Bitlocker

管理设置

• 当前状态：manage-bde -status c:
• 开启Bitlocker：manage-bde -on c:
• 关闭Bitlocker：manage-bde -off c:
• 暂时解锁：manage-bde -unlock c: -rp 48位恢复密钥
• 暂时停用：manage-bde -protectors -disable c:

加密机制

• 未加密分区：数据以明文形式存储在磁盘上，由文件系统管理定义
• 开启加密：在EFI分区加入BitLocker供引导时解锁，与TPM协作保护密钥；在系统里有fvevol.sys驱动文件，负责实时读写加密解密操作。生成加密密钥（FVEK，Full Volume Encryption Key）和恢复密钥
• 加密分区：BitLocker 使用 AES 算法（128 位或 256 位）对分区的数据进行加密，存储数据变为密文

生命周期

• 未加密：明文读写
• 开启Bitlocker：为引导和操作系统添加加密解密支持，生成密钥，挂到后台对现有数据做加密处理
• 日常使用：引导、操作系统和数据文件操作，对加密分区的读写是无感知的
• 覆盖重装系统：引导文件被破坏，与密文数据不一致，导致读写失败
• 系统更新：无需干预，更新后加密继续正常工作
• 格式化重装系统：Bitlocker被清除失效
• DG备份还原：EFI+分区完整恢复，Bitlocker引导组件、操作系统加密服务和密文数据仍是一致的，可用的，但是如果换了新电脑，TPM存放的密钥变了，可能会导致引导失败
• 关闭Bitlocker：密文数据被解密为明文数据存放，EFI分区的引导也会被替换为无加密解密的普通引导。