使用 BitLocker 磁碟機加密協助保護您的檔案

您可以使用 BitLocker 磁碟機加密，協助保護已安裝 Windows 之磁碟機 (作業系統磁碟機) 和固定式資料磁碟機 (例如，內部硬碟) 上儲存的所有檔案。您可以使用 BitLocker To Go，協助保護卸除式資料磁碟機 (例如，外接式硬碟或 USB 隨身碟) 上儲存的所有檔案。

加密檔案系統 (EFS) 與 BitLocker 不同，前者可讓您加密個別檔案，而後者則會加密整個磁碟機。您可以正常登入及使用檔案，不過 BitLocker 可以協助封鎖駭客，阻止他們存取用於竊取您密碼所需的系統檔案，或是將您電腦中的磁碟機移除並安裝在不同的電腦上以進行存取。

當您將檔案新增到使用 BitLocker 加密的磁碟機時，BitLocker 會自動加密這些檔案。檔案存放在加密磁碟機時才會保持為加密的狀態。將檔案複製到其他磁碟機或電腦後就會解密。如果您與其他使用者共用檔案 (例如透過網路)，這些檔案存放在加密磁碟機時會保持為加密的狀態，但是仍然可由授權使用者正常存取。

如果您的電腦配備有信賴平台模組 (TPM) 晶片，BitLocker 會使用它來密封金鑰，而這些金鑰可用來解除鎖定加密的作業系統磁碟機。當您啟動電腦時，BitLocker 會向 TPM 詢問磁碟機的金鑰，並將其解除鎖定。

不過只有 Windows 7(Vista) 旗艦版及企業版提供使用 [BitLocker 磁碟機加密] 加密磁碟機的功能。
在未啟用強制套用強式密碼群組原則的情況下，密碼最少需 8 個字元。
加密過的磁碟區會以不同顏色的鎖和鑰匙圖示來反映目前的存取狀況，其中灰色代表加密的磁碟已經解鎖，黃色則是未解鎖。

　
BitLocker 的特殊加密機制：
當使用者刪除磁碟機中的檔案時，這些資料並不是真的消失，而只是把資料和讀取裝置之間的連結移除而已，因此有些看起來是閒置的空間，事實上卻包含了機密資料，所以一般而言，加密軟體的處理流程是先讀取資料(包含未使用空間)，然後將這些資料加密，最後再把加密過的資料寫入磁碟。但是當磁碟空間使用率不到 20% 時，讀取可用空間並加密的行為，就會顯得相當耗時。

BitLocker 採取的作法則是僅加密已使用空間的檔案，再自行創造一些無意義的資料來填補未使用空間，以避免系統浪費時間在加密已刪除的資料上，微軟宣稱，這樣的機制讓 BitLocker 加密閒置空間資料的速度，比加密一般資料快 2 倍。

　
可加密分割區的變遷：
在 Windows Vista，微軟在作業系統中加入了內建的磁碟加密工具 BitLocker，它能保護系統磁碟中所有的檔案或資料夾，而不像 EFS 必須分開加密並保存金鑰或密碼，如果再搭配群組原則，可以大幅提升系統磁碟的資料安全性，同時減少檔案加密時間。

在 Vista SP1 來說，BitLocker 加密的範圍已經可以包含全部的本機磁碟，而不是受限於安裝 Windows 作業系統的系統磁碟。然而，由於外接式磁碟或 USB 隨身碟攜帶方便，幾乎已經成為暫時存放或遷移資料時不可或缺的重要儲存設備，不過由於體積小、重量輕，這類型的裝置遺失率也特別高，而其中儲存的重要資料價值，更是遠在設備本身之上，所以如何管理隨身碟一直是企業相當重視的環節，BitLocker 的加密功能卻並沒有將這類型的儲存裝置納入保護範圍內。

一直到了 Windows 7，微軟再度改進加密資料的 BitLocker 功能，延伸至上述的抽取式儲存設備，讓企業在全面禁用或開啟 USB 隨身碟的管理方式外，能有較為彈性的選擇，同時又能保障資料安全。

　
參考：
Windows 說明及支援 - 使用 BitLocker 磁碟機加密協助保護您的檔案
用BitLocker加密隨身碟 | 文/李世平 (記者) 2009-12-01 | iThome online