為什麼BitLocker能給系統盤加密？

這樣真的可以在設備遺失後保護數據的安全嗎？如果可以，為什麼系統啟動的時候不需要輸入密鑰呢？

答主只是外行，建議大家去看專業人士的科普：

Bitlocker、TPM和系統安全

============================================================================

BitLocker為啥能加密系統盤，其實和UEFI、TPM沒有必然關係……用組策略啟用額外的驗證（開機時需要輸入解鎖密碼）即可在沒有TPM的機器上開啟BitLocker，無論走UEFI引導還是BIOS引導都是這樣。

回到一開始的問題：為啥可以加密Windows所在的分區？

因為Windows Boot Manager可以在Windows啟動前「獨立」解密BitLocker分區。

Windows Boot Manager先把內核和各種驅動（包括BitLocker、磁碟有關的驅動）解密出來，然後就把控制權轉交給Windows。藉助BitLocker驅動（fvevol.sys），Windows也可以自由讀寫被加密的分區了，然後可以繼續照常啟動，不再需要Windows Boot Manager提供拐棍。

PS:解密密鑰的來源取決於你的配置，可以是：TPM、數字密碼即「恢復密鑰」、存有密鑰文件的U盤。實際上這些東西並不是真正的密鑰，都不能直接解密數據。它們是用來解密FVEK的(實際上還不止一層加密)，FVEK才是真正執行數據加密的密鑰，它被上面這些東西加密保存在硬碟上——可想而知，如果有關的扇區損壞了，那整個盤的數據就被判了死刑——當然，微軟的東西還是靠譜的，有做冗餘，並沒有那麼脆弱。

TPM可以讓BitLocker變得更安全便捷。

有了TPM，就可以不用輸入解鎖密碼了，密鑰由TPM負責保管，並由TPM來保證不會有人用WinPE偷窺硬碟里的文件，WinPE、KonBoot這些手段在TPM面前都會露餡：如果TPM發現啟動方式不對，就不會釋放密鑰。

沒有密鑰就無法解鎖BitLocker加密的C盤，正常情況下Windows就會報錯，無法正常啟動；WinPE的話，雖然能正常啟動，但缺少TPM里的密鑰，C盤無法解密，仍然是一堆亂碼。

既然Ubuntu LiveCD、WinPE、拆機換硬碟等等威脅已經被TPM幹掉了，只要Windows登錄密碼靠譜，那差不多就固若金湯了。

（開腦洞的話，這裡還有一個隱含的信任關係：Windows Boot Manager、Winlogon這些程序不能爆安全漏洞，比如CVE-2015-2552，還有類似Linux 爆新漏洞，長按回車 70 秒可獲得 root 許可權這種，如果爆了安全漏洞，那不需要Windows登錄密碼也可以直接訪問被加密的數據了）

但這樣並不是完全沒有弱點：

冷凍內存等Cold boot attack仍然可能奏效。內存被液氮冷卻後，即使斷電也可以讓數據保留一段時間。而且系統正常運行時，隨時需要讀寫被加密的盤，那內存里肯定能找到密鑰，因為讀寫時肯定需要執行加密/解密。所以，可以趁電腦沒關機時冷凍內存，然後把內存接到別的電腦上，再運行一個程序把密鑰搜出來。

冷凍內存攻擊能奏效的前提是：硬碟數據加密仍然是操作系統在CPU上完成的，所以在那根插在主板上的內存條里，還是可以直接找到密鑰。

如果把加密交給硬碟的主控晶元等硬體來做，讓硬碟主控去抵抗冷凍內存攻擊，那麼內存條里就再也不需要保留密鑰，那……也許就真的固若金湯了？好像還沒有。

如果系統中木馬了，那木馬自然也有機會訪問那些被加密的數據，拿到整個盤的解密密鑰也不是難事兒（這甚至有點多餘了，因為種了木馬以後，無論攻擊者想偷什麼文件，都已經可以直接拿到了）。

如果硬碟沒有AES加密之類高端功能，有一個緩解方法是讓TPM在開機時，多驗證一個PIN。必須輸對PIN才給密鑰，甚至在多次錯誤後毀掉密鑰。

這樣一來，如果電腦被偷時，就已經關機了，那麼就沒法等到Windows傻乎乎地問登錄密碼時，再偷偷冷凍內存干猥瑣的事情了。但如果偷到的電腦還沒關機，那說不定有可乘之機。

所以你想到了什麼？

沒錯……你不能把引導文件也放在BitLocker加密的分區里……就是這樣。