【正文】 是Windows Server 2008 R2（RTM版本），客戶端為Win 7（RTM版本）并且安裝了Office 2007 Enterprise軟件。 先看一下基于windows server 2008操作系統(tǒng)之上的AD RMS認證服務(wù)器的最低及推薦硬件配置： 要求 建議 一個 Pentium 4 3 GHz 處理器或更高級處理器兩個 Pentium 4 3 GHz 處理器或更高級處理器512 MB 的 RAM1024 MB 的 RAM40 GB 的可用硬盤空間80 GB 的可用硬盤空間可以看到硬件需求并不苛刻注：對于DC及SQL數(shù)據(jù)庫的硬件要求這里不多做敘述 再來看軟件要求： 軟件 要求 操作系統(tǒng)Windows Server 2008 /Windows Server 2008 R2文件系統(tǒng)建議使用 NTFS 文件系統(tǒng)消息MSMQ消息隊列Web 服務(wù)Internet 信息服務(wù) (IIS)。數(shù)據(jù)庫服務(wù)器AD RMS 需要使用數(shù)據(jù)庫服務(wù)器（如 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008）和存儲的過程來執(zhí)行操作。此安裝帳號要加入進AD RMS服務(wù)器的本地管理員組，并且具有SQL Server的本地管理員權(quán)限以及系統(tǒng)管理員數(shù)據(jù)庫角色。做好了上面的鋪墊工作，就可以開始在Windows Server 2008 上開始安裝AD RMS服務(wù)器角色了。另一方 面，設(shè)計它的主要目的是對整個磁盤進行加密，這包括了操作系統(tǒng)分區(qū)，存放資料的數(shù)據(jù)分區(qū)等，使得即使計算機或者計算機磁盤丟失后上面的數(shù)據(jù)也不會被惡意分 子破解出來，這個初衷點和EFS、RMS等方案有些差別。 那么，來看看BitLocker是怎樣為我們服務(wù)的。 上面說到BitLocker會將密鑰保存在磁盤之外的地方，那么具體是什么地方呢？ 一是存放在TPM上。那如果你的計算機是家用級別的臺式/筆記本的話，是不是就不能體驗和使用BitLocker了呢？當然不會，你還可以選擇將密鑰放在U盤上，然后在每次啟動系統(tǒng)的時候必須在開機之前將U盤連接到計算機上才能進入系統(tǒng)。畢竟連微軟自己都承認Vista在中國的失敗，可以想象一下有多少用戶通過合法手段使用著E版和U 版的Vista了。但這就有 一個問題，用于解密的密鑰可以保存在TPM芯片或者U盤中，但是解密程序應(yīng)該放在哪里？難道就放在系統(tǒng)盤嗎？可是系統(tǒng)盤已經(jīng)被加密了，這就導(dǎo)致了一種很矛 盾的狀態(tài)：因為用于解密的程序被加密了，因此無法運行，導(dǎo)致無法解密文件。問題出現(xiàn)了，在分區(qū)設(shè)置已經(jīng)完成的Vista系統(tǒng)之上，我們怎么樣為BitLocker劃出它要用的那塊活動分區(qū)？而且這個活動分區(qū)要位于C盤的前面而優(yōu)先被加載！答案可能讓你難以接受，這就是：需要重新安裝操作系統(tǒng)，在安裝系統(tǒng)之時進入WinRE環(huán)境使用diskpart命令重新劃分分區(qū)并激活活動分區(qū)。當然，你的C盤本身還需要剩余比較大的空間才可以~這種方式比我們重新劃分分區(qū)再重新安裝Vista是省事了些，不過對于用戶來說，都是不太可能讓他們直接操作的，用戶好感度極低~正因為以上的種種因素，微軟在windows7中對BitLocker進行了改進，改進后的BitLocker操作變得十分簡單，也不用去管那個活動分區(qū)的事了，用戶自己就能輕松完成加密操作。 第一次想要啟用BitLocker的話可以直接在要加密的磁盤分區(qū)上右鍵，選擇“啟用BitLocker”，也可以在控制面板中進行操作。選擇此解密方式，我們在要訪問此分區(qū)時會要輸入符合復(fù)雜性要求的密碼才能繼續(xù)。要使用此方式必須先加密系統(tǒng)分區(qū)。恢復(fù)密碼這個概念在BitLocker中非常重要！關(guān)于恢復(fù)密碼的重要性，微軟官網(wǎng)上有極其詳細的描述：在計算機啟動過程中，BitLocker 驅(qū)動器加密可以檢測到阻止其對安裝了 Windows 的驅(qū)動器或該計算機上任何其他 BitLocker 加密驅(qū)動器進行解鎖的情況。應(yīng)通過打印或者將其作為數(shù)據(jù)文件存儲在可移動介質(zhì)或文件夾中的方式存儲恢復(fù)密碼。在創(chuàng)建恢復(fù)密碼之后，可以使用 BitLocker 管理密鑰功能制作其他副本。 （注：這句的意思就是可以將恢復(fù)密碼存儲在AD中） 我這里選擇將恢復(fù)密碼保存到本地磁盤上，然后會打開它讓大家看看里面到底是什么內(nèi)容。 所以我在另外一個分區(qū)E：上新建一個文件夾，將恢復(fù)密碼保存在此?？梢钥吹交謴?fù)密碼是由一長串十進制數(shù)字組成的。至于加密速度，這個和你的分區(qū)大小及硬件配置等有關(guān)。加密完成后這些文件會被自動刪除，同時可用空間數(shù)量會恢復(fù)正常。 重啟計算機，看看效果吧。 下篇預(yù)告：計算機上沒有TPM芯片的情景這個時候我們該怎么應(yīng)用BitLocker呢？還有，恢復(fù)密碼到底何時用？怎么用呢？如果加密了系統(tǒng)分區(qū)，會有怎樣的情景呢？神秘的BitLocker To Go又能帶給我們什么樣的驚喜呢？最終BitLocker又是怎樣和域環(huán)境配合起來的呢？95。 輸入只有我自己親手設(shè)置的密碼后，可以看到鎖頭顏色變灰，說明進入解鎖狀態(tài)，里面的數(shù)據(jù)和程式都可以使用了。 在加密好的分區(qū)上右鍵點擊管理BitLocker，可以看到我們能夠的操作有更改解鎖密碼，刪除密碼，使用智能卡解鎖密碼或者再次保存或打印恢復(fù)密碼等。不管還留有多大的磁盤容量，此時幾乎消耗殆盡！呵呵，不要害怕，這個是正?，F(xiàn)象。 當點擊“啟動加密”后，可以在控制臺中看到D盤上出現(xiàn)了一把鎖頭的標識?？梢钥吹轿④洀娏医ㄗh將此恢復(fù)密碼保存在被加密計算機以外的設(shè)備上。當然了，把密碼放在被加密的分區(qū)里就相當于把鑰匙落在鎖好門的家里一樣。 如果計算機是域的一部分，域策略可能會控制可用的恢復(fù)密碼選項。如果您對其他數(shù)據(jù)驅(qū)動器進行了加密，則每個驅(qū)動器都有其自己的恢復(fù)密碼，這些密碼與安裝了 Windows 的驅(qū)動器的密碼都不同，應(yīng)妥善保存。如果發(fā)生了此類情況之一，將不能登錄和訪問受保護的文件，直到使用 BitLocker 恢復(fù)密碼解除對該驅(qū)動器的鎖定。這里我輸入了一串包含大小寫字母符號等的復(fù)雜密碼。智能卡在當今安全性要求較高的企業(yè)中應(yīng)用的越來越多，不止是VPN等等身份認證才能用到，BitLocker也可以使用智能卡作為解鎖方式。 因為這次演示過程我是在物理機器上直接操作的，所以暫時不選擇加密系統(tǒng)分區(qū)，因為加密后啟動時不方便截圖看效果，所以我后面會用虛擬機來演示加密系統(tǒng)分區(qū)的效果，這里我選擇加密數(shù)據(jù)分區(qū)D盤。 ，所以我們先一起看一下有TPM時的BitLocker加密解密等操作過程。考慮到第二點的尷尬情景，微軟特別開發(fā)了一個叫做“BitLocker和EFS增強”的工具，這個工具是作為Windows Vista Ultimate Extras提供給用戶的，也就是通過Vista Ultimate的自動更新獲得的，如果是Vista Enterprise版本則需要聯(lián)系微軟獲得此工具，除此之外你找不到下載它的地方?？赡苡腥藭f，這沒有什么不方便啊，現(xiàn)在硬盤都這么大，隨便劃個分區(qū)讓它用唄~那我只能說你沒有仔細看上面的文字，這里要求的是“活動分區(qū)”！何謂“活動分區(qū)”？活動分區(qū)就是計算機的啟動分區(qū)，一般大家安裝操作系統(tǒng)的C盤就是活動分區(qū)。 2. 要在Vista E/U上使用BitLocker，計算機磁盤上必須至少兩個活動分區(qū)。 1. BitLocker只在Windows Vista企業(yè)版和旗艦版中提供給用戶。以筆者的工作電腦HP paq dc7800p（系統(tǒng)為win7旗艦版）來說，打開設(shè)備管理器，可以看到 。這樣，要想啟動 Windows或者讀取保存在計算機中的文件，就必須先提供密鑰，隨后引導(dǎo)程序才會使用提供的密鑰解密系統(tǒng)文件，并加載和運行Windows，供我們讀取 文件。 在Vista之前的操作系統(tǒng)中，我們對數(shù)據(jù)加密的常規(guī)方法就是使用EFS，我前面的文章中也詳細介紹過了它的優(yōu)勢和不足，其中比較明顯的幾個弱 勢之處有：EFS無法加密系統(tǒng)文件；對用戶加密私鑰依賴性極強，如果發(fā)生未導(dǎo)出保存或沒有恢復(fù)代理的情況，很有可能發(fā)生無法打開加密文件的事件，同時，如 果發(fā)生計算機、計算機磁盤被盜竊/丟失的情況，惡意之徒可以將磁盤掛載到其他計算機上并使用工具搜索用戶密鑰從而破解。否則將追究法律責(zé)任。建立好AD RMS安裝帳號，我們還要創(chuàng)建一個用作AD RMS服務(wù)帳號的域帳號（這里我設(shè)定為adrmssrvc），此帳號并不要求額外的權(quán)限，domain users成員就好。注：DC及SQL服務(wù)器上的軟件環(huán)境這里不多做敘述，前面我有說明如果你的客戶端是較早的操作系統(tǒng)，記得要去微軟官網(wǎng)下載RMS Client（目前最新的是with SP2版本）安裝 清楚并滿足了AD RMS服務(wù)器的軟硬件需求，便可以進入AD RMS的預(yù)安裝階段。Active Directory 或 Active Directory 域服務(wù)AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 200Windows Server? 2008 或 Windows Server 2008 R2。我的實驗環(huán)境中由于硬件資源有限而沒有部署，所以需要手工設(shè)定。 在前文域環(huán)境下如何保護重要資料文件的安