由于 Windows Vista 和 Windows Server 2008 共用基本代码，所以 SP1 中出现的 BitLocker 更改也是 Windows Server 2008 中不可或缺的部分。但是为什么 BitLocker 在服务器上非常重要呢？毕竟，BitLocker 的设计目的就是保护计算机免受脱机攻击。换句话说，BitLocker 无法对正在运行的系统提供保护，而服务器通常会一直保持运行状态。

实际上，服务器或服务器的硬盘还是有可能遭受脱机攻击。即使从未发生过这种情况，当取消服务器或硬盘配置时，BitLocker 仍然大有帮助，接下来我们就会提到。首先，我们来看一下如何在服务器上安装和运行 BitLocker。

Windows Server 2008 的所有版本中都包含 BitLocker，但它是可选组件或功能，必须从服务器管理器或命令行安装。BitLocker 将作为 NTFS 筛选器驱动程序的一部分实现。安装此筛选器驱动程序需要重新启动计算机，因此请记住，在服务器上激活 BitLocker 需要重新启动。此外，就像 Windows Vista 一样，BitLocker 需要进行拆分加载配置，其中用于启动计算机的活动分区将保持未加密状态。如果来自制造商的服务器未预先配置，可使用 BitLocker Drive Preparation Tool 帮助您正确配置硬盘以支持 BitLocker。不过，如果您非常熟悉硬盘驱动器分区，当然可以手动配置硬盘。

若要将 BitLocker 安装到 Windows Server 2008 中，你可以使用服务器管理器图形界面从功能列表中选择 BitLocker（如图 4 所示），也可以通过发出命令来使用服务器管理器命令行接口：

ServerManagerCmd –install BitLocker –restart

使用服务器管理器时，它将安装 BitLocker 和 BitLocker 的管理工具。您还可以不安装 BitLocker，而只安装管理组件。这样就无需重新启动计算机，因为筛选器驱动程序未包含在内。此组件的名称是“RSAT-BitLocker”。

BitLocker 在运行服务器核心安装选项的计算机上运行正常，但您无法使用服务器管理器将 BitLocker 安装到服务器核心上，或使用图形用户界面在服务器核心上管理 BitLocker。因此，若要安装组件，请改用命令行工具 pkgmgr 或 ocsetup。

当安装好 BitLocker 二进制文件，并在必要的拆分加载配置中配置好磁盘后，您就可以在操作系统卷上启用 BitLocker。BitLocker 控制面板小程序在 Windows Server 2008 和 Windows Vista SP1 中使用相同的图标和选项。若要启用 BitLocker 的高级模式，您需要使用本地策略编辑器或适用于服务器的组策略对象来调整默认设置。

在服务器核心上，或者您只是不想使用控制面板时，可以使用 manage-bde.wsf 来启用 BitLocker。若要在驱动器 C: 上启用 BitLocker，请键入

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

现在，我们来讨论一些 BitLocker 在服务器中派上用场的具体方案。请记住，我曾经提到过 BitLocker 旨在帮助保护免受脱机攻击，这种攻击在 Windows 未运行时发生。

这时，正好可以思考一下适当的保护级别。防止未经授权而访问数据和要求立即备份服务器且不发生中断，哪个更重要？我的建议是，在许多分公司中，要求输入 PIN 来重新启动服务器是可接受的，但是各家公司必须自行决定。

要降低风险，请在运送前对计算机上的卷启用 BitLocker，然后移除所有密钥保护程序，但保留恢复密钥或恢复密码。此密钥或密码可以与服务器分开携带，甚至可以通过电话或加密的电子邮件告知接收方员工。一旦收到计算机或磁盘后，便可使用恢复密码解除对驱动器的锁定。驱动器可以保持加密状态（再次加入其他密钥保护程序），也可以在交付之后完全解密（如果需要）。

若要为分公司预先设置域控制器或服务器，这种方法将非常有效。

幸好，BitLocker 提供了另一种方法，而无需采取昂贵又耗时的过程来清理磁盘上有用的数据。基本上，没有任何信息会以有用的格式写入磁盘。由于加密的数据已无法使用，因此可以快速、轻松地移除所有关键信息。这样，无论以后如何处置磁盘硬件 — 可能被出售、回收、另作他用，都不必担心数据会被不当使用。

在 Windows Vista 和 Windows Server 2008 中，已将格式命令更新为清除 BitLocker 密钥（包括多次覆盖）。现在，您可以使用简单而有效的方式来取消驱动器的配置。

当我撰写本文时，也就是您读到本出版物的数周前，许多最新的文章、论文和新闻报告讨论了一些有趣的硬件特性，以及这些特性对 BitLocker、其他 Windows 安全功能及来自不同供应商的加密产品有何影响。我想花点时间来讨论其中的一些新发现。

其中一项发现是由普林斯顿大学的研究人员发表的，他们展示了（令人印象非常深刻！）现代计算机内存的一个特性，有时称为“DRAM 剩磁”（可从 citp.princeton.edu/pub/coldboot.pdf 中找到文章）。简单来讲，就是可以在移除内存电源后的一段时间内访问计算机内存的内容。当然，BitLocker 是在 Windows 运行时将解密数据的密钥保存在内存中的，问题在于密钥可能会被未经授权用户获得。

Adam Boileau 的另一项演示 (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) 展示了 IEEE 1394（通常称为 FireWire）如何允许直接内存访问 (DMA)，这可用于获取 Windows 上的机密信息，例如密码或解密密钥。有趣之处在于 DMA 几乎等于点 1394；但这不是缺陷，而是 Firewire 原本的设计。

不过，这两种攻击的共同之处在于它们都需要能够对正在运行的（或至少刚刚运行过的）计算机进行物理访问。BitLocker 并非针对联机攻击防护而设计，而且也不能免除一定程度的物理安全性需求。适当的深层防御需要使用多种工具和功能、创建物理安全性的环境、拟定基本的公司策略并持续对用户进行培训。

当然，这些都不是新发现。这些方法已经流传了一段时间，并且实际上就记录在 Microsoft® 数据加密工具包 (DET) 中。DET 中提供的风险分析旨在协助客户在安全性、可用性以及实施和管理成本之间取得平衡。这不容忽视。我们相信只有受过良好培训的用户才最能权衡安全性、可用性和成本以做出决策。

除 DET 之外，我的几位同事也提供了一些出色的评论和指导。首先，Russ Humphries 在其博客文章 go.microsoft.com/fwlink/?LinkId=115217 中讨论了 DRAM 剩磁环境中的安全性取舍。此外，Douglas MacIver 在 System Integrity (SI) 团队博客 go.microsoft.com/fwlink/?LinkId=115218 上撰写了其他的具体配置步骤和当今可采取的对策。强烈建议您抽时间阅读一下这两篇实用的博客文章。您还应该阅读 DET。

这些建议事项的关键在于使用高级模式（即需要 USB 密钥或 PIN 的模式），并且不要使计算机在无人看管的情况下进入睡眠模式（请改用休眠）。

BitLocker 仍然是 Windows Vista 最有用的功能之一。随着 SP1 的发布，BitLocker 也得到了增强，可直接回应客户反馈，能够启用更多方案，并符合数据保护的更广泛需求。将空闲数据保护机制扩展到 Windows Server 2008 中可为您提供更多方法来保护数据和维护符合性，而无论这些数据是存储在服务器、客户端工作站、数据中心、分公司中，还是由移动工作人员保管。