这是一个创建于 2552 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了电脑丢失以后信息不外泄,想给 XPS13 的 SSD 系统盘启用 Bitlocker ,有几个问题,几经搜索没有找到想要的答案,所以请教一下各位 V 友: ( Windows 10 Pro , XPS13 9350 国行, Samsung PM951 256G SSD )
1.Bitlocker 对 SSD 性能有影响吗? 2.Windows 10 提示我的电脑没有 TPM ,查了下似乎国行机子都没有啊,如何开启系统盘的 Bitlocker ? 3.通常我在 win10PE 等恢复环境内对系统盘做定期全盘备份,如果开启 Bitlocker ,还能正常备份系统盘镜像吗? 4.Bitlocker 的安全性到底有多高?(理论上)
 |
1
ProjectAmber 2017-04-23 09:36:11 +08:00 via iPhone  1
1 、影响可以忽略。
2 、组策略。 3 、不知道。 4 、对个人或企业都足够高了( TPM 存在的情况)。 |
 |
2
xrlin 2017-04-23 09:40:47 +08:00 1
1 、我的电脑刚买就开启了 bitlocker ,对性能基本没有影响
2 、没有 TPM 好像没有可以用 U 盘之类的设备存储 key 或者使用密码方式,貌似没有 TPM 不能加密系统盘。 4 、安全性足够高,据说现在还无人可以破解。 |
 |
3
processzzp 2017-04-23 09:44:53 +08:00 1
1 可以认为没有影响
2 修改组策略,让系统允许使用 U 盘或者密码来启用 BitLocker 3 WinRE 环境内要想备份,得先输入密码(有些国产 WinPE 环境精简了 BitLocker 服务)。不过你可以使用 VSS 服务,在正常运行的系统里面备份 4 使用 TPM 的话,在有关部门 /NSA/FBI 面前有可能被破解。使用密钥或者密码的话,取决于密码和密钥的安全性。不过 BitLocker 也不是万能的,还是需要你自己良好的安全习惯。 |
 |
4
geelaw 2017-04-23 09:48:49 +08:00 4
BitLocker 对读写性能当然有影响而且影响是可见的,但是启动系统的时间几乎不会变化;它使用 AES ,你可以选择是 128 还是 256 。
没有 TPM 则需要一个外置 USB 设备或者每次输入密钥,非常麻烦。不同的模式包括: TPM ; TPM+PIN ; TPM+USB ; TPM+PIN+USB ; USB ;密码。 如果 Windows PE 在受 BitLocker 保护的硬盘上,那么访问 Windows PE 之前你需要解开 BitLocker ,要么是自动的( TPM )要么是手动的( USB/密钥);如果 Windows PE 是在不受保护的部分,或者在外置媒体上,那么你需要输入密钥来解锁被 BitLocker 保护的硬盘。 从 TPM 拿出密钥是几乎不可能的,另外有 TPM 的时候, TPM 会验证启动器的完整性;没有 TPM 的时候不太清楚;如果在关掉电脑之后立刻冷冻,可以从硬件( RAM 、磁盘缓存)中提取一些有用的信息,如果用 TPM ,解锁是自动的,所以攻击者可以启动你的电脑,关掉然后冷冻,然后尝试从硬件里面提取信息(有些电脑有不可拆除 RAM )。 |
 |
5
Tony2ee OP |
 |
6
RqPS6rhmP3Nyn3Tm 2017-04-23 10:11:02 +08:00 via iPhone
国行可以有 tpm ,只是你的没有
|
 |
7
ahhui 2017-04-23 10:22:09 +08:00
tpm 是硬件级加密不可缺少的部分,没有他你的加密都是伪的。
|
 |
8
digimoon 2017-04-23 13:08:43 +08:00
可以强制不使用 tpm 弄成启动时候输入密码
|
|
9
digimoon 2017-04-23 13:10:59 +08:00
Disabling TPM in BitLocker
http://truecrypt.sourceforge.net/NoTPM.html |
 |
10
churchmice 2017-04-23 13:24:22 +08:00 via Android
@ahhui 我的理解 TPM 只是把一些密钥信息存在了 TPM 里面,没有 TPM 就是每次开机都得人肉输入密钥
|
 |
11
magiclu 2017-04-23 16:07:19 +08:00
开了 bitlocker (没 tpm ),假如开机时输入 bitlocker 密码时关机,有个命令输入一下能解决,没做记录,记不得了,应该不难找,
还有你假如创建了 vhd ,不会开机时自动加载(不能这样搞双系统了),我只用 win10 一个系统,估计装多系统也挺烦的 我是 三星 850evo 开的硬件自加密,没 tpm 同时有硬件自加密的硬盘(比如三星 850evo )和 tpm ,别用 tpm+硬件自加密,能绕过 备份系统盘镜像 直接在 win10 里备份,不需要 win10PE 等恢复环境的 |
|
12
ahhui 2017-04-23 16:19:55 +08:00
@churchmice 你的理解没有错,但是没有 TPM 意味着密钥存储在可控区域外,泄露和被猜出的几率大大上升。可参考这里的描述: https://msdn.microsoft.com/zh-cn/library/hh831507(v=ws.11).aspx
[我是否能在没有 TPM 的操作系统驱动器上使用 BitLocker ?] [是的,如果 BIOS 或 UEFI 固件具有在启动环境中读取 U 盘的功能,你就可在没有 TPM 版本 1.2 或 2.0 的操作系统驱动器上启用 BitLocker 。 这是因为,在计算机 TPM 或包含该计算的 BitLocker 启动密钥的 U 盘首次发布 BitLocker 自有的卷主密钥前, BitLocker 不会将受保护的驱动器解锁。 但是,没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。] 请注意最后一句。 硬件级支持的加密才更加安全可靠。苹果的设备 FBI 解不开也是因为安全硬件就在 CPU 里,拆出来或者更换了,都无法解密。 |
|
13
ahhui 2017-04-23 16:24:45 +08:00
@churchmice 简单的理解,可以把 TPM 想象成一个加密的密室,加密数据进去后,出来就是解密的,里面用什么密钥进行的操作,外面无从得知,同时芯片在解密的时候,会验证一系列硬件安全特性,如果有问题,解密会被拒绝。那么如果没有这块芯片,数据解密只能在内存里完成,这样意味着无论密钥多么强大,在进入系统引导之后,密钥被留存在内存的某个区域,那么一旦有能深入 ring0 层次的驱动可以访问这块内存,则密钥必然泄露。所以,没有 TPM 安全性会大大降低。
|
|
14
geelaw 2017-04-23 17:30:58 +08:00 1
@ahhui “但是,没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。”
这句话的意思是 TPM 可以验证启动电脑的软件是好的,不会因为软件内置了病毒而被偷走密钥。 例子:没有 TPM 的时候,可以修改 bootloader 使得它加载一段恶意代码,恶意代码展示和 Windows 相同的界面,并允许用户输入密钥或者用 USB 输入密钥,获取密钥后尝试 BitLocker 解锁,如果解锁成功,则把密钥存在一个不加密的区域,等下次接触电脑的时候带走,或者等链接到网络后发送出去。 并不是“密钥存储在可控区域外”,密钥存储在 USB 上(用户控制),或者存储在用户的脑子里。也不会“被猜出的几率大大上升”,泄露的几率增加了,但是如果使用者保证不给不受信任的软件管理员权限,并且保证输入密钥之前电脑总是在自己的控制范围内(比如不能睡一觉之后起来用电脑),那么仍然是安全的。 |
 |
16
ouqihang 2017-04-23 18:32:59 +08:00
学校的电脑 TPM 加密系统盘,见过 2 台电脑开机失败,要输入回复密钥什么的。一次还是自己“亲手“造成的,就是电脑待机,死机了我强行关机,开机后就要输入一串什么码,理由是启动环境变了(应该觉得它要进安全模式)。顿时觉得这东西哪天发神经,直接让你桌面都进不去,弄不好数据全部拜拜。那个密钥我觉得是印在主板 TPM 模块上,要看到必须打开机箱,但机箱有入侵检测, BIOS 毫无疑问是锁住的。从这个方面看,你的数据又是安全的,不让打开机箱不让改启动项。
|
 |
17
davidzhanwork 2017-04-23 21:10:31 +08:00 via Android
推荐 Veracrypt 之类的, bitlocker 感觉功能太弱了
|
Select Language