【51CTO譯文】BitLocker是Windows Embedded Standard 2011（代號“Quebec”）的一個全新安全功能，這個安全功能從Vista系統開始就已經是Windows操作系統的一部分了。這里，我們將談談這個功能的用處，而這篇文章的主要思想是詳細探討如何把這個包加入到你的鏡像（image）中去，然后再對其進行使用。

Windows Embedded Standard 2011中的BitLocker概覽

Windows BitLocker驅動加密技術（BitLocker）是一個全新的安全功能，通過對存儲在Windows Embedded Standard 2011操作系統卷中的全部數據進行加密，它可以為你的設備提供更好的數據保護。BitLocker允許一臺機器的管理員對卷中進行加密，從而保護存儲在上面的數據。

一個可信平臺模塊（TPM）指的是在一個設備中嵌入的一個微芯片。它被用來存儲加密信息，比如加密密鑰。當發生來自外部軟件的入侵或設備被盜時，信息存儲在可信平臺模型TPM中比存儲在其他地方更安全。

BitLocker有三個模式：前兩個需要一個可信平臺模塊TPM和一個兼容的BIOS設置，第三個模式不需要可信平臺模塊TPM。
1. 可信平臺模塊TPM模式：BitLocker使用TPM，可以為用戶提供一個“透明”的體驗。機器啟動后，用戶和平常一樣進行登陸。驅動器的加密密鑰存儲在TPM中，只有在啟動文件和BIOS設置沒有被篡改的情況才提供給引導加載程序。
 
2. TPM和令牌模式：需要附加驗證的用戶在TPM/OS加載時必須要提供一個手動輸入的PIN密碼（在每次啟動時），或者一個USBkey設備（USB密鑰）。

3. USB key模式：沒有TPM照樣可以應用BitLocker。在沒有TPM的情況下，所需要的加密密鑰被存儲在一個USB閃存中，在解鎖存儲在卷中的數據時，必須使用這個USB閃存。

其他注意事項：BitLocker還可以通過活動目錄（AD）來進行控制。在這種情況下，活動目錄AD架構必須進行擴展以支持這個功能。為了通過活動目錄來控制TPM恢復，活動目錄的計算機類目標（computer class object）許可選項必須改變。為了備份TPM的恢復信息和AD上面的BitLocker，你需要通過組策略管理控制臺來實現“開啟Active Directory域BitLocker備份服務”這一功能。
 
使用BitLocker的前提條件

BitLocker需要用戶的電腦至少配置兩個分區。分區A（系統分區）包括關鍵啟動文件，必須保持無加密狀態。所有其他的分區可以用BitLocker進行加密。

系統分區是一個小的100MB的分區，它可以跟操作系統OS分區共存。用戶可以用diskpart工具來創建這個不被加密的小分區。這個區的卷號必須不同于操作系統OS卷號。
 
如果你通過IBW添加BitLocker包，IBW會自動創建這個100MB的系統分區。

把BitLocker添加到你的鏡像

我們意識到Windows嵌入式用戶非常關心他們的鏡像所需要的磁盤空間。把那個沒有被加密的100MB小分區添加到Windows Embedded Standard 2011鏡像中只是為了更好的支持BitLocker。因此，默認的時候，你的鏡像不會創建這個系統分區除非你選擇了在鏡像中添加BitLocker包。當運行Image Builder Wizard IBW設置時你可以把BitLocker添加到你的鏡像，還可以把BitLocker添加到用Image Configuration Editor (ICE)創建的回答文件中。
 
下面的截圖顯示了用 時你需要選擇的包

下面的截圖顯示了用你所需要選擇的包

開啟BitLocker功能

BitLocker可以通過兩種方式來開啟—通過命令行界面或者通過GUI。每一種方法你都可以用Windows設備管理器WMI類來管理。你能寫WMI腳本的方式來管理BitLocker和TPM。在使用無頭設備（沒有配備顯示輸出的設備）時這個方法非常有用。
欲了解更多有關WMI提供類的信息，請點擊以下鏈接：

管理BitLocker http://msdn.microsoft.com/en-us/library/aa376483(VS.85).aspx

管理TPM http://msdn.microsoft.com/en-us/library/aa376484(VS.85).aspx
 
同樣，在開啟BitLocker的時候，有兩種主要的方案可以考慮。兩種方案概述如下：

1. 在硬盤驅動器上啟用BitLocker

a．存在TPM時啟用BitLocker（注意BitLocker需要1.2版本的TPM芯片）

--確認所有的TPM驅動程序都加載了；在運行Windows Embedded Standard 2011安裝程序之前確保BIOS設置啟動了TPM；

--初始化TPM（可以用WMI腳本，也可以用微軟管理控制臺MMC管理單元）；

--掌控TPM（直譯是取得TPM的所有權）

--保存TPM密鑰（可以用AD來備份這個TPM恢復信息）；現在在硬盤驅動器上開啟manage-bde然后啟動BitLocker功能

b．沒有TPM時使用BitLocker

-運行manage-bde來開啟BitLocker功能

2.在USB驅動器上啟用BitLocker功能

這個跟在硬盤驅動器上開啟BitLocker一樣---當運行manage-bde時，你可以指定你想通過BitLocker加密的磁盤。運行帶“-status”開關的manage-bde來檢查不同磁盤驅動器的可用狀態以及相應的加密狀態。

BitLocker To Go功能（BTG）

機密數據的丟失每年給企業和政府帶來數十億美元的損失，更不用說數據丟失帶來的不便。Windows嵌入式便準2011包括了一個新的叫做BTG的功能，這個功能可以對移動存儲設備進行加密，比如USB驅動器，在設備被偷或者丟失時確保數據安全。BTG加密的磁盤驅動器可以用一個密碼、智能卡來解密，或者用特定的機器自動解密，IT管理員可以通過BTG來選擇其中的一種方式控制對移動磁盤的寫入。

使用BTG是件很簡單的事情。一旦你的USB設備插進去并且被你的系統識別，你就可以進入到控制面板，然后使用BitLocker驅動器加密。

下面的截圖是插入USB閃存驅動器時啟用BTG的例子：

一旦你插入USB閃存驅動器，然后進入資源管理器，右擊USB驅動器(F:\, 舉個例子)，選擇“開啟BitLocker”選項，你就會看見如下圖所示的對話框：

在這里你可以選擇一種加密后的驅動器解鎖方式。如果我，則下一個對話框如下圖所示：

這里我既可以用一個文件來存儲恢復密鑰又可以把恢復密鑰打印出來。我推薦用一個文件來存儲密鑰，這樣比打印出來更安全。找到一個你想存儲這個密鑰的位置，然后就開始加密吧。

【編輯推薦】

1. Windows Embedded Standard 2011特性預覽
2. 微軟發布Windows Embedded Standard 2011技術預覽版
3. Windows Embedded Standard 2011工具包介紹
4. Windows Embedded Standard 2011打造組件化Windows