编辑“︁BitLocker”︁（章节）

==  运行 ==
BitLocker是[[卷 (计算)|逻辑卷]]加密系统。一个卷的范围可以是[[硬盘驱动器]]的一部分、整个驱动器或多个驱动器。启用后，[[可信平台模块|TPM]]和BitLocker可以确保可信引导路径（如BIOS和引导扇区）的完整性，阻止大多数离线物理攻击和引导扇区恶意软件<ref name=":2">{{cite web|url=https://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx|title=BitLocker Drive Encryption in Windows 7: Frequently Asked Questions|date=2012-03-22|last=|first=|work=[[TechNet]]|publisher=Microsoft|accessdate=2017-07-02|archive-date=2017-09-21|archive-url=https://web.archive.org/web/20170921181314/https://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx|dead-url=no}}</ref>。

为使BitLocker加密保存操作系统卷，至少需要两个[[NTFS]]格式的卷：一个用于操作系统（通常为C盘），另一个大小至少为100 MB，用于操作系统[[啟動程式|引导]]<ref name=":2" />。BitLocker需要后者保持未加密状态<ref>{{cite web|url=https://technet.microsoft.com/en-us/library/cc766295%28WS.10%29.aspx#BKMK_S1|title=Windows BitLocker Drive Encryption Step-by-Step Guide|accessdate=2017-07-02|archive-date=2017-07-03|archive-url=https://web.archive.org/web/20170703054047/https://technet.microsoft.com/en-us/library/cc766295(WS.10).aspx#BKMK_S1|dead-url=no}}</ref>——在Windows Vista上，此卷必须分配一个驱动器号，而在Windows 7上则不需要<ref name=":2" />。与以前的Windows版本不同，Vista的“diskpart”命令行工具可以缩小NTFS卷的大小，以便从已分配的空间创建此卷。微软还有一个名为BitLocker驱动器准备工具的软件，可将Windows Vista上的现有卷缩小，为新的引导卷腾出空间，并将必要的引导文件传输到卷中<ref>{{cite web|url=http://support.microsoft.com/kb/930063|title=Description of the BitLocker Drive Preparation Tool|date=2007-09-07|last=|first=|publisher=Microsoft|archiveurl=https://web.archive.org/web/20080219172251/http://support.microsoft.com/kb/930063|archivedate=2008-02-19|website=|dead-url=no|accessdate=2017-07-02}}</ref>。

创建备用启动分区后需要初始化[[可信平台模块|TPM]]模块（假设正在使用此功能），之后配置所需的磁盘加密密钥保护机制，如[[可信平台模块|TPM]]、PIN或USB密钥<ref name=":3">{{Cite book|url=https://www.worldcat.org/oclc/851209981|title=Exam Ref 70-687: Configuring Windows 8|last=Andrew|first=Bettany|date=|publisher=Microsoft Press|year=2013|isbn=978-0-7356-7392-2|location=|pages=307|oclc=851209981|quote=|via=|access-date=2017-07-02|archive-date=2019-09-24|archive-url=https://web.archive.org/web/20190924171027/https://www.worldcat.org/title/exam-ref-70-687-configuring-windows-8/oclc/851209981|dead-url=no}}</ref>。对卷的加密会在后台完成，这在大型磁盘上可能需要大量时间，因为每个逻辑扇区都要被读取、加密并重写回磁盘<ref name=":3" />。这些密钥只有在整个卷被加密后才会被保护，这时此卷被认为是安全的<ref>{{Cite book|url=https://www.worldcat.org/oclc/819519777|title=Introducing Windows 8: An overview for IT professionals|last=Jerry|first=Honeycutt|date=|publisher=Microsoft|year=2012|isbn=978-0-7356-7050-1|location=|pages=121|oclc=819519777|quote=|via=|access-date=2017-07-02|archive-date=2019-09-24|archive-url=https://web.archive.org/web/20190924171110/https://www.worldcat.org/title/introducing-windows-8-an-overview-for-it-professionals/oclc/819519777|dead-url=no}}</ref>。 BitLocker使用低级设备驱动程序对所有文件操作进行加密和解密，这对于在平台上与加密卷进行交互操作的应用程序是透明的<ref name=":3" />。

[[加密文件系统]]（EFS）可以与BitLocker结合使用，在操作系统运行时提供保护。要控制操作系统中的进程和用户对文件的访问，使用者只能使用运行于Windows层面的加密软件（如EFS）。因此，BitLocker和EFS提供了针对不同类别攻击的保护。<ref>{{cite web|url=http://www.techrepublic.com/article/prevent-data-theft-with-windows-vistas-encrypted-file-system-efs-and-bitlocker|title=Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker|date=2007-06-08|last=Ou|first=George|work=[[TechRepublic]]|publisher=[[CBS互動|CBS Interactive]]|accessdate=2017-07-02|archive-date=2017-07-06|archive-url=https://web.archive.org/web/20170706084656/http://www.techrepublic.com/article/prevent-data-theft-with-windows-vistas-encrypted-file-system-efs-and-bitlocker/|dead-url=no}}</ref>

在活动目录环境中，BitLocker支持可选密钥托管到活动目录。如果活动目录服务托管在Windows Server 2008之前的Windows版本上，则可能需要先进行架构更新<ref>{{Cite web|url=https://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx|title=Backing Up BitLocker and TPM Recovery Information to AD DS|accessdate=2016-07-01|author=|date=|publisher=Microsoft|archive-date=2016-08-09|archive-url=https://web.archive.org/web/20160809095124/https://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx|dead-url=no}}</ref>。

BitLocker和其他全磁盘加密系统可能被[[Rootkit|恶意启动管理器]]攻击。一旦恶意引导程序获取解密用信息，它就可以解密卷主密钥（Volume Master Key，VMK），然后解密或修改加密硬盘上的任何信息。通过配置[[可信平台模块|TPM]]来保护受信任的启动路径，包括[[BIOS]]和[[引导扇区]]，BitLocker可以减轻此威胁。 （注意，引导路径的一些非恶意更改可能会导致[[可信平台模块|平台配置寄存器]]检查失败，从而生成错误的警告。）<ref name=":2" />