Windows Server 2008 R2实战之Bitlocker卷级加密

核心提示： 3. 如何加密数据Bitlocker默认会使用含扩散器的128bit-AES算法加密数据，并且可以通过组策略将密钥扩充至256bit，Windows Server 2008 R2实战之Bitlocker卷级加密(2)，注意：扩散器简单描述就是可以确保即使是对明文的细微更改都会导致整个扇区的加密密

3. 如何加密数据

Bitlocker默认会使用含扩散器的128bit-AES算法加密数据，并且可以通过组策略将密钥扩充至256bit。

注意：扩散器简单描述就是可以确保即使是对明文的细微更改都会导致整个扇区的加密密文发生变化。

4. 系统完整性检查

Bitlocker通过TPM 1.2(Trusted Platform Module)芯片来检查启动组件和启动文件的状态，例如BIOS、MBR主引导记录及NTFS扇区。如果启动文件被修改，Bitlocker会锁定驱动器，并且进入恢复模式，可以通过一个48位的密码或者存储在智能卡上的密钥来解锁被加密的驱动器。

注意：通过智能卡解锁服务器的时候，硬件需要支持大容量USB存储设备。

二、 Windows Vista 和Windows 7 Bitlocker特性对比

1. 在Windows Vista中启用系统完整性检查，Bitlocker 1.0版要求需要有一个独立的，至少1.5GB的分区用来存放启动文件，比如bootmgr。而在RTM版的Windows 7中，如果是重新分区安装操作系统，按照微软提出的分区建议，在采用多操作系统(Windows Vista 和Windows 7)，启用Bitlocker和Windows Recovery Environment时，系统会自动创建至少100M的分区空间来存放启动文件和相关组件。这也是为什么许多重新安装了Windows 7的用户，会多出一个100M的分区的原因。

2. 在Windows Vista中，Bitlocker提供了有限的恢复功能，所有的恢复机制都基于一个48位的恢复密码，用户可以使用它来恢复被锁定加密的信息。如果存在于域中，还可以通过组策略保存所有启用了Bitlocker的计算机的恢复信息。这些信息会与计算机账号绑定。Windows 7为Bitlocker加入了新的组策略机制：Bitlocker数据恢复代理。它与EFS恢复代理类似，持有恢复代理证书的用户即可解密域中所有使用 Bitlocker加密的数据。