WindowsServer2008的BitLocker驱动器加密循序渐进指南.docx

Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南更新时间: 2009年11月应用到: Windows Server 2008, Windows Vista此循序渐进指南提供了在测试实验室环境中设置 Windows(R) BitLocker(TM) 驱动器加密所需的说明。建议您在生产环境中不要使用本指南。在没有其他文档（列在其他资源部分中）的情况下，不一定必须使用循序渐进指南才能部署 Windows Server? 2008 操作系统功能，应将其作为独立的文档谨慎使用。什么是 BitLocker 驱动器加密？BitLocker 是客户端计算机的 Windows Vista? Enterprise 和 Windows Vista? Ultimate 操作系统以及 Windows Server 2008 操作系统中可用的一项数据保护功能。BitLocker 提供增强的保护功能，防止数据偷窃或在丢失或被盗的计算机上公开，确保在受 BitLocker 保护的计算机解除授权时执行更安全的数据检测。已丢失或已盗计算机上的数据容易受到未经授权的访问，方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。BitLocker 通过组合两个主要的数据保护步骤帮助减少在已丢失或已盗计算机上进行的未经授权的数据访问：加密硬盘上的整个 Windows 操作系统卷和数据卷。 BitLocker 对操作系统卷中的所有用户文件和系统文件（包括交换文件和休眠文件）进行加密，还可以对数据卷进行加密。检查早期启动组件和启动配置数据的完整性。 在装有受信任的平台模块 (TPM) 版本 1.2 的计算机上，BitLocker 利用 TPM 的增强安全性功能来帮助确保只有在计算机的启动组件未经改动且加密磁盘位于原始计算机上时，才可以访问数据。BitLocker 紧密集成到 Windows Vista 和 Windows Server 2008 中，且为企业提供便于管理和配置的增强的数据保护。例如，BitLocker 可以使用现有的 Active Directory 域服务 (AD DS) 基础结构远程存储 BitLocker 恢复密钥。BitLocker 还提供了一个恢复控制台，可用于启用未加入域的计算机或无法连接域（例如，字段中的计算机）的计算机的数据检索功能。应使用 BitLocker 驱动器加密的用户本指南主要供以下用户参考：评估产品的 IT 计划者和分析者安全架构师在本指南中本指南的目的是帮助管理员熟悉 Windows Server 2008 的 BitLocker 驱动器加密功能。下面各部分提供管理员在自己的网络中配置和部署 BitLocker 所需的基本信息和步骤。 方案 1 提供有关创建 BitLocker 驱动器加密所需的两个分区的说明。方案 2 描述如何在服务器上安装 BitLocker。方案 3 说明了如何使用 BitLocker 和 TPM 对硬盘进行加密。方案 4 描述如何使用 BitLocker 对服务器上的数据卷进行加密。方案 5 描述如何在不带 TPM 的计算机上使用 BitLocker。方案 6 描述如何在锁定后访问加密数据，以及如何通过生成锁定对 BitLocker 进行测试。方案 7 指导您关闭 BitLocker。BitLocker 驱动器加密的要求方案 1：为 BitLocker 驱动器加密对硬盘进行分区方案 2：安装 BitLocker 驱动器加密方案 3：打开基本 BitLocker 驱动器加密方案 4：为服务器数据卷打开 BitLocker 驱动器加密方案 5：在不含兼容 TPM 的计算机上打开 BitLocker 驱动器加密方案 6：恢复由 BitLocker 驱动器加密保护的数据方案 7：关闭 BitLocker 驱动器加密其他资源BitLocker 驱动器加密的要求这些步骤仅供测试使用。本指南不应是用于部署 Windows Server 2008 或 Windows Vista 功能的唯一资源。硬件和软件要求满足 Windows Server 2008 的最低要求的计算机。TPM 版本 1.2，已打开。（方案 3 和 4）。与受信任计算组 (TCG) 兼容的 BIOS（方案 3 和 4）。 两个 NTFS 磁盘分区，一个用于系统卷，一个用于操作系统卷。系统卷分区必须至少为 1.5 GB 并设置为活动分区（方案 1）。首先从硬盘驱动器（而不是 USB 或 CD 驱动器）启动的 BIOS 设置。备注 对于包含 USB 闪存驱动器的任何测试，BIOS 必须支持在启动时读取 USB 闪存驱动器。 我们强烈建议在启用 BitLocker 后不要运行内核调试程序，因为可以通过该