Windows 中的 BitLocker 设备加密概述

本文介绍 BitLocker 设备加密如何帮助保护运行 Windows 的设备上的数据。 有关一般概述和文章列表，请参阅 BitLocker 。

当用户旅行时，其组织的机密数据会随之而来。 无论在何处存储机密数据，都必须对其进行保护，防止未经授权的访问。 从 Windows 2000 操作系统中的加密文件系统开始，Windows 在提供可防范恶意攻击者的静态数据保护解决方案方面有着悠久的历史。 最近，BitLocker 为完整驱动器和便携式驱动器提供了加密。 Windows 通过改进现有选项和提供新策略来持续改善数据保护。

下表列出了特定的数据保护问题，以及如何在 Windows 11、Windows 10 和 Windows 7 中解决这些问题。

网络解锁允许电脑在连接到内部网络时自动启动。

最佳安全措施类型在实施和使用过程中对用户透明。 每当由于安全功能而出现可能的延迟或困难时，用户极有可能尝试绕过安全性。 这种情况尤其适用于数据保护，这是组织需要避免的情况。 无论是计划加密整个卷、可移动设备还是单个文件，Windows 11和Windows 10提供简化的可用解决方案来满足这些需求。 事实上，可以提前采取几个步骤来准备数据加密，并使部署快速顺利。

在 Windows 7 中，准备 TPM 带来了一些挑战：

这使得在 Windows 7 中准备 TPM 出现问题。 如果 IT 人员正在预配新电脑，他们可以处理准备 TPM 所需的步骤。 但是，如果需要在用户手中的设备上启用 BitLocker，这些用户可能会面临技术难题。 然后，用户会调用 IT 部门以获取支持，或将 BitLocker 保留为禁用状态。

Microsoft 在 Windows 11 和 Windows 10 中包含检测功能，使操作系统能够完全管理 TPM。 无需进入 BIOS，并且所有需要重启的方案都已消除。

BitLocker 能够加密整个硬盘驱动器，包括系统和数据驱动器。 BitLocker 预预配可以大大减少预配启用了 BitLocker 的新电脑所需的时间。 借助Windows 11和Windows 10，管理员可以在安装 Windows 之前从 Windows 预安装环境中打开 BitLocker 和 TPM，或者将其作为自动部署任务序列的一部分，而无需进行任何用户交互。 结合仅使用磁盘空间加密和大部分为空的驱动器 (，因为尚未安装 Windows) ，只需几秒钟即可启用 BitLocker。

对于早期版本的 Windows，管理员在安装 Windows 后必须启用 BitLocker。 尽管此过程可以自动执行，但 BitLocker 需要加密整个驱动器，此过程可能需要数小时到一天以上的时间，具体取决于驱动器大小和性能，这会延迟部署。 Microsoft 通过Windows 11和Windows 10中的多项功能改进了此过程。

从 Windows 8.1 开始，Windows 会在支持新式待机的设备上自动启用 BitLocker 设备加密。 借助Windows 11和Windows 10，Microsoft 在更广泛的设备上提供 BitLocker 设备加密支持，包括新式待机的设备，以及运行家庭版Windows 10或Windows 11的设备。

Microsoft 预计将来大多数设备都将满足 BitLocker 设备加密的要求，这将使 BitLocker 设备加密在现代 Windows 设备中普及。 BitLocker 设备加密通过透明地实现设备范围的数据加密来进一步保护系统。

与标准 BitLocker 实现不同，BitLocker 设备加密会自动启用，以便设备始终受到保护。 以下列表概述了如何自动启用 BitLocker 设备加密：

完成Windows 11或Windows 10的全新安装并完成现成体验后，计算机已准备好首次使用。 在此准备过程中，BitLocker 设备加密在操作系统驱动器和计算机上的固定数据驱动器上初始化，其明文密钥等效于标准 BitLocker 挂起状态。 在此状态下，驱动器在 Windows 资源管理器中显示警告图标。 创建 TPM 保护程序并备份恢复密钥后，将删除黄色警告图标，如以下要点中所述。

如果设备未加入域，则需要已授予设备管理权限的 Microsoft 帐户。 当管理员使用 Microsoft 帐户登录时，清除密钥将被删除，将恢复密钥上传到联机 Microsoft 帐户，并创建 TPM 保护程序。 如果设备需要恢复密钥，将引导用户使用备用设备，并导航到恢复密钥访问 URL，以使用其 Microsoft 帐户凭据检索恢复密钥。

如果用户使用域帐户登录，则在用户将设备加入域并且恢复密钥成功备份到Active Directory 域服务 (AD DS) 之前，不会删除明文密钥。 必须启用以下组策略设置才能将恢复密钥备份到 AD DS：

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器>在将恢复信息存储在操作系统驱动器的 AD DS 中之前，请勿启用 BitLocker

使用此配置时，会在计算机加入域时自动创建恢复密码，然后将恢复密钥备份到 AD DS，创建 TPM 保护程序，并删除清除密钥。

与使用域帐户登录类似，当用户登录到设备上的 Azure AD 帐户时，清除密钥会被删除。 如上面的项目符号中所述，当用户向 Azure AD 进行身份验证时，会自动创建恢复密码。 然后，恢复密钥将备份到 Azure AD，创建 TPM 保护程序，并删除清除密钥。

Microsoft 建议在任何支持 BitLocker 设备加密的系统上自动启用 BitLocker 设备加密。 但是，可以通过更改以下注册表设置来阻止自动 BitLocker 设备加密过程：

管理员可以管理通过 Microsoft BitLocker 管理和监视启用 BitLocker 设备加密的已加入域的设备， (MBAM) 。 在这种情况下，BitLocker 设备加密会自动提供其他 BitLocker 选项。 无需转换或加密，并且如果需要进行任何配置更改，MBAM 可以管理完整的 BitLocker 策略集。

注意

BitLocker 设备加密使用 XTS-AES 128 位加密方法。 如果需要其他加密方法和/或密码强度，但设备已加密，必须先对其进行解密，然后才能应用新的加密方法和/或密码强度。 解密设备后，可以应用不同的 BitLocker 设置。

早期 Windows 版本中的 BitLocker 可能需要很长时间来加密驱动器，因为它加密了卷上的每个字节，包括没有数据的区域。 加密卷上的每个字节（包括没有数据的区域）称为完整磁盘加密。 完整磁盘加密仍然是加密驱动器的最安全方法，尤其是在驱动器以前包含已移动或删除的机密数据的情况下。 如果驱动器以前具有已移动或删除的机密数据，则机密数据的跟踪可能会保留在标记为未使用的驱动器部分。

为了减少加密时间，Windows 11 和 Windows 10 中的 BitLocker 允许用户选择仅加密包含数据的磁盘区域。 磁盘中不包含数据且为空的区域不会加密。 任何新数据在创建时都进行加密。 根据驱动器上的数据量，此选项可将初始加密时间减少 99% 以上。

仅加密机密数据可能已以未加密状态存储的现有卷上的已用空间时，请谨慎操作。 使用使用的空间加密时，可以通过磁盘恢复工具恢复以前未加密数据存储的扇区，直到它们被新的加密数据覆盖。 相比之下，仅加密全新卷上的已用空间可以显著缩短部署时间，而不会带来安全风险，因为所有新数据在写入磁盘时都会加密。

SED 已推出多年，但 Microsoft 不支持将其用于某些早期版本的 Windows，因为驱动器缺少重要的密钥管理功能。 Microsoft 与存储供应商合作改进硬件功能，现在 BitLocker 支持下一代 SED，称为加密硬盘驱动器。

加密硬盘驱动器提供载入加密功能来加密驱动器上的数据。 此功能通过将加密计算从电脑处理器卸载到驱动器本身来提高驱动器和系统性能。 驱动器使用专用的专用硬件快速加密数据。 如果计划对Windows 11或Windows 10使用全驱动器加密，Microsoft 建议研究硬盘驱动器制造商和模型，以确定其任何加密硬盘驱动器是否满足安全性和预算要求。

有关加密硬盘驱动器的详细信息，请参阅 加密硬盘驱动器。

与大多数安全控制一样，信息保护的有效实现考虑可用性和安全性。 用户通常更喜欢简单的安全体验。 事实上，安全解决方案越透明，用户就越有可能遵守它。

无论计算机状态或用户的意图如何，组织都保护其电脑上的信息至关重要。 这种保护对用户不应该很麻烦。 一种不合时宜且以前常见的情况是在预启动期间提示用户输入，然后在 Windows 登录期间再次提示用户输入。 应避免多次对用户进行输入挑战。

Windows 11和Windows 10可以在新式设备上的预启动环境中启用真正的 SSO 体验，在某些情况下，甚至可以在旧设备上启用可靠的信息保护配置。 隔离的 TPM 能够在 BitLocker 加密密钥处于静态状态时安全地保护它，并且可以安全地解锁操作系统驱动器。 当密钥处于使用状态并因此在内存中时，硬件和 Windows 功能的组合可以保护密钥，并防止通过冷启动攻击进行未经授权的访问。 虽然其他对策（如基于 PIN 的解锁）可用，但它们并不像用户友好：在密钥保护方面，根据设备的配置，它们可能不会提供额外的安全性。 有关详细信息，请参阅 BitLocker 对策。

在系统驱动器上启用 BitLocker 并且电脑具有 TPM 时，用户可能需要键入 PIN，然后 BitLocker 才会解锁驱动器。 此类 PIN 要求可以防止对电脑具有物理访问权限的攻击者甚至无法登录 Windows，这使得攻击者几乎无法访问或修改用户数据和系统文件。

启动时需要 PIN 是一项有用的安全功能，因为它充当第二个身份验证因素。 但是，此配置需要一些费用。 最重要的成本之一是需要定期更改 PIN。 在将 BitLocker 与 Windows 7 和 Windows Vista 操作系统配合使用的企业中，用户必须联系系统管理员以更新其 BitLocker PIN 或密码。 此要求不仅增加了管理成本，而且使用户不太愿意定期更改其 BitLocker PIN 或密码。

Windows 11和Windows 10用户无需管理员凭据即可自行更新其 BitLocker PIN 和密码。 此功能不仅可以降低支持成本，而且还可以提高安全性，因为它鼓励用户更频繁地更改其 PIN 和密码。 此外，新式待机设备不需要 PIN 即可启动：它们设计为不经常启动，并具有其他缓解措施，可进一步减少系统的攻击面。

有关启动安全性的工作原理以及Windows 11和Windows 10提供的对策的详细信息，请参阅保护 BitLocker 免受预启动攻击。

某些组织具有特定于位置的数据安全要求。 在电脑上存储高价值数据的环境中，位置特定的数据安全要求最为常见。 网络环境可以提供关键数据保护并强制实施强制身份验证。 因此，策略指出，这些电脑不应离开大楼或与公司网络断开连接。 物理安全锁和地理围栏等安全措施可能有助于将此策略作为反应性控制强制实施。 除了这些安全措施之外，还需要主动安全控制，仅在电脑连接到公司网络时才授予数据访问权限。

网络解锁允许受 BitLocker 保护的电脑在连接到运行 Windows 部署服务的有线公司网络时自动启动。 每当电脑未连接到公司网络时，用户都必须键入 PIN 才能解锁驱动器， (如果) 启用了基于 PIN 的解锁。 网络解锁需要以下基础结构：

具有统一可扩展固件接口 (UEFI 的客户端电脑) 固件版本 2.3.1 或更高版本，它支持动态主机配置协议 (DHCP)

运行至少具有 Windows 部署服务Windows Server 2012的服务器 (WDS) 角色

安装了 DHCP 服务器角色的服务器

有关如何配置网络解锁功能的详细信息，请参阅 BitLocker：如何启用网络解锁。

Microsoft 桌面优化包的一部分，Microsoft BitLocker 管理和监视 (MBAM) 使管理和支持 BitLocker 和 BitLocker To Go 更加容易。 具有最新版本 Service Pack 1 的 MBAM 2.5 具有以下主要功能：

使管理员能够自动执行在整个企业中的客户端计算机上加密卷的过程。

使安全人员能够快速确定单个计算机甚至企业本身的符合性状态。

使用 Microsoft Configuration Manager 提供集中式报告和硬件管理。

减少技术支持的工作负荷，以协助最终用户处理 BitLocker 恢复请求。

使最终用户能够使用 Self-Service 门户独立恢复加密设备。

使安全人员能够轻松审核对恢复密钥信息的访问权限。

使 Windows 企业版用户能够在任何地方继续工作，确保其公司数据受到保护。

强制执行为企业设置的 BitLocker 加密策略选项。

与 Microsoft Configuration Manager 等现有管理工具集成。

提供 IT 可自定义的恢复用户体验。

支持Windows 11和Windows 10。

重要提示

在 2019 年 7 月结束主流支持之前，企业可以使用 MBAM 管理已加入本地域的 BitLocker 客户端计算机，或者可能会获得延长支持，直至 2026 年 4 月。

今后，MBAM 的功能将纳入Configuration Manager。 有关详细信息，请参阅 规划 BitLocker 管理。

不使用Configuration Manager的企业可以使用 Azure AD 和Microsoft Intune的内置功能进行管理和监视。 有关详细信息，请参阅使用 Intune 监视设备加密。