BitLocker驱动器加密是Windows的一种数据保护功能,通过加密整个驱动器来保护数据,其目标是让Windows用户摆脱因硬件丢失、被盗而导致由数据失窃或泄漏构成的威胁。
BitLocker加密技术能够同时支持FAT和NTFS两种格式,可以加密电脑的整个系统分区,也可以加密可移动的便携存储设备,如U盘和移动硬盘等。BitLocker使用AES(高级加密标准/Advanced Encryption Standard)128位或256位的加密算法进行加密,其加密的安全可靠性得到了保证,通常情况下,只要用户的密码有足够强度,这种加密就很难被破解。
一、开启BitLocker
打开PowerShell(管理员):
C:\> Install-WindowsFeature BitLocker -Restart
安装好后,系统会自动重新启动
Windows Server 2016 运行 Get-WindowsFeature 命令:
BitLocker已经安装:
此时右键查看D盘,可以看到启用BitLocker选项:
设置磁盘加密密码:
如果密码忘记了,可以使用恢复秘钥解密磁盘:
选择加密的磁盘空间:
选择加密模式:
确认加密:
加密中:
加密完成:
加密完成后,可以看见磁盘右上角多了个“?”图标,邮件管理BitLocker,能够看见D盘的BitLocker已启用。
AWS上的系统盘暂时不支持Bitlocker加密。
二、开关机或将磁盘挂载到其他EC2后磁盘状态变化
AWS上停止(Stop)EC2后再启动,或者将磁盘挂载到其他Windows服务器上,磁盘呈现加密状态,无法直接访问:
解锁驱动器,使用之前设置的密码,如果忘记密码,可以输入回复密钥解锁:
解锁完成后,磁盘可以正常访问:
若磁盘挂载的EC2没有安装BitLocker,将无法对加密磁盘进行解锁。
使用BitLocker后,如果磁盘已经解锁,EC2对EBS的访问将是透明的。