Windows(R) BitLocker(TM) 驅(qū)動器加密是一項可以在 WindowsVista® Enterprise、WindowsVista® Ultimate 和 WindowsServer®2008 中使用的數(shù)據(jù)保護功能。

概述和要求

1. BitLocker 是什么？它的工作原理是什么？
2. BitLocker 是否支持多重身份驗證？
3. BitLocker 的硬件和軟件要求是什么？
4. 為何需要兩個分區(qū)？為何必須具備如此大的系統(tǒng)分區(qū)？
5. BitLocker 支持哪些 TPM？
6. 如何判斷我的計算機是否具有 TPM 1.2？
7. 是否可以在沒有 TPM 1.2 的計算機上使用 BitLocker？
8. 如何在我的計算機上獲取 TPM 的 BIOS 支持？

升級

1. 哪些版本的 Windows Vista 包括 BitLocker？是否可以在基于 WindowsXP 的計算機上使用 BitLocker？
2. 如何將基于 WindowsXP 的計算機升級到帶有用于 BitLocker 的必需磁盤配置的 Windows Vista？
3. 關(guān)閉 BitLocker 時禁用和解密之間有什么區(qū)別？
4. 是否必須解密加密卷才能下載和安裝系統(tǒng)更新和升級？

部署和管理

1. 是否可以在企業(yè)環(huán)境中自動部署 BitLocker？
2. 除加密操作系統(tǒng)卷外，BitLocker 是否還加密其他卷？
3. 在基于 Windows Vista 的計算機上啟用 BitLocker 時，是否會給性能帶來顯著影響？
4. 啟用 BitLocker 時，初始加密大約需要多長時間？
5. 在加密或解密過程中關(guān)閉計算機會發(fā)生什么情況？
6. 在 BitLocker 執(zhí)行轉(zhuǎn)換操作時，為何顯示卷中的大多數(shù)可用空間被占用？
7. BitLocker 在讀寫數(shù)據(jù)時是否同時加密和解密整個卷？
8. 如何防止網(wǎng)絡(luò)上的用戶在未加密的卷中存儲數(shù)據(jù)？
9. 哪些系統(tǒng)更改將導(dǎo)致計算機上的完整性檢查失??？
10. 啟用 BitLocker 時是否可以在同一臺計算機上替換硬盤？
11. 將硬盤插入其他計算機時是否可以訪問 BitLocker 加密的卷？
12. 是否可以在啟用 BitLocker 的計算機上配置 Windows Vista 和另一個操作系統(tǒng)的雙重啟動？

密鑰管理

1. TPM 密碼、恢復(fù)密碼、恢復(fù)密鑰、PIN 和啟動密鑰之間有什么區(qū)別？
2. 如何存儲恢復(fù)密碼？
3. 如果丟失了恢復(fù)信息，是否無法恢復(fù) BitLocker 加密的數(shù)據(jù)？
4. 如果僅啟用 TPM 身份驗證方法，在不解密驅(qū)動器的情況下，是否可以添加其他身份驗證方法？
5. 用作啟動密鑰的 USB 閃存驅(qū)動器是否還可用于存儲恢復(fù)密鑰？
6. 是否可以在多個 USB 閃存驅(qū)動器上保存啟動密鑰？
7. 是否可以在同一個 USB 閃存驅(qū)動器上保存多個（不同的）啟動密鑰？
8. 是否可以為同一臺計算機生成多個（不同的）啟動密鑰？
9. 是否可以生成多個 PIN 組合？
10. BitLocker 中使用什么加密密鑰？它們是如何一起工作的？
11. 加密密鑰存儲在何處？
12. 為何必須使用功能鍵輸入 PIN 或 48 個字符的恢復(fù)密碼？
13. BitLocker 如何防止攻擊者發(fā)現(xiàn) PIN？
14. 如何評估 TPM 的字典攻擊緩解機制？
15. 是否可以利用組策略管理 PIN 的長度和復(fù)雜性？
16. 如何使用 PIN 和 TPM 派生卷主密鑰？

Active Directory 域服務(wù)

要點
有關(guān)如何為 BitLocker 配置 Active Directory 域服務(wù) (ADDS) 的詳細說明，請參閱 http://go.microsoft.com/fwlink/?LinkId=67438（可能為英文網(wǎng)頁）。

1. BitLocker 是否需要架構(gòu)擴展才能在 ADDS 中存儲恢復(fù)信息？
2. ADDS 中存儲什么類型的信息？
3. 在從客戶端到 ADDS 傳輸恢復(fù)信息的時候，如何保障這些信息的安全？
4. ADDS 中存儲的 BitLocker 恢復(fù)信息是否為純文本格式？
5. 將計算機加入域之前在計算機上啟用 BitLocker 會怎么樣？
6. 如果在計算機上更改 BitLocker 恢復(fù)密碼并將該密碼存儲到 ADDS 中，則其是否覆蓋 ADDS 中存儲的舊恢復(fù)密碼？

安全

1. BitLocker 使用什么加密形式？該加密形式是否可配置？
2. 擴散器是什么？
3. 配置 BitLocker 的最安全方式是什么？
4. BitLocker 對使用睡眠或休眠電源管理選項有什么含意？
5. 使用 TPM 的優(yōu)勢是什么？
6. Microsoft 是否為 BitLocker 實行安全認證？

其他問題

1. 是否可以將 EFS 與 BitLocker 一起使用？
2. 是否可以使用 BitLocker 運行內(nèi)核調(diào)試程序？
3. BitLocker 如何處理內(nèi)存轉(zhuǎn)儲？
4. BitLocker 是否支持使用智能卡進行預(yù)啟動身份驗證？
5. 是否可以使用非 Microsoft TPM 驅(qū)動程序？
6. 是否可以將應(yīng)用程序直接寫入 TPM 基本服務(wù)？
7. 如何確定 TPM 的制造商？
8. 用于管理或修改主啟動記錄的其他工具是否可以與 BitLocker 一起工作？
9. BitLocker 是否可以在使用基于 EFI 的系統(tǒng)固件的計算機上工作？

概述和要求

BitLocker 是什么？它的工作原理是什么？

Windows BitLocker 驅(qū)動器加密是一項可以在客戶端計算機的 Windows Vista Enterprise 和 Windows Vista Ultimate 以及 Windows Server2008 中使用的數(shù)據(jù)保護功能。BitLocker 針對已丟失或已盜計算機上的數(shù)據(jù)偷竊和暴露提供增強的保護，而且，在解除 BitLocker 保護的計算機的授權(quán)時，還可以更加安全地刪除計算機上的數(shù)據(jù)。

已丟失或已盜計算機上的數(shù)據(jù)容易受到未經(jīng)授權(quán)的訪問，方法是對該計算機運行軟件攻擊工具或者將該計算機的硬盤轉(zhuǎn)移到另一臺計算機。BitLocker 通過組合兩個主要的數(shù)據(jù)保護步驟幫助減少已丟失或已盜計算機上未經(jīng)授權(quán)的數(shù)據(jù)訪問：

• 加密硬盤上的整個 Windows 操作系統(tǒng)卷。BitLocker 對操作系統(tǒng)卷中包括交換文件和休眠文件在內(nèi)的所有用戶文件和系統(tǒng)文件進行加密。
• 檢查早期啟動組件和啟動配置數(shù)據(jù)的完整性。在具有受信任的平臺模塊版本 1.2 的計算機上，BitLocker 利用 TPM 的增強安全功能，幫助確保僅當計算機的啟動組件沒有被改動且加密的磁盤還位于原始計算機上時才可能訪問其中的數(shù)據(jù)。

BitLocker 緊密集成到 WindowsVista 中，為企業(yè)提供易于管理和配置的增強數(shù)據(jù)保護。例如，BitLocker 可以使用現(xiàn)有的 Microsoft Active Directory 域服務(wù) (ADDS) 基礎(chǔ)結(jié)構(gòu)遠程存儲 BitLocker 恢復(fù)密鑰。BitLocker 還提供一個恢復(fù)控制臺，可以為未加入域的計算機或無法連接到域的計算機（如現(xiàn)場中的計算機）檢索數(shù)據(jù)。

BitLocker 是否支持多重身份驗證？

如果您在具有 TPM 版本 1.2 的計算機上啟用 BitLocker，則可將另一種身份驗證方法添加到 TPM 保護。BitLocker 提供鎖定正常啟動過程的選項，直到用戶提供個人標識號 (PIN) 或插入包含 BitLocker 啟動密鑰的 USB 設(shè)備（如閃存驅(qū)動器）。這些附加的安全措施提供多重身份驗證，幫助確保在提供正確的 PIN 或啟動密鑰之前，計算機不會啟動或從休眠中恢復(fù)。

BitLocker 的硬件和軟件要求是什么？

若要充分利用 BitLocker 的全部功能，您的計算機必須符合下表列出的硬件和軟件要求。

BitLocker 硬件和軟件要求

要求	描述
硬件配置	計算機必須符合 WindowsVista 的最低要求。有關(guān) WindowsVista 要求的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83233（可能為英文網(wǎng)頁）。
操作系統(tǒng)	Windows Vista Ultimate 或 Windows Vista Enterprise。這兩種操作系統(tǒng)都包括 BitLocker 驅(qū)動器加密功能。
硬件受信任的平臺模塊 (TPM)*	TPM 版本 1.2
BIOS 配置	與受信任計算組 (TCG) 兼容的 BIOS。 必須將 BIOS 設(shè)置為首先從硬盤啟動，而不是從 USB 或 CD 驅(qū)動器啟動。 在啟動過程中，BIOS 必須能夠從 USB 閃存驅(qū)動器讀取內(nèi)容。
文件系統(tǒng)	兩個 NTFS 磁盤分區(qū)，一個用于系統(tǒng)卷，另一個用于操作系統(tǒng)卷。系統(tǒng)卷分區(qū)大小必須至少為 1.5GB 并被設(shè)置為活動分區(qū)。

*TPM 并非 BitLocker 所必需；但只有具有 TPM 的計算機才可以提供預(yù)啟動系統(tǒng)完整性驗證的附加安全性。

為何需要兩個分區(qū)？為何必須具備如此大的系統(tǒng)卷？

之所以運行 BitLocker 需要兩個分區(qū)，是因為預(yù)啟動身份驗證和系統(tǒng)完整性驗證都必須在加密的操作系統(tǒng)卷外執(zhí)行。此配置有助于保護操作系統(tǒng)和加密卷中的信息。非加密系統(tǒng)卷的大小應(yīng)該至少為 1.5千兆字節(jié) (GB)，這樣才有足夠的空間來保存啟動文件、Windows 預(yù)執(zhí)行環(huán)境 (WinPE) 和可能專用于設(shè)置或升級程序的其他文件。計算機制造商和企業(yè)客戶還可以在此卷中存儲系統(tǒng)工具或其他恢復(fù)工具。

BitLocker 支持哪些 TPM？

BitLocker 支持受信任的平臺模塊 (TPM) 版本 1.2。BitLocker 不支持舊的 TPM。與以前的版本相比，版本1.2 的 TPM 提供已提高的標準化，安全增強和已改進的功能。WindowsVista 就是利用這些 TPM 增強設(shè)計的。

如何判斷我的計算機是否具有 TPM 版本 1.2？

在 BitLocker 控制面板中，單擊“打開 BitLocker”鏈接。如果收到以下錯誤消息，則說明您的計算機上要么沒有 TPM 版本1.2，要么 BIOS 與 BitLocker 或 TPM 不兼容：

找不到 TPM。TPM 是打開 BitLocker 所必需的。如果您的計算機上具有 TPM，則與計算機制造商聯(lián)系，了解如何設(shè)置與 BitLocker 兼容的 BIOS。

如果收到此錯誤消息，則與計算機制造商聯(lián)系，驗證計算機上是否具有 TPM 版本1.2，或者更新 BIOS。

有些計算機可能具有 TPM，但在 WindowsVista TPM Microsoft 管理控制臺管理單元 (tpm.msc) 中不顯示。如果您認為您的計算機上有 TPM 版本 1.2，卻收到了此錯誤，請與計算機制造商聯(lián)系以升級 BIOS。此外，有些制造商提供的 BIOS 設(shè)置在默認情況下隱藏了 TPM，還有一些制造商提供的 TPM 在 BIOS 中啟用之前是不可用的。如果您相信 TPM 隱藏了在 BIOS 中，則參考制造商的文檔，該文檔中有關(guān)于如何取消隱藏和/或啟用 TPM 的詳細說明。

是否可以在沒有 TPM 版本 1.2 的計算機上使用 BitLocker？

可以，只要 BIOS 具有在啟動環(huán)境中從 USB 閃存驅(qū)動器讀取內(nèi)容的能力，就可以在沒有 TPM 版本 1.2 的計算機上啟用 BitLocker。這是因為在計算機的 TPM 或包含該計算機的 BitLocker 啟動密鑰的 USB 閃存驅(qū)動器首先發(fā)布 BitLocker 自己的卷主密鑰之前，BitLocker 不會解除鎖定受保護的卷。不過，沒有 TPM 的計算機無法利用 BitLocker 另外提供的系統(tǒng)完整性驗證。

若要確定在啟動過程中計算機是否可以從 USB 設(shè)備讀取內(nèi)容，請將 BitLocker 系統(tǒng)檢查用作 BitLocker 安裝過程的一部分。此系統(tǒng)檢查可執(zhí)行測試，確認計算機可以在適當?shù)臅r間從 USB 設(shè)備正確讀取內(nèi)容并符合 BitLocker 的其他要求。

若要在沒有 TPM 的計算機上啟用 BitLocker，請使用組策略啟用高級 BitLocker 用戶界面。啟用高級選項后，BitLocker 安裝向?qū)е袑@示非 TPM 設(shè)置。有關(guān)使用組策略啟用高級用戶選項的說明，請參閱 http://go.microsoft.com/fwlink/?LinkId=83223（可能為英文網(wǎng)頁）。

如何在我的計算機上獲取 TPM 的 BIOS 支持？

直接與計算機制造商聯(lián)系，請求與受信任計算機組 (TCG) 兼容的 BIOS。請求 BIOS 時詢問以下問題：

1. 計算機上是否存在 WindowsVista 可用的 BIOS？該 BIOS 是否通過了 WindowsVista 徽標測試？
2. 該 BIOS 是否與受信任計算組 (TCG) 兼容？
3. 該 BIOS 是否具有防止在計算機上安裝惡意 BIOS 的安全更新機制？

升級

哪些版本的 Windows Vista 包括 BitLocker？是否可以在基于 WindowsXP 的計算機上使用 BitLocker？

BitLocker 在 Windows Vista Ultimate 和 Windows Vista Enterprise 中都可用。BitLocker 在 WindowsXP 中不可用。

如何將基于 WindowsXP 的計算機升級到帶有用于 BitLocker 的必需磁盤配置的 Windows Vista？

您必須首先安裝 Windows Vista Ultimate 或 Windows Vista Enterprise，然后運行 BitLocker 驅(qū)動器準備工具。此工具自動為 BitLocker 配置磁盤分區(qū)布局。有關(guān) BitLocker 驅(qū)動器準備工具的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83261（可能為英文網(wǎng)頁）。

關(guān)閉 BitLocker 時禁用和解密之間有什么區(qū)別？

“解密”完全刪除 BitLocker 保護并且完全解密卷。

“禁用”保持數(shù)據(jù)的加密狀態(tài)，不過僅以明文密鑰的形式加密 BitLocker 卷主密鑰。明文密鑰是在磁盤卷上以非加密和非保護形式存儲的加密密鑰。禁用選項通過存儲此非加密密鑰，允許更改或升級計算機而無需花費解密和重新加密整個卷所需的時間和成本。完成更改并再次啟用 BitLocker 后，BitLocker 將加密密鑰重新封裝為作為升級一部分更改的測量組件的新值并擦除明文密鑰。

是否必須解密加密卷才能下載和安裝系統(tǒng)更新和升級？

任何系統(tǒng)升級（包括使用 Windows Anytime Upgrade 進行的升級）在安裝前都需要解密卷。各種非 Microsoft 更新在安裝前都要求禁用 BitLocker。來自 Microsoft Update 的更新不需要解密卷，也不需要禁用 BitLocker。

請參閱下表以確定在執(zhí)行安裝升級或更新前是否必須禁用 BitLocker 或解密卷。

操作	更新類型
解密	系統(tǒng)升級（包括 Windows Anytime Upgrade）
禁用	非 Microsoft 軟件更新，如： 計算機制造商固件更新 受信任的平臺模塊 (TPM) 固件更新 修改啟動組件的非 Microsoft 應(yīng)用程序更新

安裝升級/更新后，可以重新啟用 BitLocker。重新啟用 BitLocker 時，它會將加密密鑰重新封裝為作為更新一部分更改的測量組件的新值。如果在沒有解密/禁用 BitLocker 的情況下應(yīng)用了這些類型的升級/更新，則在重新啟動時計算機將進入恢復(fù)模式，需要提供恢復(fù)密鑰或密碼才能訪問計算機。

部署和管理

是否可以在企業(yè)環(huán)境中自動部署 BitLocker？

可以，您可以通過使用用于 BitLocker 和 TPM 管理的 Windows Management Instrumentation (WMI) 提供程序的腳本自動部署和配置 BitLocker。選擇實現(xiàn)腳本的方式取決于環(huán)境。此外，還可以使用 BitLocker 命令行工具 manage-bde.wsf 本地或遠程配置 BitLocker。有關(guān)編寫使用 BitLocker WMI 提供程序的腳本的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=80600（可能為英文網(wǎng)頁）。

除加密操作系統(tǒng)卷外，BitLocker 是否還加密其他卷？

BitLocker 提供一個用戶界面，用于加密整個操作系統(tǒng)卷，包括 Windows 系統(tǒng)文件和休眠文件。您可以有選擇地使用 WindowsVista 中的加密文件系統(tǒng) (EFS) 來保護其他卷。默認情況下，EFS 密鑰存儲在操作系統(tǒng)卷中。因此，如果為操作系統(tǒng)卷啟用 BitLocker，則由 EFS 保護的所有數(shù)據(jù)同時都在 BitLocker 的間接保護之下。此外，高級用戶還可以使用命令行接口 (manage-bde.wsf) 來加密本地數(shù)據(jù)卷。

在基于 Windows Vista 的計算機上啟用 BitLocker 時，是否會給性能帶來顯著影響？

不會，在正常使用時，BitLocker 對計算機性能沒有顯著影響；它一般僅利用百分之幾的性能開銷。

啟用 BitLocker 時，初始加密大約需要多長時間？

在大多數(shù)情況下，BitLocker 加密以大約每分鐘 1 千兆字節(jié) (GB) 的速度進行。加密在后臺進行，不影響系統(tǒng)可用性，您可以繼續(xù)工作。

在加密或解密過程中關(guān)閉計算機會發(fā)生什么情況？

關(guān)閉計算機可中斷 BitLocker 加密和解密過程，在下次啟動 Windows 時它將從中斷處恢復(fù)。即使突然停電也是如此。

在 BitLocker 執(zhí)行轉(zhuǎn)換操作時，為何顯示卷中的大多數(shù)可用空間被占用？

BitLocker 在加密卷時無法忽略可用空間，因為未分配的磁盤空間通常包含用戶認為已刪除的殘留數(shù)據(jù)。然而，加密卷上的可用空間會使加密過程變得效率低下。為了解決此問題，BitLocker 首先創(chuàng)建一個占用大多數(shù)可用磁盤空間的大型占位符文件，然后刪除屬于占位符文件的磁盤扇區(qū)。在此過程中，BitLocker 為短期系統(tǒng)需要保留 6 千兆字節(jié) (GB) 的可用空間。所有其他空間（包括占位符文件未占用的 6 GB 可用空間）都將被加密。暫停卷加密時或者卷加密完成時，系統(tǒng)將刪除占位符文件，從而使可用空間量恢復(fù)正常。

有關(guān)此過程的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83240（可能為英文網(wǎng)頁）。

BitLocker 在讀寫數(shù)據(jù)時是否同時加密和解密整個卷？

不，BitLocker 在讀寫數(shù)據(jù)時不加密和解密整個卷。系統(tǒng)讀操作請求 BitLocker 保護卷中的加密扇區(qū)時，僅解密這些扇區(qū)。對于要寫入卷的塊，系統(tǒng)在寫入物理磁盤前，需要對其進行加密。在啟用 BitLocker 的卷上，決不會存儲任何未加密的數(shù)據(jù)。

如何防止網(wǎng)絡(luò)上的用戶在未加密的卷中存儲數(shù)據(jù)？

如果擔心用戶可能在無意中在未加密的卷中存儲數(shù)據(jù)，則可使用訪問控制列表 (ACL) 和組策略為該卷配置訪問控制或者隱藏該驅(qū)動器號。

有關(guān)如何隱藏驅(qū)動器號的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83219（可能為英文網(wǎng)頁）。

哪些系統(tǒng)更改將導(dǎo)致計算機上的完整性檢查失??？

以下類型的系統(tǒng)更改可導(dǎo)致完整性檢查失敗，并通過阻止 TPM 發(fā)布 BitLocker 密鑰解密受保護的卷：

• 將 BitLocker 保護的驅(qū)動器移動到新的計算機上。
• 安裝具有新的 TPM 的新主板。
• 關(guān)閉、禁用或清除 TPM。
• 更改 BIOS、主啟動記錄 (MBR)、啟動扇區(qū)、啟動管理器或者其他早期啟動組件或啟動配置數(shù)據(jù)。

此功能是設(shè)計使然；BitLocker 將對任何早期啟動組件的未授權(quán)修改視為潛在攻擊，從而將系統(tǒng)轉(zhuǎn)為恢復(fù)模式。授權(quán)管理員可以通過預(yù)先禁用 BitLocker 更新啟動組件而不進入恢復(fù)模式。

啟用 BitLocker 時是否可以在同一臺計算機上替換硬盤？

可以，在啟用 BitLocker 時可以同一臺計算機上替換多個硬盤，唯一的條件是，這些硬盤是在這同一臺計算機啟用 BitLocker 的。

將硬盤插入其他計算機時是否可以訪問 BitLocker 加密的卷？

如果其他計算機運行的是 Windows Vista Ultimate 或 Windows Vista Enterprise，則可從備選計算機的 BitLocker 控制面板項解除鎖定加密的硬盤。

注意
當損壞的計算機的硬盤上包含 BitLocker 保護的卷時，此為恢復(fù)信息的快速而簡捷的方式。

在備選計算機上解除鎖定啟用 BitLocker 的硬盤時，恢復(fù)將是唯一可用的身份驗證操作。BitLocker 控制面板項中顯示硬盤時，同時顯示一個使用恢復(fù)密碼或恢復(fù)密鑰解除鎖定卷的選項。

是否可以在啟用 BitLocker 的計算機上配置 Windows Vista 和另一個操作系統(tǒng)的雙重啟動？

是的，可以配置 Windows Vista Ultimate 或 Windows Vista Enterprise 的啟用 BitLocker 的實例與另一個操作系統(tǒng)的雙重啟動。有關(guān)如何創(chuàng)建和配置雙重啟動系統(tǒng)的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83222（可能為英文網(wǎng)頁）。

密鑰管理

TPM 密碼、恢復(fù)密碼、恢復(fù)密鑰、PIN 和啟動密鑰之間有什么區(qū)別？

BitLocker 可以生成和使用多個密鑰。有些密鑰是必需的，有些是可以根據(jù)所需安全級別選擇使用的可選保護程序。

TPM 所有者密碼

在具有 TPM 版本1.2 的計算機上啟用 BitLocker 前，必須初始化 TPM。初始化過程將生成一個 TPM 所有者密碼，它是一個在 TPM 上設(shè)置的密碼。若要更改 TPM 的狀態(tài)（如啟用或禁用），可以使用 TPM 所有者密碼。有關(guān) TPM 管理的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83223（可能為英文網(wǎng)頁）。

恢復(fù)密碼和恢復(fù)密鑰

設(shè)置 BitLocker 時，必須創(chuàng)建恢復(fù)密碼。如果計算機進入恢復(fù)狀態(tài)，則需要使用此恢復(fù)信息（恢復(fù)密碼或恢復(fù)密鑰）解除鎖定卷上的加密數(shù)據(jù)?？梢允褂靡韵赂袷街槐４婊謴?fù)密碼：

• 由分為 8 組的 48 位數(shù)字組成的數(shù)字密碼。在恢復(fù)過程中，需要使用鍵盤上的功能鍵將此密碼鍵入 BitLocker 恢復(fù)控制臺。
• 在 USB 閃存驅(qū)動器上以 BitLocker 恢復(fù)控制臺可以直接讀取的格式存儲為文件的恢復(fù)密鑰。在恢復(fù)過程中，需要插入此 USB 設(shè)備。

PIN

如果要得到 TPM 的較高級別的安全，則可使用個人標識號 (PIN) 配置 BitLocker。PIN 是用戶創(chuàng)建的值，每次計算機啟動或從休眠模式恢復(fù)時都必須輸入該值。PIN 可包括 4 到 20 位字符，內(nèi)部存儲為所輸入 Unicode 字符的 256 位哈希。此值永遠不會以任何形式或任何原因顯示給用戶。PIN 用于提供與 TPM 身份驗證配合使用的另一種身份驗證方法。

啟動密鑰

配置啟動密鑰是利用 TPM 啟用較高級別安全的另一種方法。啟動密鑰是一種存儲在 USB 閃存驅(qū)動器上的密鑰，每次計算機啟動時都必須插入該 USB 閃存驅(qū)動器。啟動密鑰用于提供與 TPM 身份驗證配合使用的另一種身份驗證方法。

要點
在非 TPM 的計算機上，必須配置啟動密鑰才能使用 BitLocker。

有關(guān) BitLocker 密鑰的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83225（可能為英文網(wǎng)頁）。

如何存儲恢復(fù)密碼？

可以將恢復(fù)密碼保存到文件夾中，保存到一個或多個 USB 設(shè)備中，或者打印出來。此外，域管理員還可以通過配置組策略自動生成恢復(fù)密碼并將其透明地保存到 Active Directory 域服務(wù) (ADDS) 中。有關(guān)如何在 ADDS 中存儲恢復(fù)信息的詳細信息，請參閱 (http://go.microsoft.com/fwlink/?LinkId=67438)（可能為英文網(wǎng)頁）。

如果僅啟用 TPM 身份驗證方法，在不解密驅(qū)動器的情況下，是否可以添加其他身份驗證方法？

是的?？梢允褂?manage-bde.wsf 命令行工具執(zhí)行此操作。例如，如果 BitLocker 是僅利用 TPM 身份驗證啟用的，您希望添加 PIN 身份驗證，則可使用以下命令：

cscript %systemroot%\system32\manage-bde.wsf –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

可以使用以下命令查看 manage-bde.wsf 的可用參數(shù)列表：

cscript %systemroot%\system32\manage-bde.wsf -?

如果丟失了恢復(fù)信息，是否無法恢復(fù) BitLocker 保護的數(shù)據(jù)？

BitLocker 設(shè)計的目的在于不通過所需的身份驗證就無法恢復(fù)加密的卷。處于恢復(fù)狀態(tài)時，用戶需要提供恢復(fù)密碼或恢復(fù)密鑰才能解除鎖定加密的卷。因此，我們極力建議將恢復(fù)信息存儲在 Active Directory 域服務(wù)中或其他安全位置。

但是，在解除計算機授權(quán)、銷售計算機或重新部署計算機時，這仍然是一種頗有價值的功能。此時，可以將計算機轉(zhuǎn)為恢復(fù)狀態(tài)，這樣只有恢復(fù)信息所有者才可以訪問加密的卷的內(nèi)容。

用作啟動密鑰的 USB 閃存驅(qū)動器是否還可用于存儲恢復(fù)密鑰？

使用一個 USB 閃存驅(qū)動器同時存儲兩個密鑰，雖然在技術(shù)上可能實現(xiàn)，但這不是最佳做法。如果包含啟動密鑰的 USB 閃存驅(qū)動器丟失或被盜，則同時失去了訪問恢復(fù)密鑰的權(quán)限。此外，插入此密鑰時，即使更改了 TPM 測量的文件，也可以自動從恢復(fù)密鑰啟動計算機，這將繞開 TPM 的系統(tǒng)完整性檢查。

是否可以在多個 USB 閃存驅(qū)動器上保存啟動密鑰？

是的，可以在多個 USB 閃存驅(qū)動器上保存計算機的啟動密鑰。

是否可以在同一個 USB 閃存驅(qū)動器上保存多個（不同的）啟動密鑰？

是的，可以在同一個 USB 閃存驅(qū)動器上為不同計算機保存 BitLocker 啟動密鑰。

是否可以為同一臺計算機生成多個（不同的）啟動密鑰？

通過編寫腳本可以為同一臺計算機生成不同的啟動密鑰。但是，對于具有 TPM 的計算機，創(chuàng)建不同啟動密鑰后，BitLocker 將無法利用 TPM 的系統(tǒng)完整性檢查功能。

是否可以生成多個 PIN 組合？

從技術(shù)角度看，生成多個 PIN 是可能的，但是我們既不支持也不提倡這樣做。

BitLocker 中使用什么加密密鑰？它們是如何一起工作的？

利用全卷加密密鑰加密原始數(shù)據(jù)，然后利用卷主密鑰加密全卷加密密鑰。進而根據(jù)身份驗證（即密鑰保護程序或 TPM）和恢復(fù)方案的不同，利用多種可能的方法之一對卷主密鑰進行加密。下表詳細介紹如何加密卷主密鑰。

卷主密鑰加密方法

加密方法	描述
TPM 存儲根密鑰 + 啟動密鑰	與啟動密鑰相結(jié)合的內(nèi)部密鑰的 RSA 加密 使用 128 位或 256 位高級加密標準 (AES) 密鑰加密卷主密鑰
TPM 存儲根密鑰 + PIN	利用 RSA 加密卷主密鑰
僅 TPM 存儲根密鑰	利用 RSA 加密卷主密鑰
僅啟動密鑰	利用 AES 加密卷主密鑰
恢復(fù)密鑰	利用 AES 加密卷主密鑰
恢復(fù)密碼 + salt	使用計算昂貴的算法拉伸派生的密鑰。 利用 AES 加密卷主密鑰
明文密鑰	利用 AES 密鑰加密卷主密鑰；禁用 BitLocker 時，以非加密和非保護方式存儲 AES 密鑰。

加密密鑰存儲在何處？

全卷加密密鑰由卷主密鑰加密，存儲在加密的卷中。卷主密鑰由相應(yīng)的密鑰保護程序加密，存儲在加密的卷中。用于加密卷主密鑰的明文密鑰也隨卷主密鑰一起存儲在加密的卷中。

下表詳細介紹在何處存儲 BitLocker 加密密鑰以及使用哪個密鑰加密其他密鑰。

BitLocker 密鑰存儲位置和加密數(shù)據(jù)

密鑰	加密	存儲
全卷加密密鑰	卷主密鑰	加密卷
卷主密鑰	密鑰保護程序，包括明文密鑰	加密卷
明文密鑰	不加密	加密卷

此存儲過程可確保始終以加密和受保護的方式存儲卷主密鑰，除非禁用 BitLocker。出于冗余考慮，同時將這些密鑰保存到卷上的兩個附加位置。通過啟動管理器可以讀取和處理這些密鑰。

為何必須使用功能鍵輸入 PIN 或 48 個字符的恢復(fù)密碼？

F1 到 F10 鍵是所有語言中和所有計算機上的預(yù)操作系統(tǒng)環(huán)境中可用的通用映射掃描碼。數(shù)字鍵 0 到 9 并非在所有鍵盤上的預(yù)操作系統(tǒng)環(huán)境中可用。

BitLocker 如何防止攻擊者發(fā)現(xiàn) PIN？

攻擊者通過執(zhí)行暴力攻擊可能發(fā)現(xiàn) PIN。在發(fā)現(xiàn)正確的 PIN 組合之前，當攻擊者使用自動化工具嘗試不同的 PIN 組合時會發(fā)生暴力攻擊。對于 BitLocker 保護的計算機，這種類型的攻擊（又稱為字典攻擊）需要攻擊者具有對計算機的物理訪問權(quán)限。

TPM 具有檢測和應(yīng)對這些類型攻擊的內(nèi)置功能。因為不同制造商的 TPM 可能支持不同的 PIN 和攻擊緩解機制，所以請與您的 TPM 制造商聯(lián)系以確定計算機的 TPM 是如何減少 PIN 暴力攻擊的。

確定 TPM 的制造商后，與制造商聯(lián)系以收集 TPM 的供應(yīng)商特定的信息。大多數(shù)制造商使用 PIN 身份驗證的失敗計數(shù)按指數(shù)增加 PIN 接口的鎖定時間。但是，對于在何時和如何減少或重置失敗計數(shù)器，制造商各有不同的策略。

如何評估 TPM 的字典攻擊緩解機制？

向 TPM 制造商詢問字典攻擊緩解機制的設(shè)計時可以使用以下問題：

• 鎖定前允許多少次失敗的授權(quán)嘗試？
• 基于失敗的嘗試次數(shù)及其他相關(guān)參數(shù)確定鎖定的持續(xù)時間的算法是什么？
• 什么操作可以減少或重置失敗計數(shù)和鎖定持續(xù)時間？

是否可以利用組策略管理 PIN 的長度和復(fù)雜性？

無法使用組策略實施 BitLocker PIN 規(guī)則。但是，可以使用組策略要求或禁止通過使用 BitLocker 安裝向?qū)?chuàng)建 PIN。有關(guān)安全組策略設(shè)置的詳細信息，請參閱 Windows Vista 安全指南，網(wǎng)址是 http://go.microsoft.com/fwlink/?LinkId=82582（可能為英文網(wǎng)頁）。

如何使用 PIN 和 TPM 派生卷主密鑰？

BitLocker 使用 SHA-256 哈希用戶指定的 PIN，并將前 160 位哈希用作授權(quán)數(shù)據(jù)發(fā)送到 TPM 以對卷主密鑰進行密封?，F(xiàn)在卷主密鑰同時受到 TPM 和 PIN 的保護。若要解封卷主密鑰，每次計算機重新啟動或從休眠中恢復(fù)時都需要輸入 PIN。

Active Directory 域服務(wù)

要點
有關(guān)如何為 BitLocker 配置 Active Directory 域服務(wù) (ADDS) 的詳細說明，請參閱 http://go.microsoft.com/fwlink/?LinkId=67438（可能為英文網(wǎng)頁）。

BitLocker 是否需要架構(gòu)擴展才能在 ADDS 中存儲恢復(fù)信息？

這取決于操作系統(tǒng)和 ADDS 實現(xiàn)。

Windows Server2003 Service Pack1 (SP1)

在 Windows Server2003 SP1 下的 ADDS 中，必須擴展架構(gòu)才能支持存儲 BitLocker 和 TPM 恢復(fù)和密碼信息。

Windows Server2008

在 Windows Server2008 下的 ADDS 中，架構(gòu)已經(jīng)包括所需的屬性（從 Beta3 版本開始）。

ADDS 中存儲什么類型的信息？

ADDS 中存儲三個主要信息片段。下表詳細介紹這些信息片段。

ADDS 中存儲的主要信息

存儲的信息	描述
TPM 所有者密碼的哈希	僅當擁有 TPM 且獲取所有權(quán)時才可能通過使用 WindowsVista 的組件（如 BitLocker 安裝向?qū)Щ?TPM MMC）存儲密碼哈希。
BitLocker 恢復(fù)密碼	允許在恢復(fù)事件中解除鎖定和訪問卷。
BitLocker 密鑰數(shù)據(jù)包	幫助修復(fù)硬盤故障，否則無法執(zhí)行標準恢復(fù)。若要恢復(fù)密鑰數(shù)據(jù)包，需要使用 BitLocker 修復(fù)工具。有關(guān)此工具的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=82584（可能為英文網(wǎng)頁）。

在從客戶端到 ADDS 傳輸恢復(fù)信息的時候，如何加密這些信息？

設(shè)置身份驗證標志來加密從 WindowsVista 客戶端到 ADDS 傳輸?shù)幕謴?fù)信息。BitLocker 設(shè)置的身份驗證標志有 ADS_SECURE_AUTHENTICATION、ADS_USE_SEALING 和 ADS_USE_SIGNING。有關(guān)這些標志的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=102659（可能為英文網(wǎng)頁）。

ADDS 中存儲的 BitLocker 恢復(fù)信息是否為純文本格式？

是的，在當前版本的 BitLocker 中，恢復(fù)信息是以非加密方式在 ADDS 中存儲的，但是這些條目具有僅限于域管理員訪問的訪問控制列表 (ACL)。

如果攻擊者獲取對 ADDS 的完全訪問權(quán)限，則會危及域中的所有計算機（包括 BitLocker 保護的計算機）。有關(guān)安全訪問 ADDS 的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=83266（可能為英文網(wǎng)頁）。

將計算機加入域之前在計算機上啟用 BitLocker 會怎么樣？

如果在應(yīng)用組策略以實施備份前在計算機上啟用 BitLocker，則在將計算機加入域或隨后應(yīng)用組策略時不會自動將恢復(fù)信息備份到 ADDS 中。

BitLocker Windows Management Instrumentation (WMI) 接口雖然允許管理員通過編寫腳本來備份或同步聯(lián)機客戶端的現(xiàn)有恢復(fù)信息，但 BitLocker 不會自動管理這一過程。

要點
對于企業(yè)中的新計算機而言，將計算機加入到域中應(yīng)該是第一步。將計算機加入到域后，將 BitLocker 恢復(fù)密鑰存儲到 ADDS 中就成了一個自動過程（在組策略中啟用時）。

如果在計算機上更改 BitLocker 恢復(fù)密碼并將新密碼存儲到 ADDS 中，則 ADDS 是否覆蓋舊密碼？

不。在設(shè)計上，不會從 ADDS 中刪除 BitLocker 恢復(fù)密碼條目；因此，可能看到每臺計算機的多個密碼。若要識別最新密碼，檢查對象上的日期即可。

安全

BitLocker 使用什么加密形式？該加密形式是否可配置？

BitLocker 使用的加密算法是可配置密鑰長度為 128 或 256 位的高級加密標準 (AES)，同時使用可選擴散器。默認的加密設(shè)置是 AES 128 + 擴散器，但是可以通過使用組策略配置選項。有關(guān) BitLocker 加密方法的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=80598（可能為英文網(wǎng)頁）。

擴散器是什么？

擴散器設(shè)計用于減少涉及通過更改加密信息將安全漏洞引入系統(tǒng)的可能攻擊類。利用擴散器，稍微改動某個扇區(qū)的加密密碼文本在解密數(shù)據(jù)時將影響整個扇區(qū)。此行為使目標攻擊更難于執(zhí)行。有關(guān) BitLocker 加密方法的詳細信息，請參閱 http://go.microsoft.com/fwlink/?LinkId=80598（可能為英文網(wǎng)頁）。

配置 BitLocker 的最安全方式是什么？

利用 TPM 版本1.2 和 TCG 兼容的 BIOS 實現(xiàn)同時使用啟動密鑰或 PIN 是在計算機上配置 BitLocker 的最安全方式。這些方法通過要求附加物理密鑰（包含已寫入計算機可讀密鑰的 USB 閃存驅(qū)動器）或用戶設(shè)置的 PIN 提供附加身份驗證。

BitLocker 對使用睡眠或休眠電源管理選項有什么含意？

BitLocker 的基本配置（包括 TPM 但不包括高級身份驗證）可為睡眠或休眠模式提供附加安全。如果將其配置為使用高級身份驗證模式（TPM+PIN、TPM+USB 或 USB），則 BitLocker 可為休眠模式提供更大的安全性。此方法更加安全，因為從休眠返回時需要 BitLocker 身份驗證。

TPM 的優(yōu)勢是什么？

大多數(shù)操作系統(tǒng)使用共享內(nèi)存空間并依靠操作系統(tǒng)來管理物理內(nèi)存。TPM 是一個硬件組件，它使用自己的內(nèi)部固件和邏輯電路處理指令，這樣就可以避開外部軟件漏洞。攻擊 TPM 需要物理訪問計算機。此外，攻擊硬件需要的工具和技能往往比攻擊軟件更加昂貴，而且使用起來通常也不很方便。加之因為每個 TPM 對于包含它的計算機而言都是唯一的，所以攻擊多臺 TPM 計算機將是一件困難且耗時的事情。

注意
利用附加身份驗證方法配置 BitLocker 可提供針對 TPM 硬件攻擊的更多保護。

Microsoft 是否為 BitLocker 實行安全認證？

目前，Microsoft 為 BitLocker 驅(qū)動器加密實行聯(lián)邦信息處理標準 (FIPS) 140-2 認證和一般準則評估。

其他問題

是否可以將 EFS 與 BitLocker 一起使用？

是的，可以使用加密文件系統(tǒng) (EFS) 加密 BitLocker 保護的卷中的文件。BitLocker 針對脫機攻擊為整個操作系統(tǒng)卷提供保護，而 EFS 可提供附加的基于用戶的文件級別加密，用于同一臺計算機的多個用戶之間的安全分隔。您還可以在 WindowsVista 中使用 EFS 加密 BitLocker 不加密的其他卷中的文件。EFS 的根機密默認情況下存儲在操作系統(tǒng)卷中；因此，如果為操作系統(tǒng)卷啟用 BitLocker，則 BitLocker 同時還間接保護著 EFS 在其他卷中加密的數(shù)據(jù)。

是否可以使用 BitLocker 運行內(nèi)核調(diào)試程序？

是的；但應(yīng)該在啟用 BitLocker 前打開調(diào)試程序。打開調(diào)試程序可確保在封裝到 TPM 時計算正確的測量，以便正常啟動計算機。如果需要在使用 BitLocker 時打開或關(guān)閉調(diào)試，為了避免計算機進入恢復(fù)模式，請確保首先禁用 BitLocker。

BitLocker 如何處理內(nèi)存轉(zhuǎn)儲？

WindowsVista 具有一個修改的存儲驅(qū)動程序堆棧，可以確保在啟用 BitLocker 時加密內(nèi)存轉(zhuǎn)儲。

BitLocker 是否支持使用智能卡進行預(yù)啟動身份驗證？

BitLocker 目前不支持使用智能卡進行預(yù)啟動身份驗證。BIOS 中的智能卡支持沒有單獨的行業(yè)標準可用，而且大多數(shù)計算機或者未實現(xiàn) BIOS 智能卡支持或者僅支持特定智能卡和讀卡器。由于缺乏標準化，支持它們非常困難。Microsoft 正評估作為預(yù)啟動身份驗證的一部分支持智能卡的選項。

是否可以使用非 Microsoft TPM 驅(qū)動程序？

Microsoft 不支持非 Microsoft TPM 驅(qū)動程序并且極力建議不要使用它們。如果使用非 Microsoft TPM 驅(qū)動程序，則 Microsoft 無法保證系統(tǒng)的安全性和穩(wěn)定性。

是否可以將應(yīng)用程序直接寫入 TPM 基本服務(wù)？

TPM 基本服務(wù) (TBS) 提供為中間軟件（如設(shè)計用于直接與 TPM 通信的受信任計算組軟件堆棧 (TSS) 實現(xiàn)）提供接口的很低級的應(yīng)用程序編程接口 (API)。希望在其應(yīng)用程序中使用 TPM 功能的軟件供應(yīng)商應(yīng)該使用 TSS 或其他應(yīng)用程序級別的 API，而不應(yīng)該直接使用 TPM 基本服務(wù)。某些 TSS 供應(yīng)商具有為使用 TBS 而編寫的多個軟件層版本。

如何確定 TPM 的制造商？

若要確定 TPM 制造商，請使用以下步驟。

確定 TPM 制造商的步驟

1. 單擊“開始”，在“開始搜索”框中鍵入 tpm.msc。

2. 主窗格的“TPM 制造商信息”下將列出 TPM 制造商。

注意
“TPM 制造商信息”列表中的“制造商名稱”就是 TPM 提供的信息，通常以縮寫形式表示（如 ATML 代表 Atmel、BRCM 代表 Broadcomm 或 IFX 代表 Infineon）。

用于管理或修改主啟動記錄的其他工具是否可以與 BitLocker 一起工作？

考慮到安全性、可靠性和產(chǎn)品支持等諸多原因，我們不提倡這樣做。對主啟動記錄 (MBR) 的更改可更改安全環(huán)境，這會阻止計算機的正常啟動并使從損壞的 MBR 恢復(fù)變得復(fù)雜化。如果不是 WindowsVista 對 MBR 執(zhí)行更改，則所做的任何更改都會強制計算機進入恢復(fù)模式。

BitLocker 是否可以在使用基于 EFI 的系統(tǒng)固件的計算機上工作？

Windows Server2008 中計劃實現(xiàn)對使用基于可擴展固件接口 (EFI) 的系統(tǒng)固件的計算機的支持，但是 WindowsVista 中目前不支持這類計算機。目前，少數(shù)支持 EFI 的客戶端計算機已投入生產(chǎn)；因此，Microsoft 開始關(guān)注現(xiàn)今大多數(shù)系統(tǒng)使用的傳統(tǒng) BIOS 支持。隨著可用 EFI 硬件的增多，Microsoft 可能重新評估 EFI 支持。

原文地址

查看更多相關(guān)文章