亲身体验Windows 2008 Server R2下的BitLocker驱动器加密

微软新近推出的一款磁盘加密工具BitLocker驱动器加密（BitLocker Drive Encryption)据说功能很是强，即便你的磁盘不幸丢失了，也无须担忧其中的隐私数据被别人看到，由于即便把丢失的磁盘挂在别的计算机上，也是看不到你的重要隐私的。（呵呵，还有这等工具，这但是我仰慕已久的工具，惋惜没有早日推出，要否则就不会出现不少门事件了）。

Bitlocker默认会使用含扩散器的128bit-AES算法加密数据，而且能够经过组策略将密钥扩充至256bit。 可见Bitlocker加密强度是 很是高的。

闲话少叙，仍是看看如何使用BitLocker吧！

1. BitLocker驱动器加密的使用要求

（1）硬件要求

须要TPM（可信任安全平台模组），TPM是一个微芯片，设计用于提供基本安全性相关功能，主要涉及加密密钥。通常来讲只有那些支持高级安全功能的计算机会有此芯片（能够查看计算机的BISO以确认是否支持TPM)，BitLocker会将解密密钥存入在TMP芯片内。

但是大多数用户的计算机尚未那么高级，那是否是就不能使用BitLocker驱动器加密的功能了呢？

非也，非也，咱们可使用小小的U盘代替TPM，也就是说咱们也以把解密密钥存放在U盘内，不过你在每次启动计算机的时候须要插入该U盘，并且这个U盘是保管好的，千万不要弄丢了。

（2）分区要求

在你的硬盘上至少须要两个NTFS分区才容许使用BitLocker

一个用来安装操做系统的磁盘分区，一般是咱们的C盘

另外一个用于启动计算机，并且它必须被设置为活动分区

2. BitLocker驱动器加密实战

咱们在安装Windows 2008 Server R2时会自动建立两个磁盘分区，其中一个用来启动计算机（图中标示 为系统保留，大小为100MB），另外一个就是C分区，另外我准备使用U盘存储解密密钥，全部的条件都已具有，只欠东风了

（1）安装BitLocker

系统默认是没有安装BitLocker的，安装方法是打开”服务器管理器“组件——添加功能

选择BitLocker驱动器加密

提示安装完成以后须要重启

（2）启用U盘支持方式

BitLocker驱动器加密默认只支持TPM方式，若是使用U盘存储密钥，还须要在组策略中（gpedit.msc)打开U盘支持功能，方法为计算机管理——管理模板——windows组件——BitLocker驱动器加密

——操做系统驱动器

在右侧窗格中双击”启动时须要附加身份验证”，选择已启用

（3）在控制面板——系统和安全中启用BitLocker驱动器加密

以下图选择启用Bitlocker

启用以后会弹出警示框，主要是提及用BitLocker驱动器加密会下降

选择下图所示每次启动时都须要密钥

出现保存启动密钥对话框时，提示请插入U盘，等发现你插入的可移动磁盘后单击保存按钮。

以后，会询问你但愿如何存储恢复密钥？请注意，恢复密钥不一样于启动密钥。若是计算机出现问题，形成你没法访问文件和文件夹，可使用恢复密钥来进行访问

 

选择将恢复密钥保存到USB闪存驱动器，建议使用另外一个U盘存储恢复密钥。

 

如图所示保存以后，会弹出“是否准备加密该驱动器？”并建议运行Bitlocker检查

单击继续，取出光盘，从新启动

 

 

从新启动登陆系统 后从系统状态栏得知Bitlocker正在将系统磁盘加密，这会花费很长一段时间

这样之后每次启动系统时都必须插入存储解密密钥的U盘，才能够启动系统，如没有插入会提醒你插入密钥存储媒体，并按ESC从新启动

 

若是存储解密密钥的U盘的丢失或损坏，就必须输入修复密钥

 

3.bitlocker管理

（1）挂起bitlocker----启动系统不须要插入U盘

经过以上的操做实例，咱们能够体会到bitlocker的强大功能，每次启动系统时都须要提供含有解密密钥的U盘，若是咱们想在每次启动Windows 2008 Server R2时不须要插入U盘，能够把bitlocker功能挂起

如图所示单击挂起保护便可

能够看到挂起操做一般适用于升级计算机的BIOS、硬件或操做系统时使用

咱们也能够随时从新启用Bitlocker,只须要选择恢复保护便可

（2）管理Bitlocker

如图所示，管理Bitlocker一般适用于“再次保存恢复密钥或复制启动密钥”两种状况。

 

4，使用Bitlocker to GO功能对可移动设备进行加密

Bitlocker to GO是2008 R2版本所作的改进，支持对移动存储设备加密，而且在使用Bitlocker to GO加密时候，会向设备中复制一个BitlockertoGO.exe的工具，这个工具是Bitlocker reader工具，它能够帮助用户在其余系统如Windows XP上解锁设备，但只能使用恢复密钥的方式

在U盘上启用Bitlocker,如图，能够看到正在启动Bitlocker

而后选择解锁此驱动器的方式

这样就完成了对可移动存储的加密，我我的以为这 要比那些网上流传的U盘加密工具要好，并且安全。

以上就是我对Bitlocker的一些见解和操做，期间参考了大量网友和专家的资料，在此深表感谢。