BitLocker 概述

2023-06-15 10:08| 来源: 网络整理| 查看: 265

BitLocker 概述项目 06/07/2023 适用于: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文简要概述了 BitLocker，包括系统要求、实际应用程序和已弃用功能的列表。

BitLocker 驱动器加密是一项数据保护功能，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。

当与受信任的平台模块 (TPM) 版本 1.2 或更高版本一起使用时，BitLocker 提供的保护最高。 TPM 是计算机制造商安装在许多较新的计算机上的硬件组件。它与 BitLocker 配合使用，有助于保护用户数据，并确保在系统脱机时电脑不被篡改。

在没有 TPM 版本 1.2 或更高版本的电脑上，仍然可以使用 BitLocker 加密 Windows 操作系统驱动器。但是，此实现要求用户插入 USB 启动密钥以启动电脑或从休眠状态恢复。从 Windows 8 开始，可以在没有 TPM 的计算机上使用操作系统卷密码保护操作系统卷。这两种选项均不提供带有 TPM 的由 BitLocker 提供的预启动系统完整性验证。

除了 TPM，BitLocker 还提供锁定正常启动过程的选项，直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动设备(例如 U 盘)。这些额外的安全措施提供了多重身份验证，并确保计算机在提供正确 PIN 或启动密钥之前不会启动或从休眠状态中恢复。

实际应用程序

丢失或被盗计算机上的数据易遭到未经授权的访问的攻击，途径是运行软件攻击工具对其进行攻击或将该计算机的硬盘转移到其他计算机。 BitLocker 通过增强文件和系统保护，帮助减少未经授权的数据访问。当受 BitLocker 保护的计算机被解除授权或回收时，BitLocker 还可帮助使数据不可访问。

你可以使用远程服务器管理工具的其他两种工具来管理 BitLocker。

BitLocker 恢复密码查看器。 BitLocker 恢复密码查看器可以查找和查看备份到 Active Directory 域服务 (AD DS) 的 BitLocker 驱动器加密恢复密码。可以使用此工具来帮助恢复存储在使用 BitLocker 加密的驱动器上的数据。 BitLocker 恢复密码查看器工具是对 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元的扩展。

使用此工具，可以检查计算机对象的属性对话框，以查看相应的 BitLocker 恢复密码。此外，可以通过右键单击域容器，在 Active Directory 林中的所有域中搜索 BitLocker 恢复密码。查看恢复密码只能由域管理员查看，也可以由域管理员授权查看。

BitLocker 驱动器加密工具。 BitLocker 驱动器加密工具包括命令行工具 manage-bde 和 repair-bde，以及适用于 Windows PowerShell 的 BitLocker cmdlet。 manage-bde 和 BitLocker cmdlet 均可用于执行任何可通过 BitLocker 控制面板实现的任务，并且它们还适用于自动部署和其他脚本方案。 repair-bde 是针对 BitLocker 保护的驱动器无法正常解锁或无法使用恢复控制台解锁的灾难恢复方案而提供的工具。

Windows 版本和许可要求

下表列出了支持 BitLocker 启用的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版是是是是

BitLocker 启用许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5 是是是是是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

系统要求

BitLocker 的硬件要求如下：

对于使用 TPM 提供的系统完整性检查的 BitLocker，计算机必须拥有 TPM 1.2 或更高版本的 TPM。如果计算机没有 TPM，则在启用 BitLocker 时，必须在可移动驱动器(如 U 盘)上保存启动密钥。

具有 TPM 的计算机也必须拥有与受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 固件。 BIOS 或 UEFI 固件为预操作系统启动建立信任链，并且它必须包括对 TCG 指定信任测量的静态根的支持。没有 TPM 的计算机不需要与 TCG 兼容的固件。

系统 BIOS 或 UEFI 固件（适用于 TPM 计算机和非 TPM 计算机）必须支持 USB 大容量存储设备类，包括在预操作系统环境中读取 U 盘上的小型文件。

重要提示

从 Windows 7 开始，无需 TPM 和 U 盘即可对 OS 驱动器进行加密。关于此过程，请参阅今日提示：无需使用 TPM 或 U 盘的 Bitlocker。

注意

BIOS 的旧版兼容性支持模块 (CSM) 模式不支持 TPM 2.0。具有 TPM 2.0 的设备必须仅将其 BIOS 模式配置为本机 UEFI。必须禁用旧版和 CSM 选项。为增强安全性，启用安全启动功能。

如果 BIOS 模式更改为 UEFI，旧版模式中硬件上安装的操作系统会阻止操作系统启动。在更改将设置操作系统和磁盘以支持 UEFI 的 BIOS 模式之前，请使用工具 MBR2GPT。

硬盘必须分区为至少两个驱动器：

操作系统驱动器（或启动驱动器）包含操作系统及其支持文件。它必须使用 NTFS 文件系统设置格式。系统驱动器包含在固件已准备好系统硬件后加载 Windows 所需的文件。 BitLocker 不会在此驱动器上启用。对于要运行的 BitLocker，系统驱动器不得加密、必须与操作系统驱动器区别开来，并且必须在使用基于 UEFI 的固件的计算机上使用 FAT32 文件系统设置格式，或者在使用 BIOS 固件的计算机上使用 NTFS 文件系统设置格式。建议系统驱动器大小约为 350 MB。打开 BitLocker 后，应拥有大约 250 MB 的可用空间。

当安装到新计算机时，Windows 会自动创建 BitLocker 所需的分区。

受加密约束的分区不能标记为活动分区。此要求适用于操作系统驱动器、固定数据驱动器和可移动数据驱动器。

在服务器上安装 BitLocker 可选组件时，还需要安装增强的存储功能。增强的存储功能用于支持硬件加密驱动器。

本部分内容文章描述 Windows 10 中的 BitLocker 设备加密概述本文概述了 BitLocker 设备加密如何帮助保护运行 Windows 10 设备上的数据。 BitLocker 常见问题 (FAQ) 本文解答了有关 BitLocker 的使用、升级、部署和管理要求及其密钥管理策略的常见问题。使组织准备好使用 BitLocker：规划和策略本文介绍可用于规划 BitLocker 部署的过程。 BitLocker 基本部署本文介绍如何使用 BitLocker 功能通过驱动器加密来保护数据。 BitLocker：如何在 Windows Server 上部署本文介绍如何在 Windows Server 上部署 BitLocker。 BitLocker：如何启用网络解锁本文介绍 BitLocker 网络解锁的工作原理以及如何配置它。 BitLocker：使用 BitLocker 驱动器加密工具管理 BitLocker 本文介绍如何使用工具管理 BitLocker。 BitLocker：使用 BitLocker 恢复密码查看器本文介绍如何使用 BitLocker 恢复密码查看器。 BitLocker 组策略设置本文介绍了每个用于管理 BitLocker 的组策略设置的作用、位置和影响。 BCD 设置和 BitLocker 本文介绍 BitLocker 使用的 BCD 设置。 BitLocker 恢复指南本文介绍如何从 AD DS 恢复 BitLocker 密钥。保护 BitLocker 免受预启动攻击此详细指南帮助你了解针对运行 Windows 10、Windows 8.1、Windows 8 或 Windows 7 的设备建议使用预启动身份验证的环境，以及何时可从设备的配置中安全地忽略它。 BitLocker 疑难解答本指南介绍的资源可帮助你解决 BitLocker 问题，并提供针对若干常见 BitLocker 问题的解决方案。使用 BitLocker 保护群集共享卷和存储区域网络本文介绍如何使用 BitLocker 保护 CSV 和 SAN。在 Windows IoT 核心版上启用安全启动和 BitLocker 设备加密本文介绍如何将 BitLocker 与 Windows IoT 核心版配合使用

【本文地址】

公司简介

联系我们