BitLocker 概述
适用对象:Windows Server 2012, Windows 8
本主题提供对 BitLocker 的高级概述,其中包含关于新功能和更改的功能、系统要求、实际应用程序和已弃用功能的列表。 它提供一个指向帮助你了解使用 BitLocker 的详细信息的其他内容的链接。
是否就是…
功能描述
BitLocker 驱动器加密是在 Windows Vista 内首次提供的操作系统的一项数据保护功能。 后来的操作系统版本不断改进 BitLocker 提供的安全性,从而允许操作系统为更多驱动器和设备提供 BitLocker 保护。 将 BitLocker 与操作系统集成后,可以消除由于计算机丢失、被盗或解除授权不当而导致的数据被盗或公开的威胁。 Manage-bde 是也可用来在 BitLocker 相关的计算机上执行任务的命令行工具。 在服务器上安装 BitLocker 可选组件时,你还需要安装增强存储功能,该功能用于支持硬件加密的驱动器。 在服务器上,可以安装的另一项 BitLocker 功能是 BitLocker 网络解锁。 运行 Windows RT、Windows RT 8.1 或 Windows 8.1 的计算机可以使用设备加密(BitLocker 的自定义版本)进行保护。
BitLocker 在与受信任的平台模块 (TPM) 版本 1.2 或更高版本一起使用时可提供最有力的保护。 TPM 是计算机制造商在很多较新的计算机上安装的硬件组件。 它与 BitLocker 结合使用可以帮助保护用户数据,并且确保当系统脱机时,计算机不会被篡改。
在没有 TPM 版本 1.2 或更高版本的计算机上,仍然可以使用 BitLocker 加密 Windows 操作系统驱动器。 但是,实现此功能需要用户插入 USB 启动密钥启动计算机或从休眠中恢复。 在 Windows 8 中,使用操作系统卷密码是保护没有 TPM 的计算机上的操作系统卷的另一个选项。 两个选项都不能提供带有 TPM 的 BitLocker 能够提供的预启动系统完整性验证。
除了 TPM 之外,BitLocker 还提供锁定正常启动过程的选项,直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动设备(如 USB 闪存驱动器)。 这些附加的安全措施提供多重身份验证,保证在提供正确的 PIN 或启动密钥之前,计算机不会启动或从休眠中恢复。
实际的应用程序
已丢失或被盗计算机上的数据容易受到未经授权的访问,方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。 BitLocker 通过增强对文件和系统的保护来帮助减少未经授权的数据访问。 当受 BitLocker 保护的计算机被解除授权或回收时,BitLocker 还可以帮助使数据无法访问。
远程服务器管理工具中还有两个工具可用来管理 BitLocker。
BitLocker 恢复密码查看器。 BitLocker 恢复密码查看器让你可以查找和查看已备份到 Active Directory 域服务 (AD DS) 的 BitLocker 驱动器加密恢复密码。 你可以使用此工具来帮助恢复在已使用 BitLocker 加密的驱动器上存储的数据。 BitLocker 恢复密码查看器工具是 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元的扩展。
通过使用此工具,你可以查看计算机对象的**“属性”**对话框及相应的 BitLocker 恢复密码。 此外,还可以右键单击域容器,然后在 Active Directory 林的所有域中搜索 BitLocker 恢复密码。 若要查看恢复密码,你必须是域管理员或者必须具有域管理员委派的权限。
BitLocker 驱动器加密工具。 BitLocker 驱动器加密工具包括命令行工具 manage-bde 和 repair-bde,以及用于 Windows PowerShell 的 BitLocker cmdlet。 manage-bde 和 BitLocker cmdlet 都可用来执行任何可通过 BitLocker 控制面板完成的任务,它们适合用于自动部署和其他脚本场景。 当受 BitLocker 保护的驱动器无法通过常规方式或无法使用恢复控制台解锁时,可使用 Repair-bde 来解决此类灾难恢复场景。
新功能和更改的功能
下表标识 Windows 8 和 Windows Server 2012 中 BitLocker 的新功能和更改的功能。 请参阅 BitLocker 中的新增功能。
特性/功能 |
Windows 7 |
Windows 8 和 Windows Server 2012 |
|---|---|---|
重置 BitLocker PIN 或密码 |
重置操作系统驱动器上的 BitLocker PIN 和固定或可移动数据驱动器上的密码必须具备管理员权限。 |
标准用户可重置操作系统驱动器、固定数据驱动器和可移动数据驱动器上的 BitLocker PIN 和密码。 |
磁盘加密 |
整个磁盘会在 BitLocker 启用时加密。 |
你可选择在 BitLocker 启用时加密整个磁盘还是仅加密磁盘上的已用空间。 当使用了磁盘空间时,磁盘就会加密。 |
硬件加密驱动器支持 |
BitLocker 本身不支持。 |
BitLocker 可支持由制造商预加密的带有 Windows 徽标的硬盘驱动器。 |
使用基于网络的密钥解锁从而提供双重身份验证 |
不可用。 必须在计算机上物理存在才可进行双重身份验证。 |
一种新型密钥保护程序,允许使用特殊的网络密钥来解锁和跳过受信任的有线网络中的计算机重启时出现的 PIN 输入提示。 此功能允许在非工作时间使用 PIN 从而对受保护的计算机进行远程维护,并且提供了双重身份验证,无需计算机端存在实际的 PIN,同时仍可确保当计算机未连接到受信任网络时要求用户进行身份验证。 |
对群集的保护 |
不可用。 |
Windows Server 2012 包含对 Windows 群集共享卷和 Windows 故障转移群集(在由启用了 Kerberos 密钥发现中心服务的Windows Server 2012 域控制器建立的域中运行)的 BitLocker 支持。 |
将 BitLocker 密钥保护程序链接 Active Directory 帐户 |
不可用。 |
允许将 BitLocker 密钥保护程序与 Active Directory 中的用户、组或计算机帐户相关联。 密钥保护程序可用于在用户使用正确凭据签名或使用正确凭据登录计算机时解锁受 BitLocker 保护的数据卷。 |
已删除或弃用的功能
已经不能在高级加密标准 (AES) 加密算法中添加“扩散器”选项。
“配置 TPM 验证配置文件”组策略设置在 Windows 8 和 Windows Server 2012 中已弃用。 它已替换为用于基于 BIOS 和基于 UEFI 的计算机的系统特定策略。
manage-bde 不再支持 –tpm 选项。
系统要求
BitLocker 的硬件要求如下:
计算机必须具有 TPM 1.2 或 TPM 2.0,BitLocker 才能使用受信任的平台模块 (TPM) 提供的系统完整性检查。 如果计算机没有 TPM,则必须将启动密钥保存在可移动设备(如 USB 闪存驱动器)上才能启用 BitLocker。
具有 TPM 的计算机还必须具有支持受信任计算组 (TCG) 的 BIOS 或 UEFI 固件。 该 BIOS 或 UEFI 固件会为预操作系统启动建立一个信任链,它必须包含对 TCG 指定的信任度量的静态根的支持。 没有 TPM 的计算机不需要支持 TCG 的固件。
系统 BIOS 或 UEFI 固件(对于 TPM 和非 TPM 计算机)必须支持 USB 大容量存储设备类别,包括读取预操作系统环境中 USB 闪存驱动器上的小文件。 有关 USB 的详细信息,请参阅 USB 网站上的“USB 大容量存储(仅批量)和大容量存储 UFI 命令规范”。
硬盘必须至少分区为两个驱动器:
操作系统驱动器(或启动驱动器),包含操作系统及其支持文件。 它必须采用 NTFS 文件系统格式。
系统驱动器,包含在固件准备好系统硬件之后加载 Windows 所需的文件。 不得为此驱动器启用 BitLocker。 为了使 BitLocker 正常使用,系统驱动器不得加密,且必须与操作系统驱动器区分开,并且在使用基于 UEFI 的固件的计算机上必须采用 FAT32 文件系统格式,而在使用 BIOS 固件的计算机上必须采用 NTFS 文件系统格式。 我们建议使用大小约 350 MB 的系统驱动器。 打开 BitLocker 后,驱动器上必须有 250 MB 的可用空间。
当在新计算机上安装时,Windows 将自动创建 BitLocker 所需的分区。