在本文中，我将介绍最新版本中涉及的一些更改，概述如何在服务器上安装并使用 BitLocker，并提到一些值得注意的近期要点报告。（此外，要阅读去年的文章“使用 BitLocker 驱动器加密以保护数据的密钥”，请访问 technet.microsoft.com/magazine/cc138009.aspx。）

此 BitLocker 版本引入的更改带来了全新的灵活性，而且没有更改任何基本操作。我要讲述的更改包括：支持数据卷，允许对计算机访问进行三重身份验证，支持统一的可扩展固件接口 (UEFI)，适用于 64 位系统的新行业标准固件，能够更有效地防止针对卷元数据的加密攻击，以及受信任的平台模块 (TPM) 的增强用途。

首次发布 Windows Vista 时，BitLocker 控制面板只允许对 Windows® 操作系统卷（通常是 C:驱动器）启用加密。对于大多数用户而言，此功能就已足够了，因为家庭计算机通常将用户的所有数据和程序与操作系统存储在同一个卷上。但在企业中通常却并非如此，更不用说服务器了。因此，客户最常提出的一个请求就是能够对数据卷加密。数据卷是指计算机上安装的除操作系统卷以外的卷（请注意，BitLocker 不适用于加密可移动媒体）。

如图 1 所示，我在此计算机上有三个可用的卷。（如果包括用于启动的小型活动分区，则实际上有四个。）我的操作系统安装在驱动器 C:（实际显示为带有 Windows“徽标”的图标）上，另外还有两个数据卷 E:和 P:。数据卷 P:已使用 BitLocker 加密，并且当前处于锁定状态。数据卷 E:尚未加密。在 Windows Vista SP1 和 Windows Server 2008 中，我可以使用 BitLocker 控制面板小程序加密和解除锁定这些数据卷。

如果已使用 BitLocker 对操作系统卷加密，则默认行为是在解除操作系统卷的锁定时，同时解除对加密的数据卷的锁定。如果使用控制面板解除对数据卷的锁定，您就可以看到此选项显示为一个复选框，如图 2 所示。

若要启用或禁用数据卷的“自动解除锁定”功能，请使用 manage-bde.wsf 命令行工具。Manage-bde.wsf 是 Windows 随附的一个功能强大的脚本，它使用随 BitLocker 一同安装的基础 Windows Management Instrumentation (WMI) 提供程序。

例如，若要标记数据卷 P:，使它必须以手动方式解除锁定，请使用以下命令：

manage-bde.wsf –autounlock –disable P:

manage-bde.wsf –autounlock –enable P:

BitLocker 控制面板并未显示使用 BitLocker 和数据卷可执行的所有操作，因此您应该使用 -?选项来探索 manage-bde.wsf 命令。manage-bde.wsf 语法在“Windows BitLocker 驱动器加密设计指南”和“Windows BitLocker 部署指南”中也有介绍，这两个指南可从 Microsoft 下载中心 go.microsoft.com/fwlink/?LinkId=115215 获得。

客户也希望能够将其他身份验证要素与 BitLocker 配合使用。BitLocker 在您的计算机中使用 TPM 芯片以验证平台的完整性，即确定早期的启动组件（包括 BIOS）是否已被篡改或损坏。不过，自从 Windows Vista 发布以后，您现在还可以要求输入 PIN 或出示在启用 BitLocker 时创建的包含密钥的 USB 闪存驱动器。

现在借助 Windows Server 2008 和 Windows Vista SP1，您可以将上述三项结合使用。TPM 继续用于验证平台的完整性，USB 密钥代表“拥有的内容”，PIN 代表“知道的内容”。此配置提供了非常强大的防护功能，可防止未经授权的用户启动计算机和为受 BitLocker 保护的驱动器解除锁定。

不过就像在安全性中常见的情况一样，这也代表着取舍。显然，按这种方式配置 BitLocker 时，计算机将无法自动重新启动。以服务器为例，您必须决定哪个更重要：顺畅的重新启动还是更高级的保护功能。

在 Windows Server 2008 和 Windows Vista SP1 中，现已支持随附了统一的可扩展固件接口 (UEFI) 的计算机。UEFI 是一种规范，代表大多数计算机在启动时使用的传统 BIOS 的现代化。有关 UEFI 规范的详细信息，请访问 www.uefi.org。

当 BitLocker 检测到系统已被更改，或是启动时未提供必需的 PIN 或 USB 密钥时，BitLocker 将进入恢复模式。在恢复模式下，启用 BitLocker 的卷将保持锁定，并向用户显示一个称为恢复控制台的文本模式对话框。

若要解除对驱动器的锁定，用户必须使用键盘或从 USB 闪存驱动器输入恢复密码（一个包含 48 位的数字）。（如果是存储在 USB 闪存驱动器中，则此密码有时称为恢复密钥，因为它是二进制格式，而非文本格式。）

BitLocker 使用恢复密码解密存储在卷元数据中的密钥 — 卷主密钥 (VMK)，然后解密全卷加密密钥 (FVEK) 以解除对驱动器的锁定。若要成功完成恢复，必须有恢复密码的副本。

因此，除用户进行存储（如存储在 USB 闪存驱动器中）外，强烈建议您也集中存储恢复密码。操作系统提供了在 Active Directory® 域服务 (ADDS) 中存储密码的功能。

存储在卷元数据中的密钥（如 VMK）将进行加密，并且整个卷元数据的完整性将以加密形式予以保护。如果 BitLocker 检测到卷元数据已被篡改，它将拒绝使用任何元数据，并且不会解除对任何受保护卷的锁定。请注意，在此状态下仅使用恢复密码不能解除对驱动器的锁定。

我必须强调，这种情况只在计算机遭受蓄意的安全攻击时才会发生。如果发生这种情况，则您的计算机很可能已落入破坏者之手，而不再受您的控制。如果只是无意中更改了平台或忘记了 PIN，则不会引发这种情况。

若要解除对卷的锁定，您需要使用以下三个项目：

• 恢复密码（可以是键入的文本，也可以位于 USB 闪存驱动器上）
• 包含加密版本的 FVEK 和 VMK 的二进制密钥包
• BitLocker 修复工具

恢复密码可以手动备份，也可以自动备份。建议使用组策略设置将恢复密码自动备份到 Active Directory 域服务。

当您配置此设置（如图 3 所示）时，需包括备份二进制密钥包的选项。二进制密钥包包括加密版本的 VMK 和 FVEK，允许您根据需要使用 BitLocker 修复工具。

BitLocker 修复工具设计用于帮助您从启用了 BitLocker 的损坏磁盘中恢复数据。请注意，这是一个高级工具，旨在供经验丰富的管理员使用。有关 BitLocker 修复工具的详细信息，请访问 support.microsoft.com/kb/928201 阅读 Microsoft 知识库文章，或观看我的网络广播“企业中的 Microsoft BitLocker：让生活更加轻松的 BitLocker 工具”（包括视频演示），网址为 go.microsoft.com/fwlink/?LinkId=114985。

在此，需明确指出 BitLocker 不能代替备份数据的需求。如果磁盘损坏或受到蓄意攻击，则 BitLocker 修复工具完全不能保证能够恢复任何数据，更不用说所有数据。

从技术上讲，这并不是一项 BitLocker 更改，但它非常棒，完全值得一提。在 SP1 之前，BitLocker 是 Windows 操作系统中唯一使用 TPM 的部分，但现在 TPM 还可用于其他一些功能。例如，当 Windows 知道 TPM 可用时，便会在生成随机数字时使用 TPM 作为增加平均信息量的来源。这样，可提高各种加密的品质（甚至可能让游戏玩得更顺畅）。

但是，这也意味着事件查看器中显示的与 TPM 相关的事件不一定都与 BitLocker 相关。作为 IT 专业人员，您必须注意其他系统组件（可能是来自其他供应商的软件）可能并且将会使用 TPM，这就会记录一些其他事件。

[1] [2] 下一页  

（责任编辑：hahack）