什麼是BitLocker？

BitLocker的全名是「BitLocker Drive Encryption」，也就是磁碟加密位元鎖，又簡稱為BDE。這是Windows Vista所提供的一項「磁碟加密」資料保護新功能。

BitLocker功能的訴求對象，主要是商務使用者與IT人員，但對注重個人隱私資料的一般使用者，也算是相當重要。

Vista的BitLocker功能圖示

在這篇文章中，我們將假設讀者已經對TPM(Trusted Platform Module，可信賴平台模組)，以及磁碟加密技術有基本的了解。如果想先回顧相關文章，歡迎參考下列兩篇：為你的硬碟加大鎖--硬碟加密指南 、 NB安全晶片解密--TPM完全解讀 。

BitLocker的功能

BitLocker的資料保護功能包括兩大部分：1. 完整磁碟機加密； 2.早期開機元件的完整性檢查。另外，也有簡化硬碟回收作業的附帶用途。

「完整磁碟機加密」是將整個Windows磁碟區作運算加密，讓有心竊取資料的人士，無法藉由從另一個作業系統開機，或用軟體攻擊破解的方式，來侵入你的Vista檔案和系統保護。

除了第一次加密須稍花時間，之後的操作情況就跟正常使用Vista沒有差別了。在BitLocker保護之下，所有使用者和系統檔案都會進行加密。資料存取的加密、解密都在操作中即時進行，使用者絲毫無法察覺。

BitLocker加密的範圍非常完整，效力及於整個Windows磁碟區，包括使用者資料和系統檔案、休眠檔案、分頁檔案，以及暫存檔都受到保護。也就是說，即使是在系統離線狀態下，或是入侵者透過遠端存取，都不會有任何的破綻。

「早期開機元件的完整性檢查」是在BIOS開機時期進行檢查，用來確保所有BitLocker元件不受任何干擾、入侵，在一切正常的情況下才會開始執行資料解密，並確保加密的磁碟機位於原先的電腦之中。

這些檢查包括監控開機磁區(MBR，Master boot record)以及磁碟根目錄，確認上面的檔案沒有被更動修改過，或是被偷偷藏了開機病毒。如果任何監控檔案有問題，系統將無法一如往常地啟動，這同時也能警告使用者這部電腦曾被動過手腳。

另一項常被提到的用途，是BitLocker可以讓企業「簡化硬碟回收作業」。過去在將硬碟汰舊更換時，IT人員必須擔心如何將上面的資料清除乾淨，以免讓有心人士設法還原內容，使得企業機密外洩。

但若要汰換經BitLocker加密的硬碟，只要將存取磁碟機所需的金鑰刪除，並將它拔離電腦就好。對回收這顆硬碟的人來說，它就像是一顆未格式過的硬碟，完全無法從上面讀取任何一點有用的資料。

(別忘了繼續閱讀下一頁~)