BitLocker 常见问题 (FAQ)
本主题为 IT 专业人员解答了有关 BitLocker 的使用、升级、部署和管理要求及其密钥管理策略的常见问题。
BitLocker 是一种数据保护功能,可以加密计算机上的硬盘驱动器,针对计算机上的数据盗窃或泄露提供强制保护,也可以加密丢失或被盗的可移动驱动器,并且在受 BitLocker 保护的计算机解除授权时提供更安全的数据删除,因为从加密驱动器中恢复删除的数据要比从非加密驱动器中恢复困难得多。
概述和要求
升级
部署和管理
密钥管理
BitLocker To Go
Active Directory 域服务 (AD DS)
安全
BitLocker 网络解锁
其他问题
概述和要求
BitLocker 如何进行工作?
BitLocker 如何与操作系统驱动器协同工作
通过加密操作系统驱动器上的所有用户文件和系统文件(包括交换文件和休眠文件),并检查早期启动组件和引导配置数据的完整性,BitLocker 可用于减少丢失或被盗的计算机上未经授权的数据访问。
BitLocker 如何与固定和可移动数据驱动器协同工作
你可以使用 BitLocker 加密数据驱动器的全部内容。你可以使用组策略要求在计算机将数据写入驱动器之前,先在驱动器上启用 BitLocker。可以使用各种解锁方法为数据驱动器配置 BitLocker,并且数据驱动器支持多种解锁方法。
BitLocker 是否支持多重身份验证?
是,BitLocker 支持针对操作系统驱动器的多重身份验证。如果你在具有 TPM 版本 1.2 或更高版本的计算机上启用 BitLocker,则除了可以使用 TPM 保护之外,还可以使用其他形式的身份验证。
BitLocker 硬件和软件的要求有哪些?
注意
BitLocker 不支持动态磁盘。 动态数据卷将不在控制面板中显示。 尽管无论是否是动态磁盘,操作系统卷都将始终显示在控制面板中,但如果它是动态磁盘,则 BitLocker 无法对其进行保护。
为什么需要两个分区?为什么系统驱动器必须要这么大?
之所以需要两个分区运行 BitLocker,是因为预启动身份验证和系统完整性验证必须出现在加密操作系统驱动器中的独立分区上。此配置有助于保护加密驱动器中的操作系统和信息。
BitLocker 支持哪个受信任的平台模块 (TPM)?
BitLocker 支持 TPM 版本 1.2 或更高版本。
如何判断计算机中是否有 TPM?
打开 TPM MMC 控制台 (tpm.msc) 并在“状态”标题下进行查找。
是否可以在没有 TPM 的操作系统驱动器上使用 BitLocker?
是,如果 BIOS 或 UEFI 固件能够在启动环境中从 U 盘读取数据,则可以在没有 TPM 版本 1.2 或更高版本的操作系统驱动器上启用 BitLocker。这是因为直到计算机的 TPM 或包含该计算机的 BitLocker 启动密钥的 U 盘首次发布 BitLocker 自己的卷主密钥后,BitLocker 才会解锁受保护的驱动器。但是,没有 TPM 的计算机将不能使用也由 BitLocker 提供的系统完整性验证。
若要帮助确定计算机在启动过程中是否能够从 USB 设备读取数据,请将 BitLocker 系统检查用作 BitLocker 安装过程的一部分。此系统检查会执行测试以确认计算机在适当的时间是否能够从 USB 设备正确地读取数据,并验证计算机是否满足其他 BitLocker 要求。
如何在我的计算机上获取对 TPM 的 BIOS 支持?
联系计算机制造商以请求满足以下要求的受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 启动固件:
它与客户端计算机的 TCG 标准兼容。
它有安全的更新机制来帮助防止在电脑上安装恶意 BIOS 或启动固件。
使用 BitLocker 需要哪些凭据?
若要在操作系统和固定数据驱动器上打开、关闭或更改 BitLocker 的配置,需要具有本地管理员组中的成员资格。标准用户可以打开、关闭或更改可移动数据驱动器上的 BitLocker 的配置。
对于即将受 BitLocker 保护的计算机,建议的启动顺序是什么?
你应该对计算机的启动选项进行配置以便首先启动硬盘驱动器,然后才启动任何其他驱动器(如 CD/DVD 驱动器或 USB 驱动器)。如果不是首先启动硬盘而且你通常是从硬盘中进行启动,则在启动过程中发现可移动媒体时,可能检测到或显示出启动顺序更改。启动顺序通常影响 BitLocker 验证的系统度量,并且启动顺序的更改将导致系统提示你需要 BitLocker 恢复密钥。出于相同的原因,如果你有一台具有扩展坞的笔记本电脑,不管是在插接时还是在未插接时,都要确保首先启动的是硬盘驱动器。
升级
是否可以在启用 BitLocker 的情况下将 Windows 7 或 Windows 8 计算机升级到 Windows 10?
是。打开“BitLocker 驱动器加密”控制面板,单击“管理 BitLocker”,然后单击“暂停”。暂停保护不会解密驱动器;它禁用 BitLocker 所使用的身份验证机制,并在驱动器上使用一个明文密钥来启用访问。在升级完成后,打开 Windows 资源管理器,右键单击驱动器,然后单击“恢复保护”。这会重新应用 BitLocker 身份验证方法,并删除明文密钥。
暂停和解密 BitLocker 之间有什么区别?
“解密”将完全删除 BitLocker 保护并完全解密驱动器。
“暂停”****将使数据保持为加密状态并且使用明文密钥加密 BitLocker 卷主密钥。明文密钥是一种加密密钥,存储在磁盘驱动器上,并且处于未加密和未保护状态。通过以未加密的形式存储此密钥,“暂停”选项允许在没有解密和重新加密整个驱动器的时间和成本的情况下对计算机进行更改或升级。在进行更改并且再次启用 BitLocker 之后,BitLocker 将对加密密钥进行重新封装使其为测量的组件(已更改为升级的一部分)的新值;卷主密钥将更改;保护程序也将更新以进行匹配;明文密钥将清除。
如果要下载并安装系统更新和升级,是否需要对受 BitLocker 保护的驱动器进行解密?
下表列出了在安装升级或更新前需要进行的操作。
| 更新类型 | 操作 |
|---|---|
Windows Anytime Upgrade |
解密 |
升级到 Windows 10 |
暂停 |
非 Microsoft 软件更新,例如:
|
暂停 |
从 Windows 更新中进行的软件和操作系统更新 |
无 |
注意
如果你已暂停 BitLocker,你可以在安装升级或更新后恢复 BitLocker 保护。在恢复保护后,BitLocker 将对加密密钥进行重新封装使其为测量的组件(已更改为升级或更新的一部分)的新值。如果在没有暂停 BitLocker 情况下应用这些升级或更新类型,计算机将在重新启动时进入恢复模式,并且将需要恢复密钥或密码才能访问计算机。
部署和管理
在企业环境中是否可以自动化 BitLocker 部署?
是,使用 WMI 或 Windows PowerShell 脚本,可以自动化 BitLocker 和 TPM 的部署和配置。如何选择实现脚本取决于你的环境。你还可以使用 Manage-bde.exe 对 BitLocker 进行本地或远程配置。有关编写使用 BitLocker WMI 提供程序的脚本的详细信息,请参阅 BitLocker 驱动器加密提供程序。 有关结合使用 Windows PowerShell Cmdlet 和 BitLocker 驱动器加密的详细信息,请参阅 Windows PowerShell 中的 BitLocker Cmdlet。
BitLocker 加密的内容是否可以不仅仅是操作系统驱动器?
是。
在计算机上启用 BitLocker 是否会对性能产生明显的影响?
通常情况下,它将占用个位数百分比的性能开销。
启用 BitLocker 时,初始加密将需要多久?
尽管 BitLocker 加密在后台进行(同时你在继续工作),而且系统仍可使用,但是加密时间也会因所加密的驱动器的类型、驱动器的大小和驱动器的速度而异。如果你要对非常大的驱动器进行加密,你可能需要将加密设置在你不使用该驱动器的时候进行。
当启用 BitLocker 时,你还可以选择 BitLocker 是否应加密整个驱动器或仅加密驱动器的已使用空间。在新的硬盘驱动器上,仅加密已使用空间可以比加密整个驱动器快得多。当选择此加密选项时,BitLocker 会在保存数据时自动加密数据,确保无任何数据以未加密的形式存储。
如果在加密或解密期间关闭计算机会出现什么情况?
如果计算机处于关闭状态,或进入休眠状态,BitLocker 加密和解密过程将在下次 Windows 启动时从其停止的位置继续进行。即使电源突然断开,也是如此。
BitLocker 对整个驱动器的加密和解密与读取和写入数据是否同时进行?
不,BitLocker 在读取和写入数据时不会加密和解密整个驱动器。只有在系统读取操作请求时,受 BitLocker 保护的驱动器中的加密扇区才会解密。在对写入驱动器的程序块进行加密后,系统才会将其写入物理磁盘。迄今为止,无任何未加密的数据存储在受 BitLocker 保护的驱动器上。
如何阻止网络上的用户将数据存储在未加密的驱动器上?
你可以更改组策略的设置以要求应在数据驱动器受 BitLocker 保护后,受 BitLocker 保护的计算机才可以对其写入数据。有关详细信息,请参阅 BitLocker 组策略设置。
当启用这些策略设置时,受 BitLocker 保护的操作系统会将不受 BitLocker 保护的任何数据驱动器装载为只读。
哪些系统更改将导致对操作系统驱动器的完整性检查失败?
以下类型的系统更改可能导致完整性检查失败并且可能阻止 TPM 发布 BitLocker 密钥来加密受保护的操作系统驱动器:
将 BitLocker 保护的驱动器移动到新的计算机。
安装具有新 TPM 的新主板。
关闭、禁用或清除 TPM。
更改任何启动配置设置。
更改 BIOS、UEFI 固件、主启动记录、启动扇区、启动管理器、ROM 选项,或其他早期启动组件或引导配置数据。
是什么原因导致 BitLocker 在试图启动操作系统驱动器时启动到恢复模式?
有多种原因可以使 BitLocker 启动到恢复模式,因为 BitLocker 旨在保护计算机免遭大量的攻击。在 BitLocker 中,恢复包括对卷主密钥的副本进行加密(使用存储于 U 盘中的恢复密钥或衍生于恢复密码的加密密钥)。由于 TPM 不参与任何恢复方案,因此即便其未通过启动组件验证、出现故障或被删除,仍可以恢复。
如果在操作系统驱动器上启用了 BitLocker,是否可以在同一台计算机上交换硬盘?
是,如果已启用 BitLocker,你可以在同一台计算机上交换多个硬盘,但前提是硬盘在同一台计算机上已受到 BitLocker 的保护。TPM 和操作系统驱动器只有唯一的 BitLocker 密钥,因此如果你想要准备备份操作系统或数据驱动器以便在磁盘失败的情况下使用,则需要确保它们与正确的 TPM 相匹配。你也可以为不同的操作系统配置不同的硬盘驱动器,然后使用不同的身份验证方法(如仅带有 TPM 和带有 TPM + PIN的身份验证方法)在每个硬盘驱动器上启用 BitLocker,且不存在任何冲突。
如果在另一台计算机中插入硬盘,是否可以访问受 BitLocker 保护的驱动器?
是,如果驱动器为数据驱动器,你可以从 “BitLocker 驱动器加密”控制面板项目中对其进行解锁,就像通过使用密码或智能卡解锁任何其他数据驱动器一样。如果配置数据驱动器仅仅是为了自动解锁,你将需要通过使用恢复密钥对其进行解锁。可以通过数据恢复代理(如果已配置了一个)解锁已加密的硬盘,也可以通过使用恢复密钥对其进行解锁。
为什么当右键单击驱动器时“启用 BitLocker”不可用?
有些驱动器无法使用 BitLocker 进行加密。如果驱动器为动态磁盘,或驱动器被指定为系统分区,无法加密驱动器的原因包括没有充足的磁盘大小、不兼容的文件系统。默认情况下,系统驱动器(或系统分区)不会显示。但是,如果该驱动器在自定义的安装进程安装操作系统后未被创建为隐藏的驱动器,它可能显示出来,但不能加密。
BitLocker 支持哪些类型的磁盘配置?
可以使用 BitLocker 对任意数量的内部固定数据驱动器进行保护。在某些基于 ATA 和 SATA 的版本上,直接连接的存储设备也受支持。
密钥管理
TPM 所有者密码、恢复密码、恢复密钥、密码、PIN、增强的 PIN 和启动密钥之间有什么区别?
BitLocker 可生成并使用多个密钥。有些密钥是必需保护程序,而有些是可以选择使用的可选保护程序,取决于你所需要的安全级别。
如何才能存储恢复密码和恢复密钥?
操作系统驱动器或固定数据驱动器的恢复密码和恢复密钥可以保存到文件夹、保存到一个或多个 USB 设备、保存到 Microsoft 帐户,也可以打印。
对于可移动数据驱动器,恢复密码和恢复密钥可以保存到文件夹、保存到 Microsoft 帐户,也可以打印。默认情况下,无法将可移动驱动器的恢复密钥存储在可移动驱动器上。
此外,域管理员可以配置组策略来自动生成恢复密码并将其存储在任何受 BitLocker 保护的驱动器的 Active Directory 域服务 (AD DS) 中。
如果仅启用了 TPM 身份验证方法,在不解密驱动器的情况下,是否可以添加另外一种身份验证方法?
你可以使用 Manage-bde.exe 命令行工具,将仅 TPM 身份验证模式替换为多重身份验证模式。例如,如果仅使用 TPM 身份验证启用 BitLocker,并且你想要添加 PIN 身份验证,请从提升的命令提示符使用以下命令,将 <4-20 digit numeric PIN> 替换为你想要使用的数字 PIN:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
如果恢复信息丢失,受 BitLocker 保护的数据是否不可恢复?
BitLocker 的目的在于如果没有必需的身份验证,则无法恢复加密的驱动器。当处于恢复模式时,用户需要恢复密码或恢复密钥,以解锁加密的驱动器。
要点
将恢复信息和 Microsoft 帐户一起存储于 AD DS 中,或其他安全的位置。
用作启动密钥的 U 盘是否也可以用于存储恢复密钥?
尽管这在技术上可行,但使用一个 U 盘存储这两个密钥不是最佳做法。如果包含启动密钥的 U 盘丢失或被盗,你也无法访问恢复密钥。此外,插入此密钥将导致计算机从恢复密钥自动启动,(即使 TPM 测量的文件已发生更改),这将绕过 TPM 的系统完整性检查。
是否可以在多个 U 盘上保存启动密钥?
是,可以在多个 U 盘上保存一台计算机的启动密钥。右键单击受 BitLocker 保护的驱动器并选择“管理 BitLocker”将提供给你一些选项,用于根据需要复制恢复密钥。
是否可以在相同的 U 盘上保存多个(不同的)启动密钥?
是,可以在相同的 U 盘上保存不同计算机的启动密钥。
是否可以为相同的计算机生成多个(不同的)启动密钥?
通过编写脚本可以为相同的计算机生成不同的启动密钥。但是,对于具有 TPM 的计算机,创建不同的启动密钥会阻止 BitLocker 使用 TPM 的系统完整性检查。
是否可以生成多个 PIN 组合?
无法生成多个 PIN 组合。
BitLocker 中使用了哪些加密密钥?它们如何协同工作?
使用全卷加密密钥加密原始数据,然后使用卷主密钥对其进行加密。根据你的身份验证(即密钥保护程序或 TPM)和恢复方案,卷主密钥会通过几种可行的方法轮流进行加密。
加密密钥存储在何处?
全卷加密密钥通过卷主密钥进行加密并存储在加密的驱动器中。卷主密钥通过相应的密钥保护程序进行加密并存储在加密的驱动器中。如果已暂停 BitLocker,用于加密卷主密钥的明文密钥将随同加密的卷主密钥一起存储在加密的驱动器中。
此存储流程可确保卷主密钥永远不会以未加密的形式存储并且受到保护(除非禁用 BitLocker)。密钥也会保存到驱动器上的两个其他位置中,以备不时之需。启动管理器可读取和处理密钥。
为什么需要使用功能键来输入 PIN 或 48 个字符的恢复密码?
F1 至 F10 键为通用映射扫描代码,可用于所有计算机上的预启动环境和所有语言。数字键 0 至 9 在所有键盘上都不可用在预启动环境中。
如果使用增强的 PIN,用户应在 BitLocker 安装过程期间运行可选系统检查以确保在预启动环境中可正确输入 PIN。
BitLocker 如何帮助阻止攻击者发现可以解锁操作系统驱动器的 PIN?
攻击者很可能通过执行暴力攻击发现个人标识号 (PIN)。暴力攻击会在攻击者使用自动化工具尝试不同的 PIN 组合时发生,一直持续到发现正确的那一个为止。对于受 BitLocker 保护的计算机而言,这种类型的攻击(也称为字典攻击)需要攻击者具有对计算机的物理访问权限。
TPM 具有内置的检测和响应这些类型攻击的功能。鉴于不同制造商的 TPM 可能支持不同的 PIN 和攻击缓解措施,请联系你的 TPM 制造商来确定你的计算机的 TPM 如何缓解 PIN 暴力攻击。
在确定了 TPM 的制造商以后,请联系该制造商以收集 TPM 的特定于供应商的信息。大多数制造商使用 PIN 身份验证失败计数成倍增加 PIN 接口的锁定时间。但是,每个制造商都有关于何时以及如何减少或重置失败计数器的不同策略。
如何确定 TPM 的制造商?
可以在“TPM 制造商信息”****标题下的 TPM MMC 控制台 (tpm.msc) 中确定 TPM 制造商。
如何评估 TPM 的字典攻击缓解机制?
当向 TPM 制造商询问关于字典攻击缓解机制的设计时,以下问题可以帮助你:
在锁定前,可发生多少次失败的授权尝试?
用于确定基于失败尝试数量和任何其他相关参数的锁定的持续时间算法是什么?
哪些操作可能会导致失败计数和锁定持续时间的减少或重置?
是否可以使用组策略管理 PIN 长度和复杂性?
是和否。你可以通过使用“为启动配置最小的 PIN 长度”组策略设置配置最小的个人标识号 (PIN) 长度,并通过启用“允许增强型启动 PIN”****组策略设置允许使用字母数字 PIN。但是,你无法通过组策略要求 PIN 的复杂性。
有关详细信息,请参阅 BitLocker 组策略设置。
BitLocker To Go
BitLocker To Go 是可移动数据驱动器上的一种 BitLocker 驱动器加密。这包括 U 盘、SD 卡、外部硬盘驱动器以及通过使用 NTFS、FAT16、FAT32 或 exFAT 文件系统格式化的其他驱动器的加密。
Active Directory 域服务 (AD DS)
如果在计算机加入域之前在计算机上启用 BitLocker 会怎么样?
如果在组策略应用于强制执行备份之前在驱动器上启用 BitLocker,则恢复信息在计算机加入域时或在随后应用组策略时将不会自动备份到 AD DS。但是,你可以使用“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”、“选择如何才能恢复受 BitLocker 保护的固定驱动器”****和“选择如何才能恢复受 BitLocker 保护的可移动驱动器”组策略设置,要求应在计算机连接到域后才能启用 BitLocker 以帮助确保你组织中受 BitLocker 保护的驱动器的恢复信息备份到 AD DS。
有关详细信息,请参阅 BitLocker 组策略设置。
BitLocker Windows Management Instrumentation (WMI) 接口允许管理员可编写脚本来备份或同步联机客户端的现有恢复信息;但是,BitLocker 不会自动管理此过程。Manage-bde 命令行工具还可以用于将恢复信息手动备份到 AD DS。例如,若要将 C: 驱动器的所有恢复信息备份到 AD DS,你将需要从提升的命令提示符使用以下命令:manage-bde -protectors -adbackup C:。
要点
对于组织中的新计算机,第一步应该将计算机加入到域。在计算机加入到域之后,BitLocker 恢复密钥将自动存储到 AD DS(如果组策略中已启用)。
在客户端计算机上是否记录有事件日志条目来指示 Active Directory 备份的成功或失败?
是,在客户端计算机上,会记录指示 Active Directory 备份是成功还是失败的事件日志条目。但是,即使事件日志条目显示“成功”,该信息可能随后已从 AD DS 中删除,或者可能通过 Active Directory 信息不再解锁驱动器(例如,通过删除恢复密码密钥保护程序)的方式已对 BitLocker 进行了配置。此外,还有可能是日志条目被欺骗。
最后,确定 AD DS 中是否存在合法备份需要通过使用 BitLocker 密码查看器工具并借助域管理员凭据来查询 AD DS。
如果更改计算机上的 BitLocker 恢复密码,并将新的密码存储在 AD DS 中,AD DS 是否会覆盖旧的密码?
不会。根据设计,BitLocker 恢复密码条目不会从 AD DS 中删除;因此,你可能会看到针对每个驱动器的多个密码。若要标识最新的密码,请检查对象上的日期。
如果备份在开始时失败,会出现什么情况?BitLocker 将重试备份?
如果备份在开始时失败,例如当域控制器在 BitLocker 安装向导运行时无法访问,BitLocker 将不再次尝试将恢复信息备份到 AD DS。
当管理员选中“将 BitLocker 恢复信息存储在 Active Directory 域服务中(Windows 2008 和 Windows Vista)”策略设置的“要求 BitLocker 备份到 AD DS”复选框时,或选中任一“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”、“选择如何才能恢复受 BitLocker 保护的固定数据驱动器、“选择如何才能恢复受 BitLocker 保护的可移动数据驱动器”策略设置中的等效“在(操作系统 | 固定数据 | 可移动数据)驱动器的恢复信息存储于 AD DS 中之前不启用 BitLocker”****复选框时,这将阻止用户启用 BitLocker,除非将计算机连接到域并且 BitLocker 恢复信息成功备份到 AD DS。配置了这些设置后,如果备份失败,将无法启用 BitLocker,从而确保管理员能够恢复组织中受 BitLocker 保护的驱动器。
有关详细信息,请参阅 BitLocker 组策略设置。
当管理员清除这些复选框时,管理员是在不使恢复信息成功备份到 AD DS 的情况下,允许驱动器受 BitLocker 保护;但是,如果备份失败,BitLocker 将不再自动重试。相反,管理员可以为备份创建一个脚本(如之前在如果在计算机加入域之前在计算机上启用 BitLocker 会怎么样?中所述)来捕获还原连接性之后的信息。
安全
BitLocker 使用何种形式的加密?是否可配置?
BitLocker 使用高级加密标准 (AES) 作为其加密算法,具有 128 位或 256 位的可配置密钥长度。默认加密设置为 AES 128,但通过使用组策略可对该选项进行配置。
在操作系统驱动器上使用 BitLocker 的最佳做法是什么?
在操作系统驱动器上,BitLocker 配置的推荐做法是使用 TPM 版本 1.2 或更高版本和受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 固件实现以及 PIN来实现计算机上的 BitLocker。由于需要用户设置的 PIN 以及 TPM 验证,具有对计算机的物理访问权限的恶意用户不只是简单地启动计算机就可以了。
使用睡眠或休眠电源管理选项有什么含义?
操作系统驱动器上的 BitLocker(带有 TPM,但没有高级身份验证)在其基本配置中为休眠模式提供了其他安全性。但是,当为了使用高级身份验证模式(TPM+PIN、TPM+USB 或 TPM+PIN+USB)而对其进行配置时,BitLocker 为休眠模式提供了更出色的安全性。此方法更加安全,因为从休眠状态返回需要 BitLocker 身份验证。作为最佳做法,我们建议禁用睡眠模式,并且应将 TPM+PIN 用于身份验证方法。
TPM 的优势有哪些?
大多数操作系统使用共享的内存空间,并且依赖操作系统来管理物理内存。TPM 是一种硬件组件,它使用自己的内部固件和逻辑电路来处理指令,从而使其屏蔽外部软件漏洞。攻击 TPM 需要对计算机的物理访问权限。此外,攻击硬件所需的工具和技能通常比较昂贵,而且通常不像用于攻击软件的工具和技能那样易于得到。并且,由于每个 TPM 对于包含它的计算机来说具有唯一性,因此攻击多个 TPM 计算机将非常困难而且耗时。
注意
使用身份验证的其他因素配置 BitLocker 提供了更多的保护以防 TPM 硬件攻击。
BitLocker 网络解锁
BitLocker 网络解锁使在域环境中使用 TPM+PIN 保护方法的受 BitLocker 保护的桌面和服务器更易于管理。当重新启动连接到有线企业网络的计算机时,网络解锁将允许绕过 PIN 条目提示。通过使用由 Windows 部署服务服务器提供的作为其辅助身份验证方法的受信任密钥,它会自动解锁受 BitLocker 保护的操作系统卷。
若要使用网络解锁,还必须为你的计算机配置 PIN。如果你的计算机未连接到网络,你将需要提供 PIN 对其进行解锁。
客户端计算机、Windows 部署服务以及域控制器必须满足 BitLocker 网络解锁的软件和硬件要求,然后才能使用它。
网络解锁使用两个保护程序:TPM 保护程序和网络或 PIN 提供的保护程序;而自动解锁使用的是存储于 TPM 中的单个保护程序。如果计算机加入到没有密钥保护程序的网络,它将提示你输入 PIN。如果 PIN 不可用,计算机无法连接到网络,你将需要使用恢复密钥来解锁计算机。
有关详细信息,请参阅 BitLocker:如何启用网络解锁。
其他问题
是否可以使用 BitLocker 运行内核调试程序?
是。不过,应先打开调试程序,然后再启用 BitLocker。打开调试程序可确保在密封到 TPM 时,将计算正确的度量值,从而允许计算机正常启动。如果你需要在使用 BitLocker 时打开或关闭调试,请务必先暂停 BitLocker 以避免使计算机进入恢复模式。
BitLocker 如何处理内存转储?
BitLocker 的存储驱动程序堆栈可确保在启用 BitLocker 时加密内存转储。
BitLocker 是否支持用于预启动身份验证的智能卡?
BitLocker 不支持用于预启动身份验证的智能卡。固件中的智能卡支持没有单一的行业标准,而且大部分计算机要么不实现智能卡的固件支持,要么仅支持特定的智能卡和读卡器。这种标准化的缺乏使为它们提供支持变得非常困难。
是否可以使用非 Microsoft TPM 驱动程序?
Microsoft 不支持非 Microsoft TPM 驱动程序,并强烈建议不要将它们和 BitLocker 结合使用。试图结合使用非 Microsoft TPM 驱动程序和 BitLocker 可能导致 BitLocker 报告该计算机上不存在 TPM 并且不允许将 TPM 和 BitLocker 一起使用。
是否可以将管理或修改主启动记录的其他工具与 BitLocker 配合使用?
出于各种安全性、可靠性和产品支持的原因,我们不建议修改计算机上的主启动记录(其操作系统驱动器受 BitLocker 保护)。更改主启动记录 (MBR) 可能更改安全环境并且阻止计算机正常启动,而想要从损坏的 MBR 中进行恢复也有可能变得更加复杂。通过 Windows 之外的任何内容来对 MBR 进行更改可能会强制计算机进入恢复模式或阻止其完全启动。
在加密操作系统驱动器时,为什么系统检查会失败?
系统检查旨在确保计算机的 BIOS 或 UEFI 固件与 BitLocker 兼容以及 TPM 正常工作。系统检查失败可能由于以下几种原因:
计算机的 BIOS 或 UEFI 固件无法读取 U 盘。
计算机的 BIOS、UEFI 固件或启动菜单没有启用读取 U 盘。
有多个 U 盘插入了计算机。
没有正确输入 PIN。
计算机的 BIOS 或 UEFI 固件仅支持使用功能键 (F1–F10) 在预启动环境中输入数字。
计算机完成重新启动之前,已删除启动密钥。
TPM 发生故障且无法解封密钥。
如果无法读取 U 盘上的恢复密钥怎么办?
有些计算机在预启动环境中无法读取 U 盘。首先,检查 BIOS 或 UEFI 固件和启动设置,以确保已启用使用 USB 驱动器。如果未启用,请在 BIOS 或 UEFI 固件和启动设置中启用使用 USB 驱动器,然后再次尝试从 U 盘读取恢复密钥。如果仍无法读取,你将需要在另一台计算机上装载硬盘驱动器将其作为数据驱动器,以便有操作系统尝试从 U 盘读取恢复密钥。如果 U 盘已损坏,你可能需要提供一个恢复密码或使用已备份到 AD DS 的恢复信息。此外,如果你在预启动环境中使用恢复密钥,请确保使用 NTFS、FAT16 或 FAT32 文件系统格式化该驱动器。
为什么无法将恢复密钥保存到 U 盘?
默认情况下,“保存到 USB”选项不对可移动驱动器显示。如果该选项不可用,这意味着系统管理员不允许使用恢复密钥。
为什么无法自动解锁驱动器?
对固定数据驱动器的自动解锁需要操作系统驱动器也应受 BitLocker 保护。如果你使用的是没有受 BitLocker 保护的操作系统驱动器的计算机,该驱动器将不能自动解锁。对于可移动数据驱动器,则通过右键单击 Windows 资源管理器中的驱动器并单击“管理 BitLocker”****可以添加自动解锁。你将仍可以使用在启用 BitLocker 时所提供的密码或智能卡凭据来解锁其他计算机上的可移动驱动器。
是否可以在安全模式下使用 BitLocker?
在安全模式下只能使用有限的 BitLocker 功能。通过使用“BitLocker 驱动器加密”控制面板项目,可以对受 BitLocker 保护的驱动器进行解锁和解密。在安全模式下,无法使用右键单来访问 Windows 资源管理器中的 BitLocker 选项。
如何“锁定”数据驱动器?
通过使用 Manage-bde 命令行工具和 –lock 命令,可以同时锁定固定和可移动数据驱动器。
注意
在锁定之前,请确保所有数据都已保存到驱动器。一旦锁定,该驱动器将无法访问。
此命令的语法为:
manage-bde <driveletter> -lock
除了使用此命令以外,关闭和重新启动操作系统时将锁定数据驱动器。从计算机删除可移动数据驱动器时,该驱动器也将自动锁定。
是否可以将 BitLocker 与卷影复制服务结合使用?
是。但是,当在软件加密驱动器上启用 BitLocker 时,在启动 BitLocker 之前所做的卷影副本将自动删除。如果你使用的是硬件加密驱动器,将保留卷影副本。
BitLocker 是否支持虚拟硬盘 (VHD)?
如果你运行的是 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 或 Windows Server 2012 R2,在可启动的 VHD 上将不支持 BitLocker,但在数据卷 VHD 上支持 BitLocker(例如群集使用的那些 VHD)。