Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南更新时间: 2009年11月应用到: Windows Server 2008, Windows Vista此循序渐进指南提供了在测试实验室环境中设置 Windows(R) BitLocker(TM) 驱动器加密所需的说明。

建议您在生产环境中不要使用本指南。

在没有其他文档（列在其他资源部分中）的情况下，不一定必须使用循序渐进指南才能部署Windows Server® 2008 操作系统功能，应将其作为独立的文档谨慎使用。

什么是 BitLocker 驱动器加密？BitLocker 是客户端计算机的Windows Vista® Enterprise 和Windows Vista® Ultim ate 操作系统以及 Windows Server 2008 操作系统中可用的一项数据保护功能。

BitLocker 提供增强的保护功能，防止数据偷窃或在丢失或被盗的计算机上公开，确保在受 BitLocker 保护的计算机解除授权时执行更安全的数据检测。

已丢失或已盗计算机上的数据容易受到未经授权的访问，方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。

BitLocker 通过组合两个主要的数据保护步骤帮助减少在已丢失或已盗计算机上进行的未经授权的数据访问：∙加密硬盘上的整个 Windows 操作系统卷和数据卷。

BitLocker 对操作系统卷中的所有用户文件和系统文件（包括交换文件和休眠文件）进行加密，还可以对数据卷进行加密。

∙检查早期启动组件和启动配置数据的完整性。

在装有受信任的平台模块 (TPM) 版本 1.2 的计算机上，BitLocker 利用 TPM 的增强安全性功能来帮助确保只有在计算机的启动组件未经改动且加密磁盘位于原始计算机上时，才可以访问数据。

BitLocker 紧密集成到 Windows Vista 和 Windows Server 2008 中，且为企业提供便于管理和配置的增强的数据保护。

例如，BitLocker 可以使用现有的 Active Directory 域服务 (AD DS) 基础结构远程存储 BitLocker 恢复密钥。

BitLocker 还提供了一个恢复控制台，可用于启用未加入域的计算机或无法连接域（例如，字段中的计算机）的计算机的数据检索功能。

应使用 BitLocker 驱动器加密的用户本指南主要供以下用户参考：∙评估产品的 IT 计划者和分析者∙安全架构师在本指南中本指南的目的是帮助管理员熟悉 Windows Server 2008 的 BitLocker 驱动器加密功能。

下面各部分提供管理员在自己的网络中配置和部署 BitLocker 所需的基本信息和步骤。

方案 1 提供有关创建 BitLocker 驱动器加密所需的两个分区的说明。

方案 2 描述如何在服务器上安装 BitLocker。

方案 3 说明了如何使用 BitLocker 和 TPM 对硬盘进行加密。

方案 4 描述如何使用 BitLocker 对服务器上的数据卷进行加密。

方案 5 描述如何在不带 TPM 的计算机上使用 BitLocker。

方案 6 描述如何在锁定后访问加密数据，以及如何通过生成锁定对 BitLocker 进行测试。

方案 7 指导您关闭 BitLocker。

∙BitLocker 驱动器加密的要求∙方案 1：为 BitLocker 驱动器加密对硬盘进行分区∙方案 2：安装 BitLocker 驱动器加密∙方案 3：打开基本 BitLocker 驱动器加密∙方案 4：为服务器数据卷打开 BitLocker 驱动器加密∙方案 5：在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密∙方案 6：恢复由 BitLocker 驱动器加密保护的数据∙方案 7：关闭 BitLocker 驱动器加密∙其他资源BitLocker 驱动器加密的要求这些步骤仅供测试使用。

本指南不应是用于部署 Windows Server 2008 或 Windows Vista 功能的唯一资源。

硬件和软件要求∙满足 Windows Server 2008 的最低要求的计算机。

∙TPM 版本 1.2，已打开。

（方案 3 和 4）。

∙与受信任计算组 (TCG) 兼容的 BIOS（方案 3 和 4）。

∙两个 NTFS 磁盘分区，一个用于系统卷，一个用于操作系统卷。

系统卷分区必须至少为 1.5 GB 并设置为活动分区（方案 1）。

∙首先从硬盘驱动器（而不是 USB 或 CD 驱动器）启动的 BIOS 设置。

备注∙我们强烈建议在启用 BitLocker 后不要运行内核调试程序，因为可以通过该调试程序访问加密密钥和其他敏感数据。

但是，可以在启用 BitLocker 之前启用内核调试。

如果在启用 BitLocker 后启用内核调试，则每次重新启动计算机时，系统都会自动启动恢复过程。

如果启用启动调试程序（使用“-bootdebug”选项执行内核调试），则每次重新启动计算机时，系统都会自动启动恢复进程。

方案 1：为 BitLocker 驱动器加密对硬盘进行分区为了使用 BitLocker，您的硬盘上必须至少包含两个分区。

第一个分区为系统卷；在本文档中系统卷标记为 S。

此卷包含未加密空间中的启动信息。

第二个分区为操作系统卷；在本文档中操作系统卷标记为 C。

该卷已加密，并包含操作系统和用户数据。

必须在安装 Windows Server 2008 之前创建这些分区。

备注方案 1 描述如何创建 BitLocker 所需的两个分区。

该过程假设您已备份磁盘上的所有数据。

如果您有一个仅带单个分区的未使用磁盘，请按照为 BitLocker 对不带操作系统的磁盘进行分区中的步骤进行操作。

∙如果您有一个仅带单个分区的未使用磁盘，请按照为 BitLocker 对不带操作系统的驱动器进行分区中的步骤进行操作。

备注备注为 BitLocker 对不带操作系统的磁盘进行分区在此过程中，将从产品 DVD 启动计算机，然后输入一系列命令执行以下操作：∙创建一个新的 1.5 GB 主分区。

∙将此分区设置为活动分区。

∙使用磁盘上的剩余空间创建第二主分区。

∙格式化这两个新分区，以便将其用作 Windows 卷。

∙将 Windows Server 2008 安装在较大的卷（驱动器 C）上。

备注您的驱动器号可能与本示例中的不对应。

在本示例中，操作系统卷标记为 C，系统卷标记为 S（代表系统卷）。

在本示例中，我们还假设该系统只有一个物理硬盘驱动器。

针对 BitLocker 对没有操作系统的磁盘进行分区的步骤1.从 Windows Server 2008 产品 DVD 启动计算机。

2.在最先显示的“安装Windows”屏幕上，选择“安装语言”、“时间和货币格式”及“键盘布局”，然后单击“下一步”。

3.在下一个“安装Windows”屏幕上，单击屏幕左下角的“修复计算机”。

4.在“系统恢复选项”对话框中，确保未选中任何操作系统。

为此，请单击“操作系统”列表中所有列出项下面的空白区域。

然后，单击“下一步”。

5.在下一个“系统恢复选项”对话框中，单击“命令提示符”。

6.使用 Diskpart 创建操作系统卷的分区。

在命令提示符下，键入diskpart，然后按 Enter。

7.键入select disk 0。

8.键入clean以清除现有分区表。

9.键入create partition primary size=1500以将正在创建的分区设置为主分区。

10.键入assign letter=S以便为此分区提供 S 表示符。

11.键入active以便将新的分区设置为活动分区。

12.键入create partition primary以创建另一个主分区。

您将在这一较大的分区上安装 Windows。

13.键入assign letter=C以便为此分区提供 C 表示符。

14.键入list volume以查看此磁盘上的所有卷的显示。

您将看到列出的每个卷、卷编号、卷号、标签、文件系统、类型、大小、状态和信息。

检查您具有一个 DVD 安装卷和两个磁盘卷，并且您知道用于每个卷的标签。

15.键入exit以离开 Diskpart 应用程序。

16.键入format c: /y /q /fs:NTFS以便对 C 卷正确进行格式化。

17.键入format s: /y /q /fs:NTFS以便对 S 卷正确进行格式化。

18.键入exit以离开命令提示符。

19.在“系统恢复选项”窗口中，使用右上角的关闭窗口图标（或者按 Alt+F4）关闭窗口，返回主安装屏幕。

（切勿单击“关机”或“重新启动”。

）20.单击“现在安装”，继续执行 Windows Server 2008 安装过程。

在较大的卷 C（操作系统卷）上安装 WindowsServer 2008。

方案 2：安装 BitLocker 驱动器加密方案 2 概括如何在服务器上安装 BitLocker 驱动器加密。

对于服务器安装，您必须安装 BitLocker 功能。

开始之前您必须以管理员身份登录。

备注在初始配置期间安装 BitLocker 的步骤1.安装 Windows Server 2008 时，将出现“初始配置任务”窗口。

2.选择“添加功能”，然后安装 BitLocker 驱动器加密。

3.重新启动服务器。

您还可以使用服务器管理器来安装 BitLocker。

使用 Windows 用户界面安装后安装 BitLocker 的步骤1.依次单击“开始”、“服务器管理器”、“添加功能”和“BitLocker 驱动器加密”。

2.重新启动服务器。

您还可以在命令提示符下安装 BitLocker。

使用命令提示符安装后安装 BitLocker 的步骤1.以管理员身份打开命令提示符窗口。

若要进行此操作，请依次单击“开始”按钮、“所有程序”和“附件”。

2.右键单击“命令提示符”，然后单击“以管理员身份运行”。

3.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

4.在命令提示符下键入以下命令：ServerManagerCmd -install BitLocker -restart如果您尚未安装 BitLocker，则此操作将对其进行安装。

5.重新启动服务器。

方案 3：打开基本 BitLocker 驱动器加密方案 3 概括介绍了在带有 TPM 的系统中打开 BitLocker 驱动器加密保护功能的过程。

加密卷后，用户可以正常登录计算机。

开始之前∙您必须以管理员身份登录。

∙此服务器上必须安装了 BitLocker。