【51CTO譯文】BitLocker是Windows Embedded Standard 2011（代號(hào)“Quebec”）的一個(gè)全新安全功能，這個(gè)安全功能從Vista系統(tǒng)開(kāi)始就已經(jīng)是Windows操作系統(tǒng)的一部分了。這里，我們將談?wù)勥@個(gè)功能的用處，而這篇文章的主要思想是詳細(xì)探討如何把這個(gè)包加入到你的鏡像（image）中去，然后再對(duì)其進(jìn)行使用。

Windows Embedded Standard 2011中的BitLocker概覽

Windows BitLocker驅(qū)動(dòng)加密技術(shù)（BitLocker）是一個(gè)全新的安全功能，通過(guò)對(duì)存儲(chǔ)在Windows Embedded Standard 2011操作系統(tǒng)卷中的全部數(shù)據(jù)進(jìn)行加密，它可以為你的設(shè)備提供更好的數(shù)據(jù)保護(hù)。BitLocker允許一臺(tái)機(jī)器的管理員對(duì)卷中進(jìn)行加密，從而保護(hù)存儲(chǔ)在上面的數(shù)據(jù)。

一個(gè)可信平臺(tái)模塊（TPM）指的是在一個(gè)設(shè)備中嵌入的一個(gè)微芯片。它被用來(lái)存儲(chǔ)加密信息，比如加密密鑰。當(dāng)發(fā)生來(lái)自外部軟件的入侵或設(shè)備被盜時(shí)，信息存儲(chǔ)在可信平臺(tái)模型TPM中比存儲(chǔ)在其他地方更安全。

BitLocker有三個(gè)模式：前兩個(gè)需要一個(gè)可信平臺(tái)模塊TPM和一個(gè)兼容的BIOS設(shè)置，第三個(gè)模式不需要可信平臺(tái)模塊TPM。
1. 可信平臺(tái)模塊TPM模式：BitLocker使用TPM，可以為用戶(hù)提供一個(gè)“透明”的體驗(yàn)。機(jī)器啟動(dòng)后，用戶(hù)和平常一樣進(jìn)行登陸。驅(qū)動(dòng)器的加密密鑰存儲(chǔ)在TPM中，只有在啟動(dòng)文件和BIOS設(shè)置沒(méi)有被篡改的情況才提供給引導(dǎo)加載程序。
 
2. TPM和令牌模式：需要附加驗(yàn)證的用戶(hù)在TPM/OS加載時(shí)必須要提供一個(gè)手動(dòng)輸入的PIN密碼（在每次啟動(dòng)時(shí)），或者一個(gè)USBkey設(shè)備（USB密鑰）。

3. USB key模式：沒(méi)有TPM照樣可以應(yīng)用BitLocker。在沒(méi)有TPM的情況下，所需要的加密密鑰被存儲(chǔ)在一個(gè)USB閃存中，在解鎖存儲(chǔ)在卷中的數(shù)據(jù)時(shí)，必須使用這個(gè)USB閃存。

其他注意事項(xiàng)：BitLocker還可以通過(guò)活動(dòng)目錄（AD）來(lái)進(jìn)行控制。在這種情況下，活動(dòng)目錄AD架構(gòu)必須進(jìn)行擴(kuò)展以支持這個(gè)功能。為了通過(guò)活動(dòng)目錄來(lái)控制TPM恢復(fù)，活動(dòng)目錄的計(jì)算機(jī)類(lèi)目標(biāo)（computer class object）許可選項(xiàng)必須改變。為了備份TPM的恢復(fù)信息和AD上面的BitLocker，你需要通過(guò)組策略管理控制臺(tái)來(lái)實(shí)現(xiàn)“開(kāi)啟Active Directory域BitLocker備份服務(wù)”這一功能。
 
使用BitLocker的前提條件

BitLocker需要用戶(hù)的電腦至少配置兩個(gè)分區(qū)。分區(qū)A（系統(tǒng)分區(qū)）包括關(guān)鍵啟動(dòng)文件，必須保持無(wú)加密狀態(tài)。所有其他的分區(qū)可以用BitLocker進(jìn)行加密。

系統(tǒng)分區(qū)是一個(gè)小的100MB的分區(qū)，它可以跟操作系統(tǒng)OS分區(qū)共存。用戶(hù)可以用diskpart工具來(lái)創(chuàng)建這個(gè)不被加密的小分區(qū)。這個(gè)區(qū)的卷號(hào)必須不同于操作系統(tǒng)OS卷號(hào)。
 
如果你通過(guò)IBW添加BitLocker包，IBW會(huì)自動(dòng)創(chuàng)建這個(gè)100MB的系統(tǒng)分區(qū)。

把BitLocker添加到你的鏡像

我們意識(shí)到Windows嵌入式用戶(hù)非常關(guān)心他們的鏡像所需要的磁盤(pán)空間。把那個(gè)沒(méi)有被加密的100MB小分區(qū)添加到Windows Embedded Standard 2011鏡像中只是為了更好的支持BitLocker。因此，默認(rèn)的時(shí)候，你的鏡像不會(huì)創(chuàng)建這個(gè)系統(tǒng)分區(qū)除非你選擇了在鏡像中添加BitLocker包。當(dāng)運(yùn)行Image Builder Wizard IBW設(shè)置時(shí)你可以把BitLocker添加到你的鏡像，還可以把BitLocker添加到用Image Configuration Editor (ICE)創(chuàng)建的回答文件中。
 
下面的截圖顯示了用 時(shí)你需要選擇的包

下面的截圖顯示了用你所需要選擇的包

開(kāi)啟BitLocker功能

BitLocker可以通過(guò)兩種方式來(lái)開(kāi)啟—通過(guò)命令行界面或者通過(guò)GUI。每一種方法你都可以用Windows設(shè)備管理器WMI類(lèi)來(lái)管理。你能寫(xiě)WMI腳本的方式來(lái)管理BitLocker和TPM。在使用無(wú)頭設(shè)備（沒(méi)有配備顯示輸出的設(shè)備）時(shí)這個(gè)方法非常有用。
欲了解更多有關(guān)WMI提供類(lèi)的信息，請(qǐng)點(diǎn)擊以下鏈接：

管理BitLocker http://msdn.microsoft.com/en-us/library/aa376483(VS.85).aspx

管理TPM http://msdn.microsoft.com/en-us/library/aa376484(VS.85).aspx
 
同樣，在開(kāi)啟BitLocker的時(shí)候，有兩種主要的方案可以考慮。兩種方案概述如下：

1. 在硬盤(pán)驅(qū)動(dòng)器上啟用BitLocker

a．存在TPM時(shí)啟用BitLocker（注意BitLocker需要1.2版本的TPM芯片）

--確認(rèn)所有的TPM驅(qū)動(dòng)程序都加載了；在運(yùn)行Windows Embedded Standard 2011安裝程序之前確保BIOS設(shè)置啟動(dòng)了TPM；

--初始化TPM（可以用WMI腳本，也可以用微軟管理控制臺(tái)MMC管理單元）；

--掌控TPM（直譯是取得TPM的所有權(quán)）

--保存TPM密鑰（可以用AD來(lái)備份這個(gè)TPM恢復(fù)信息）；現(xiàn)在在硬盤(pán)驅(qū)動(dòng)器上開(kāi)啟manage-bde然后啟動(dòng)BitLocker功能

b．沒(méi)有TPM時(shí)使用BitLocker

-運(yùn)行manage-bde來(lái)開(kāi)啟BitLocker功能

2.在USB驅(qū)動(dòng)器上啟用BitLocker功能

這個(gè)跟在硬盤(pán)驅(qū)動(dòng)器上開(kāi)啟BitLocker一樣---當(dāng)運(yùn)行manage-bde時(shí)，你可以指定你想通過(guò)BitLocker加密的磁盤(pán)。運(yùn)行帶“-status”開(kāi)關(guān)的manage-bde來(lái)檢查不同磁盤(pán)驅(qū)動(dòng)器的可用狀態(tài)以及相應(yīng)的加密狀態(tài)。

BitLocker To Go功能（BTG）

機(jī)密數(shù)據(jù)的丟失每年給企業(yè)和政府帶來(lái)數(shù)十億美元的損失，更不用說(shuō)數(shù)據(jù)丟失帶來(lái)的不便。Windows嵌入式便準(zhǔn)2011包括了一個(gè)新的叫做BTG的功能，這個(gè)功能可以對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行加密，比如USB驅(qū)動(dòng)器，在設(shè)備被偷或者丟失時(shí)確保數(shù)據(jù)安全。BTG加密的磁盤(pán)驅(qū)動(dòng)器可以用一個(gè)密碼、智能卡來(lái)解密，或者用特定的機(jī)器自動(dòng)解密，IT管理員可以通過(guò)BTG來(lái)選擇其中的一種方式控制對(duì)移動(dòng)磁盤(pán)的寫(xiě)入。

使用BTG是件很簡(jiǎn)單的事情。一旦你的USB設(shè)備插進(jìn)去并且被你的系統(tǒng)識(shí)別，你就可以進(jìn)入到控制面板，然后使用BitLocker驅(qū)動(dòng)器加密。

下面的截圖是插入U(xiǎn)SB閃存驅(qū)動(dòng)器時(shí)啟用BTG的例子：

一旦你插入U(xiǎn)SB閃存驅(qū)動(dòng)器，然后進(jìn)入資源管理器，右擊USB驅(qū)動(dòng)器(F:\, 舉個(gè)例子)，選擇“開(kāi)啟BitLocker”選項(xiàng)，你就會(huì)看見(jiàn)如下圖所示的對(duì)話(huà)框：

在這里你可以選擇一種加密后的驅(qū)動(dòng)器解鎖方式。如果我，則下一個(gè)對(duì)話(huà)框如下圖所示：

這里我既可以用一個(gè)文件來(lái)存儲(chǔ)恢復(fù)密鑰又可以把恢復(fù)密鑰打印出來(lái)。我推薦用一個(gè)文件來(lái)存儲(chǔ)密鑰，這樣比打印出來(lái)更安全。找到一個(gè)你想存儲(chǔ)這個(gè)密鑰的位置，然后就開(kāi)始加密吧。

【編輯推薦】

1. Windows Embedded Standard 2011特性預(yù)覽
2. 微軟發(fā)布Windows Embedded Standard 2011技術(shù)預(yù)覽版
3. Windows Embedded Standard 2011工具包介紹
4. Windows Embedded Standard 2011打造組件化Windows