Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM（受信任的平台模块）帮助保护Windows 操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM，则必须通过使用组策略更改BitLocker安装向导的默认行为，或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时，所需加密密钥存储在USB闪存驱动器中，必须提供该驱动器才能解锁存储在卷上的数据。

BitLocker驱动器加密它是在Windows Vista中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。随同Windows Server 2008一同发布的有BitLocker实用程序，该程序能够通过加密逻辑驱动器来保护重要数据，还提供了系统启动完整性检查功能。

受信任的平台模块(TPM)是一个内置在计算机中的微芯片。它用于存储加密信息，如加密密钥。存储在TPM上的信息会更安全，避免受到外部软件攻击和物理盗窃。BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。BitLocker可加密存储于Windows操作系统卷上的所有数据，默认情况下，使用TPM以确保早期启动组件的完整性（组件用于启动进程的更早时期），以及“锁定”任何BitLocker保护卷，使之即便在计算机受到篡改时也能得到保护。

但是BitLocker有一项不足，即打开加密盘后，再次进入就不需要密码了。那么如何才能使每次访问加密盘都要密码呢？这恐怕是微软后续改进的问题了，但是目前，我们可以在开始任务栏里输入“cmd”，然后以管理员身份运行，输入 manage-bde（空格）-lock（空格）X：，x为加密磁盘盘符。这样就可以再次锁住加密盘了。

通过加密整个Windows操作系统卷保护数据。

如果计算机安装了兼容TPM，BitLocker将使用TPM锁定保护数据的加密密钥。因此，在TPM已验证计算机的状态之后，才能访问这些密钥。加密整个卷可以保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。

在启动过程中，TPM将释放密钥，该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证Windows启动过程的完整性。如果TPM检测到Windows安装已被篡改，则不会释放密钥。

默认情况下，BitLocker安装向导配置为与TPM无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。

为了增强安全性，可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动密钥组合使用。

在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。在这种情况下，用户需要创建一个存储在USB闪存驱动器上的启动密钥。

TPM是一个微芯片，设计用于提供基本安全性相关功能，主要涉及加密密钥。TPM通常安装在台式计算机或者便携式计算机的主板上，通过硬件总线与系统其余部分通信。

合并了TPM的计算机能够创建加密密钥并对其进行加密，以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”密钥，可以帮助避免密钥泄露。每个TPM有一个主覆盖密钥，称为“存储根密钥(SRK)”，它存储在TPM的内部。在TPM中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。

合并了TPM的计算机还可以创建一个密钥，该密钥不仅被覆盖，而且还被连接到特定硬件或软件条件。这称为“密封”密钥。首次创建密封密钥时，TPM将记录配置值和文件哈希的快照。仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。BitLocker使用密封密钥检测对Windows操作系统完整性的攻击。

使用TPM，密钥的隐私部分在操作系统控制的内存之外单独保存。因为TPM使用自身的内部固件和逻辑电路来处理指令，所以它不依赖于操作系统，也不会受外部软件漏洞的影响。

首先需要强调的是，并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista(or Windows 7)用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致的数据失窃或泄露构成的威胁。

BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中：

通过加密整个 Windows 卷，驱动器加密能够有效地防止未经授权的用户破坏Windows Vista(or Windows 7)文件以及完成系统对已丢失或被盗计算机的防护。利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。

对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。

BitLocker 紧密集成于 Windows Vista(or Windows 7) 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。

基本的BitLocker安装和部署不需要外来的和特殊的硬件或者软件。该服务器必须满足支持Windows Server 2012的最小要求，但仍会发生一些硬件小问题。

首先，考虑服务器具有可信任平台模块（TPM）1.2或2.0版本。TPM不需要安装和使用BitLocker，但是需要能够保证系统启动时的完整性，并将BitLocker本地磁盘绑定到专门的物理服务器。这可以防止其他系统安装加密磁盘。

接着，评估服务器的BIOS特征。具有TPM的系统需要兼容性良好的固件。如果BIOS为TPM服务，其必须支持统一的可扩展固定接口（UEFI）标准。BIOS必须从硬盘首次启动，而不是从外部驱动器，比如USB或光盘。还有，BIOS在启动期间应该读取USB闪存盘，以防需要紧急加密恢复丢失或毁坏的证书。

最后，一个加密的驱动器必须提供两部分：一部分是操作系统的FAT32或NTFS分区；另一部分是另外的350MB的NTFS分区（或者更大）——安装BitLocker的系统驱动器大小。硬件加密驱动器受支持，安装时必须关闭车载安全特性。单独的分区在启动期间需要执行系统完整性检查。系统驱动器通常包含其他的数据，比如恢复信息和其他工具。

因为XP系统没有集成BitLocker，所以是通过内置在加密磁盘中的BitLocker To Go 程序来浏览文件而不是Windows的资源管理器。经BitLocker加密的U盘在xp系统中只能读不能写，且仅能访问FAT格式或ExFat格式的文件系统，暂时无法访问NTFS格式文件系统。NTFS格式磁盘在XP下获取盘符后，双击磁盘图标，只会提示是否格式化。

BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，还可以同时启用这两种模式。

要使用TPM模式，要求计算机中必须具备不低于1.2版TPM芯片，这种芯片是通过硬件提供的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。

要想知道电脑是否有TPM芯片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。

如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备（能够流畅运行Windows Vista(or Windows 7)的计算机基本上都应该具备这样的功能），并且需要有一个专用的U盘（U盘只是用于保存密钥文件，容量不用太大，但是质量一定要好）。使用U盘模式后，用于解密系统盘的密钥文件会被保存在U盘上，每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

受信任的平台模块是实现TPM模式BitLocker的前提条件。

在安装SP1之后的Vista企业版和旗舰版中，可以使用三种模式的BitLocker：

●纯TPM模式，要求系统中具有TPM芯片，这样用于解密的密钥以及用于验证引导文件完整性的相关文件都会保存在TPM芯片中。

●纯U盘模式，要求系统符合上文中提到的和USB设备有关的条件，这样用于解密的密钥会被保存在U盘中。

●混合模式，可以使用TPM+U盘，TPM+PIN，以及TPM+U盘+PIN的形式进一步增强系统安全。

将准备好的U盘连接到计算机，等程序界面上显示了这个U盘后，单击将其选中，然后单击“保存”按钮，这样用于解密被BitLocker加密的分区所需的密钥就会被保存在所选的U盘上。

随后可以看到保存恢复密码的界面，在这里我们需要决定恢复密码的处理方式。需要注意，在平时的使用过程中，并不需要提供恢复密码，我们只要提供之前一步操作中指定的U盘即可，而恢复密码是在U盘不可用（例如，丢失或者损坏）时使用的，因此建议将其妥善处理。例如，如果本机安装了打印机，可以将恢复密码打印在纸上，并将这张纸保存在安全的地方。同时因为非常重要，建议同时保留恢复密码的多个副本，例如多次打印，然后将打印的密码分别保存在不同的安全位置，或者保存在另外的U盘上（最好不要将恢复密码和启动密码保存在同一个U盘上）。

保管好恢复密码后单击“下一步”按钮，随后程序会对我们的操作进行一个概述。同时为了进一步确认本机可以正常使用BitLocker功能，请保持选中“运行BitLocker系统检查”选项，这样程序会在进行加密之前先对系统中的各项设置进行检查。如果确认无误，请单击“继续”按钮（注意：在整个过程中，最先使用的U盘一定不能拔下来，如果需要将恢复密码保存在其他U盘上，请将第二块U盘连接到计算机的其他USB接口上）。

接下来需要重新启动系统，准备好之后单击“现在重启动”按钮。重启动完成，并成功登录后，桌面右下角会显示一个气泡图标，提示我们系统正在进行加密，单击这个气泡图标后可以看到显示加密进度的对话框。在这里我们可以暂停加密操作，并在稍后继续进行，但是无法停止或者撤销加密操作。

加密操作需要一定的时间，主要取决于系统盘的大小以及计算机的硬件速度。不过好在这个操作只需要进行一次。而且在日后的使用过程中，系统的运行速度并不会有太大的降低，因此可以放心使用。加密完成后单击“完成”按钮即可。经过上述操作，BitLocker功能已经被成功启用。但是还有几点问题需要注意：

●应用BitLocker加密后，当Windows Vista启动后，我们查看系统文件时将不会看到文件带有任何与“加密”有关的属性，这属于正常现象，因为BitLocker的加密是在系统底层，从文件系统上实现的，而在用户看来，启动了的系统里的系统文件并没有被加密。但如果换个角度来看，例如一台计算机上安装了两个系统，或者将装有系统的硬盘拆掉，连接到其他计算机上，在试图访问应用了BitLocker的系统所在的分区时，我们会收到拒绝访问的信息，而且拒绝的原因是目标分区没有被格式化。这都属于正常现象，而且也证明了BitLocker正在保护我们操作系统的安全（设想一下，连访问分区都无法实现，又如何进行脱机攻击？）。

●另外，保存了启动密钥的U盘，直接在Windows资源管理器下查看的时候，完全看不到其中保存的密钥文件。这也是为了安全。同时建议这个U盘只用于保存BitLocker的启动密钥，而不要用作其他用途。这主要是为了尽量避免U盘因为各种原因，例如病毒感染或者频繁写入损坏而造成系统无法访问。而且需要注意，密钥盘只是在启动系统的时候需要，只要系统启动完成，我们就可以将其拔出，并妥善保管起来。操作系统的正常运行过程中并不需要我们反复提供密钥盘。

●最后一点，在加密过程中，系统盘的可用磁盘空间将会急剧减少。这属于正常情况，因为这个过程中会产生大量临时文件。加密完成后这些文件会被自动删除，同时可用空间数量会恢复正常。在解密被加密的系统盘时也会遇到类似的情况。

在应用了U盘模式的BitLocker后，每次启动系统前都必须将保存了启动密钥的U盘连接到计算机，否则系统会提示需要BitLocker驱动器加密密钥。这就要求我们必须将保存了启动密钥的U盘连接到计算机后重启动，才能完成Windows的启动和加载过程。如果因为某些原因，例如保存了启动密钥的U盘损坏或者丢失，只要还保留有启用BitLocker时创建的恢复密码，那么可以在这个界面上按下回车键进行恢复。

但是，对于bitlocker分区后，数据丢失，可以选择赤兔Bitlocker分区恢复软件，此软件能够恢复误操作、重装系统等原因造成的Bitlocker加密分区丢失、Bitlocker加密分区无法打开的数据恢复。

驱动器加密，选择你被加密的盘符，点旁边的“解除BitLocker”，就行了。

保护Windows To Go驱动器

如果Windows To Go设备丢失或被盗，敏感数据和网络资源可能处于危险之中。幸运的是，可以通过BitLocker保护Windows To Go驱动器。BitLocker是Windows 7和Windows 8内置的全盘加密功能。BitLocker使用进阶加密标准算法保护128位或256位加密卷。

通常情况下，BitLocker依赖可信平台模块标准认证来引导路径和保护加密密钥。因为这种方法是不支持Windows To Go驱动器，BitLocker使用用户定义的密码来加密和解密磁盘。用户必须提供驱动器的解锁密码并引导到Windows To Go工作区。只要密码本身是安全的，未经授权的用户通常不能访问受保护的数据或安全的网络资源。

如果计划部署Windows To Go驱动器，提供这些支持的设备应该启用BitLocker。但是这并不总是可行的。举个例子，如果提供多个驱动器，可能想使用USB驱动器复印器来简化这个过程，不幸的是，BitLocker驱动器不能进行复制。这意味着你必须首先提供驱动器，然后为其配置Windows 8特性。

如果正在使用许多驱动器——使用复印器时可能出现的情况，可能想要通过BitLocker将数据给你的用户。这个过程本身是很容易的。桌面版本为Windows 8和Windows 8.1的用户可以简单地遵循BitLocker安装向导中的步骤。

更关键的是确保用户真正实现了BitLocker。因为没有办法确认Windows To Go是否已经被保护，只有你可以确保你的用户妥善保护了自己的密码。

1、保存好恢复文件

根据提示，一步一步进行加密设置，一般来说选择使用密码加密即可，但是特别需要注重的是需要把恢复密码保存到非加密的分区文件中，而且不能保存在根目录下。而且一定要记住保存位置，牢记密码。

2、加密后的U盘怎样才能在XP下使用

U盘只要是FAT32格式就能在xp系统中使用，如果不是FAT32格式在xp系统中只会提示你U盘没有格式化而如果你格式化了将丢失所有数据。

3、加密速度偏慢

该软件的加密速度并不快，根据文件的大小不同加密的时间不同，一般来说4G的文件加密速度需要10几分钟。

4、BitLocker加密功能的开启

正常下的windows7系统（or windows10），右击盘符就可启用BitLocker，如果右键菜单中没有的话，可能是关闭这个服务了，需要我们去开启。方法是开启系统服务中的“ShellHWDetection”和“BDESVC”服务就可以了。