为什么BitLocker能给系统盘加密
答案:2 悬赏:40 手机版
解决时间 2021-03-11 01:46
- 提问者网友:刺鸟
- 2021-03-10 03:01
为什么BitLocker能给系统盘加密
最佳答案
- 五星知识达人网友:掌灯师
- 2021-03-10 04:24
BitLocker为啥能加密系统盘,其实和UEFI、TPM没有必然关系……用组策略启用额外的验证(开机时需要输入解锁密码)即可在没有TPM的机器上开启BitLocker。
回到一开始的问题:为啥可以加密Windows所在的分区?
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
BitLocker、磁盘有关的驱动也是在引导时被加载的(和内核一起被加载),然后Windows就可以自己读写BitLocker分区,不再需要Windows Boot Manager提供拐棍了。
UEFI的SecureBoot,还有TPM,有了它们,BitLocker可以变得更安全便捷。
有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件。如果你尝试用WinPE启动,TPM就不会解锁BitLocker加密的C盘。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。
但据说这样并不是完全没有弱点:冷冻内存等Cold boot attack仍然可能奏效;如果恶意代码得以在内核中运行,可能也有机会直接拿到密钥。
这些攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了……
如果硬盘没有这种高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN,必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。
这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。
我实际上只是个小白用户,以上理解可能有误……还是需要真大神来科普一下 : - )
所以你想到了什么?
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。
回到一开始的问题:为啥可以加密Windows所在的分区?
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
BitLocker、磁盘有关的驱动也是在引导时被加载的(和内核一起被加载),然后Windows就可以自己读写BitLocker分区,不再需要Windows Boot Manager提供拐棍了。
UEFI的SecureBoot,还有TPM,有了它们,BitLocker可以变得更安全便捷。
有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件。如果你尝试用WinPE启动,TPM就不会解锁BitLocker加密的C盘。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。
但据说这样并不是完全没有弱点:冷冻内存等Cold boot attack仍然可能奏效;如果恶意代码得以在内核中运行,可能也有机会直接拿到密钥。
这些攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了……
如果硬盘没有这种高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN,必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。
这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。
我实际上只是个小白用户,以上理解可能有误……还是需要真大神来科普一下 : - )
所以你想到了什么?
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。
全部回答
- 1楼网友:轮獄道
- 2021-03-10 05:16
s 加密证书后,需要将该证书导入。
1、在开始菜单搜索框中输入“certmgr.msc”,打开“证书管理器”。这是一个触发uac的操作,需要用户输入输入管理员密码或进行确认。
2、选择“个人”文件夹。
3、单击“操作”菜单,指向“所有任务”,然后单击“导入”。
4、在证书导入向导中,单击“下一步”。
5、键入包含该证书的文件的位置,或者单击“浏览”,导航至该文件的位置,然后单击“下一步”。
6、输入该证书的密码,选中“标记此密钥为可导出的”复选框,然后单击“下一步”。
7、单击“将所有的证书放入下列存储区”,选择“个人”,然后单击“下一步”。
是不是导入的有问题,只要正确的备份了密钥,肯定有办法打开
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯