V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Tony2ee
V2EX  ›  问与答

关于 Windows10 Bitlocker 的一些问题

  •  
  •   Tony2ee · 2017-04-23 09:27:48 +08:00 · 8325 次点击
    这是一个创建于 2779 天前的主题,其中的信息可能已经有所发展或是发生改变。

    为了电脑丢失以后信息不外泄,想给 XPS13 的 SSD 系统盘启用 Bitlocker ,有几个问题,几经搜索没有找到想要的答案,所以请教一下各位 V 友: ( Windows 10 Pro , XPS13 9350 国行, Samsung PM951 256G SSD )

    1.Bitlocker 对 SSD 性能有影响吗? 2.Windows 10 提示我的电脑没有 TPM ,查了下似乎国行机子都没有啊,如何开启系统盘的 Bitlocker ? 3.通常我在 win10PE 等恢复环境内对系统盘做定期全盘备份,如果开启 Bitlocker ,还能正常备份系统盘镜像吗? 4.Bitlocker 的安全性到底有多高?(理论上)

    17 条回复    2017-04-23 21:10:31 +08:00
    ProjectAmber
        1
    ProjectAmber  
       2017-04-23 09:36:11 +08:00 via iPhone   ❤️ 1
    1 、影响可以忽略。
    2 、组策略。
    3 、不知道。
    4 、对个人或企业都足够高了( TPM 存在的情况)。
    xrlin
        2
    xrlin  
       2017-04-23 09:40:47 +08:00   ❤️ 1
    1 、我的电脑刚买就开启了 bitlocker ,对性能基本没有影响
    2 、没有 TPM 好像没有可以用 U 盘之类的设备存储 key 或者使用密码方式,貌似没有 TPM 不能加密系统盘。
    4 、安全性足够高,据说现在还无人可以破解。
    processzzp
        3
    processzzp  
       2017-04-23 09:44:53 +08:00   ❤️ 1
    1 可以认为没有影响
    2 修改组策略,让系统允许使用 U 盘或者密码来启用 BitLocker
    3 WinRE 环境内要想备份,得先输入密码(有些国产 WinPE 环境精简了 BitLocker 服务)。不过你可以使用 VSS 服务,在正常运行的系统里面备份
    4 使用 TPM 的话,在有关部门 /NSA/FBI 面前有可能被破解。使用密钥或者密码的话,取决于密码和密钥的安全性。不过 BitLocker 也不是万能的,还是需要你自己良好的安全习惯。
    geelaw
        4
    geelaw  
       2017-04-23 09:48:49 +08:00   ❤️ 4
    BitLocker 对读写性能当然有影响而且影响是可见的,但是启动系统的时间几乎不会变化;它使用 AES ,你可以选择是 128 还是 256 。

    没有 TPM 则需要一个外置 USB 设备或者每次输入密钥,非常麻烦。不同的模式包括: TPM ; TPM+PIN ; TPM+USB ; TPM+PIN+USB ; USB ;密码。

    如果 Windows PE 在受 BitLocker 保护的硬盘上,那么访问 Windows PE 之前你需要解开 BitLocker ,要么是自动的( TPM )要么是手动的( USB/密钥);如果 Windows PE 是在不受保护的部分,或者在外置媒体上,那么你需要输入密钥来解锁被 BitLocker 保护的硬盘。

    从 TPM 拿出密钥是几乎不可能的,另外有 TPM 的时候, TPM 会验证启动器的完整性;没有 TPM 的时候不太清楚;如果在关掉电脑之后立刻冷冻,可以从硬件( RAM 、磁盘缓存)中提取一些有用的信息,如果用 TPM ,解锁是自动的,所以攻击者可以启动你的电脑,关掉然后冷冻,然后尝试从硬件里面提取信息(有些电脑有不可拆除 RAM )。
    Tony2ee
        5
    Tony2ee  
    OP
       2017-04-23 09:57:19 +08:00
    @ProjectAmber
    @xrlin
    @processzzp
    @geelaw
    谢谢您的回答 感谢已发送
    RqPS6rhmP3Nyn3Tm
        6
    RqPS6rhmP3Nyn3Tm  
       2017-04-23 10:11:02 +08:00 via iPhone
    国行可以有 tpm ,只是你的没有
    0TSH60F7J2rVkg8t
        7
    0TSH60F7J2rVkg8t  
       2017-04-23 10:22:09 +08:00
    tpm 是硬件级加密不可缺少的部分,没有他你的加密都是伪的。
    digimoon
        8
    digimoon  
       2017-04-23 13:08:43 +08:00
    可以强制不使用 tpm 弄成启动时候输入密码
    digimoon
        9
    digimoon  
       2017-04-23 13:10:59 +08:00
    churchmice
        10
    churchmice  
       2017-04-23 13:24:22 +08:00 via Android
    @ahhui 我的理解 TPM 只是把一些密钥信息存在了 TPM 里面,没有 TPM 就是每次开机都得人肉输入密钥
    magiclu
        11
    magiclu  
       2017-04-23 16:07:19 +08:00
    开了 bitlocker (没 tpm ),假如开机时输入 bitlocker 密码时关机,有个命令输入一下能解决,没做记录,记不得了,应该不难找,

    还有你假如创建了 vhd ,不会开机时自动加载(不能这样搞双系统了),我只用 win10 一个系统,估计装多系统也挺烦的

    我是 三星 850evo 开的硬件自加密,没 tpm

    同时有硬件自加密的硬盘(比如三星 850evo )和 tpm ,别用 tpm+硬件自加密,能绕过

    备份系统盘镜像 直接在 win10 里备份,不需要 win10PE 等恢复环境的
    0TSH60F7J2rVkg8t
        12
    0TSH60F7J2rVkg8t  
       2017-04-23 16:19:55 +08:00
    @churchmice 你的理解没有错,但是没有 TPM 意味着密钥存储在可控区域外,泄露和被猜出的几率大大上升。可参考这里的描述: https://msdn.microsoft.com/zh-cn/library/hh831507(v=ws.11).aspx

    [我是否能在没有 TPM 的操作系统驱动器上使用 BitLocker ?]

    [是的,如果 BIOS 或 UEFI 固件具有在启动环境中读取 U 盘的功能,你就可在没有 TPM 版本 1.2 或 2.0 的操作系统驱动器上启用 BitLocker 。 这是因为,在计算机 TPM 或包含该计算的 BitLocker 启动密钥的 U 盘首次发布 BitLocker 自有的卷主密钥前, BitLocker 不会将受保护的驱动器解锁。 但是,没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。]

    请注意最后一句。

    硬件级支持的加密才更加安全可靠。苹果的设备 FBI 解不开也是因为安全硬件就在 CPU 里,拆出来或者更换了,都无法解密。
    0TSH60F7J2rVkg8t
        13
    0TSH60F7J2rVkg8t  
       2017-04-23 16:24:45 +08:00
    @churchmice 简单的理解,可以把 TPM 想象成一个加密的密室,加密数据进去后,出来就是解密的,里面用什么密钥进行的操作,外面无从得知,同时芯片在解密的时候,会验证一系列硬件安全特性,如果有问题,解密会被拒绝。那么如果没有这块芯片,数据解密只能在内存里完成,这样意味着无论密钥多么强大,在进入系统引导之后,密钥被留存在内存的某个区域,那么一旦有能深入 ring0 层次的驱动可以访问这块内存,则密钥必然泄露。所以,没有 TPM 安全性会大大降低。
    geelaw
        14
    geelaw  
       2017-04-23 17:30:58 +08:00   ❤️ 1
    @ahhui “但是,没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。”

    这句话的意思是 TPM 可以验证启动电脑的软件是好的,不会因为软件内置了病毒而被偷走密钥。

    例子:没有 TPM 的时候,可以修改 bootloader 使得它加载一段恶意代码,恶意代码展示和 Windows 相同的界面,并允许用户输入密钥或者用 USB 输入密钥,获取密钥后尝试 BitLocker 解锁,如果解锁成功,则把密钥存在一个不加密的区域,等下次接触电脑的时候带走,或者等链接到网络后发送出去。

    并不是“密钥存储在可控区域外”,密钥存储在 USB 上(用户控制),或者存储在用户的脑子里。也不会“被猜出的几率大大上升”,泄露的几率增加了,但是如果使用者保证不给不受信任的软件管理员权限,并且保证输入密钥之前电脑总是在自己的控制范围内(比如不能睡一觉之后起来用电脑),那么仍然是安全的。
    0TSH60F7J2rVkg8t
        15
    0TSH60F7J2rVkg8t  
       2017-04-23 17:34:30 +08:00 via iPhone
    @geelaw 感谢指正
    ouqihang
        16
    ouqihang  
       2017-04-23 18:32:59 +08:00
    学校的电脑 TPM 加密系统盘,见过 2 台电脑开机失败,要输入回复密钥什么的。一次还是自己“亲手“造成的,就是电脑待机,死机了我强行关机,开机后就要输入一串什么码,理由是启动环境变了(应该觉得它要进安全模式)。顿时觉得这东西哪天发神经,直接让你桌面都进不去,弄不好数据全部拜拜。那个密钥我觉得是印在主板 TPM 模块上,要看到必须打开机箱,但机箱有入侵检测, BIOS 毫无疑问是锁住的。从这个方面看,你的数据又是安全的,不让打开机箱不让改启动项。
    davidzhanwork
        17
    davidzhanwork  
       2017-04-23 21:10:31 +08:00 via Android
    推荐 Veracrypt 之类的, bitlocker 感觉功能太弱了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   927 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:59 · PVG 03:59 · LAX 11:59 · JFK 14:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.