BitLocker 基本部署

本文面向 IT 专业人员介绍了如何使用 BitLocker 功能通过驱动器加密来保护数据。

BitLocker 为操作系统卷和固定和可移动数据驱动器提供完整卷加密 (FVE) 。 为了支持完全加密的操作系统驱动器，BitLocker 对启动、解密和加载操作系统所需的文件使用未加密的系统分区。 此卷是在客户端和服务器操作系统的新安装过程中自动创建的。

如果驱动器已准备为单个连续空间，则 BitLocker 需要一个新卷来保存启动文件。 BdeHdCfg.exe可以创建这些卷。

注意

有关使用此工具的详细信息，请参阅Command-Line参考中的 Bdehdcfg 。

可以使用以下方法启用和管理 BitLocker 加密：

使用 BitLocker 控制面板加密卷 (选择 “开始”，输入 Bitlocker，然后选择“ 管理 BitLocker) 是将使用 BitLocker 的用户数。 BitLocker 控制面板的名称为 BitLocker 驱动器加密。 BitLocker 控制面板支持加密操作系统、固定数据和可移动数据卷。 BitLocker 控制面板将根据设备向 Windows 报告自身的方式，按相应类别组织可用驱动器。 只有已分配驱动器号的格式化卷才会正确显示在 BitLocker 控制面板小程序中。

若要开始加密卷，请选择“打开相应驱动器的 BitLocker ”以初始化 BitLocker 驱动器加密向导。 BitLocker 驱动器加密向导 选项因卷类型 (操作系统卷或数据卷) 而异。

对于操作系统卷， BitLocker 驱动器加密向导 会显示多个屏幕，这些屏幕在执行多个操作时提示输入选项：

首次启动 BitLocker 驱动器加密向导 时，它会验证计算机是否满足加密操作系统卷的 BitLocker 系统要求。 默认情况下，系统要求为：

BitLocker 不需要 TPM;但是，只有具有 TPM 的计算机才能提供启动前系统完整性验证和多重身份验证的额外安全性。

如果卷未传递 BitLocker 的初始配置，则会向用户显示一个错误对话框，描述要采取的相应操作。

传递初始配置后，系统可能会提示用户输入卷的密码，例如，如果 TPM 不可用。 如果 TPM 可用，将跳过密码屏幕。

初始配置/密码屏幕后，将生成恢复密钥。 BitLocker 驱动器加密向导将提示输入保存恢复密钥的位置。 BitLocker 恢复密钥是首次在加密的每个驱动器上打开 BitLocker 驱动器加密时创建的特殊密钥。 在以下的情况下，可以使用恢复密钥获取对计算机的访问权限：

如果由于某种原因忘记了密码或计算机无法访问驱动器，则恢复密钥还可用于访问可移动数据驱动器上的文件和文件夹 (例如外部硬盘驱动器或 U 盘) （使用 BitLocker To Go 加密）。

可以使用以下方法存储恢复密钥：

恢复密钥不能存储在以下位置：

提示

理想情况下，计算机的恢复密钥应与计算机本身分开存储。

注意

创建恢复密钥后，BitLocker 控制面板可用于创建恢复密钥的其他副本。

然后 ，BitLocker 驱动器加密向导 将提示要加密的驱动器量。 BitLocker 驱动器加密向导将有两个选项来确定已加密的驱动器量：

建议在以下方案中使用每种方法：

仅加密已用磁盘空间：

加密整个驱动器 (完整磁盘加密) ：

重要提示

已删除的文件显示为文件系统的可用空间，该空间 不是仅通过已用磁盘空间加密的。 在擦除或覆盖这些文件之前，已删除的文件会保存可使用常用数据取证工具恢复的信息。

然后 ，BitLocker 驱动器加密向导 将提示输入加密模式：

通常，应选择 “新加密模式 ”，但如果驱动器可能移动到具有较旧 Windows 操作系统的另一台计算机，请选择“ 兼容模式”。

选择加密模式后，BitLocker 驱动器加密向导将提供通过“运行 BitLocker 系统检查”选项运行 BitLocker 系统检查的选项。 此系统检查将确保 BitLocker 可以在卷加密开始之前正确访问恢复和加密密钥。 建议在开始加密过程之前检查运行此系统。 如果系统检查未运行，并且操作系统尝试启动时遇到问题，则用户需要提供恢复密钥才能启动 Windows。

完成系统检查 (（如果选择) ），BitLocker 驱动器加密向导将开始加密。 可能会启动重新启动以启动加密。 如果重新启动已启动，如果没有 TPM 并且指定了密码，则需要输入密码才能启动到操作系统卷。

用户可以通过检查系统通知区域或 BitLocker 控制面板来检查加密状态。

在加密完成之前，管理 BitLocker 的唯一可用选项包括操作密码来保护操作系统卷、备份恢复密钥以及关闭 BitLocker。

使用 BitLocker 控制面板加密数据卷的方式与操作系统卷的加密方式类似。 用户在 BitLocker 控制面板中选择“打开 BitLocker”以开始 BitLocker 驱动器加密向导。

启动 BitLocker 驱动器加密向导时，与操作系统卷不同，无需数据卷通过 BitLocker 驱动器加密向导 的任何配置测试即可继续

此时会显示一系列用于解锁驱动器的身份验证方法。 可用选项包括：

BitLocker 驱动器加密向导提供了用于存储恢复密钥的选项。 这些选项与操作系统卷的选项相同：

保存恢复密钥后， BitLocker 驱动器加密向导 将显示可用的加密选项。 这些选项与操作系统卷的选项相同：

然后 ，BitLocker 驱动器加密向导 将提示输入加密模式：

通常，应选择 “新加密模式 ”，但如果驱动器可能移动到具有较旧 Windows 操作系统的另一台计算机，请选择“ 兼容模式”。

BitLocker 驱动器加密向导将在加密过程开始前显示最终确认屏幕。 选择 “开始加密” 将开始加密。

加密状态显示在通知区域或 BitLocker 控制面板中。

可以使用 OneDrive 存储 BitLocker 恢复密钥。 此选项要求计算机不是域的成员，并且用户使用的是 Microsoft 帐户。 本地帐户不提供使用 OneDrive 的选项。 对于未加入域的计算机，使用 OneDrive 选项是默认建议的恢复密钥存储方法。

用户可以通过检查 OneDrive 中的 BitLocker 文件夹来验证恢复密钥是否已正确保存。 OneDrive 上的 BitLocker 文件夹在保存过程中自动创建。 该文件夹将包含两个文件，即 readme.txt 和恢复密钥。 对于在其 OneDrive 上存储多个恢复密码的用户，他们可以通过查看文件名来标识所需的恢复密钥。 恢复密钥 ID 追加到文件名的末尾。

Windows 资源管理器允许用户通过右键单击卷并选择“打开 BitLocker”来启动 BitLocker 驱动器加密向导。 默认情况下，此选项在客户端计算机上可用。 在服务器上，必须先安装 BitLocker 功能和 Desktop-Experience 功能，此选项才能可用。 选择“ 打开 BitLocker”后，向导的工作方式与使用 BitLocker 控制面板启动时完全相同。

下表显示了已启用 BitLocker 然后呈现给不同 Windows 版本的系统的兼容性矩阵。

表 1：Windows 11、Windows 10、Windows 8.1、Windows 8和 Windows 7 加密卷的交叉兼容性

Manage-bde.exe 是可用于编写 BitLocker 操作脚本的命令行实用工具。 Manage-bde.exe 提供 BitLocker 控制面板中未显示的其他选项。 有关选项的完整列表，请参阅 Manage-bde。

Manage-bde.exe 提供了大量用于配置 BitLocker 的更广泛选项。 使用命令语法可能需要小心。 例如，仅 manage-bde.exe -on 对数据卷使用 命令即可完全加密卷，而无需对保护程序进行任何身份验证。 以这种方式加密的卷仍要求用户交互打开 BitLocker 保护，即使命令已成功完成。 若要完全保护卷，除了运行 manage-bde.exe命令外，还需要将身份验证方法添加到卷。

命令行用户需要确定给定情况的相应语法。 以下部分介绍操作系统卷和数据卷的常规加密。

下面列出了操作系统卷的基本有效命令示例。 通常，仅 manage-bde.exe -on 使用 命令会使用仅限 TPM 的保护程序且没有恢复密钥来加密操作系统卷。 但是，许多环境需要更安全的保护程序（如密码或 PIN），并且希望能够使用恢复密钥恢复信息。

使用 manage-bde.exe 时的一个好做法是确定目标系统上的卷状态。 使用以下命令确定卷状态：

manage-bde.exe -status

此命令返回每个卷的目标卷、当前加密状态和卷类型 (操作系统或数据) 。 使用此信息，用户可以确定适合其环境的最佳加密方法。

假设在没有 TPM 的计算机上需要 BitLocker。 在这种情况下，需要 U 盘作为操作系统卷的启动键。 然后，启动密钥将允许计算机启动。 若要使用 manage-bde.exe创建启动密钥， -protectors 请使用开关来指定 -startupkey 选项。 假设 U 盘是驱动器号 E:，则使用以下命令 manage-bde.exe 创建启动密钥并启动 BitLocker 加密：

如果出现提示，请重新启动计算机以完成加密过程。

可以使用 manage-bde.exe来加密操作系统卷，而无需任何定义的保护程序。 使用此命令：

此命令将使用 TPM 作为保护程序加密驱动器。 如果用户不确定卷的保护程序，则可以使用 -protectors 中的 manage-bde.exe 选项通过执行以下命令列出此信息：

另一个示例是非 TPM 硬件上的用户，该用户希望将基于密码和 SID 的保护程序添加到操作系统卷。 在此实例中，用户首先添加保护程序。 使用 命令添加保护程序：

此命令要求用户在将密码保护程序添加到卷之前输入并确认密码保护程序。 在卷上启用保护程序后，用户只需打开 BitLocker。

数据卷使用与操作系统卷相同的加密语法，但它们不需要保护程序来完成操作。 可以使用基本命令加密数据卷：

或者，用户可以选择将保护程序添加到卷。 建议向数据卷添加至少一个主保护程序和一个恢复保护程序。

数据卷的常见保护程序是密码保护程序。 在下面的示例中，密码保护程序将添加到卷并打开 BitLocker。

Windows PowerShell cmdlet 提供了使用 BitLocker 的替代方法。 使用 Windows PowerShell 的脚本功能，管理员可以轻松地将 BitLocker 选项集成到现有脚本中。 以下列表显示可用的 BitLocker cmdlet。

与 manage-bde.exe类似，Windows PowerShell cmdlet 允许配置超出控制面板中提供的选项。 与 一manage-bde.exe样，在运行 Windows PowerShell cmdlet 之前，用户需要考虑他们正在加密的卷的特定需求。

一个很好的初始步骤是确定计算机上的卷 () 的当前状态。 可以使用卷 PowerShell cmdlet 执行此操作 Get-BitLocker 。 此 cmdlet 的输出显示有关卷类型、保护程序、保护状态和其他有用信息的信息。

使用 Get-BitLockerVolume 时，由于输出显示中缺少空间，有时可能不会显示所有保护程序。 如果未看到卷的所有保护程序，可以使用Windows PowerShell管道命令 (|) 来设置保护程序列表的格式。

注意

如果卷有四个以上的保护器，则管道命令可能会耗尽显示空间。 对于具有四个以上保护程序的卷，请使用以下部分中所述的方法生成具有保护程序 ID 的所有保护程序的列表。

如果在卷上预配 BitLocker 之前需要删除现有保护程序， Remove-BitLockerKeyProtector 则可以使用 cmdlet。 完成此操作需要删除与保护程序关联的 GUID。 一个简单的脚本可以通过管道将每个 Get-BitLockerVolume 的值返回到另一个变量，如下所示：

使用此脚本，可以显示 $keyprotectors 变量中的信息，以确定每个保护程序的 GUID。 然后，可以使用此信息通过 命令删除特定卷的密钥保护程序：

注意

BitLocker cmdlet 要求密钥保护程序 GUID (用引号括起来，) 执行。 确保命令中包含包含大括号的整个 GUID。

使用 BitLocker Windows PowerShell cmdlet 类似于使用manage-bde.exe工具来加密操作系统卷。 Windows PowerShell为用户提供了灵活性。 例如，用户可以添加所需的保护程序作为用于加密卷的一部分命令。 下面是常见用户方案的示例，以及使用适用于Windows PowerShell的 BitLocker cmdlet 完成这些方案的步骤。

若要仅使用 TPM 保护程序启用 BitLocker，请使用以下命令：

以下示例添加了一个额外的保护程序 StartupKey 保护程序，并选择跳过 BitLocker 硬件测试。 在此示例中，无需重新启动即可立即启动加密。

使用 Windows PowerShell 的数据卷加密与操作系统卷相同。 在加密卷之前，应添加所需的保护程序。 以下示例使用变量 $pw 作为密码向 E： 卷添加密码保护程序。 $pw变量保存为 SecureString 值，以存储用户定义的密码。 最后，加密开始。

ADAccountOrGroup 保护程序是基于 Active Directory SID 的保护程序。 此保护程序可以添加到操作系统和数据卷，尽管它不会在预启动环境中解锁操作系统卷。 保护程序需要域帐户或组的 SID 才能与保护程序链接。 BitLocker 可以通过为群集名称对象添加基于 SID 的保护程序来保护群集感知磁盘 (CNO) ，该保护程序允许磁盘正确故障转移并解锁到群集的任何成员计算机。

警告

基于 SID 的保护程序需要使用其他保护程序，例如 TPM、PIN、恢复密钥等。在操作系统卷上使用时。

若要将 ADAccountOrGroup 保护程序添加到卷，需要域 SID 或组名称前面有域和反斜杠。 在下面的示例中， CONTOSO\Administrator 帐户作为保护程序添加到数据卷 G。

对于希望对帐户或组使用 SID 的用户，第一步是确定与帐户关联的 SID。 若要在 Windows PowerShell 中获取用户帐户的特定 SID，请使用以下命令：

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

除了上述 Windows PowerShell 命令外，还可以使用 找到有关本地登录用户和组成员身份的信息： WHOAMI /ALL。 这不需要使用其他功能。

在下面的示例中，用户希望将基于域 SID 的保护程序添加到以前加密的操作系统卷。 用户知道要添加的用户帐户或组的 SID，并使用以下命令：

注意

基于 Active Directory 的保护程序通常用于解锁已启用故障转移群集的卷。

若要检查特定卷的 BitLocker 状态，管理员可以在 BitLocker 控制面板小程序、Windows 资源管理器、manage-bde.exe命令行工具或Windows PowerShell cmdlet 中查看驱动器的状态。 每个选项提供不同级别的详细信息和易用性。 我们将在下一节中介绍每个可用方法。

使用控制面板检查 BitLocker 状态是大多数用户使用的最常见方法。 打开后，每个卷的状态将显示在卷说明和驱动器号旁边。 控制面板中的可用状态返回值包括：

如果驱动器是使用 BitLocker 预先预配的，则会在卷上显示“正在等待激活”状态，并显示黄色感叹号图标。 此状态意味着加密卷时只使用了明确的保护程序。 在这种情况下，卷未处于受保护状态，需要先将安全密钥添加到卷，然后才能完全保护驱动器。 管理员可以使用控制面板、 manage-bde.exe 工具或 WMI API 添加适当的密钥保护程序。 完成后，控制面板将更新以反映新状态。

使用控制面板，管理员可以选择“打开 BitLocker”以启动 BitLocker 驱动器加密向导，并添加保护程序，例如操作系统卷的 PIN (或密码（如果) 不存在 TPM），或者为数据卷添加密码或智能卡保护程序。 在更改卷状态之前，会显示驱动器安全窗口。 选择 “激活 BitLocker ”将完成加密过程。

BitLocker 保护程序激活完成后，会显示完成通知。

喜欢命令行界面的管理员可以利用manage-bde.exe检查卷状态。 与控制面板中的图形用户界面工具相比，Manage-bde 能够返回有关卷的详细信息。 例如， manage-bde.exe 可以显示正在使用的 BitLocker 版本、加密类型以及与卷关联的保护程序。

若要使用 manage-bde.exe检查卷的状态，请使用以下命令：

注意

如果没有卷字母与 -status 命令关联，则计算机上的所有卷都会显示其状态。

Windows PowerShell命令提供了另一种方法来查询卷的 BitLocker 状态。 与 一样manage-bde.exe，Windows PowerShell的优点是能够检查远程计算机上的卷的状态。

使用 Get-BitLockerVolume cmdlet，系统上的每个卷将显示其当前 BitLocker 状态。 若要获取有关特定卷的更详细的信息，请使用以下命令：

此命令显示有关加密方法、卷类型、密钥保护程序等的信息。

管理员可以在 Windows 预安装环境中部署操作系统之前启用 BitLocker。 在操作系统部署之前启用 BitLocker 是使用随机生成的明文密钥保护程序应用于格式化卷，并在运行 Windows 安装过程之前加密卷来完成的。 如果加密使用本文档稍后所述的 “仅使用磁盘空间 ”选项，则此步骤只需几秒钟，并很好地融入了常规部署过程。

解密卷会从卷中删除 BitLocker 和任何关联的保护程序。 当不再需要保护时，应进行解密。 BitLocker 解密不应作为故障排除步骤进行。 可以使用 BitLocker 控制面板小程序、 manage-bde.exe或 Windows PowerShell cmdlet 从卷中删除 BitLocker。 我们将在下面进一步讨论每种方法。

使用控制面板的 BitLocker 解密是使用向导完成的。 可以从 Windows 资源管理器或直接打开控制面板来调用它。 打开 BitLocker 控制面板后，用户将选择“ 关闭 BitLocker” 选项以开始该过程。 选择“ 关闭 BitLocker ”选项后，用户选择通过单击确认对话框继续。 确认 关闭 BitLocker 后，驱动器解密过程将开始，并向控制面板报告状态。

控制面板不会报告解密进度，而是显示在任务栏的通知区域中。 选择通知区域图标将打开一个包含进度的模式对话框。

解密完成后，驱动器将在控制面板中更新其状态，并可用于加密。

使用 manage-bde.exe 解密卷非常简单。 使用 manage-bde.exe 解密的优点是不需要用户确认来启动该过程。 Manage-bde 使用 -off 命令启动解密过程。 用于解密的示例命令是：

此命令在解密卷时禁用保护程序，并在解密完成后删除所有保护程序。 如果用户希望检查解密状态，可以使用以下命令：

使用 Windows PowerShell cmdlet 进行解密非常简单，类似于 manage-bde.exe。 Windows PowerShell提供一次解密多个驱动器的功能。 在下面的示例中，用户有三个要解密的加密卷。

使用 Disable-BitLocker 命令，他们可以同时删除所有保护程序和加密，而无需使用更多命令。 此命令的一个示例是：

如果用户不想单独输入每个装入点，在数组中使用 -MountPoint 参数可以将同一命令序列成一行，而无需额外的用户输入。 示例命令为：