bitlocker怎么用?用法？解锁？(2010-02-25 07:23:37)Bitlocker，这个组组件主要是在本地用软硬结合的方式来保护我们硬盘上的数据的。

现在电脑的丢失已经是很常见的事情了，有时候连放在办公室的电脑都有可能会被偷走，就更不要说笔记本电脑和平板电脑了。

而如果你的电脑中存放着很敏感的资料，例如你工作单位的一些机密、你的银行账户等等这些，如果被不怀好意的人拿到的话后果可能是致命的，不知道大家有没有参加过关于这个Bitlocker的Webcast，里面就提到几个案例，因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对手手中而面临倒闭，也有个人资料泄露以后导致隐私被公开或者受到要挟。

而 Windows XP的账户密码是非常脆弱的，懂一点专业技术的人都能在几分钟之内破解掉它，拿到计算机里面的数据，这种攻击方法称之为离线式攻击，也就是攻击者直接接触你的电脑来实施入侵行为，所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤为重要。

Bitlocker也就是在这样一种局面下诞生了，它采用了硬件和软件相结合的方法来保护我们硬盘中的数据。

启用了Bitlocker以后会生成两个密钥：一个存放于引导分区中；另外一个存放在主板上的一个名叫 TPM的芯片里，在计算机加电的时候首先是TPM最先加载，他会和引导区中的密钥进行对比验证，通过了以后才会加载BOIS完成计算机启动过程。

而如果这当中任何一个不匹配的话，比如有对这个TPM芯片作了手脚，或者是把硬盘拆下来放到别的机器中，Windows Vista将会拒绝掉密钥的释放，系统将无法启动。

这个加密机制我可以毫不夸张地告诉大家，在各位的有生之年是它绝对是安全可靠的，不会被破解掉。

当然，对于一些可能存在的事情，比如主板坏啦，或者需要把磁盘移动到一台新的计算机中的时候，Bitlocker也提供了恢复功能，就是在加密的时候 Bitlocker会给出一个48位的恢复密钥，要求用户在做加密的时候一定要妥善的保管这个密钥，否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。

再说TPM芯片，这是比较新的一种硬件芯片，在比较新的主板中已经有了，我也在市场上看了一下，发现已经有部分的主板和笔记本电脑都包含了这个芯片，但是包含这个芯片的台式机主板还是比较少，但是在不久这种芯片将会得到普及。

Bitlocker 只能加密系统分区也就是Windows Vista所在的分区，那么其他分区的数据难道就得不到保护了吗？我们说其他分区的数据也是可以保护的，至于方法就是利用在Windows XP中就已经存在EFS，这个是一种基于用户账户的文件保护机制，也就是说它使用用户的计算机帐户对该用户的数据进行加密，在Windows XP中，使用过EFS的用户一定知道，EFS的加密是非常有效的，并且在使用的时候完全没有任何的影响，用户完全感觉不到它的存在，然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯定是不可能的。

但是之所以这套加密机制在Windows XP 中有如形同虚设的原因就是前面提到的，Windows XP的帐户密码可以在几分钟之内被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker来保护我们的系统分区，也就是等于保护了用户账户，攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS 所保护的任何数据了。

因此有了这套机制的保护，我们的硬盘就是被FBI拿到，他们拿硬盘中的数据也是没有任何办法的。

-------------------------------------BitLocker驱动器加密它是在Windows Vista中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。

Windows BitLocker驱动器加密是一种全新的安全功能，该功能通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。

受信任的平台模块(TPM)是一个内置在计算机中的微芯片。

它用于存储加密信息，如加密密钥。

存储在TPM上的信息会更安全，避免受到外部软件攻击和物理盗窃。

BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。

BitLocker还可以在没有TPM的情况下使用。

若要在计算机上使用BitLocker而不使用TPM，则必须通过使用组策略更改BitLocker安装向导的默认行为，或通过使用脚本配置BitLocker。

使用BitLocker而不使用TPM时，所需加密密钥存储在USB闪存驱动器中，必须提供该驱动器才能解锁存储在卷上的数据。

TPM是一个微芯片，设计用于提供基本安全性相关功能，主要涉及加密密钥。

TPM通常安装在台式计算机或者便携式计算机的主板上，通过硬件总线与系统其余部分通信。

合并了TPM的计算机能够创建加密密钥并对其进行加密，以便只可以由TPM解密。

此过程通常称作“覆盖”或“绑定”密钥，可以帮助避免泄露密钥。

每个TPM有一个主覆盖密钥，称为“存储根密钥(SRK)”，它存储在TPM的内部。

在TPM中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。

合并了TPM的计算机还可以创建一个密钥，该密钥不仅被覆盖，而且还被连接到特定硬件或软件条件。

这称为“密封”密钥。

首次创建密封密钥时，TPM将记录配置值和文件哈希的快照。

仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。

BitLocker使用密封密钥检测对Windows操作系统完整性的攻击。

使用TPM，密钥对的隐私部分在操作系统控制的内存之外单独保存。

因为TPM使用自身的内部固件和逻辑电路来处理指令，所以它不依赖于操作系统，也不会受外部软件漏洞的影响。

首先需要强调的是，并不是所有的Windows Vista版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。

其目标即是让Windows Vista 用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。

在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。

其中：驱动器加密能够有效地防止未经授权的用户破坏 Windows Vista文件以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 卷来实现。

利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。

对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。

通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的 USB 闪存驱动器为止。

这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。

BitLocker 紧密集成于 Windows Vista 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。

例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。

BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。

---------------BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，我们还可以同时启用这两种模式。

要使用TPM模式，要求计算机中必须具备不低于1.2版TPM芯片，这种芯片是通过硬件提供的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。

要想知道电脑是否有TPM芯片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。

如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB 设备（能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能），并且需要有一个专用的U盘（U盘只是用于保存密钥文件，容量不用太大，但是质量一定要好）。

使用U盘模式后，用于解密系统盘的密钥文件会被保存在U盘上，每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

受信任的平台模块是实现TPM模式BitLocker的前提条件。

对硬盘分区的要求硬件满足上述要求后，还要确保硬盘分区的安排可以满足要求。

通常情况下，我们可能习惯这样给硬盘分区：首先，在第一块硬盘上划分一个活动主分区，用于安装Windows，这个分区是系统盘；其次，对于剩下的空间继续划分更多主分区，或者创建一个扩展分区，然后在上面创建逻辑驱动器。

简单来说，我们已经习惯于让第一块硬盘的第一个分区成为系统盘，并在上面安装Windows。

传统方式下的硬盘分区情况。

在一台安装Windows Vista的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。

这里重点需要关注的是，硬盘上是否有超过一个的活动分区。

如果该磁盘上有两个分区，对应的盘符分别是“C”和“D”，其中“C”就是第一块硬盘上的第一个分区，属于系统盘而且是活动的。

但问题在于，如果除了系统盘外，硬盘上不存在其他活动分区，这种情况下是无法直接启用BitLocker的（无论是TPM模式还是U盘模式）。

原因很简单，源于其工作原理，BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密，在启动系统的时候，我们必须提供解密的密钥，来解密原本被加密的文件，这样才能启动操作系统或者读取机密文件。

但这就有一个问题，用于解密的密钥可以保存在TPM芯片或者U盘中，但是解密程序应该放在哪里？难道就放在系统盘吗？可是系统盘已经被加密了，这就导致了一种很矛盾的状态：因为用于解密的程序被加密了，因此无法运行，导致无法解密文件。

所以如果要顺利使用BitLocker功能，硬盘上必须至少有两个活动分区，除了系统盘外，额外的活动分区必须保持未加密状态（且必须是NTFS文件系统），同时可用空间不能少于1.5GB。

为了保证可靠性，这个专门的活动分区最好专用，不要在上面保存其他文件或者安装额外的操作系统。