微软的BitLocker技术随着Windows Server 2008 R2的发布出现了第二个版本，其主要用途在于保护桌面和笔记本。其在Windows 7里的新“To Go”功能进一步扩展了加密能力到连接的USB驱动。存储在这些易丢失设备上的加密数据能确保丢失或者错放的USB驱动不可以拼写你公司的重要数据。

　　BitLocker作为一个完全驱动的加密技术，确实能以保护笔记本相同的方式来保护服务器数据。

　　现在不像笔记本，可以游离于内部和外部的受保护网络，服务器通常不会做出这样的转变。对于多数环境，一旦服务器投入使用，在停运之前有许多年，位置都不会更改。

　　那些与外界隔绝的服务器不需要使用完全驱动加密技术。不过没有受保护的服务器很适合BitLocker。

　　如果你的环境支持分支机构或人造文星网络站点，很可能你没有在这些地方拥有相同的物理保护。甚至在今天，许多业务仍然存储分支机构服务器在雇员的桌面下面，这忽视了安全。

　　对于这些环境而言，就是BitLocker发挥作用的地方了。

　　为什么使用BitLocker？

　　BitLocker是微软为Windows创建加密解决方案的第二次尝试。它的设计旨在增加微软的首次尝试——加密文件系统（EFS）。尽管BitLocker得到了广泛采用，拥有有用的管理工具，和快捷的自动化级别，BitLocker与EFS之间的最大区别在于“完全驱动加密”。

　　使用传统EFS解决方案，你可以轻松在文件对文件或者文件夹对文件夹的基础上加密文件。启用后，只需要在属性菜单里点击就可以加密文件或文件夹。鼠标点击几下，你的敏感数据或文档就加密了。

　　虽然对于重要文件很方便，但是这种方式也是EFS的最大弱点。问题在于file artifact。当打开任何托管应用里的某个文件，新的和未加密的文件可能在任何位置创建。一个暂时的直读文本复制可以在TEMP位置创建，用于紧急恢复。这个系统也，在缓存位置缓存文件，或者文件块。复制与粘贴相对于对新文件的移动操作有着非常不同的影响，无论文件是否加密。

　　由于这些剩余的artifact，安全加密的文件能（或通常）留下几块，跨网络散发一个或更多计算系统。这对于保持加密状态很不好。

　　BitLocker是不同的，因为它马上加密整个驱动。在新版本里，这个驱动也不需要只是系统驱动。通过马上加密每个驱动，BitLocker确保文件级和artifact的安全。

　　分支机构使用BitLocker

　　现在，这种加密整个驱动的方法也更改了BitLocker的使用案例。记住，启用BitLocker的服务器会马上加密整个驱动。这意味着提升服务器开始于解密正在使用的驱动。结果就是BitLocker，不像EFS，它不是用于加密服务器上单独文件的解决方案。你不应该使用BitLocker加密有权访问的文件。

　　你会疑惑这样的加密在正确授权的环境里是用不到的。不能查看文件内容的个体不应该拥有NTFS或者共享级别权限浏览。不过，事实通常被重写，比如公司安全策略和法规遵从托管单个文件加密。对于这些要求，EFS仍然在新操作系统里可用。

　　除了这些需求，BitLocker迟早在硬件会丢失或者盗窃机率高的地方用得着。笔记本就是很好的例子，如USB密匙。

　　如果入侵者偷盗了使用BitLocker的服务器，他们拿驱动上的数据是没有任何办法的。使用128或256位AES加密技术，使得暴力方式侵入内容是不能得逞的。

　　在微软BitLocker Drive Encryption Deployment Guide for Windows 7文档上你能找到大量部署BitLocker的信息。虽然这个指南是关于在Windows 7上部署BitLocker，其内容也适合于Windows Server 2008 R2。