BitLocker 磁碟機加密是 Windows Server 2008 R2 和部分 Windows 7 版本提供的資料保護功能。整合 BitLocker 與作業系統,可解決因遺失、遭竊或不適當地解除電腦的委任而導致的資料遭竊或暴露威脅。
惡意使用者可以在遺失或遭竊的電腦上執行軟體攻擊工具,或者將電腦的硬碟轉移到其他電腦,即可在未經授權的情況下存取電腦上的資料。BitLocker 藉由增強檔案和系統保護來減少未經授權的資料存取。當受 BitLocker 保護的電腦被解除委任或回收的時候,BitLocker 也可以將資料轉換成無法存取。
BitLocker 與 Trusted Platform Module (TPM) 1.2 版搭配使用,可提供最大的保護。TPM 是電腦製造商在許多新型電腦中會安裝的硬體元件。TPM 與 BitLocker 搭配使用可協助保護使用者資料,同時確保電腦在系統離線時未遭到任何竄改。
在未安裝 TPM 1.2 版的電腦上,您還是可以使用 BitLocker 加密 Windows 作業系統磁碟機。不過,這項實作需要使用者插入 USB 啟動金鑰,讓電腦啟動或從休眠狀態繼續作業,但不提供搭配 TPM 使用的 BitLocker 所提供的預先啟動系統完整性驗證。
除了 TPM 之外,在使用者提供個人識別碼 (PIN) 之前,或插入包含啟動金鑰的卸除式裝置 (例如 USB 快閃磁碟機) 之前,BitLocker 也可以鎖住正常啟動程序。這些額外的安全方法提供多因素驗證,並確保在提供正確的 PIN 以及啟動金鑰以前,電腦不會從休眠狀態啟動或繼續作業。
系統完整性驗證
BitLocker 可以使用 TPM 驗證先前開機元件和開機設定資料的完整性。這有助於確保 BitLocker 只有在那些元件未遭到竄改,且加密磁碟機位於原始電腦時,才讓加密的磁碟機可供存取。
BitLocker 有助於確保啟動程序的完整性,採取的動作如下:
-
提供檢查先前開機檔案完整性受到維護的方法,並協助確保那些檔案未遭到惡意修改 (例如開機磁區病毒或 rootkit)。
-
增強保護以減少離線軟體式攻擊。任何可能啟動系統的替代軟體,都無法存取 Windows 作業系統磁碟機的解密金鑰。
-
在系統遭到竄改時即予以鎖定。如果任何受監視的檔案遭到竄改,系統就無法啟動。因為系統無法如往常啟動,所以這可提醒使用者電腦遭到竄改。發生系統鎖定時,BitLocker 提供非常簡單的修復程序。
硬體、韌體和軟體需求
若要使用 BitLocker,電腦必須滿足特定需求:
-
為了讓 BitLocker 使用 TPM 提供的系統完整性檢查,電腦必須要安裝 TPM 1.2 版。如果您的電腦未安裝 TPM,則啟用 BitLocker 時會要求您將啟動金鑰儲存在 USB 快閃磁碟機這類的卸除式裝置。
-
安裝 TPM 的電腦也必須要有與信賴運算群組 (TCG) 相容的 BIOS。BIOS 會針對預先作業系統啟動建立信任鏈結,並且必須支援 TCG 指定的 Static Root of Trust Measurement。沒有 TPM 的電腦不需要 TCG 相容的 BIOS。
-
系統 BIOS (針對 TPM 與非 TPM 電腦) 必須支援 USB 大型存放裝置類別,包括在預先作業系統環境中讀取 USB 快閃磁碟機中的小型檔案。如需 USB 相關資訊,請參閱 USB 網站 (
https://go.microsoft.com/fwlink/?LinkId=83120 (可能為英文網頁) ) 上的 USB Mass Storage Bulk-Only 和 Mass Storage UFI Command 規格。
-
硬碟至少必須分割成兩個磁碟機:
-
作業系統磁碟機 (或開機磁碟機) 包含作業系統和其支援檔案,而且必須格式化為 NTFS 檔案系統。
-
系統磁碟機包含 BIOS 準備系統硬體之後載入 Windows 所需的檔案。不會在這個磁碟機上啟用 BitLocker。若要啟用 BitLocker,系統磁碟機不得加密、必須與作業系統磁碟機不同,而且必須格式化為 NTFS 檔案系統。系統磁碟機的大小至少要有 1.5 GB。
-
作業系統磁碟機 (或開機磁碟機) 包含作業系統和其支援檔案,而且必須格式化為 NTFS 檔案系統。
安裝和初始設定
BitLocker 會在作業系統安裝時自動安裝。不過,BitLocker 在使用 BitLocker 安裝精靈開啟之前不會予以啟用,而從 [控制台] 或在 Windows 檔案總管的磁碟機上按一下滑鼠右鍵就可以存取這個精靈。
安裝和初始作業系統設定以後,系統管理員隨時都可以使用 BitLocker 安裝精靈來初始化 BitLocker。初始化程序有兩個步驟:
-
在安裝 TPM 的電腦上,可以使用信賴平台模組 (TPM) 初始化精靈、[控制台] 中的 [BitLocker 磁碟機加密] 項目,或執行專門設計來初始化 TPM 的指令碼來初始化 TPM。
-
安裝 BitLocker。從 [控制台] 存取 BitLocker 安裝精靈,可逐步引導您完成安裝並呈現進階驗證選項。
當本機系統管理員初始化 BitLocker 時,系統管理員應該就要建立修復密碼或修復金鑰。如果沒有修復金鑰或修復密碼,當 BitLocker 保護的磁碟機發生問題時,可能會無法存取和無法修復加密磁碟機上的所有資料。
附註 | |
BitLocker 和 TPM 初始化必須由電腦上的本機 Administrators 群組成員執行。 |
如需設定和部署 BitLocker 的詳細資訊,請參閱《Windows BitLocker 磁碟機加密逐步指南》
企業使用
BitLocker 可以使用企業現有的 Active Directory 網域服務 (AD DS) 基礎結構,將修復金鑰存放在遠端。BitLocker 提供安裝與管理的精靈,並且透過支援指令碼的 Windows Management Instrumentation (WMI) 介面提供延伸性與管理能力。BitLocker 還有整合到先前開機程序的修復主控台,讓使用者或技術服務人員可以重新存取鎖定的電腦。
如需撰寫 BitLocker 指令碼的相關資訊,請參閱<Win32_EncryptableVolume>(
電腦解除委任和回收
現在很多個人電腦都是由非電腦原始擁有者或使用者重複使用。在企業案例中,可能會將電腦重新部署到其他部門,或是在標準電腦硬碟重新整理循環時回收這些電腦。
即使格式化磁碟機之後,還是可以讀取未加密磁碟機上的資料。企業通常會利用多重覆寫或實體破壞,來降低暴露解除委任磁碟機上資料所產生的風險。
BitLocker 可以協助建立一個簡單、經濟的解除委任程序。藉由讓資料維持 BitLocker 加密狀態然後移除金鑰,企業可以永久降低暴露該資料的風險。移除所有 BitLocker 金鑰後,幾乎就不可能存取 BitLocker 加密的資料,因為這需要破解 128 位元或 256 位元的 AES 加密。
BitLocker 安全性考量
BitLocker 無法保護電腦免於所有可能的攻擊。例如,如果惡意使用者或是病毒或 rootkit 這類程式,在電腦遺失或遭竊以前即可存取電腦,他們可能會引發安全漏洞,進而能夠存取經過加密的資料。再者,如果將 USB 啟動金鑰留在電腦中,或者 PIN 或 Windows 登入密碼未妥善保密,則 BitLocker 保護可能會無法發揮作用。
僅使用 TPM 驗證模式最容易部署、管理以及使用。此模式也更適合自動執行或在自動執行時必須重新啟動的電腦。不過,僅使用 TPM 模式提供最少量的資料保護。如果您組織的成員會將高度機密的資料存放在攜帶型電腦,建議在那些電腦中部署具備多因素驗證的 BitLocker。
如需 BitLocker 安全性考量的相關資訊,請參閱<行動 PC 的資料加密工具組>(
在伺服器上實作 BitLocker
針對位於共用或可能不安全環境 (例如分公司位置) 的伺服器,BitLocker 可以用來加密作業系統磁碟機以及相同伺服器上的其他資料磁碟機。
根據預設值,Windows Server 2008 R2 不會安裝 BitLocker。請從 Windows Server 2008 R2 [伺服器管理員] 頁面新增 BitLocker。在伺服器上安裝 BitLocker 後,您必須重新啟動。您可以利用 WMI 來進行遠端啟動 BitLocker。
可延伸韌體介面 (EFI) 伺服器若使用 64 位元處理器架構,就支援 BitLocker。
附註 | |
BitLocker 不支援叢集設定。 |
金鑰管理
使用 BitLocker 加密和保護磁碟機之後,本機和網域系統管理員就可以使用 [控制台] 之 [BitLocker 磁碟機加密] 項目中的 [管理 BitLocker] 頁面變更用來解除鎖定磁碟機的密碼、移除磁碟機中的密碼、新增智慧卡以解除鎖定磁碟機、再次儲存或列印修復金鑰、自動解除鎖定磁碟機、複製金鑰,然後重設 PIN。
附註 | |
使用群組原則可以控制項可在電腦上使用的金鑰類型。如需搭配使用群組原則與 BitLocker 的相關資訊,請參閱《BitLocker 部署指南》 |
暫時停用 BitLocker 保護
在某些特定情況下,系統管理員可以暫時停用 BitLocker,例如:
-
在不需要使用者輸入 (例如,PIN 或啟動金鑰) 的情況下,重新啟動電腦進行維護。
-
更新 BIOS。
- 安裝具有選購唯讀記憶體 (Option ROM) 的硬體元件。
-
升級重要的先前開機元件但未觸發 BitLocker 修復。例如:
-
因安裝不同版本的作業系統或另一個作業系統,而可能變更主開機記錄 (MBR)。
-
因重新分割磁碟而可能變更了磁碟分割表格。
-
執行其他變更由 TPM 驗證之開機元件的系統工作。
-
因安裝不同版本的作業系統或另一個作業系統,而可能變更主開機記錄 (MBR)。
-
升級主機板以更換或移除 TPM 但未觸發 BitLocker 修復。
-
關閉 (停用) 或清除 TPM 但未觸發 BitLocker 修復。
-
將 BitLocker 保護的磁碟機移到其他電腦,但未觸發 BitLocker 修復。
這些情況泛稱為電腦升級。您可以透過 [控制台] 中的 [BitLocker 磁碟機加密] 項目來啟用或停用 BitLocker。
下列是升級 BitLocker 保護之電腦的必要步驟:
-
將 BitLocker 停用,暫時將它關閉。
-
升級系統或 BIOS。
-
重新開啟 BitLocker。
強制讓 BitLocker 進入停用模式時,磁碟機仍舊會維持加密狀態,但是磁碟機主要金鑰會使用硬碟上儲存為未加密狀態的對稱金鑰來進行加密。這個未加密金鑰會停用 BitLocker 提供的資料保護,不過可以確保後續電腦啟動順利進行,而不需要進行進一步使用者輸入。重新啟用 BitLocker 時,會自磁碟中移除未加密的金鑰,並重新開啟 BitLocker 保護。此外,會重新輸入磁碟機主要金鑰,並重新予以加密。
將加密的磁碟機 (即實體磁碟) 移到另一個 BitLocker 保護的電腦時並不需要任何額外的步驟,因為保護磁碟機主要金鑰的金鑰是以未加密狀態存放在磁碟中。
注意 | |
短暫暴露磁碟機主要金鑰還是會有安全上的風險,因為駭客可能會在未加密金鑰暴露磁碟機主要金鑰和完整磁碟機加密金鑰時存取它們。 |
如需停用 BitLocker 的詳細資訊,請參閱《Windows BitLocker 磁碟機加密逐步指南》
系統復原
觸發修復程序的狀況很多,例如:
-
將 BitLocker 保護的磁碟機移至新的電腦。
-
安裝具備新版 TPM 的主機板。
-
關閉、停用或清除 TPM。
-
更新 BIOS。
-
選項 Option ROM。
-
升級會造成系統完整性驗證失敗的重要先前開機元件。
-
在已啟用 PIN 驗證情況下忘記 PIN。
-
在已啟用啟動金鑰驗證情況下,遺失含有啟動金鑰的 USB 快閃磁碟機。
系統管理員也可以因為存取控制機制觸發修復 (例如重新部署電腦時)。系統管理員可能會決定鎖定加密的磁碟機,然後要求使用者取得 BitLocker 修復資訊來解除鎖定磁碟機。
修復設定
IT 系統管理員可以使用群組原則,為啟用 BitLocker 的使用者選擇要求、拒絕或可選用的修復方法。修復密碼可以存放於 AD DS,而系統管理員可以針對電腦的每位使用者,將這個選項設定為強制、禁止或選用。此外,也可將修復資料儲存在 USB 快閃磁碟機。
修復密碼
修復密碼是一個隨機產生的 48 位數數字,可以在安裝 BitLocker 期間建立。電腦若進入修復模式,便會提示使用者使用功能鍵 (F0 至 F9) 輸入這個密碼。啟用 BitLocker 之後,即可管理和複製修復密碼。您可以使用 [控制台] 之 [BitLocker 磁碟機加密] 項目中的 [管理 BitLocker] 頁面來列印修復密碼,或將修復密碼儲存到檔案供未來使用。
啟用 BitLocker 之後,網域系統管理員就可以設定群組原則,使其自動產生修復密碼,並將密碼備份到 AD DS。網域系統管理員也可以選擇只在電腦已連接至網路而且順利將修復密碼備份至 AD DS 時,才讓 BitLocker 可以加密磁碟機。
修復金鑰
您可以在安裝 BitLocker 時,建立修復金鑰並將它儲存到 USB 快閃磁碟機;或者,在啟用 BitLocker 之後管理和複製修復金鑰。電腦若進入修復模式,便會提示使用者將修復金鑰插入電腦中。