ＢｉｔＬｏｃｋｅｒ使用揭秘

很多人可能都聽說過ERD Commander之類的軟件，這種軟件可以創建一個引導光盤，用戶可以用這張光盤將電腦引導進入一個特殊的WindowsPE環境(可以理解為運行在光盤上的Window系統)中。在這個環境中，我們可以在不知道電腦上安裝的操作系統管理員賬戶和密碼的情況下直接編輯系統的注冊表或者修改任何一個賬戶的登陸密碼。甚至還可以獲得文件的NTFS訪問權限，并繞過Windows的權限設置讀取需要的機密文件。這種在WindoWS沒有運行著的情況下對系統進行“攻擊”的操作就叫做“脫機攻擊”。

其實類似這樣的工具還有很多，有些是售價昂貴的商業軟件，有些甚至是可以免費獲得的軟件。但是這是否意味著Windows的安全性很差呢?其實不然，因為進行脫機攻擊的時候，被攻擊的Windows并沒有運行，因此Windows的各種安全保護機制也無法生效，進而造成了被攻擊的可能。其實不僅僅是Windows，任何操作系統都無法有效避免這種脫機攻擊。至于從物理層面的攻擊，例如惡意拔掉服務器電源導致服務中斷，或者損壞硬件造成數據丟失，更是無法僅依靠完善操作系統避免。所以說實現系統安全和數據安全的一個大前提就是首先要保證計算機在物理上的安全，不能讓攻擊者從物理層面上接觸到計算機。

不過好在Windows Vista中的BitLocker功能可以保護整個Windows本身不被脫機攻擊，并保護我們的機密數據無法被允許的Windows以外的其他操作系統訪問。簡單來說，BitLocker會將Wind0WS的安裝分區或者其他用于保存文件的分區進行加密，并將密鑰保存在硬盤之外的地方。這樣，要想啟動Windows或者讀取保存在電腦中的文件，就必須先提供密鑰，隨后引導程序才會使用提供的密鑰解密系統文件，并加載和運行Windows，供我們讀取文件。

使用BitLockerl的前提條件

BitLocker是WindOWS Vista中的一項新功能，只能用于Windows Vista企業版和旗艦版。另外，在初始版本的Vista中，該功能只能加密安裝了Vista的分區，不過在安裝SP1之后可以加密任何一個本地硬盤分區。

不同模式的不同要求

BitLocker主要有兩種工作模式：TPM模式和U盤模式，為了實現更高程度的安全，我們還可以同時啟用這兩種模式。

要使用TPM模式，要求計算機中必須具備不低于1.2版TPM芯片，這種芯片是通過硬件提供的，一般只出現在對安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會提供。

要想知道電腦是否有TPM芯片，可以運行“devmgmt.mse”打開設備管理器，然后看看設備管理器中是否存在一個叫做“安全設備”的節點，該節點下是否有“受信任的平臺模塊”這類的設備，并確定其版本即可。

如果要使用U盤模式，則需要電腦上有USB接口，計算機的BIOS支持在開機的時候訪問USB設備(能夠流暢運行Windows Vista的計算機基本上都應該具備這樣的功能)，并且需要有一個專用的U盤(U盤只是用于保存密鑰文件，容量不用太大，但是質量一定要好)。使用U盤模式后，用于解密系統盤的密鑰文件會被保存在U盤上，每次重啟動系統的時候必須在開機之前將U盤連接到計算機上。

對硬盤分區的要求

硬件滿足上述要求后，還要確保硬盤分區的安排可以滿足要求。通常情況下，我們可能習慣這樣給硬盤分區：首先，在第一塊硬盤上劃分一個活動主分區，用于安裝Windows，這個分區是系統盤；其次，對于剩下的空間繼續劃分更多主分區，或者創建一個擴展分區，然后在上面創建邏輯驅動器。簡單來說，我們已經習慣于讓第一塊硬盤的第一個分區成為系統盤，并在上面安裝Windows。

在一臺安裝Windows Vista的計算機上運行“diskmgmt.msc”后即可看到硬盤分區情況。

這里重點需要關注的是，硬盤上是否有超過一個的活動分區。例如圖中的“磁盤0”，該磁盤上有兩個分區，對應的盤符分別是“C”和“D”，其中“C”就是第一塊硬盤上的第一個分區，屬于系統盤而且是活動的。但問題在于，如果除了系統盤外，硬盤上不存在其他活動分區，這種情況下是無法直接啟用BitLocker的(無論是TPM模式還是U盤模式)。原因很簡單，源于其工作原理，BitLocker功能實際上就是將操作系統或者機密數據所在的硬盤分區進行加密，在啟動系統的時候，我們必須提供解密的密鑰，來解密原本被加密的文件，這樣才能啟動操作系統或者讀取機密文件。但這就有一個問題，用于解密的密鑰可以保存在TPM芯片或者U盤中，但是解密程序應該放在哪里?難道就放在系統盤嗎?可是系統盤已經被加密了，這就導致了一種很矛盾的狀態：因為用于解密的程序被加密了，因此無法運行，導致無法解密文件。

所以如果要順利使用BitLocker功能，硬盤上必須至少有兩個活動分區，除了系統盤外，額外的活動分區必須保持未加密狀態(且必須是NTFS文件系統)，同時可用空間不能少于1.5GB。為了保證可靠性，這個專門的活動分區最好專用，不要在上面保存其他文件或者安裝額外的操作系統。

準備磁盤分區

遺憾的是，一般情況下，很少有人會在自己的硬盤上創建多個活動分區。那么我們又該怎樣設置硬盤，以滿足BitLocker的要求?如果是在安裝Windows Vista之前看到了這段內容，并且打算安裝好之后使用BitLocker功能，那么我們可以在安裝的時候直接將分區準備好。

如果是在安裝了Windows Vista，并且在打算使用BitLocker的時候才看到這段內容，而硬盤分區已經按照傳統的方式劃分好了，那么也不用擔心。通過一些方法，我們可以在不破壞現有系統以及所有數據的前提下為BitLocker騰出一部分空間來創建另一個分區。

如果還沒有安裝Vista

如果正打算在一塊新硬盤上安裝WindowsVista企業版或旗艦版，那么就可以在安裝的過程中創建出符合BitLocker要求的分區結構。具體的過程如下：

準備好Windows Vista安裝光盤，并在計算機的BIOS設置中設定通過光盤引導計算機(具體的設置方法請參考計算機或主板的說明書)，

打開電源，立刻將Windows Vista安裝光盤放入計算機。如果設置無誤，那么計算機會自動從光盤引導，稍等片刻，屏幕上就會出現一個綠色的滾動條，就像Windows VistaiE常啟動時候那樣，

當看到“安裝Windows”對話框之后，選擇要安裝的語言、時間和貨幣格式，以及鍵盤和輸入方法，設置好之后單擊“下一步”按鈕，

單擊窗口左下角的“修復安裝”鏈接；

隨后可以看到“系統恢復選項”對話框，因為這是一塊新硬盤，因此不會列出任何內容，直接單擊“下一步”按鈕；

在接下來看到的“系統恢復選項”對話框中，單擊“命令提示符”鏈接；

當打開“命令提示行”窗口后，依次運行下面列出的命令(除了第一條和最后兩條命令外，其他所有命令都需要在“diskpan>”提示符下運行，括號內的文字是對命令的解釋，不用輸入。)：

Diskpart(啟動diskpart，exe，這是一個命令行界面下的硬盤分區調整程序。)

Select Disk O(將第一塊硬盤選中，作為后續操作的目標盤。如果有多塊硬盤，并且希望將WindowsVista安裝到其他硬盤上，請更改數字“0”為目標硬盤的編號。如果想知道分別有哪些硬盤，各自的編號是什么，請首先運行“list disk”命令。)

Clean(清空所選硬盤上的分區表信息。注意：目標硬盤上如果有數據，將被全部清除。)

Create Partition Primary Size=1500(創建一個體積為1.5GB的主分區，這個分區用于日后保存引導文件。)

Assign Letter=S(將這個1.5GB分區的盤符設置為“S”，或者其他任何想要使用的字母，但不建議使用“C”，畢竟很多人都習慣于將Windows安裝到C盤。)

Active(將這個1.5GB的分區設置為活動分區。)

Create Partition Primary(用所有剩余空間創建一個主分區，如果希望除了這個主分區外還創建其他分區，請使用“size=xxx”參數指定這個主分區的大小。)

Assign Letter=C(將這個分區的盤符設置為“C”，接下來會將Windows安裝到這個分區，同時最終被BitLocker加密的也是這個分區。)

List Volume(查看已經分好的區，正常情況下可以看到劃分好的分區界面。)

Exit(退出Diskpa~程序。)

Format C：／Y／Q／FS：NTFS(用NTFS文件系統快速格式化C盤。)

Format S：／Y／Q／FS：NTFS(用NTFS文件系統快速格式化S盤。)

經過上述設置，我們可以重新啟動計算機，并再次使用Windows Vista安裝光盤引導系統，完成操作系統的安裝工作。在安裝過程中需要注意，系統必須安裝到C盤，而不能安裝到S盤。

如果已經安裝了Vista

如果已經安裝好了Windows Vista旗艦版或企業版，并在打算啟用BitLocker的時候才發現系統被安裝到磁盤0分區1上，也不用擔心。只要分區0可用空間足夠，我們完全可以將其中一部分空間拆借出來，創建一個新的磁盤0分區1。

雖然有很多第三方軟件可以做到這一點，不過往往需要付費購買，而且因為在系統盤的前面添加了一個新的分區，導致盤符變化，可能會使得Windows無法正常啟動，因此不建議使用這類第三方軟件。

要想在保留現有數據的前提下給原本安裝了Windows的“磁盤0分區1”前面新建一個分區，我們可以使用微軟提供的一個免費軟件：BitLocker和EFS增強，這個軟件是作為WindoWS VistaUltimate Extras提供的。顧名思義，該軟件只能由正版WindOWS Vista旗艦版用戶通過WindowsUpdate獲得。不過根據微軟的說明，WindowsVista企業版用戶可以聯系微軟獲取該軟件，聯系方式是：http：//support.microsoft.com／contactus／?ws=support。

安裝了BitLocker和EFS增強工具后，請這樣操作：

從“開始”菜單下的“所有程序”｜“附件”｜“系統工具”｜“BitLocker”路徑下啟動“BitLocker驅動器準備工具”，在授權協議頁面上單擊“我接受”，隨后該軟件將自動檢查本機的配置情況。

閱讀屏幕上顯示的注意事項，按照提示照做后單擊“繼續”按鈕。

隨后程序會自動調整硬盤分區，整個過程分為三個步驟：縮小(壓縮)現有的系統盤；利用壓縮獲得的可用空間創建一個用于保存引導文件的新分區I然后根據BitLocker的要求調整新分區的設置。

這個過程大概需要三分鐘左右，完成后單擊“完成”按鈕，系統會自動重啟動。這時準備工作已經全部完成。通過上述操作，在本機會出現一個盤符為“S”，可用空間為1.5GB的新分區，引導文件和啟動過程中的臨時文件會保存在這里。

另外，在使用BitLocker和EFS增強工具調整硬盤分區的時候，還必須保證之前的系統盤在減少1.5GB的可用空間后保留的可用空間不小于分區總容量的10％。

調整系統配置

默認情況下，Vista中只能使用TPM模式的BitLocker，因此要使用U盤模式，我們必須配置組策略將其啟用。好在支持BitLocker功能的WindowsVista版本都是具有組策略的。具體做法如下：

運行“gpedit.msc”打開組策略編輯器，從編輯器窗口左側的控制臺樹形圖中定位到“計算機配置”｜“管理模板”｜“wind0WS組件”｜“BitLocker驅動器加密”。

在右側的控制臺窗口中找到并雙擊打開“控制面板設置：啟用高級啟動選項”這個策略，選擇“已啟用”。

單擊“確定”保存設置，這樣我們已經在本機啟用了U盤模式的BitLocker。

啟用BitLocker

在安裝SPI之后的Vista企業版和旗艦版中，我們可以使用三種模式的BitLocker：

純TPM模式，要求系統中具有TPM芯片。這樣用于解密的密鑰以及用于驗證引導文件完整性的相關文件都會保存在TPM芯片中。

純U盤模式，要求系統符合上文中提到的和USB設備有關的條件，這樣用于解密的密鑰會被保存在U盤中。

混合模式，可以使用TPM+U盤，TPM+PIN，以及TPM+U盤+PIN的形式進一步增強系統安全。

那么這些模式分別要怎樣使用?讓我們來看看。

純U盤模式

因為目前具有TPM芯片的電腦還不是很多，因此我們首先介紹純U盤模式的使用方法，畢竟這種方式才適合最多人使用。

打開控制面板，依次單擊“安全”｜“BitLocker驅動器加密”，我們可以看到BitLocker加密驅動器的界面。

這里已經列出了當前安裝電腦的所有本地硬盤分區，對于想要加密的分區，單擊對應的“啟用BitLocker”鏈接，隨后可以看到設置啟動首選項的界面，在這里我們需要選擇BitLocker的工作方式。因為沒有TPM芯片，因此只能選擇最后一個選項，這樣以后每次啟動系統的時候都必須提供保存了密鑰的U盤，不過系統啟動后就不再需要了。因此在這里直接單擊“每一次啟動時要求啟動USB密鑰”選項。

將準備好的U盤連接到計算機，等程序界面上顯示了這個U盤后，單擊將其選中，然后單擊“保存”按鈕，這樣用于解密被BitLocker加密的分區所需的密鑰就會被保存在所選的U盤上。

隨后可以看到保存恢復密碼的界面，在這里我們需要決定恢復密碼的處理方式。需要注意，在平時的使用過程中，并不需要提供恢復密碼，我們只要提供之前一步操作中指定的U盤即可，而恢復密碼是在U盤不可用(例如，丟失或者損壞)時使用的，因此建議將其妥善處理。例如，如果本機安裝了打印機，可以將恢復密碼打印在紙上，并將這張紙保存在安全的地方。同時因為非常重要，建議同時保留恢復密碼的多個副本，例如多次打印，然后將打印的密碼分別保存在不同的安全位置，或者保存在另外的U盤上(最好不要將恢復密碼和啟動密碼保存在同一個U盤上)。

保管好恢復密碼后單擊“下一步”按鈕，隨后程序會對我們的操作進行一個概述。同時為了進一步確認本機可以正常使用BitLocker功能，請保持選中“運行BitLocker系統檢查”選項，這樣程序會在進行加密之前先對系統中的各項設置進行檢查。如果確認無誤，請單擊“繼續”按鈕(注意：在整個過程中，最先使用的U盤一定不能拔下來，如果需要將恢復密碼保存在其他U盤上，請將第二塊U盤連接到計算機的其他USB接口上)。

接下來需要重新啟動系統，準備好之后單擊“現在重啟動”按鈕。重啟動完成，并成功登錄后，桌面右下角會顯示一個氣泡圖標，提示我們系統正在進行加密，單擊這個氣泡圖標后可以看到顯示加密進度的對話框。在這里我們可以暫停加密操作，并在稍后繼續進行，但是無法停止或者撤銷加密操作。

加密操作需要一定的時間，主要取決于系統盤的大小以及計算機的硬件速度。不過好在這個操作只需要進行一次。而且在日后的使用過程中，系統的運行速度并不會有太大的降低，因此可以放心使用。加密完成后單擊“完成”按鈕即可。經過上述操作，BitLocker功能已經被成功啟用。但是還有幾點問題需要注意：

應用BitLocker加密后，當Windows Vista啟動后，我們查看系統文件時將不會看到文件帶有任何與“加密”有關的屬性，這屬于正常現象，因為BitLocker的加密是在系統底層，從文件系統上實現的，而在用戶看來，啟動了的系統里的系統文件并沒有被加密。但如果換個角度來看，例如一臺計算機上安裝了兩個系統，或者將裝有系統的硬盤拆掉，連接到其他計算機上，在試圖訪問應用了BitLocker的系統所在的分區時，我們會收到拒絕訪問的信息，而且拒絕的原因是目標分區沒有被格式化。這都屬于正常現象，而且也證明了BitLockeriK在保護我們操作系統的安全(設想一下，連訪問分區都無法實現，又如何進行脫機攻擊?)。

另外，保存了啟動密鑰的U盤，直接在Windows資源管理器下查看的時候，完全看不到其中保存的密鑰文件。這也是為了安全。同時建議這個U盤只用于保存BitLocker的啟動密鑰，而不要用作其他用途。這主要是為了盡量避免U盤因為各種原因，例如病毒感染或者頻繁寫入損壞而造成系統無法訪問。而且需要注意，密鑰盤只是在啟動系統的時候需要，只要系統啟動完成，我們就可以將其拔出，并妥善保管起來。操作系統的正常運行過程中并不需要我們反復提供密鑰盤。

最后一點，在加密過程中，系統盤的可用磁盤空間將會急劇減少。這屬于正常情況，因為這個過程中會產生大量臨時文件。加密完成后這些文件會被自動刪除，同時可用空間數量會恢復正常。在解密被加密的系統盤時也會遇到類似的情況。

在應用了U盤模式的BitLocker后，每次啟動系統前都必須將保存了啟動密鑰的U盤連接到計算機，否則系統會提示需要BitLocker驅動器加密密鑰。這就要求我們必須將保存了啟動密鑰的U盤連接到計算機后重啟動，才能完成Windows的啟動和加載過程。如果因為某些原因，例如保存了啟動密鑰的U盤損壞或者丟失，只要還保留有啟用BitLocker時創建的恢復密碼，那么可以在這個界面上按下回車鍵進行恢復。

純TPM模式

如果電腦主板上具有1.2版以上版本的TPM芯片，那么就可以采用純TPM模式的BitLocker加密保護系統。使用這種模式后，等于將硬盤、系統，以及計算機主板(或者擴展卡形式的TPM卡)捆綁在一起。只有特定TPM芯片存在的情況下才可以啟動對應的操作系統。也就是說，如果臺式機的硬盤被拆掉，安裝到其他計算機上，將無法直接讀取系統盤的任何數據。而且這種模式不需要用戶在啟動系統的時候提供任何密碼或者U盤。

在繼續下面的操作之前，我們可能需要將計算機的主板B10S更新到最新的版本，或者安裝最新版本的TPM芯片驅動程序。詳細信息請查閱主板或者TPM芯片的說明書。

如果確認計算機上的TPM芯片符合要求，請按照下列步驟對本機上的TPM芯片進行初始化：

運行“tpm.msc”打開TPM管理控制臺。

單擊窗口最右側操作窗格中的“初始化TPM”鏈接，隨后可以打開 “初始化TPM安全硬件”對話框。單擊“自動創建密碼(推薦)”鏈接。

在隨后顯示的對話框上會顯示TPM所有者的密碼，單擊其中的“保存密碼”按鈕，接下來會出現一個“另存為”對話框，我們需要為TPM所有者的密碼指定一個保存路徑和文件名。

當出現“完成”按鈕后表示TPM芯片的初始化工作已經結束，單擊即可退出。

在初始化過程中，對創建的TPM所有者密碼一定要妥善保管。在對TPM完成初始化工作后，我們就可以啟用BitLocker了。需要注意的是，如果沒有修改過有關BitLocker功能的組策略設置，那么將只能使用TPM模式的BitLocker加密，因此在啟用BitLocker的時候，系統并不會讓我們選擇使用哪種模式。

隨后我們可以按照上文中“純U盤模式”一節的介紹啟用BitLocker，唯一的不同在于需要選擇“使用沒有附加密鑰的BitLocker”，剩下的過程基本上完全一樣，因此不再重復說明。

混合模式

混合TPM模式的BitLocker加密有以下兩種模式：

eTPM芯片和啟動PIN組合加密：在純TPM模式的基礎上，再設置一個啟動密碼(PIN碼)，這個啟動密碼由4到20位數字組成。每次啟動計算機時，必須手動輸入這個PIN碼，然后和TPM芯片中的存儲根密鑰(SRK)結合起來，才能解密系統盤。

eTPM芯片和啟動USB密鑰組合加密：在純TPM模式的基礎上，再設置一個啟動密鑰，這個密鑰存放在U盤里。每次啟動計算機時，必須提供保存密鑰的U盤，然后和TPM芯片中的存儲根密鑰(SRK)結合起來，才能解密系統盤。 下文將分別介紹這兩種模式。

TPM+PIN

默認情況下，在Windows Vista中只能使用純TPM模式的BitLocker加密，因此首先需要對組策略設置進行一些調整。具體方法如下：

運行“gpedit.msc”打開組策略編輯器，從編輯器窗口左側的控制臺樹形圖中定位到“計算機配置”｜“管理模板”｜“windows組件”｜“BitLocker驅動器加密”；

在右側的控制臺窗口中找到并雙擊打開“控制面板設置：啟用高級啟動選項”這個策略，選擇“已啟用”；

然后在該對話框的“配置TPM啟動PIN選項”下拉萊單中選擇“允許用戶創建或跳過”選項，在“配置TPM啟動密鑰選項”下拉菜單中選擇“允許用戶創建或跳過”選項；

單擊“確定”保存設置。

接下來可以開始啟用BitLocker了，具體的過程和上文介紹的U盤模式差不多，只不過其中有些選項是新增的，需要注意：

打開“控制面板”窗口，依次進入“安全”｜“BitLocker驅動器加密”；

單擊“啟用BitLocker”鏈接，隨后可以看到設置啟動首選項的對話框。這里和上文中的設置啟動首選項有所不同，新增了兩個設置選項。

這些選項的作用如下：

使用沒有附加密鑰的BitLocker：純TPM模式的加密。

每一次啟動要求PIN：TPM芯片和啟動PIN碼的混合模式加密。

每一次啟動時要求啟動USB密鑰：TPM芯片和啟動USB密鑰混合模式加密。

因為我們需要的是TPM+PIN的方式，因此直接單擊“每一次啟動時要求PIN”按鈕，隨后可以看到設置啟動PIN的對話框。

輸入一個PIN，然后單擊“設置PIN”按鈕。接下來的步驟就和U盤模式類似了，設置恢復密碼，進行加密。同樣，加密過程需要很長時間。日后使用系統的時候，不僅要確保TPM芯片的正常工作，而且必須在加載系統之前輸入在這里指定的PIN碼。

TPM+U盤

對于TPM+U盤的模式，在操作上則和上一節中介紹的TPM+PIN碼的步驟基本類似，只不過需要在設置啟動首選項的界面上單擊“每一次啟動時要求啟動USB密鑰”按鈕，然后將用于保存啟動密鑰的U盤連接到計算機即可。

在使用這種模式后，日后每次開機后不僅要確保TPM芯片的正常工作，而且必須預先將保存了啟動密鑰的U盤連接到計算機上。

BitLocker的災難恢復

如果在啟用了BitLocker加密后，因為各種原因導致系統無法啟動，例如保存了啟動密鑰的U盤丟失或者損壞，那么只要還保留之前的恢復密碼，我們也可以將密鑰文件恢復。經過恢復操作，我們可以重新創建一個啟動密鑰盤，同時之前創建的密鑰盤將會被自動作廢。這樣就算別人竊取了密鑰盤，只要能及時發現，并即使執行恢復程序，創建新的密鑰盤，那么獲得舊密鑰盤的人也無法訪問我們的系統。

如果需要進行恢復，請在系統啟動時要求提供密鑰盤的界面上直接按下回車鍵，隨后系統會提示輸入驅動器的恢復密碼。這時請找出當初啟用BitLocker時創建的啟動密碼，例如，我們可能將密碼打印在紙上，或者保存在其他U盤或者網絡共享文件夾中。如果打印在紙上，請直接找出這張紙，如果保存在U盤或者網絡共享文件夾中，請在其他計算機上查看保存的文件。

在恢復頁面上通過鍵盤上的F1到F9鍵代表1－9這九個數字，用F10鍵代表數字0，輸入正確的恢復密碼。只要密碼輸入正確，輸入最后一位后整個屏幕會黑掉，同時硬盤燈開始頻繁閃爍。這時候不用著急，等待片刻后即可看到Windows Vista的登錄界面。當然，如果在創建恢復密碼的時候選擇保存在U盤上，這時候直接提供保存了恢復密碼的U盤也可以實現同樣的結果，而且更快捷。

不過有一點需要注意，如果使用恢復密碼啟動了系統，那么建議重新創建啟動密鑰盤，否則每次啟動系統的時候都需要提供恢復密碼，不是很方便。創建的方法如下：

使用恢復密碼啟動系統，并使用管理員賬戶登錄后，在“控制面板”中依次打開“安全”｜“BitLocker驅動器加密”。

單擊“管理BitLocker密鑰”鏈接，隨后將打開密鑰管理的界面。

如果是因為丟失了啟動密鑰，需要重新創建密鑰盤，可以單擊“復制啟動密鑰”按鈕，并根據屏幕上的提示提供一個空白的U盤，完成后續操作。

如果是希望在更多的地方保存恢復密碼，則可以單擊“復制恢復密碼”按鈕，并繼續后面的操作。

對于啟動密鑰，實際上是一個擴展名為“.fek”的，具有隱藏屬性的文件，該文件會被放置在啟動密鑰盤的根目錄下。因此我們完全可以通過手工復制文件的方式將該文件放在更多的U盤上，或者放在其他計算機的硬盤上，只有在需要的時候才復制到U盤的根目錄下，作為備份的密鑰盤使用。要想在Windows資源管理器中看到這個文件，我們需要對Windows資源管理器進行一些設置：打開“計算機”窗口，按下鍵盤上的Alt鍵顯示菜單欄，依次單擊“工具”｜“文件夾選項”｜“查看”，在隨后打開的“查看”選項卡中，選中“顯示隱藏文件”選項，并反選“隱藏受保護的操作系統文件(推薦)”這個選項即可。通過這樣的方法，我們可以手工創建出多個可以同時使用的啟動密鑰盤。但一定要注意，每個啟動密鑰盤都必須妥善保管。

如果已經丟失了啟動密鑰，而使用本節介紹的方法通過恢復密碼啟動了系統，這時候我們可以按照上文介紹的方法讓系統為我們重新創建密鑰盤。這個過程和手工復制文件“備份”密鑰盤的結果是一樣的，只不過由Windows Vista代替我們完成而已。然而需要注意，對于因為啟動密鑰盤損壞導致的啟動密鑰丟失，我們可以借助這種方法恢復，但如果是啟動密鑰盤失竊導致系統無法啟動，那么在使用恢復密碼啟動系統之后，最好能夠更新啟動密鑰。否則拿到原先啟動密鑰盤的人將可以使用這個密鑰盤訪問我們的系統。在Windows Vista中，目前無法主動更新啟動密鑰，我們必須首先解密對系統盤的加密，并禁用BitLocker，然后重新啟用，并加密系統盤，方法會在下文介紹。

關閉或禁用BitLocker

如果在啟用BitLocker后因為任何原因不想繼續使用這一功能，我們可以考慮將其關閉。在Windows Vista中，有兩種方法可以禁用BitLocker：禁用BitLocker或者解密系統盤。

簡單來說，禁用BitLocker是一種臨時性的措施。在禁用BitLocker后，系統盤仍然處于被BitLocker加密的狀態下，不過系統會自動生成一個包含了啟動密鑰的臨時文件放在本地硬盤上。也就是說，系統啟動的時候，將不再需要我們提供啟動密鑰盤，而是直接借助硬盤上保存的密鑰文件來解密。這種方法適合需要臨時禁用BitLocker的情況下。例如，我們可能需要更新計算機的BIOS，或者更改啟動文件(例如，在原有一個Windows Vista的基礎上安裝其他Windows系統，形成多系統環境)。這種情況下，為了確保操作可以順利進行，就必須暫時性禁用BitLocker。當操作完成后，我們還可以重新啟用BitLocker，這樣硬盤上保存的臨時密鑰文件將會被自動刪除，而我們可以使用之前創建的啟動密鑰盤和恢復密碼對BitLocker功能進行操作。在禁用模式下，系統依然可以受到BitLocker的部分保護。

至于解密系統盤，則是一種比較徹底的方式。在這種方式下，啟動密鑰盤會被徹底禁用，而如果是TPM模式，則TPM芯片中保存的信息也會被撤銷，同時系統盤的所有文件會被解密。因此解密系統盤適合不打算繼續使用這個功能的用戶使用。解密系統盤后，系統將完全不會受到BitLocker的保護。

禁用BitLocker

如果需要禁用BitLocker，我們可以這樣操作：

使用管理員賬戶登錄Windows Vista，打開控制面板；

依次進入到“安全”｜“BitLocker驅動器加密”，單擊“關閉BitLocker”鏈接，隨后可以看到選擇解密類型的界面；

單擊“禁用BitLocker驅動器加密”按鈕。隨后桌面右下角將會出現一個圖標，告訴我們BitLocker功能已經被暫時禁用。接下來可以進行需要執行的操作(更新BIOS、安裝多重引導系統等)。

在禁用后如果需要重新啟用BitLocker，只需要單擊桌面右下角系統通知區域的BitLocker圖標，并在隨后出現的窗口中單擊“啟用BitLocker”鏈接，BitLocker立刻就會被重新啟用。

解密系統盤

如果覺得自己不再需要BitLocker功能，那么我們可以將其徹底禁用，并將系統盤解密。具體做法如下：

使用管理員賬戶登錄Windows Vista，打開控制面板；

依次進入到“安全”｜“Bitlocker驅動器加密”，單擊“關閉BitLocker”鏈接，隨后可以看到上文中提到的選擇解密類型的界面，

單擊“解密此卷”按鈕，系統會自動將所有啟動密鑰和恢復密碼作廢，并開始解密系統盤。需要注意，解密操作和加密操作幾乎要使用同樣長的時間，而且該操作只可以暫停，但無法被取消。

注意事項

其實BitLocker能夠做到的還有更多，例如TPM模式的使用，或者混合模式的使用等。如果需要更高程度的安全性，我們還可以在這方面多下一些功夫。

例如，有人詢問過這樣的問題：如果單純使用TPM模式，可能還不如U盤模式的安全程度高。抱有這種觀點的人認為，如果使用U盤模式，至少密鑰盤和計算機是可以分開保存的，這樣如果單純丟失了密鑰盤或者計算機，都不會造成太大的損失。但是對于筆記本電腦用戶，就存在這樣一個很突出的問題：如果筆記本電腦本身帶有TPM芯片，而我們又啟用了TPM模式的BitLocker，那么一旦筆記本電腦失竊，等于竊賊同時獲得了我們的硬盤以及啟動密鑰。在這種情況下BitLocker功能可以提供的保護等于沒有。

這種問題確實存在，但BitLocker功能的設計者早就考慮到了。我們可以使用混合模式的BitLocker。這樣除了TPM芯片外，我們還可以給系統再加一道鎖，這道鎖可以是一個獨立于Windows賬戶的密碼，或者是一個保存了啟動密鑰的U盤。這樣，只要不是硬盤、TPM芯片，以及U盤和密碼同時全部失竊，那么系統的安全依然可以得到保障。

但依然有一個問題需要注意：恢復密碼的妥善保管。無論使用單純的U盤模式、TPM模式，或者任何一種混合模式，在啟用BitLocker時候設置的恢復密碼一定要妥善保管，因為只要手頭有恢復密碼，無論什么模式的BitLocker加密，都將可以被繞過，并重設。因此恢復密碼的安全性問題是絕對不能忽視的。

那么除了U盤模式外，其他幾種模式的BitLocker分別是如何使用的?因為現在具有TPM芯片的計算機還不是很多，因此本文不準備詳細介紹具體過程，只準備大概列出操作步驟，供感興趣的朋友參考。

在BitLocker加密的使用過程中，密鑰的作用是很重大的。如果缺少啟動密鑰，系統將被鎖定，無法啟動，除非能夠提供恢復密碼；但如果恢復密碼丟失了，那么在遇到特殊情況后我們將被擋在系統的大門外。因此妥善處理啟動密鑰和恢復密碼是使用BitLocker過程中最需要關注的。

在給Windows Vista旗艦版安裝了BitLocker和EFS增強軟件后，我們可以將自己的BitLocker恢復密碼保存在微軟提供的在線服務上，同時這些內容會受到微軟的妥善保管。我們只要使用相同的Windows Live ID登錄在線服務即可備份這些密鑰，或者在密鑰丟失后從備份中重新找回。

有關BitLocker和EFS增強這個程序，我們在上文中已經有過介紹，因此如果還沒有安裝，請立刻通過Windows Update安裝。另外，我們還需要一個Windows Live ID，用于識別自己的身份。如果已經有了MSN／Hotmail郵箱，那么就可以直接使用這個郵箱的完整地址和密碼作為自己的WindowsLive ID使用。

在安裝了BitLocker和EFS增強軟件，并申請了自己的Windows Live ID后，我們可以開始備份和還原自己的密鑰了。備份的過程如下：

打開“控制面板”，依次進入“安全”｜“密鑰安全聯機備份”，隨后可以看到保存恢復密碼的界面。

如果希望聯機備份BitLocker的恢復密碼，請單擊“保存BitLocker恢復密碼”按鈕；如果希望備份EFS恢復證書，請單擊“保存EFS恢復證書”按鈕。單擊對應的按鈕后可以看到登錄界面，首先在“描述”文本框中輸入對該內容的描述(例如“臺式機的BitLocker密鑰備份”)，然后在登錄文本框中輸入自己的Windows Live ID名稱和密碼，并單擊“提交”按鈕。

經過上述操作，BitLocker的恢復密碼就會備份到微軟的服務器上。通常情況下，我們可以隨時使用自己的Windows Live ID登錄，并找回這些東西。而且這個找回操作可以在任意一臺可以連接到互聯網的計算機上進行。

如果需要找回自己的密鑰，可以在任何一臺計算機上啟動Internet Explorer瀏覽器，在地址欄輸入“https：//www.windowsmarketplace.com”，并按下回車鍵。

在隨后出現的頁面的右上角單擊“Sign In”按鈕，并使用備份密鑰時使用的Windows Live ID登錄，隨后可以返回之前打開的主頁面。在主頁面上單擊頁面頂部中央的“Your Digital Locker”鏈接，可以看到下載恢復密鑰的界面。

在了解了上，述兩種混合模式后，可能會有人問，既然在使用混合模式的時候一樣需要提供U盤，或者輸入PIN碼，那么到底TPM芯片還有沒有存在的必要呢?當然有，在有TPM芯片參與的情況下，BitLocker加密功能不僅可以有效保護系統分區不被未經授權的訪問或者脫機攻擊，而且可以保證系統盤重要文件的“合法性”。

在有TPM芯片參與的BitLocker加密模式下，在加密系統盤的同時，加密程序會把主引導記錄(MBR)、NTFS卷的引導扇區、NTFS引導代碼、還有BitLocker密鑰等啟動部件(要知道，這些重要的啟動部件并非全部保存在被加密的Windows安裝分區中，還有一部分是被保存在未加密的“系統盤”中的)做一個“快照”保存在TPM芯片里。每次系統啟動時，解密程序會自動將這些文件的內容與TPM芯片里保存的快照進行比較，只有發現這些啟動部件沒有發生變化的情況下，才會繼續解密過程。也就是說，有TPM芯片參與的BitLocker加密可以接管系統的引導過程，保證引導文件的完整性，并保證在操作系統完全啟動好之前不被攻擊。一旦發現這些重要引導文件的內容和TPM芯片中保存的“快照”信息不相符(可能是硬件損壞或者被病毒感染導致，也有可能是用戶自己的操作導致，例如安裝多系統，或者更新BIOS)，那么就會提示用戶，系統文件可能已經經過了篡改，而單純的U盤模式BitLocker無法實現這項功能。