在不含TPM安全芯片的系统中使用Bitlocker

2006/10/12

　 HighDiy

　　随着计算机应用涉及到我们生活与工作的方方面面，如何保证机密数据的安全便成了许多人最关心的问题。在日常应用中，我们也常常可以看到许多笔记本电脑用户由于交往笔记本不小心遗失、被盗而导致机密信息泄露，甚至台式机用户也会因硬盘失窃而使机密信息在非法使用者面前无所遁形。——在之前的Windows系统中，用户只能对硬盘采取有限的加密手段，这在如今越来越强大的破解工具面前往往不堪一击。

　　在Windows Vista中，微软引入了BitLocker Drive Encrytion ( BitLocker 驱动器加密 ) 解决这一问题。BitLocker 能够有效地防止非法使用者启动另外一个系统，以脱机方式浏览存储在受保护驱动器中的文件，或者使用解密工具来破坏Windows Vista中文件和系统保护机制，从而达到为电脑提供增强的数据保护功能的效果。

BitLocker驱动器加密的机制

　　首先需要强调的是，并不是所有的Windows Vista版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，

　　BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中：

　　驱动器加密能够有效地防止未经授权的用户破坏 Windows Vista文件以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 卷来实现。利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。

　　对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。

　　BitLocker 紧密集成于 Windows Vista 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。

BitLocker的技术特色

BitLocker支持“受信平台模块(TPM : Trusted Platform Module)”1.2及其后版本，可实现基于硬件的全盘加密，以增强数据保护，并确保运行 Windows Vista 的 PC 在系统脱机时不被浏览与修改；
BitLocker 使用128或256位的AES加密算法。(甚至有传言BitLocker将使用1024位加密，是否属实有待考证)；
BitLocker可通过组策略设置；
在系统中采用BitLocker驱动器加密对系统性能的影响很小，这是一个好消息；
BitLocker密钥可存储在磁盘、USB盘，甚至可以打印出来。也可通过组策略自动生成并保存于Active Directory中；