Osk
2020-09-09 11:31:38 +08:00
点错发送了: 开启 bitlocker,其它方式安全性都达不到 (比如 efs )。
做个 Bitlocker 的简单 Q&A 吧:
Windows 10 版本的选择.
首先,使用管理员身份运行 msinfo32 , 查看设备加密这一栏是否满足要求, 如果不满足, 则建议升级到专业版及以上的 SKU, 不然无法创建 bitlocker 加密的卷.满足设备加密的设备, Windows 会在后台自己完成分区加密, 直接启用即可. 但家庭版用 bitlocer 也不是那么方便, 有条件去升级专业版, 盗版的方式就不说了, 正版的可以考虑 OEM 授权的 key, 100 以上的价位, 并不是太贵, 只是不太清楚微软如何看待这些市面上公开出售的 OEM key. oem key 理论上是无法转移授权的.
硬件要求:
最好: TPM 2.0 + SecureBoot, 固件 /BIOS 启用密码.
没有 SecureBoot 影响不大, TPM 1.2/2.0 比较重要, 很影响使用体验.
TPM 可以对启动环境进行检查, 如果没有发生变化则释放密钥自动解密, 不需要输入密码. 如果提示输入密码, 这表明硬件 /软件做了修改, 用户需要注意, 一般建议是不要在这个时候贸然输入密码, 而是由 IT 检查触发 Bitlocker 恢复的原因.
SecureBoot 可以保护 Bootloader 没被篡改, 其实 TPM 本身也可以做到一定检查, 但没有 Secureboot 那样到位.
如果是 intel 6 代以后的 CPU, 一般有 SecureBoot + fTPM 2.0 支持, BIOS 中打开即可.
如果没有 TPM, 则开机需要使用 密码或者 U 盘解密(U 盘不能让不信任的人接触到, 里面有解密的 key 文件). 比 TPM 安全性差一些, 不过还是防一大堆人了.
有 TPM 时可以启用 TPM + PIN 保护, TPM + PIN 安全性更高, 但开机需要输入 PIN, PIN 不同于密码, 只有 PIN 是无法得到 bitlocker 的解密密钥的, 它还需要主板的 TPM 配合, 这个 PIN 码被其他人看到了影响应该是不会很大的, 只要及时修改.
TPM 安全吗?
不安全, 反正我个人认为可信平台模块(TPM)是不可信的, 鬼才知道芯片厂家有没有后门漏洞, 而且众所周知, 一些地区要求使用指定厂家的 TPM 芯片, 此事很有意思, 可以自行品味.
不过, TPM 不可信是相对来说的, 对普通人来说, TPM 破解的难度是比较高的, 所以大部分环境下, TPM 确实是可信的.
我重装系统了 /更换主板了 Bitlocker 加密的数据会不会丢失?
Bitlocker 一般有两个 key protector(你可以自己添加更多):
有 TPM 可以: TPM (+PIN) 和 Recovery password.
无 TPM 可以: 密码 /U 盘密钥 + Recovery Password.
Recovery password 是一串 40 位的数字, 在启用 bitlocker 时, 你可以选择打印此密码, 保存到 txt, 保存到微软账户(已登录微软账户时可用)
只要 recovery pass word 还在, 那就可以在重装或者换主板后输入 recovery password 解密, 然后新平台上启用 TPM/自动解锁 key protector.
只要 recovery password 还在, 数据就不会丢!
数据分区咋办?
OS 分区(C 盘)可以使用密码 /TPM 解锁, 数据分区可以使用密码(每次都得输入密码或者恢复密码)或者启用自动解锁, 保存好 recovery password 即可.
bitlocker 安全吗?
应该没啥大问题, 目前有用显卡破解 bitlocker key 的软件, 但好像成本比较高, 对普通人来说, 意义不大, 可认为安全.
启动到 PE 会不会看多文件?
不行, 启动环境变了, TPM 不会放出 key, 需要输入 recovery password 才能访问被加密的分区.
bitlocker + TPM 用的好你根本感觉不到 Bitlocker 的存在, 这就是 Bitlocker 的优势.