【正文】 在計(jì)算機(jī)以外的位置。VMK通過USB設(shè)備上的恢復(fù)密鑰進(jìn)行解密。單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。如果用戶不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，那么請用戶清除該復(fù)選框。（4）選中“在為操作系統(tǒng)驅(qū)動(dòng)器將恢復(fù)信息存儲(chǔ)到AD DS之前禁止啟用BitLocker”復(fù)選框，以確保將您的組織中所有受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器的恢復(fù)信息存儲(chǔ)在AD DS中。二、接下來我們講一下如何才能恢復(fù)受BitLocker保護(hù)的固定數(shù)據(jù)驅(qū)動(dòng)器，以及他的步驟如何步驟如下：單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。如果不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，請用戶清除“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框。（5）如果用戶希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項(xiàng)，請選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項(xiàng)”復(fù)選框。若要為可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器配置恢復(fù)選項(xiàng)，請?jiān)诩?xì)節(jié)窗格中，雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器”打開策略設(shè)置。（3）選中“為可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器將BitLocker恢復(fù)信息保存到AD DS中”復(fù)選框，然后選擇要在AD DS中“存儲(chǔ)恢復(fù)密碼和密鑰數(shù)據(jù)包”還是“僅存儲(chǔ)恢復(fù)密碼”。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對話框。自Bitlocker To Go的問世，才算是真正為U盤的保護(hù)添加了一把安全鎖。圖32 查看磁盤容量大小圖33 查看磁盤屬性由以上操作可知，已經(jīng)被Bitlocker加密過后的硬盤即使是被外掛到了其他的電腦上也是無法訪問的，仍然具有安全保護(hù)功能。四、Bitlocker加密模式的實(shí)際操作基于現(xiàn)在擁有TPM的電腦比較少，也基于目前條件限制我們在此不對使用到TPM的幾種模式作詳細(xì)介紹，下面我們就對僅密鑰模式作詳細(xì)描述。圖31 查看磁盤狀態(tài)接著進(jìn)入磁盤管理。三、有關(guān)Bitlocker其他相關(guān)介紹 Bitlocker To Go除了在第二章中我們所介紹的對具有Windows 7旗艦版本的電腦磁盤使用的Bitlocker的幾種運(yùn)用之外，在Windows 7中類似于Bitlocker這種加密功能的還有一個(gè)針對于U盤加密的新添功能——即Bitlocker To Go。（5）如果希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項(xiàng)，請選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項(xiàng)”復(fù)選框。（2）在“配置BitLocker恢復(fù)信息的用戶存儲(chǔ)”下，可以選擇在打開BitLocker時(shí)，是允許、要求還是不允許用戶創(chuàng)建48位數(shù)的恢復(fù)密碼或256位恢復(fù)密鑰。如果出現(xiàn)“用戶帳戶控制”對話框，用戶請確認(rèn)其顯示的是您要執(zhí)行的操作，然后單擊“是”。如果是第一次對驅(qū)動(dòng)器進(jìn)行加密，則會(huì)生成恢復(fù)信息，并且此信息在加密之后不會(huì)發(fā)送到AD DS。若要指定其他恢復(fù)選項(xiàng)，請單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。若要強(qiáng)制組策略立即應(yīng)用這些更改，可以單擊“開始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter。當(dāng)用戶存儲(chǔ)的恢復(fù)密碼或恢復(fù)密鑰不可用時(shí)（例如，當(dāng)用戶丟失了恢復(fù)密鑰打印件或當(dāng)無法訪問存儲(chǔ)的恢復(fù)密鑰文件時(shí)），AD DS中的存儲(chǔ)恢復(fù)密碼允許系統(tǒng)管理員向用戶提供恢復(fù)密碼或恢復(fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。若要指定其他恢復(fù)選項(xiàng)，請單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。我們就對恢復(fù)模式進(jìn)行較為詳細(xì)的介紹。不過對于如何運(yùn)用通過恢復(fù)密碼來訪問被Bitlocker加密的磁盤的內(nèi)部原理過程我們會(huì)在此作稍作介紹。對于恢復(fù)密鑰的存儲(chǔ)，我們應(yīng)當(dāng)通過以下方式存儲(chǔ)恢復(fù)密鑰：對于電腦硬盤的恢復(fù)密鑰可以打印，將恢復(fù)密鑰保存在可移動(dòng)媒體上，或者將恢復(fù)密鑰以文件形式保存在計(jì)算機(jī)上其他未加密驅(qū)動(dòng)器的某個(gè)文件夾中。在使用TPM和啟動(dòng)密鑰模式之后，丟失了載有啟動(dòng)密鑰的USB驅(qū)動(dòng)器時(shí)。用戶同時(shí)丟失計(jì)算機(jī)和USB設(shè)備帶來的風(fēng)險(xiǎn)可以通過某種風(fēng)險(xiǎn)緩解方法來緩解，該方法要求提供另一個(gè)非物理身份驗(yàn)證元素，例如個(gè)人識(shí)別碼(PIN)或密碼。在這種模式中不能緩解對操作系統(tǒng)的聯(lián)機(jī)攻擊。 僅啟動(dòng)密鑰模式不能緩解的風(fēng)險(xiǎn)而這種模式中，在沒有其他控件和策略的情況下，使用USB設(shè)備的BitLocker加密模式不能緩解以下風(fēng)險(xiǎn)：（1）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。通過休眠文件泄露純文本數(shù)據(jù)。這種模式與以前的風(fēng)險(xiǎn)緩解說明相同，同樣是由于此模式添加了身份驗(yàn)證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動(dòng)計(jì)算機(jī)、登錄和讀取加密數(shù)據(jù)的風(fēng)險(xiǎn)。USB設(shè)備插入計(jì)算機(jī)后，BitLocker將檢索密鑰并解密VMK。VMK通過（USB設(shè)備上的）密鑰進(jìn)行解密。修改磁盤上的啟動(dòng)管理器時(shí)沒有觸發(fā)恢復(fù)模式。下面我們僅僅介紹需要臨時(shí)禁用Bitlocker的清除密鑰模式。如果攻擊者能通過提供USB設(shè)備作為啟動(dòng)過程的一部分而正常啟動(dòng)計(jì)算機(jī)，那么他可以發(fā)起各種攻擊，包括特權(quán)升級(jí)攻擊和可進(jìn)行遠(yuǎn)程利用的攻擊。 TPM和啟動(dòng)密鑰模式不能緩解的風(fēng)險(xiǎn)而該模式在沒有其他控件和策略的情況下，使用TPM和USB設(shè)備的BitLocker選項(xiàng)不能緩解以下風(fēng)險(xiǎn)：（1）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。在啟用BitLocker保護(hù)之后，休眠文件將被加密。內(nèi)部人員可以讀取加密數(shù)據(jù)。以上就是訪問由TPM和PIN雙重Bitlocker保護(hù)的數(shù)據(jù)的原理步驟，其步驟清晰的向用戶展示了內(nèi)部原理性構(gòu)造。下圖顯示了使用TPM和USB的BitLocker選項(xiàng)中解密過程的邏輯流程:圖26 訪問由TPM和USB模式的Bitlocker保護(hù)的數(shù)據(jù)對于上圖圖解順序的步驟如下：BIOS啟動(dòng)并初始化TPM。而且我們知道，系統(tǒng)會(huì)在啟動(dòng)時(shí)或從休眠模式恢復(fù)時(shí)提示用戶插入U(xiǎn)SB設(shè)備。 TPM和啟動(dòng)密鑰模式 TPM和啟動(dòng)密鑰模式介紹如果用戶想要用兩層身份驗(yàn)證方法來保護(hù)他電腦上的數(shù)據(jù)，除了上面的那個(gè)雙層驗(yàn)證法之外，我們還可以采用TPM和包含有啟動(dòng)密鑰的USB模式來進(jìn)行Bitlocker的加密工作。緩解此風(fēng)險(xiǎn)最有效的方法是對可能在計(jì)算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識(shí)培訓(xùn)。由于BitLocker是一種全卷加密技術(shù)，因此它可以對Windows操作系統(tǒng)卷中存儲(chǔ)的所有文件進(jìn)行加密。通過休眠文件泄露純文本數(shù)據(jù)。擁有授權(quán)域帳戶但不具有附加身份驗(yàn)證元素的用戶將無法啟動(dòng)計(jì)算機(jī)進(jìn)行登錄。應(yīng)該注意的是，由于用戶要記住兩個(gè)密碼，因此創(chuàng)建BitLocker恢復(fù)密鑰（用戶忘記BitLocker PIN時(shí)可使用此密鑰）甚至更為重要。盡管PIN可以提高安全性，但它仍然會(huì)受到非常耐心或動(dòng)機(jī)強(qiáng)烈的攻擊者的攻擊。從卷中讀取加密FVEK，并使用解密VMK對其進(jìn)行解密。其中，這種個(gè)人識(shí)別碼是可以更改的，但是卻不能存儲(chǔ)或備份。RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法，也易于理解和操作。RSA是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。排列是對數(shù)據(jù)重新進(jìn)行安排，置換是將一個(gè)數(shù)據(jù)單元替換為另一個(gè)。2006年，高級(jí)加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫做非對稱加密算法。密碼體制是指實(shí)現(xiàn)加密和解密功能的密碼方案，從使用密鑰策略上，可分為對稱密碼體制和非對稱密碼體制。如果攻擊者發(fā)現(xiàn)了其他身份驗(yàn)證程序，例如用戶的計(jì)算機(jī)帳戶密碼（僅限使用TPM的BitLocker）、用戶的USB令牌或用戶的BitLocker PIN，則TPM將無法提供保護(hù)。將BitLocker配置為基本模式（僅TPM）的計(jì)算機(jī)可將操作系統(tǒng)啟動(dòng)并加載到用戶憑據(jù)界面（Winlogon服務(wù)），無需任何其他BitLocker身份驗(yàn)證元素。（5）內(nèi)部人員可以讀取加密數(shù)據(jù)。（3）處于登錄狀態(tài)且桌面未鎖定的計(jì)算機(jī)。此功能可幫助避免錯(cuò)誤，防止用戶對是否應(yīng)用加密作出錯(cuò)誤決定。另外，配置了擴(kuò)散器技術(shù)（默認(rèn)情況下啟用）的BitLocker正好可以緩解這種性質(zhì)的集中攻擊，因?yàn)閷Π滴牡募?xì)微更改也將擴(kuò)散到更大范圍。 TPM模式Bitlocker緩解風(fēng)險(xiǎn)通過對僅使用TPM的Bitlocker加密模式的的學(xué)習(xí)我們可以知道，這種模式可緩解的風(fēng)險(xiǎn)有：通過脫機(jī)攻擊進(jìn)行密鑰發(fā)現(xiàn)。當(dāng)打開Bitlocker時(shí)，操作系統(tǒng)卷被加密且卷主密鑰（VMK）被存儲(chǔ)在TPM中。）啟動(dòng)并初始化TPM。如果用戶想要運(yùn)用僅有TPM的Bitlocker模式在他的電腦丟失被盜的情況下保護(hù)電腦中的數(shù)據(jù)，則筆記本應(yīng)包含一個(gè)兼容的TPM(，另外必須BIOS支持),還要將硬盤分區(qū)為兩個(gè)卷:一個(gè)系統(tǒng)卷和一個(gè)操作系統(tǒng)卷,而且必須有支持BitLocker的Windows版本。僅TPM身份驗(yàn)證模式將為需要基準(zhǔn)級(jí)別數(shù)據(jù)保護(hù)的組織提供最透明的用戶體驗(yàn)，以滿足安全策略要求。TPM安全芯片具有三個(gè)安全保護(hù)功能：系統(tǒng)身份認(rèn)證登錄、文件加密及個(gè)人安全虛擬磁，其中系統(tǒng)身份認(rèn)證登錄就類似此前的Windows賬戶密碼，不過有所不同的是，Windows賬戶密碼很容易被破解，而TPM安全芯片可將所有密鑰的根密鑰保存在自己的寄存器當(dāng)中，獨(dú)立于筆記本的傳統(tǒng)存儲(chǔ)系統(tǒng)(如硬盤)，這樣每一臺(tái)筆記本就相當(dāng)于有一個(gè)唯一的硬件“身份證”，以此來驗(yàn)證用戶身份，這無疑多加了一層保險(xiǎn)，破解的機(jī)會(huì)微乎其微。如今這些密碼實(shí)際上是存儲(chǔ)在固化芯片的存儲(chǔ)單元中的，即便是掉電其信息也不會(huì)丟失。而具備由權(quán)威機(jī)構(gòu)頒發(fā)的唯一的身份證書的可信計(jì)算平臺(tái)具備在網(wǎng)絡(luò)上的唯一的身份標(biāo)識(shí)，從而為電子商務(wù)之類的系統(tǒng)應(yīng)用奠定信用基礎(chǔ)，對互聯(lián)網(wǎng)的應(yīng)用具有巨大的促進(jìn)作用。加密存儲(chǔ)：TPM將部分敏感數(shù)據(jù)如根密鑰等存儲(chǔ)在芯片內(nèi)部的屏蔽區(qū)域，系統(tǒng)的其他敏感數(shù)據(jù)加密后存儲(chǔ)到外部存儲(chǔ)設(shè)備。TPM標(biāo)準(zhǔn)：1990年10月，多家IT巨頭聯(lián)合發(fā)起成立可信賴運(yùn)算平臺(tái)聯(lián)盟，初期加入者有康柏、HP、IBM、Intel、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運(yùn)算平臺(tái)。這是保護(hù)存儲(chǔ)于組織的計(jì)算機(jī)(尤其是便攜式計(jì)算機(jī)或移動(dòng)計(jì)算機(jī))中機(jī)密信息的關(guān)鍵?；顒?dòng)分區(qū)：一次只能將一個(gè)分區(qū)標(biāo)為活動(dòng)分區(qū)。對于本章學(xué)習(xí)的順序如下：僅TPM模式——TPM和PIN模式——TPM和啟動(dòng)密鑰模式——清除密鑰模式——僅啟動(dòng)密鑰模式——恢復(fù)密鑰/密碼模式。在此聲明，由于本人的能力有限，也許對本次論文中所涉及的各類知識(shí)介紹和講解的不夠透徹，不能達(dá)到各位老師所期望的那樣的水平，不過這些工作的確是自己努力而來，還望老師見諒。但問題在于，如果除了系統(tǒng)盤外，硬盤上不存在其他活動(dòng)分區(qū)，這種情況下是無法直接啟用BitLocker的（這里無論是TPM模式還是U盤模式都是無法啟用的）。使用U盤模式后，用于解密系統(tǒng)盤的密鑰文件會(huì)被保存在U盤上，每次重新啟動(dòng)系統(tǒng)的時(shí)候都必須在開機(jī)之前將U盤連接到計(jì)算機(jī)上。在沒有TPM ，仍然可以使用BitLocker加密Windows操作系統(tǒng)驅(qū)動(dòng)器。使用BitLocker而不使用TPM時(shí)，所需加密密鑰存儲(chǔ)在USB閃存驅(qū)動(dòng)器中，必須提供該驅(qū)動(dòng)器才能解鎖存儲(chǔ)在卷上的數(shù)據(jù)。管理員可以使用組策略或腳本啟用其他功能和選項(xiàng)。如果計(jì)算機(jī)安裝了兼容的TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。本次設(shè)計(jì)所選題目——Windows 7中Bitlocker的應(yīng)用研究，正是針對如何防止計(jì)算機(jī)中信息與數(shù)據(jù)丟失所進(jìn)行的學(xué)習(xí)?？梢?，如何確保計(jì)算機(jī)信息的安全是非常重要的一件事，所以，越來越多的人開始重視保護(hù)計(jì)算機(jī)中數(shù)據(jù)、信息的安全。Bitlocker是通過加密整個(gè)Windows操作系統(tǒng)卷保護(hù)數(shù)據(jù)的。默認(rèn)情況下，BitLocker安裝向?qū)渲门cTPM無縫使用。若要在計(jì)算機(jī)上使用BitLocker而不使用TPM，則必須通過使用組策略更改BitLocker安裝向?qū)У哪J(rèn)行為，亦或是通過使用腳本配置BitLocker。它與BitLocker結(jié)合使用可以幫助保護(hù)用戶數(shù)據(jù)，并且確保當(dāng)系統(tǒng)脫機(jī)時(shí)，計(jì)算機(jī)不會(huì)被篡改。 如果要使用U盤模式，則需要電腦上有USB接口，計(jì)算機(jī)的BIOS支持在開機(jī)的時(shí)候訪問USB設(shè)備（能夠流暢運(yùn)行Windows的計(jì)算機(jī)基本上都應(yīng)該具備這樣的功能），并且需要有一個(gè)專用的U盤（該U盤只是用于保存密鑰文件，容量不用太大，但是質(zhì)量一定要好）。如果該磁盤上有兩個(gè)分區(qū)，對應(yīng)的盤符分別是“C”和“D”，其中“C”就是第一塊硬盤上的第一個(gè)分區(qū)，屬于系統(tǒng)盤而且是活動(dòng)的。并且在后文還會(huì)對有關(guān)Bitlocker驅(qū)動(dòng)器加密容易出現(xiàn)的各種問題做出一定的介紹和運(yùn)用。二、Bitlocker應(yīng)用模式詳解在本章的學(xué)習(xí)里，我們的主要任務(wù)是對Bitlocker的六種應(yīng)用模式逐一的進(jìn)行詳細(xì)的學(xué)習(xí)與研究，力爭在本章結(jié)束之時(shí)，我們可以對Bitlocker的各種應(yīng)用模式有清晰地認(rèn)識(shí)。而在服務(wù)器中，一個(gè)卷通常由多個(gè)分區(qū)組成。本文Bitlocker提供的是整卷加密，確?？梢詫懭隬indows操作系統(tǒng)卷上的所有數(shù)據(jù)都能進(jìn)行加密。由此可見，Windows 7操作系統(tǒng)中的這種加密功能的確有其突出的特點(diǎn)，也正是因?yàn)檫@樣，Bitlocker加密功能才會(huì)越來越受到青睞！ 僅TPM模式 TPM介紹首先對TPM作一定的介紹——TPM安全芯片是指使用硬件來有效的保護(hù)PC，防止非法用戶的訪問，是符合TPM（可信賴平臺(tái)模塊）標(biāo)準(zhǔn)的安全芯片。功能之二：敏感數(shù)據(jù)的加密存儲(chǔ)。現(xiàn)有的計(jì)算機(jī)在網(wǎng)絡(luò)上是依靠不固定的也不唯一的IP地址進(jìn)行活動(dòng)，導(dǎo)致網(wǎng)絡(luò)黑客泛濫和用戶信用不足。以往這些事物都是由BIOS做的，我們知道，忘記了密碼只要取下BIOS電池，給BIOS放電就可以清除密碼了。其實(shí)有些筆記本廠商采用的一鍵恢復(fù)功能，就是該用途的集中體現(xiàn)之一（其將系統(tǒng)鏡像放在一個(gè)TPM加密的