BitLocker 常见问题解答

查看常见问题,详细了解 BitLocker。

概述和要求

BitLocker 是否支持多重身份验证?

是,BitLocker 支持针对操作系统驱动器的多重身份验证。 如果在具有 TPM 版本 1.2 或更高版本的计算机上启用了 BitLocker,则可以将其他形式的身份验证与 TPM 保护一起使用。

为什么需要两个分区?

之所以需要两个分区运行 BitLocker,是因为预启动身份验证和系统完整性验证必须出现在加密操作系统驱动器中的独立分区上。 此配置有助于保护加密驱动器中的操作系统和信息。

如何判断计算机是否具有 TPM?

可以在安全中心>设备>安全处理器详细信息Windows Defender检查 TPM 状态。

是否可以在没有 TPM 的操作系统驱动器上使用 BitLocker?

是的,如果 BIOS 或 UEFI 固件能够在启动环境中的 USB 闪存驱动器读取数据,则可以在没有 TPM 的操作系统驱动器上启用 BitLocker。 在计算机的 TPM 或包含该计算机的 BitLocker 启动密钥的 USB 闪存驱动器首次释放 BitLocker 自己的卷主密钥之前,BitLocker 不会解锁受保护的驱动器。 但是,没有 TPM 的计算机将无法使用 BitLocker 还可以提供的系统完整性验证。 若要帮助确定计算机在启动过程中是否能够从 USB 设备读取数据,请将 BitLocker 系统检查用作 BitLocker 安装过程的一部分。 此系统检查会执行测试以确认计算机在适当的时间是否能够从 USB 设备正确地读取数据,并验证计算机是否满足其他 BitLocker 要求。

如何在我的计算机上获取对 TPM 的 BIOS 支持?

联系计算机制造商以请求满足以下要求的受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 启动固件:

  • 它符合客户端计算机的 TCG 标准
  • 它具有安全更新机制,可帮助防止计算机上安装恶意 BIOS 或启动固件

使用 BitLocker 需要哪些用户权限?

若要打开、关闭或更改操作系统和固定数据驱动器上的 BitLocker 配置,需要具有本地 管理员 组的成员身份。 标准用户可以打开、关闭或更改可移动数据驱动器上的 BitLocker 的配置。

对于即将受 BitLocker 保护的计算机,建议的启动顺序是什么?

计算机的启动选项应配置为先在启动顺序中具有硬盘驱动器,然后再使用任何其他驱动器(如 CD/DVD 驱动器或 U 盘)。 如果硬盘不是第一个,并且计算机通常从硬盘启动,则在启动期间找到可移动媒体时,可能会检测到或假定启动顺序更改。 启动顺序通常影响 BitLocker 验证的系统度量,启动顺序的更改将导致提示输入 BitLocker 恢复密钥。 出于同样的原因,如果笔记本电脑与扩展坞一起使用,请确保硬盘驱动器在连接和取消停靠时都处于启动顺序的第一位。

BitLocker 和 Windows 升级

是否可以升级启用了 BitLocker 的 Windows 版本?

是。

暂停和解密 BitLocker 之间有什么区别?

解密可完全删除 BitLocker 保护并完全解密驱动器。

暂停会保持数据的加密状态,但会使用明文密钥加密 BitLocker 卷主密钥。 明文密钥是一种加密密钥,存储在磁盘驱动器上,并且处于未加密和未保护状态。 通过以未加密的形式存储此密钥,暂停选项允许在没有解密和重新加密整个驱动器的时间和成本的情况下对计算机进行更改或升级。 在进行更改并且再次启用 BitLocker 之后,BitLocker 将对加密密钥进行重新封装使其为测量的组件(已更改为升级的一部分)的新值;卷主密钥将更改;保护程序也将更新以进行匹配;明文密钥将清除。

是否必须暂停 BitLocker 保护才能下载和安装系统更新和升级?

用户不需要任何操作的 BitLocker 才能将更新应用从 Microsoft,包括质量的 Windows 更新和功能更新。 对于下列各项等非 Microsoft 软件更新,用户需要暂停 BitLocker:

  • 如果这些更新清除 Windows API 外部的 TPM,则某些 TPM 固件会更新。 并非每个 TPM 固件更新都会清除 TPM。 如果 TPM 固件更新使用 Windows API 清除 TPM,则用户不必暂停 BitLocker,因为在这种情况下,BitLocker 将自动挂起。 如果用户不想暂停 BitLocker 保护,建议测试其 TPM 固件更新
  • 修改 UEFI\BIOS 配置的非 Microsoft 应用程序更新
  • 仅当 BitLocker 使用安全启动进行完整性验证时, (手动或非 Microsoft 更新来保护启动数据库)
  • 仅当 BitLocker 在更新期间未使用安全启动进行完整性验证时,汇报 UEFI\BIOS 固件、安装其他 UEFI 驱动程序或 UEFI 应用程序而不使用 Windows 更新机制 ()
  • 如果 BitLocker 使用安全启动通过命令行 manage-bde.exe -protectors -get C:进行完整性验证,则可以对其进行检查。 如果使用安全启动进行完整性验证,则报告 使用安全启动进行完整性验证

注意

如果 BitLocker 暂停,可以在安装升级或更新后恢复 BitLocker 保护。 在恢复保护后,BitLocker 将对加密密钥进行重新封装使其为测量的组件(已更改为升级或更新的一部分)的新值。 如果在不暂停 BitLocker 的情况下应用这些类型的升级或更新,则计算机将在重启时进入恢复模式,并且需要恢复密钥或密码才能访问计算机。

部署和管理

在企业环境中是否可以自动化 BitLocker 部署?

是的,可以使用 Windows PowerShell 或 manage-bde.exe 命令自动部署和配置 BitLocker。 有关常见 BitLocker 管理命令的详细信息,检查 BitLocker 操作指南

在计算机上启用 BitLocker 是否会对性能产生明显的影响?

通常,性能开销很小,通常以个位数百分比表示,这与它需要操作的存储操作的吞吐量相关。

启用 BitLocker 时,初始加密将需要多久?

尽管 BitLocker 加密在后台发生,但用户继续使用系统保持可用状态,但加密时间因要加密的驱动器类型、驱动器大小和驱动器速度而异。 如果加密大型驱动器,可能需要在不使用驱动器时计划加密。

启用 BitLocker 后,还可以将 BitLocker 设置为加密整个驱动器或仅加密驱动器上的已用空间。 在新的硬盘驱动器上,仅加密已使用空间可以比加密整个驱动器快得多。 当选择此加密选项时,BitLocker 会在保存数据时自动加密数据,确保无任何数据以未加密的形式存储。

如果在加密或解密期间关闭计算机会出现什么情况?

如果计算机处于关闭状态,或进入休眠状态,BitLocker 加密和解密过程将在下次 Windows 启动时从其停止的位置继续进行。 即使电源突然不可用,BitLocker 恢复加密或解密也是正确的。

BitLocker 对整个驱动器的加密和解密与读取和写入数据是否同时进行?

否,BitLocker 在读取和写入数据时不会加密和解密整个驱动器。 仅当系统读取操作请求时,才对受 BitLocker 保护的驱动器中的加密扇区进行解密。 在对写入驱动器的程序块进行加密后,系统才会将其写入物理磁盘。 迄今为止,无任何未加密的数据存储在受 BitLocker 保护的驱动器上。

如何防止用户将数据存储在未加密的驱动器上?

可以将策略设置配置为要求数据驱动器受 BitLocker 保护,然后受 BitLocker 保护的计算机才能向其写入数据。 有关详细信息,请参阅 BitLocker 策略设置。 启用这些策略设置后,受 BitLocker 保护的操作系统会将不受 BitLocker 保护的任何数据驱动器装载为只读。

什么是“仅使用磁盘空间”加密?

BitLocker 允许用户选择仅加密其数据。 尽管这不是加密驱动器的最安全方法,但此选项可将加密时间减少 99% 以上,具体取决于需要加密的数据量。 有关详细信息,请参阅 仅使用磁盘空间加密

哪些系统更改会导致 OS 驱动器上的完整性检查失败?

以下类型的系统更改可能导致完整性检查失败并且可能阻止 TPM 发布 BitLocker 密钥来加密受保护的操作系统驱动器:

  • 将受 BitLocker 保护的驱动器移动到新计算机
  • 使用新的 TPM 安装新的主板
  • 关闭、禁用或清除 TPM
  • 更改任何启动配置设置
  • 更改 BIOS、UEFI 固件、主启动记录、启动扇区、启动管理器、选项 ROM 或其他早期启动组件或启动配置数据

是什么原因导致 BitLocker 在试图启动操作系统驱动器时启动到恢复模式?

由于 BitLocker 旨在保护计算机免受大量攻击,因此 BitLocker 在恢复模式下启动的原因有很多。 例如:

  • 更改 BIOS 启动顺序以在硬盘驱动器之前启动另一个驱动器
  • 添加或删除硬件,例如在计算机中插入新的卡
  • 移除、插入或完全耗尽便携式计算机上的智能电池的电量

在 BitLocker 中,恢复包括对卷主密钥的副本进行加密(使用存储于 U 盘中的恢复密钥或衍生于恢复密码的加密密钥)。 TPM 不涉及任何恢复方案,因此,如果 TPM 未通过启动组件验证、发生故障或删除,恢复仍可行。

什么可以阻止 BitLocker 绑定到 PCR 7?

如果非 Windows OS 在 Windows 之前启动,或者安全启动对设备不可用(因为它已禁用或硬件不支持它),则可以阻止 BitLocker 绑定到 PCR 7。

如果在操作系统驱动器上启用了 BitLocker,是否可以在同一台计算机上交换硬盘?

是的,如果启用了 BitLocker,则可以在同一台计算机上交换多个硬盘,但前提是硬盘在同一台计算机上受 BitLocker 保护。 BitLocker 密钥对 TPM 和操作系统驱动器是唯一的。 如果备份操作系统或数据驱动器需要在磁盘发生故障时做好准备,请确保它们与正确的 TPM 匹配。 还可以为不同的操作系统配置不同的硬盘驱动器,然后在每个操作系统上使用不同的身份验证方法启用 BitLocker, (例如,仅使用 TPM,使用 TPM+PIN) 且没有任何冲突。

如果在另一台计算机中插入硬盘,是否可以访问受 BitLocker 保护的驱动器?

是的,如果驱动器是数据驱动器,则可以使用密码或智能卡从 BitLocker 驱动器加密控制面板项解锁。 如果数据驱动器配置为仅自动解锁,则需要使用恢复密钥对其进行解锁。 可以通过数据恢复代理(如果已配置了一个)解锁已加密的硬盘,也可以通过使用恢复密钥对其进行解锁。

为什么右键单击驱动器时,“打开 BitLocker”选项不可用?

某些驱动器无法使用 BitLocker 加密。 无法加密驱动器的原因包括磁盘大小不足、文件系统不兼容、驱动器是动态磁盘或驱动器被指定为系统分区。 默认情况下,系统驱动器(或系统分区)不会显示。 但是,如果在安装操作系统时由于自定义安装过程而未将其创建为隐藏驱动器,则可能会显示该驱动器,但无法加密该驱动器。

BitLocker 支持哪些类型的磁盘配置?

可以使用 BitLocker 对任意数量的内部固定数据驱动器进行保护。 也支持某些版本的基于 ATA 和 SATA 的直接连接的存储设备。

密钥管理

如何对可移动数据驱动器进行身份验证或解锁?

可以使用密码或智能卡解锁可移动数据驱动器。 还可以将 SID 保护程序配置为使用用户域凭据解锁驱动器。 加密开始后,还可以在特定计算机上为特定用户帐户自动解锁驱动器。 系统管理员可以配置用户可用的选项,包括密码复杂性和最小长度要求。 若要使用 SID 保护程序解锁,请使用 manage-bde.exe

Manage-bde.exe -protectors -add e: -sid domain\username

TPM 所有者密码、恢复密码、恢复密钥、PIN、增强 PIN 和启动密钥之间的区别是什么?

BitLocker 可以生成和使用多个密钥。 某些密钥是必需的,有些是可选的保护程序,你可以根据所需的安全级别选择使用。

TPM 所有者密码

在具有 TPM 版本 1.2 的计算机上启用 BitLocker 之前,必须初始化 TPM。 初始化过程生成 TPM 所有者密码,这是在 TPM 上设置的密码。 必须能够提供 TPM 所有者密码才能更改 TPM 的状态,例如在启用或禁用 TPM 或重置 TPM 锁定时。

恢复密码和恢复密钥

设置 BitLocker 时,必须选择在以下情况下如何恢复对受 BitLocker 保护的驱动器的访问权限:无法使用指定的解锁方法 (例如 TPM 无法验证启动组件、忘记个人标识号 (PIN) 或忘记密码) 。 在这些情况下,必须能够提供恢复密钥或恢复密码才能解锁驱动器上的加密数据。 提供恢复信息时,可以使用以下格式之一:

  • 由 48 位数字组成的恢复密码分为八个组。 在恢复期间,需要使用键盘上的功能键在 BitLocker 恢复控制台中键入此密码
  • Usb 闪存驱动器上的密钥文件,由 BitLocker 恢复控制台直接读取。 在恢复期间,需要插入此 USB 设备

PIN 和增强的 PIN

若要使用 TPM 实现更高级别的安全性,可以使用个人标识号 (PIN) 配置 BitLocker。 PIN 是用户创建的值,每次计算机启动或从休眠状态恢复时都必须输入该值。 PIN 可以包含 4 到 20 位数字,由 “为启动配置最小 PIN 长度 ”策略设置所指定,并在内部存储为输入的 Unicode 字符的 256 位哈希。 永远不会向用户显示此值。 PIN 用于结合 TPM 身份验证提供另一个身份验证因素。
若要使用 TPM 实现更高级别的安全性,可以将 BitLocker 配置为使用增强型 PIN。 增强型 PIN 是除了使用数字集之外的完整键盘字符集的 PIN,允许更多可能的 PIN 组合,长度在 4 到 20 个字符之间。 若要使用增强型 PIN,必须在将 PIN 添加到驱动器之前启用 “允许用于启动增强的 PIN” 策略设置。 通过启用此策略,创建的所有 PIN 都可以使用完整的键盘字符。

启动密钥

配置启动密钥是使用 TPM 实现更高级别安全性的另一种方法。 启动密钥是存储在 U 盘上的密钥,每次计算机启动时都必须插入 U 盘。 启动密钥用于结合 TPM 身份验证提供另一个身份验证因素。 若要使用 U 盘作为启动键,必须使用 NTFS、FAT 或 FAT32 文件系统格式化 U 盘。

重要提示

必须具有启动密钥才能在非 TPM 计算机上使用 BitLocker。

如何存储恢复密码和恢复密钥?

操作系统驱动器或固定数据驱动器的恢复密码和恢复密钥可以保存到文件夹、保存到一个或多个 USB 设备、保存到 Microsoft 帐户或打印。

对于可移动数据驱动器,恢复密码和恢复密钥可以保存到文件夹、保存到 Microsoft 帐户或打印。 默认情况下,可移动驱动器的恢复密钥不能存储在可移动驱动器上。

域管理员还可以配置策略设置,以自动生成恢复密码,并将其存储在Active Directory 域服务 (AD DS) 或Microsoft Entra ID的任何受 BitLocker 保护的驱动器中。

如果仅启用了 TPM 身份验证方法,在不解密驱动器的情况下,是否可以添加另外一种身份验证方法?

Manage-bde.exe命令行工具可用于将仅限 TPM 的身份验证模式替换为多重身份验证模式。 例如,如果仅通过 TPM 身份验证启用了 BitLocker,并且需要添加 PIN 身份验证,请使用提升的命令提示符中的以下命令,将 4-20 位数字 PIN 替换为所需的数字 PIN:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

何时应考虑使用其他身份验证方法?

满足 Windows 硬件兼容性计划要求的新硬件使 PIN 成为不太重要的缓解措施,与设备锁定等策略结合时,仅 TPM 的保护程序可能便已足够。 例如,Surface Pro和Surface Book没有要攻击的外部 DMA 端口。 对于可能需要 PIN 的较旧硬件,建议启用允许非数字字符(如字母和标点符号)的 增强型 PIN ,并根据计算机 TPM 上可用的风险容忍度和硬件防锤功能设置 PIN 长度。

如果恢复信息丢失,受 BitLocker 保护的数据是否不可恢复?

BitLocker 的目的在于如果没有必需的身份验证,则无法恢复加密的驱动器。 当处于恢复模式时,用户需要恢复密码或恢复密钥,以解锁加密的驱动器。

重要提示

将恢复信息存储在 Microsoft Entra ID、AD DS、Microsoft 帐户或其他安全位置。

用作启动密钥的 U 盘是否也可以用于存储恢复密钥?

虽然在技术上可以使用 U 盘作为启动密钥和存储恢复密钥,但使用一个 U 盘来存储这两个密钥并不是最佳做法。 如果包含启动密钥的 U 盘丢失或被盗,恢复密钥也将丢失。 此外,插入此密钥会导致计算机从恢复密钥自动启动,即使 TPM 测量的文件已更改,这会绕过 TPM 的系统完整性检查。

是否可以在多个 U 盘上保存启动密钥?

是的,计算机的启动密钥可以保存在多个 U 盘上。 右键单击受 BitLocker 保护的驱动器并选择“ 管理 BitLocker ”,将提供根据需要将恢复密钥保存到其他 U 盘上的选项。

是否可以在相同的 U 盘上保存多个(不同的)启动密钥?

是的,不同计算机的 BitLocker 启动密钥可以保存在同一 U 盘上。

是否可以为相同的计算机生成多个(不同的)启动密钥?

可以通过编写脚本为同一台计算机生成不同的启动键。 但是,对于具有 TPM 的计算机,创建不同的启动密钥会阻止 BitLocker 使用 TPM 的系统完整性检查。

是否可以生成多个 PIN 组合?

无法生成多个 PIN 组合。

BitLocker 中使用了哪些加密密钥? 它们如何协同工作?

使用全卷加密密钥加密原始数据,然后使用卷主密钥对其进行加密。 卷主密钥又通过几种可能的方法之一进行加密,具体取决于身份验证 (即密钥保护程序或 TPM) 和恢复方案。

加密密钥存储在何处?

全卷加密密钥通过卷主密钥进行加密并存储在加密的驱动器中。 卷主密钥通过相应的密钥保护程序进行加密并存储在加密的驱动器中。 如果已暂停 BitLocker,用于加密卷主密钥的明文密钥将随同加密的卷主密钥一起存储在加密的驱动器中。

此存储过程可确保卷主密钥永远不会未加密存储,并且除非禁用 BitLocker,否则会受到保护。 密钥也会保存到驱动器上的两个其他位置中,以备不时之需。 启动管理器可读取和处理密钥。

为什么需要使用功能键来输入 PIN 或 48 个字符的恢复密码?

F1 至 F10 键为通用映射扫描代码,可用于所有计算机上的预启动环境和所有语言。 数字键 0 到 9 在所有键盘上的预启动环境中都不可用。

如果使用增强的 PIN,用户应在 BitLocker 安装过程期间运行可选系统检查以确保在预启动环境中可正确输入 PIN。

BitLocker 如何帮助阻止攻击者发现可以解锁操作系统驱动器的 PIN?

执行暴力攻击的攻击者可能会发现个人标识号 (PIN) 。 暴力攻击会在攻击者使用自动化工具尝试不同的 PIN 组合时发生,一直持续到发现正确的那一个为止。 对于受 BitLocker 保护的计算机,这种类型的攻击(也称为字典攻击)要求攻击者对计算机具有物理访问权限。

TPM 具有内置的检测和响应这些类型攻击的功能。 由于不同制造商的 TPM 可能支持不同的 PIN 和攻击缓解措施,因此请联系 TPM 的制造商,以确定计算机的 TPM 如何缓解 PIN 暴力攻击。 确定 TPM 的制造商后,请与制造商联系以收集 TPM 的供应商特定信息。 大多数制造商使用 PIN 身份验证失败计数成倍增加 PIN 接口的锁定时间。 但是,每个制造商都有关于何时以及如何减少或重置失败计数器的不同策略。

如何确定 TPM 的制造商?

可以在Windows Defender安全中心>设备安全性>处理器详细信息中确定 TPM 制造商。

如何评估 TPM 的字典攻击缓解机制?

当向 TPM 制造商询问字典攻击缓解机制的设计时,以下问题可能会提供帮助:

  • 在锁定前,可发生多少次失败的授权尝试?
  • 用于确定基于失败尝试数量和任何其他相关参数的锁定的持续时间算法是什么?
  • 哪些操作可能会导致失败计数和锁定持续时间的减少或重置?

是否可以使用策略设置管理 PIN 长度和复杂性?

可以使用“为启动组策略配置最小 PIN 长度”设置来配置最小个人标识号 (PIN) 长度,并通过启用“允许用于启动增强的 PIN”策略设置来允许使用字母数字 PIN。 无法通过策略设置要求 PIN 复杂性。

有关详细信息,请参阅 BitLocker 策略设置

PIN 和 TPM 如何用于派生卷主密钥?

BitLocker 使用 SHA-256 对用户指定的个人标识号 (PIN) 进行哈希处理,并将哈希的前 160 位用作发送到 TPM 以密封卷主密钥的授权数据。 卷主密钥现在受 TPM 和 PIN 保护。 若要解封卷主密钥,每次计算机重启或从休眠状态恢复时,都需要输入 PIN。

BitLocker To Go

BitLocker 的用途是什么?

BitLocker To Go 是可移动数据驱动器上的一种 BitLocker 驱动器加密。 此功能包括以下项的加密:

  • U 盘
  • SD 卡
  • 外部硬盘驱动器
  • 使用 NTFS、FAT16、FAT32 或 exFAT 文件系统格式化的其他驱动器。

驱动器分区必须满足 BitLocker 驱动器加密分区要求

与 BitLocker 一样,可以通过在另一台计算机上使用密码或智能卡打开 BitLocker To Go 加密的驱动器。 在 控制面板 中,使用 BitLocker 驱动器加密

BitLocker 和 Active Directory 域服务 (AD DS)

AD DS 中存储了哪些类型的信息?

存储的信息 描述
BitLocker 恢复密码 恢复密码允许在发生恢复事件后解锁和访问驱动器。 域管理员可以使用 BitLocker 恢复密码查看器查看 BitLocker 恢复密码。 有关此工具的详细信息,请参阅 BitLocker:使用 BitLocker 恢复密码查看器
BitLocker 密钥包 密钥包有助于修复硬盘损坏,否则会阻止标准恢复。 使用密钥包进行恢复需要 BitLocker 修复工具 Repair-bde

如果在计算机加入域之前在计算机上启用了 BitLocker,该怎么办?

如果在应用策略设置强制备份之前在驱动器上启用了 BitLocker,则计算机加入域或随后应用策略设置时,恢复信息不会自动备份到 AD DS。 但是,策略设置 选择如何恢复受 BitLocker 保护的操作系统驱动器选择如何恢复受 BitLocker 保护的固定驱动器,并选择 如何恢复受 BitLocker 保护的可移动驱动器 ,以要求计算机连接到域,然后才能启用 BitLocker,以帮助确保组织中受 BitLocker 保护的驱动器的恢复信息备份到 AD DS。

有关如何将恢复密码备份到 AD DS 或Microsoft Entra ID的详细信息,请查看 BitLocker 操作指南

重要提示

将计算机加入域应该是组织内新计算机的第一步。 计算机加入域后,使用策略设置) 启用时,将自动 (将 BitLocker 恢复密钥存储到 AD DS。

客户端计算机上是否记录了事件日志条目来指示Microsoft Entra ID或 Active Directory 备份是成功还是失败?

是,客户端计算机上记录了指示备份成功或失败的事件日志条目。 但是,即使事件日志条目显示“成功”,该信息可能随后已从 AD DS 中删除,或者可能通过 Active Directory 信息不再解锁驱动器(例如,通过删除恢复密码密钥保护程序)的方式已对 BitLocker 进行了配置。 此外,日志条目也可能受到欺骗。

最后,确定 AD DS 中是否存在合法备份需要通过使用 BitLocker 密码查看器工具并借助域管理员凭据来查询 AD DS。

如果更改计算机上的 BitLocker 恢复密码,并将新的密码存储在 AD DS 中,AD DS 是否会覆盖旧的密码?

否。 根据设计,BitLocker 恢复密码条目不会从 AD DS 中删除。 因此,可能会为每个驱动器看到多个密码。 若要标识最新的密码,请检查对象上的日期。

如果备份在开始时失败,会出现什么情况? BitLocker 会重试吗?

如果备份最初失败,例如在运行 BitLocker 安装向导时无法访问域控制器时,BitLocker 不会再次尝试将恢复信息备份到 AD DS。

当管理员选择“在 AD DS 中存储恢复信息之前不要启用 BitLocker,直到恢复信息存储在 (操作系统 | 固定数据 | 可移动数据) 驱动器检查”框中,选择如何恢复受 BitLocker 保护的操作系统驱动器选择如何恢复 BitLocker 保护的固定数据驱动器选择如何恢复受 BitLocker 保护的可移动数据驱动器策略设置,除非计算机已连接到域,并且 BitLocker 恢复信息备份到 AD DS 成功,否则用户无法启用 BitLocker。 如果备份失败,则配置了这些设置,无法启用 BitLocker,从而确保管理员能够在组织中恢复受 BitLocker 保护的驱动器。

有关详细信息,请参阅 BitLocker 策略设置

当管理员清除这些检查框时,管理员允许驱动器受到 BitLocker 保护,而无需将恢复信息成功备份到 AD DS;但是,如果备份失败,BitLocker 不会自动重试备份。 相反,管理员可以创建备份脚本,如前面在 计算机加入域之前在计算机上启用 BitLocker 的情况中所述, 以便在连接还原后捕获信息。

安全性

BitLocker 使用何种形式的加密? 是否可配置?

BitLocker 使用高级加密标准 (AES) 作为其加密算法,可配置密钥长度为 128 位或 256 位。 默认加密设置为 AES-128,但可以使用策略设置配置选项。

在操作系统驱动器上使用 BitLocker 的最佳做法是什么?

在操作系统驱动器上配置 BitLocker 的建议做法是在 TPM 版本为 1.2 或更高版本的计算机上实现 BitLocker。

使用睡眠或休眠电源管理选项有什么含义?

操作系统驱动器上的 BitLocker 在其基本配置中为休眠模式提供了额外的安全性。 在睡眠模式下,计算机容易受到直接内存访问攻击,因为未受保护的数据保留在 RAM 中。 因此,为了提高安全性,建议禁用睡眠模式。 可以使用 策略设置配置启动身份验证。

TPM 的优势有哪些?

大多数操作系统使用共享的内存空间,并且依赖操作系统来管理物理内存。 TPM 是一种硬件组件,它使用自己的内部固件和逻辑电路来处理指令,从而使其屏蔽外部软件漏洞。 攻击 TPM 需要对计算机的物理访问权限。 此外,攻击硬件所需的工具和技能通常更昂贵,并且通常不如用于攻击软件的工具和技能可用。 并且,由于每个 TPM 对于包含它的计算机来说具有唯一性,因此攻击多个 TPM 计算机将非常困难而且耗时。

注意

使用额外的身份验证因素配置 BitLocker 可以进一步防范 TPM 硬件攻击。

网络解锁

什么是 BitLocker 网络解锁?

通过 BitLocker 网络解锁,可以更轻松地管理在域环境中使用 TPM+PIN 保护方法的已启用 BitLocker 的客户端和服务器。 当重新启动连接到有线企业网络的计算机时,网络解锁将允许绕过 PIN 条目提示。 通过使用由 Windows 部署服务服务器提供的作为其辅助身份验证方法的受信任密钥,它会自动解锁受 BitLocker 保护的操作系统卷。

若要使用网络解锁,必须为计算机配置 PIN。 当计算机未连接到网络时,需要提供 PIN 才能解锁它。

BitLocker 网络解锁对客户端计算机、Windows 部署服务和域控制器都有软件和硬件要求,在使用之前必须满足这些要求。

网络解锁使用两个保护程序 - TPM 保护器和网络或 PIN 提供的保护程序。 自动解锁使用单个保护程序 - 存储在 TPM 中的保护程序。 如果计算机在没有密钥保护程序的情况下加入网络,则会提示输入 PIN。 如果 PIN 不可用,则需要使用恢复密钥来解锁计算机(如果计算机无法连接到网络)。

有关详细信息,请参阅 BitLocker:如何启用网络解锁

将 BitLocker 与其他程序配合使用

是否可以将 EFS 与 BitLocker 配合使用?

是的,加密文件系统 (EFS) 可用于加密受 BitLocker 保护的驱动器上的文件。 BitLocker 有助于保护整个操作系统驱动器免受脱机攻击,而 EFS 可以提供额外的基于用户的文件级别加密,以便在同一台计算机的多个用户之间进行安全隔离。 EFS 还可用于在 Windows 中加密未由 BitLocker 加密的其他驱动器上的文件。 EFS 的根机密默认存储在操作系统驱动器上;因此,如果为操作系统驱动器启用了 BitLocker,则其他驱动器上由 EFS 加密的数据也会间接受到 BitLocker 的保护。

是否可以使用 BitLocker 运行内核调试程序?

是。 不过,应先打开调试程序,然后再启用 BitLocker。 打开调试程序可确保在密封到 TPM 时,将计算正确的度量值,从而允许计算机正常启动。 如果在使用 BitLocker 时需要打开或关闭调试,请确保先挂起 BitLocker,以避免将计算机置于恢复模式。

BitLocker 如何处理内存转储?

BitLocker 的存储驱动程序堆栈可确保在启用 BitLocker 时加密内存转储。

BitLocker 是否支持用于预启动身份验证的智能卡?

BitLocker 不支持智能卡进行预启动身份验证。 固件中没有单一的智能卡支持行业标准,大多数计算机要么不实现智能卡的固件支持,要么仅支持特定的智能卡和读卡器。 这种缺乏标准化使得支持它们变得困难。

是否可以使用非 Microsoft TPM 驱动程序?

Microsoft 不支持非 Microsoft TPM 驱动程序,强烈建议不要将它们与 BitLocker 一起使用。 尝试将非 Microsoft TPM 驱动程序与 BitLocker 配合使用可能会导致 BitLocker 报告计算机上不存在 TPM,并且不允许将 TPM 与 BitLocker 一起使用。

是否可以将管理或修改主启动记录的其他工具与 BitLocker 配合使用?

出于多种安全性、可靠性和产品支持原因,不建议修改操作系统驱动器受 BitLocker 保护的计算机的主启动记录。 更改主启动记录 (MBR) 可能会更改安全环境并阻止计算机正常启动,并使从损坏的 MBR 中恢复的任何工作复杂化。 通过 Windows 之外的任何内容来对 MBR 进行更改可能会强制计算机进入恢复模式或阻止其完全启动。

为什么在加密操作系统驱动器时系统检查失败?

系统检查旨在确保计算机的 BIOS 或 UEFI 固件与 BitLocker 兼容,并且 TPM 正常工作。 系统检查失败可能由于以下几种原因:

  • 计算机的 BIOS 或 UEFI 固件无法读取 U 盘
  • 计算机的 BIOS、uEFI 固件或启动菜单未启用读取 U 盘
  • 计算机中插入了多个 U 盘
  • 未正确输入 PIN
  • 计算机的 BIOS 或 UEFI 固件仅支持使用功能键 (F1-F10) 在预启动环境中输入数字
  • 启动密钥在计算机完成重新启动之前已被删除
  • TPM 发生故障,无法解封密钥

如果无法读取 U 盘上的恢复密钥,该怎么办?

某些计算机无法在预启动环境中读取 U 盘。 首先,检查 BIOS 或 UEFI 固件和启动设置,以确保启用 USB 驱动器的使用。 如果未启用,请在 BIOS 或 UEFI 固件和启动设置中启用 USB 驱动器,然后再次尝试从 U 盘读取恢复密钥。 如果 USB 闪存驱动器仍无法读取,则需要将硬盘驱动器作为数据驱动器装载到另一台计算机上,以便有操作系统尝试从 USB 闪存驱动器读取恢复密钥。 如果 U 盘已损坏或损坏,可能需要提供恢复密码或使用备份到 AD DS 的恢复信息。 此外,如果在预启动环境中使用恢复密钥,请确保使用 NTFS、FAT16 或 FAT32 文件系统格式化驱动器。

为什么无法将恢复密钥保存到 U 盘?

默认情况下,可移动驱动器不会显示 “保存到 USB ”选项。 如果该选项不可用,这意味着系统管理员不允许使用恢复密钥。

为什么无法自动解锁驱动器?

固定数据驱动器的自动解锁要求操作系统驱动器也受 BitLocker 保护。 如果正在使用的计算机没有受 BitLocker 保护的操作系统驱动器,则固定驱动器无法自动解锁。 对于可移动数据驱动器,可以通过在 Windows 资源管理器中右键单击驱动器并选择“ 管理 BitLocker”来添加自动解锁。 打开 BitLocker 时提供的密码或智能卡凭据仍可用于解锁其他计算机上的可移动驱动器。

是否可以在安全模式下使用 BitLocker?

在安全模式下只能使用有限的 BitLocker 功能。 通过使用 BitLocker 驱动器加密控制面板项目,可以对受 BitLocker 保护的驱动器进行解锁和解密。 右键单击以从 Windows 资源管理器访问 BitLocker 选项在安全模式下不可用。

如何“锁定”数据驱动器?

可以使用 Manage-bde 命令行工具和 -lock 命令锁定固定和可移动数据驱动器。

注意

在锁定之前,请确保所有数据都保存到驱动器。 一旦锁定,该驱动器将无法访问。

此命令的语法为:

manage-bde.exe <driveletter> -lock

除了使用此命令以外,关闭和重启操作系统时将锁定数据驱动器。 从计算机删除可移动数据驱动器时,该驱动器也将自动锁定。

是否可以将 BitLocker 与卷影复制服务结合使用?

是。 但是,当在软件加密驱动器上启用 BitLocker 时,在启动 BitLocker 之前所做的卷影副本将自动删除。 如果使用硬件加密驱动器,则保留卷影副本。

BitLocker 是否支持虚拟硬盘 (VHD)?

只要环境 (物理或虚拟) 满足 Windows 操作系统要求才能运行,BitLocker 就应与其硬件限制内的任何特定物理计算机一样工作。

  • 使用 TPM:是的,它受支持。
  • 没有 TPM:是的,支持使用密码保护程序) (。

数据卷 VHD(例如群集使用的 VHD)也支持 BitLocker。

BitLocker 是否可以与虚拟机 (VM) 结合使用?

是的,如果环境满足 BitLocker 的硬件和软件要求,则可以将 BitLocker 与虚拟机 (VM 配合使用,) 。