bitlocker:数据保护功能-中文百科频道

概述

BitLocker驱动器加密它是在WindowsVista中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统windows7中也能使用此加密驱动。随同WindowsServer2008一同发布的有BitLocker实用程序，该程序能够通过加密逻辑驱动器来保护重要数据，还提供了系统启动完整性检查功能。

　　BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。

　　受信任的平台模块(TPM)是一个内置在计算机中的微芯片。它用于存储加密信息，如加密密钥。存储在TPM上的信息会更安全，避免受到外部软件攻击和物理盗窃。BitLocker可加密存储于Windows操作系统卷上的所有数据，默认情况下，使用TPM以确保早期启动组件的完整性（组件用于启动进程的更早时期），以及“锁定”任何BitLocker保护卷，使之在即便计算机受到篡改也得到保护。

　　但是BitLocker有一项不足，打开加密盘后，再次进入就不需要密码了，那么如何才能使每次访问加密盘都要密码呢？这恐怕是微软后续改进的问题了，但是目前，我们可以在开始任务栏里输入“cmd”，然后以管理员身份运行，输入manage-bde（空格）-lock（空格）X：，x为加密磁盘盘符。这样就可以再次锁住加密盘了。

原理

通过加密整个Windows操作系统卷保护数据。

　　如果计算机安装了兼容TPM，BitLocker将使用TPM锁定保护数据的加密密钥。因此，在TPM已验证计算机的状态之后，才能访问这些密钥。加密整个卷可以保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。

　　在启动过程中，TPM将释放密钥，该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证Windows启动过程的完整性。如果TPM检测到Windows安装已被篡改，则不会释放密钥。

　　默认情况下，BitLocker安装向导配置为与TPM无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。

　　为了增强安全性，可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动密钥组合使用。

　　在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。在这种情况下，用户需要创建一个存储在USB闪存驱动器上的启动密钥。

TPM

TPM是一个微芯片，设计用于提供基本安全性相关功能，主要涉及加密密钥。TPM通常安装在台式计算机或者便携式计算机的主板上，通过硬件总线与系统其余部分通信。　　合并了TPM的计算机能够创建加密密钥并对其进行加密，以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”密钥，可以帮助避免泄露密钥。每个TPM有一个主覆盖密钥，称为“存储根密钥(SRK)”，它存储在TPM的内部。在TPM中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。

　　合并了TPM的计算机还可以创建一个密钥，该密钥不仅被覆盖，而且还被连接到特定硬件或软件条件。这称为“密封”密钥。首次创建密封密钥时，TPM将记录配置值和文件哈希的快照。仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。BitLocker使用密封密钥检测对Windows操作系统完整性的攻击。

　　使用TPM，密钥对的隐私部分在操作系统控制的内存之外单独保存。因为TPM使用自身的内部固件和逻辑电路来处理指令，所以它不依赖于操作系统，也不会受外部软件漏洞的影响。

机制

首先需要强调的是，并不是所有的WindowsVista(orWindows7)版本都支持BitLocker驱动器加密，相应的功能只有WindowsVista的Enterprise版和Ultimate版才能够实现。其目标即是让WindowsVista(orWindows7)用户摆脱因PC硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，

　　BitLocker保护的WindowsVista计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中：

　　驱动器加密能够有效地防止未经授权的用户破坏WindowsVista(orWindows7)文件以及系统对已丢失或被盗计算机的防护，通过加密整个Windows卷来实现。利用BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。

　　对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过BitLocker，还可选择锁定正常的引导过程，直至用户提供PIN（类似于ATM卡PIN）或插入含有密钥资料的USB闪存驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的PIN或USB闪存驱动器之前计算机不会从休眠状态中启动或恢复。

　　BitLocker紧密集成于WindowsVista(orWindows7)中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker可选择利用企业现有的ActiveDirectory域服务基础结构来远程委托恢复密钥。BitLocker还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。

过程

基本的BitLocker安装和部署不需要外来的和特殊的硬件或者软件。该服务器必须满足支持Windows Server 2012的最小要求。但仍会发生一些硬件小问题。首先，考虑服务器具有可信任平台模块（TPM）1.2或2.0版本。

TPM不需要安装和使用BitLocker，但是需要能够保证系统启动时的完整性，并将BitLocker本地磁盘绑定到专门的物理服务器。这防止其他系统安装加密磁盘。接着，评估服务器的BIOS特征。

具有TPM的系统需要兼容性良好的固件。如果BIOS为TPM服务，其必须支持统一的可扩展固定接口（UEFI）标准。BIOS必须从硬盘首次启动，而不是从外部驱动器，比如USB或光盘。还有，BIOS在启动期间应该读取USB闪存盘，以防需要紧急加密恢复丢失或毁坏的证书。最后，一个加密的驱动器必须提供两部分：一部分是操作系统的FAT32或NTFS分区；

另一部分是另外的350MB的NTFS分区（或者更大）——安装BitLocker的系统驱动器大小。硬件加密驱动器受支持，安装时必须关闭车载安全特性。单独的分区在启动期间需要执行系统完整性检查。系统驱动器通常包含其他的数据，比如恢复信息和其他工具。

特色

BitLocker支持“受信平台模块(TPM:TrustedPlatformModule)”1.2及其后版本，可实现基于硬件的全盘加密，以增强数据保护，并确保运行WindowsVista的PC在系统脱机时不被浏览与修改；BitLocker使用128或256位的AES加密算法。(甚至有传言BitLocker将使用1024位加密，是否属实有待考证)；BitLocker可通过组策略设置；在系统中采用BitLocker驱动器加密对系统性能的影响很小，这是一个好消息；BitLocker密钥可存储在磁盘、USB盘，甚至可以打印出来。也可通过组策略自动生成并保存于ActiveDirectory中。