親身體驗Windows 2008 Server R2下的BitLocker驅動器加密

微軟新近推出的一款磁盤加密工具BitLocker驅動器加密（BitLocker Drive Encryption)據說功能很是強，即便你的磁盤不幸丟失了，也無須擔憂其中的隱私數據被別人看到，由於即便把丟失的磁盤掛在別的計算機上，也是看不到你的重要隱私的。（呵呵，還有這等工具，這但是我仰慕已久的工具，惋惜沒有早日推出，要否則就不會出現不少門事件了）。

Bitlocker默認會使用含擴散器的128bit-AES算法加密數據，而且能夠經過組策略將密鑰擴充至256bit。 可見Bitlocker加密強度是 很是高的。

閒話少敘，仍是看看如何使用BitLocker吧！

1. BitLocker驅動器加密的使用要求

（1）硬件要求

須要TPM（可信任安全平臺模組），TPM是一個微芯片，設計用於提供基本安全性相關功能，主要涉及加密密鑰。通常來講只有那些支持高級安全功能的計算機會有此芯片（能夠查看計算機的BISO以確認是否支持TPM)，BitLocker會將解密密鑰存入在TMP芯片內。

但是大多數用戶的計算機尚未那麼高級，那是否是就不能使用BitLocker驅動器加密的功能了呢？

非也，非也，咱們可使用小小的U盤代替TPM，也就是說咱們也以把解密密鑰存放在U盤內，不過你在每次啓動計算機的時候須要插入該U盤，並且這個U盤是保管好的，千萬不要弄丟了。

（2）分區要求

在你的硬盤上至少須要兩個NTFS分區才容許使用BitLocker

一個用來安裝操做系統的磁盤分區，一般是咱們的C盤

另外一個用於啓動計算機，並且它必須被設置爲活動分區

2. BitLocker驅動器加密實戰

咱們在安裝Windows 2008 Server R2時會自動建立兩個磁盤分區，其中一個用來啓動計算機（圖中標示 爲系統保留，大小爲100MB），另外一個就是C分區，另外我準備使用U盤存儲解密密鑰，全部的條件都已具有，只欠東風了

（1）安裝BitLocker

系統默認是沒有安裝BitLocker的，安裝方法是打開」服務器管理器「組件——添加功能

選擇BitLocker驅動器加密

提示安裝完成以後須要重啓

（2）啓用U盤支持方式

BitLocker驅動器加密默認只支持TPM方式，若是使用U盤存儲密鑰，還須要在組策略中（gpedit.msc)打開U盤支持功能，方法爲計算機管理——管理模板——windows組件——BitLocker驅動器加密

——操做系統驅動器

在右側窗格中雙擊」啓動時須要附加身份驗證」，選擇已啓用

（3）在控制面板——系統和安全中啓用BitLocker驅動器加密

以下圖選擇啓用Bitlocker

啓用以後會彈出警示框，主要是提及用BitLocker驅動器加密會下降

選擇下圖所示每次啓動時都須要密鑰

出現保存啓動密鑰對話框時，提示請插入U盤，等發現你插入的可移動磁盤後單擊保存按鈕。

以後，會詢問你但願如何存儲恢復密鑰？請注意，恢復密鑰不一樣於啓動密鑰。若是計算機出現問題，形成你沒法訪問文件和文件夾，可使用恢復密鑰來進行訪問

 

選擇將恢復密鑰保存到USB閃存驅動器，建議使用另外一個U盤存儲恢復密鑰。

 

如圖所示保存以後，會彈出「是否準備加密該驅動器？」並建議運行Bitlocker檢查

單擊繼續，取出光盤，從新啓動

 

 

從新啓動登陸系統 後從系統狀態欄得知Bitlocker正在將系統磁盤加密，這會花費很長一段時間

這樣之後每次啓動系統時都必須插入存儲解密密鑰的U盤，才能夠啓動系統，如沒有插入會提醒你插入密鑰存儲媒體，並按ESC從新啓動

 

若是存儲解密密鑰的U盤的丟失或損壞，就必須輸入修復密鑰

 

3.bitlocker管理

（1）掛起bitlocker----啓動系統不須要插入U盤

經過以上的操做實例，咱們能夠體會到bitlocker的強大功能，每次啓動系統時都須要提供含有解密密鑰的U盤，若是咱們想在每次啓動Windows 2008 Server R2時不須要插入U盤，能夠把bitlocker功能掛起

如圖所示單擊掛起保護便可

能夠看到掛起操做一般適用於升級計算機的BIOS、硬件或操做系統時使用

咱們也能夠隨時從新啓用Bitlocker,只須要選擇恢復保護便可

（2）管理Bitlocker

如圖所示，管理Bitlocker一般適用於「再次保存恢復密鑰或複製啓動密鑰」兩種狀況。

 

4，使用Bitlocker to GO功能對可移動設備進行加密

Bitlocker to GO是2008 R2版本所作的改進，支持對移動存儲設備加密，而且在使用Bitlocker to GO加密時候，會向設備中複製一個BitlockertoGO.exe的工具，這個工具是Bitlocker reader工具，它能夠幫助用戶在其餘系統如Windows XP上解鎖設備，但只能使用恢復密鑰的方式

在U盤上啓用Bitlocker,如圖，能夠看到正在啓動Bitlocker

而後選擇解鎖此驅動器的方式

這樣就完成了對可移動存儲的加密，我我的以爲這 要比那些網上流傳的U盤加密工具要好，並且安全。

以上就是我對Bitlocker的一些見解和操做，期間參考了大量網友和專家的資料，在此深表感謝。