BitLocker 驱动器加密

了解有关BitLocker驱动器加密的更多信息

BitLocker驱动器加密可为丢失或被盗的操作系统驱动器、固定数据驱动器和可移动数据驱动器提供保护。BitLocker是通过以下方法来提供保护的：加密驱动器的内容并要求用户对其凭据进行身份验证来访问该信息。在安装Windows 的驱动器上，BitLocker使用受信任的平台模块(TPM) 来检测计算机的关键启动进程是否已被篡改。另外，可能要求用户提供PIN 或启动密钥才能访问驱动器数据。在固定数据驱动器和可移动数据驱动器上，用户可以通过使用密码、通过使用智能卡或通过自动解锁驱动器来访问受BitLocker保护的驱动器。

操作系统驱动器的BitLocker专门用于处理具有兼容TPM 安全硬件和BIOS 的系统。若要与BitLocker兼容，计算机制造商必须遵守受信任计算组(TCG) 定义的标准。有关TCG 的详细信息，请访问受信任计算组网站(/fwlink/?LinkId=67440)。

启用BitLocker

BitLocker安装向导可以从控制面板或Windows 资源管理器启动，它用于在计算机上安装的固定数据驱动器或可移动数据驱动器上启用BitLocker，或者用于在具有兼容TPM 的计算机的操作系统驱动器上启用BitLocker。如果希望在不带TPM 的计算机的操作系统驱动器上启用BitLocker，或者使用其他BitLocker功能和选项，则可以修改BitLocker组策略设置，这些设置控制通过BitLocker安装向导可以访问哪些功能。

在带有兼容TPM 的计算机上，可以使用以下四种方式解锁受BitLocker保护的操作系统驱动器：

仅TPM。使用“仅TPM”验证不要求与用户进行任何交互来解密驱动器及提供对驱动器的访问。如果TPM 验证成功，则用户登录体验与标准登录相同。如果缺少或已更改TPM，或者如果TPM 检测到关键的操作系统启动文件发生更改，则BitLocker将进入其恢复模式，需要恢复密码才能重新获得对数据的访问权限。

有启动密钥的TPM。除TPM 提供的保护之外，会将部分加密密钥存储在USB 闪存驱动器中。这称为启动密钥。没有启动密钥将无法访问加密卷上的数据。

有PIN 的TPM。除TPM 提供的保护之外，BitLocker还要求用户输入个人标识号(PIN)。如果不输入PIN，将无法访问加密卷上的数据。

有启动密钥和PIN 的TPM。此选项仅可以通过使用Manage-bde命令行工具进行配置。除TPM 提供的核心组件保护之外，会将加密密钥的一部分存储在USB 闪存驱动器上，并且需要一个PIN 来验证用户对TPM 的访问权限。这会提供多重身份验证，这样，如果USB 密钥丢失或被盗，因为还需要正确的PIN，所以不能使用USB 密钥访问驱动器。

注意

建议始终将默认的Windows TPM 驱动程序与BitLocker一起使用。如果安装了非Microsoft TPM 驱动程序，则它可能会阻止加载默认TPM 驱动程序并导致BitLocker报告计算机上不存在TPM。在这种情况下，BitLocker将不能使用TPM。如果将组策略设置配置为要求将BitLocker与TPM 一起使用，则直到删除非Microsoft 驱动程序，才能启用BitLocker。

若要使用BitLocker保护不带TPM 的计算机上的操作系统驱动器，可以使用下列选项：

仅启动密钥。所有必需的加密密钥信息均存储在USB 闪存驱动器上。启动过程中，用户必须在计算机中插入USB 闪存驱动器。存储在USB 闪存驱动器上的密钥将解锁计算机。计算机没有TPM 时，读取加密驱动器所需的所有信息均包含在启动密钥中。建议使用TPM，因为它可帮助防止计算机关键启动过程受到攻击。

在固定数据驱动器或可移动数据驱动器上启用BitLocker时，BitLocker可以使用下列解锁方法：

密码。可以使用密码对固定数据驱动器（如内部硬盘驱动器）和可移动数据驱动器（如外部硬盘驱动器和USB 闪存驱动器）进行解锁。组策略设置可以用于设置最小密码长度。

智能卡。若要将智能卡与BitLocker一起使用，必须在智能卡上具有兼容的证书。除非您有多个兼容的证书（在此情况下，必须选择要使用的证书），否则BitLocker将自动选择证书。

安全注意事项

在使用智能卡对驱动器加密时，会在该驱动器上创建一个基于证书的保护程序。此保护程序包含驱动器解锁所需的一些未加密信息。用于加密驱动器的证书的公钥和指纹以未加密的形式存储在驱动器上保护程序的元数据中。此信息可以用于识别颁发证书的证书颁发机构(CA)。

自动解锁。可以将使用BitLocker加密的固定数据驱动器配置为在登录到Windows 时自动解锁。在加密可移动数据驱动器之后，可以选择对其进行自动解锁。若要能够自动解锁固定数据驱动器，还必须使用BitLocker对安装Windows 的驱动器进行加密。

访问受BitLocker保护的数据驱动器上的内容

在使用BitLocker保护数据驱动器之后，会立即在显示内容之前验证对驱动器的访问权限。在解锁操作系统驱动器之后，可以自动解锁固定数据驱动器。如果该驱动器未自动解锁，则可以单击“计算机”来显示计算机上的驱动器，右键单击该驱动器，然后单击“解锁”，或者使用“控制面板”中的“BitLocker驱动器加密”项目。根据为计算机配置的身份验证方法，将自动解锁驱动器，或者提示您提供智能卡或密码。如果将可移动数据驱动器插入计算机，则在检测到驱动器受BitLocker保护之后，将提示您提供密码或智能卡。

恢复选项

为了防止在发生TPM 故障、忘记密码或丢失智能卡或USB 密钥时失去对受BitLocker保护的驱动器的访问权限，具有一种管理员用于获取对BitLocker驱动器的访问权限的方式是很重要的。BitLocker支持下列用于恢复对受保护驱动器的访问权限的方法：

恢复密钥或恢复密码。可以将恢复密钥或恢复密码与BitLocker一起使用。如果BitLocker密钥不可用（如在丢失智能卡或忘记用户密码的情况下），则可以使用一个48 位的恢复密码来解锁受保护的驱动器。还可以使用已存储到可移动媒体（如USB 闪存驱动器）上的某个文件中的恢复密钥代替密码来解锁受保护的驱动器。