保护数据 Vista的磁盘加密功能

核心提示： 自带的恢复策略加密永远都是有风险的，如果你丢失了解密数据需要的密钥，保护数据 Vista的磁盘加密功能(4)，数据就等于彻底丢失了，为了防止数据彻底丢失，另外还有一个使用256位AES算法的EWK（External Wrapping Key，外部绕接密钥）用于保护加密数据所用的VMK，另外

自带的恢复策略

加密永远都是有风险的。如果你丢失了解密数据需要的密钥，数据就等于彻底丢失了。为了防止数据彻底丢失，另外还有其他一些无法通过Bitlocker的恢复控制台解决的事情需要注意，例如损坏的TPM、损坏或丢失的启动密钥、忘记的PIN码、更新后的引导组件、新的主板，或者甚至如果你想在其他计算机上使用加密的硬盘。　

通过使用恢复控制台和相应的恢复密钥，你就可以重新获得这些数据。在启用Bitlocker的时候，记得生成一个恢复密码是很关键的。这个48位的密码分为八组，每组有六个数字。你可以查看、打印，或者以明文的形式保存这个密码到其他设备，例如USB闪存上。　　

和密码相比，Bitlocker保存的是恢复密钥，而和这个密钥对应的是启动密钥。需要的时候，恢复密钥解密出被加密的VMK-BLOB（Binary Large Object，二进制大型对象）的副本，这个副本让数据的访问成为可能。如果将受到Bitlocker保护的硬盘转移到其他电脑上，那么为了让这个被加密的分区可以顺利访问，你也只需要提供保存了恢复密钥的USB闪存。　　

记住还原密钥就可以直接访问所有被TPM加密的数据。为了对所有意外做好准备，你还可以将恢复密钥复制到多个USB闪存上，并将这些闪存保存到其他地方。 不过管理员可以通过组策略禁止创建恢复密钥。　

正如我们在上文提到的，Longhorn Server也支持整卷加密，不过和客户端操作系统不同，服务器操作系统还可以对其他数据分区进行加密。另外数据分区和系统分区分别使用不同的密钥进行保护，不过这在操作系统看来没有太大区别。加密数据卷所用的密钥保存在系统卷中，另外还有一个使用256位AES算法的EWK（External Wrapping Key，外部绕接密钥）用于保护加密数据所用的VMK，同时还有一个叫做Auto Unlock的功能负责自动解密数据卷。