详细了解Windows Vista内核的安全性

核心提示： 为了易于加密整个引导卷（包含 Windows 目录的卷），包括其所有系统文件和数据，详细了解Windows Vista内核的安全性(6)，Windows Vista 引入了整卷加密功能，称为 Windows BitLocker 驱动器加密，在任何情况下，您都需要一个未加密的 1.5GB N

为了易于加密整个引导卷（包含 Windows 目录的卷），包括其所有系统文件和数据，Windows Vista 引入了整卷加密功能，称为 Windows BitLocker 驱动器加密。与由 NTFS 文件系统驱动程序实施并在文件级别操作的 EFS 不同，BitLocker 在卷级别使用整卷加密 (FVE) 驱动程序 (%Systemroot%System32DriversFvevol.sys) 进行加密，如图 4 中图解所示。

FVE 是过滤器驱动程序，因此它会自动查看 NTFS 发送到卷的所有 I/O 请求，在其写入时加密块，在其读取时（在初始配置使用 BitLocker 时，会使用分配到块的完整卷加密密钥 (FVEK) 读取它们）解密块。默认情况下，使用 128 位 AES 密钥和 128 位扩散器密钥加密卷。因为加密和解密发生在 I/O 系统的 NTFS 之下，所以卷在 NTFS 看来好象没有加密，并且 NTFS 甚至不需要知道已启用了 BitLocker。不过，如果您尝试从 Windows 外读取卷上的数据，它又看来象是随机数据。

FVEK 使用卷主密钥 (VMK) 加密，并存储在卷的特殊元数据区域。当您配置 BitLocker 时，会有许多关于如何保护 VMK 的选项，取决于系统的硬件功能。如果系统有符合 TPM 规范 v1.2 的受信任的平台模块 (TPM)，并有相关的 BIOS 支持，则您可以使用 TPM 加密 VMK（让系统使用存储在 TPM 中的密钥或存储在 USB 闪存设备中的密钥加密 VMK），或使用 TPM 存储的密钥和在系统启动时输入的 PIN 加密密钥。对于没有 TPM 的系统，BitLocker 提供使用存储在外部 USB 闪存设备中的密钥加密 VMK 的选项。在任何情况下，您都需要一个未加密的 1.5GB NTFS 系统卷，在该卷中存储了启动管理器和引导配置数据库 (BCD)。