为什么BitLocker能给系统盘加密

为什么BitLocker能给系统盘加密

BitLocker为啥能加密系统盘，其实和UEFI、TPM没有必然关系……用组策略启用额外的验证（开机时需要输入解锁密码）即可在没有TPM的机器上开启BitLocker。

回到一开始的问题：为啥可以加密Windows所在的分区？
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
BitLocker、磁盘有关的驱动也是在引导时被加载的（和内核一起被加载），然后Windows就可以自己读写BitLocker分区，不再需要Windows Boot Manager提供拐棍了。

UEFI的SecureBoot，还有TPM，有了它们，BitLocker可以变得更安全便捷。
有了TPM，就可以不用输入解锁密码了，密钥由TPM负责保管，并由TPM来保证不会有人用WinPE偷窥硬盘里的文件。如果你尝试用WinPE启动，TPM就不会解锁BitLocker加密的C盘。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了，只要Windows登录密码靠谱，那差不多就固若金汤了。
但据说这样并不是完全没有弱点：冷冻内存等Cold boot attack仍然可能奏效；如果恶意代码得以在内核中运行，可能也有机会直接拿到密钥。
这些攻击能奏效的前提是：硬盘数据加密仍然是操作系统在CPU上完成的，所以在那根插在主板上的内存条里，还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做，让硬盘主控去抵抗冷冻内存攻击，那么内存条里就再也不需要保留密钥，那……也许就真的固若金汤了……
如果硬盘没有这种高端功能，有一个缓解方法是让TPM在开机时，多验证一个PIN，必须输对PIN才给密钥，甚至在多次错误后毁掉密钥。
这样一来，如果电脑被偷时，就已经关机了，那么就没法等到Windows傻乎乎地问登录密码时，再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机，那说不定有可乘之机。
我实际上只是个小白用户，以上理解可能有误……还是需要真大神来科普一下 : - ）

所以你想到了什么？
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。

s 加密证书后，需要将该证书导入。 1、在开始菜单搜索框中输入“certmgr.msc”，打开“证书管理器”。这是一个触发uac的操作，需要用户输入输入管理员密码或进行确认。 2、选择“个人”文件夹。 3、单击“操作”菜单，指向“所有任务”，然后单击“导入”。 4、在证书导入向导中，单击“下一步”。 5、键入包含该证书的文件的位置，或者单击“浏览”，导航至该文件的位置，然后单击“下一步”。 6、输入该证书的密码，选中“标记此密钥为可导出的”复选框，然后单击“下一步”。 7、单击“将所有的证书放入下列存储区”，选择“个人”，然后单击“下一步”。 是不是导入的有问题，只要正确的备份了密钥，肯定有办法打开