Bitlocker 是 Microsoft 的一种流行加密技术,用于保护 Windows 设备上的数据。家庭用户和企业客户可以使用 Bitlocker 保护系统和数据。
默认情况下,Bitlocker 以一种方便的方式工作,因为用户不需要在启动过程中输入 PIN 或密码,因为所有这些都是由系统自动处理的。
设置 pin 是可选的,但强烈推荐,正如Dolos Group 博客上最近的一个故事所暗示的那样。该公司从一个组织那里收到了一台笔记本电脑,该组织配置了该组织的标准安全堆栈。笔记本电脑使用 TPM 和 Bitlocker 完全加密,设置了 BIOS 密码,锁定了 BIOS 启动顺序,并使用安全启动来防止未签名的操作系统启动。
安全研究人员发现系统正在引导至 Windows 10 登录屏幕;这意味着用户在此之前不必输入 PIN 或密码,并且密钥是从 TPM 中提取的。
研究人员在 TPM 芯片上查找信息并发现它是如何通信的。Bitlocker 没有使用“TPM 2.0 标准的任何加密通信功能”,这意味着通信是纯文本的。
打开笔记本电脑,并在启动过程中使用探针记录数据。使用开源工具h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit检测数据中的Bitlocker密钥;然后它被用来解密笔记本电脑的固态硬盘。
研究人员在虚拟环境中启动映像后设法进入系统。从那里,他们设法连接到公司 VPN。
减轻
Bitlocker 支持设置预启动身份验证密钥。如果设置了该键,则需要在系统启动前输入;这与 VeraCrypt 和其他第三方加密程序的工作方式类似。如果系统驱动器已加密,VeraCrypt 会在引导期间显示密码和 PIM 提示。用户需要输入正确的密码和 PIM 才能解密驱动器并启动操作系统。
研究人员建议用户设置 PIN 以保护系统及其数据。
使用 PIN 保护器将预启动身份验证设置为 TPM(使用复杂的字母数字 PIN [增强型 pin] 以帮助 TPM 反攻击缓解)。
设置 Bitlocker 预启动身份验证 PIN
注意:Bitlocker 驱动器加密在 Windows 10 专业版和企业版上可用。家庭设备具有驱动器加密,这是不同的。您可能需要考虑使用 VeraCrypt 来更好地保护家庭设备上的数据。在 Windows 10 上,您可以通过打开设置、搜索设备解密并从结果中选择选项来检查是否使用了设备解密。
- 打开组策略编辑器:
- 使用键盘快捷键 Windows-R
- 键入 gpedit.msc 并按 Enter 键。
- 使用侧边栏的文件夹结构转到“计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”。
- 双击主窗格中的启动时需要额外身份验证。
- 将策略设置为已启用。
- 选择“配置 TPM 启动 PIN”下的菜单,并将其设置为“使用 TPM 需要启动 PIN”。
- 单击确定以保存您刚刚所做的更改。
您已准备好系统接受 PIN 作为预启动身份验证方法,但您尚未设置 PIN。
- 打开开始。
- 键入 cmd.exe。
- 选择以管理员身份运行以启动提升的命令提示符窗口。
- 运行以下命令设置预启动 PIN: manage-bde -protectors -add C: -TPMAndPIN
- 系统会提示您输入 PIN 并进行确认以确保其相同。
PIN 已设置,下次启动时将提示您输入。您可以运行命令 manage-bde -status 来检查状态。
