This topic created in 3275 days ago, the information mentioned may be changed or developed.
我台式电脑有两个硬盘,操作系统装在其中一个硬盘上。
我想要实现是:只要 windows 登录密码不泄漏,就算电脑被别人偷走,别人也访问不了硬盘里面的内容,就算别人拆下硬盘装到其他电脑上也读不出数据。
于是我开启了这两个硬盘的 BitLocker 功能。但是每次启动电脑,在进入 windows 之前就要输入 BitLocker 的密码。这样的话家里停电再来电后电脑自动启动,或者 windows 自动更新之后重启,如果没人在电脑前,就会卡在输入 BitLocker 密码的界面,我在外地就无法远程连接到电脑了。
请问我该怎么解决呢?
 | 1 wevsty May 9, 2017  1 系统盘不开启 BitLocker 即可,关键文件放到加密的硬盘就行了。 Windows 账户登录密码直接不会影响 BitLocker 加密文件的安全。 |
 | 2 hjc4869 May 9, 2017 1 你想实现的不是 Bitlocker,而是 EFS。右键文件-属性-高级-加密打开。 |
 | 3 geelaw May 9, 2017 1 |
 | 4 kokutou May 9, 2017 via Android EFS |
 | 6 Osk May 9, 2017 1 使用 tpm 模块可以在启动时自动验证启动环境,若没问题,主板可以释放 bitlocker 密钥解密,全程不需交互。 没 tpm 的话,还是想想其他办法吧。 非要使用 bitlocker: 使用 u 盘存放解密密钥,但计算机被盗了的话,解密密钥还不是被直接拿来解密 C 盘,骗自己,而且 U 盘坏了就得麻烦地进行 bitlocker 恢复 不使用 bitlocker 保护吧,万一计算机被人离线注入点什么东西,开机后你解密数据盘,一条命令就把恢复密码搞到手了。而且系统盘不加密,无法使用 bitlocker 自动解密数据盘! 所以在计算机会被其他人物理接触的情况下,TPM 真的是有大用,虽然 TPM 很有可能有 ZF 的后门。以后配计算机 TPM 模块是我的重要选项。 |
 | 7 oisc May 9, 2017 你电脑没有 TPM 吧 |
 | 8 ProjectAmber May 9, 2017 via iPhone 你需要 TPM。 |
 | 10 zhujinliang May 9, 2017 via iPhone 用 ipmi 之类的远程控制 |
 | 11 luos543 May 9, 2017 关闭自动更新,上 ups 电源 |
| 12 wevsty May 9, 2017 其实楼主不介意性能差点的话,虚拟机可以解决这个问题。 vmware 的产品直接支持对整个虚拟机硬盘加密。 所以楼主可以直接新建一个加密虚拟机,实体机彻底不加密,这样即使没有 TPM 重启也可以保证 Windows 能顺利起来。 因为虚拟机硬盘文件整个都是加密,所以安全性彻底得到保障。 |
| 14 hjc4869 May 10, 2017 |
 | 16 netfee May 10, 2017 via Android 借楼问一下 BitLocker 足够安全吗? |
 | 17 acess May 10, 2017 1 @netfee 随手一搜: https://zh.scribd.com/doc/130070110/Extracting-Encryption-keys-from-RAM 不过有些硬盘支持加密,可能这样就可以避免从内存中 dump 密钥的问题。 EFS 的问题和这个差不多吧,好像直接拿 SYSTEM 账户打开 certmgr.msc 就可以看到私钥的样子。 |
| 18 May 10, 2017 @netfee 如果登录密码足够靠谱,没泄露也不会被暴力猜解,那 EFS 和 BitLocker 都足够靠谱,除非对方可以通过液氮冷却等方法 dump 内存。 |
| 20 acess May 10, 2017 @netfee 我说的可能有点误导…… 想直接提取 EFS 的密钥,必须让目标账户登录一下。没有目标账户的密码,目标账户没登录的话,私钥也是不会被解密的,有管理员权限(比如用 WinPE 开启 Administrator 账号)也没用。 |
| 22 wevsty May 10, 2017 1 @acess 休眠可以关闭,蓝屏 dump 只要不是完整的内存 dump 也问题不大,只要内存足够大,页面文件也可以关闭。 当然键盘记录器是防不住的,这一点很遗憾。只要能被物理接触,那就是最大的安全漏洞。 加密系统盘唯一的优势就是保证了系统文件的完整性。但是没有 TPM,也没有 IPMI 之类管理工具的情况下,加密系统盘是没办法解决启动问题的。 要能防止被物理接触获取数据,又要不想输入密码就能启动随时远程管理,还没有硬件方面的辅助设备也就只能做到这样了。 从楼主的需求看,只是想防止数据被普通人看到,如果不想花钱用硬件来解决问题,虚拟机的方案应该是最优的。 @xss 可以卖,只是国内要求只能使用国产的 TPM 而已。 |
 | 23 gdtv OP @Osk 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。 |
| 24 gdtv OP @acess 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。 |
| 26 gdtv OP @acess 再请教一个问题,如果我的电脑硬件支持 TPM,我启用 BitLocker 加密后,整台电脑被偷了,别人在不知道我 windows 系统登录密码(假设密码足够复杂)的情况下能读取我硬盘上的数据吗? |
| 27 acess May 13, 2017 @gdtv 我也只是外行啊……我说的仅供参考。 TPM 如果没设 PIN,或者即使开了 PIN,但对方拿到电脑时还没关机,那理论上可能被冷冻内存法直接 dump 内存找出密钥。对了,还有硬件加密没考虑,也许硬盘支持硬件加密,内存里就没密钥了,可能更安全一些。 如果真的对安全要求那么高,那系统安全也得把守住,否则可能被键盘记录、mimikatz 之类手段搞到密码(复杂密码也可能泄露啊)。而且,如果平时使用时,系统有漏洞,或者自己手贱了,中了木马,也会 GG。 |
| 28 gdtv OP @acess 谢谢,我的要求没这么高,不考虑什么冷冻内存法这些黑科技,只要求普通人解密不了就行。 假如有硬件 TPM,但没设置 PIN,只设置了 windows 系统的登录密码,假如电脑在关机的时候整台被偷了,别人能读取我的资料吗? 例如别人用 WINPE 启动系统,然后把我原来的硬盘挂为从盘,可以读资料吗? |
| 30 wevsty May 13, 2017 1 @gdtv 不开启 BitLocker 就不能保证系统盘的文件安全,即使有 TPM 也一样。TPM 的作用就是储存加密密钥,这样你开机才能不输入密码就自动解密。 EFS 加密是跟 Windows 账户有关的加密方式,但是 EFS 有几个问题,EFS 加密后虽然不能看到文件内容但是依然是可以看到文件名的,EFS 对系统盘的保护有限,并且 EFS 实在太易用了,导致很容易忘记备份 EFS 加密证书,如果忘记备份加密证书那么很容易丢失所有数据。 加密本身就是影响磁盘性能的,无论是 BitLock,EFS 还是其他的加密方案,对磁盘性能都有负面影响。虚拟机的方案里除了显卡性能以外,其他的性能和真机差距没有特别大。至于 vmware 授权的问题,如果不方便,可以使用 virtualbox 或者 Windows 自带的 hyper-v,然后在虚拟机里面启动全盘 BitLocker 就好。 |
| 31 Osk May 13, 2017 1 bitlocker + tpm,从 pe 启动主板是不会释放解密 key 的,windows 分区还是安全的。 |
Select Language