Vista BitLocker 驱动器加密原理

　　Windows BitLocker 驱动器加密毫无疑问是 Windows Vista 中谈论最多的功能之一。但是，大多数人尚没有太多机会来测试 BitLocker，以亲身体验它的作用和工作原理 — 尤其不在具备受信任的平台模块 (TPM) 的计算机上。在本文中，我将向您介绍 BitLocker™ 的基础知识，以便您评估其潜力，并将其纳入您的升级规划。我会从一些背景和概念性信息开始讲起，然后介绍启用 BitLocker、数据恢复、管理，以及 BitLocker 如何在计算机生命末期发挥作用。要更好地理解本文中的术语，请查看侧栏“磁盘和卷”。

　　磁盘和卷

　　围绕磁盘和卷的术语往往会使人混淆。下面是一个简要术语表，供您参考。

　　分区：分区是物理硬盘的一部分，它是磁盘上存储的分区表中定义的逻辑结构。

　　卷：卷是 Windows 中由一个或多个分区组成的逻辑结构，由称为“卷管理器”的 Windows 组件所定义。除了卷管理器和启动组件，其余的操作系统组件和应用程序均使用卷，而非分区。在 Windows 客户端操作系统环境下，包括 Windows Vista 在内，分区和卷通常具有一对一的关系。而在服务器中，一个卷通常由多个分区组成，比如典型的 RAID 配置。

　　活动分区：一次只能将一个分区标为活动分区。此分区包括了用于启动操作系统的引导扇区。活动分区有时称为系统分区或系统卷，但是，请不要将这些术语和 Windows 操作系统卷混淆。

　　Windows 操作系统卷：此卷包含 Windows 安装，其中包括 System 文件夹和 System32 文件夹。Windows Vista 发布之前，用到了(并且仍在经常使用)术语“引导分区”。术语“Windows 操作系统卷”较为清楚，可避免引导分区和系统分区之间不断的混淆。在过去，培训师有时会让学生这样记忆：“从系统分区启动，在引导分区上查找系统文件”。

　　在 Windows Vista 之前，Windows 操作系统卷(也称为引导分区)和活动分区(也称为系统分区)是同一回事，因为大多数客户端计算机上的硬盘都配置为单独一个大分区。在图 A 中，您会看到分配给 Windows Vista 的“磁盘管理”控制台中每个分区或卷的功能。

　　

图 A 分区功能

　　BitLocker 真正起到了两个既互补而又截然不同的作用。首先，BitLocker 为 Windows® 操作系统卷提供了整卷加密。其次，在具备兼容的 TPM 的计算机上，BitLocker 提供了在允许 Windows Vista™ 启动之前验证早期启动组件完整性的方法。

　　若要使用 BitLocker 的所有功能，您的计算机必须具备兼容的 TPM 微芯片和 BIOS。兼容要求 1.2 版的 TPM，以及满足以下条件的 BIOS：支持 TPM 和由可信赖运算组织 (TCG) 定义的 Static Root of Trust Measurement。但是，没有兼容的 TPM 和 BIOS 的计算机仍可使用 BitLocker 加密。 

　　整卷加密

　　BitLocker 提供了整卷加密，确保对写入 Windows 操作系统卷的所有数据都能进行加密。这是保护存储于组织的计算机(尤其是便携式计算机或移动计算机)中机密信息的关键。

　　移动计算机丢失或被盗事件每天都会发生。具备了提高的便携式计算能力和移动性日益增强的工作团队，一名办公人员便能携带几百 GB 的组织商业机密、机密文档或客户个人身份信息 (PII)。只要随意进行新闻搜索，便会发现太多数据丢失之类的事件。(隐私权交流中心宣称，自 2005 年以来，已有超过 1.04 亿包含个人信息的记录发生丢失或泄漏。)

　　大多数组织已经在按照法律和公司要求保护多类隐私信息，并且，即使法律上并未要求，您很可能也会因为业务利益而必须如此去做。

　　为什么要加密整个卷?

　　如果您是位经验丰富的 Windows 管理员，您可能已经熟悉了基于 Windows 的加密选项，比如加密文件系统 (EFS)，或者由权限管理服务 (RMS) 提供的加密和保护。BitLocker 最大的不同之处在于，它在启用后是自动、透明的，并包括整个卷。

　　例如，使用 EFS，您必须明确指明要保护哪些文件和文件夹。在 Windows Vista 中，有一些新选项可使 EFS 更加灵活，并使 EFS 和 RMS 能分别处理 BitLock