Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南
bitlocker解密方法
bitlocker解密方法BitLocker是微软Windows操作系统中提供的一种全盘加密功能,旨在保护用户数据不被未授权访问。
但在某些情况下,用户可能需要解密BitLocker 加密的驱动器。
本文将详细介绍几种BitLocker解密方法。
一、使用Windows登录密码解密1.连接BitLocker加密的驱动器到电脑。
2.在“我的电脑”中找到加密的驱动器,双击打开。
3.输入你的Windows登录密码,点击“解锁”。
4.解锁成功后,驱动器将自动挂载并可以访问。
二、使用BitLocker恢复密钥解密1.在电脑上插入BitLocker加密的驱动器。
2.打开“控制面板” -> “BitLocker驱动器加密”。
3.在“BitLocker驱动器加密”界面,找到已加密的驱动器,点击“恢复密钥”。
4.根据提示,输入恢复密钥,点击“解锁”。
5.解锁成功后,驱动器将自动挂载并可以访问。
三、使用管理权限解密1.以管理员身份登录Windows。
2.打开命令提示符(以管理员身份)。
3.输入以下命令,替换“驱动器号”和“恢复密钥”为实际值:manage-bde -unlock 驱动器号-recoverypassword 恢复密钥4.按回车键执行命令,等待解密完成。
四、使用第三方工具解密如果以上方法都无法解密BitLocker加密的驱动器,可以考虑使用第三方解密工具。
在网上有很多免费的BitLocker解密工具,如“BitLocker Drive Unlocker”、“AOMEI BitLocker Recovery”等。
以下是使用第三方工具解密的一般步骤:1.下载并安装第三方BitLocker解密工具。
2.打开解密工具,选择需要解密的驱动器。
3.根据提示,输入恢复密钥或其他相关信息。
4.点击“解密”按钮,等待解密完成。
注意:在使用第三方工具解密时,请确保工具来源可靠,避免数据泄露风险。
总结:以上就是几种BitLocker解密方法,用户可以根据实际情况选择合适的方法进行解密。
BitLocker密码忘了怎么办?如何查找BitLocker恢复密钥?
BitLocker密码忘了怎么办?如何查找BitLocker恢复密钥?BitLocker是内置于Windows Vista及其之后系统的全磁盘加密功能。
它会将Windows的安装分区或者其他用于保存文件的分区进行加密。
我们会用BitLocker来存储一些重要数据,采用BitLocker加密后,必须拥有BitLocker密码或是BitLocker恢复密钥其中的一种,才能解锁BitLocker加密硬盘/分区。
如果遗忘了密码,必须找到备份的密钥才能打开加密磁盘。
如果密钥也找不到,加密文件基本上就打不开了。
本篇文章就将为大家介绍,当你在忘记BitLocker密码或恢复密钥时,如何解锁BitLocker加密硬盘/分区的办法。
目录:BitLocker密码忘了怎么办?输入BitLocker恢复密钥打不开怎么办?小结BitLocker密码忘了怎么办?方法一:回想密码或输入命令解锁1.输入BitLocker密码如果可以想起自己的BitLocker密码,输入密码即可解锁,这是最好不过的事情。
可如果想不起来,可以尝试下面的方式:2.在以管理员命令解锁BitLocker加密磁盘/分区如果忘记BitLocker密码,但在拥有密钥的情况下,可以使用管理员命令来为驱动器解锁。
●第一步:在开始菜单中,依次打开“所有程序>附件>命令提示符”●第二步:在“命令提示符”上右击鼠标,选择“以管理员身份运行”;●第三步:在命令行中键入如下命令:manage-bde –unlock E: -RecoveryPassword ******需要注意的是:●此处的E代表需要解锁的驱动器盘符。
●“******”是BitLocker的恢复密钥,而不是我们自己设置的密码(请留意空格)。
方法二:查找BitLocker恢复密钥BitLocker恢复密钥在哪儿?下面这些位置很有可能保存了你的BitLocker恢复密钥。
1.登录Microsoft 帐户查找BitLocker密钥如果忘记BitLocker密码或者BitLocker密钥,且启动BitLocker加密时关联了微软帐户,可以尝试登录微软官网帐户来查找恢复密钥,这是查找恢复密钥很可能成功的方式。
bitlocker原理
bitlocker原理BitLocker是微软提供的一种驱动器加密软件,可以安全保护和加密硬盘驱动器,防止未经授权的访问数据。
BitLocker软件在Windows Vista或WindowsServer 2008版本上全面发布。
BitLocker采用128位或256位密钥来保护您的系统驱动器,可有效防止任何未经授权的访问,确保您的数据的安全机密性。
BitLocker 驱动器加密的实现原理:1、BitLocker的安全性来自其使用128位或256位的AES(高级加密标准)密钥进行加密,以及256位船员进行确认,从而传输有效的密钥,有效的保证数据的安全性。
2、BitLocker软件运行时,它会在启动过程中初始化一个全新的AES-128位或256位密钥,并用这个密钥来加密移动硬盘进行加密保护。
每次用户登陆系统时,它会提示用户输入密码,然后它会向这个硬盘发送一个密码,然后用这个密码向硬盘密码发送一个密钥,从而解密出加密的数据,从而使用硬盘的数据。
3、BitLocker还使用256位的ChaCha20算法来巩固系统的驱动器加密系统,它通过在每次登录的时候用特定的办法来确保一次性使用,从而避免不正确使用系统驱动器。
4、BitLocker也使用一种叫做TPM(可信平台模块)的安全硬件,这是一种固化在主板上的微型计算机,它能够确保用户在登陆系统之前能够确保系统运行的安全性,它通过检测系统的硬件和软件的完整性,再解锁受保护的系统驱动器,从而确保数据的安全性。
BitLocker的安全机制可以保证硬盘驱动器免受未经授权的访问,保护存储的数据安全机密性,同时这也能够保护您免受病毒、黑客和间谍。
同时,BitLocker提供了安全性和容易操作性,能够让用户在安全和舒适之间取得最佳平衡点。
学会使用电脑的文件加密工具
学会使用电脑的文件加密工具随着互联网的快速发展和普及,我们的生活越来越离不开电脑。
我们在电脑上存储了大量的个人和重要的商业文件,因此文件安全性变得尤为重要。
为了保护我们的文件不被他人获取到或恶意篡改,学会使用电脑的文件加密工具是非常必要的。
本文将介绍几种常见的电脑文件加密工具,并提供相关的使用方法和注意事项。
一、BitLockerBitLocker是Windows操作系统中自带的一种文件加密工具,可以有效地加密和保护我们的文件和文件夹。
下面是使用BitLocker加密文件的步骤:1. 打开“文件资源管理器”,选择需要加密的文件或文件夹。
2. 右键点击选中的文件或文件夹,选择“属性”。
3. 在弹出窗口的“常规”选项卡中,点击“高级”按钮。
4. 在“高级属性”窗口中,勾选“加密内容以保护数据”选项,并点击“确定”。
5. 系统会提示设置一个用于加密的密码,输入密码并确认。
6. 加密完成后,文件或文件夹的名称将变为绿色,表示已加密成功。
需要注意的是,使用BitLocker加密的文件或文件夹只有在相同的电脑上才能解密和访问。
因此,在使用BitLocker加密文件之前,请确保你将这些文件存储在自己信任的设备或云存储服务中。
二、VeraCryptVeraCrypt是一种开源的免费文件加密工具,适用于Windows、Mac 和Linux操作系统。
与BitLocker类似,VeraCrypt也可以加密整个磁盘或单个文件,并提供了较高的加密强度和安全性。
下面是使用VeraCrypt加密文件的步骤:1. 下载并安装VeraCrypt软件,打开主界面。
2. 点击“创建加密容器”按钮,选择“创建文件容器”。
3. 在容器设置界面,选择容器存储的位置和大小,并设置一个强密码。
4. 选择加密算法和其他高级选项,最后点击“创建”按钮。
5. 容器创建完成后,在主界面选择创建的容器,点击“挂载”按钮。
6. 输入之前设置的密码,选择一个空闲的驱动器盘符,并点击“确定”。
windowsServer2008各版本区别详解
windowsServer2008各版本区别详解Windows Server 2008 是专为强化下⼀代⽹络、应⽤程序和 Web 服务的功能⽽设计,是有史以来最先进的 Windows Server 操作系统。
拥有 Windows Server 2008,您即可在企业中开发、提供和管理丰富的⽤户体验及应⽤程序,提供⾼度安全的⽹络基础架构,提⾼和增加技术效率与价值。
Windows Server 2008 虽是建⽴在 Windows Server 先前版本的成功与优势上,不过,Windows Server 2008 已针对基本操作系统进⾏改善,以提供更具价值的新功能及更进⼀步的改进。
新的 Web ⼯具、虚拟化技术、安全性的强化以及管理公⽤程序,不仅可帮助您节省时间、降低成本,并可为IT基础架构提供稳固的基础。
适合您企业的稳固的基础Windows Server 2008 可为您所有的服务器⼯作负载和应⽤程序需求,提供稳固的基础以及易于部署和管理的特性。
全新设计的 Server Manager 提供了⼀个可使服务器的安装、设定及后续管理⼯作简化及效率化的整合管理控制台;Windows PowerShell 是全新的命令⾏接⼝,可让系统管理员将跨多部服务器的例⾏系统管理⼯作⾃动化;Windows Deployment Services 则可提供简化且⾼度安全的⽅法,让您通过⽹络安装快速部署操作系统。
此外,Windows Server 2008 的故障转移群集(Failover Clustering)向导,以及对 Internet 协议第6版(IPv6)的完整⽀持,加上⽹络负载平衡(Network Load Balancing)的整合管理,更可使⼀般 IT ⼈员也能够轻松地实现⾼可⽤性。
Windows Server 2008 全新的服务器核⼼(Server Core)安装选项,可在安装服务器⾓⾊时仅选择必要的组件和⼦系统,⽽不包含图形化⽤户界⾯。
windows server 服务器角色与功能---文本资料
Windows server 2008服务器角色与功能以往,在Windows Server 2000/2003系统中,我们要增加或删除像DNS服务器这样的功能,需要用过"添加/删除Widnows组件"实现。
而在Windows Server 2008中,"添加/删除Widnows组件"再也不见了,取而代之的是通过服务器管理器里面的"角色"和"功能"实现。
像DNS服务器、文件服务器、打印服务等等都会被视为一种"角色"存在,而故障转移集群、组策略管理等等这样的任务则被视为"功能"。
通过角色与功能的增减,就可以实现几乎所有的服务器任务。
那么,在Windows Server 2008里面,服务器的角色与功能到底有什么不同呢?微软告诉我们,服务器角色指的是服务器的主要功能。
管理员可以选择整个计算机专用于一个服务器角色,或在单台计算机上安装多个服务器角色。
每个角色可以包括一个或多个角色服务。
比如上面提到的DNS服务器就是一个角色;而功能则提供对服务器的辅助或支持。
通常,管理员添加功能不会作为服务器的主要功能,但可以增强安装的角色的功能。
像故障转移集群,是管理员可以在安装了特定的服务器角色后安装的功能(如文件服务),以将冗余添加到文件服务并缩短可能的灾难恢复时间。
在Windows Server 2008中,随附了17个角色和35个功能,分别如下:服务器角色角色名称描述Active Directory 证书服务Active Directory(R) 证书服务(AD CS) 提供可自定义的服务,用于创建并管理在采用公钥技术的软件安全系统中使用的公钥证书。
组织可使用Active Directory 证书服务通过将个人、设备或服务的标识与相应的私钥进行绑定来增强安全性。
Active Directory 证书服务还包括允许在各种可伸缩环境中管理证书注册及吊销的功能。
BitLocker驱动器加密详解
当看到“安装Windows”对话框之后,选择要安装的语言、时间和货币格式,以及键盘和输入方法,设置好之后单击“下一步”按钮;
所以如果要顺利使用BitLocker功能,硬盘上必须至少有两个活动分区,除了系统盘外,额外的活动分区必须保持未加密状态(且必须是NTFS文件系统),同时可用空间不能少于1.5GB。为了保证可靠性,这个专门的活动分区最好专用,不要在上面保存其他文件或者安装额外的操作系统。
遗憾的是,一般情况下,很少有人会在自己的硬盘上创建多个活动分区。那么我们又该怎样设置硬盘,以满足BitLocker的要求?如果是在安装Windows Vista之前看到了这段内容,并且打算安装好之后使用BitLocker功能,那么我们可以在安装的时候直接将分区准备好。
Clean(清空所选硬盘上的分区表信息。注意:目标硬盘上如果有数据,将被全部清除。)
Create Partition Primary Size=1500(创建一个体积为1.5GB的主分区,这个分区用于日后保存引导文件。)
Assign Letter=S(将这个1.5GB分区的盘符设置为“S”,或者其他任何想要使用的字母,但不建议使用“C”,毕竟很多人都习惯于将Windows安装到C盘。)
受信任的平台模块是实现TPM模式BitLocker的前提条件。
对硬Байду номын сангаас分区的要求
硬件满足上述要求后,还要确保硬盘分区的安排可以满足要求。通常情况下,我们可能习惯这样给硬盘分区:首先,在第一块硬盘上划分一个活动主分区,用于安装Windows,这个分区是系统盘;其次,对于剩下的空间继续划分更多主分区,或者创建一个扩展分区,然后在上面创建逻辑驱动器。简单来说,我们已经习惯于让第一块硬盘的第一个分区成为系统盘,并在上面安装Windows。
Bitlocker驱动器加密使用
Bitlocker驱动器加密使用前言Bitlocker驱动器加密可以将磁盘加密,确保数据的安全。
如果被加密保护的磁盘是Windows Server 2012操作系统磁盘,即使他被拿到另外一台计算机启动,除非已解锁,否则无法启动加密解密操作会增加系统负担,因此系统效率会比启用bitlocker前差。
Bitlocker硬件需求Windows Server 2012计算机至少需要2个磁盘分区才可以使用Bitlocker●一个用来安装操作系统的NTFS磁盘分区,可以选择是否将此磁盘加密●一个用来启动计算机的磁盘分区,他必须被设置为活动,而且他不可以被加密。
如果计算机配备的是传统bios,则此磁盘分区必须是NTFS,如Uefi,则分区必须为Fat32当新装一台Windows Server 2012操作系统时,默认会创建两个磁盘分区。
Bitlocker实例演示下面将操作系统磁盘加密,并使用密码解锁的方式默认UEFI系统安装Bitlocker加密允许在无TPM环境下使用BitlockerTPM可信任平台模组,一个芯片,默认Bitlocker会见密钥存在里面。
操作系统默认只支持TPM方式的Bitlocker。
如果要支持其他方式,需要修改组策略。
计算机配置-管理模板-windows组件-Bitlocker驱动器加密-操作系统驱动器-双击启动时需要附加身份验证启用Bitlocker驱动器加密控制面板-系统和安全-Bitlocer驱动器加密-启用Bitlocker这时我们打开是找不到Bitlocker选项的,需要如下图加入一块新的Fat32磁盘点击启用Bitlocker输入密码保存到文件注:不可以保存到Windows Server 2012操作系统磁盘内,不可以保存到固定数据盘根目录。
重启计算机在bios界面已经需要输入密码来启动计算机重启后我们可以通过任务栏图标得知加密进度,花费时间较长挂起与关闭Bitlocker如果需要更新计算机的bios,硬件或操作系统,请先挂起Bitlocker,以免因为启动环境的变化而影响到Windows Server 2012的启动。
【免费下载】Windows server 服务器角色与功能
Windows server 2008服务器角色与功能以往,在Windows Server 2000/2003系统中,我们要增加或删除像DNS服务器这样的功能,需要用过"添加/删除Widnows组件"实现。
而在Windows Server 2008中,"添加/删除Widnows组件"再也不见了,取而代之的是通过服务器管理器里面的"角色"和"功能"实现。
像DNS服务器、文件服务器、打印服务等等都会被视为一种"角色"存在,而故障转移集群、组策略管理等等这样的任务则被视为"功能"。
通过角色与功能的增减,就可以实现几乎所有的服务器任务。
那么,在Windows Server 2008里面,服务器的角色与功能到底有什么不同呢?微软告诉我们,服务器角色指的是服务器的主要功能。
管理员可以选择整个计算机专用于一个服务器角色,或在单台计算机上安装多个服务器角色。
每个角色可以包括一个或多个角色服务。
比如上面提到的DNS服务器就是一个角色;而功能则提供对服务器的辅助或支持。
通常,管理员添加功能不会作为服务器的主要功能,但可以增强安装的角色的功能。
像故障转移集群,是管理员可以在安装了特定的服务器角色后安装的功能(如文件服务),以将冗余添加到文件服务并缩短可能的灾难恢复时间。
在Windows Server 2008中,随附了17个角色和35个功能,分别如下:服务器角色角色名称描述Active Directory 证书服务Active Directory(R) 证书服务(AD CS) 提供可自定义的服务,用于创建并管理在采用公钥技术的软件安全系统中使用的公钥证书。
组织可使用Active Directory 证书服务通过将个人、设备或服务的标识与相应的私钥进行绑定来增强安全性。
Active Directory 证书服务还包括允许在各种可伸缩环境中管理证书注册及吊销的功能。
bitlock
Win2008 R2实战之Bitlocker卷级加密2010-05-13 10:49:21 IT168 关注度(1044) 进入论坛【IT168 专稿】自Contoso公司部署了以Windows Server 2008 R2为平台的只读域控制器之后,给广州办工作人员带来的最直接效果就是,计算机的登录速度变的和总部一样快,一切在活动目录里的应用也都跟着变快了。
但是各种安全问题也接踵而至,比如只读域控制器的就放在办公室,很容易被偷盗,而且只读域控制器上还充当文件服务器使用,存放着公司的一些重要的敏感信息,这些信息存储在未加密的逻辑卷中,可以被轻而易举的提取出来。
正当小赵为只读域控制器的安全问题愁眉苦脸的时候,经理给出了解决此问题的关键:Bitlocker 卷级数据加密。
一、Bitlocker驱动器加密概述1. 什么是BitlockerBitlocker是微软在Windows Vista和Windows Server 2008 加入的卷级数据加密技术。
它可以有效的帮助企业和个人用户对存储设备中数据进行安全的保护。
2. 什么是卷为什么说是卷级加密技术呢,先从卷的概念说起。
下面一段关于卷的解释引自Byron Hynes的【安全性: 使用BitLocker 驱动器加密以保护数据的密钥】卷是由一个或多个分区组成的逻辑结构,并且由"卷管理器"的Windows组件所定义。
除了卷管理器和启动组件,其他Windows组件和应用程序都是使用卷,而非分区。
在Windows 客户端操作系统环境下,包括Windows Vista 在内,分区和卷通常具有一对一的关系。
而在服务器中,一个卷通常由多个分区组成,比如典型的RAID 配置。
这里特别要指出的就是在Windows Server 2008以后服务器操作系统中,卷已经不再是指单纯的一个分区,在RAID配置中,多个分区合起来才被叫做卷。
而Bitlocker 就可以为这样的RAID卷进行加密。
使用Bitlocker对某个驱动器进行加密
办法2:
1 新建一文本文件,复制“manage-bde -lock f: -fd”(不带引号)到文本文件,另存为lock.cmd(保存的时候要选为所有文件,不然会是txt文件)。【也可另存为lock.bat】
2 用任务管理器新建一任务,用户选system,触发条件为空闲时运行(时间可以自己设定),动作定位到刚才编写的lock.cmd文件,这样可以让电脑在设定时间没人使用时自动锁上加密分区。
使用Bitlocker对某个驱动器进行加密后,解密后如何在不ocker对某个驱动器进行加密后,解密后如何在不重启系统的情况下实现对该驱动器的重新加密?
办法1:
以管理员身份运行“命令提示符”并执行
manage-bde.exe d: -lock
3 选中lock.cmd右键,以管理员身份执行,可以手动上锁。
办法3:
BitLocker 驱动器重新锁上的方法:
manage-bde -lock C: (C:指需要重新锁住的盘的盘符)
上面的命令直接在cmd里面输入,或者写成批处理,记得要用管理员身份运行cmd或批处理文件
BitLocker to go不是用于U盘或者移动硬盘的吗,只要拔下来再插上去就又锁了啊,除非你选了在此计算机上自动解锁
bitlocker使用指南
bitlocker使用指南1. 什么是BitLocker?BitLocker是一种全磁盘加密工具,它可以帮助保护个人和商业计算机中的数据安全。
它通过对整个磁盘卷进行加密来防止未经授权访问。
BitLocker是微软公司提供的一个功能,适用于Windows 7及更高版本的操作系统。
2. BitLocker的优势- 数据保护:BitLocker使用强大的加密算法来保护您的数据免受未经授权的访问。
即使磁盘被盗或丢失,您的数据也将无法被解密。
- 透明性:一旦您启动BitLocker,您可以像往常一样使用计算机,而无需额外的步骤或令牌来访问数据。
- 兼容性:BitLocker可以与其他安全功能(如安全启动、TPM(可信任平台模块)以及Windows安全性功能)无缝集成,提供全面的数据保护。
- 灵活性:BitLocker可以在不同的存储介质上工作 - 无论是在内部硬盘、外部硬盘还是USB闪存驱动器上。
3. 使用BitLocker的前提条件- 支持硬件:BitLocker需要计算机上的一些硬件组件,如TPM芯片(可信任平台模块)来提供额外的安全性。
如果计算机没有TPM芯片,BitLocker也可以使用额外的启动PIN或USB闪存驱动器来启动。
- 版本限制:BitLocker可用于Windows 7旗舰版、Windows 8/8.1专业版和企业版,以及Windows 10专业版和企业版。
其他版本的Windows操作系统可能无法使用BitLocker。
- 空间要求:启用BitLocker需要足够的可用磁盘空间来创建加密的驱动器。
4. 启用BitLocker的步骤步骤1:打开控制面板,选择“系统和安全”,然后选择“BitLocker管理”步骤2:在您要加密的磁盘上右键单击,并选择“启用BitLocker”步骤3:根据您的选择,选择使用TPM、启动PIN或USB驱动器进行启动认证。
步骤4:选择一个恢复密码选项,以防忘记启动PIN或丢失USB驱动器。
Windows_Server_2008_R2版本和功能
版本
特定版本
64 个物理处理器 2 TB RAM 无限的虚拟化权利 热增加/替换内存 替换内存* 热增加 替换内存 热增加/替换处理器 热增加 替换处理器* 替换处理器 故障转移群集 Cross-Fire复制 Active Directory联合服务 Active Directory证书服务 无限的RRAS、IAS连接 无限的RDS网关连接 无限的DFS Roots
Windows Server 2008 R2 Enterprise为关键业务提供了更符合成本效益、更可靠的支持,是一个先进的服务 器平台。它在虚拟化、节能和可管理性方面提供了创新功能,帮助移动工作者更容易地访问公司资源。
Windows Server 2008 R2 Datacenter为关键业务提供了更符合成本效益、更可靠的支持,是一个先进的服 务器平台。它在虚拟化、节能和可管理性方面提供了创新功能,帮助移动工作者更容易地访问公司资源。
4 个物理处理器 32 GB RAM 仅Web 角色(IIS) 用于Internet Web服务器
4 个物理处理器 32 GB RAM 1 个虚拟机+主机
1个物理处理器 15用户限制 8 GB RAM
服务器角色
Web服务(IIS) 应用程序服务器 打印和文件服务 Hyper-V Active Directory 域服务 Active Directory 轻型目录服务 Active Directory Rights Management Services DHCP服务器 DNS服务器 Fax服务器 UDDI服务 Windows部署服务 Active Directory证书服务 文件服务 网络策略和访问服务 远程桌面服务 Active Directory联合服务 Windows Server Update Services (WSUS)
BitLocker和BitLockerToGo简化驱动器的加密和密钥管理
重要BitLocker组策略
Computer\Administrative Template\Windows Components\BitLocker Drive Encryption
OSD下Require additional authentication at startup
TPM当中包含的SRK (Storage Root Key,存储启动密钥)。 存储启动密钥实现对VMK (Volume Master Key,卷主密钥)的加密。 卷主密钥实现对FVEK (Full Volume Encryption Key,整卷加密密钥) 的 加密– 整卷加密密钥用以实现对真实 数据的加密。 整卷加密密钥和卷主密钥存储在加密 的操作系统卷上。
解锁磁盘
管理BitLocker™
/China/TechNet
Windows 7 BitLocker To Go™
管理BitLocker™可移动磁盘
数据磁盘
添加、删除或修改数 据磁盘密码 添加或删除智能卡 添加或删除自动解锁 复制数据磁盘修复密 钥/密码
管理 BitLocker ™
操作系统磁盘
备份其恢复密钥/密码 重置其PIN 备份其启动密钥
/China/TechNet
Windows 7当中的BitLocker™
修复功能的改进
管理和恢复工具
BitLocker™工具进行了升级以支持Windows 7 的功能 Manage-BDE现在是可实现的 Manage-BDE和修复工具现在是Windows PE ,Windows RE和Windows 7的组成部分。
200MB;包含有 WinRE的大小为
400MB。
无需特别指定分区符 号。
BitLocker 驱动器加密操作指南:使用 AD DS 恢复加密卷
BitLocker 驱动器加密操作指南:使用 AD DS 恢复加密卷更新时间: 2008年5月应用到: Windows Server 2008, Windows Vista本文档介绍了组织如何使用保存在 Active Directory 域服务 (AD DS) 中的 BitLocker 恢复信息来访问 BitLocker 加密的数据。
我们建议您在计划 BitLocker 部署时为 BitLocker 创建完全恢复模式。
本文档介绍了哪些内容?本文中包含您在计划Windows Vista® Enterprise、Windows Vista® Ultimate 和Windows Server® 2008 的 BitLocker 恢复过程时可以使用的详细信息。
要正确了解和应用本文,您应该知道如何将 AD DS 设置为自动备份 BitLocker 恢复信息,以及保存到 AD DS 的恢复信息类型。
本文档包含下列主题:∙什么是 BitLocker 恢复?∙测试恢复∙计划恢复过程∙使用其他恢复信息∙附录 A:委派权限∙附录 B:重置恢复密码∙附录 C:检索 BitLocker 密钥数据包∙附录 D:保存 TPM 信息本文档没有介绍哪些内容?本文没有详细介绍如何配置 AD DS 以存储 BitLocker 恢复信息,但着重说明了您的组织可以计划恢复过程的方法。
您还可以通过使用 Windows 恢复环境 (Windows RE) 并在启动过程中输入恢复密码来恢复启用 BitLocker 的卷。
有关如何在 AD DS 中存储恢复信息的详细信息,请参阅“配置 Active Directory 以备份 Windows BitLocker 驱动器加密和受信任的平台模块恢复信息”(/fwlink/?LinkId=82827)。
什么是 BitLocker 恢复?在所有恢复方案中,AD DS 中存储的恢复密码可以解除对驱动器的访问锁定。
实验1-3 使用Windows server 2008 BitLocker保护硬盘数据
使用Windows server 2008 BitLocker保护硬盘数据在Windows Windows server 2008中,新加入了一个叫做BitLocker的数据保护功能,他可以提供磁盘级的数据加密能力。
作为Windows Windows server 2008企业版和旗舰版的标准组件,BitLocker在某些情况下甚至可以代替Windows EFS (加密文件系统) 。
在本文中,我将向大家介绍如何开启BitLocker,并让它对启动分区(一般来说就是C盘)进行保护。
在开始前,我们首先了解一下BitLocker加密功能实现的最低系统需求。
下表是开启BitLocker的最低需求。
*需要本地或活动目录组策略的调整以便可以使用U盘。
**此项内容并没有在官方文档中出现,但是如果启动分区少于50GB,很可能会出现"insufficient space errors"(不足的磁盘空间)错误。
我并不肯定具体的磁盘需求是多大,但是设置到50GB以上确实可以避免BitLocker报错。
一旦微软就此问题给了明确答复,我会及时更新本文档内容。
1.5 GB NTFS活动系统分区是用来存放Windows server 2008操作系统启动时所需的必要文件的,这些文件不能被EFS加密。
另外50+GB启动分区是Windows系统所安装的分区,也是存放页面文件和临时文件的分区,因为EFS系统同样无法对这些内容进行加密,因此必需由BitLocker进行保护。
要实现以上需求,最好的方法是在安装windows server 2008前先创建一个1.5GB的分区和一个50GB 以上的分区。
如果已经安装了Windows server 2008,也不用后悔,一个叫做的工具可以自动帮助你重新对硬盘进行分区。
如果你已经手动分出了一个1.5GB的分区,那么也需要使用BitLocker Drive Preparation Tool工具自动将某些必需的文件从Windows Windows server 2008安装目录移动到1.5GB的活动分区中。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南更新时间: 2009年11月应用到: Windows Server 2008, Windows Vista此循序渐进指南提供了在测试实验室环境中设置 Windows(R) BitLocker(TM) 驱动器加密所需的说明。
建议您在生产环境中不要使用本指南。
在没有其他文档(列在其他资源部分中)的情况下,不一定必须使用循序渐进指南才能部署Windows Server® 2008 操作系统功能,应将其作为独立的文档谨慎使用。
什么是 BitLocker 驱动器加密?BitLocker 是客户端计算机的Windows Vista® Enterprise 和Windows Vista® Ultim ate 操作系统以及 Windows Server 2008 操作系统中可用的一项数据保护功能。
BitLocker 提供增强的保护功能,防止数据偷窃或在丢失或被盗的计算机上公开,确保在受 BitLocker 保护的计算机解除授权时执行更安全的数据检测。
已丢失或已盗计算机上的数据容易受到未经授权的访问,方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。
BitLocker 通过组合两个主要的数据保护步骤帮助减少在已丢失或已盗计算机上进行的未经授权的数据访问:∙加密硬盘上的整个 Windows 操作系统卷和数据卷。
BitLocker 对操作系统卷中的所有用户文件和系统文件(包括交换文件和休眠文件)进行加密,还可以对数据卷进行加密。
∙检查早期启动组件和启动配置数据的完整性。
在装有受信任的平台模块 (TPM) 版本 1.2 的计算机上,BitLocker 利用 TPM 的增强安全性功能来帮助确保只有在计算机的启动组件未经改动且加密磁盘位于原始计算机上时,才可以访问数据。
BitLocker 紧密集成到 Windows Vista 和 Windows Server 2008 中,且为企业提供便于管理和配置的增强的数据保护。
例如,BitLocker 可以使用现有的 Active Directory 域服务 (AD DS) 基础结构远程存储 BitLocker 恢复密钥。
BitLocker 还提供了一个恢复控制台,可用于启用未加入域的计算机或无法连接域(例如,字段中的计算机)的计算机的数据检索功能。
应使用 BitLocker 驱动器加密的用户本指南主要供以下用户参考:∙评估产品的 IT 计划者和分析者∙安全架构师在本指南中本指南的目的是帮助管理员熟悉 Windows Server 2008 的 BitLocker 驱动器加密功能。
下面各部分提供管理员在自己的网络中配置和部署 BitLocker 所需的基本信息和步骤。
方案 1 提供有关创建 BitLocker 驱动器加密所需的两个分区的说明。
方案 2 描述如何在服务器上安装 BitLocker。
方案 3 说明了如何使用 BitLocker 和 TPM 对硬盘进行加密。
方案 4 描述如何使用 BitLocker 对服务器上的数据卷进行加密。
方案 5 描述如何在不带 TPM 的计算机上使用 BitLocker。
方案 6 描述如何在锁定后访问加密数据,以及如何通过生成锁定对 BitLocker 进行测试。
方案 7 指导您关闭 BitLocker。
∙BitLocker 驱动器加密的要求∙方案 1:为 BitLocker 驱动器加密对硬盘进行分区∙方案 2:安装 BitLocker 驱动器加密∙方案 3:打开基本 BitLocker 驱动器加密∙方案 4:为服务器数据卷打开 BitLocker 驱动器加密∙方案 5:在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密∙方案 6:恢复由 BitLocker 驱动器加密保护的数据∙方案 7:关闭 BitLocker 驱动器加密∙其他资源BitLocker 驱动器加密的要求这些步骤仅供测试使用。
本指南不应是用于部署 Windows Server 2008 或 Windows Vista 功能的唯一资源。
硬件和软件要求∙满足 Windows Server 2008 的最低要求的计算机。
∙TPM 版本 1.2,已打开。
(方案 3 和 4)。
∙与受信任计算组 (TCG) 兼容的 BIOS(方案 3 和 4)。
∙两个 NTFS 磁盘分区,一个用于系统卷,一个用于操作系统卷。
系统卷分区必须至少为 1.5 GB 并设置为活动分区(方案 1)。
∙首先从硬盘驱动器(而不是 USB 或 CD 驱动器)启动的 BIOS 设置。
备注∙我们强烈建议在启用 BitLocker 后不要运行内核调试程序,因为可以通过该调试程序访问加密密钥和其他敏感数据。
但是,可以在启用 BitLocker 之前启用内核调试。
如果在启用 BitLocker 后启用内核调试,则每次重新启动计算机时,系统都会自动启动恢复过程。
如果启用启动调试程序(使用“-bootdebug”选项执行内核调试),则每次重新启动计算机时,系统都会自动启动恢复进程。
方案 1:为 BitLocker 驱动器加密对硬盘进行分区为了使用 BitLocker,您的硬盘上必须至少包含两个分区。
第一个分区为系统卷;在本文档中系统卷标记为 S。
此卷包含未加密空间中的启动信息。
第二个分区为操作系统卷;在本文档中操作系统卷标记为 C。
该卷已加密,并包含操作系统和用户数据。
必须在安装 Windows Server 2008 之前创建这些分区。
备注方案 1 描述如何创建 BitLocker 所需的两个分区。
该过程假设您已备份磁盘上的所有数据。
如果您有一个仅带单个分区的未使用磁盘,请按照为 BitLocker 对不带操作系统的磁盘进行分区中的步骤进行操作。
∙如果您有一个仅带单个分区的未使用磁盘,请按照为 BitLocker 对不带操作系统的驱动器进行分区中的步骤进行操作。
备注备注为 BitLocker 对不带操作系统的磁盘进行分区在此过程中,将从产品 DVD 启动计算机,然后输入一系列命令执行以下操作:∙创建一个新的 1.5 GB 主分区。
∙将此分区设置为活动分区。
∙使用磁盘上的剩余空间创建第二主分区。
∙格式化这两个新分区,以便将其用作 Windows 卷。
∙将 Windows Server 2008 安装在较大的卷(驱动器 C)上。
备注您的驱动器号可能与本示例中的不对应。
在本示例中,操作系统卷标记为 C,系统卷标记为 S(代表系统卷)。
在本示例中,我们还假设该系统只有一个物理硬盘驱动器。
针对 BitLocker 对没有操作系统的磁盘进行分区的步骤1.从 Windows Server 2008 产品 DVD 启动计算机。
2.在最先显示的“安装Windows”屏幕上,选择“安装语言”、“时间和货币格式”及“键盘布局”,然后单击“下一步”。
3.在下一个“安装Windows”屏幕上,单击屏幕左下角的“修复计算机”。
4.在“系统恢复选项”对话框中,确保未选中任何操作系统。
为此,请单击“操作系统”列表中所有列出项下面的空白区域。
然后,单击“下一步”。
5.在下一个“系统恢复选项”对话框中,单击“命令提示符”。
6.使用 Diskpart 创建操作系统卷的分区。
在命令提示符下,键入diskpart,然后按 Enter。
7.键入select disk 0。
8.键入clean以清除现有分区表。
9.键入create partition primary size=1500以将正在创建的分区设置为主分区。
10.键入assign letter=S以便为此分区提供 S 表示符。
11.键入active以便将新的分区设置为活动分区。
12.键入create partition primary以创建另一个主分区。
您将在这一较大的分区上安装 Windows。
13.键入assign letter=C以便为此分区提供 C 表示符。
14.键入list volume以查看此磁盘上的所有卷的显示。
您将看到列出的每个卷、卷编号、卷号、标签、文件系统、类型、大小、状态和信息。
检查您具有一个 DVD 安装卷和两个磁盘卷,并且您知道用于每个卷的标签。
15.键入exit以离开 Diskpart 应用程序。
16.键入format c: /y /q /fs:NTFS以便对 C 卷正确进行格式化。
17.键入format s: /y /q /fs:NTFS以便对 S 卷正确进行格式化。
18.键入exit以离开命令提示符。
19.在“系统恢复选项”窗口中,使用右上角的关闭窗口图标(或者按 Alt+F4)关闭窗口,返回主安装屏幕。
(切勿单击“关机”或“重新启动”。
)20.单击“现在安装”,继续执行 Windows Server 2008 安装过程。
在较大的卷 C(操作系统卷)上安装 WindowsServer 2008。
方案 2:安装 BitLocker 驱动器加密方案 2 概括如何在服务器上安装 BitLocker 驱动器加密。
对于服务器安装,您必须安装 BitLocker 功能。
开始之前您必须以管理员身份登录。
备注在初始配置期间安装 BitLocker 的步骤1.安装 Windows Server 2008 时,将出现“初始配置任务”窗口。
2.选择“添加功能”,然后安装 BitLocker 驱动器加密。
3.重新启动服务器。
您还可以使用服务器管理器来安装 BitLocker。
使用 Windows 用户界面安装后安装 BitLocker 的步骤1.依次单击“开始”、“服务器管理器”、“添加功能”和“BitLocker 驱动器加密”。
2.重新启动服务器。
您还可以在命令提示符下安装 BitLocker。
使用命令提示符安装后安装 BitLocker 的步骤1.以管理员身份打开命令提示符窗口。
若要进行此操作,请依次单击“开始”按钮、“所有程序”和“附件”。
2.右键单击“命令提示符”,然后单击“以管理员身份运行”。
3.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
4.在命令提示符下键入以下命令:ServerManagerCmd -install BitLocker -restart如果您尚未安装 BitLocker,则此操作将对其进行安装。
5.重新启动服务器。
方案 3:打开基本 BitLocker 驱动器加密方案 3 概括介绍了在带有 TPM 的系统中打开 BitLocker 驱动器加密保护功能的过程。
加密卷后,用户可以正常登录计算机。
开始之前∙您必须以管理员身份登录。
∙此服务器上必须安装了 BitLocker。