BitLocker
本主题简要概述了 BitLocker,包括系统要求、实际应用程序和已弃用功能的列表。
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。
在与受信任的平台模块 (TPM) 版本 1.2 或更高版本一起使用时,BitLocker 提供最多保护。TPM 是计算机制造商安装在许多较新的计算机上的硬件组件。将其与 BitLocker 一起使用,不仅可帮助保护用户数据,还可确保计算机不会在系统离线时遭到篡改。
在没有 TPM 版本 1.2 或更高版本的计算机上,你仍可以使用 BitLocker 加密 Windows 操作系统驱动器。但是,此实现将要求用户插入 USB 启动密钥以启动计算机或从休眠状态中恢复。从 Windows 8 开始,你可以在没有 TPM 的计算机上使用操作系统卷密码保护操作系统卷。这两种选项均不提供带有 TPM 的由 BitLocker 提供的预启动系统完整性验证。
除了 TPM 外,BitLocker 也可以让用户选择锁定正常的启动过程,但前提是该用户提供了个人标识号 (PIN) 或插入了包含启动密钥的可移动设备,例如 U 盘。这些额外的安全措施提供了多重身份验证,并确保计算机在提供正确 PIN 或启动密钥之前将不会启动或从休眠状态中恢复。
实际应用程序
丢失或被盗计算机上的数据易遭到未经授权的访问的攻击,途径是运行软件攻击工具对其进行攻击或将该计算机的硬盘转移到其他计算机。BitLocker 通过增强文件和系统保护,帮助减少未经授权的数据访问。当受 BitLocker 保护的计算机被解除授权或回收时,BitLocker 还可帮助使数据不可访问。
你可以使用远程服务器管理工具的其他两种工具来管理 BitLocker。
BitLocker 恢复密码查看器。BitLocker 恢复密码查看器使你能够找到和查看已备份到 Active Directory 域服务 (AD DS) 的 BitLocker 驱动器加密恢复密码。你可以使用此工具来帮助恢复存储在使用 BitLocker 加密的驱动器上的数据。BitLocker 恢复密码查看器工具是对 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元的扩展。
使用此工具,你可以检查计算机对象的“属性”对话框,以查看相应的 BitLocker 恢复密码。此外,你可以右键单击域容器,然后跨 Active Directory 林中的所有域搜索 BitLocker 恢复密码。若要查看恢复密码,你必须是域管理员或必须是域管理员已将权限委派给你。
BitLocker 驱动器加密工具。BitLocker 驱动器加密工具包括命令行工具 manage-bde 和 repair-bde,以及适用于 Windows PowerShell 的 BitLocker cmdlet。manage-bde 和 BitLocker cmdlet 均可用于执行任何可通过 BitLocker 控制面板实现的任务,并且它们还适用于自动部署和其他脚本方案。repair-bde 是针对 BitLocker 保护的驱动器无法正常解锁或无法使用恢复控制台解锁的灾难恢复方案而提供的工具。
新功能和更改的功能
若要发现有关适用于 Windows 10 的 BitLocker 的新增功能,请参阅 BitLocker 中的新增功能。
系统要求
BitLocker 具有以下硬件要求:
对于使用受信任的平台模块 (TPM) 提供的系统完整性检查的 BitLocker,计算机必须拥有 TPM 1.2 或更高版本的 TPM。如果你的计算机上没有 TPM,则启用 BitLocker 时需要在可移动设备(例如 U 盘)上保存启动密钥。
具有 TPM 的计算机也必须拥有与受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 固件。BIOS 或 UEFI 固件为预操作系统启动建立信任链,并且它必须包括对 TCG 指定信任测量的静态根的支持。没有 TPM 的计算机不要求与 TCG 兼容的固件。
系统 BIOS 或 UEFI 固件(适用于 TPM 计算机和非 TPM 计算机)必须支持 USB 大容量存储设备类,包括在预操作系统环境中读取 U 盘上的小型文件。
硬盘必须使用至少两个驱动器进行分区:
操作系统驱动器(或启动驱动器)包含操作系统及其支持文件。它必须使用 NTFS 文件系统设置格式。
系统驱动器包含在固件已准备好系统硬件后加载 Windows 所需的文件。BitLocker 不会在此驱动器上启用。对于要运行的 BitLocker,系统驱动器不得加密、必须与操作系统驱动器区别开来,并且必须在使用基于 UEFI 的固件的计算机上使用 FAT32 文件系统设置格式,或者在使用 BIOS 固件的计算机上使用 NTFS 文件系统设置格式。我们建议的系统驱动器大小约为 350 MB。打开 BitLocker 后,它将拥有大约 250 MB 的可用空间。
当安装到新计算机时,Windows 将自动创建 BitLocker 所需的分区。
当在服务器上安装 BitLocker 可选组件时,你也将需要安装用于支持硬件加密驱动器的增强的存储功能。
本部分内容
| 主题 | 描述 |
|---|---|
本主题为 IT 专业人员解答了有关 BitLocker 的使用、升级、部署和管理要求及其密钥管理策略的常见问题。 |
|
本主题面向 IT 专业人员介绍了如何规划 BitLocker 部署。 |
|
面向 IT 专业人员的本主题介绍如何使用 BitLocker 功能通过驱动器加密来保护数据。 |
|
本主题为 IT 专业人员介绍了如何部署 BitLocker 和 Windows Server 2012 及更高版本。 |
|
本主题面向 IT 专业人员介绍了 BitLocker 网络解锁的工作原理以及如何对其进行配置。 |
|
本主题面向 IT 专业人员介绍了如何使用工具管理 BitLocker。 |
|
本主题面向 IT 专业人员介绍了如何使用 BitLocker 恢复密码查看器。 |
|
本主题为 IT 专业人员介绍了每个用于管理 BitLocker 驱动器加密的组策略设置的功能、位置及效果。 |
|
面向 IT 专业人员的本主题介绍 BitLocker 所使用的 BCD 设置。 |
|
本主题面向 IT 专业人员介绍了如何从 AD DS 中恢复 BitLocker 密钥。 |
|
此详细指南将帮助你了解针对运行 Windows 10、Windows 8.1、Windows 8 或 Windows 7 的设备建议使用预启动身份验证的环境,以及何时可从设备的配置中安全地忽略它。 |
|
本主题面向 IT 专业人员介绍了如何使用 BitLocker 保护 CSV 和 SAN。 |