Windows 系统 BitLocker 安全技术介绍

小渣渣

BitLocker 概述

BitLocker 是一项 Windows 安全功能，可为整个卷提供加密，解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁。

实际应用程序：丢失或被盗设备上的数据容易受到未经授权的访问，方法是运行软件攻击工具，或者将设备的硬盘驱动器转移到其他设备。 BitLocker 通过增强文件和系统保护，在解除或回收受 BitLocker 保护的设备时使数据无法访问，从而帮助减少未经授权的数据访问。

BitLocker 发展历史

1. BitLocker 加密技术的首次亮相 - Windows Vista (2007年)
发布日期：2007年1月30日
主要功能：
BitLocker 在 Windows Vista Enterprise 和 Windows Vista Ultimate 版本中首次亮相。
它提供了全盘加密功能，保护操作系统驱动器和数据驱动器的数据不被未授权访问。
BitLocker 主要依赖 TPM（受信平台模块）硬件来增强安全性。TPM 允许密钥存储在硬件中，提高加密的保护级别。
除了 TPM，用户还可以使用 USB 密钥作为启动时的身份验证手段。
Vista 中的 BitLocker 仅支持加密系统驱动器，数据驱动器（非系统盘）的加密需要额外的软件支持。

2. BitLocker 在 Windows 7 中的改进 (2009年)
发布日期：2009年10月22日
主要功能：
BitLocker To Go：Windows 7 引入了 BitLocker To Go 功能，支持对外部存储设备（如 USB 闪存驱动器、外部硬盘等）进行加密，提升了对移动数据的保护。
性能优化：在 Windows 7 中，BitLocker 的性能得到了优化，操作系统和加密过程更为高效。
支持加密整个硬盘（包括系统盘和数据盘），以及更灵活的身份验证方式。

3. Windows 8 中的 BitLocker（2012年）
发布日期：2012年10月26日
主要功能：
增强的 BitLocker To Go：Windows 8 提供了更多对外部设备加密的功能，包括自动加密外部驱动器。
BitLocker 网络解锁：Windows 8 引入了 BitLocker 网络解锁 功能，允许在启动时通过网络解锁受保护的计算机，简化了企业管理。
改进的用户界面：BitLocker 的管理界面得到了简化，方便用户管理加密的磁盘和设备。
也支持通过 TPM + PIN 双重身份验证进一步提升安全性。

4. Windows 10 中的 BitLocker（2015年）
发布日期：2015年7月29日
主要功能：
支持设备加密：Windows 10 Home 和 Windows 10 Pro 版本开始支持设备加密（如果硬件支持），使得即使是低版本的操作系统也可以加密存储数据。
更强的恢复密钥管理：Windows 10 增强了恢复密钥的管理，恢复密钥可以自动备份到 Microsoft 账户，方便用户找回被加密的设备。
BitLocker 组策略增强：企业版和教育版的用户可以更细致地配置 BitLocker 设置，例如强制启用加密、管理加密策略等。
支持更强的硬件加速：在 Windows 10 中，BitLocker 支持对现代硬件（如支持 AES 的硬件加速）的优化，提升加密与解密的性能。

5. Windows 11 中的 BitLocker（2021年）
发布日期：2021年10月5日
主要功能：
支持 Windows Hello：Windows 11 引入了 Windows Hello 的支持，用户可以使用面部识别或指纹识别作为加密驱动器的身份验证方式。
BitLocker 与 Microsoft Defender 集成：Windows 11 在 BitLocker 和 Microsoft Defender 之间增强了集成，使得企业环境中的安全管理更加统一。
更强的加密密钥保护：随着硬件和操作系统的进一步增强，BitLocker 在 Windows 11 中继续提升了密钥存储和保护的机制，确保更高的安全性。
设备加密默认启用：在符合硬件要求的设备上，Windows 11 自动启用设备加密，提高安全性。

6. 持续改进与更新
BitLocker 自动修复与更新：随着各个版本的 Windows 更新，BitLocker 也在不断优化其恢复过程。Windows Update 为 BitLocker 提供定期的修复和安全补丁，以确保其持续有效。
企业管理与支持：在 Windows 企业版中，BitLocker 始终处于重点关注的领域，微软为 IT 管理员提供了更多的 BitLocker 管理工具和策略支持，例如 Intune 和 Group Policy 管理。

BitLocker 和 TPM

与受信任的平台模块 (TPM) 结合使用时，BitLocker 可提供最大保护，后者是安装在 Windows 设备上的常见硬件组件。 TPM 与 BitLocker 配合使用，以确保设备在系统脱机时未被篡改。

除了 TPM，BitLocker 还可以锁定正常的启动过程，直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动设备。 这些安全措施提供多重身份验证和保证，在提供正确的 PIN 或启动密钥之前，设备无法从休眠状态启动或恢复。

在没有 TPM 的设备上，仍可使用 BitLocker 加密作系统驱动器。 此实现要求用户：

• 使用启动密钥，该文件存储在可移动驱动器上，用于启动设备，或者在从休眠状态恢复时使用。
• 使用密码。 此选项不安全，因为它受到暴力攻击，因为没有密码锁定逻辑。 因此，不建议使用密码选项，默认情况下会禁用密码选项。
  

这两个选项都不提供 BitLocker 通过 TPM 提供的预启动系统完整性验证。

配置 BitLocker

开启 BitLocker 驱动器加密方法，打开控制面板，依次点击：控制面板 -> 系统和安全 -> BitLocker 驱动器加密，如下图：



重启电脑，然后开启加密，如下图：



完成后，磁盘上会有一把小锁，如下图所示：



对于“固定数据驱动器”开启 BitLocker 方式，建议选择如下：



BitLocker 预启动个人识别码 (PIN)（未测试）

打开组策略（gpedit.msc），找到计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器 -> 预启动身份验证。选择“已启用”，在 ⌈配置 TPM 启动 PIN⌋ 中选择 ⌈有 TPM 时需要启动 PIN⌋。



使用管理员权限打开命令提示符，输入以下命令：

登录可见。

随后根据提示设置 PIN 码。重启电脑后，你会看到 BitLocker 要求输入 PIN 码才能启动系统。



输入 PIN 的过程，无法使用蓝牙键盘。如果你的电脑没有内置键盘，请准备好有线键盘或带有 USB 接收器的无线键盘。

参考：

超链接登录可见。
超链接登录可见。
超链接登录可见。
超链接登录可见。