Users Guide
返回目录页面
可信平台模块 (TPM) 和 BitLocker 支持
Dell Update Packages Version 6.5 用于 操作系统 《用户指南》
TPM 是具有加密功能的安全微控制器,旨在提供涉及密钥的基本安全功能。它安装在系统的主板上并通过硬件总线与系统的 其它部分通信。可以通过 BIOS 设置命令建立对系统及其 TPM
的所有权。
TPM 将平台配置作为一组值存储在一组平台配置寄存器 (PCR) 中。例如,一个寄存器可能会存储主板制造商信息,另一个存储处理器制造商信息,第三个存储平台的固件版本,以此类推。
与 TPM 集成的系统会创建与平台测量密切相关的密钥。只有当平台测量值与密钥创建时的测量值相同时密钥才能解开。此过程称为
密封
TPM 密钥。解密称为
开启
。首次创建密封密钥时,
TPM 会记录配置值和文件哈希 (file hashes) 的快照。仅在当前系统值与快照中的值匹配时,才会
开启
或解开密封密钥。BitLocker 使用密封密钥检测对系统完整性的攻击。在符合特定硬
件或软件条件前数据会一直被锁定。
BitLocker 通过结合两个主要数据保护过程来减少未授权数据访问:
l 加密硬盘 上的整个 Windows 操作系统 卷:BitLocker 加密操作系统卷中的所有用户文件和系统文件。
l 检查早期引导组件和引导配置数 据的完整性:在具有 TPM 版本 1.2 的系统上,BitLocker 利用了 TPM 的增强安全功能,并确保只有在系统引导组件未更改且加密磁盘位于原
系统中时数据才可以访问。
BitLocker 设计用于具有兼容 TPM 微芯片和 BIOS 的系统。兼容 TPM 定义为版本 1.2 TPM。兼容 BIOS 支持 TPM 和可信测量的静态根。BitLocker 将主加密密钥密封在 TPM 中并只
允许在代码测量值自上次安全引导以来未更改的情况下才允许解开密钥。如果任何测量值发生改变,会强制用户提供恢复密钥才能继续引导。一对多 BIOS 更新方案会导致 BitLocker 停止
更新并要求恢复密钥才能完成引导。
BitLocker 通过
全卷加密
和
安全启动
保护系统上存储的数据。可确保系统上存储的数据保持加密,即使系统在操作系统未运行期间遭到改动,并且在用户提供 BitLocker 密钥前可防止操作系
统引导和解密驱动器。
TPM 与 BitLocker 交互以在系统启动时提供保护。必须先启用并激活 TPM,然后才能由 BitLocker 使用。如果启动信息发生更改,BitLocker 会进入恢复模式,并且用户需要恢复密码才
能重新获得数据访问权限。
返回目录页面
注:请参阅 Microsoft TechNet 网站了解如何打开 BitLocker。请参阅系统附带的说明文件,了解如何激活 TPM。TPM 对于 BitLocker 不是必需的;不过,只有具有 TPM 的系
统才可以提供启动系统完整性验证的额外安全。没有 TPM,BitLocker 可用于加密卷,但不能用于安全启动。
注:配置 BitLocker 的最安全方式是在具有 TPM 版本 1.2 和与 Trusted Computing Group (TCG) 兼容的 BIOS(使用启动密钥或 PIN)的系统上进行。这些方法提供了额外
的验证,要求额外的物理密钥(写有系统可读密钥的 USB 闪存盘)或由用户设置的 PIN。
注:对于大批量 BIOS 更新,创建禁用 BitLocker 的脚本,安装更新,重新引导系统,然后重新启用 BitLocker。对于一对一 Dell Update Packages (DUP) 部署,手动禁用
BitLocker,然后在重新引导系统后重新启用。
注:在具有 TPM 版本 1.2 芯片、“ TPM Security”(TPM 安全)设置为“ON with pre-boot measurement
”
(预引导测量打开)且“TPM Activation”(TPM 激活)设
置为“Enabled
”
(已启用)的系统上,如果启用 BitLocker(TPM 或 TPM 加 USB 或 TPM 加 PIN),则除了 BIOS DUP 以外,不允许对 U320、串行连接 SCSI (SAS) 5、
SAS 6、可扩充 RAID 控制器 (PERC) 5、PERC 6 和 Cost Effective RAID Controller (CERC) 6 控制器执行固件 DUP。