Windows(R) BitLocker(TM) 驱动器加密是一项可以在 WindowsVista® Enterprise、WindowsVista® Ultimate 和 WindowsServer®2008 中使用的数据保护功能。
概述和要求
- BitLocker 是什么?它的工作原理是什么?
- BitLocker 是否支持多重身份验证?
- BitLocker 的硬件和软件要求是什么?
- 为何需要两个分区?为何必须具备如此大的系统分区?
- BitLocker 支持哪些 TPM?
- 如何判断我的计算机是否具有 TPM 1.2?
- 是否可以在没有 TPM 1.2 的计算机上使用 BitLocker?
- 如何在我的计算机上获取 TPM 的 BIOS 支持?
升级
- 哪些版本的 Windows Vista 包括 BitLocker?是否可以在基于 WindowsXP 的计算机上使用 BitLocker?
- 如何将基于 WindowsXP 的计算机升级到带有用于 BitLocker 的必需磁盘配置的 Windows Vista?
- 关闭 BitLocker 时禁用和解密之间有什么区别?
- 是否必须解密加密卷才能下载和安装系统更新和升级?
部署和管理
- 是否可以在企业环境中自动部署 BitLocker?
- 除加密操作系统卷外,BitLocker 是否还加密其他卷?
- 在基于 Windows Vista 的计算机上启用 BitLocker 时,是否会给性能带来显著影响?
- 启用 BitLocker 时,初始加密大约需要多长时间?
- 在加密或解密过程中关闭计算机会发生什么情况?
- 在 BitLocker 执行转换操作时,为何显示卷中的大多数可用空间被占用?
- BitLocker 在读写数据时是否同时加密和解密整个卷?
- 如何防止网络上的用户在未加密的卷中存储数据?
- 哪些系统更改将导致计算机上的完整性检查失败?
- 启用 BitLocker 时是否可以在同一台计算机上替换硬盘?
- 将硬盘插入其他计算机时是否可以访问 BitLocker 加密的卷?
- 是否可以在启用 BitLocker 的计算机上配置 Windows Vista 和另一个操作系统的双重启动?
密钥管理
- TPM 密码、恢复密码、恢复密钥、PIN 和启动密钥之间有什么区别?
- 如何存储恢复密码?
- 如果丢失了恢复信息,是否无法恢复 BitLocker 加密的数据?
- 如果仅启用 TPM 身份验证方法,在不解密驱动器的情况下,是否可以添加其他身份验证方法?
- 用作启动密钥的 USB 闪存驱动器是否还可用于存储恢复密钥?
- 是否可以在多个 USB 闪存驱动器上保存启动密钥?
- 是否可以在同一个 USB 闪存驱动器上保存多个(不同的)启动密钥?
- 是否可以为同一台计算机生成多个(不同的)启动密钥?
- 是否可以生成多个 PIN 组合?
- BitLocker 中使用什么加密密钥?它们是如何一起工作的?
- 加密密钥存储在何处?
- 为何必须使用功能键输入 PIN 或 48 个字符的恢复密码?
- BitLocker 如何防止攻击者发现 PIN?
- 如何评估 TPM 的字典攻击缓解机制?
- 是否可以利用组策略管理 PIN 的长度和复杂性?
- 如何使用 PIN 和 TPM 派生卷主密钥?
Active Directory 域服务
.gif) 要点 |
|---|
| 有关如何为 BitLocker 配置 Active Directory 域服务 (ADDS) 的详细说明,请参阅 http://go.microsoft.com/fwlink/?LinkId=67438(可能为英文网页)。 |
- BitLocker 是否需要架构扩展才能在 ADDS 中存储恢复信息?
- ADDS 中存储什么类型的信息?
- 在从客户端到 ADDS 传输恢复信息的时候,如何保障这些信息的安全?
- ADDS 中存储的 BitLocker 恢复信息是否为纯文本格式?
- 将计算机加入域之前在计算机上启用 BitLocker 会怎么样?
- 如果在计算机上更改 BitLocker 恢复密码并将该密码存储到 ADDS 中,则其是否覆盖 ADDS 中存储的旧恢复密码?
安全
- BitLocker 使用什么加密形式?该加密形式是否可配置?
- 扩散器是什么?
- 配置 BitLocker 的最安全方式是什么?
- BitLocker 对使用睡眠或休眠电源管理选项有什么含意?
- 使用 TPM 的优势是什么?
- Microsoft 是否为 BitLocker 实行安全认证?
其他问题
- 是否可以将 EFS 与 BitLocker 一起使用?
- 是否可以使用 BitLocker 运行内核调试程序?
- BitLocker 如何处理内存转储?
- BitLocker 是否支持使用智能卡进行预启动身份验证?
- 是否可以使用非 Microsoft TPM 驱动程序?
- 是否可以将应用程序直接写入 TPM 基本服务?
- 如何确定 TPM 的制造商?
- 用于管理或修改主启动记录的其他工具是否可以与 BitLocker 一起工作?
- BitLocker 是否可以在使用基于 EFI 的系统固件的计算机上工作?
概述和要求
BitLocker 是什么?它的工作原理是什么?
Windows BitLocker 驱动器加密是一项可以在客户端计算机的 Windows Vista Enterprise 和 Windows Vista Ultimate 以及 Windows Server2008 中使用的数据保护功能。BitLocker 针对已丢失或已盗计算机上的数据偷窃和暴露提供增强的保护,而且,在解除 BitLocker 保护的计算机的授权时,还可以更加安全地删除计算机上的数据。
已丢失或已盗计算机上的数据容易受到未经授权的访问,方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。BitLocker 通过组合两个主要的数据保护步骤帮助减少已丢失或已盗计算机上未经授权的数据访问:
- 加密硬盘上的整个 Windows 操作系统卷。BitLocker 对操作系统卷中包括交换文件和休眠文件在内的所有用户文件和系统文件进行加密。
- 检查早期启动组件和启动配置数据的完整性。在具有受信任的平台模块版本 1.2 的计算机上,BitLocker 利用 TPM 的增强安全功能,帮助确保仅当计算机的启动组件没有被改动且加密的磁盘还位于原始计算机上时才可能访问其中的数据。
BitLocker 紧密集成到 WindowsVista 中,为企业提供易于管理和配置的增强数据保护。例如,BitLocker 可以使用现有的 Microsoft Active Directory 域服务 (ADDS) 基础结构远程存储 BitLocker 恢复密钥。BitLocker 还提供一个恢复控制台,可以为未加入域的计算机或无法连接到域的计算机(如现场中的计算机)检索数据。
BitLocker 是否支持多重身份验证?
如果您在具有 TPM 版本 1.2 的计算机上启用 BitLocker,则可将另一种身份验证方法添加到 TPM 保护。BitLocker 提供锁定正常启动过程的选项,直到用户提供个人标识号 (PIN) 或插入包含 BitLocker 启动密钥的 USB 设备(如闪存驱动器)。这些附加的安全措施提供多重身份验证,帮助确保在提供正确的 PIN 或启动密钥之前,计算机不会启动或从休眠中恢复。
BitLocker 的硬件和软件要求是什么?
若要充分利用 BitLocker 的全部功能,您的计算机必须符合下表列出的硬件和软件要求。
BitLocker 硬件和软件要求
| 要求 | 描述 |
|---|---|
|
硬件配置 |
计算机必须符合 WindowsVista 的最低要求。有关 WindowsVista 要求的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83233(可能为英文网页)。 |
|
操作系统 |
Windows Vista Ultimate 或 Windows Vista Enterprise。这两种操作系统都包括 BitLocker 驱动器加密功能。 |
|
硬件受信任的平台模块 (TPM)* |
TPM 版本 1.2 |
|
BIOS 配置 |
|
|
文件系统 |
两个 NTFS 磁盘分区,一个用于系统卷,另一个用于操作系统卷。系统卷分区大小必须至少为 1.5GB 并被设置为活动分区。 |
*TPM 并非 BitLocker 所必需;但只有具有 TPM 的计算机才可以提供预启动系统完整性验证的附加安全性。
为何需要两个分区?为何必须具备如此大的系统卷?
之所以运行 BitLocker 需要两个分区,是因为预启动身份验证和系统完整性验证都必须在加密的操作系统卷外执行。此配置有助于保护操作系统和加密卷中的信息。非加密系统卷的大小应该至少为 1.5千兆字节 (GB),这样才有足够的空间来保存启动文件、Windows 预执行环境 (WinPE) 和可能专用于设置或升级程序的其他文件。计算机制造商和企业客户还可以在此卷中存储系统工具或其他恢复工具。
BitLocker 支持哪些 TPM?
BitLocker 支持受信任的平台模块 (TPM) 版本 1.2。BitLocker 不支持旧的 TPM。与以前的版本相比,版本1.2 的 TPM 提供已提高的标准化,安全增强和已改进的功能。WindowsVista 就是利用这些 TPM 增强设计的。
如何判断我的计算机是否具有 TPM 版本 1.2?
在 BitLocker 控制面板中,单击“打开 BitLocker”链接。如果收到以下错误消息,则说明您的计算机上要么没有 TPM 版本1.2,要么 BIOS 与 BitLocker 或 TPM 不兼容:
找不到 TPM。TPM 是打开 BitLocker 所必需的。如果您的计算机上具有 TPM,则与计算机制造商联系,了解如何设置与 BitLocker 兼容的 BIOS。
如果收到此错误消息,则与计算机制造商联系,验证计算机上是否具有 TPM 版本1.2,或者更新 BIOS。
有些计算机可能具有 TPM,但在 WindowsVista TPM Microsoft 管理控制台管理单元 (tpm.msc) 中不显示。如果您认为您的计算机上有 TPM 版本 1.2,却收到了此错误,请与计算机制造商联系以升级 BIOS。此外,有些制造商提供的 BIOS 设置在默认情况下隐藏了 TPM,还有一些制造商提供的 TPM 在 BIOS 中启用之前是不可用的。如果您相信 TPM 隐藏了在 BIOS 中,则参考制造商的文档,该文档中有关于如何取消隐藏和/或启用 TPM 的详细说明。
是否可以在没有 TPM 版本 1.2 的计算机上使用 BitLocker?
可以,只要 BIOS 具有在启动环境中从 USB 闪存驱动器读取内容的能力,就可以在没有 TPM 版本 1.2 的计算机上启用 BitLocker。这是因为在计算机的 TPM 或包含该计算机的 BitLocker 启动密钥的 USB 闪存驱动器首先发布 BitLocker 自己的卷主密钥之前,BitLocker 不会解除锁定受保护的卷。不过,没有 TPM 的计算机无法利用 BitLocker 另外提供的系统完整性验证。
若要确定在启动过程中计算机是否可以从 USB 设备读取内容,请将 BitLocker 系统检查用作 BitLocker 安装过程的一部分。此系统检查可执行测试,确认计算机可以在适当的时间从 USB 设备正确读取内容并符合 BitLocker 的其他要求。
若要在没有 TPM 的计算机上启用 BitLocker,请使用组策略启用高级 BitLocker 用户界面。启用高级选项后,BitLocker 安装向导中将显示非 TPM 设置。有关使用组策略启用高级用户选项的说明,请参阅 http://go.microsoft.com/fwlink/?LinkId=83223(可能为英文网页)。
如何在我的计算机上获取 TPM 的 BIOS 支持?
直接与计算机制造商联系,请求与受信任计算机组 (TCG) 兼容的 BIOS。请求 BIOS 时询问以下问题:
- 计算机上是否存在 WindowsVista 可用的 BIOS?该 BIOS 是否通过了 WindowsVista 徽标测试?
- 该 BIOS 是否与受信任计算组 (TCG) 兼容?
- 该 BIOS 是否具有防止在计算机上安装恶意 BIOS 的安全更新机制?
升级
哪些版本的 Windows Vista 包括 BitLocker?是否可以在基于 WindowsXP 的计算机上使用 BitLocker?
BitLocker 在 Windows Vista Ultimate 和 Windows Vista Enterprise 中都可用。BitLocker 在 WindowsXP 中不可用。
如何将基于 WindowsXP 的计算机升级到带有用于 BitLocker 的必需磁盘配置的 Windows Vista?
您必须首先安装 Windows Vista Ultimate 或 Windows Vista Enterprise,然后运行 BitLocker 驱动器准备工具。此工具自动为 BitLocker 配置磁盘分区布局。有关 BitLocker 驱动器准备工具的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83261(可能为英文网页)。
关闭 BitLocker 时禁用和解密之间有什么区别?
“解密”完全删除 BitLocker 保护并且完全解密卷。
“禁用”保持数据的加密状态,不过仅以明文密钥的形式加密 BitLocker 卷主密钥。明文密钥是在磁盘卷上以非加密和非保护形式存储的加密密钥。禁用选项通过存储此非加密密钥,允许更改或升级计算机而无需花费解密和重新加密整个卷所需的时间和成本。完成更改并再次启用 BitLocker 后,BitLocker 将加密密钥重新封装为作为升级一部分更改的测量组件的新值并擦除明文密钥。
是否必须解密加密卷才能下载和安装系统更新和升级?
任何系统升级(包括使用 Windows Anytime Upgrade 进行的升级)在安装前都需要解密卷。各种非 Microsoft 更新在安装前都要求禁用 BitLocker。来自 Microsoft Update 的更新不需要解密卷,也不需要禁用 BitLocker。
请参阅下表以确定在执行安装升级或更新前是否必须禁用 BitLocker 或解密卷。
| 操作 | 更新类型 |
|---|---|
|
解密 |
系统升级(包括 Windows Anytime Upgrade) |
|
禁用 |
非 Microsoft 软件更新,如:
|
安装升级/更新后,可以重新启用 BitLocker。重新启用 BitLocker 时,它会将加密密钥重新封装为作为更新一部分更改的测量组件的新值。如果在没有解密/禁用 BitLocker 的情况下应用了这些类型的升级/更新,则在重新启动时计算机将进入恢复模式,需要提供恢复密钥或密码才能访问计算机。
部署和管理
是否可以在企业环境中自动部署 BitLocker?
可以,您可以通过使用用于 BitLocker 和 TPM 管理的 Windows Management Instrumentation (WMI) 提供程序的脚本自动部署和配置 BitLocker。选择实现脚本的方式取决于环境。此外,还可以使用 BitLocker 命令行工具 manage-bde.wsf 本地或远程配置 BitLocker。有关编写使用 BitLocker WMI 提供程序的脚本的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=80600(可能为英文网页)。
除加密操作系统卷外,BitLocker 是否还加密其他卷?
BitLocker 提供一个用户界面,用于加密整个操作系统卷,包括 Windows 系统文件和休眠文件。您可以有选择地使用 WindowsVista 中的加密文件系统 (EFS) 来保护其他卷。默认情况下,EFS 密钥存储在操作系统卷中。因此,如果为操作系统卷启用 BitLocker,则由 EFS 保护的所有数据同时都在 BitLocker 的间接保护之下。此外,高级用户还可以使用命令行接口 (manage-bde.wsf) 来加密本地数据卷。
在基于 Windows Vista 的计算机上启用 BitLocker 时,是否会给性能带来显著影响?
不会,在正常使用时,BitLocker 对计算机性能没有显著影响;它一般仅利用百分之几的性能开销。
启用 BitLocker 时,初始加密大约需要多长时间?
在大多数情况下,BitLocker 加密以大约每分钟 1 千兆字节 (GB) 的速度进行。加密在后台进行,不影响系统可用性,您可以继续工作。
在加密或解密过程中关闭计算机会发生什么情况?
关闭计算机可中断 BitLocker 加密和解密过程,在下次启动 Windows 时它将从中断处恢复。即使突然停电也是如此。
在 BitLocker 执行转换操作时,为何显示卷中的大多数可用空间被占用?
BitLocker 在加密卷时无法忽略可用空间,因为未分配的磁盘空间通常包含用户认为已删除的残留数据。然而,加密卷上的可用空间会使加密过程变得效率低下。为了解决此问题,BitLocker 首先创建一个占用大多数可用磁盘空间的大型占位符文件,然后删除属于占位符文件的磁盘扇区。在此过程中,BitLocker 为短期系统需要保留 6 千兆字节 (GB) 的可用空间。所有其他空间(包括占位符文件未占用的 6 GB 可用空间)都将被加密。暂停卷加密时或者卷加密完成时,系统将删除占位符文件,从而使可用空间量恢复正常。
有关此过程的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83240(可能为英文网页)。
BitLocker 在读写数据时是否同时加密和解密整个卷?
不,BitLocker 在读写数据时不加密和解密整个卷。系统读操作请求 BitLocker 保护卷中的加密扇区时,仅解密这些扇区。对于要写入卷的块,系统在写入物理磁盘前,需要对其进行加密。在启用 BitLocker 的卷上,决不会存储任何未加密的数据。
如何防止网络上的用户在未加密的卷中存储数据?
如果担心用户可能在无意中在未加密的卷中存储数据,则可使用访问控制列表 (ACL) 和组策略为该卷配置访问控制或者隐藏该驱动器号。
有关如何隐藏驱动器号的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83219(可能为英文网页)。
哪些系统更改将导致计算机上的完整性检查失败?
以下类型的系统更改可导致完整性检查失败,并通过阻止 TPM 发布 BitLocker 密钥解密受保护的卷:
- 将 BitLocker 保护的驱动器移动到新的计算机上。
- 安装具有新的 TPM 的新主板。
- 关闭、禁用或清除 TPM。
- 更改 BIOS、主启动记录 (MBR)、启动扇区、启动管理器或者其他早期启动组件或启动配置数据。
此功能是设计使然;BitLocker 将对任何早期启动组件的未授权修改视为潜在攻击,从而将系统转为恢复模式。授权管理员可以通过预先禁用 BitLocker 更新启动组件而不进入恢复模式。
启用 BitLocker 时是否可以在同一台计算机上替换硬盘?
可以,在启用 BitLocker 时可以同一台计算机上替换多个硬盘,唯一的条件是,这些硬盘是在这同一台计算机启用 BitLocker 的。
将硬盘插入其他计算机时是否可以访问 BitLocker 加密的卷?
如果其他计算机运行的是 Windows Vista Ultimate 或 Windows Vista Enterprise,则可从备选计算机的 BitLocker 控制面板项解除锁定加密的硬盘。
.gif) 注意 |
|---|
| 当损坏的计算机的硬盘上包含 BitLocker 保护的卷时,此为恢复信息的快速而简捷的方式。 |
在备选计算机上解除锁定启用 BitLocker 的硬盘时,恢复将是唯一可用的身份验证操作。BitLocker 控制面板项中显示硬盘时,同时显示一个使用恢复密码或恢复密钥解除锁定卷的选项。
是否可以在启用 BitLocker 的计算机上配置 Windows Vista 和另一个操作系统的双重启动?
是的,可以配置 Windows Vista Ultimate 或 Windows Vista Enterprise 的启用 BitLocker 的实例与另一个操作系统的双重启动。有关如何创建和配置双重启动系统的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83222(可能为英文网页)。
密钥管理
TPM 密码、恢复密码、恢复密钥、PIN 和启动密钥之间有什么区别?
BitLocker 可以生成和使用多个密钥。有些密钥是必需的,有些是可以根据所需安全级别选择使用的可选保护程序。
TPM 所有者密码
在具有 TPM 版本1.2 的计算机上启用 BitLocker 前,必须初始化 TPM。初始化过程将生成一个 TPM 所有者密码,它是一个在 TPM 上设置的密码。若要更改 TPM 的状态(如启用或禁用),可以使用 TPM 所有者密码。有关 TPM 管理的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83223(可能为英文网页)。
恢复密码和恢复密钥
设置 BitLocker 时,必须创建恢复密码。如果计算机进入恢复状态,则需要使用此恢复信息(恢复密码或恢复密钥)解除锁定卷上的加密数据。可以使用以下格式之一保存恢复密码:
- 由分为 8 组的 48 位数字组成的数字密码。在恢复过程中,需要使用键盘上的功能键将此密码键入 BitLocker 恢复控制台。
- 在 USB 闪存驱动器上以 BitLocker 恢复控制台可以直接读取的格式存储为文件的恢复密钥。在恢复过程中,需要插入此 USB 设备。
PIN
如果要得到 TPM 的较高级别的安全,则可使用个人标识号 (PIN) 配置 BitLocker。PIN 是用户创建的值,每次计算机启动或从休眠模式恢复时都必须输入该值。PIN 可包括 4 到 20 位字符,内部存储为所输入 Unicode 字符的 256 位哈希。此值永远不会以任何形式或任何原因显示给用户。PIN 用于提供与 TPM 身份验证配合使用的另一种身份验证方法。
启动密钥
配置启动密钥是利用 TPM 启用较高级别安全的另一种方法。启动密钥是一种存储在 USB 闪存驱动器上的密钥,每次计算机启动时都必须插入该 USB 闪存驱动器。启动密钥用于提供与 TPM 身份验证配合使用的另一种身份验证方法。
| 要点 |
|---|
| 在非 TPM 的计算机上,必须配置启动密钥才能使用 BitLocker。 |
有关 BitLocker 密钥的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83225(可能为英文网页)。
如何存储恢复密码?
可以将恢复密码保存到文件夹中,保存到一个或多个 USB 设备中,或者打印出来。此外,域管理员还可以通过配置组策略自动生成恢复密码并将其透明地保存到 Active Directory 域服务 (ADDS) 中。有关如何在 ADDS 中存储恢复信息的详细信息,请参阅 (http://go.microsoft.com/fwlink/?LinkId=67438)(可能为英文网页)。
如果仅启用 TPM 身份验证方法,在不解密驱动器的情况下,是否可以添加其他身份验证方法?
是的。可以使用 manage-bde.wsf 命令行工具执行此操作。例如,如果 BitLocker 是仅利用 TPM 身份验证启用的,您希望添加 PIN 身份验证,则可使用以下命令:
cscript %systemroot%\system32\manage-bde.wsf –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
可以使用以下命令查看 manage-bde.wsf 的可用参数列表:
cscript %systemroot%\system32\manage-bde.wsf -?
如果丢失了恢复信息,是否无法恢复 BitLocker 保护的数据?
BitLocker 设计的目的在于不通过所需的身份验证就无法恢复加密的卷。处于恢复状态时,用户需要提供恢复密码或恢复密钥才能解除锁定加密的卷。因此,我们极力建议将恢复信息存储在 Active Directory 域服务中或其他安全位置。
但是,在解除计算机授权、销售计算机或重新部署计算机时,这仍然是一种颇有价值的功能。此时,可以将计算机转为恢复状态,这样只有恢复信息所有者才可以访问加密的卷的内容。
用作启动密钥的 USB 闪存驱动器是否还可用于存储恢复密钥?
使用一个 USB 闪存驱动器同时存储两个密钥,虽然在技术上可能实现,但这不是最佳做法。如果包含启动密钥的 USB 闪存驱动器丢失或被盗,则同时失去了访问恢复密钥的权限。此外,插入此密钥时,即使更改了 TPM 测量的文件,也可以自动从恢复密钥启动计算机,这将绕开 TPM 的系统完整性检查。
是否可以在多个 USB 闪存驱动器上保存启动密钥?
是的,可以在多个 USB 闪存驱动器上保存计算机的启动密钥。
是否可以在同一个 USB 闪存驱动器上保存多个(不同的)启动密钥?
是的,可以在同一个 USB 闪存驱动器上为不同计算机保存 BitLocker 启动密钥。
是否可以为同一台计算机生成多个(不同的)启动密钥?
通过编写脚本可以为同一台计算机生成不同的启动密钥。但是,对于具有 TPM 的计算机,创建不同启动密钥后,BitLocker 将无法利用 TPM 的系统完整性检查功能。
是否可以生成多个 PIN 组合?
从技术角度看,生成多个 PIN 是可能的,但是我们既不支持也不提倡这样做。
BitLocker 中使用什么加密密钥?它们是如何一起工作的?
利用全卷加密密钥加密原始数据,然后利用卷主密钥加密全卷加密密钥。进而根据身份验证(即密钥保护程序或 TPM)和恢复方案的不同,利用多种可能的方法之一对卷主密钥进行加密。下表详细介绍如何加密卷主密钥。
卷主密钥加密方法
| 加密方法 | 描述 |
|---|---|
|
TPM 存储根密钥 + 启动密钥 |
|
|
TPM 存储根密钥 + PIN |
利用 RSA 加密卷主密钥 |
|
仅 TPM 存储根密钥 |
利用 RSA 加密卷主密钥 |
|
仅启动密钥 |
利用 AES 加密卷主密钥 |
|
恢复密钥 |
利用 AES 加密卷主密钥 |
|
恢复密码 + salt |
|
|
明文密钥 |
利用 AES 密钥加密卷主密钥;禁用 BitLocker 时,以非加密和非保护方式存储 AES 密钥。 |
加密密钥存储在何处?
全卷加密密钥由卷主密钥加密,存储在加密的卷中。卷主密钥由相应的密钥保护程序加密,存储在加密的卷中。用于加密卷主密钥的明文密钥也随卷主密钥一起存储在加密的卷中。
下表详细介绍在何处存储 BitLocker 加密密钥以及使用哪个密钥加密其他密钥。
BitLocker 密钥存储位置和加密数据
| 密钥 | 加密 | 存储 |
|---|---|---|
|
全卷加密密钥 |
卷主密钥 |
加密卷 |
|
卷主密钥 |
密钥保护程序,包括明文密钥 |
加密卷 |
|
明文密钥 |
不加密 |
加密卷 |
此存储过程可确保始终以加密和受保护的方式存储卷主密钥,除非禁用 BitLocker。出于冗余考虑,同时将这些密钥保存到卷上的两个附加位置。通过启动管理器可以读取和处理这些密钥。
为何必须使用功能键输入 PIN 或 48 个字符的恢复密码?
F1 到 F10 键是所有语言中和所有计算机上的预操作系统环境中可用的通用映射扫描码。数字键 0 到 9 并非在所有键盘上的预操作系统环境中可用。
BitLocker 如何防止攻击者发现 PIN?
攻击者通过执行暴力攻击可能发现 PIN。在发现正确的 PIN 组合之前,当攻击者使用自动化工具尝试不同的 PIN 组合时会发生暴力攻击。对于 BitLocker 保护的计算机,这种类型的攻击(又称为字典攻击)需要攻击者具有对计算机的物理访问权限。
TPM 具有检测和应对这些类型攻击的内置功能。因为不同制造商的 TPM 可能支持不同的 PIN 和攻击缓解机制,所以请与您的 TPM 制造商联系以确定计算机的 TPM 是如何减少 PIN 暴力攻击的。
确定 TPM 的制造商后,与制造商联系以收集 TPM 的供应商特定的信息。大多数制造商使用 PIN 身份验证的失败计数按指数增加 PIN 接口的锁定时间。但是,对于在何时和如何减少或重置失败计数器,制造商各有不同的策略。
如何评估 TPM 的字典攻击缓解机制?
向 TPM 制造商询问字典攻击缓解机制的设计时可以使用以下问题:
- 锁定前允许多少次失败的授权尝试?
- 基于失败的尝试次数及其他相关参数确定锁定的持续时间的算法是什么?
- 什么操作可以减少或重置失败计数和锁定持续时间?
是否可以利用组策略管理 PIN 的长度和复杂性?
无法使用组策略实施 BitLocker PIN 规则。但是,可以使用组策略要求或禁止通过使用 BitLocker 安装向导创建 PIN。有关安全组策略设置的详细信息,请参阅 Windows Vista 安全指南,网址是 http://go.microsoft.com/fwlink/?LinkId=82582(可能为英文网页)。
如何使用 PIN 和 TPM 派生卷主密钥?
BitLocker 使用 SHA-256 哈希用户指定的 PIN,并将前 160 位哈希用作授权数据发送到 TPM 以对卷主密钥进行密封。现在卷主密钥同时受到 TPM 和 PIN 的保护。若要解封卷主密钥,每次计算机重新启动或从休眠中恢复时都需要输入 PIN。
Active Directory 域服务
| 要点 |
|---|
| 有关如何为 BitLocker 配置 Active Directory 域服务 (ADDS) 的详细说明,请参阅 http://go.microsoft.com/fwlink/?LinkId=67438(可能为英文网页)。 |
BitLocker 是否需要架构扩展才能在 ADDS 中存储恢复信息?
这取决于操作系统和 ADDS 实现。
Windows Server2003 Service Pack1 (SP1)
在 Windows Server2003 SP1 下的 ADDS 中,必须扩展架构才能支持存储 BitLocker 和 TPM 恢复和密码信息。
Windows Server2008
在 Windows Server2008 下的 ADDS 中,架构已经包括所需的属性(从 Beta3 版本开始)。
ADDS 中存储什么类型的信息?
ADDS 中存储三个主要信息片段。下表详细介绍这些信息片段。
ADDS 中存储的主要信息
| 存储的信息 | 描述 |
|---|---|
|
TPM 所有者密码的哈希 |
仅当拥有 TPM 且获取所有权时才可能通过使用 WindowsVista 的组件(如 BitLocker 安装向导或 TPM MMC)存储密码哈希。 |
|
BitLocker 恢复密码 |
允许在恢复事件中解除锁定和访问卷。 |
|
BitLocker 密钥数据包 |
帮助修复硬盘故障,否则无法执行标准恢复。若要恢复密钥数据包,需要使用 BitLocker 修复工具。有关此工具的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=82584(可能为英文网页)。 |
在从客户端到 ADDS 传输恢复信息的时候,如何加密这些信息?
设置身份验证标志来加密从 WindowsVista 客户端到 ADDS 传输的恢复信息。BitLocker 设置的身份验证标志有 ADS_SECURE_AUTHENTICATION、ADS_USE_SEALING 和 ADS_USE_SIGNING。有关这些标志的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=102659(可能为英文网页)。
ADDS 中存储的 BitLocker 恢复信息是否为纯文本格式?
是的,在当前版本的 BitLocker 中,恢复信息是以非加密方式在 ADDS 中存储的,但是这些条目具有仅限于域管理员访问的访问控制列表 (ACL)。
如果攻击者获取对 ADDS 的完全访问权限,则会危及域中的所有计算机(包括 BitLocker 保护的计算机)。有关安全访问 ADDS 的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=83266(可能为英文网页)。
将计算机加入域之前在计算机上启用 BitLocker 会怎么样?
如果在应用组策略以实施备份前在计算机上启用 BitLocker,则在将计算机加入域或随后应用组策略时不会自动将恢复信息备份到 ADDS 中。
BitLocker Windows Management Instrumentation (WMI) 接口虽然允许管理员通过编写脚本来备份或同步联机客户端的现有恢复信息,但 BitLocker 不会自动管理这一过程。
| 要点 |
|---|
| 对于企业中的新计算机而言,将计算机加入到域中应该是第一步。将计算机加入到域后,将 BitLocker 恢复密钥存储到 ADDS 中就成了一个自动过程(在组策略中启用时)。 |
如果在计算机上更改 BitLocker 恢复密码并将新密码存储到 ADDS 中,则 ADDS 是否覆盖旧密码?
不。在设计上,不会从 ADDS 中删除 BitLocker 恢复密码条目;因此,可能看到每台计算机的多个密码。若要识别最新密码,检查对象上的日期即可。
安全
BitLocker 使用什么加密形式?该加密形式是否可配置?
BitLocker 使用的加密算法是可配置密钥长度为 128 或 256 位的高级加密标准 (AES),同时使用可选扩散器。默认的加密设置是 AES 128 + 扩散器,但是可以通过使用组策略配置选项。有关 BitLocker 加密方法的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=80598(可能为英文网页)。
扩散器是什么?
扩散器设计用于减少涉及通过更改加密信息将安全漏洞引入系统的可能攻击类。利用扩散器,稍微改动某个扇区的加密密码文本在解密数据时将影响整个扇区。此行为使目标攻击更难于执行。有关 BitLocker 加密方法的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=80598(可能为英文网页)。
配置 BitLocker 的最安全方式是什么?
利用 TPM 版本1.2 和 TCG 兼容的 BIOS 实现同时使用启动密钥或 PIN 是在计算机上配置 BitLocker 的最安全方式。这些方法通过要求附加物理密钥(包含已写入计算机可读密钥的 USB 闪存驱动器)或用户设置的 PIN 提供附加身份验证。
BitLocker 对使用睡眠或休眠电源管理选项有什么含意?
BitLocker 的基本配置(包括 TPM 但不包括高级身份验证)可为睡眠或休眠模式提供附加安全。如果将其配置为使用高级身份验证模式(TPM+PIN、TPM+USB 或 USB),则 BitLocker 可为休眠模式提供更大的安全性。此方法更加安全,因为从休眠返回时需要 BitLocker 身份验证。
TPM 的优势是什么?
大多数操作系统使用共享内存空间并依靠操作系统来管理物理内存。TPM 是一个硬件组件,它使用自己的内部固件和逻辑电路处理指令,这样就可以避开外部软件漏洞。攻击 TPM 需要物理访问计算机。此外,攻击硬件需要的工具和技能往往比攻击软件更加昂贵,而且使用起来通常也不很方便。加之因为每个 TPM 对于包含它的计算机而言都是唯一的,所以攻击多台 TPM 计算机将是一件困难且耗时的事情。
| 注意 |
|---|
| 利用附加身份验证方法配置 BitLocker 可提供针对 TPM 硬件攻击的更多保护。 |
Microsoft 是否为 BitLocker 实行安全认证?
目前,Microsoft 为 BitLocker 驱动器加密实行联邦信息处理标准 (FIPS) 140-2 认证和一般准则评估。
其他问题
是否可以将 EFS 与 BitLocker 一起使用?
是的,可以使用加密文件系统 (EFS) 加密 BitLocker 保护的卷中的文件。BitLocker 针对脱机攻击为整个操作系统卷提供保护,而 EFS 可提供附加的基于用户的文件级别加密,用于同一台计算机的多个用户之间的安全分隔。您还可以在 WindowsVista 中使用 EFS 加密 BitLocker 不加密的其他卷中的文件。EFS 的根机密默认情况下存储在操作系统卷中;因此,如果为操作系统卷启用 BitLocker,则 BitLocker 同时还间接保护着 EFS 在其他卷中加密的数据。
是否可以使用 BitLocker 运行内核调试程序?
是的;但应该在启用 BitLocker 前打开调试程序。打开调试程序可确保在封装到 TPM 时计算正确的测量,以便正常启动计算机。如果需要在使用 BitLocker 时打开或关闭调试,为了避免计算机进入恢复模式,请确保首先禁用 BitLocker。
BitLocker 如何处理内存转储?
WindowsVista 具有一个修改的存储驱动程序堆栈,可以确保在启用 BitLocker 时加密内存转储。
BitLocker 是否支持使用智能卡进行预启动身份验证?
BitLocker 目前不支持使用智能卡进行预启动身份验证。BIOS 中的智能卡支持没有单独的行业标准可用,而且大多数计算机或者未实现 BIOS 智能卡支持或者仅支持特定智能卡和读卡器。由于缺乏标准化,支持它们非常困难。Microsoft 正评估作为预启动身份验证的一部分支持智能卡的选项。
是否可以使用非 Microsoft TPM 驱动程序?
Microsoft 不支持非 Microsoft TPM 驱动程序并且极力建议不要使用它们。如果使用非 Microsoft TPM 驱动程序,则 Microsoft 无法保证系统的安全性和稳定性。
是否可以将应用程序直接写入 TPM 基本服务?
TPM 基本服务 (TBS) 提供为中间软件(如设计用于直接与 TPM 通信的受信任计算组软件堆栈 (TSS) 实现)提供接口的很低级的应用程序编程接口 (API)。希望在其应用程序中使用 TPM 功能的软件供应商应该使用 TSS 或其他应用程序级别的 API,而不应该直接使用 TPM 基本服务。某些 TSS 供应商具有为使用 TBS 而编写的多个软件层版本。
如何确定 TPM 的制造商?
若要确定 TPM 制造商,请使用以下步骤。
确定 TPM 制造商的步骤
-
单击“开始”,在“开始搜索”框中键入 tpm.msc。
-
主窗格的“TPM 制造商信息”下将列出 TPM 制造商。
| 注意 |
|---|
| “TPM 制造商信息”列表中的“制造商名称”就是 TPM 提供的信息,通常以缩写形式表示(如 ATML 代表 Atmel、BRCM 代表 Broadcomm 或 IFX 代表 Infineon)。 |
用于管理或修改主启动记录的其他工具是否可以与 BitLocker 一起工作?
考虑到安全性、可靠性和产品支持等诸多原因,我们不提倡这样做。对主启动记录 (MBR) 的更改可更改安全环境,这会阻止计算机的正常启动并使从损坏的 MBR 恢复变得复杂化。如果不是 WindowsVista 对 MBR 执行更改,则所做的任何更改都会强制计算机进入恢复模式。
BitLocker 是否可以在使用基于 EFI 的系统固件的计算机上工作?
Windows Server2008 中计划实现对使用基于可扩展固件接口 (EFI) 的系统固件的计算机的支持,但是 WindowsVista 中目前不支持这类计算机。目前,少数支持 EFI 的客户端计算机已投入生产;因此,Microsoft 开始关注现今大多数系统使用的传统 BIOS 支持。随着可用 EFI 硬件的增多,Microsoft 可能重新评估 EFI 支持。
