要求計算機中必須具備不低於1.2版TPM晶片，這種晶片是通過硬體提供的，一般只出現在對安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會提供。

要想知道電腦是否有TPM晶片，可以運行“devmgmt.msc”打開設備管理器，然後看看設備管理器中是否存在一個叫做“安全設備”的節點，該節點下是否有“受信任的平台模組”這類的設備，並確定其版本即可。

如果要使用隨身碟模式，則需要電腦上有USB接口，計算機的BIOS支持在開機的時候訪問USB設備（能夠流暢運行Windows Vista(or Windows 7)的計算機基本上都應該具備這樣的功能），並且需要有一個專用的隨身碟（隨身碟只是用於保存密鑰檔案，容量不用太大，但是質量一定要好）。使用隨身碟模式後，用於解密系統盤的密鑰檔案會被保存在隨身碟上，每次重啟動系統的時候必須在開機之前將隨身碟連線到計算機上。

受信任的平台模組是實現TPM模式BitLocker的前提條件。

在安裝SP1之後的Vista企業版和旗艦版中，我們可以使用三種模式的BitLocker：

●純TPM模式，要求系統中具有TPM晶片，這樣用於解密的密鑰以及用於驗證引導檔案完整性的相關檔案都會保存在TPM晶片中。

●純隨身碟模式，要求系統符合上文中提到的和USB設備有關的條件，這樣用於解密的密鑰會被保存在隨身碟中。

●混合模式，可以使用TPM+隨身碟，TPM+PIN，以及TPM+隨身碟+PIN的形式進一步增強系統安全。

將準備好的隨身碟連線到計算機，等程式界面上顯示了這個隨身碟後，單擊將其選中，然後單擊“保存”按鈕，這樣用於解密被BitLocker加密的分區所需的密鑰就會被保存在所選的隨身碟上。

隨後可以看到保存恢復密碼的界面，在這裡我們需要決定恢復密碼的處理方式。需要注意，在平時的使用過程中，並不需要提供恢復密碼，我們只要提供之前一步操作中指定的隨身碟即可，而恢復密碼是在隨身碟不可用（例如，丟失或者損壞）時使用的，因此建議將其妥善處理。例如，如果本機安裝了印表機，可以將恢復密碼列印在紙上，並將這張紙保存在安全的地方。同時因為非常重要，建議同時保留恢復密碼的多個副本，例如多次列印，然後將列印的密碼分別保存在不同的安全位置，或者保存在另外的隨身碟上（最好不要將恢復密碼和啟動密碼保存在同一個隨身碟上）。

保管好恢復密碼後單擊“下一步”按鈕，隨後程式會對我們的操作進行一個概述。同時為了進一步確認本機可以正常使用BitLocker功能，請保持選中“運行BitLocker系統檢查”選項，這樣程式會在進行加密之前先對系統中的各項設定進行檢查。如果確認無誤，請單擊“繼續”按鈕（注意：在整個過程中，最先使用的隨身碟一定不能拔下來，如果需要將恢復密碼保存在其他隨身碟上，請將第二塊隨身碟連線到計算機的其他USB接口上）。

接下來需要重新啟動系統，準備好之後單擊“現在重啟動”按鈕。重啟動完成，並成功登錄後，桌面右下角會顯示一個氣泡圖示，提示我們系統正在進行加密，單擊這個氣泡圖示後可以看到顯示加密進度的對話框。在這裡我們可以暫停加密操作，並在稍後繼續進行，但是無法停止或者撤銷加密操作。

加密操作需要一定的時間，主要取決於系統盤的大小以及計算機的硬體速度。不過好在這個操作只需要進行一次。而且在日後的使用過程中，系統的運行速度並不會有太大的降低，因此可以放心使用。加密完成後單擊“完成”按鈕即可。經過上述操作，BitLocker功能已經被成功啟用。但是還有幾點問題需要注意：

●套用BitLocker加密後，當Windows Vista啟動後，我們查看系統檔案時將不會看到檔案帶有任何與“加密”有關的屬性，這屬於正常現象，因為BitLocker的加密是在系統底層，從檔案系統上實現的，而在用戶看來，啟動了的系統里的系統檔案並沒有被加密。但如果換個角度來看，例如一台計算機上安裝了兩個系統，或者將裝有系統的硬碟拆掉，連線到其他計算機上，在試圖訪問套用了BitLocker的系統所在的分區時，我們會收到拒絕訪問的信息，而且拒絕的原因是目標分區沒有被格式化。這都屬於正常現象，而且也證明了BitLocker正在保護我們作業系統的安全（構想一下，連訪問分區都無法實現，又如何進行脫機攻擊？）。

●另外，保存了啟動密鑰的隨身碟，直接在Windows資源管理器下查看的時候，完全看不到其中保存的密鑰檔案。這也是為了安全。同時建議這個隨身碟只用於保存BitLocker的啟動密鑰，而不要用作其他用途。這主要是為了儘量避免隨身碟因為各種原因，例如病毒感染或者頻繁寫入損壞而造成系統無法訪問。而且需要注意，密鑰盤只是在啟動系統的時候需要，只要系統啟動完成，我們就可以將其拔出，並妥善保管起來。作業系統的正常運行過程中並不需要我們反覆提供密鑰盤。

●最後一點，在加密過程中，系統盤的可用磁碟空間將會急劇減少。這屬於正常情況，因為這個過程中會產生大量臨時檔案。加密完成後這些檔案會被自動刪除，同時可用空間數量會恢復正常。在解密被加密的系統盤時也會遇到類似的情況。

在套用了隨身碟模式的BitLocker後，每次啟動系統前都必須將保存了啟動密鑰的隨身碟連線到計算機，否則系統會提示需要BitLocker驅動器加密密鑰。這就要求我們必須將保存了啟動密鑰的隨身碟連線到計算機後重啟動，才能完成Windows的啟動和載入過程。如果因為某些原因，例如保存了啟動密鑰的隨身碟損壞或者丟失，只要還保留有啟用BitLocker時創建的恢復密碼，那么可以在這個界面上按下回車鍵進行恢復。

但是，對於bitlocker分區後，數據丟失，可以選擇赤兔Bitlocker分區恢復軟體，此軟體能夠恢復誤操作、重灌系統等原因造成的Bitlocker加密分區丟失、Bitlocker加密分區無法打開的數據恢復。

進入控制臺\系統和安全\BitLocker 驅動器加密，選擇你被加密的盤符，點旁邊的“解除BitLocker”，就行了。

如果Windows To Go設備丟失或被盜，敏感數據和網路資源可能處於危險之中。幸運的是，可以通過BitLocker保護Windows To Go驅動器。BitLocker是Windows 7和Windows 8內置的全盤加密功能。BitLocker使用進階加密標準算法保護128位或256位加密卷。

通常情況下，BitLocker依賴可信平台模組標準認證來引導路徑和保護加密密鑰。因為這種方法是不支持Windows To Go驅動器，BitLocker使用用戶定義的密碼來加密和解密磁碟。用戶必須提供驅動器的解鎖密碼並引導到Windows To Go工作區。只要密碼本身是安全的，未經授權的用戶通常不能訪問受保護的數據或安全的網路資源。

如果計畫部署Windows To Go驅動器，提供這些支持的設備應該啟用BitLocker。但是這並不總是可行的。舉個例子，如果提供多個驅動器，可能想使用USB驅動器複印器來簡化這個過程，不幸的是，BitLocker驅動器不能進行複製。這意味著你必須首先提供驅動器，然後為其配置Windows 8特性。

如果正在使用許多驅動器——使用複印器時可能出現的情況，可能想要通過BitLocker將數據給你的用戶。這個過程本身是很容易的。桌面版本為Windows 8和Windows 8.1的用戶可以簡單地遵循BitLocker安裝精靈中的步驟。

更大的技巧是確保用戶真正實現了BitLocker。因為沒有辦法確認Windows To Go是否已經被保護，只有你可以確保你的用戶妥善保護了自己的密碼。

根據提示，一步一步進行加密設定，一般來說選擇使用密碼加密即可，但是特別需要注重的是需要把恢復密碼保存到非加密的分區檔案中，而且不能保存在根目錄下。而且一定要記住保存位置，勞記密碼。

隨身碟只要是FAT32格式就能在xp系統中使用，如果不是FAT32格式在xp系統中只會提示你隨身碟沒有格式化而如果你格式化了將丟失所有數據。

該軟體的加密速度並不快，根據檔案的大小不同加密的時間不同，一般來說4G的檔案加密速度需要10幾分鐘。

正常下的windows7系統，右擊盤符就可啟用BitLocker，如果右鍵選單中沒有的話，可能是關閉這個服務了，需要我們去開啟。方法是開啟系統服務中的“ShellHWDetection”和“BDESVC”服務就可以了。