使用BitLocker加密Windows可信執行個體系統硬碟 - Elastic Compute Service

BitLocker 是微軟提供的安全加密功能，可與 TPM 配合使用，實現系統硬碟全盤加密，確保系統僅在可信環境中才能解密啟動。

系統硬碟解密工作原理

密鑰層級：通過三層密鑰保障資料安全，密鑰明文僅載入至記憶體中使用。
- 完整磁碟區加密金鑰（FVEK）：直接用於加密和解密系統硬碟資料的密鑰，採用AES-256標準靜態加密。
- 卷主要金鑰（VMK）：用於加密和解密FVEK的密鑰。
- 密封密鑰（Sealing Key）：TPM內部的密封密鑰，用於加密和解密VMK密鑰。
可信綁定：密封密鑰與平台配置寄存器（PCR）的度量值綁定。
PCR在執行個體啟動過程中會記錄關鍵組件（如UEFI韌體、引導載入程式）的雜湊值。詳細內容，請參見查看執行個體的可信狀態。
解密過程：
執行個體啟動時，TPM會重新計算PCR值，並將其與預存的基準度量值進行比較。
- 如果值匹配，證明為可信環境，提供密封密鑰以解密VMK，VMK再解密FVEK，最終系統硬碟被解密，作業系統正常啟動。
- 如果值不匹配，將拒絕提供密封密鑰，系統會中斷啟動，需手動輸入恢複密碼，系統才可正常啟動。
  恢複密碼在配置BitLocker時產生，可在緊急情況下恢複對資料的訪問。

適用範圍

執行個體規格類型系列：僅支援ecs.g9i 、ecs.c9i、ecs.r9i、ecs.hfg9i 、ecs.hfc9i 、ecs.hfr9i。
鏡像：僅支援啟動模式為UEFI的Windows Server鏡像。

操作步驟

本操作以Windows Server 2022為例。

步驟一：建立Windows可信執行個體

暫不支援控制台建立，需使用CLI或API建立。

若已有執行個體已滿足執行個體規格類型系列及鏡像要求，可直接安裝BitLocker功能組件。

CLI

以下為樣本配置，請根據實際需求替換。

aliyun ecs RunInstances \
  --region ap-southeast-1 \
  --RegionId 'ap-southeast-1' \
  --ImageId 'win2022_21H2_x64_dtc_en-us_40G_uefi_alibase_20250911.vhd' \
  --InstanceType 'ecs.c9i.large' \
  --SecurityOptions.TrustedSystemMode vTPM \
  --SecurityGroupId 'sg-[SecurityGroupId]' \
  --VSwitchId 'vsw-[VSwitchID]' \
  --SystemDisk.Category cloud_essd \
  --SystemDisk.Size 40 \
  --DataDisk.1.Category cloud_essd \
  --DataDisk.1.Device /dev/xvdb \
  --DataDisk.1.Size 40 \
  --Password '[YOUR_PASSWORD]'

API

可調用API介面RunInstances建立可信執行個體。

步驟二：安裝BitLocker功能組件

登入ECS執行個體。
1. 訪問ECS控制台-執行個體。在頁面左側頂部，選擇目標資源所在的資源群組和地區。
2. 進入目標執行個體詳情頁，單擊遠端連線，選擇通過Workbench遠端連線。選擇串連方式為終端串連，輸入使用者名稱和密碼，登入圖形化終端頁面。
安裝BitLocker功能組件。
1. 按Win+R輸入PowerShell並按Enter鍵，進入PowerShell介面後，安裝BitLocker功能組件。
```
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
```
  輸出的Success為True，表示指令執行成功。
2. 重啟執行個體完成安裝。
  1. 在執行個體詳情頁的頁面右上方單擊重啟。
  2. 在彈窗中，單擊確定，立即重啟執行個體。
查看是否安裝成功。
在ECS執行個體內，選擇控制台 > 系統和安全，若顯示BitLocker 磁碟機加密功能，則表示安裝成功。

步驟三：啟用BitLocker加密系統硬碟

在資料盤中建立檔案夾。
恢複密碼無法儲存至系統硬碟，需先在資料盤中建立檔案夾用於後續啟用時儲存恢複密碼檔案。
開啟控制台 > 系統和安全 > BitLocker 磁碟機加密，單擊作業系統磁碟機下的啟用BitLocker，根據頁面提示單擊下一步。
儲存修復金鑰。
在你希望如何備份修復金鑰彈窗中，選擇儲存到檔案，將檔案先儲存至資料盤建立的檔案夾下後，單擊下一步。
重要
恢複密碼是資料保護的最後防線，建議將此檔案下載至本地儲存。如果密碼丟失且TPM驗證失敗，系統硬碟資料可能將永久無法恢複。
選擇要加密的磁碟機空間大小後，單擊下一步。
- 僅加密已用磁碟空間：適合新系統硬碟，速度較快。
- 加密整個磁碟機：適合正在使用中的系統硬碟，速度較慢。
選擇加密模式為新加密模式後，單擊下一步。
在是否準備加密該磁碟機的彈框中，單擊開始加密。

步驟四：驗證加密狀態

進入PowerShell介面，檢查系統硬碟加密狀態。

manage-bde.exe -status C:

BitLocker Drive Encryption: Configuration Tool version 10.0.20348
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume c: []
[Os Volume]

     Size:                 39.38 GB
     BitLocker Version:    2.0
     Conversion Status:    Used Space Only Encrypted
     Percentage Encrypted: 100%
     Encryption Method:    XTS-AES 128
     Protection Status:    Protection On
     Lock Status:          Unlocked
     Identification Field: Unknown
     Key Protectors:
         TPM
         Numerical Password

樣本中，系統硬碟的保護狀態已開啟，加密百分比為100%，表示已完成加密。

查看恢複密碼。

manage-bde -protectors -get C:

BitLocker Drive Encryption: Configuration Tool version 10.0.20348
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume c: []
All Key Protectors

   TPM:
     ID： ｛08666E3D-6E4E-497A-B07B-1C68A33xxxxx｝
     PCR Validation Profile:
       0，2，4，11

   Numerical Password:
     ID: D21A5371-8896-404C-BF77-BA37B93xxxxx}
     Password:
       049577-628485-629002-576851-260304-251900-218823-xxxxx

輸出中同時包含 TPM 和 數字密碼 兩種保護程式，表明系統硬碟受TPM自動保護，並具備恢複密碼作為備用解鎖方式。數字密碼中的48位密碼即為恢複密碼。

常見問題

執行個體重啟後要求輸入恢複密碼，怎麼辦？
- 可能原因：
  - 作業系統更新、驅動更新或修改了啟動設定，導致系統完整性度量值（PCR值）發生變化。
  - 使用已加密系統硬碟建立自訂鏡像，並用該鏡像建立了新執行個體。新執行個體的TPM與原執行個體不同，無法解密。
- 解決方案：
  - 儘快通過ECS控制台的VNC遠端連線功能串連到執行個體。
  - 在BitLocker恢複介面，手動輸入儲存的48位恢複密碼。
    重要
    如果恢複密碼未配置或丟失，系統硬碟資料可能永久無法恢複。因此，務必配置並妥善保管。
如何使用BitLocker加密資料盤？
資料盤可使用BitLocker的其他保護程式（例如密碼、智慧卡或自動解鎖）進行加密。具體請參考BitLocker planning guide-microsoft。

Elastic Compute Service：在Windows可信執行個體中使用BitLocker的TPM金鑰保護裝置加密系統硬碟