在不含TPM安全芯片的系统中使用Bitlocker

为Bitlocker建立启动分区

　　要在Windows Vista中实施BitLocker，除标准的操作系统分区(存放Windows 操作系统及其支持文件)外，还需一个启动分区，存放 BIOS引导后加载 Windows Vista 计算机时所需的特定硬件文件及调用密钥的相关程序。

　　需要指出的是，无论操作系统分区还是启动分区，均需使用NTFS格式，同时，BitLocker保护的只是操作系统分区中的数据，对启动分区而言，此上的数据则不受BitLocker 保护。

　　此外，根据微软的建议，启动分区应不小于1.5GB，老实说，为什么需要这么大的空间有点让人迷惑，也许是对多用户环境下情况的考虑吧(部分用户数据也会存放在该分区中)，不过，如果硬盘空间足够大，这倒不是一个大问题。在下面的示例中，为简便起见，我们使用50MB的分区，在您的实际使用中，当然最好还是按照微软的建议，特别是希望对此分区也启用系统还原时。

　　要创建用于Bitlocker的启动分区，有两种方式：在安装Windows Vista时创建及在安装后创建。——当然，从数据安全的角度考虑，肯定是安装时创建最佳，事实上，微软甚至建议用户最好不要在安装Windows Vista后再考虑创建BitLocker分区，而是建议重新备份数据后重新对硬盘分区并重新安装Windows Vista。

　　下面我们分别介绍这两种情况下的创建方法。

在安装Windows Vista时创建BitLocker启动分区

　　在Windows Vista的安装过程中，出现选择安装目标盘时，按下“CTRL+Shift+F10”，调出命令窗口，然后，依次输入如下命令：

　　(注 : 在下面的示例中，除BitLocker启动分区外，我们仅建立一个分区“C:”，如果您的系统需建立多个分区，需要注意将BitLocker启动分区的盘符放到最后，即将例中的“D:”改为相应值，或者为稳妥起见直接将其设为最后一个可用盘符“Z:”)

1. Diskpart
2. Select Disk 0
3. Clean
4. Create Partition Primary Size=50 (创建BitLocker启动分区)
5. Create Partition Primary
6. Select Partition 1
7. Assign Letter D (将BitLocker启动分区盘符设为“D:”)
8. Active (激活BitLocker启动分区)
9. Select Partition 2
10. Assign Letter C
11. Exit
12. Format D: /Y /FS:NTFS /Q /V:BDE
13. Format C: /Y /FS:NTFS /Q /V:5270
14. Exit

　　设置完毕后，在安装目标盘选择界面点击一下“刷新 (Refresh)” ，然后选择将Windows Vista安装在“C:”。之后的安装与正常的Windows Vista安装过程相同，不再赘述。BitLocker的其他设置在Windows Vista安装完成后才会进行。

在已安装Windows Vista的系统中创建BitLocker启动分区

　　再次强调一下，这样的方式是微软不推荐的，在设置前最好备份系统中的重要数据，以免造成损失。

　　首先，打开Windows Vista中的磁盘管理控制台，从“C:”中分割出50MB的自由空间，然后，使用这50MB磁盘空间创建一个新的主分区，盘符设为“D:”，同时，将该分区激活。(操作方法请参考使用磁盘管理器调整硬盘分区)

　　然后，重启系统，进入恢复控制台，依次输入如下命令：

1. MKDIR D:/BOOT (创建引导目录)
2. XCOPY C:/BOOTMGR D:/ /H (将引导文件从C盘拷贝到D盘)
3. XCOPY C:/BOOT Z:/BOOT /CHERKY
   (将 “C:/BOOT”目录下的所有文件包括子目录中的文件拷贝到 “D:/BOOT”下)
4. ATTRIB +R+H+S Z:/BOOT
   (将该目录赋予只读、隐藏及系统属性)

　　最后，重新启动系统，进行BitLocker设置

设置BitLocker驱动器加密的步骤

　　对于不含TPM安全芯片的系统，如果要启用BitLocker驱动器加密，必须提供一个USB盘以保存密钥。当然，这个密钥除了保存在USB盘上以外，您还要考虑将其在其他地方——如其他计算机、本计算机上未被加密的分区上等——将其做个备份，以防USB盘损坏或遗失造成BitLocker加密将自己也拒之门外的可能。

　　如果您使用上页中我们介绍的在安装Windows Vista时创建BitLocker启动分区的方法，那么，在Windows Vista安装完成后即会启动“BitLocker驱动器加密 (BitLocker Drive Encryption)”向导；如果您是采用上页介绍的第二种方法，即安装Windows Vista后才创建BitLocker启动分区，那么，在重启系统后，依次点击“控制面板” => “安全” => “BitLocker Drive Encryption”，均会出现类似下图的画面：

　　(注意：必须以管理员身份登录，同时，如果Windows Vista 中UAC未被关闭的话，将会弹出相应的对话框，需要确认操作。)

　　插入USB盘，点击 “Turn on Secure Startup”，开始BitLocker驱动器加密设置。

　　随后向导即会进行相应的设置，生成BitLocker密钥。

　　在BitLocker密钥生成后，您可以将其打印出来，这是一个48位的恢复密码，在USB盘万一损坏时，可以用此进入系统，不然，BitLocker将会让您也无法看到自己的数据。

　　在出现 “将密钥保存在USB设备 (Save the Recovery Password on a USB device)”提示时，选择插入的USB盘，点击保存。

　　然后还将会出现“将密钥保存在文件夹 (Save recovery key to a folder)”的对话框，如果您的系统中存在其他硬盘时，建议将其保存于其上，当然，隐藏在一个不易被发现的地方，或者DVD RW上，不然，如果别人也可找到这个密钥，BitLocker将形同虚设。

　　这样，BitLocker驱动器加密设置步骤即告完成，点击“EnCrypt”，Windows Vista即进行相应的加密运算。

查看BitLocker加密过程

　　上页介绍的BitLocker驱动器加密设置步骤完成后，Windows Vista即自动进行对示例中的操作系统分区，C盘，进行加密。

　　这时，如果打开“电脑”，您将会看到操作系统分区此时以红条高亮显示，同时，可用硬盘空间变得很小。——注意，这是因为BitLocker加密过程需使用大量的临时空间，而非对硬盘分区实施Bitlocker加密将导致可用空间变小。

　　在任务栏中也可以看到BitLocker运行图标，及BitLocker进程状态。根据加密分区大小的不同，整个BitLocker加密过程需耗时几小时不等，不过，在BitLocker进行驱动器加密时，您仍可以使用您的系统。

　　当整个BitLocker加密过程完成后，您将可以看到如下图的显示状态。此外，也可从中进行密钥的管理如在另一块USB盘上生成密钥或禁用BitLocker驱动器加密等管理。