此循序渐进指南提供了在测试实验室环境中设置 Windows(R) BitLocker(TM) 驱动器加密所需的说明。建议您在生产环境中不要使用本指南。在没有其他文档的情况下，不一定必须使用循序渐进指南才能部署 Windows Server 2008操作系统功能，应将其作为独立的文档谨慎使用。

什么是 BitLocker 驱动器加密？
BitLocker 是客户端计算机的 Windows Vista? Enterprise 和 Windows Vista? Ultimate 操作系统以及 Windows Server 2008 操作系统中可用的一项数据保护功能。BitLocker 提供增强的保护功能，防止数据偷窃或在丢失或被盗的计算机上公开，确保在受 BitLocker 保护的计算机解除授权时执行xxx的数据检测。
已丢失或已盗计算机上的数据容易受到未经授权的访问，方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。BitLocker 通过组合两个主要的数据保护步骤帮助减少在已丢失或已盗计算机上进行的未经授权的数据访问：
加密硬盘上的整个 Windows 操作系统卷和数据卷。 BitLocker 对操作系统卷中的所有用户文件和系统文件（包括交换文件和休眠文件）进行加密，还可以对数据卷进行加密。
检查早期启动组件和启动配置数据的完整性。 在装有受信任的平台模块 (TPM) 版本 1.2 的计算机上，BitLocker 利用 TPM 的增强安全性功能来帮助确保只有在计算机的启动组件未经改动且加密磁盘位于原始计算机上时，才可以访问数据。
BitLocker 紧密集成到 Windows Vista 和 Windows Server 2008 中，且为企业提供便于管理和配置的增强的数据保护。例如，BitLocker 可以使用现有的 Active Directory 域服务 (AD DS) 基础结构远程存储 BitLocker 恢复密钥。BitLocker 还提供了一个恢复控制台，可用于启用未加入域的计算机或无法连接域（例如，字段中的计算机）的计算机的数据检索功能。

应使用 BitLocker 驱动器加密的用户
本指南主要供以下用户参考：

评估产品的 IT 计划者和分析者


安全架构师


在本指南中
本指南的目的是帮助管理员熟悉 Windows Server 2008 的 BitLocker 驱动器加密功能。下面各部分提供管理员在自己的网络中配置和部署 BitLocker 所需的基本信息和步骤。

方案 1 提供有关创建 BitLocker 驱动器加密所需的两个分区的说明。方案 2 描述如何在服务器上安装 BitLocker。方案 3 说明了如何使用 BitLocker 和 TPM 对硬盘进行加密。方案 4 描述如何使用 BitLocker 对服务器上的数据卷进行加密。方案 5 描述如何在不带 TPM 的计算机上使用 BitLocker。方案 6 描述如何在锁定后访问加密数据，以及如何通过生成锁定对 BitLocker 进行测试。方案 7 指导您关闭 BitLocker。

BitLocker 驱动器加密的要求


方案 1：为 BitLocker 驱动器加密对硬盘进行分区


方案 2：安装 BitLocker 驱动器加密


方案 3：打开基本 BitLocker 驱动器加密


方案 4：为服务器数据卷打开 BitLocker 驱动器加密


方案 5：在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密


方案 6：恢复由 BitLocker 驱动器加密保护的数据


方案 7：关闭 BitLocker 驱动器加密


其他资源


BitLocker 驱动器加密的要求
这些步骤仅供测试使用。本指南不应是用于部署 Windows Server 2008 或 Windows Vista 功能的{wy}资源。

硬件和软件要求
满足 Windows Server 2008 的{zd1}要求的计算机。


TPM 版本 1.2，已打开。（方案 3 和 4）。


与受信任计算组 (TCG) 兼容的 BIOS（方案 3 和 4）。


两个 NTFS 磁盘分区，一个用于系统卷，一个用于操作系统卷。系统卷分区必须至少为 1.5 GB 并设置为活动分区（方案 1）。


首先从硬盘驱动器（而不是 USB 或 CD 驱动器）启动的 BIOS 设置。


注意
对于包含 USB 闪存驱动器的任何测试，BIOS 必须支持在启动时读取 USB 闪存驱动器。



我们强烈建议在启用 BitLocker 后不要运行内核调试程序，因为可以通过该调试程序访问加密密钥和其他敏感数据。但是，可以在启用 BitLocker 之前启用内核调试。如果在启用 BitLocker 后启用内核调试，则每次重新启动计算机时，系统都会自动启动恢复过程。如果启用启动调试程序（使用“-bootdebug”选项执行内核调试），则每次重新启动计算机时，系统都会自动启动恢复进程。


方案 1：为 BitLocker 驱动器加密对硬盘进行分区
为了使用 BitLocker，您的硬盘上必须至少包含两个分区。{dy}个分区为系统卷；在本文档中系统卷标记为 S。此卷包含未加密空间中的启动信息。第二个分区为操作系统卷；在本文档中操作系统卷标记为 C。该卷已加密，并包含操作系统和用户数据。

必须在安装 Windows Server 2008 之前创建这些分区。

注意
某些情况下，一个卷可能会涉及多个分区。本文档仅讨论简单卷，此时卷和分区功能相当。BitLocker 与卷（一种逻辑结构）配合工作，但是许多磁盘工具考虑的是物理磁盘分区。



方案 1 描述如何创建 BitLocker 所需的两个分区。该过程假设您已备份磁盘上的所有数据。

如果您有一个仅带单个分区的未使用磁盘，请按照为 BitLocker 对不带操作系统的磁盘进行分区中的步骤进行操作。

如果您有一个仅带单个分区的未使用磁盘，请按照为 BitLocker 对不带操作系统的驱动器进行分区中的步骤进行操作。


注意
请确保您已备份所有数据，并且拥有 Windows Vista 的产品密钥。



注意
如果您已安装了 Windows Vista，则可以使用 BitLocker 驱动器准备工具来配置 BitLocker 所需的卷，而无需重新安装操作系统。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=83261（可能为英文网页）。



为 BitLocker 对不带操作系统的磁盘进行分区
在此过程中，将从产品 DVD 启动计算机，然后输入一系列命令执行以下操作：

创建一个新的 1.5 GB 主分区。


将此分区设置为活动分区。


使用磁盘上的剩余空间创建第二主分区。


格式化这两个新分区，以便将其用作 Windows 卷。


将 Windows Server 2008 安装在较大的卷（驱动器 C）上。


注意
上述活动分区是 BitLocker 正确运行所需的。



您的驱动器号可能与本示例中的不对应。在本示例中，操作系统卷标记为 C，系统卷标记为 S（代表系统卷）。在本示例中，我们还假设该系统只有一个物理硬盘驱动器。

针对 BitLocker 对没有操作系统的磁盘进行分区的步骤
从 Windows Server 2008 产品 DVD 启动计算机。

在{zx0}显示的“安装 Windows”屏幕上，选择“安装语言”、“时间和货币格式”及“键盘布局”，然后单击“下一步”。

在下一个“安装 Windows”屏幕上，单击屏幕左下角的“修复计算机”。

在“系统恢复选项”对话框中，确保未选中任何操作系统。为此，请单击“操作系统”列表中所有列出项下面的空白区域。然后，单击“下一步”。

在下一个“系统恢复选项”对话框中，单击“命令提示符”。

使用 Diskpart 创建操作系统卷的分区。在命令提示符下，键入 diskpart，然后按 Enter。

键入 select disk 0。

键入 clean 以xx现有分区表。

键入 create partition primary size=1500 以将正在创建的分区设置为主分区。

键入 assign letter=S 以便为此分区提供 S 表示符。

键入 active 以便将新的分区设置为活动分区。

键入 create partition primary以创建另一个主分区。您将在这一较大的分区上安装 Windows。

键入 assign letter=C 以便为此分区提供 C 表示符。

键入 list volume 以查看此磁盘上的所有卷的显示。您将看到列出的每个卷、卷编号、卷号、标签、文件系统、类型、大小、状态和信息。检查您具有一个 DVD 安装卷和两个磁盘卷，并且您知道用于每个卷的标签。

键入 exit 以离开 Diskpart 应用程序。

键入 format c: /y /q /fs:NTFS 以便对 C 卷正确进行格式化。

键入 format s: /y /q /fs:NTFS 以便对 S 卷正确进行格式化。

键入 exit 以离开命令提示符。

在“系统恢复选项”窗口中，使用右上角的关闭窗口图标（或者按 Alt+F4）关闭窗口，返回主安装屏幕。（切勿单击“关机”或“重新启动”。）

单击“现在安装”，继续执行 Windows Server 2008 安装过程。在较大的卷 C（操作系统卷）上安装 Windows Server 2008。

方案 2：安装 BitLocker 驱动器加密
方案 2 概括如何在服务器上安装 BitLocker 驱动器加密。对于服务器安装，您必须安装 BitLocker 功能。

开始之前
您必须以管理员身份登录。


注意
安装 BitLocker 需要重新启动服务器。



在初始配置期间安装 BitLocker 的步骤
安装 Windows Server 2008 时，将出现“初始配置任务”窗口。

选择“添加功能”，然后安装 BitLocker 驱动器加密。

重新启动服务器。

您还可以使用服务器管理器来安装 BitLocker。

使用 Windows 用户界面安装后安装 BitLocker 的步骤
依次单击“开始”、“服务器管理器”、“添加功能”和“BitLocker 驱动器加密”。

重新启动服务器。

您还可以在命令提示符下安装 BitLocker。

使用命令提示符安装后安装 BitLocker 的步骤
以管理员身份打开命令提示符窗口。若要进行此操作，请依次单击“开始”按钮、“所有程序”和“附件”。

右键单击“命令提示符”，然后单击“以管理员身份运行”。

如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

在命令提示符下键入以下命令：

ServerManagerCmd -install BitLocker -restart

如果您尚未安装 BitLocker，则此操作将对其进行安装。

重新启动服务器。

方案 3：打开基本 BitLocker 驱动器加密
方案 3 概括介绍了在带有 TPM 的系统中打开 BitLocker 驱动器加密保护功能的过程。加密卷后，用户可以正常登录计算机。

开始之前
您必须以管理员身份登录。


此服务器上必须安装了 BitLocker。


您可以对打印机进行配置，以打印恢复密码。


打开 BitLocker 驱动器加密的步骤
依次单击“开始”、“控制面板”、“安全”和“BitLocker 驱动器加密”。

如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

在“BitLocker 驱动器加密”页上，在操作系统卷上单击“打开 BitLocker”。此时将出现一条消息，警告您 BitLocker 加密可能会影响服务器的性能。

如果未初始化 TPM，您将看到“初始化 TPM 安全硬件”向导。按照指示初始化 TPM 并重新启动或关闭计算机。

在“保存恢复密码”页上，您将看到以下选项：

“在 USB 驱动器上保存密码”。将密码保存到 USB 闪存驱动器。


“在文件夹中保存密码”。将密码保存到网络驱动器或其他位置上的文件夹。


“打印密码”。打印密码。


请使用其中的一个或多个选项保留恢复密码。对于每个选项，请选择该选项并按照向导步骤设置用于保存或打印恢复密码的位置。

在完成保存恢复密码后，请单击“下一步”。

要点
如果必须将加密磁盘移动到其他计算机，或者对系统启动信息进行更改，将需要恢复密码。此密码非常重要，因此建议您创建该密码的其他副本并就将其存储在安全位置，以确保能够访问您的数据。如果 BitLocker 进入锁定状态，则需要使用恢复密码才能解除锁定卷上的加密数据（请参阅方案 5：恢复由 BitLocker 驱动器加密保护的数据）。此恢复密码专用于此特定的 BitLocker 加密。您无法使用该密码来恢复任何其他 BitLocker 加密会话中的加密数据。



要点
为尽量保证安全，请将恢复密码存储在计算机以外的位置。



在“加密所选磁盘卷”页上，确认选中了“运行 BitLocker 系统检查复选框，然后单击“继续”。

通过单击“立即重新启动”确认您要重新启动计算机。计算机将重新启动，并且 BitLocker 将验证计算机是否与 BitLocker 兼容且是否准备好进行加密。否则，您将看到一条错误消息，警告您有问题。

如果已经准备好加密，将会显示“加密进行中”状态栏。通过将鼠标光标拖到屏幕底部的通知区域中的 BitLocker 驱动器加密图标上，可以监视磁盘卷加密的即将完成状态。

完成此步骤后，您已经加密了操作系统卷，并创建了该卷的{wy}恢复密码。下次登录时，您不会看到任何更改。如果 TPM 曾经更改或无法访问，如果对关键系统文件进行了更改，或者如果某个人尝试从计算机 CD 或 DVD 启动计算机以阻止操作系统，则计算机将切换到恢复模式，直到提供恢复密码为止。

方案 4：为服务器数据卷打开 BitLocker 驱动器加密
对于共享或不安全的环境（如分支机构位置）中存储的服务器，BitLocker 通过对数据卷和操作系统卷进行加密，可以确保提供与客户端计算机相同级别的数据保护。

操作系统可以正常装入受 BitLocker 保护的数据卷。

用于保护数据卷的密钥独立于用于保护操作系统卷的密钥。若要允许系统自动装入这些卷，则还必须在当前启动的卷上存储和加密用于保护数据卷的密钥链。如果操作系统进入恢复模式，则系统不会解除数据卷锁定，直到操作系统离开恢复模式为止。

恢复数据卷与恢复操作系统卷类似。如果数据卷损坏、移动到新的平台，或操作系统卷无法检索数据卷的密钥来自动对其解除锁定，则该用户会插入包含数据卷恢复密钥副本的介质。

要点
您的驱动器号可能与本示例中的不对应。在本示例中，操作系统卷标记为 C，系统卷标记为 S（代表系统卷）。在本示例中，我们还假设该系统只有一个物理硬盘驱动器。



开始之前
您必须以管理员身份登录。


此服务器上必须安装了 BitLocker。


您必须具有 USB 闪存驱动器才能保存数据卷的恢复密码。


为服务器数据卷打开 BitLocker 驱动器加密的步骤
以管理员身份打开命令提示符窗口。若要进行此操作，请依次单击“开始”按钮、“所有程序”和“附件”。

右键单击“命令提示符”，然后单击“以管理员身份运行”。

如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

在命令提示符下键入以下命令：

start /w pkgmgr /iu:BitLocker

如果您尚未安装 BitLocker，则此操作将对其进行安装。

重新启动服务器。您现在已安装 BitLocker，但尚未启用。

在提升的命令提示符下，键入以下命令：

manage-bde –on : -rp –rk U:\

此命令将加密命名的卷，生成恢复密码，并将恢复密码存储在 U:\（例如，USB 驱动器）下。记录控制台上显示的恢复密码和恢复密钥文件名。每次重新启动后，必须按照以下方式使用恢复密码或恢复密钥来解除数据卷锁定：

manage-bde –unlock : -rp


manage-bde –unlock : -rk U:\


若要启用数据卷的自动解除锁定，请键入以下内容：

manage-bde –autounlock –enable :

此命令将生成恢复密钥并将其存储在操作系统卷上。发出此命令前，必须对操作系统卷进行xx加密。启用自动解除锁定后，每次重新启动时都会自动解除锁定数据卷。

方案 5：在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密
使用以下过程更改计算机的组策略设置，以便您可以在不使用 TPM 的情况下打开 BitLocker 驱动器加密。您可以使用启动密钥来验证您自己的身份，而不要使用 TPM。打开计算机之前，启动密钥位于插入计算机的 USB 闪存驱动器中。对于此方案，您必须具有一个将读取预操作系统环境中的 USB 闪存驱动器（启动时）的 BIOS。可以在 BitLocker 向导的{zh1}一步中，通过系统检查来检查 BIOS。

开始之前
您必须以管理员身份登录。


此服务器上必须安装了 BitLocker。


必须有一个 USB 闪存驱动器用于保存恢复密码。


建议您使用另一个 USB 闪存驱动器将启动密钥与恢复密码分开存储。


在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密的步骤
单击“开始”，在“开始搜索”框中键入 gpedit.msc，然后按 Enter。

如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

在“本地组策略编辑器”控制台树中，依次单击“本地计算机策略”、“管理模板”、“Windows 组件”和“BitLocker 驱动器加密”。

双击“控制面板设置: 启用高级启动选项”设置。

选择“启用”选项，选中“没有兼容的 TPM 时允许 BitLocker”复选框，然后单击“确定”。

您已更改了策略设置，因而可以使用启动密钥，而不是 TPM。

关闭“本地组策略编辑器”。

若要强制组策略立即应用，可以单击“开始”，在“开始搜索”框中键入 gpupdate.exe /force，然后按 Enter。

依次单击“开始”、“控制面板”、“安全”和“BitLocker 驱动器加密”。

如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

在“BitLocker 驱动器加密”页上，单击“打开 BitLocker”。只有操作系统卷会出现这种情况。

在“设置 BitLocker 启动{sx}项”页上，选择“每一次启动时要求启动 USB 密钥”选项。这是非 TPM 配置的{wy}可用选项。在启动计算机前，每次都必须插入此密钥。

如果 USB 闪存驱动器不在计算机中，请将其插入。

在“保存启动密钥”页上，选择 USB 闪存驱动器的位置，然后单击“保存”。

在“保存恢复密码”页上，您将看到以下选项：

“在 USB 驱动器上保存密码”。将密码保存到 USB 闪存驱动器。


“在文件夹中保存密码”。将密码保存到网络驱动器或其他位置上的文件夹。


“打印密码”。打印密码。


请使用其中的一个或多个选项保留恢复密码。对于每个选项，请选择该选项并按照向导步骤设置用于保存或打印恢复密码的位置。不应将恢复密钥和启动密钥存储在同一介质上。

在保存恢复密码后，请单击“下一步”。

要点
如果必须将加密磁盘移动到其他计算机，或者对系统启动信息进行更改，将需要恢复密码。此密码非常重要，因此建议您创建该密码的其他副本并就将其存储在安全位置，以确保能够访问您的数据。如果 BitLocker 进入锁定状态，则需要使用恢复密码才能解除锁定卷上的加密数据（请参阅方案 5：恢复由 BitLocker 驱动器加密保护的数据）。此恢复密码专用于此特定的 BitLocker 加密。您无法使用该密码来恢复任何其他 BitLocker 加密会话中的加密数据。



要点
为尽量保证安全，请将恢复密码存储在计算机以外的位置。



在“加密所选磁盘卷”页上，确认选中了“运行 BitLocker 系统检查复选框，然后单击“继续”。

通过单击“立即重新启动”确认您要重新启动计算机。计算机将重新启动，并且 BitLocker 将验证计算机是否与 BitLocker 兼容且是否准备好进行加密。否则，您将看到一条错误消息，警告您在开始加密之前的问题。

如果已经准备好加密，将会显示“加密进行中”状态栏。通过将鼠标光标拖到屏幕底部的通知区域中的 BitLocker 驱动器加密图标上或在“加密”图标上单击，可以监视磁盘卷加密的即将完成状态。

完成此步骤后，您已经加密了操作系统卷，并创建了该卷的{wy}恢复密码。下次打开计算机时，必须将具备启动密钥的 USB 闪存驱动器插入该计算机上的 USB 端口中。如果未插入，您将无法访问加密卷上的数据。

如果您没有包含启动密钥的 USB 闪存驱动器，则需要使用恢复模式并提供恢复密码，才能访问数据。

方案 6：恢复由 BitLocker 驱动器加密保护的数据
方案 5 描述 BitLocker 进入恢复模式后，恢复数据的过程。如果磁盘加密密钥不可用，BitLocker 将锁定计算机。以下是可能原因列表：

出现与 TPM 相关的错误。


修改了早期启动文件之一。


TPM 意外关闭，计算机关闭。


TPM 意外xx，计算机关闭。


当计算机处于锁定状态时，启动过程很快就会中断，此时操作系统还没有启动。必须使用 USB 闪存驱动器中的恢复密码，或者使用功能键来输入恢复密码。F1 到 F9 表示数字 1 到 9，F10 表示 0。

由于恢复在启动过程中非常早的阶段就发生了，因此 Windows 的辅助功能不可用。如果需要使用辅助功能，请考虑在恢复时需要执行什么操作。

此方案包括两个步骤：

测试数据恢复


恢复数据


测试数据恢复的步骤
单击“开始”，指向“所有程序”，单击“附件”，然后单击“运行”。

在“打开”文本框中键入 tpm.msc，然后单击“确定”。此时将显示“TPM 管理控制台”。

在“操作”下，单击“关闭 TPM”。

如果需要，请提供 TPM 所有者密码。

当“本地计算机上的 TPM 管理”任务面板中的“状态”面板显示“TPM 已关闭，并已获取所有权”时，请关闭此任务面板。

关闭所有打开的窗口。

如果已将包含恢复密码的 USB 闪存驱动器插入系统中，请使用通知区域中的“安全删除硬件”图标，从系统中将其删除。

单击“打开”按钮，然后单击“关闭”按钮，重新启动计算机。在重新启动计算机时，将提示您输入恢复密码，因为在加密卷后启动配置已发生更改。

使用 BitLocker 驱动器加密恢复数据访问的步骤
打开计算机。

如果计算机已锁定，将显示“BitLocker 驱动器加密恢复控制台”。

将提示您插入包含恢复密码的 USB 闪存驱动器。

如果有包含恢复密码的 USB 闪存驱动器，请将其插入，然后按 Esc。计算机将自动重新启动。您不需手动输入恢复密码。


如果没有包含恢复密码的 USB 闪存驱动器，请按 Enter。将提示您输入恢复密码。

如果知道恢复密码，请键入该密码，然后按 Enter。

如果不知道恢复密码，请按 Enter 两次并关闭计算机。


注意
如果已将恢复密码保存在一个不在本计算机上的文件夹中或可移动介质上的文件中，您可以使用另一台计算机打开包含该密码的文件。若要找到正确的文件，请查找已锁定计算机上的恢复控制台显示屏幕上的“密码 ID”，并记下此号码。包含恢复密钥的文件将此密码 ID 用作文件名。打开文件并找到文件中的恢复密码。



方案 7：关闭 BitLocker 驱动器加密
方案 6 描述如何关闭 BitLocker 驱动器加密和对卷进行解密。在配备了 TPM 的计算机和不含兼容 TPM 的计算机上，此过程对所有 BitLocker 驱动器加密配置都一样。只能对数据卷进行解密，而不能禁用。

关闭 BitLocker 时，您可以选择临时禁用 BitLocker，也可对该卷进行解密。禁用 BitLocker 后，即允许对系统执行 TPM 更改和其他次要的更改。对卷解密表示将对卷xx进行解密，且将丢弃所有的密钥。升级操作系统之前，必须对计算机进行解密。如果要启用 BitLocker，对卷进行解密后，必须通过再次执行加密过程来生成新的密钥。

开始之前
您必须以管理员身份登录。


必须对卷进行加密。


关闭 BitLocker 驱动器加密的步骤
依次单击“开始”、“控制面板”、“安全”和“BitLocker 驱动器加密”。

从“BitLocker 驱动器加密”页，查找要关闭其 BitLocker 驱动器加密的卷，然后单击“关闭 BitLocker 驱动器加密”。

从“您需要哪一级别的解密”对话框中，根据需要单击“禁用 BitLocker 驱动器加密”或“对卷进行解密”。

完成此过程后，您已禁用 BitLocker 或者已对操作系统卷进行解密。