Windows BitLocker 驱动器加密毫无疑问是 Windows Vista 中谈论最多的功能之一。但是,大多数人尚没有太多机会来测试 BitLocker,以亲身体验它的作用和工作原理 — 尤其不在具备受信任的平台模块 (TPM) 的计算机上。在本文中,我将向您介绍 BitLocker™ 的基础知识,以便您评估其潜力,并将其纳入您的升级规划。我会从一些背景和概念性信息开始讲起,然后介绍启用 BitLocker、数据恢复、管理,以及 BitLocker 如何在计算机生命末期发挥作用。要更好地理解本文中的术语,请查看侧栏“磁盘和卷”。
磁盘和卷
围绕磁盘和卷的术语往往会使人混淆。下面是一个简要术语表,供您参考。
分区:分区是物理硬盘的一部分,它是磁盘上存储的分区表中定义的逻辑结构。
卷:卷是 Windows 中由一个或多个分区组成的逻辑结构,由称为“卷管理器”的 Windows 组件所定义。除了卷管理器和启动组件,其余的操作系统组件和应用程序均使用卷,而非分区。在 Windows 客户端操作系统环境下,包括 Windows Vista 在内,分区和卷通常具有一对一的关系。而在服务器中,一个卷通常由多个分区组成,比如典型的 RAID 配置。
活动分区:一次只能将一个分区标为活动分区。此分区包括了用于启动操作系统的引导扇区。活动分区有时称为系统分区或系统卷,但是,请不要将这些术语和 Windows 操作系统卷混淆。
Windows 操作系统卷:此卷包含 Windows 安装,其中包括 System 文件夹和 System32 文件夹。Windows Vista 发布之前,用到了(并且仍在经常使用)术语“引导分区”。术语“Windows 操作系统卷”较为清楚,可避免引导分区和系统分区之间不断的混淆。在过去,培训师有时会让学生这样记忆:“从系统分区启动,在引导分区上查找系统文件”。
在 Windows Vista 之前,Windows 操作系统卷(也称为引导分区)和活动分区(也称为系统分区)是同一回事,因为大多数客户端计算机上的硬盘都配置为单独一个大分区。在图 A 中,您会看到分配给 Windows Vista 的“磁盘管理”控制台中每个分区或卷的功能。
图 A 分区功能
BitLocker 真正起到了两个既互补而又截然不同的作用。首先,BitLocker 为 Windows® 操作系统卷提供了整卷加密。其次,在具备兼容的 TPM 的计算机上,BitLocker 提供了在允许 Windows Vista™ 启动之前验证早期启动组件完整性的方法。
若要使用 BitLocker 的所有功能,您的计算机必须具备兼容的 TPM 微芯片和 BIOS。兼容要求 1.2 版的 TPM,以及满足以下条件的 BIOS:支持 TPM 和由可信赖运算组织 (TCG) 定义的 Static Root of Trust Measurement。但是,没有兼容的 TPM 和 BIOS 的计算机仍可使用 BitLocker 加密。
整卷加密
BitLocker 提供了整卷加密,确保对写入 Windows 操作系统卷的所有数据都能进行加密。这是保护存储于组织的计算机(尤其是便携式计算机或移动计算机)中机密信息的关键。
移动计算机丢失或被盗事件每天都会发生。具备了提高的便携式计算能力和移动性日益增强的工作团队,一名办公人员便能携带几百 GB 的组织商业机密、机密文档或客户个人身份信息 (PII)。只要随意进行新闻搜索,便会发现太多数据丢失之类的事件。(隐私权交流中心宣称,自 2005 年以来,已有超过 1.04 亿包含个人信息的记录发生丢失或泄漏。)
大多数组织已经在按照法律和公司要求保护多类隐私信息,并且,即使法律上并未要求,您很可能也会因为业务利益而必须如此去做。
为什么要加密整个卷?
如果您是位经验丰富的 Windows 管理员,您可能已经熟悉了基于 Windows 的加密选项,比如加密文件系统 (EFS),或者由权限管理服务 (RMS) 提供的加密和保护。BitLocker 最大的不同之处在于,它在启用后是自动、透明的,并包括整个卷。
例如,使用 EFS,您必须明确指明要保护哪些文件和文件夹。在 Windows Vista 中,有一些新选项可使 EFS 更加灵活,并使 EFS 和 RMS 能分别处理 BitLock