很多人可能都听说过ERD Commander之类的软件，这种软件可以创建一个引导光盘，用户可以用这张光盘将电脑引导进入一个特殊的 PE环境(可以理解为运行在光盘上的Window系统)中。在这个环境中，我们可以在不知道电脑上安装的操作系统管理员账户和密码的情况下直接编辑系统的注册表或者修改任何一个账户的登陆密码。甚至还可以获得文件的NTFS访问权限，并绕过的权限设置读取需要的机密文件。这种在Windows没有运行着的情况下对系统进行“攻击”的操作就叫做“脱机攻击”。

　　其实类似这样的工具还有很多，有些是售价昂贵的商业软件，有些甚至是可以免费获得的软件。但是这是否意味着Windows的性很差呢?其实不然，因为进行脱机攻击的时候，被攻击的Windows并没有运行，因此Windows的各种保护机制也无法生效，进而造成了被攻击的可能。其实不仅仅是Windows，任何操作系统都无法有效避免这种脱机攻击。至于从物理层面的攻击，例如恶意拔掉电源导致服务中断，或者损坏硬件造成数据丢失，更是无法仅依靠完善操作系统避免。所以说实现系统安全和数据安全的一个大前提就是首先要保证计算机在物理上的安全，不能让攻击者从物理层面上接触到计算机。

　　不过好在Windows Vista中的BitLocker功能可以保护整个Windows本身不被脱机攻击，并保护我们的机密数据无法被允许的Windows以外的其他操作系统访问。简单来说，BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密，并将密钥保存在硬盘之外的地方。这样，要想启动Windows或者读取保存在电脑中的文件，就必须先提供密钥，随后引导程序才会使用提供的密钥解密系统文件，并加载和运行Windows，供我们读取文件。

　　BitLocker是Windows Vista中的一项新功能，只能用于Windows Vista企业版和旗舰版。另外，在初始版本的Vista中，该功能只能加密安装了Vista的分区，不过在安装SP1之后可以加密任何一个本地硬盘分区。

　　不同模式的不同要求

　　BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，我们还可以同时启用这两种模式。

　　要使用TPM模式，要求计算机中必须具备不低于1.2版TPM芯片，这种芯片是通过硬件提供的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。

　　要想知道电脑是否有TPM芯片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。

　　如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备(能够流畅运行Windows Vista的计算机基本上都应该具备这样的功能)，并且需要有一个专用的U盘(U盘只是用于保存密钥文件，容量不用太大，但是质量一定要好)。使用U盘模式后，用于解密系统盘的密钥文件会被保存在U盘上，每次重启动系统的时候必须在开机之前将U盘连接到计算机上。

　　

　　受信任的平台模块是实现TPM模式BitLocker的前提条件

[1]        

--------------------next---------------------