BitLocker 驱动器加密是在 Windows Server 2008 R2 以及某些版本的 Windows 7 中提供的一项数据保护功能。将 BitLocker 与操作系统集成后,可以消除数据被盗或者由于计算机丢失、被盗或解除授权不当而导致数据公开的威胁。

已丢失或被盗计算机上的数据容易受到未经授权的访问,方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。BitLocker 通过增强对文件和系统的保护来帮助减少未经授权的数据访问。当受 BitLocker 保护的计算机被解除授权或回收时,BitLocker 还可以帮助使数据无法访问。

BitLocker 在与受信任的平台模块 (TPM) 1.2 版一起使用时可提供最有力的保护。TPM 是计算机制造商在很多较新的计算机上安装的硬件组件。它与 BitLocker 结合使用可以帮助保护用户数据,并且确保当系统脱机时,计算机不会被篡改。

在没有 TPM 1.2 版的计算机上,仍然可以使用 BitLocker 加密 Windows 操作系统驱动器。但是,实现此功能将要求用户插入 USB 启动密钥来启动计算机或从休眠中恢复,而不提供 BitLocker 与 TPM 结合使用所提供的预启动系统完整性验证。

除了 TPM 之外,BitLocker 还提供锁定正常启动过程的选项,直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动设备(如 USB 闪存驱动器)。这些附加的安全措施提供多重身份验证,保证在提供正确的 PIN 或启动密钥之前,计算机不会启动或从休眠中恢复。

系统完整性验证

BitLocker 可以使用 TPM 验证早期启动组件和启动配置数据的完整性。这有助于确保仅在这些组件尚未被篡改,并且已加密的驱动器位于原始计算机中时,BitLocker 才能使已加密的驱动器可以访问。

BitLocker 通过采取下列措施帮助确保启动过程的完整性:

  • 提供一种方法,用于检查是否保持了早期启动文件的完整性,并且帮助确保尚未对这些文件进行对抗性修改,如引导扇区病毒或 rootkit。

  • 增强保护以减少基于脱机软件的攻击。可能启动系统的任何其他软件都没有权限访问 Windows 操作系统驱动器的解密密钥。

  • 当系统被篡改时锁定系统。如果任何监视的文件已被篡改,则系统不会启动。由于系统无法正常启动,因此这可以警告用户有人篡改。如果发生系统锁定,BitLocker 可以提供一个简单的恢复过程。

硬件、固件和软件要求

若要使用 BitLocker,计算机必须符合某些要求:

  • 为使 BitLocker 利用 TPM 提供的系统完整性检查,计算机必须具有 TPM 1.2 版。如果您的计算机没有 TPM,则启用 BitLocker 将要求您将启动密钥保存在可移动设备(如 USB 闪存驱动器)上。

  • 具有 TPM 的计算机还必须具有符合受信任计算组 (TCG) 的 BIOS。BIOS 为预操作系统启动建立了一个信任链,并且必须包括对 TCG 指定的信任度量静态根的支持。没有 TPM 的计算机不需要符合 TCG 的 BIOS。

  • 系统 BIOS(对于 TPM 和非 TPM 计算机)必须支持 USB 大容量存储设备类别,包括读取预操作系统环境中 USB 闪存驱动器上的小文件。有关 USB 的详细信息,请参阅 USB 网站上的“仅 USB 大容量存储”和“大容量存储 UFI 命令”规范 (https://go.microsoft.com/fwlink/?LinkId=83120)(可能为英文网页)。

  • 必须将硬盘至少分区为两个驱动器:

    • 操作系统驱动器(或启动驱动器)包含操作系统及其支持文件;必须使用 NTFS 文件系统对其进行格式化。

    • 系统驱动器包含 BIOS 已准备好系统硬件之后加载 Windows 所需的文件。在此驱动器上不启用 BitLocker。若要使 BitLocker 起作用,系统驱动器一定不要加密,它必须区别于操作系统驱动器,并且必须使用 NTFS 文件系统进行格式化。系统驱动器应该至少为 1.5 千兆字节 (GB)。

安装和初始化

BitLocker 自动作为操作系统安装的一部分安装。但是,在使用 BitLocker 设置向导(可以从控制面板或者通过右键单击 Windows Explorer 中的驱动器进行访问)打开 BitLocker 之前,一直不启用它。

在安装和进行初始操作系统设置之后的任何时间,系统管理员可以使用 BitLocker 设置向导初始化 BitLocker。在初始化的过程中有两个步骤:

  1. 在具有 TPM 的计算机上,通过使用 TPM 初始化向导、控制面板中的“BitLocker 驱动器加密”项或通过运行为对 TPM 进行初始化而设计的脚本来初始化 TPM。

  2. 设置 BitLocker。从控制面板中访问 BitLocker 设置向导,该向导将指导您完成设置并提供高级身份验证选项。

当本地管理员初始化 BitLocker 时,管理员还应该创建恢复密码或恢复密钥。如果没有恢复密钥或恢复密码,则加密驱动器上的所有数据将不可访问,并且当 BitLocker 保护的驱动器出现问题时这些数据将不可恢复。

注意

必须由计算机上本地管理员组的成员执行 BitLocker 和 TPM 初始化。

有关配置和部署 BitLocker 的详细信息,请参阅“Windows BitLocker 驱动器加密循序渐进指南”(https://go.microsoft.com/fwlink/?LinkID=140225)(可能为英文网页)。

企业实现

BitLocker 可以使用企业现有的 Active Directory 域服务 (AD DS) 基础结构远程存储恢复密钥。BitLocker 提供一个用于设置和管理的向导,并且通过支持脚本的 Windows Management Instrumentation (WMI) 接口提供可扩展性和可管理性。BitLocker 还具有一个已集成到早期启动过程中的恢复控制台,能够使用户或支持人员重新获得对锁定计算机的访问权限。

有关为 BitLocker 编写脚本的详细信息,请参阅 Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983)(可能为英文网页)。

计算机解除授权和回收

目前,很多个人计算机被该计算机最初所有者或用户之外的人重新使用。在企业方案中,可能将计算机重新部署到其他部门,或者将计算机回收为标准计算机硬件刷新循环的一部分。

在未加密的驱动器上,甚至对驱动器进行格式化之后,数据可能仍然可读。企业通常利用多次覆盖或物理破坏来减少暴露已解除授权的驱动器上的数据的风险。

BitLocker 可以帮助创建一个简单、经济有效解除授权过程。通过保持数据由 BitLocker 加密,然后删除密钥,企业可以永久减少暴露该数据的风险。删除所有 BitLocker 密钥之后,几乎不可能访问由 BitLocker 加密的数据,因为这需要破解 128 位或 256 位 AES 加密。

BitLocker 安全注意事项

BitLocker 无法保护计算机免遭所有可能的攻击。例如,如果恶意用户或程序(如病毒或 rootkit)在计算机丢失或被盗之前就具有对该计算机的访问权限,则他们可能通过访问加密的数据并由此引入漏洞。如果 USB 启动密钥保留在计算机中,或者 PIN 或 Windows 登录密码没有保密,则 BitLocker 保护可能也不起作用。

仅 TPM 身份验证模式最容易部署、管理和使用。这更适合于无人参与的计算机或必须在无人参与时重新启动的计算机。但是,仅 TPM 模式提供最少量的数据保护。如果您组织的几个部分在移动计算机上具有认为非常敏感的数据,则考虑在这些计算机上部署具有多重身份验证的 BitLocker。

有关 BitLocker 安全注意事项的详细信息,请参阅用于移动 PC 的数据加密工具包 (https://go.microsoft.com/fwlink/?LinkId=85982)(可能为英文网页)。

在服务器上实现 BitLocker

对于共享的或潜在不安全的环境中的服务器(如分支机构位置),可以使用 BitLocker 对操作系统驱动器及同一服务器上的其他数据驱动器进行加密。

默认情况下,不对 Windows Server 2008 R2 安装 BitLocker。可从 Windows Server 2008 R2“服务器管理器”页添加 BitLocker。在服务器上安装 BitLocker 之后,必须重新启动。使用 WMI,可以远程启用 BitLocker。

使用 64 位处理器体系结构的可扩展固件接口 (EFI) 服务器上支持 BitLocker。

注意

BitLocker 不支持群集配置。

密钥管理

利用 BitLocker 加密和保护驱动器后,本地和域管理员可以使用控制面板的“BitLocker 驱动器加密”项中的“管理 BitLocker”页更改密码以解除驱动器锁定、从驱动器删除密码、添加智能卡以解除驱动器锁定、再次保存或打印恢复密钥、自动解除驱动器锁定、复制密钥以及重置 PIN。

注意

可以在计算机上使用的密钥类型可通过使用组策略进行控制。有关将组策略与 BitLocker 一起使用的详细信息,请参阅“BitLocker 部署指南”(https://go.microsoft.com/fwlink/?LinkID=140286)(可能为英文网页)。

临时禁用 BitLocker 保护

管理员可能希望在某些情况下临时禁用 BitLocker,如:

  • 在不需要用户输入(例如,PIN 或启动密钥)的情况下,重新启动计算机进行维护。

  • 更新 BIOS。

  • 安装具有可选只读存储器(选项 ROM)的硬件组件。

  • 在没有触发 BitLocker 恢复的情况下升级关键的早期启动组件。例如:

    • 安装不同版本的操作系统或另一个操作系统,这可能会更改主启动记录 (MBR)。

    • 对磁盘重新进行分区,这可能会更改分区表。

    • 执行其他系统任务,这些任务会更改由 TPM 验证的启动组件。

  • 在没有触发 BitLocker 恢复的情况下,升级主板以更换或移除 TPM。

  • 在没有触发 BitLocker 恢复的情况下,关闭(禁用)或清除 TPM。

  • 在没有触发 BitLocker 恢复的情况下,将受 BitLocker 保护的驱动器移动到另一台计算机。

这些方案统称为计算机升级方案。可以通过控制面板中的“BitLocker 驱动器加密”项启用或禁用 BitLocker。

升级受 BitLocker 保护的计算机需要执行以下步骤:

  1. 通过将 BitLocker 置于禁用模式临时关闭 BitLocker。

  2. 升级系统或 BIOS。

  3. 再次打开 BitLocker。

强制 BitLocker 进入禁用模式将使驱动器保持加密,但将用存储在硬盘上的未加密对称密钥对驱动器主密钥进行加密。使用这个未加密的密钥会禁用由 BitLocker 提供的数据保护,但会确保随后的计算机启动成功,而无需用户进一步输入。再次启用 BitLocker 时,将从磁盘中删除未加密的密钥,并且再次打开 BitLocker 保护。此外,再次对驱动器主密钥设置密钥并加密。

将加密的驱动器(即物理磁盘)移动到另一台受 BitLocker 保护的计算机不需要任何附加步骤,因为保护驱动器主密钥的密钥以未加密形式存储在磁盘上。

小心

暴露驱动器主密钥(即使是短暂的一段时间)也会有安全风险,因为当这些密钥以未加密密钥形式暴露时,攻击者可能已经访问了此驱动器主密钥以及整个驱动器加密密钥。

有关禁用 BitLocker 的详细信息,请参阅“Windows BitLocker 驱动器加密循序渐进指南”(https://go.microsoft.com/fwlink/?LinkID=140225)(可能为英文网页)。

系统恢复

很多方案可以触发恢复过程,例如:

  • 将 BitLocker 保护的驱动器移动到新的计算机上。

  • 安装具有新的 TPM 的新主板。

  • 关闭、禁用或清除 TPM。

  • 更新 BIOS。

  • 更新选项 ROM。

  • 升级关键的早期启动组件,从而导致系统完整性验证无法通过。

  • 在已启用 PIN 身份验证时,忘记 PIN。

  • 在已启用启动密钥身份验证时,丢失包含启动密钥的 USB 闪存驱动器。

作为一种访问控制机制,管理员也可以触发恢复(例如,在计算机重新部署期间)。管理员可以决定锁定加密的驱动器,并且要求用户获得 BitLocker 恢复信息才能解除驱动器锁定。

恢复设置

使用组策略,IT 管理员可以选择需要、不允许何种恢复方法,或由启用 BitLocker 的用户进行选择。可以将恢复密码存储在 AD DS 中,管理员可以使该选项必选、禁用或由该计算机的每个用户选择。此外,还可以将恢复数据存储在 USB 闪存驱动器上。

恢复密码

恢复密码是随机生成的 48 位数,可以在 BitLocker 设置期间创建该密码。如果计算机进入恢复模式,则系统会提示用户通过使用功能键(F0 到 F9)键入此密码。启用 BitLocker 之后,可以对恢复密码进行管理和复制。使用控制面板中的“BitLocker 驱动器加密”项中的“管理 BitLocker”页,可以打印恢复密码,或者将恢复密码保存到某个文件中以便将来使用。

域管理员可以将组策略配置为自动生成恢复密码,并在启用 BitLocker 之后将其备份到 AD DS。域管理员还可以选择只有当计算机连接到网络并且恢复密码的 AD DS 备份成功时才允许 BitLocker 对驱动器进行加密。

恢复密钥

在 BitLocker 设置期间,可以创建恢复密钥并将其保存到 USB 闪存驱动器;启用 BitLocker 之后,还可以对其进行管理和复制。如果计算机进入恢复模式,则会提示用户将恢复密钥插入计算机。

目录