基本介紹

Windows BitLocker驅(qū)動(dòng)器加密通過(guò)加密Windows操作系統(tǒng)卷上存儲(chǔ)的所有數(shù)據(jù)可以更好地保護(hù)計(jì)算機(jī)中的數(shù)據(jù)。BitLocker使用TPM（受信任的平臺(tái)模塊）幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使在無(wú)人參與、丟失或被盜的情況下也不會(huì)被篡改。BitLocker還可以在沒有TPM的情況下使用。若要在計(jì)算機(jī)上使用BitLocker而不使用TPM，則必須通過(guò)使用組策略更改BitLocker安裝向?qū)У哪J(rèn)行為，或通過(guò)使用腳本配置BitLocker。使用BitLocker而不使用TPM時(shí)，所需加密密鑰存儲(chǔ)在USB閃存驅(qū)動(dòng)器中，必須提供該驅(qū)動(dòng)器才能解鎖存儲(chǔ)在卷上的數(shù)據(jù)。

原理

通過(guò)加密整個(gè)Windows操作系統(tǒng)卷保護(hù)數(shù)據(jù)。

如果計(jì)算機(jī)安裝了兼容TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。因此，在TPM已驗(yàn)證計(jì)算機(jī)的狀態(tài)之后，才能訪問(wèn)這些密鑰。加密整個(gè)卷可以保護(hù)所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows注冊(cè)表、臨時(shí)文件以及休眠文件。因?yàn)榻饷軘?shù)據(jù)所需的密鑰保持由TPM鎖定，因此攻擊者無(wú)法通過(guò)只是取出硬盤并將其安裝在另一臺(tái)計(jì)算機(jī)上來(lái)讀取數(shù)據(jù)。

在啟動(dòng)過(guò)程中，TPM將釋放密鑰，該密鑰僅在將重要操作系統(tǒng)配置值的一個(gè)哈希值與一個(gè)先前所拍攝的快照進(jìn)行比較之后解鎖加密分區(qū)。這將驗(yàn)證Windows啟動(dòng)過(guò)程的完整性。如果TPM檢測(cè)到Windows安裝已被篡改，則不會(huì)釋放密鑰。

默認(rèn)情況下，BitLocker安裝向?qū)渲脼榕cTPM無(wú)縫使用。管理員可以使用組策略或腳本啟用其他功能和選項(xiàng)。

為了增強(qiáng)安全性，可以將TPM與用戶輸入的PIN或存儲(chǔ)在USB閃存驅(qū)動(dòng)器上的啟動(dòng)密鑰組合使用。

在不帶有兼容TPM的計(jì)算機(jī)上，BitLocker可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。在這種情況下，用戶需要?jiǎng)?chuàng)建一個(gè)存儲(chǔ)在USB閃存驅(qū)動(dòng)器上的啟動(dòng)密鑰。

TPM（受信任的平臺(tái)模塊）

TPM是一個(gè)微芯片，設(shè)計(jì)用于提供基本安全性相關(guān)功能，主要涉及加密密鑰。TPM通常安裝在臺(tái)式計(jì)算機(jī)或者便攜式計(jì)算機(jī)的主板上，通過(guò)硬件總線與系統(tǒng)其余部分通信。

合并了TPM的計(jì)算機(jī)能夠創(chuàng)建加密密鑰并對(duì)其進(jìn)行加密，以便只可以由TPM解密。此過(guò)程通常稱作“覆蓋”或“綁定”密鑰，可以幫助避免密鑰泄露。每個(gè)TPM有一個(gè)主覆蓋密鑰，稱為“存儲(chǔ)根密鑰(SRK)”，它存儲(chǔ)在TPM的內(nèi)部。在TPM中創(chuàng)建的密鑰的隱私部分從不暴露給其他組件、軟件、進(jìn)程或者人員。

合并了TPM的計(jì)算機(jī)還可以創(chuàng)建一個(gè)密鑰，該密鑰不僅被覆蓋，而且還被連接到特定硬件或軟件條件。這稱為“密封”密鑰。首次創(chuàng)建密封密鑰時(shí)，TPM將記錄配置值和文件哈希的快照。僅在這些當(dāng)前系統(tǒng)值與快照中的值相匹配時(shí)才“解封”或釋放密封密鑰。BitLocker使用密封密鑰檢測(cè)對(duì)Windows操作系統(tǒng)完整性的攻擊。

使用TPM，密鑰的隱私部分在操作系統(tǒng)控制的內(nèi)存之外單獨(dú)保存。因?yàn)門PM使用自身的內(nèi)部固件和邏輯電路來(lái)處理指令，所以它不依賴于操作系統(tǒng)，也不會(huì)受外部軟件漏洞的影響。

機(jī)制

首先需要強(qiáng)調(diào)的是，并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驅(qū)動(dòng)器加密，相應(yīng)的功能只有Windows Vista的Enterprise版和Ultimate版才能夠?qū)崿F(xiàn)。其目標(biāo)即是讓W(xué)indows Vista(or Windows 7)用戶擺脫因PC硬件丟失、被盜或不當(dāng)?shù)奶蕴幚矶鴮?dǎo)致的數(shù)據(jù)失竊或泄露構(gòu)成的威脅。

BitLocker保護(hù)的 Windows Vista計(jì)算機(jī)的日常使用對(duì)用戶來(lái)說(shuō)是完全透明的。在具體實(shí)現(xiàn)方面，BitLocker主要通過(guò)兩個(gè)主要子功能，完整的驅(qū)動(dòng)器加密和對(duì)早期引導(dǎo)組件的完整性檢查，及二者的結(jié)合來(lái)增強(qiáng)數(shù)據(jù)保護(hù)。其中：

通過(guò)加密整個(gè)Windows卷，驅(qū)動(dòng)器加密能夠有效地防止未經(jīng)授權(quán)的用戶破壞Windows Vista(or Windows 7)文件以及完成系統(tǒng)對(duì)已丟失或被盜計(jì)算機(jī)的防護(hù)。利用BitLocker，所有用戶和系統(tǒng)文件都可加密，包括交換和休眠文件。

對(duì)早期引導(dǎo)組件進(jìn)行完整性檢查有助于確保只有在這些組件看起來(lái)未受干擾時(shí)才執(zhí)行數(shù)據(jù)解密，還可確保加密的驅(qū)動(dòng)器位于原始計(jì)算機(jī)中。通過(guò)BitLocker，還可選擇鎖定正常的引導(dǎo)過(guò)程，直至用戶提供PIN（類似于ATM卡PIN）或插入含有密鑰資料的USB閃存驅(qū)動(dòng)器為止。這些附加的安全措施可實(shí)現(xiàn)多因素驗(yàn)證，并確保在提供正確的PIN或USB閃存驅(qū)動(dòng)器之前計(jì)算機(jī)不會(huì)從休眠狀態(tài)中啟動(dòng)或恢復(fù)。

BitLocker緊密集成于Windows Vista(or Windows 7)中，為企業(yè)提供了無(wú)縫、安全和易于管理的數(shù)據(jù)保護(hù)解決方案。例如，BitLocker可選擇利用企業(yè)現(xiàn)有的Active Directory域服務(wù)基礎(chǔ)結(jié)構(gòu)來(lái)遠(yuǎn)程委托恢復(fù)密鑰。BitLocker還具備一個(gè)與早期引導(dǎo)組件相集成的災(zāi)難恢復(fù)控制臺(tái)，以供用于“實(shí)地”數(shù)據(jù)檢索。

安裝

基本的BitLocker安裝和部署不需要外來(lái)的和特殊的硬件或者軟件。該服務(wù)器必須滿足支持Windows Server 2012的最小要求，但仍會(huì)發(fā)生一些硬件小問(wèn)題。

首先，考慮服務(wù)器具有可信任平臺(tái)模塊（TPM）1.2或2.0版本。TPM不需要安裝和使用BitLocker，但是需要能夠保證系統(tǒng)啟動(dòng)時(shí)的完整性，并將BitLocker本地磁盤綁定到專門的物理服務(wù)器。這可以防止其他系統(tǒng)安裝加密磁盤。

接著，評(píng)估服務(wù)器的BIOS特征。具有TPM的系統(tǒng)需要兼容性良好的固件。如果BIOS為TPM服務(wù)，其必須支持統(tǒng)一的可擴(kuò)展固定接口（UEFI）標(biāo)準(zhǔn)。BIOS必須從硬盤首次啟動(dòng)，而不是從外部驅(qū)動(dòng)器，比如USB或光盤。還有，BIOS在啟動(dòng)期間應(yīng)該讀取USB閃存盤，以防需要緊急加密恢復(fù)丟失或毀壞的證書。

最后，一個(gè)加密的驅(qū)動(dòng)器必須提供兩部分：一部分是操作系統(tǒng)的FAT32或NTFS分區(qū)；另一部分是另外的350MB的NTFS分區(qū)（或者更大）——安裝BitLocker的系統(tǒng)驅(qū)動(dòng)器大小。硬件加密驅(qū)動(dòng)器受支持，安裝時(shí)必須關(guān)閉車載安全特性。單獨(dú)的分區(qū)在啟動(dòng)期間需要執(zhí)行系統(tǒng)完整性檢查。系統(tǒng)驅(qū)動(dòng)器通常包含其他的數(shù)據(jù)，比如恢復(fù)信息和其他工具。

因?yàn)閄P系統(tǒng)沒有集成BitLocker，所以是通過(guò)內(nèi)置在加密磁盤中的BitLocker To Go 程序來(lái)瀏覽文件而不是Windows的資源管理器。經(jīng)BitLocker加密的U盤在xp系統(tǒng)中只能讀不能寫，且僅能訪問(wèn)FAT格式或ExFat格式的文件系統(tǒng)，暫時(shí)無(wú)法訪問(wèn)NTFS格式文件系統(tǒng)。NTFS格式磁盤在XP下獲取盤符后，雙擊磁盤圖標(biāo)，只會(huì)提示是否格式化。

工作模式

BitLocker主要有兩種工作模式：TPM模式和U盤模式，為了實(shí)現(xiàn)更高程度的安全，還可以同時(shí)啟用這兩種模式。

TPM模式

要使用TPM模式，要求計(jì)算機(jī)中必須具備不低于1.2版TPM芯片，這種芯片是通過(guò)硬件提供的，一般只出現(xiàn)在對(duì)安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會(huì)提供。

要想知道電腦是否有TPM芯片，可以運(yùn)行“devmgmt.msc”打開設(shè)備管理器，然后看看設(shè)備管理器中是否存在一個(gè)叫做“安全設(shè)備”的節(jié)點(diǎn)，該節(jié)點(diǎn)下是否有“受信任的平臺(tái)模塊”這類的設(shè)備，并確定其版本即可。

U盤模式

如果要使用U盤模式，則需要電腦上有USB接口，計(jì)算機(jī)的BIOS支持在開機(jī)的時(shí)候訪問(wèn)USB設(shè)備（能夠流暢運(yùn)行Windows Vista(or Windows 7)的計(jì)算機(jī)基本上都應(yīng)該具備這樣的功能），并且需要有一個(gè)專用的U盤（U盤只是用于保存密鑰文件，容量不用太大，但是質(zhì)量一定要好）。使用U盤模式后，用于解密系統(tǒng)盤的密鑰文件會(huì)被保存在U盤上，每次重啟動(dòng)系統(tǒng)的時(shí)候必須在開機(jī)之前將U盤連接到計(jì)算機(jī)上。

受信任的平臺(tái)模塊是實(shí)現(xiàn)TPM模式BitLocker的前提條件。

啟用和取消BitLocker

啟用

在安裝SP1之后的Vista企業(yè)版和旗艦版中，可以使用三種模式的BitLocker：

●純TPM模式，要求系統(tǒng)中具有TPM芯片，這樣用于解密的密鑰以及用于驗(yàn)證引導(dǎo)文件完整性的相關(guān)文件都會(huì)保存在TPM芯片中。

●純U盤模式，要求系統(tǒng)符合上文中提到的和USB設(shè)備有關(guān)的條件，這樣用于解密的密鑰會(huì)被保存在U盤中。

●混合模式，可以使用TPM+U盤，TPM+PIN，以及TPM+U盤+PIN的形式進(jìn)一步增強(qiáng)系統(tǒng)安全。

將準(zhǔn)備好的U盤連接到計(jì)算機(jī)，等程序界面上顯示了這個(gè)U盤后，單擊將其選中，然后單擊“保存”按鈕，這樣用于解密被BitLocker加密的分區(qū)所需的密鑰就會(huì)被保存在所選的U盤上。

隨后可以看到保存恢復(fù)密碼的界面，在這里我們需要決定恢復(fù)密碼的處理方式。需要注意，在平時(shí)的使用過(guò)程中，并不需要提供恢復(fù)密碼，我們只要提供之前一步操作中指定的U盤即可，而恢復(fù)密碼是在U盤不可用（例如，丟失或者損壞）時(shí)使用的，因此建議將其妥善處理。例如，如果本機(jī)安裝了打印機(jī)，可以將恢復(fù)密碼打印在紙上，并將這張紙保存在安全的地方。同時(shí)因?yàn)榉浅Ｖ匾?，建議同時(shí)保留恢復(fù)密碼的多個(gè)副本，例如多次打印，然后將打印的密碼分別保存在不同的安全位置，或者保存在另外的U盤上（最好不要將恢復(fù)密碼和啟動(dòng)密碼保存在同一個(gè)U盤上）。

保管好恢復(fù)密碼后單擊“下一步”按鈕，隨后程序會(huì)對(duì)我們的操作進(jìn)行一個(gè)概述。同時(shí)為了進(jìn)一步確認(rèn)本機(jī)可以正常使用BitLocker功能，請(qǐng)保持選中“運(yùn)行BitLocker系統(tǒng)檢查”選項(xiàng)，這樣程序會(huì)在進(jìn)行加密之前先對(duì)系統(tǒng)中的各項(xiàng)設(shè)置進(jìn)行檢查。如果確認(rèn)無(wú)誤，請(qǐng)單擊“繼續(xù)”按鈕（注意：在整個(gè)過(guò)程中，最先使用的U盤一定不能拔下來(lái)，如果需要將恢復(fù)密碼保存在其他U盤上，請(qǐng)將第二塊U盤連接到計(jì)算機(jī)的其他USB接口上）。

接下來(lái)需要重新啟動(dòng)系統(tǒng)，準(zhǔn)備好之后單擊“現(xiàn)在重啟動(dòng)”按鈕。重啟動(dòng)完成，并成功登錄后，桌面右下角會(huì)顯示一個(gè)氣泡圖標(biāo)，提示我們系統(tǒng)正在進(jìn)行加密，單擊這個(gè)氣泡圖標(biāo)后可以看到顯示加密進(jìn)度的對(duì)話框。在這里我們可以暫停加密操作，并在稍后繼續(xù)進(jìn)行，但是無(wú)法停止或者撤銷加密操作。

加密操作需要一定的時(shí)間，主要取決于系統(tǒng)盤的大小以及計(jì)算機(jī)的硬件速度。不過(guò)好在這個(gè)操作只需要進(jìn)行一次。而且在日后的使用過(guò)程中，系統(tǒng)的運(yùn)行速度并不會(huì)有太大的降低，因此可以放心使用。加密完成后單擊“完成”按鈕即可。經(jīng)過(guò)上述操作，BitLocker功能已經(jīng)被成功啟用。但是還有幾點(diǎn)問(wèn)題需要注意：

●應(yīng)用BitLocker加密后，當(dāng)Windows Vista啟動(dòng)后，我們查看系統(tǒng)文件時(shí)將不會(huì)看到文件帶有任何與“加密”有關(guān)的屬性，這屬于正常現(xiàn)象，因?yàn)锽itLocker的加密是在系統(tǒng)底層，從文件系統(tǒng)上實(shí)現(xiàn)的，而在用戶看來(lái)，啟動(dòng)了的系統(tǒng)里的系統(tǒng)文件并沒有被加密。但如果換個(gè)角度來(lái)看，例如一臺(tái)計(jì)算機(jī)上安裝了兩個(gè)系統(tǒng)，或者將裝有系統(tǒng)的硬盤拆掉，連接到其他計(jì)算機(jī)上，在試圖訪問(wèn)應(yīng)用了BitLocker的系統(tǒng)所在的分區(qū)時(shí)，我們會(huì)收到拒絕訪問(wèn)的信息，而且拒絕的原因是目標(biāo)分區(qū)沒有被格式化。這都屬于正常現(xiàn)象，而且也證明了BitLocker正在保護(hù)我們操作系統(tǒng)的安全（設(shè)想一下，連訪問(wèn)分區(qū)都無(wú)法實(shí)現(xiàn)，又如何進(jìn)行脫機(jī)攻擊？）。

●另外，保存了啟動(dòng)密鑰的U盤，直接在Windows資源管理器下查看的時(shí)候，完全看不到其中保存的密鑰文件。這也是為了安全。同時(shí)建議這個(gè)U盤只用于保存BitLocker的啟動(dòng)密鑰，而不要用作其他用途。這主要是為了盡量避免U盤因?yàn)楦鞣N原因，例如病毒感染或者頻繁寫入損壞而造成系統(tǒng)無(wú)法訪問(wèn)。而且需要注意，密鑰盤只是在啟動(dòng)系統(tǒng)的時(shí)候需要，只要系統(tǒng)啟動(dòng)完成，我們就可以將其拔出，并妥善保管起來(lái)。操作系統(tǒng)的正常運(yùn)行過(guò)程中并不需要我們反復(fù)提供密鑰盤。

●最后一點(diǎn)，在加密過(guò)程中，系統(tǒng)盤的可用磁盤空間將會(huì)急劇減少。這屬于正常情況，因?yàn)檫@個(gè)過(guò)程中會(huì)產(chǎn)生大量臨時(shí)文件。加密完成后這些文件會(huì)被自動(dòng)刪除，同時(shí)可用空間數(shù)量會(huì)恢復(fù)正常。在解密被加密的系統(tǒng)盤時(shí)也會(huì)遇到類似的情況。

在應(yīng)用了U盤模式的BitLocker后，每次啟動(dòng)系統(tǒng)前都必須將保存了啟動(dòng)密鑰的U盤連接到計(jì)算機(jī)，否則系統(tǒng)會(huì)提示需要BitLocker驅(qū)動(dòng)器加密密鑰。這就要求我們必須將保存了啟動(dòng)密鑰的U盤連接到計(jì)算機(jī)后重啟動(dòng)，才能完成Windows的啟動(dòng)和加載過(guò)程。如果因?yàn)槟承┰?，例如保存了啟?dòng)密鑰的U盤損壞或者丟失，只要還保留有啟用BitLocker時(shí)創(chuàng)建的恢復(fù)密碼，那么可以在這個(gè)界面上按下回車鍵進(jìn)行恢復(fù)。

但是，對(duì)于bitlocker分區(qū)后，數(shù)據(jù)丟失，可以選擇赤兔Bitlocker分區(qū)恢復(fù)軟件，此軟件能夠恢復(fù)誤操作、重裝系統(tǒng)等原因造成的Bitlocker加密分區(qū)丟失、Bitlocker加密分區(qū)無(wú)法打開的數(shù)據(jù)恢復(fù)。

取消

進(jìn)入控制面板系統(tǒng)和安全BitLocker驅(qū)動(dòng)器加密，選擇你被加密的盤符，點(diǎn)旁邊的“解除BitLocker”，就行了。

使用BitLocker

保護(hù)Windows To Go驅(qū)動(dòng)器

如果Windows To Go設(shè)備丟失或被盜，敏感數(shù)據(jù)和網(wǎng)絡(luò)資源可能處于危險(xiǎn)之中。幸運(yùn)的是，可以通過(guò)BitLocker保護(hù)Windows To Go驅(qū)動(dòng)器。BitLocker是Windows 7和Windows 8內(nèi)置的全盤加密功能。BitLocker使用進(jìn)階加密標(biāo)準(zhǔn)算法保護(hù)128位或256位加密卷。

通常情況下，BitLocker依賴可信平臺(tái)模塊標(biāo)準(zhǔn)認(rèn)證來(lái)引導(dǎo)路徑和保護(hù)加密密鑰。因?yàn)檫@種方法是不支持Windows To Go驅(qū)動(dòng)器，BitLocker使用用戶定義的密碼來(lái)加密和解密磁盤。用戶必須提供驅(qū)動(dòng)器的解鎖密碼并引導(dǎo)到Windows To Go工作區(qū)。只要密碼本身是安全的，未經(jīng)授權(quán)的用戶通常不能訪問(wèn)受保護(hù)的數(shù)據(jù)或安全的網(wǎng)絡(luò)資源。

如果計(jì)劃部署Windows To Go驅(qū)動(dòng)器，提供這些支持的設(shè)備應(yīng)該啟用BitLocker。但是這并不總是可行的。舉個(gè)例子，如果提供多個(gè)驅(qū)動(dòng)器，可能想使用USB驅(qū)動(dòng)器復(fù)印器來(lái)簡(jiǎn)化這個(gè)過(guò)程，不幸的是，BitLocker驅(qū)動(dòng)器不能進(jìn)行復(fù)制。這意味著你必須首先提供驅(qū)動(dòng)器，然后為其配置Windows 8特性。

如果正在使用許多驅(qū)動(dòng)器——使用復(fù)印器時(shí)可能出現(xiàn)的情況，可能想要通過(guò)BitLocker將數(shù)據(jù)給你的用戶。這個(gè)過(guò)程本身是很容易的。桌面版本為Windows 8和Windows 8.1的用戶可以簡(jiǎn)單地遵循BitLocker安裝向?qū)е械牟襟E。

更關(guān)鍵的是確保用戶真正實(shí)現(xiàn)了BitLocker。因?yàn)闆]有辦法確認(rèn)Windows To Go是否已經(jīng)被保護(hù)，只有你可以確保你的用戶妥善保護(hù)了自己的密碼。

注意事項(xiàng)

1、保存好恢復(fù)文件

根據(jù)提示，一步一步進(jìn)行加密設(shè)置，一般來(lái)說(shuō)選擇使用密碼加密即可，但是特別需要注重的是需要把恢復(fù)密碼保存到非加密的分區(qū)文件中，而且不能保存在根目錄下。而且一定要記住保存位置，牢記密碼。

2、加密后的U盤怎樣才能在XP下使用

U盤只要是FAT32格式就能在xp系統(tǒng)中使用，如果不是FAT32格式在xp系統(tǒng)中只會(huì)提示你U盤沒有格式化而如果你格式化了將丟失所有數(shù)據(jù)。

3、加密速度偏慢

該軟件的加密速度并不快，根據(jù)文件的大小不同加密的時(shí)間不同，一般來(lái)說(shuō)4G的文件加密速度需要10幾分鐘。

4、BitLocker加密功能的開啟

正常下的windows7系統(tǒng)（or windows10），右擊盤符就可啟用BitLocker，如果右鍵菜單中沒有的話，可能是關(guān)閉這個(gè)服務(wù)了，需要我們?nèi)ラ_啟。方法是開啟系統(tǒng)服務(wù)中的“ShellHWDetection”和“BDESVC”服務(wù)就可以了。

特色功能

功能介紹

BitLocker驅(qū)動(dòng)器加密它是在Windows Vista中新增的一種數(shù)據(jù)保護(hù)功能，主要用于解決一個(gè)人們?cè)絹?lái)越關(guān)心的問(wèn)題：由計(jì)算機(jī)設(shè)備的物理丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏。隨同Windows Server 2008一同發(fā)布的有BitLocker實(shí)用程序，該程序能夠通過(guò)加密邏輯驅(qū)動(dòng)器來(lái)保護(hù)重要數(shù)據(jù)，還提供了系統(tǒng)啟動(dòng)完整性檢查功能。

受信任的平臺(tái)模塊(TPM)是一個(gè)內(nèi)置在計(jì)算機(jī)中的微芯片。它用于存儲(chǔ)加密信息，如加密密鑰。存儲(chǔ)在TPM上的信息會(huì)更安全，避免受到外部軟件攻擊和物理盜竊。BitLocker使用TPM幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使在無(wú)人參與、丟失或被盜的情況下也不會(huì)被篡改。BitLocker可加密存儲(chǔ)于Windows操作系統(tǒng)卷上的所有數(shù)據(jù)，默認(rèn)情況下，使用TPM以確保早期啟動(dòng)組件的完整性（組件用于啟動(dòng)進(jìn)程的更早時(shí)期），以及“鎖定”任何BitLocker保護(hù)卷，使之即便在計(jì)算機(jī)受到篡改時(shí)也能得到保護(hù)。

但是BitLocker有一項(xiàng)不足，即打開加密盤后，再次進(jìn)入就不需要密碼了。那么如何才能使每次訪問(wèn)加密盤都要密碼呢？這恐怕是微軟后續(xù)改進(jìn)的問(wèn)題了，但是目前，我們可以在開始任務(wù)欄里輸入“cmd”，然后以管理員身份運(yùn)行，輸入manage-bde（空格）-lock（空格）X：，x為加密磁盤盤符。這樣就可以再次鎖住加密盤了。

原理

通過(guò)加密整個(gè)Windows操作系統(tǒng)卷保護(hù)數(shù)據(jù)。

如果計(jì)算機(jī)安裝了兼容TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。因此，在TPM已驗(yàn)證計(jì)算機(jī)的狀態(tài)之后，才能訪問(wèn)這些密鑰。加密整個(gè)卷可以保護(hù)所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows注冊(cè)表、臨時(shí)文件以及休眠文件。因?yàn)榻饷軘?shù)據(jù)所需的密鑰保持由TPM鎖定，因此攻擊者無(wú)法通過(guò)只是取出硬盤并將其安裝在另一臺(tái)計(jì)算機(jī)上來(lái)讀取數(shù)據(jù)。

在啟動(dòng)過(guò)程中，TPM將釋放密鑰，該密鑰僅在將重要操作系統(tǒng)配置值的一個(gè)哈希值與一個(gè)先前所拍攝的快照進(jìn)行比較之后解鎖加密分區(qū)。這將驗(yàn)證Windows啟動(dòng)過(guò)程的完整性。如果TPM檢測(cè)到Windows安裝已被篡改，則不會(huì)釋放密鑰。

默認(rèn)情況下，BitLocker安裝向?qū)渲脼榕cTPM無(wú)縫使用。管理員可以使用組策略或腳本啟用其他功能和選項(xiàng)。

為了增強(qiáng)安全性，可以將TPM與用戶輸入的PIN或存儲(chǔ)在USB閃存驅(qū)動(dòng)器上的啟動(dòng)密鑰組合使用。

在不帶有兼容TPM的計(jì)算機(jī)上，BitLocker可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。在這種情況下，用戶需要?jiǎng)?chuàng)建一個(gè)存儲(chǔ)在USB閃存驅(qū)動(dòng)器上的啟動(dòng)密鑰。