前文说明:
由于屑安的增强型记事本阅读长图文的体验太屑(上传体验更屑),所以在这里放出原文档链接,建议使用MS Office阅读。
链接: https://pan.baidu.com/s/1Gy5ZE9hvTiEaSwHIqnIERA?pwd=hrw8 提取码: hrw8 复制这段内容后打开百度网盘手机App,操作更方便哦
--来自百度网盘超级会员v5的分享
正文:
BitLocker,是微软开发的磁盘加密工具,可以加密本地硬盘和U盘,配合TPM芯片,也可以实现无感加密系统盘,在搭载了Windows10和Windows11系统的很多商务电脑上都默认开启。而网络上的很多教程都推荐用户新电脑到手就直接关闭BitLocker,理由是这个加密会在重装系统或者电脑坏掉的时候让用户无法取出硬盘里的数据,对个人用户而言没什么用处。
https://www.zhihu.com/search?type=content&q=bitlocker
看看B乎吧,大半内容都是在吐槽BitLocker或指导怎么关闭BitLocker。
但如果是我,是不会建议你关闭BitLocker的,原因很简单,在TPM芯片的配合下,BitLocker可以让Windows系统具备一个现代操作系统最基本的安全性,即便是设备丢失,也不能通过直接读取存储器的方式获得用户的文件,这样只要登录密码足够牢固,即便电脑丢失,资料也不会泄漏。
没错,如果当年冠希哥给电脑开了BitLocker,估计就不会有后面那些破事了。他的所作所为暂且不提,有多少人能够接受修电脑的人可以随意的读取自己电脑中的数据呢?反正我是不接受。而且现在都不需要会修电脑,只要会制作pe盘,就可以随便读电脑里的数据,毕竟就算开了BIOS锁定,也可以主板放电解锁。这样一来Windows就毫无安全性可言了,谁还会把重要资料放在电脑里?但问题在于很多重要资料都是电脑产生的,比如工作资料、发表的文章和一些个人信息等。
当然网上大都建议关闭BitLocker也不是完全没有道理,毕竟电脑坏了或是重装系统的时候进入BitLocker recovery界面的时候很多人都是一脸懵的,相比之下直接导出资料自然更方便。
那么现在我们就来验证一个观点,默认开启BitLocker加密的商务电脑,在不没有登录微软账户时,BitLocker是否处于启用状态?这实际上也对应着BitLocker的一个重要机制,就是如果没有备份密钥的环节,BitLocker不会生效,这样就可以防止陷入没有密钥的境地。
不登录微软账户,BitLocker是否生效?
最近公司买了一台新电脑,ThinkPad E15商务笔记本,默认开启BitLocker加密,所以我才能进行这个实验。这台电脑默认安装Windows11家庭版系统,在oobe阶段,用cmd杀进程的方式跳过联网且不登录微软账户,而是新建本地账户。
进入磁盘管理页面,可以看到上面清楚的写着“BitLocker已加密”。
这应该也就是大多数人用电脑的状态了,不登录微软账户,但是正常联网,所以接下来我们进pe,看看能不能读取本机硬盘的文件。
pe系统下,带黄色小锁头的盘符就是本机硬盘的盘符,但是仔细看就会发现,这个小锁头并没有“上锁”。
接下来直接尝试拷贝本机硬盘文件
可以查看
也能拷贝,全程没有输入BitLocker密钥。
看来这个小锁头的提示还是很形象的,虽然有锁头,但是没有上锁,这个时候谁都可以进来。
所以这也就验证了BitLocker的一个重要机制,即没有备份密钥,加密不会生效,但是处于“掩门”的状态,一旦有了备份密钥的操作,比如登录微软账户,这个门就会关上,想进去就只能用钥匙了。
那么问题就来了,网上被BitLocker锁住的案例绝对不少,而且很多当事者表示自己没有登录过微软账户。所以这就成了一个谜题,到底是他们用其他手段备份了密钥而不自知,还是其实登录了微软账户但没注意,或者说BitLocker的密钥机制有问题呢?
为自己的电脑开启BitLocker
上面这些事我们就暂且不管,对于自己的电脑,还是之前那句话,无论硬盘里有没有世俗价值观公认的“高价值信息”,都应该为自己的电脑开启BitLocker。
配备了TPM芯片的电脑
如果你的电脑是9代以上CPU,特别是ThinkPad之类的商务本,那么应该是默认开启BitLocker的,接下来的操作就很简单了,只需要登录微软账户就可以,密钥会自动上传到微软账户,如果还不放心,可以把那个网页打印一份,和自己的户口本、房产证之类的重要文件收到一起。
没有配备TPM芯片的电脑
一些型号比较老的电脑,或者是自己组装的台式机,多半是没有TPM芯片的,有条件的可以自己买一个装上,如果不安装,可以启用组策略——管理模板——windows组件——BitLocker驱动器加密——操作系统驱动器——启用时需要附加身份验证即可,这样就可以对C盘启用BitLocker,不过每次开机都需要输入一遍BitLocker recovery,而且仅限专业版以上的Windows。
BitLocker的其他食用方式
教程:使用BitLocker加密VHD虚拟硬盘
既然BitLocker可以给硬盘加密,那么虚拟硬盘是否可行呢?如果能实现,我们就可以将自己的私人资料放在VHD中,BitLocker加密,然后上传到百度网盘作为冷备份。这样做既防网盘扫描,也防在线解压,还防暴力破解,配上par2或rar分卷,让你的资料高枕无忧。
首先创建一个VHD虚拟硬盘,搜索计算机管理然后打开,选中磁盘管理,然后菜单栏操作——创建VHD,按照提示一路下一步即可,这个位置建议选择动态拓展。
在这里输入一个大概的值,比要放入虚拟硬盘的数据稍大一些即可。
创建好后磁盘管理页就会出现一个新的硬盘,按照设置物理硬盘的方式将其格式化然后分配盘符,即可使用。
本次测试以该虚拟硬盘为实例,测试VHD+BitLocker的实用性。
在资源管理器页面,右键虚拟硬盘盘符,选择“启用BitLocker”,在解锁设置界面我们选择第一项使用密码解锁此驱动器。
然后输入一个随机密码,这个密码无须保存,因为BitLocker会按照这个密码加密硬盘然后生成一个48位随机密钥,真正要保存的是这个密钥,所以这里输入的密码足够长且随机即可。
接下来备份密钥,BitLocker提供了4种方式,本地实例选择第三种,保存到文件。
这个txt文件中包含着密钥,一定要妥善保存。
然后是加密方式,因为是新建的虚拟硬盘,选择第一项即可,速度较快。
选择加密模式,如果你不使用win10以下的系统,选择第一项即可,然后确认开始加密。
加密完成后,在文件资源管理器页面可以看到这个新的虚拟硬盘图标上带了一个打开的小锁头,在磁盘管理页面分离该VHD,然后再次挂载,锁头就会上锁,点击盘符提示输入BitLocker密钥。
选择更多选项中的“输入恢复密钥”,然后打开刚才保存的文件,输入48位恢复密钥,即可解锁VHD。
到此为止你就获得了一个被BitLocker加密的VHD,接下来就可以将自己的私密资料放到这个VHD里,然后上传到百度网盘了。不用担心有谁会破解你的文件,只需要妥善保管刚才导出的恢复密钥txt就可以,建议放到OneDrive里。
讨论:能否信任TPM芯片?
如果在没有TPM芯片的电脑上开启BitLocker,每次开机都需要输入密码,及其麻烦,所以很多新机器上搭载了TPM芯片,它会存储电脑C盘的BitLocker密钥,然后C盘中存储其他盘符的密钥,这样开机后TPM自动释放密钥解锁C盘,C盘中的密钥解锁其他盘,即可做到无感解密。
关于TPM芯片,网上的介绍已经很多了,一个合格的TPM芯片不仅可以检测启动方式的改变,比如更改了启动项、添加了硬件或是修改了引导之类,也就是说当这台电脑可能发生预料之外的改动时,不释放BitLocker密钥,而且自身不能被攻破,存储其中的密钥不能被导出,否则BitLocker形同虚设。
但即便如此,TPM芯片就值得被信任吗?打个比方,你住在房子(系统)里,房子里有你的钱(高价值资料),为此你需要雇一个保安(登录密码)看门,当然保安能做的事是有限的,如果窃贼从窗户进(pe系统直接读硬盘),守在大门的保安是完全不知道的。
所以你买了一个保险柜(BitLocker),设置复杂密码,这样即便窃贼翻窗户进屋,没有保险柜的密码,就拿不到钱(BitLocker可防止pe读硬盘),缺点也明显,就是你每次取钱,都要输入很长的密码打开保险柜,而且一旦忘了密码,钱就拿不回来了。
于是你为了省事,雇了一个优秀的管家守在保险柜旁边(TPM),把保险柜的密码告诉他,每次取钱时让他输密码(受信任的系统启动时TPM自动释放密钥)。不过有些事要和管家说清楚,那就是只要来取钱的不是自己,就不给开保险柜。
当然管家是很敏锐的,即便是你自己,如果走路的姿态不对,都不会开锁。而且管家承诺自己是受过专业训练的,无论用什么手段,都不会招出密码。
问题是真的如此吗?如果TPM芯片不够牢固甚至存在后门,那么搞到BitLocker密钥就是很轻松的事了,所以要不要信任TPM,就是一个选择。
如果不信任,那最好是可以长时间不关机的台式机,开启BitLocker但不配备TPM,这样如果你发现SomeOne在Open Your Door,只要按下机箱上的reboot键,一切就都结束了。
BitLocker的一些疑问
BitLocker有后门吗?
这是一份来自网络上的资料:
https://www.52pojie.cn/thread-1410957-1-1.html
当然这是微软的一面之词,但微软会让一些大客户查看BitLocker的源代码,而且微软公司的员工电脑也是开启BitLocker的。考虑到资本主义国家的很多巨头企业连自己的gov都不信任,BitLocker基本没有存在后门的可能性。
网上卖???(什么情况)BitLocker破解的是怎么回事?
这样的服务确实有很多,但据我个人的经验,所谓“破解”,无外乎两种方法,一是想办法找回你登录在电脑上的微软账号;二是通过其他未加密分区的页面文件或缓存提取数据。如果你没有把密钥上传到微软账户,或是硬盘全盘加密,那谁也没有方法,别问我是怎么知道的。
至于穷举法破解,可以这样想,BitLocker有48位纯数字密钥,即10^48种组合,如果每秒能计算10^20次,一百万亿亿次,遍历密钥需要计算10^28秒,即大约10^20年,而太阳寿命在10^10年,假设密钥为1开头,计算量就只有十分之一,只需要10^19年即可。
还有其他的疑问吗?
欢迎评论区讨论。
Fin~
