原文标题：在不含TPM安全芯片的系统中使用Bitlocker

随着计算机应用涉及到我们生活与工作的方方面面，如何保证机密数据的安全便成了许多人最关心的问题。在日常应用中，我们也常常可以看到许多笔记本电脑用户由于交往笔记本不小心遗失、被盗而导致机密信息泄露，甚至台式机用户也会因硬盘失窃而使机密信息在非法使用者面前无所遁形。——在之前的Windows系统中，用户只能对硬盘采取有限的加密手段，这在如今越来越强大的破解工具面前往往不堪一击。

在Windows Vista中，微软引入了BitLocker Drive Encrytion ( BitLocker 驱动器加密 ) 解决这一问题。BitLocker 能够有效地防止非法使用者启动另外一个系统，以脱机方式浏览存储在受保护驱动器中的文件，或者使用解密工具来破坏Windows Vista中文件和系统保护机制，从而达到为电脑提供增强的数据保护功能的效果

BitLocker驱动器加密的机制

首先需要强调的是，并不是所有的Windows Vista版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，

BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中：

驱动器加密能够有效地防止未经授权的用户破坏 Windows Vista文件以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 卷来实现。利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。

对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。

BitLocker 紧密集成于 Windows Vista 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。BitLocker的技术特色

• BitLocker支持“受信平台模块(TPM : Trusted Platform Module)”1.2及其后版本，可实现基于硬件的全盘加密，以增强数据保护，并确保运行 Windows Vista 的 PC 在系统脱机时不被浏览与修改；
• BitLocker 使用128或256位的AES加密算法。(甚至有传言BitLocker将使用1024位加密，是否属实有待考证)；
• BitLocker可通过组策略设置；
• 在系统中采用BitLocker驱动器加密对系统性能的影响很小，这是一个好消息；
• BitLocker密钥可存储在磁盘、USB盘，甚至可以打印出来。也可通过组策略自动生成并保存于Active Directory中；

最安全的BitLocker当然是使用集成TPM(Trusted Platform Module)安全芯片的系统。那么，什么是TPM(Trusted Platform Module)安全芯片？

Bitlocker加密技术使用的TPM(受任平台模块 : Trusted Platform Module)芯片是以数字签名、安全加密和密钥保护为主要功能的基础硬件，一般集成于主板中。目前已有不少厂商提供具有TPM安全芯片的电脑系统。

TPM安全芯片最重要的一个功能就是提供了身份认证功能，这样，当用户在打开电脑时，系统即自动启动身份识别，只有输入用户的密码之后，才可以使用用户之前所隐藏的敏感信息了。如果是其它人登陆您的PC上时，无法输入认证密码，因此也就无法进行身份验证，这样用户所保存的敏感数据就不会被别的用户所看到。

当然，TPM安全芯片带来的安全性能提升也并非仅仅限于Bitlocker，还可解决如私密文件被远程盗取、邮件传输过程中被窃取等诸多问题。在不含TPM安全芯片的系统中使用Bitlocker

不可否认，BBitlocker驱动器加密只有在TPM安全芯片的帮助下才能提供最大程度的数据安全，但是，如果您的PC中并没有集成TPM安全芯片，是不是就无法享受Bitlocker带来的好处呢？

答案是否定的。Windows Vista也提供了在没有TPM安全芯片情况下实施Bitlocker驱动器加密的途径，当然，其最终效果是要打一定折扣的。

下面我们详细介绍如何在没有集成TPM安全芯片的系统中使用BitLocker。

为Bitlocker建立启动分区

要在Windows Vista中实施BitLocker，除标准的操作系统分区(存放Windows 操作系统及其支持文件)外，还需一个启动分区，存放 BIOS引导后加载 Windows Vista 计算机时所需的特定硬件文件及调用密钥的相关程序。

需要指出的是，无论操作系统分区还是启动分区，均需使用NTFS格式，同时，BitLocker保护的只是操作系统分区中的数据，对启动分区而言，此上的数据则不受BitLocker 保护。

此外，根据微软的建议，启动分区应不小于1.5GB，老实说，为什么需要这么大的空间有点让人迷惑，也许是对多用户环境下情况的考虑吧(部分用户数据也会存放在该分区中)，不过，如果硬盘空间足够大，这倒不是一个大问题。在下面的示例中，为简便起见，我们使用50MB的分区，在您的实际使用中，当然最好还是按照微软的建议，特别是希望对此分区也启用系统还原时。

要创建用于Bitlocker的启动分区，有两种方式：在安装Windows Vista时创建及在安装后创建。——当然，从数据安全的角度考虑，肯定是安装时创建最佳，事实上，微软甚至建议用户最好不要在安装Windows Vista后再考虑创建BitLocker分区，而是建议重新备份数据后重新对硬盘分区并重新安装Windows Vista。

下面我们分别介绍这两种情况下的创建方法。

在安装Windows Vista时创建BitLocker启动分区

在Windows Vista的安装过程中，出现选择安装目标盘时，按下“CTRL+Shift+F10”，调出命令窗口，然后，依次输入如下命令：

(注 : 在下面的示例中，除BitLocker启动分区外，我们仅建立一个分区“C:”，如果您的系统需建立多个分区，需要注意将BitLocker启动分区的盘符放到最后，即将例中的“D:”改为相应值，或者为稳妥起见直接将其设为最后一个可用盘符“Z:”)

1. Diskpart
2. Select Disk 0
3. Clean
4. Create Partition Primary Size=50 (创建BitLocker启动分区)
5. Create Partition Primary
6. Select Partition 1
7. Assign Letter D (将BitLocker启动分区盘符设为“D:”)
8. Active (激活BitLocker启动分区)
9. Select Partition 2
10. Assign Letter C
11. Exit
12. Format D: /Y /FS:NTFS /Q /V:BDE
13. Format C: /Y /FS:NTFS /Q /V:5270
14. Exit

设置完毕后，在安装目标盘选择界面点击一下“刷新 (Refresh)” ，然后选择将Windows Vista安装在“C:”。之后的安装与正常的Windows Vista安装过程相同，不再赘述。BitLocker的其他设置在Windows Vista安装完成后才会进行。

在已安装Windows Vista的系统中创建BitLocker启动分区

再次强调一下，这样的方式是微软不推荐的，在设置前最好备份系统中的重要数据，以免造成损失。

首先，打开Windows Vista中的磁盘管理控制台，从“C:”中分割出50MB的自由空间，然后，使用这50MB磁盘空间创建一个新的主分区，盘符设为“D:”，同时，将该分区激活。(操作方法请参考使用磁盘管理器调整硬盘分区)

然后，重启系统，进入恢复控制台，依次输入如下命令：

1. MKDIR D:\BOOT (创建引导目录)
2. XCOPY C:\BOOTMGR D:\ /H (将引导文件从C盘拷贝到D盘)
3. XCOPY C:\BOOT Z:\BOOT /CHERKY

   (将 “C:\BOOT”目录下的所有文件包括子目录中的文件拷贝到 “D:\BOOT”下)

4. ATTRIB +R+H+S Z:\BOOT

   (将该目录赋予只读、隐藏及系统属性)

最后，重新启动系统，进行BitLocker设置。

对于不含TPM安全芯片的系统，如果要启用BitLocker驱动器加密，必须提供一个USB盘以保存密钥。当然，这个密钥除了保存在USB盘上以外，您还要考虑将其在其他地方——如其他计算机、本计算机上未被加密的分区上等——将其做个备份，以防USB盘损坏或遗失造成BitLocker加密将自己也拒之门外的可能。

如果您使用上页中我们介绍的在安装Windows Vista时创建BitLocker启动分区的方法，那么，在Windows Vista安装完成后即会启动“BitLocker驱动器加密 (BitLocker Drive Encryption)”向导；如果您是采用上页介绍的第二种方法，即安装Windows Vista后才创建BitLocker启动分区，那么，在重启系统后，依次点击“控制面板” => “安全” => “BitLocker Drive Encryption”，均会出现类似下图的画面：

(注意：必须以管理员身份登录，同时，如果Windows Vista 中UAC未被关闭的话，将会弹出相应的对话框，需要确认操作。)

插入USB盘，点击 “Turn on Secure Startup”，开始BitLocker驱动器加密设置。

随后向导即会进行相应的设置，生成BitLocker密钥。

在BitLocker密钥生成后，您可以将其打印出来，这是一个48位的恢复密码，在USB盘万一损坏时，可以用此进入系统，不然，BitLocker将会让您也无法看到自己的数据。

在出现 “将密钥保存在USB设备 (Save the Recovery Password on a USB device)”提示时，选择插入的USB盘，点击保存。

然后还将会出现“将密钥保存在文件夹 (Save recovery key to a folder)”的对话框，如果您的系统中存在其他硬盘时，建议将其保存于其上，当然，隐藏在一个不易被发现的地方，或者DVD RW上，不然，如果别人也可找到这个密钥，BitLocker将形同虚设。

这样，BitLocker驱动器加密设置步骤即告完成，点击“EnCrypt”，Windows Vista即进行相应的加密运算。

查看BitLocker加密过程

上页介绍的BitLocker驱动器加密设置步骤完成后，Windows Vista即自动进行对示例中的操作系统分区，C盘，进行加密。

这时，如果打开“电脑”，您将会看到操作系统分区此时以红条高亮显示，同时，可用硬盘空间变得很小。——注意，这是因为BitLocker加密过程需使用大量的临时空间，而非对硬盘分区实施Bitlocker加密将导致可用空间变小。

在任务栏中也可以看到BitLocker运行图标，及BitLocker进程状态。根据加密分区大小的不同，整个BitLocker加密过程需耗时几小时不等，不过，在BitLocker进行驱动器加密时，您仍可以使用您的系统。

当整个BitLocker加密过程完成后，您将可以看到如下图的显示状态。此外，也可从中进行密钥的管理如在另一块USB盘上生成密钥或禁用BitLocker驱动器加密等管理。