前言
Bitlocker驱动器加密可以将磁盘加密,确保数据的安全。如果被加密保护的磁盘是Windows Server 2012操作系统磁盘,即使他被拿到另外一台计算机启动,除非已解锁,否则无法启动
加密解密操作会增加系统负担,因此系统效率会比启用bitlocker前差。
Bitlocker硬件需求
Windows Server 2012计算机至少需要2个磁盘分区才可以使用Bitlocker
- 一个用来安装操作系统的NTFS磁盘分区,可以选择是否将此磁盘加密
- 一个用来启动计算机的磁盘分区,他必须被设置为活动,而且他不可以被加密。如果计算机配备的是传统bios,则此磁盘分区必须是NTFS,如Uefi,则分区必须为Fat32
当新装一台Windows Server 2012操作系统时,默认会创建两个磁盘分区。
Bitlocker实例演示
下面将操作系统磁盘加密,并使用密码解锁的方式
默认UEFI系统
安装Bitlocker加密
允许在无TPM环境下使用Bitlocker
TPM可信任平台模组,一个芯片,默认Bitlocker会见密钥存在里面。操作系统默认只支持TPM方式的Bitlocker。如果要支持其他方式,需要修改组策略。
计算机配置-管理模板-windows组件-Bitlocker驱动器加密-操作系统驱动器-双击启动时需要附加身份验证
启用Bitlocker驱动器加密
控制面板-系统和安全-Bitlocer驱动器加密-启用Bitlocker
这时我们打开是找不到Bitlocker选项的,需要如下图加入一块新的Fat32磁盘
点击启用Bitlocker
输入密码
保存到文件
注:不可以保存到Windows Server 2012操作系统磁盘内,不可以保存到固定数据盘根目录。
重启计算机
在bios界面已经需要输入密码来启动计算机
重启后我们可以通过任务栏图标得知加密进度,花费时间较长
挂起与关闭Bitlocker
如果需要更新计算机的bios,硬件或操作系统,请先挂起Bitlocker,以免因为启动环境的变化而影响到Windows Server 2012的启动。挂起后,下次重启计算机时就不需要输入密码。不过,计算机启动完成后,Bitlocker会自动重新启用。
单击挂起保护,选择是。
挂起后,可以随时重启Bitlocker,此时由于磁盘仍然处于保持加密状态,因此重新启用时,不需要漫长的加密过程。
单击恢复保护。
如果要将磁盘解密,不再使用Bitlocker功能,可以关闭Bitlocker
单击关闭Bitlocker。以后如果需要重新启用,需要漫长的时间重新加密磁盘。
