Windows BitLocker 控制器加密根据加密 Windows 操作系统卷上存储的全部数据可以更好的保护计算机里的数据。BitLocker 应用 TPM(受信赖的平台模块)协助保护 Windows 操作系统与用户数据,并帮助保证计算机即便在无人参加、遗失或被盗的情形下也不会被篡改。 BitLocker 也可以在没有 TPM 的情形下应用。若想在计算机中使用 BitLocker 且不应用 TPM,则必须根据使用组策略变更 BitLocker 安装向导的默认行为,或根据使用脚本配备 BitLocker。应用 BitLocker 且不应用 TPM 时,所需加密密钥存储在 USB 闪存驱动器中,必须提供该控制器才能开启存储在卷上的数据。
功能介绍
BitLocker 控制器加密是指在 Windows Vista 中新增加一种数据保护作用,主要用于处理一个人们越来越关注的问题:由计算机设备的物理遗失导致的数据失窃或恶意泄露。在新一代操作系统 Windows 8.1 中也能应用此加密驱动。随同 Windows Server 2008 一同公布的是 BitLocker 实用程序,该程序可以通过加密逻辑驱动器来保护关键数据,还提供开机启动完整性检查作用。
BitLocker 应用 TPM 协助保护 Windows 操作系统与用户数据,并帮助保证计算机即便在无人参加、遗失或被盗的情形下也不会被篡改。
受信赖的平台模块(TPM)是一个内置在计算机里的微芯片。它用于存放加密信息,如加密密钥。存储在 TPM 上的信息会更安全,避免受到外界软件进攻和物理偷盗。BitLocker 可加密存放于 Windows 操作系统卷上的所有数据,默认前提下,应用 TPM 以保证初期启动元件的完整性(部件用以启动进程的较早阶段),及其“锁住”任何 BitLocker 保护卷,使其在就算计算机遭受篡改也得到保护。
可是 BitLocker 有一项不足,开启加密盘后,再次进入就不需要密码了,那怎样才可以使每次浏览加密盘都要密码呢?这恐怕是微软后续改善的问题了,不过目前,大家可以在逐渐任务栏里输入“cmd”,并且以管理员身份运作,输入 manage-bde(空格)-lock(空格)X:,x 为加密硬盘盘符。这样就可以再次锁定加密盘了。
原理
根据加密整个 Windows 操作系统卷保护数据。
假如计算机装上适配 TPM,BitLocker 将使用 TPM 锁住保护数据的加密密钥。因此,在 TPM 已验证计算机状态以后,才能浏览这些密钥。加密整个卷能够保护全部数据,包含操作系统自身、Windows 注册表、临时文件及其休眠文件。由于破译数据所需的密钥维持由 TPM 锁住,因此攻击者不能通过只是取出硬盘并把它安装于另一台计算机上去读取数据。
在启动过程中,TPM 将释放密钥,该密钥仅在将关键操作系统配备值的一个哈希值与一个此前所拍的快照进行对比以后开启加密分区。这将验证 Windows 启动过程的完整性。假如 TPM 检测出 Windows 安装已被篡改,则不会释放密钥。默认前提下,BitLocker 安装向导配备为与 TPM 无缝应用。管理员可以用组策略或脚本开启其它功能和选项。
为了增强安全性,可以将 TPM 和用户输入 PIN 或存储在 USB 闪存驱动器上的启动密钥组合使用。
在不含有适配 TPM 的计算机上,BitLocker 能够提供加密,且不提供应用 TPM 锁住密钥的其他安全。在这种情况下,用户需要创建一个存储在 USB 闪存驱动器上的启动密钥。
- END -
