透過加密整個Windows作業系統卷保護資料。
如果計算機安裝了相容TPM,BitLocker將使用TPM鎖定保護資料的加密金鑰。因此,在TPM已驗證計算機的狀態之後,才能訪問這些金鑰。加密整個卷可以保護所有資料,包括作業系統本身、Windows登錄檔、臨時檔案以及休眠檔案。因為解密資料所需的金鑰保持由TPM鎖定,因此攻擊者無法透過只是取出硬碟並將其安裝在另一臺計算機上來讀取資料。
在啟動過程中,TPM將釋放金鑰,該金鑰僅在將重要作業系統配置值的一個雜湊值與一個先前所拍攝的快照進行比較之後解鎖加密分割槽。這將驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改,則不會釋放金鑰。
預設情況下,BitLocker安裝嚮導配置為與TPM無縫使用。管理員可以使用組策略或指令碼啟用其他功能和選項。
為了增強安全性,可以將TPM與使用者輸入的PIN或儲存在USB快閃記憶體驅動器上的啟動金鑰組合使用。
在不帶有相容TPM的計算機上,BitLocker可以提供加密,而不提供使用TPM鎖定金鑰的其他安全。在這種情況下,使用者需要建立一個儲存在USB快閃記憶體驅動器上的啟動金鑰。
透過加密整個Windows作業系統卷保護資料。
如果計算機安裝了相容TPM,BitLocker將使用TPM鎖定保護資料的加密金鑰。因此,在TPM已驗證計算機的狀態之後,才能訪問這些金鑰。加密整個卷可以保護所有資料,包括作業系統本身、Windows登錄檔、臨時檔案以及休眠檔案。因為解密資料所需的金鑰保持由TPM鎖定,因此攻擊者無法透過只是取出硬碟並將其安裝在另一臺計算機上來讀取資料。
在啟動過程中,TPM將釋放金鑰,該金鑰僅在將重要作業系統配置值的一個雜湊值與一個先前所拍攝的快照進行比較之後解鎖加密分割槽。這將驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改,則不會釋放金鑰。
預設情況下,BitLocker安裝嚮導配置為與TPM無縫使用。管理員可以使用組策略或指令碼啟用其他功能和選項。
為了增強安全性,可以將TPM與使用者輸入的PIN或儲存在USB快閃記憶體驅動器上的啟動金鑰組合使用。
在不帶有相容TPM的計算機上,BitLocker可以提供加密,而不提供使用TPM鎖定金鑰的其他安全。在這種情況下,使用者需要建立一個儲存在USB快閃記憶體驅動器上的啟動金鑰。