【51CTO精選譯稿】BitLocker 驅(qū)動器加密是在 Windows Server 2008 R2 以及Windows 7、 Windows Vista Enterprise和ultimate版中提供的一項數(shù)據(jù)保護功能。將 BitLocker 與操作系統(tǒng)集成后，可以進行全磁盤的數(shù)據(jù)加密。BitLocker 驅(qū)動器加密使用TPM (TPM-Trusted Platform Module 計算機制造商在很多較新的計算機上安裝的硬件組件) 1.2 版使用的情況下，幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改 。如將計算機硬盤轉(zhuǎn)移到其他計算機上，企圖盜取數(shù)據(jù)將不會成功。

在沒有 TPM 1.2 版的計算機上，仍然可以使用 BitLocker 加密 Windows 操作系統(tǒng)驅(qū)動器。但是，實現(xiàn)此功能將要求用戶插入 USB 啟動密鑰來啟動計算機或從休眠中恢復(fù)，而不提供 BitLocker 與 TPM 結(jié)合使用所提供的預(yù)啟動系統(tǒng)完整性驗證。BitLocker提供的安全性功能有：

當系統(tǒng)脫機時，BitLocker 通過以下方法幫助保護數(shù)據(jù)：

加密整個 Windows 操作系統(tǒng)卷，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁面文件以及臨時文件。

為非 Microsoft 應(yīng)用程序提供保護傘，當安裝在已加密的卷上時會自動受益。

BitLocker 驅(qū)動器加密可以使用 TPM 驗證早期Windows啟動組件和啟動配置數(shù)據(jù)的完整性。這有助于確保僅在這些組件尚未被篡改，并且已加密的驅(qū)動器位于原始計算機中時，BitLocker 驅(qū)動器加密才能使已加密的驅(qū)動器可以訪問。BitLocker 通過采取下列措施幫助確保啟動過程的完整性：

提供一種方法，用于檢查是否保持了早期啟動文件的完整性，并且?guī)椭_保尚未對這些文件進行對抗性修改，如引導(dǎo)扇區(qū)病毒或 rootkit。

增強保護以減少基于脫機軟件的攻擊。可能啟動系統(tǒng)的任何其他軟件都沒有權(quán)限訪問 Windows 操作系統(tǒng)驅(qū)動器的解密密鑰。

當系統(tǒng)被篡改時鎖定系統(tǒng)。如果任何監(jiān)視的文件已被篡改，則系統(tǒng)不會啟動。由于系統(tǒng)無法正常啟動，因此這可以警告用戶有人篡改。如果發(fā)生系統(tǒng)鎖定，BitLocker 可以提供一個簡單的恢復(fù)過程。

若要使用 BitLocker 驅(qū)動器加密，計算機必須符合某些要求：

為使 BitLocker 利用 TPM 提供的系統(tǒng)完整性檢查，計算機必須具有 TPM 1.2 版。如果您的計算機沒有 TPM，則啟用 BitLocker 將要求您將啟動密鑰保存在可移動設(shè)備（如 USB 閃存驅(qū)動器）上。

具有 TPM 的計算機還必須具有符合受信任計算組 (TCG-Trusted Computing Group) 的BIOS（Basic Input Output System 固化到計算機主板上的一個硬件芯片）。

系統(tǒng) BIOS（對于 TPM 和非 TPM 計算機）必須支持 USB 大容量存儲設(shè)備類別，包括讀取預(yù)操作系統(tǒng)環(huán)境中 USB 閃存驅(qū)動器上的小文件。

必須將硬盤至少分區(qū)為兩個驅(qū)動器：

操作系統(tǒng)驅(qū)動器（或啟動驅(qū)動器）包含操作系統(tǒng)及其支持文件；必須使用 NTFS 文件系統(tǒng)對其進行格式化。

系統(tǒng)驅(qū)動器包含 BIOS 已準備好系統(tǒng)硬件之后加載 Windows 所需的文件。在此驅(qū)動器上不啟用 BitLocker。若要使 BitLocker 起作用，系統(tǒng)驅(qū)動器一定不要加密，它必須區(qū)別于操作系統(tǒng)驅(qū)動器，并且必須使用 NTFS 文件系統(tǒng)進行格式化。系統(tǒng)驅(qū)動器應(yīng)該至少為 1.5 千兆字節(jié) (GB)。

然而，BitLocker 驅(qū)動器加密無法保護計算機免遭所有可能的攻擊。例如，如果惡意用戶或程序（如病毒或 rootkit）在計算機丟失或被盜之前就具有對該計算機的訪問權(quán)限，則他們可能通過訪問加密的數(shù)據(jù)并由此引入漏洞。如果 USB 啟動密鑰保留在計算機中，或者 PIN 或 Windows 登錄密碼沒有保密，則 BitLocker 保護可能也不起作用。

僅 TPM 身份驗證模式最容易部署、管理和使用。這更適合于無人參與的計算機或必須在無人參與時重新啟動的計算機。但是，僅 TPM 模式提供最少量的數(shù)據(jù)保護。如果您組織的幾個部分在移動計算機上具有認為非常敏感的數(shù)據(jù)，則考慮在這些計算機上部署具有多重身份驗證的 BitLocker。

另外值得注意的是：如果硬盤遭到物理損壞或者主板TPM硬件損壞可能會導(dǎo)致數(shù)據(jù)的全面丟失。 

【51CTO.com譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處?！?/p>

【編輯推薦】

1. 微軟否認BitLocker硬盤加密工具被破解
2. Windows 7新功能深入體驗：Bitlocker To Go