存储加密技术是一种简单的加密机制，用于加密存储在硬盘和其它一些媒介如备份磁盘上的数据。这种加密技术主要用以应对突发的物理安全攻击事件，如包含敏感数据的笔记本电脑被盗。在这种情况下，Windows 操作系统至少会提供一些保护。假定硬盘使用的是NT文件系统并且也应用了适当的文件系统权限，那么，除非小偷知道用户密码，否则他是不能访问用户数据的。

　　然而，熟悉电脑的小偷会利用一种方法去重新设置本地管理员的密码，从而访问数据，或者只需移去硬盘并把它装在另一台电脑从而避开Windows操作系统的限制。所以，除非这些硬盘上的数据加密了，否则这两种方法可以很快就让小偷访问用户的数据。

　　在以上情况出现时，存储级加密可以保护数据，但有其他一些加密技术达到的效果可以更好。例如，Windows加密文件系统（EFS）可以对数据卷进行加密，但它不能加密包含启动 Windows所需特定硬盘文件的系统卷。这意味着，只有在电脑本身的物理安全得到保障的前提下，EFS加密的数据才会继续受到保护。

　　如果计算机被盗，加密的硬盘又被移除并安装到另一台计算机上，此时EFS加密将会防止数据的泄密。然而，由于系统卷是不受保护，这样就无法阻止小偷采用一种可行的方法重新设置管理员密码，进而启动Windows，用新密码登陆，并获取数据。

　　Windows Vista和Windows Server 2008提供BitLocker功能，从而解决了这个问题。它使用的可信平台模块去加密系统卷。因为这是一个BIOS级的加密机制，所以它能防止密码重置攻击（假设系统卷已被加密）。

　　如果您正在考虑使用存储级加密，此时仔细制定密钥管理计划，并拥有一个密钥恢复机制就显得很重要了。密钥的丢失是一个相当普遍的问题。当钥匙丢失时，加密的数据无法读取。除非有备份的密钥可用，否则其结果将是数据永久性的丢失。

　　第三方的存储级加密产品大多与EFS的工作机制类似，但其管理起来更加容易。除了采用不同的加密算法外，EFS和其他产品一个很重要的区别是密钥存储的方式。

　　Windows把EFS密钥存储在系统盘上，这将产生一些棘手的问题。第一，当系统盘无法正常工作时，密钥便丢失，这将导致数据永久性的丢失，除非有备份的密钥可用（作为域的一部分的Windows工作站通常会指派域管理员作为恢复密钥的代理）。第二，如果一台笔记本电脑被盗，熟练的黑客可以从系统盘上提取到密钥，并利用它们来解开加密的数据。许多第三方的加密产品通过把密钥存储在U盘或网络服务器上来应对这种盗取密钥的方法。