BitLocker驱动器加密它是在Windows Vista中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代作业系统Windows 8.1中也能使用此加密驱动。随同Windows Server 2008一同发布的有BitLocker实用程式，该程式能够通过加密逻辑驱动器来保护重要数据，还提供了系统启动完整性检查功能。

BitLocker使用TPM帮助保护Windows作业系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。

受信任的平台模组(TPM)是一个内置在计算机中的微晶片。它用于存储加密信息，如加密密钥。存储在TPM上的信息会更安全，避免受到外部软体攻击和物理盗窃。BitLocker可加密存储于Windows作业系统卷上的所有数据，默认情况下，使用TPM以确保早期启动组件的完整性（组件用于启动进程的更早时期），以及“锁定”任何BitLocker保护卷，使之在即便计算机受到篡改也得到保护。

BitLocker有一项不足，打开加密盘后，进入就不需要密码了，那幺如何才能使每次访问加密盘都要密码呢？这恐怕是微软后续改进的问题了，目前，我们可以在开始系统列里输入“cmd”，然后以管理员身份运行，输入 manage-bde（空格）-lock（空格）X，x为加密磁碟盘符。这样就可以锁住加密盘了。

通过加密整个Windows作业系统卷保护数据。

如果计算机安装了兼容TPM，BitLocker将使用TPM锁定保护数据的加密密钥。，在TPM已验证计算机的状态之后，才能访问这些密钥。加密整个卷可以保护所有数据，包括作业系统本身、Windows注册表、临时档案以及休眠档案。因为解密数据所需的密钥保持由TPM锁定，攻击者无法通过只是取出硬碟并将其安装在另一台计算机上来读取数据。

在启动过程中，TPM将释放密钥，该密钥仅在将重要作业系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证Windows启动过程的完整性。如果TPM检测到Windows安装已被篡改，则不会释放密钥。

默认情况下，BitLocker安装精灵配置为与TPM无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。

为了增强安全性，可以将TPM与用户输入的PIN或存储在USB快闪记忆体驱动器上的启动密钥组合使用。

在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。在这种情况下，用户需要创建一个存储在USB快闪记忆体驱动器上的启动密钥。

TPM是一个微晶片，设计用于提供基本安全性相关功能，主要涉及加密密钥。TPM通常安装在台式计算机或者携带型计算机的主机板上，通过硬体汇流排与系统其余部分通信。

合併了TPM的计算机能够创建加密密钥并对其进行加密，以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”密钥，可以帮助避免泄露密钥。每个TPM有一个主覆盖密钥，称为“存储根密钥(SRK)”，它存储在TPM的内部。在TPM中创建的密钥的隐私部分从不暴露给其他组件、软体、进程或者人员。

合併了TPM的计算机还可以创建一个密钥，该密钥不仅被覆盖，而且还被连线到特定硬体或软体条件。这称为“密封”密钥。创建密封密钥时，TPM将记录配置值和档案哈希的快照。仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。BitLocker使用密封密钥检测对Windows作业系统完整性的攻击。

使用TPM，密钥对的隐私部分在作业系统控制的记忆体之外单独保存。因为TPM使用自身的内部固件和逻辑电路来处理指令，所以它不依赖于作业系统，也不会受外部软体漏洞的影响。

需要强调的是，并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista(or Windows 7)用户摆脱因 PC 硬体丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，

BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中

驱动器加密能够有效地防止未经授权的用户破坏 Windows Vista(or Windows 7)档案以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 捲来实现。利用 BitLocker，所有用户和系统档案都可加密，包括交换和休眠档案。

对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的 USB 快闪记忆体驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 快闪记忆体驱动器之前计算机不会从休眠状态中启动或恢复。

BitLocker 紧密集成于 Windows Vista(or Windows 7) 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委託恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。

基本的BitLocker安装和部署不需要外来的和特殊的硬体或者软体。该伺服器必须满足支持Windows Server 2012的最小要求。但仍会发生一些硬体小问题。

，考虑伺服器具有可信任平台模组（TPM）1.2或2.0版本。TPM不需要安装和使用BitLocker，需要能够保证系统启动时的完整性，并将BitLocker本地磁碟绑定到专门的物理伺服器。这防止其他系统安装加密磁碟。

接着，评估伺服器的BIOS特徵。具有TPM的系统需要兼容性良好的固件。如果BIOS为TPM服务，其必须支持统一的可扩展固定接口（UEFI）标準。BIOS必须从硬碟启动，而不是从外部驱动器，比如USB或光碟。还有，BIOS在启动期间应该读取USB快闪记忆体盘，以防需要紧急加密恢复丢失或毁坏的证书。

，一个加密的驱动器必须提供两部分一部分是作业系统的FAT32或NTFS分区；另一部分是的350MB的NTFS分区（或者更大）——安装BitLocker的系统驱动器大小。硬体加密驱动器受支持，安装时必须关闭车载安全特性。单独的分区在启动期间需要执行系统完整性检查。系统驱动器通常包含其他的数据，比如恢覆信息和其他工具。

因为XP系统没有集成BitLocker，所以是通过内置在加密磁碟中的BitLocker To Go 程式来浏览档案而不是Windows的资源管理器。经BitLocker加密的随身碟在xp系统中只能读不能写,且仅能访问FAT格式或ExFat格式的档案系统,暂时无法访问NTFS格式档案系统.NTFS格式磁碟在XP下获取盘符后,双击磁碟图示,只会提示是否格式化。

BitLocker主要有两种工作模式TPM模式和随身碟模式，为了实现更高程度的安全，我们还可以启用这两种模式。

要使用TPM模式，要求计算机中必须具备不低于1.2版TPM晶片，这种晶片是通过硬体提供的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。

要想知道电脑是否有TPM晶片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模组”这类的设备，并确定其版本即可。

如果要使用随身碟模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备（能够流畅运行Windows Vista(or Windows 7)的计算机基本上都应该具备这样的功能），并且需要有一个专用的随身碟（随身碟只是用于保存密钥档案，容量不用太大，质量一定要好）。使用随身碟模式后，用于解密系统盘的密钥档案会被保存在随身碟上，每次重启动系统的时候必须在开机之前将随身碟连线到计算机上。

受信任的平台模组是实现TPM模式BitLocker的前提条件。

在安装SP1之后的Vista企业版和旗舰版中，我们可以使用三种模式的BitLocker

●纯TPM模式，要求系统中具有TPM晶片，这样用于解密的密钥以及用于验证引导档案完整性的相关档案都会保存在TPM晶片中。

●纯随身碟模式，要求系统符合上文中提到的和USB设备有关的条件，这样用于解密的密钥会被保存在随身碟中。

●混合模式，可以使用TPM+随身碟，TPM+PIN，以及TPM+随身碟+PIN的形式进一步增强系统安全。

将準备好的随身碟连线到计算机，等程式界面上显示了这个随身碟后，单击将其选中，然后单击“保存”按钮，这样用于解密被BitLocker加密的分区所需的密钥就会被保存在所选的随身碟上。

随后可以看到保存恢复密码的界面，在这里我们需要决定恢复密码的处理方式。需要注意，在平时的使用过程中，并不需要提供恢复密码，我们只要提供之前一步操作中指定的随身碟即可，而恢复密码是在随身碟不可用（例如，丢失或者损坏）时使用的，建议将其妥善处理。例如，如果本机安装了印表机，可以将恢复密码列印在纸上，并将这张纸保存在安全的地方。因为非常重要，建议保留恢复密码的多个副本，例如多次列印，然后将列印的密码分别保存在不同的安全位置，或者保存在的随身碟上（最好不要将恢复密码和启动密码保存在同一个随身碟上）。

保管好恢复密码后单击“下一步”按钮，随后程式会对我们的操作进行一个概述。为了进一步确认本机可以正常使用BitLocker功能，请保持选中“运行BitLocker系统检查”选项，这样程式会在进行加密之前先对系统中的各项设定进行检查。如果确认无误，请单击“继续”按钮（注意在整个过程中，最先使用的随身碟一定不能拔下来，如果需要将恢复密码保存在其他随身碟上，请将第二块随身碟连线到计算机的其他USB接口上）。

接下来需要重新启动系统，準备好之后单击“现在重启动”按钮。重启动完成，并成功登录后，桌面右下角会显示一个气泡图示，提示我们系统正在进行加密，单击这个气泡图示后可以看到显示加密进度的对话框。在这里我们可以暂停加密操作，并在稍后继续进行，无法停止或者撤销加密操作。

加密操作需要一定的时间，主要取决于系统盘的大小以及计算机的硬体速度。不过好在这个操作只需要进行一次。而且在日后的使用过程中，系统的运行速度并不会有太大的降低，可以放心使用。加密完成后单击“完成”按钮即可。经过上述操作，BitLocker功能已经被成功启用。还有几点问题需要注意

●套用BitLocker加密后，当Windows Vista启动后，我们查看系统档案时将不会看到档案带有任何与“加密”有关的属性，这属于正常现象，因为BitLocker的加密是在系统底层，从档案系统上实现的，而在用户看来，启动了的系统里的系统档案并没有被加密。但如果换个角度来看，例如一台计算机上安装了两个系统，或者将装有系统的硬碟拆掉，连线到其他计算机上，在试图访问套用了BitLocker的系统所在的分区时，我们会收到拒绝访问的信息，而且拒绝的原因是目标分区没有被格式化。这都属于正常现象，而且也证明了BitLocker正在保护我们作业系统的安全（构想一下，连访问分区都无法实现，又如何进行脱机攻击？）。

●，保存了启动密钥的随身碟，直接在Windows资源管理器下查看的时候，完全看不到其中保存的密钥档案。这也是为了安全。建议这个随身碟只用于保存BitLocker的启动密钥，而不要用作其他用途。这主要是为了儘量避免随身碟因为各种原因，例如病毒感染或者频繁写入损坏而造成系统无法访问。而且需要注意，密钥盘只是在启动系统的时候需要，只要系统启动完成，我们就可以将其拔出，并妥善保管起来。作业系统的正常运行过程中并不需要我们反覆提供密钥盘。

●一点，在加密过程中，系统盘的可用磁碟空间将会急剧减少。这属于正常情况，因为这个过程中会产生大量临时档案。加密完成后这些档案会被自动删除，可用空间数量会恢复正常。在解密被加密的系统盘时也会遇到类似的情况。

在套用了随身碟模式的BitLocker后，每次启动系统前都必须将保存了启动密钥的随身碟连线到计算机，否则系统会提示需要BitLocker驱动器加密密钥。这就要求我们必须将保存了启动密钥的随身碟连线到计算机后重启动，才能完成Windows的启动和载入过程。如果因为某些原因，例如保存了启动密钥的随身碟损坏或者丢失，只要还保留有启用BitLocker时创建的恢复密码，那幺可以在这个界面上按下回车键进行恢复。

，对于bitlocker分区后，数据丢失，可以选择赤兔Bitlocker分区恢复软体，此软体能够恢复误操作、重灌系统等原因造成的Bitlocker加密分区丢失、Bitlocker加密分区无法打开的数据恢复。

进入控制台\系统和安全\BitLocker 驱动器加密，选择你被加密的盘符，点旁边的“解除BitLocker”，就行了。

如果Windows To Go设备丢失或被盗，敏感数据和网路资源可能处于危险之中。幸运的是，可以通过BitLocker保护Windows To Go驱动器。BitLocker是Windows 7和Windows 8内置的全盘加密功能。BitLocker使用进阶加密标準算法保护128位或256位加密卷。

通常情况下，BitLocker依赖可信平台模组标準认证来引导路径和保护加密密钥。因为这种方法是不支持Windows To Go驱动器，BitLocker使用用户定义的密码来加密和解密磁碟。用户必须提供驱动器的解锁密码并引导到Windows To Go工作区。只要密码本身是安全的，未经授权的用户通常不能访问受保护的数据或安全的网路资源。

如果计画部署Windows To Go驱动器，提供这些支持的设备应该启用BitLocker。这并不总是可行的。举个例子，如果提供多个驱动器，可能想使用USB驱动器複印器来简化这个过程，不幸的是，BitLocker驱动器不能进行複製。这意味着你必须提供驱动器，然后为其配置Windows 8特性。

如果正在使用许多驱动器——使用複印器时可能出现的情况，可能想要通过BitLocker将数据给你的用户。这个过程本身是很容易的。桌面版本为Windows 8和Windows 8.1的用户可以简单地遵循BitLocker安装精灵中的步骤。

更大的技巧是确保用户真正实现了BitLocker。因为没有办法确认Windows To Go是否已经被保护，只有你可以确保你的用户妥善保护了自己的密码。

根据提示，一步一步进行加密设定，选择使用密码加密即可，特别需要注重的是需要把恢复密码保存到非加密的分区档案中，而且不能保存在根目录下。而且一定要记住保存位置，劳记密码。

随身碟只要是FAT32格式就能在xp系统中使用，如果不是FAT32格式在xp系统中只会提示你随身碟没有格式化而如果你格式化了将丢失所有数据。

该软体的加密速度并不快，根据档案的大小不同加密的时间不同，4G的档案加密速度需要10几分钟。

正常下的windows7系统，右击盘符就可启用BitLocker，如果右键选单中没有的话，可能是关闭这个服务了，需要我们去开启。方法是开启系统服务中的“ShellHWDetection”和“BDESVC”服务就可以了。