法读取BitLocker启动屏幕，因为这些屏幕在Windows启动之前在基本输入/输出系统 (BIOS)启动过程中显示。这包括键入个人标识号 (PIN)或恢复密钥，以及出现任何BitLocker错误消息时使用的屏幕。

对于恢复密码创建之后，如何复制Bitlocker的恢复密钥，在单击打开“Bitlocker驱动器加密”，接着单击打开“管理Bitlocker”之后，按照说明操作就行，在此不作讲解。不过对于如何运用通过恢复密码来访问被Bitlocker加密的磁盘的内部原理过程我们会在此作稍作介绍。

下图就是运用恢复密钥访问被加密数据的图示：

Cleartext DataDataDecryption performed on data using FVEKEncrypted disk sectorsFVEKVolume Encryption Key (FVEK)Decrypting of the VMK RKEncrypted Volume USB device with RK VMK

图2-8 通过恢复密码访问被Bitlocker保护的数据

对于上图的顺序图解顺序步骤如下：

1、操作系统启动并提示用户插入包含恢复密钥的USB设备。 2、VMK通过USB设备上的恢复密钥进行解密。

3、从卷中读取加密的FVEK，并使用解密VMK对其进行解密。 4、访问磁盘扇区时，使用FVEK进行解密。 5、为应用程序和过程提供纯文本数据。

再次强调的是：一定要保证恢复密码的安全性，如果恢复丢失或被盗窃，将会给用

28

户带来很大的麻烦。

2.6.2 恢复各种已被加密磁盘的步骤

由于恢复模式在各种暂时无法打开已被加密的磁盘具有很重要的地位。我们就对恢复模式进行较为详细的介绍。

一、下面，我们先对如何才能恢复受Bitlocker保护的操作系统驱动器的步骤作出介绍。

1、单击“开始”，在“搜索程序和文件”框中键入“gpedit.msc”，然后按下Enter键。

2、如果出现“用户帐户控制”对话框，请用户确认其显示的是自己要执行的操作，然后单击“是”。

3、在控制台树的“本地计算机策略\\计算机配置\\管理模板\\Windows组件\\BitLocker驱动器加密”下，单击“操作系统驱动器”。

4、若要为操作系统驱动器配置恢复选项，请在细节窗格中，双击“选择如何才能恢复受BitLocker保护的操作系统驱动器”打开策略设置。如果此策略设置已禁用或未配置，BitLocker恢复支持默认恢复选项。在默认情况下，允许数据恢复代理，当启用BitLocker之后，用户可以选择是创建恢复密码还是恢复密钥，并且恢复信息是不会备份到AD DS的。

5、若要指定其他恢复选项，请单击“已启用”，然后根据需要配置以下设置： （1）选中“允许数据恢复代理”复选框，以允许将指定的帐户用于恢复受BitLocker保护的驱动器。若要使用数据恢复代理，则必须配置该帐户并将其添加到组策略中的以下位置，即“计算机配置\\Windows设置\\安全设置\\公钥策略\\BitLocker驱动器加密”。如果用户不希望结合使用数据恢复代理与BitLocker，那么请用户清除该复选框。

（2）在“配置BitLocker恢复信息的用户存储”下，可以选择在打开BitLocker时，是允许、要求还是不允许用户创建48位数的恢复密码或256位恢复密钥。如果某个用户存储选项为必需，则必须禁止其他用户存储选项。如果希望为用户提供使用恢复密码或恢复密钥的选项，则应该同时选中“允许48位数的恢复密码”和“允许256位恢复密钥”。如果不希望用户能够存储或打印恢复信息，请同时选中“不允许48位数的恢复密码”和“不允许256位恢复密钥”。

（3）选中“为操作系统驱动器将BitLocker恢复信息保存到AD DS中”复选框，然后选择要在AD DS中“存储恢复密码和密钥数据包”还是“仅存储恢复密码”。当

29

用户存储的恢复密码或恢复密钥不可用时（例如，当用户丢失了恢复密钥打印件或当无法访问存储的恢复密钥文件时），AD DS中的存储恢复密码允许系统管理员向用户提供恢复密码或恢复受BitLocker保护的驱动器。除了恢复密码之外，存储密钥包可使管理员能够使用“Repair-bde”命令行工具来恢复受BitLocker保护的已损坏的驱动器（无法通过该驱动器读取加密密钥）。

（4）选中“在为操作系统驱动器将恢复信息存储到AD DS之前禁止启用BitLocker”复选框，以确保将您的组织中所有受BitLocker保护的操作系统驱动器的恢复信息存储在AD DS中。如果是第一次对驱动器进行加密，则会生成恢复信息，并且此信息在加密之后不会发送到AD DS中。选中此复选框后，当用户启用BitLocker时，必须连接到域。

（5）如果希望选择的恢复方法由此策略设置控制，并且不希望向用户显示这些恢复选项，请用户选中“省略BitLocker安装向导中的恢复选项”复选框。若要启用此选项，必须选中以下两个管理恢复设置或其中之一：“为操作系统驱动器将BitLocker恢复信息保存到AD DS中”或“允许数据恢复代理”，以确保可以恢复受BitLocker保护的驱动器。

6、选择完之后，单击“应用”以应用这些设置，然后关闭该对话框。

7、若要强制组策略立即应用这些更改，可以单击“开始”，在“搜索程序和文件”框中键入“gpupdate.exe /force”，然后按下Enter。等待进程完成。

二、接下来我们讲一下如何才能恢复受BitLocker保护的固定数据驱动器，以及他的步骤如何步骤如下：

1、单击“开始”，在“搜索程序和文件”框中键入“gpedit.msc”，然后按下Enter键。

2、如果出现“用户帐户控制”对话框，则请用户确认其显示的是您要执行的操作，然后单击“是”。

3、在控制台树的“本地计算机策略\\计算机配置\\管理模板\\Windows组件\\BitLocker驱动器加密”下，单击“固定数据驱动器”。

4、若要为固定数据驱动器配置恢复选项，请在细节窗格中，双击“选择如何才能恢复受BitLocker保护的固定驱动器”打开策略设置。如果此策略设置已禁用或未配置，BitLocker恢复支持默认恢复选项。默认情况下，允许数据恢复代理，当启用BitLocker后，用户可以选择创建恢复密码或恢复密钥，并且恢复信息不会备份到AD DS。

5、若要指定其他恢复选项，请单击“已启用”，然后根据需要配置以下设置：

30

（1）选中“允许数据恢复代理”复选框，以允许将指定的帐户用于恢复受BitLocker保护的驱动器。若要使用数据恢复代理，则必须配置该帐户并将其添加到组策略中的以下位置：“计算机配置\\Windows设置\\安全设置\\公钥策略\\BitLocker驱动器加密”。如果不希望结合使用数据恢复代理与BitLocker，请用户清除“允许数据恢复代理”复选框。

（2）在“配置BitLocker恢复信息的用户存储”下，可以选择在打开BitLocker时，是允许、要求还是不允许用户创建48位数的恢复密码或256位恢复密钥。

（3）选中“为固定数据驱动器将BitLocker恢复信息保存到AD DS中”复选框，然后选择要在AD DS中“存储恢复密码和密钥数据包”还是“仅存储恢复密码”。当用户存储的恢复密码或恢复密钥不可用时（例如，当用户丢失了恢复密钥打印件或当无法访问存储的恢复密钥文件时），AD DS中的存储恢复密码允许系统管理员向用户提供恢复密码或恢复受BitLocker保护的驱动器。除了恢复密码之外，存储密钥包可使管理员能够使用“Repair-bde命令行工具”来恢复受BitLocker保护的已损坏的驱动器（无法通过该驱动器读取加密密钥）。

（4）选中“在为固定数据驱动器将恢复信息存储到AD DS之前禁止启用BitLocker”复选框，以确保将您的组织中所有受BitLocker保护的固定数据驱动器的恢复信息存储在AD DS中。如果是第一次对驱动器进行加密，则会生成恢复信息，并且此信息在加密之后不会发送到AD DS。选中此复选框后，当用户启用BitLocker时，必须连接到域。

（5）如果用户希望选择的恢复方法由此策略设置控制，并且不希望向用户显示这些恢复选项，请选中“省略BitLocker安装向导中的恢复选项”复选框。若要启用此选项，必须选中以下两个管理恢复设置或其中之一：“为固定数据驱动器将BitLocker恢复信息保存到AD DS中”或“允许数据恢复代理”，以确保可以恢复受BitLocker保护的驱动器。

6、选择完之后，单击“应用”以应用这些设置，然后关闭该对话框。

7、若要强制组策略立即应用这些更改，可以单击“开始”，在“搜索程序和文件”框中键入“gpupdate.exe /force”，然后按下Enter键。等待进程完成。

三、最后再我们再来介绍下如何才能恢复受BitLocker保护的可移动数据驱动器的步骤：

1、单击“开始”，在“搜索程序和文件”框中键入“gpedit.msc”，然后再按下Enter键。

31

2、如果出现“用户帐户控制”对话框，用户请确认其显示的是您要执行的操作，然后单击“是”。

3、在控制台树的“本地计算机策略\\计算机配置\\管理模板\\Windows组件\\BitLocker驱动器加密”下，单击“可移动数据驱动器”。

4、若要为可移动数据驱动器配置恢复选项，请在细节窗格中，双击“选择如何才能恢复受BitLocker保护的可移动数据驱动器”打开策略设置。如果此策略设置已禁用或未配置，BitLocker恢复支持默认恢复选项。在默认情况下，允许数据恢复代理，当启用BitLocker之后，用户可以选择创建恢复密码或恢复密钥，并且恢复信息不会备份到AD DS。

5、若要指定其他恢复选项，请单击“已启用”，然后根据需要配置以下设置： （1）选中“允许数据恢复代理”复选框，以允许将指定的帐户用于恢复受BitLocker保护的驱动器。若要使用数据恢复代理，则必须配置该帐户并将其添加到组策略中的以下位置：“计算机配置\\Windows设置\\安全设置\\公钥策略\\BitLocker驱动器加密”。如果不希望结合使用数据恢复代理与BitLocker，用户请清除该复选框。

（2）在“配置BitLocker恢复信息的用户存储”下，可以选择在打开BitLocker时，是允许、要求还是不允许用户创建48位数的恢复密码或256位恢复密钥。在默认情况下，恢复密钥不与可移动数据驱动器一起使用。

（3）选中“为可移动数据驱动器将BitLocker恢复信息保存到AD DS中”复选框，然后选择要在AD DS中“存储恢复密码和密钥数据包”还是“仅存储恢复密码”。当用户存储的恢复密码或恢复密钥不可用时（例如，当用户丢失了恢复密钥打印件或当无法访问存储的恢复密钥文件时），AD DS中的存储恢复密码允许系统管理员向用户提供恢复密码或恢复受BitLocker保护的驱动器。除了恢复密码之外，存储密钥包可使管理员能够使用“Repair-bde命令行工具”来恢复受BitLocker保护的已损坏的驱动器（无法通过该驱动器读取加密密钥）。

（4）选中“在为可移动数据驱动器将恢复信息存储到AD DS之前禁止启用BitLocker”复选框，以确保将您的组织中所有受BitLocker保护的可移动数据驱动器的恢复信息存储在AD DS中。如果是第一次对驱动器进行加密，则会生成恢复信息，并且此信息在加密之后不会发送到AD DS。选中此复选框后，当用户启用BitLocker的时候，必须连接到域。

（5）如果希望选择的恢复方法由此策略设置控制，并且不希望向用户显示这些恢复选项，请选中“省略BitLocker安装向导中的恢复选项”复选框。若要启用此选项，

32