欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

BitLocker如何保护你的系统磁盘

来源:本站整理 作者:佚名 时间:2020-02-13 TAG: 我要投稿

Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM,则必须通过使用组策略更改BitLocker安装向导的默认行为,或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时,所需加密密钥存储在USB闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。
如果你是一个Windows用户,并且使用过全盘加密保护数据,则可能听说过BitLocker。 BitLocker是Microsoft对全盘加密的实现,许多Windows版本都内置了BitLocker。你甚至可能在没有意识到自己使用BitLocker的情况下使用了它。例如,如果你有Surface或类似的轻薄Windows设备。同时,如果你使用的是Windows 10的家庭版,则默认情况下台式机上不提供BitLocker加密。即使在Windows版本支持的情况下,激活系统磁盘上的BitLocker也可能很棘手,并且可能无法立即生效。在本文中,我们将介绍BitLocker加密。我们将详细介绍BitLocker可以有效保护你的数据免受威胁的类型,以及对BitLocker无用的威胁类型。最后,我们将描述如何在不符合Microsoft硬件要求的系统上激活BitLocker,并评估在安全性上是否值得。
BitLocker加密的安全漏洞
但BitLocker加密并不代表着绝对安全,尽管BitLocker使用行业标准的AES加密安全地加密你的数据,但它只能保护你的数据免受一系列非常具体的威胁。
比如,在以下情况下,BitLocker可以有效地保护你的数据。
你的硬盘驱动器已从计算机中卸载
不管出于什么原因,一旦你从计算机上卸下了硬盘驱动器或SSD驱动器,则数据将受到128位加密密钥的安全保护,不过需要更高级别安全性的用户可以在设置BitLocker时指定256位加密。
那这种保护的安全性如何,如果你使用的是TPM保护(稍后会详细介绍),则它非常安全,就像AES算法本身一样安全,在外行看来,128位或256位加密同样强大。
但是,如果在没有TPM的计算机上启用了BitLocker,则BitLocker加密将与你设置的密码一样安全。因此,请确保指定一个足够强、足够长且绝对唯一的密码。
计算机被盗
如果你的计算机都被盗,则数据的安全性取决于你所使用的BitLocker保护类型以及Windows密码的强度。最简单的方法是“TPM only”(稍后会详细介绍)。不过,这也是最不安全的方法,因为你的计算机将在登录Windows之前就解密硬盘。
如果你使用的是“TPM only”保护策略,则任何知道你的Windows帐户密码(如果你使用Microsoft帐户作为Windows 10登录名,则知道你的Microsoft帐户密码)的人都可以解锁你的数据。
TPM + PIN更加安全;在某种程度上,它实际上与裸机驱动器一样安全。
如果你在未安装TPM或Intel PTT的情况下设置BitLocker保护,则将不得不使用该密码。在这种情况下,数据将和你的密码一样安全。 BitLocker旨在减缓暴力攻击的速度,因此,即使是8个字符的密码也可以为你的数据提供安全保护。
同一台计算机上的其他用户
 如果任何人都可以登录到你的计算机并访问其帐户,则表明该磁盘卷已被解密,BitLocker保护失效。
恶意软件/勒索软件以及网络威胁
BitLocker不会采取任何措施来保护你的数据免受恶意软件,勒索软件或网络威胁的攻击。
换句话说,如果你要出售或格式化硬盘驱动器来保护数据,BitLocker是完美的选择。如果整个计算机都被盗了,则保护数据的前提条件就不存在了。
系统要求
大多数人认为系统的默认要求仅是一种流程形式,但BitLocker并非如此。为了使用BitLocker保护启动设备,你必须运行Windows 10 Professional或更高版本。 比如,Windows 10 Home就不支持BitLocker系统加密。
更让人困惑的是,微软甚至在安装了Windows 10 Home的设备上也支持BitLocker设备保护。实际上,这是相同的加密,只是有一些限制。BitLocker设备保护可用于薄轻设备(如Microsoft Surface),支持连接备用,并配备固态存储。这些设备必须配备TPM2.0模块或Intel PTT技术。
如果你在TPM2.0或Intel PTT中使用Windows 10 Professional或更高版本,你可以直接启用BitLocker。然而,大多数计算机没有配备TPM模块,只有最新的计算机(英特尔第8代和第9代主板,不过一些较高端的主板可能支持英特尔PTT与较老的处理器)支持英特尔平台信任技术。默认情况下,甚至没有在BIOS中启用Intel PTT。因此,你必须手动启用,以将其用于BitLocker保护。

或者,你可以执行组策略编辑以启用不带硬件保护模块的BitLocker。
如果你的计算机满足要求,即存在硬件TPM2.0模块或基于软件的英特尔平台信任技术,则在计算机上启用BitLocker就像打开“控制面板”并启动BitLocker驱动器加密小程序一样容易。请注意,并不是所有版本的Windows 10都可以使用BitLocker保护。

一旦你点击“打开BitLocker”,Windows会提示你创建一个托管密钥(BitLocker恢复密钥)。强烈建议你这样做,总而言之,对于大多数家庭用户而言,将恢复密钥存储在你的Microsoft帐户中可能是一个不错的选择,而员工会将其恢复密钥存储在公司的Active Directory中。将密钥保存到文件中或将其打印出来也是有效的选项,它们将提供与你的个人保险箱相同的安全性。

轻薄设备(例如Windows平板电脑和超级本)可以使用设备加密来保护,而不是使用BitLocker驱动器加密。算法本质上是相同的,但是,兼容性要求不同。设备加密可用于运行任何Windows 10版本的轻薄设备,而BitLocker驱动器加密不适用于Windows 10家庭用户。如果你有数据要保护,则需要为升级到Windows 10专业版支付费用。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载