Windows BitLocker 驅動器加密常見問題解答
Windows(R) BitLocker(TM) 驅動器加密是一項可以在 WindowsVista® Enterprise、WindowsVista® Ultimate 和 WindowsServer®2008 中使用的數據保護功能。
概述和要求
- BitLocker 是什么?它的工作原理是什么?
- BitLocker 是否支持多重身份驗證?
- BitLocker 的硬件和軟件要求是什么?
- 為何需要兩個分區?為何必須具備如此大的系統分區?
- BitLocker 支持哪些 TPM?
- 如何判斷我的計算機是否具有 TPM 1.2?
- 是否可以在沒有 TPM 1.2 的計算機上使用 BitLocker?
- 如何在我的計算機上獲取 TPM 的 BIOS 支持?
升級
- 哪些版本的 Windows Vista 包括 BitLocker?是否可以在基于 WindowsXP 的計算機上使用 BitLocker?
- 如何將基于 WindowsXP 的計算機升級到帶有用于 BitLocker 的必需磁盤配置的 Windows Vista?
- 關閉 BitLocker 時禁用和解密之間有什么區別?
- 是否必須解密加密卷才能下載和安裝系統更新和升級?
部署和管理
- 是否可以在企業環境中自動部署 BitLocker?
- 除加密操作系統卷外,BitLocker 是否還加密其他卷?
- 在基于 Windows Vista 的計算機上啟用 BitLocker 時,是否會給性能帶來顯著影響?
- 啟用 BitLocker 時,初始加密大約需要多長時間?
- 在加密或解密過程中關閉計算機會發生什么情況?
- 在 BitLocker 執行轉換操作時,為何顯示卷中的大多數可用空間被占用?
- BitLocker 在讀寫數據時是否同時加密和解密整個卷?
- 如何防止網絡上的用戶在未加密的卷中存儲數據?
- 哪些系統更改將導致計算機上的完整性檢查失敗?
- 啟用 BitLocker 時是否可以在同一臺計算機上替換硬盤?
- 將硬盤插入其他計算機時是否可以訪問 BitLocker 加密的卷?
- 是否可以在啟用 BitLocker 的計算機上配置 Windows Vista 和另一個操作系統的雙重啟動?
密鑰管理
- TPM 密碼、恢復密碼、恢復密鑰、PIN 和啟動密鑰之間有什么區別?
- 如何存儲恢復密碼?
- 如果丟失了恢復信息,是否無法恢復 BitLocker 加密的數據?
- 如果僅啟用 TPM 身份驗證方法,在不解密驅動器的情況下,是否可以添加其他身份驗證方法?
- 用作啟動密鑰的 USB 閃存驅動器是否還可用于存儲恢復密鑰?
- 是否可以在多個 USB 閃存驅動器上保存啟動密鑰?
- 是否可以在同一個 USB 閃存驅動器上保存多個(不同的)啟動密鑰?
- 是否可以為同一臺計算機生成多個(不同的)啟動密鑰?
- 是否可以生成多個 PIN 組合?
- BitLocker 中使用什么加密密鑰?它們是如何一起工作的?
- 加密密鑰存儲在何處?
- 為何必須使用功能鍵輸入 PIN 或 48 個字符的恢復密碼?
- BitLocker 如何防止攻擊者發現 PIN?
- 如何評估 TPM 的字典攻擊緩解機制?
- 是否可以利用組策略管理 PIN 的長度和復雜性?
- 如何使用 PIN 和 TPM 派生卷主密鑰?
Active Directory 域服務
.gif) 要點 |
|---|
| 有關如何為 BitLocker 配置 Active Directory 域服務 (ADDS) 的詳細說明,請參閱 http://go.microsoft.com/fwlink/?LinkId=67438(可能為英文網頁)。 |
- BitLocker 是否需要架構擴展才能在 ADDS 中存儲恢復信息?
- ADDS 中存儲什么類型的信息?
- 在從客戶端到 ADDS 傳輸恢復信息的時候,如何保障這些信息的安全?
- ADDS 中存儲的 BitLocker 恢復信息是否為純文本格式?
- 將計算機加入域之前在計算機上啟用 BitLocker 會怎么樣?
- 如果在計算機上更改 BitLocker 恢復密碼并將該密碼存儲到 ADDS 中,則其是否覆蓋 ADDS 中存儲的舊恢復密碼?
安全
- BitLocker 使用什么加密形式?該加密形式是否可配置?
- 擴散器是什么?
- 配置 BitLocker 的最安全方式是什么?
- BitLocker 對使用睡眠或休眠電源管理選項有什么含意?
- 使用 TPM 的優勢是什么?
- Microsoft 是否為 BitLocker 實行安全認證?
其他問題
- 是否可以將 EFS 與 BitLocker 一起使用?
- 是否可以使用 BitLocker 運行內核調試程序?
- BitLocker 如何處理內存轉儲?
- BitLocker 是否支持使用智能卡進行預啟動身份驗證?
- 是否可以使用非 Microsoft TPM 驅動程序?
- 是否可以將應用程序直接寫入 TPM 基本服務?
- 如何確定 TPM 的制造商?
- 用于管理或修改主啟動記錄的其他工具是否可以與 BitLocker 一起工作?
- BitLocker 是否可以在使用基于 EFI 的系統固件的計算機上工作?
概述和要求
BitLocker 是什么?它的工作原理是什么?
Windows BitLocker 驅動器加密是一項可以在客戶端計算機的 Windows Vista Enterprise 和 Windows Vista Ultimate 以及 Windows Server2008 中使用的數據保護功能。BitLocker 針對已丟失或已盜計算機上的數據偷竊和暴露提供增強的保護,而且,在解除 BitLocker 保護的計算機的授權時,還可以更加安全地刪除計算機上的數據。
已丟失或已盜計算機上的數據容易受到未經授權的訪問,方法是對該計算機運行軟件攻擊工具或者將該計算機的硬盤轉移到另一臺計算機。BitLocker 通過組合兩個主要的數據保護步驟幫助減少已丟失或已盜計算機上未經授權的數據訪問:
- 加密硬盤上的整個 Windows 操作系統卷。BitLocker 對操作系統卷中包括交換文件和休眠文件在內的所有用戶文件和系統文件進行加密。
- 檢查早期啟動組件和啟動配置數據的完整性。在具有受信任的平臺模塊版本 1.2 的計算機上,BitLocker 利用 TPM 的增強安全功能,幫助確保僅當計算機的啟動組件沒有被改動且加密的磁盤還位于原始計算機上時才可能訪問其中的數據。
BitLocker 緊密集成到 WindowsVista 中,為企業提供易于管理和配置的增強數據保護。例如,BitLocker 可以使用現有的 Microsoft Active Directory 域服務 (ADDS) 基礎結構遠程存儲 BitLocker 恢復密鑰。BitLocker 還提供一個恢復控制臺,可以為未加入域的計算機或無法連接到域的計算機(如現場中的計算機)檢索數據。
BitLocker 是否支持多重身份驗證?
如果您在具有 TPM 版本 1.2 的計算機上啟用 BitLocker,則可將另一種身份驗證方法添加到 TPM 保護。BitLocker 提供鎖定正常啟動過程的選項,直到用戶提供個人標識號 (PIN) 或插入包含 BitLocker 啟動密鑰的 USB 設備(如閃存驅動器)。這些附加的安全措施提供多重身份驗證,幫助確保在提供正確的 PIN 或啟動密鑰之前,計算機不會啟動或從休眠中恢復。
BitLocker 的硬件和軟件要求是什么?
若要充分利用 BitLocker 的全部功能,您的計算機必須符合下表列出的硬件和軟件要求。
BitLocker 硬件和軟件要求
| 要求 | 描述 |
|---|---|
|
硬件配置 |
計算機必須符合 WindowsVista 的最低要求。有關 WindowsVista 要求的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83233(可能為英文網頁)。 |
|
操作系統 |
Windows Vista Ultimate 或 Windows Vista Enterprise。這兩種操作系統都包括 BitLocker 驅動器加密功能。 |
|
硬件受信任的平臺模塊 (TPM)* |
TPM 版本 1.2 |
|
BIOS 配置 |
|
|
文件系統 |
兩個 NTFS 磁盤分區,一個用于系統卷,另一個用于操作系統卷。系統卷分區大小必須至少為 1.5GB 并被設置為活動分區。 |
*TPM 并非 BitLocker 所必需;但只有具有 TPM 的計算機才可以提供預啟動系統完整性驗證的附加安全性。
為何需要兩個分區?為何必須具備如此大的系統卷?
之所以運行 BitLocker 需要兩個分區,是因為預啟動身份驗證和系統完整性驗證都必須在加密的操作系統卷外執行。此配置有助于保護操作系統和加密卷中的信息。非加密系統卷的大小應該至少為 1.5千兆字節 (GB),這樣才有足夠的空間來保存啟動文件、Windows 預執行環境 (WinPE) 和可能專用于設置或升級程序的其他文件。計算機制造商和企業客戶還可以在此卷中存儲系統工具或其他恢復工具。
BitLocker 支持哪些 TPM?
BitLocker 支持受信任的平臺模塊 (TPM) 版本 1.2。BitLocker 不支持舊的 TPM。與以前的版本相比,版本1.2 的 TPM 提供已提高的標準化,安全增強和已改進的功能。WindowsVista 就是利用這些 TPM 增強設計的。
如何判斷我的計算機是否具有 TPM 版本 1.2?
在 BitLocker 控制面板中,單擊“打開 BitLocker”鏈接。如果收到以下錯誤消息,則說明您的計算機上要么沒有 TPM 版本1.2,要么 BIOS 與 BitLocker 或 TPM 不兼容:
找不到 TPM。TPM 是打開 BitLocker 所必需的。如果您的計算機上具有 TPM,則與計算機制造商聯系,了解如何設置與 BitLocker 兼容的 BIOS。
如果收到此錯誤消息,則與計算機制造商聯系,驗證計算機上是否具有 TPM 版本1.2,或者更新 BIOS。
有些計算機可能具有 TPM,但在 WindowsVista TPM Microsoft 管理控制臺管理單元 (tpm.msc) 中不顯示。如果您認為您的計算機上有 TPM 版本 1.2,卻收到了此錯誤,請與計算機制造商聯系以升級 BIOS。此外,有些制造商提供的 BIOS 設置在默認情況下隱藏了 TPM,還有一些制造商提供的 TPM 在 BIOS 中啟用之前是不可用的。如果您相信 TPM 隱藏了在 BIOS 中,則參考制造商的文檔,該文檔中有關于如何取消隱藏和/或啟用 TPM 的詳細說明。
是否可以在沒有 TPM 版本 1.2 的計算機上使用 BitLocker?
可以,只要 BIOS 具有在啟動環境中從 USB 閃存驅動器讀取內容的能力,就可以在沒有 TPM 版本 1.2 的計算機上啟用 BitLocker。這是因為在計算機的 TPM 或包含該計算機的 BitLocker 啟動密鑰的 USB 閃存驅動器首先發布 BitLocker 自己的卷主密鑰之前,BitLocker 不會解除鎖定受保護的卷。不過,沒有 TPM 的計算機無法利用 BitLocker 另外提供的系統完整性驗證。
若要確定在啟動過程中計算機是否可以從 USB 設備讀取內容,請將 BitLocker 系統檢查用作 BitLocker 安裝過程的一部分。此系統檢查可執行測試,確認計算機可以在適當的時間從 USB 設備正確讀取內容并符合 BitLocker 的其他要求。
若要在沒有 TPM 的計算機上啟用 BitLocker,請使用組策略啟用高級 BitLocker 用戶界面。啟用高級選項后,BitLocker 安裝向導中將顯示非 TPM 設置。有關使用組策略啟用高級用戶選項的說明,請參閱 http://go.microsoft.com/fwlink/?LinkId=83223(可能為英文網頁)。
如何在我的計算機上獲取 TPM 的 BIOS 支持?
直接與計算機制造商聯系,請求與受信任計算機組 (TCG) 兼容的 BIOS。請求 BIOS 時詢問以下問題:
- 計算機上是否存在 WindowsVista 可用的 BIOS?該 BIOS 是否通過了 WindowsVista 徽標測試?
- 該 BIOS 是否與受信任計算組 (TCG) 兼容?
- 該 BIOS 是否具有防止在計算機上安裝惡意 BIOS 的安全更新機制?
升級
哪些版本的 Windows Vista 包括 BitLocker?是否可以在基于 WindowsXP 的計算機上使用 BitLocker?
BitLocker 在 Windows Vista Ultimate 和 Windows Vista Enterprise 中都可用。BitLocker 在 WindowsXP 中不可用。
如何將基于 WindowsXP 的計算機升級到帶有用于 BitLocker 的必需磁盤配置的 Windows Vista?
您必須首先安裝 Windows Vista Ultimate 或 Windows Vista Enterprise,然后運行 BitLocker 驅動器準備工具。此工具自動為 BitLocker 配置磁盤分區布局。有關 BitLocker 驅動器準備工具的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83261(可能為英文網頁)。
關閉 BitLocker 時禁用和解密之間有什么區別?
“解密”完全刪除 BitLocker 保護并且完全解密卷。
“禁用”保持數據的加密狀態,不過僅以明文密鑰的形式加密 BitLocker 卷主密鑰。明文密鑰是在磁盤卷上以非加密和非保護形式存儲的加密密鑰。禁用選項通過存儲此非加密密鑰,允許更改或升級計算機而無需花費解密和重新加密整個卷所需的時間和成本。完成更改并再次啟用 BitLocker 后,BitLocker 將加密密鑰重新封裝為作為升級一部分更改的測量組件的新值并擦除明文密鑰。
是否必須解密加密卷才能下載和安裝系統更新和升級?
任何系統升級(包括使用 Windows Anytime Upgrade 進行的升級)在安裝前都需要解密卷。各種非 Microsoft 更新在安裝前都要求禁用 BitLocker。來自 Microsoft Update 的更新不需要解密卷,也不需要禁用 BitLocker。
請參閱下表以確定在執行安裝升級或更新前是否必須禁用 BitLocker 或解密卷。
| 操作 | 更新類型 |
|---|---|
|
解密 |
系統升級(包括 Windows Anytime Upgrade) |
|
禁用 |
非 Microsoft 軟件更新,如:
|
安裝升級/更新后,可以重新啟用 BitLocker。重新啟用 BitLocker 時,它會將加密密鑰重新封裝為作為更新一部分更改的測量組件的新值。如果在沒有解密/禁用 BitLocker 的情況下應用了這些類型的升級/更新,則在重新啟動時計算機將進入恢復模式,需要提供恢復密鑰或密碼才能訪問計算機。
部署和管理
是否可以在企業環境中自動部署 BitLocker?
可以,您可以通過使用用于 BitLocker 和 TPM 管理的 Windows Management Instrumentation (WMI) 提供程序的腳本自動部署和配置 BitLocker。選擇實現腳本的方式取決于環境。此外,還可以使用 BitLocker 命令行工具 manage-bde.wsf 本地或遠程配置 BitLocker。有關編寫使用 BitLocker WMI 提供程序的腳本的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=80600(可能為英文網頁)。
除加密操作系統卷外,BitLocker 是否還加密其他卷?
BitLocker 提供一個用戶界面,用于加密整個操作系統卷,包括 Windows 系統文件和休眠文件。您可以有選擇地使用 WindowsVista 中的加密文件系統 (EFS) 來保護其他卷。默認情況下,EFS 密鑰存儲在操作系統卷中。因此,如果為操作系統卷啟用 BitLocker,則由 EFS 保護的所有數據同時都在 BitLocker 的間接保護之下。此外,高級用戶還可以使用命令行接口 (manage-bde.wsf) 來加密本地數據卷。
在基于 Windows Vista 的計算機上啟用 BitLocker 時,是否會給性能帶來顯著影響?
不會,在正常使用時,BitLocker 對計算機性能沒有顯著影響;它一般僅利用百分之幾的性能開銷。
啟用 BitLocker 時,初始加密大約需要多長時間?
在大多數情況下,BitLocker 加密以大約每分鐘 1 千兆字節 (GB) 的速度進行。加密在后臺進行,不影響系統可用性,您可以繼續工作。
在加密或解密過程中關閉計算機會發生什么情況?
關閉計算機可中斷 BitLocker 加密和解密過程,在下次啟動 Windows 時它將從中斷處恢復。即使突然停電也是如此。
在 BitLocker 執行轉換操作時,為何顯示卷中的大多數可用空間被占用?
BitLocker 在加密卷時無法忽略可用空間,因為未分配的磁盤空間通常包含用戶認為已刪除的殘留數據。然而,加密卷上的可用空間會使加密過程變得效率低下。為了解決此問題,BitLocker 首先創建一個占用大多數可用磁盤空間的大型占位符文件,然后刪除屬于占位符文件的磁盤扇區。在此過程中,BitLocker 為短期系統需要保留 6 千兆字節 (GB) 的可用空間。所有其他空間(包括占位符文件未占用的 6 GB 可用空間)都將被加密。暫停卷加密時或者卷加密完成時,系統將刪除占位符文件,從而使可用空間量恢復正常。
有關此過程的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83240(可能為英文網頁)。
BitLocker 在讀寫數據時是否同時加密和解密整個卷?
不,BitLocker 在讀寫數據時不加密和解密整個卷。系統讀操作請求 BitLocker 保護卷中的加密扇區時,僅解密這些扇區。對于要寫入卷的塊,系統在寫入物理磁盤前,需要對其進行加密。在啟用 BitLocker 的卷上,決不會存儲任何未加密的數據。
如何防止網絡上的用戶在未加密的卷中存儲數據?
如果擔心用戶可能在無意中在未加密的卷中存儲數據,則可使用訪問控制列表 (ACL) 和組策略為該卷配置訪問控制或者隱藏該驅動器號。
有關如何隱藏驅動器號的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83219(可能為英文網頁)。
哪些系統更改將導致計算機上的完整性檢查失敗?
以下類型的系統更改可導致完整性檢查失敗,并通過阻止 TPM 發布 BitLocker 密鑰解密受保護的卷:
- 將 BitLocker 保護的驅動器移動到新的計算機上。
- 安裝具有新的 TPM 的新主板。
- 關閉、禁用或清除 TPM。
- 更改 BIOS、主啟動記錄 (MBR)、啟動扇區、啟動管理器或者其他早期啟動組件或啟動配置數據。
此功能是設計使然;BitLocker 將對任何早期啟動組件的未授權修改視為潛在攻擊,從而將系統轉為恢復模式。授權管理員可以通過預先禁用 BitLocker 更新啟動組件而不進入恢復模式。
啟用 BitLocker 時是否可以在同一臺計算機上替換硬盤?
可以,在啟用 BitLocker 時可以同一臺計算機上替換多個硬盤,唯一的條件是,這些硬盤是在這同一臺計算機啟用 BitLocker 的。
將硬盤插入其他計算機時是否可以訪問 BitLocker 加密的卷?
如果其他計算機運行的是 Windows Vista Ultimate 或 Windows Vista Enterprise,則可從備選計算機的 BitLocker 控制面板項解除鎖定加密的硬盤。
.gif) 注意 |
|---|
| 當損壞的計算機的硬盤上包含 BitLocker 保護的卷時,此為恢復信息的快速而簡捷的方式。 |
在備選計算機上解除鎖定啟用 BitLocker 的硬盤時,恢復將是唯一可用的身份驗證操作。BitLocker 控制面板項中顯示硬盤時,同時顯示一個使用恢復密碼或恢復密鑰解除鎖定卷的選項。
是否可以在啟用 BitLocker 的計算機上配置 Windows Vista 和另一個操作系統的雙重啟動?
是的,可以配置 Windows Vista Ultimate 或 Windows Vista Enterprise 的啟用 BitLocker 的實例與另一個操作系統的雙重啟動。有關如何創建和配置雙重啟動系統的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83222(可能為英文網頁)。
密鑰管理
TPM 密碼、恢復密碼、恢復密鑰、PIN 和啟動密鑰之間有什么區別?
BitLocker 可以生成和使用多個密鑰。有些密鑰是必需的,有些是可以根據所需安全級別選擇使用的可選保護程序。
TPM 所有者密碼
在具有 TPM 版本1.2 的計算機上啟用 BitLocker 前,必須初始化 TPM。初始化過程將生成一個 TPM 所有者密碼,它是一個在 TPM 上設置的密碼。若要更改 TPM 的狀態(如啟用或禁用),可以使用 TPM 所有者密碼。有關 TPM 管理的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83223(可能為英文網頁)。
恢復密碼和恢復密鑰
設置 BitLocker 時,必須創建恢復密碼。如果計算機進入恢復狀態,則需要使用此恢復信息(恢復密碼或恢復密鑰)解除鎖定卷上的加密數據。可以使用以下格式之一保存恢復密碼:
- 由分為 8 組的 48 位數字組成的數字密碼。在恢復過程中,需要使用鍵盤上的功能鍵將此密碼鍵入 BitLocker 恢復控制臺。
- 在 USB 閃存驅動器上以 BitLocker 恢復控制臺可以直接讀取的格式存儲為文件的恢復密鑰。在恢復過程中,需要插入此 USB 設備。
PIN
如果要得到 TPM 的較高級別的安全,則可使用個人標識號 (PIN) 配置 BitLocker。PIN 是用戶創建的值,每次計算機啟動或從休眠模式恢復時都必須輸入該值。PIN 可包括 4 到 20 位字符,內部存儲為所輸入 Unicode 字符的 256 位哈希。此值永遠不會以任何形式或任何原因顯示給用戶。PIN 用于提供與 TPM 身份驗證配合使用的另一種身份驗證方法。
啟動密鑰
配置啟動密鑰是利用 TPM 啟用較高級別安全的另一種方法。啟動密鑰是一種存儲在 USB 閃存驅動器上的密鑰,每次計算機啟動時都必須插入該 USB 閃存驅動器。啟動密鑰用于提供與 TPM 身份驗證配合使用的另一種身份驗證方法。
| 要點 |
|---|
| 在非 TPM 的計算機上,必須配置啟動密鑰才能使用 BitLocker。 |
有關 BitLocker 密鑰的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83225(可能為英文網頁)。
如何存儲恢復密碼?
可以將恢復密碼保存到文件夾中,保存到一個或多個 USB 設備中,或者打印出來。此外,域管理員還可以通過配置組策略自動生成恢復密碼并將其透明地保存到 Active Directory 域服務 (ADDS) 中。有關如何在 ADDS 中存儲恢復信息的詳細信息,請參閱 (http://go.microsoft.com/fwlink/?LinkId=67438)(可能為英文網頁)。
如果僅啟用 TPM 身份驗證方法,在不解密驅動器的情況下,是否可以添加其他身份驗證方法?
是的。可以使用 manage-bde.wsf 命令行工具執行此操作。例如,如果 BitLocker 是僅利用 TPM 身份驗證啟用的,您希望添加 PIN 身份驗證,則可使用以下命令:
cscript %systemroot%\system32\manage-bde.wsf –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
可以使用以下命令查看 manage-bde.wsf 的可用參數列表:
cscript %systemroot%\system32\manage-bde.wsf -?
如果丟失了恢復信息,是否無法恢復 BitLocker 保護的數據?
BitLocker 設計的目的在于不通過所需的身份驗證就無法恢復加密的卷。處于恢復狀態時,用戶需要提供恢復密碼或恢復密鑰才能解除鎖定加密的卷。因此,我們極力建議將恢復信息存儲在 Active Directory 域服務中或其他安全位置。
但是,在解除計算機授權、銷售計算機或重新部署計算機時,這仍然是一種頗有價值的功能。此時,可以將計算機轉為恢復狀態,這樣只有恢復信息所有者才可以訪問加密的卷的內容。
用作啟動密鑰的 USB 閃存驅動器是否還可用于存儲恢復密鑰?
使用一個 USB 閃存驅動器同時存儲兩個密鑰,雖然在技術上可能實現,但這不是最佳做法。如果包含啟動密鑰的 USB 閃存驅動器丟失或被盜,則同時失去了訪問恢復密鑰的權限。此外,插入此密鑰時,即使更改了 TPM 測量的文件,也可以自動從恢復密鑰啟動計算機,這將繞開 TPM 的系統完整性檢查。
是否可以在多個 USB 閃存驅動器上保存啟動密鑰?
是的,可以在多個 USB 閃存驅動器上保存計算機的啟動密鑰。
是否可以在同一個 USB 閃存驅動器上保存多個(不同的)啟動密鑰?
是的,可以在同一個 USB 閃存驅動器上為不同計算機保存 BitLocker 啟動密鑰。
是否可以為同一臺計算機生成多個(不同的)啟動密鑰?
通過編寫腳本可以為同一臺計算機生成不同的啟動密鑰。但是,對于具有 TPM 的計算機,創建不同啟動密鑰后,BitLocker 將無法利用 TPM 的系統完整性檢查功能。
是否可以生成多個 PIN 組合?
從技術角度看,生成多個 PIN 是可能的,但是我們既不支持也不提倡這樣做。
BitLocker 中使用什么加密密鑰?它們是如何一起工作的?
利用全卷加密密鑰加密原始數據,然后利用卷主密鑰加密全卷加密密鑰。進而根據身份驗證(即密鑰保護程序或 TPM)和恢復方案的不同,利用多種可能的方法之一對卷主密鑰進行加密。下表詳細介紹如何加密卷主密鑰。
卷主密鑰加密方法
| 加密方法 | 描述 |
|---|---|
|
TPM 存儲根密鑰 + 啟動密鑰 |
|
|
TPM 存儲根密鑰 + PIN |
利用 RSA 加密卷主密鑰 |
|
僅 TPM 存儲根密鑰 |
利用 RSA 加密卷主密鑰 |
|
僅啟動密鑰 |
利用 AES 加密卷主密鑰 |
|
恢復密鑰 |
利用 AES 加密卷主密鑰 |
|
恢復密碼 + salt |
|
|
明文密鑰 |
利用 AES 密鑰加密卷主密鑰;禁用 BitLocker 時,以非加密和非保護方式存儲 AES 密鑰。 |
加密密鑰存儲在何處?
全卷加密密鑰由卷主密鑰加密,存儲在加密的卷中。卷主密鑰由相應的密鑰保護程序加密,存儲在加密的卷中。用于加密卷主密鑰的明文密鑰也隨卷主密鑰一起存儲在加密的卷中。
下表詳細介紹在何處存儲 BitLocker 加密密鑰以及使用哪個密鑰加密其他密鑰。
BitLocker 密鑰存儲位置和加密數據
| 密鑰 | 加密 | 存儲 |
|---|---|---|
|
全卷加密密鑰 |
卷主密鑰 |
加密卷 |
|
卷主密鑰 |
密鑰保護程序,包括明文密鑰 |
加密卷 |
|
明文密鑰 |
不加密 |
加密卷 |
此存儲過程可確保始終以加密和受保護的方式存儲卷主密鑰,除非禁用 BitLocker。出于冗余考慮,同時將這些密鑰保存到卷上的兩個附加位置。通過啟動管理器可以讀取和處理這些密鑰。
為何必須使用功能鍵輸入 PIN 或 48 個字符的恢復密碼?
F1 到 F10 鍵是所有語言中和所有計算機上的預操作系統環境中可用的通用映射掃描碼。數字鍵 0 到 9 并非在所有鍵盤上的預操作系統環境中可用。
BitLocker 如何防止攻擊者發現 PIN?
攻擊者通過執行暴力攻擊可能發現 PIN。在發現正確的 PIN 組合之前,當攻擊者使用自動化工具嘗試不同的 PIN 組合時會發生暴力攻擊。對于 BitLocker 保護的計算機,這種類型的攻擊(又稱為字典攻擊)需要攻擊者具有對計算機的物理訪問權限。
TPM 具有檢測和應對這些類型攻擊的內置功能。因為不同制造商的 TPM 可能支持不同的 PIN 和攻擊緩解機制,所以請與您的 TPM 制造商聯系以確定計算機的 TPM 是如何減少 PIN 暴力攻擊的。
確定 TPM 的制造商后,與制造商聯系以收集 TPM 的供應商特定的信息。大多數制造商使用 PIN 身份驗證的失敗計數按指數增加 PIN 接口的鎖定時間。但是,對于在何時和如何減少或重置失敗計數器,制造商各有不同的策略。
如何評估 TPM 的字典攻擊緩解機制?
向 TPM 制造商詢問字典攻擊緩解機制的設計時可以使用以下問題:
- 鎖定前允許多少次失敗的授權嘗試?
- 基于失敗的嘗試次數及其他相關參數確定鎖定的持續時間的算法是什么?
- 什么操作可以減少或重置失敗計數和鎖定持續時間?
是否可以利用組策略管理 PIN 的長度和復雜性?
無法使用組策略實施 BitLocker PIN 規則。但是,可以使用組策略要求或禁止通過使用 BitLocker 安裝向導創建 PIN。有關安全組策略設置的詳細信息,請參閱 Windows Vista 安全指南,網址是 http://go.microsoft.com/fwlink/?LinkId=82582(可能為英文網頁)。
如何使用 PIN 和 TPM 派生卷主密鑰?
BitLocker 使用 SHA-256 哈希用戶指定的 PIN,并將前 160 位哈希用作授權數據發送到 TPM 以對卷主密鑰進行密封。現在卷主密鑰同時受到 TPM 和 PIN 的保護。若要解封卷主密鑰,每次計算機重新啟動或從休眠中恢復時都需要輸入 PIN。
Active Directory 域服務
| 要點 |
|---|
| 有關如何為 BitLocker 配置 Active Directory 域服務 (ADDS) 的詳細說明,請參閱 http://go.microsoft.com/fwlink/?LinkId=67438(可能為英文網頁)。 |
BitLocker 是否需要架構擴展才能在 ADDS 中存儲恢復信息?
這取決于操作系統和 ADDS 實現。
Windows Server2003 Service Pack1 (SP1)
在 Windows Server2003 SP1 下的 ADDS 中,必須擴展架構才能支持存儲 BitLocker 和 TPM 恢復和密碼信息。
Windows Server2008
在 Windows Server2008 下的 ADDS 中,架構已經包括所需的屬性(從 Beta3 版本開始)。
ADDS 中存儲什么類型的信息?
ADDS 中存儲三個主要信息片段。下表詳細介紹這些信息片段。
ADDS 中存儲的主要信息
| 存儲的信息 | 描述 |
|---|---|
|
TPM 所有者密碼的哈希 |
僅當擁有 TPM 且獲取所有權時才可能通過使用 WindowsVista 的組件(如 BitLocker 安裝向導或 TPM MMC)存儲密碼哈希。 |
|
BitLocker 恢復密碼 |
允許在恢復事件中解除鎖定和訪問卷。 |
|
BitLocker 密鑰數據包 |
幫助修復硬盤故障,否則無法執行標準恢復。若要恢復密鑰數據包,需要使用 BitLocker 修復工具。有關此工具的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=82584(可能為英文網頁)。 |
在從客戶端到 ADDS 傳輸恢復信息的時候,如何加密這些信息?
設置身份驗證標志來加密從 WindowsVista 客戶端到 ADDS 傳輸的恢復信息。BitLocker 設置的身份驗證標志有 ADS_SECURE_AUTHENTICATION、ADS_USE_SEALING 和 ADS_USE_SIGNING。有關這些標志的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=102659(可能為英文網頁)。
ADDS 中存儲的 BitLocker 恢復信息是否為純文本格式?
是的,在當前版本的 BitLocker 中,恢復信息是以非加密方式在 ADDS 中存儲的,但是這些條目具有僅限于域管理員訪問的訪問控制列表 (ACL)。
如果攻擊者獲取對 ADDS 的完全訪問權限,則會危及域中的所有計算機(包括 BitLocker 保護的計算機)。有關安全訪問 ADDS 的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=83266(可能為英文網頁)。
將計算機加入域之前在計算機上啟用 BitLocker 會怎么樣?
如果在應用組策略以實施備份前在計算機上啟用 BitLocker,則在將計算機加入域或隨后應用組策略時不會自動將恢復信息備份到 ADDS 中。
BitLocker Windows Management Instrumentation (WMI) 接口雖然允許管理員通過編寫腳本來備份或同步聯機客戶端的現有恢復信息,但 BitLocker 不會自動管理這一過程。
| 要點 |
|---|
| 對于企業中的新計算機而言,將計算機加入到域中應該是第一步。將計算機加入到域后,將 BitLocker 恢復密鑰存儲到 ADDS 中就成了一個自動過程(在組策略中啟用時)。 |
如果在計算機上更改 BitLocker 恢復密碼并將新密碼存儲到 ADDS 中,則 ADDS 是否覆蓋舊密碼?
不。在設計上,不會從 ADDS 中刪除 BitLocker 恢復密碼條目;因此,可能看到每臺計算機的多個密碼。若要識別最新密碼,檢查對象上的日期即可。
安全
BitLocker 使用什么加密形式?該加密形式是否可配置?
BitLocker 使用的加密算法是可配置密鑰長度為 128 或 256 位的高級加密標準 (AES),同時使用可選擴散器。默認的加密設置是 AES 128 + 擴散器,但是可以通過使用組策略配置選項。有關 BitLocker 加密方法的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=80598(可能為英文網頁)。
擴散器是什么?
擴散器設計用于減少涉及通過更改加密信息將安全漏洞引入系統的可能攻擊類。利用擴散器,稍微改動某個扇區的加密密碼文本在解密數據時將影響整個扇區。此行為使目標攻擊更難于執行。有關 BitLocker 加密方法的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=80598(可能為英文網頁)。
配置 BitLocker 的最安全方式是什么?
利用 TPM 版本1.2 和 TCG 兼容的 BIOS 實現同時使用啟動密鑰或 PIN 是在計算機上配置 BitLocker 的最安全方式。這些方法通過要求附加物理密鑰(包含已寫入計算機可讀密鑰的 USB 閃存驅動器)或用戶設置的 PIN 提供附加身份驗證。
BitLocker 對使用睡眠或休眠電源管理選項有什么含意?
BitLocker 的基本配置(包括 TPM 但不包括高級身份驗證)可為睡眠或休眠模式提供附加安全。如果將其配置為使用高級身份驗證模式(TPM+PIN、TPM+USB 或 USB),則 BitLocker 可為休眠模式提供更大的安全性。此方法更加安全,因為從休眠返回時需要 BitLocker 身份驗證。
TPM 的優勢是什么?
大多數操作系統使用共享內存空間并依靠操作系統來管理物理內存。TPM 是一個硬件組件,它使用自己的內部固件和邏輯電路處理指令,這樣就可以避開外部軟件漏洞。攻擊 TPM 需要物理訪問計算機。此外,攻擊硬件需要的工具和技能往往比攻擊軟件更加昂貴,而且使用起來通常也不很方便。加之因為每個 TPM 對于包含它的計算機而言都是唯一的,所以攻擊多臺 TPM 計算機將是一件困難且耗時的事情。
| 注意 |
|---|
| 利用附加身份驗證方法配置 BitLocker 可提供針對 TPM 硬件攻擊的更多保護。 |
Microsoft 是否為 BitLocker 實行安全認證?
目前,Microsoft 為 BitLocker 驅動器加密實行聯邦信息處理標準 (FIPS) 140-2 認證和一般準則評估。
其他問題
是否可以將 EFS 與 BitLocker 一起使用?
是的,可以使用加密文件系統 (EFS) 加密 BitLocker 保護的卷中的文件。BitLocker 針對脫機攻擊為整個操作系統卷提供保護,而 EFS 可提供附加的基于用戶的文件級別加密,用于同一臺計算機的多個用戶之間的安全分隔。您還可以在 WindowsVista 中使用 EFS 加密 BitLocker 不加密的其他卷中的文件。EFS 的根機密默認情況下存儲在操作系統卷中;因此,如果為操作系統卷啟用 BitLocker,則 BitLocker 同時還間接保護著 EFS 在其他卷中加密的數據。
是否可以使用 BitLocker 運行內核調試程序?
是的;但應該在啟用 BitLocker 前打開調試程序。打開調試程序可確保在封裝到 TPM 時計算正確的測量,以便正常啟動計算機。如果需要在使用 BitLocker 時打開或關閉調試,為了避免計算機進入恢復模式,請確保首先禁用 BitLocker。
BitLocker 如何處理內存轉儲?
WindowsVista 具有一個修改的存儲驅動程序堆棧,可以確保在啟用 BitLocker 時加密內存轉儲。
BitLocker 是否支持使用智能卡進行預啟動身份驗證?
BitLocker 目前不支持使用智能卡進行預啟動身份驗證。BIOS 中的智能卡支持沒有單獨的行業標準可用,而且大多數計算機或者未實現 BIOS 智能卡支持或者僅支持特定智能卡和讀卡器。由于缺乏標準化,支持它們非常困難。Microsoft 正評估作為預啟動身份驗證的一部分支持智能卡的選項。
是否可以使用非 Microsoft TPM 驅動程序?
Microsoft 不支持非 Microsoft TPM 驅動程序并且極力建議不要使用它們。如果使用非 Microsoft TPM 驅動程序,則 Microsoft 無法保證系統的安全性和穩定性。
是否可以將應用程序直接寫入 TPM 基本服務?
TPM 基本服務 (TBS) 提供為中間軟件(如設計用于直接與 TPM 通信的受信任計算組軟件堆棧 (TSS) 實現)提供接口的很低級的應用程序編程接口 (API)。希望在其應用程序中使用 TPM 功能的軟件供應商應該使用 TSS 或其他應用程序級別的 API,而不應該直接使用 TPM 基本服務。某些 TSS 供應商具有為使用 TBS 而編寫的多個軟件層版本。
如何確定 TPM 的制造商?
若要確定 TPM 制造商,請使用以下步驟。
確定 TPM 制造商的步驟
-
單擊“開始”,在“開始搜索”框中鍵入 tpm.msc。
-
主窗格的“TPM 制造商信息”下將列出 TPM 制造商。
| 注意 |
|---|
| “TPM 制造商信息”列表中的“制造商名稱”就是 TPM 提供的信息,通常以縮寫形式表示(如 ATML 代表 Atmel、BRCM 代表 Broadcomm 或 IFX 代表 Infineon)。 |
用于管理或修改主啟動記錄的其他工具是否可以與 BitLocker 一起工作?
考慮到安全性、可靠性和產品支持等諸多原因,我們不提倡這樣做。對主啟動記錄 (MBR) 的更改可更改安全環境,這會阻止計算機的正常啟動并使從損壞的 MBR 恢復變得復雜化。如果不是 WindowsVista 對 MBR 執行更改,則所做的任何更改都會強制計算機進入恢復模式。
BitLocker 是否可以在使用基于 EFI 的系統固件的計算機上工作?
Windows Server2008 中計劃實現對使用基于可擴展固件接口 (EFI) 的系統固件的計算機的支持,但是 WindowsVista 中目前不支持這類計算機。目前,少數支持 EFI 的客戶端計算機已投入生產;因此,Microsoft 開始關注現今大多數系統使用的傳統 BIOS 支持。隨著可用 EFI 硬件的增多,Microsoft 可能重新評估 EFI 支持。
