Windows Vista BitLocker 磁盘加密技术详解

核心提示：BitLocker仅在Windows Vista的企业版（Enterprise）和旗舰版（Ultimate）中集成，不过Windows Longhorn Server服务器版本（Windows 2007）也将会支持BitLocker，Windows Vista BitLocker 磁盘加密技术详解，另外，只有Ultim

BitLocker仅在Windows Vista的企业版（Enterprise）和旗舰版（Ultimate）中集成，不过Windows Longhorn Server服务器版本（Windows 2007）也将会支持BitLocker。另外，只有Ultimate版的Vista可以独立运行BitLocker，而Vista企业版只有在加入一个域之后才可以支持BitLocker。

要对数据加密，你也许考虑过很多方法。但是现在你又有了一个新选择，就是让你的客户将他的电脑升级到Windows Vista。Windows Vista有一个面向企业的新功能，用于帮助他们保护自己的私人数据，这就是Windows BitLocker磁盘加密（Drive Encryption）技术。

BitLocker以一种“离线”方式提供了整卷的加密。这就意味着，只要你部署了BitLocker，你的系统就会被加密技术动态保护，哪怕是一个潜在的黑客获取了系统的物理存取权限。

另外，企业如果使用了BitLocker，哪怕是发生了物理硬盘丢失或者被盗事件，理论上他们也不用担心，因为该硬盘将一直保持加密的防护状态。

BitLocker技术细节：

BitLocker使用128位或者256位的AES（Advanced Encryption Standard，高级加密标准）加密；加密级别由你决定，并可以通过组策略进行设置。BitLocker在一个拥有TPM 1.2（TPM，信任平台模块，Trusted Platform Module）的系统中表现最佳。

TPM是电脑主板上的一个芯片，负责生成加密密钥——而密钥对一个成功的加密项目来说是至关重要的。按照微软和其他独立测试者的说法，使用BitLocker全盘加密对系统性能的影响几乎可以忽略不计。

不过BitLocker也有一些不足，它仅仅保护电脑中的操作系统所在卷。如果你的笔记本中仅有一个卷，那这就不是问题；但是对那些有多个卷或者多个磁盘的系统来说，仅仅使用BitLocker将无法保护所有的数据。

在这些情况下，微软一直推荐对非操作系统卷使用EFS。当和BitLocker联合使用时，EFS本身也变得更加有效，因为连同操作卷上的根目录也都被覆盖了。所以，一旦在操作系统卷上启用了BitLocker，这些EFS根目录数据将被BitLocker保护，被篡改的可能性也将大大降低。另外，这还解决了一个EFS自身的功能限制问题——以前EFS本身无法对系统根目录的文件进行加密。现在，这些文件都会受到BitLocker的保护，而其他的文件则受到EFS的保护。

部署BitLocker技术：

你应当知道，你可以使用两种完全不同的方式来部署BitLocker——或者使用TPM 1.2，或者不用TPM1.2。使用TPM 1.2提供了更高的安全级别，但是并不是每个系统都能够支持它。

为了对那些没有（或者不愿）部署TPM的人提供保护，微软还提供了一种无需部署TPM的部署方式（非TPM方式）。非TPM方式支持多种认证模式，包括启动时用户使用PIN进入，或者要求启动时事先插入一个预存了启动密钥的USB闪盘。

BitLocker技术总结：

虽然有自身的一些限制，BitLocker还是为企业提供了额外的数据保护选项，协助企业保证数据安全。