我台式电脑有两个硬盘,操作系统装在其中一个硬盘上。
我想要实现是:只要 windows 登录密码不泄漏,就算电脑被别人偷走,别人也访问不了硬盘里面的内容,就算别人拆下硬盘装到其他电脑上也读不出数据。
于是我开启了这两个硬盘的 BitLocker 功能。但是每次启动电脑,在进入 windows 之前就要输入 BitLocker 的密码。这样的话家里停电再来电后电脑自动启动,或者 windows 自动更新之后重启,如果没人在电脑前,就会卡在输入 BitLocker 密码的界面,我在外地就无法远程连接到电脑了。
请问我该怎么解决呢?
1
wevsty 2017-05-09 19:59:32 +08:00 1
系统盘不开启 BitLocker 即可,关键文件放到加密的硬盘就行了。
Windows 账户登录密码直接不会影响 BitLocker 加密文件的安全。 |
2
hjc4869 2017-05-09 20:04:15 +08:00 1
你想实现的不是 Bitlocker,而是 EFS。右键文件-属性-高级-加密打开。
|
3
geelaw 2017-05-09 20:09:16 +08:00 1
|
4
kokutou 2017-05-09 20:11:08 +08:00 via Android
EFS
|
6
Osk 2017-05-09 20:11:48 +08:00 1
使用 tpm 模块可以在启动时自动验证启动环境,若没问题,主板可以释放 bitlocker 密钥解密,全程不需交互。
没 tpm 的话,还是想想其他办法吧。 非要使用 bitlocker: 使用 u 盘存放解密密钥,但计算机被盗了的话,解密密钥还不是被直接拿来解密 C 盘,骗自己,而且 U 盘坏了就得麻烦地进行 bitlocker 恢复 不使用 bitlocker 保护吧,万一计算机被人离线注入点什么东西,开机后你解密数据盘,一条命令就把恢复密码搞到手了。而且系统盘不加密,无法使用 bitlocker 自动解密数据盘! 所以在计算机会被其他人物理接触的情况下,TPM 真的是有大用,虽然 TPM 很有可能有 ZF 的后门。以后配计算机 TPM 模块是我的重要选项。 |
7
oisc 2017-05-09 20:12:02 +08:00
你电脑没有 TPM 吧
|
8
ProjectAmber 2017-05-09 20:12:27 +08:00 via iPhone
你需要 TPM。
|
10
zhujinliang 2017-05-09 20:14:24 +08:00 via iPhone
用 ipmi 之类的远程控制
|
11
luos543 2017-05-09 20:43:47 +08:00
关闭自动更新,上 ups 电源
|
12
wevsty 2017-05-09 21:00:48 +08:00
其实楼主不介意性能差点的话,虚拟机可以解决这个问题。
vmware 的产品直接支持对整个虚拟机硬盘加密。 所以楼主可以直接新建一个加密虚拟机,实体机彻底不加密,这样即使没有 TPM 重启也可以保证 Windows 能顺利起来。 因为虚拟机硬盘文件整个都是加密,所以安全性彻底得到保障。 |
14
hjc4869 2017-05-10 00:04:32 +08:00
|
16
netfee 2017-05-10 07:25:52 +08:00 via Android
借楼问一下 BitLocker 足够安全吗?
|
17
acess 2017-05-10 09:09:54 +08:00 1
@netfee
随手一搜: https://zh.scribd.com/doc/130070110/Extracting-Encryption-keys-from-RAM 不过有些硬盘支持加密,可能这样就可以避免从内存中 dump 密钥的问题。 EFS 的问题和这个差不多吧,好像直接拿 SYSTEM 账户打开 certmgr.msc 就可以看到私钥的样子。 |
18
acess 2017-05-10 09:10:56 +08:00
@netfee 如果登录密码足够靠谱,没泄露也不会被暴力猜解,那 EFS 和 BitLocker 都足够靠谱,除非对方可以通过液氮冷却等方法 dump 内存。
|
19
acess 2017-05-10 09:13:08 +08:00
@wevsty 系统盘必须加密,否则……就我知道的,蓝屏 dump,还有休眠文件 hiberfil.sys 就有可能被拿去 dump 内存、读取密钥了。
|
20
acess 2017-05-10 09:19:28 +08:00
@netfee 我说的可能有点误导……
想直接提取 EFS 的密钥,必须让目标账户登录一下。没有目标账户的密码,目标账户没登录的话,私钥也是不会被解密的,有管理员权限(比如用 WinPE 开启 Administrator 账号)也没用。 |
22
wevsty 2017-05-10 09:56:13 +08:00 1
@acess 休眠可以关闭,蓝屏 dump 只要不是完整的内存 dump 也问题不大,只要内存足够大,页面文件也可以关闭。
当然键盘记录器是防不住的,这一点很遗憾。只要能被物理接触,那就是最大的安全漏洞。 加密系统盘唯一的优势就是保证了系统文件的完整性。但是没有 TPM,也没有 IPMI 之类管理工具的情况下,加密系统盘是没办法解决启动问题的。 要能防止被物理接触获取数据,又要不想输入密码就能启动随时远程管理,还没有硬件方面的辅助设备也就只能做到这样了。 从楼主的需求看,只是想防止数据被普通人看到,如果不想花钱用硬件来解决问题,虚拟机的方案应该是最优的。 @xss 可以卖,只是国内要求只能使用国产的 TPM 而已。 |
23
gdtv OP @Osk 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。
|
24
gdtv OP @acess 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。
|
26
gdtv OP @acess 再请教一个问题,如果我的电脑硬件支持 TPM,我启用 BitLocker 加密后,整台电脑被偷了,别人在不知道我 windows 系统登录密码(假设密码足够复杂)的情况下能读取我硬盘上的数据吗?
|
27
acess 2017-05-13 13:26:54 +08:00
@gdtv
我也只是外行啊……我说的仅供参考。 TPM 如果没设 PIN,或者即使开了 PIN,但对方拿到电脑时还没关机,那理论上可能被冷冻内存法直接 dump 内存找出密钥。对了,还有硬件加密没考虑,也许硬盘支持硬件加密,内存里就没密钥了,可能更安全一些。 如果真的对安全要求那么高,那系统安全也得把守住,否则可能被键盘记录、mimikatz 之类手段搞到密码(复杂密码也可能泄露啊)。而且,如果平时使用时,系统有漏洞,或者自己手贱了,中了木马,也会 GG。 |
28
gdtv OP @acess 谢谢,我的要求没这么高,不考虑什么冷冻内存法这些黑科技,只要求普通人解密不了就行。
假如有硬件 TPM,但没设置 PIN,只设置了 windows 系统的登录密码,假如电脑在关机的时候整台被偷了,别人能读取我的资料吗? 例如别人用 WINPE 启动系统,然后把我原来的硬盘挂为从盘,可以读资料吗? |
30
wevsty 2017-05-13 16:00:27 +08:00 1
@gdtv 不开启 BitLocker 就不能保证系统盘的文件安全,即使有 TPM 也一样。TPM 的作用就是储存加密密钥,这样你开机才能不输入密码就自动解密。
EFS 加密是跟 Windows 账户有关的加密方式,但是 EFS 有几个问题,EFS 加密后虽然不能看到文件内容但是依然是可以看到文件名的,EFS 对系统盘的保护有限,并且 EFS 实在太易用了,导致很容易忘记备份 EFS 加密证书,如果忘记备份加密证书那么很容易丢失所有数据。 加密本身就是影响磁盘性能的,无论是 BitLock,EFS 还是其他的加密方案,对磁盘性能都有负面影响。虚拟机的方案里除了显卡性能以外,其他的性能和真机差距没有特别大。至于 vmware 授权的问题,如果不方便,可以使用 virtualbox 或者 Windows 自带的 hyper-v,然后在虚拟机里面启动全盘 BitLocker 就好。 |
31
Osk 2017-05-13 21:30:20 +08:00 1
bitlocker + tpm,从 pe 启动主板是不会释放解密 key 的,windows 分区还是安全的。
|