Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
Windows BitLocker 驱动器加密通过加密 Windows 操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker 使用 TPM(受信任的平台模块)帮助保护 Windows 操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker 还可以在没有 TPM 的情况下使用。若要在计算机上使用 BitLocker 而不使用 TPM,则必须通过使用组策略更改 BitLocker 安装向导的默认行为,或通过使用脚本配置 BitLocker。使用 BitLocker 而不使用 TPM 时,所需加密密钥存储在 USB 闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。
功能介绍
BitLocker 驱动器加密它是在 Windows Vista 中新增的一种数据保护功能,主要用于解决一个人们越来越关心的问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统 Windows 8.1 中也能使用此加密驱动。随同 Windows Server 2008 一同发布的有 BitLocker 实用程序,该程序能够通过加密逻辑驱动器来保护重要数据,还提供了系统启动完整性检查功能。
BitLocker 使用 TPM 帮助保护 Windows 操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
受信任的平台模块(TPM)是一个内置在计算机中的微芯片。它用于存储加密信息,如加密密钥。存储在 TPM 上的信息会更安全,避免受到外部软件攻击和物理盗窃。BitLocker 可加密存储于 Windows 操作系统卷上的所有数据,默认情况下,使用 TPM 以确保早期启动组件的完整性(组件用于启动进程的更早时期),以及“锁定”任何 BitLocker 保护卷,使之在即便计算机受到篡改也得到保护。
但是 BitLocker 有一项不足,打开加密盘后,再次进入就不需要密码了,那么如何才能使每次访问加密盘都要密码呢?这恐怕是微软后续改进的问题了,但是目前,我们可以在开始任务栏里输入“cmd”,然后以管理员身份运行,输入 manage-bde(空格)-lock(空格)X:,x 为加密磁盘盘符。这样就可以再次锁住加密盘了。
原理
通过加密整个 Windows 操作系统卷保护数据。
如果计算机安装了兼容 TPM,BitLocker 将使用 TPM 锁定保护数据的加密密钥。因此,在 TPM 已验证计算机的状态之后,才能访问这些密钥。加密整个卷可以保护所有数据,包括操作系统本身、Windows 注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由 TPM 锁定,因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。
在启动过程中,TPM 将释放密钥,该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证 Windows 启动过程的完整性。如果 TPM 检测到 Windows 安装已被篡改,则不会释放密钥。
默认情况下,BitLocker 安装向导配置为与 TPM 无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。
为了增强安全性,可以将 TPM 与用户输入的 PIN 或存储在 USB 闪存驱动器上的启动密钥组合使用。
在不带有兼容 TPM 的计算机上,BitLocker 可以提供加密,而不提供使用 TPM 锁定密钥的其他安全。在这种情况下,用户需要创建一个存储在 USB 闪存驱动器上的启动密钥。
