Users Guide
7
可信平台模块和 BitLocker 支持
可信平台模块 (TPM) 是一个具有加密功能的安全微控制器,设计用于提供涉及密钥的基本安全相关功能。它
在系统的母板上安装
,并且使用硬件总线与系统的其余部分进行通信。您可以使用 BIOS 设置命令建立系统的
所有权及其 TPM。
TPM 将平台配置作为一组值存储在一组平台配置注册表 (PCR) 中。因此,一个此类注册表可存储如母板制造
商信息
;另一个存储处理器制造商信息;第三个存储平台的固件版本,等等。整合 TPM 的系统会创建一个与
平台测量值关联的密钥。该密钥仅当此平台测量值拥有与创建密钥时相同的值时才能解开。此过程称为将密钥
密封
到 TPM。解密称为
启封
。初次创建密封的密钥时,TPM 会记录配置值的快照和文件哈希值。密封的密钥
仅当这些当前系统值匹配快照中的值时才会
启封
或释放。BitLocker 使用密封的密钥检测对系统完整性的攻
击。在满足特定的硬件或软件条件前
,数据将被锁定。
BitLocker 通过结合两个主要数据保护过程来减少未授权数据访问:
• 加密硬盘上的整个 Windows 操作系统卷:BitLocker 加密操作系统卷中的所有用户文件和系统文件。
• 检查早期引导组件和引导配置数据的完整性:在具有 TPM 版本 1.2 的系统上,BitLocker 利用了 TPM 的增
强安全功能,并确保只有在系统的引导组件未更改且加密磁盘位于原系统中时,才可以访问数据。
BitLocker 设计用于拥有兼容的 TPM 微芯片和 BIOS 的系统。兼容的 TPM 定义为版本 1.2 TPM。兼容的 BIOS
支持该 TPM 和信任测量的静态根。BitLocker 将主密钥密封在 TPM 中并且仅当代码测量值从上次安全引导后
未发生更改时才允许释放密钥。如果任何测量值发生更改,它会强制您提供恢复密钥以继续引导。一对多
BIOS 更新方案将导致 BitLocker 停止更新并请求恢复密钥,然后完成引导。
BitLocker 通过
全卷加密
和
安全启动
保护系统中存储的数据。它确保系统中存储的数据保持加密状态(即使系
统在操作系统未运行时被篡改)并阻止操作系统引导和解密该驱动器,直到您提供 BitLocker 密钥。
TPM 与 BitLocker 相互作用以在系统启动时提供保护。TPM 必须启用并激活,然后才能供给 BitLocker 使
用。如果启动信息已更改,BitLocker 会进入恢复模式,并且您需要恢复密码以重新获取访问数据的权限。
注: 有关如何开启 BitLocker 的信息,请参阅 Microsoft TechNet 网站。有关如何激活 TPM 的说明,请
参阅随系统附带的说明文件。TPM 并非 BitLocker 必需;不过,只有具有 TPM 的系统才能提供启动系
统完整性验证的附加安全机制。如果没有 TPM,BitLocker 可用于加密卷,但无法进行安全启动。
注: 最安全的方法是,在具有 TPM 版本 1.2 和受信任计算组 (TCG) 兼容的 BIOS 实施的系统上通过启动
密钥或 PIN 配置 BitLocker。这些方法通过要求附加的物理密钥(系统可读密钥写入其中的 USB 闪存
盘)或用户设置的 PIN 提供附加的验证。
注: 对于大量 BIOS 更新,创建一个脚本禁用 BitLocker,安装更新,重新引导系统,然后重新启用
BitLocker。对于一对一 Dell 更新软件包 (DUP) 部署,手动禁用 BitLocker,然后在重新引导系统后重新
启用该功能。
注: 在具有 TPM 版本 1.2 芯片、TPM 安全设置为
预引导测量时打开
且 TPM 激活设置为
已启用
的系统
上,如果启用 BitLocker(TPM 或 TPM 加 USB 或 TPM 加 PIN),则除了 BIOS DUP 以外,不允许对
U320、串行连接 SCSI (SAS) 5、SAS 6、可扩展 RAID 控制器 (PERC) 5、PERC 6 和 Cost Effective RAID
Controller (CERC) 6 控制器执行固件 DUP。
35