V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gdtv
V2EX  ›  问与答

请教 windows 加密硬盘 的问题

  •  
  •   gdtv · 2017-05-09 19:47:54 +08:00 · 2734 次点击
    这是一个创建于 2790 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我台式电脑有两个硬盘,操作系统装在其中一个硬盘上。

    我想要实现是:只要 windows 登录密码不泄漏,就算电脑被别人偷走,别人也访问不了硬盘里面的内容,就算别人拆下硬盘装到其他电脑上也读不出数据。

    于是我开启了这两个硬盘的 BitLocker 功能。但是每次启动电脑,在进入 windows 之前就要输入 BitLocker 的密码。这样的话家里停电再来电后电脑自动启动,或者 windows 自动更新之后重启,如果没人在电脑前,就会卡在输入 BitLocker 密码的界面,我在外地就无法远程连接到电脑了。

    请问我该怎么解决呢?

    31 条回复    2017-05-13 21:30:20 +08:00
    wevsty
        1
    wevsty  
       2017-05-09 19:59:32 +08:00   ❤️ 1
    系统盘不开启 BitLocker 即可,关键文件放到加密的硬盘就行了。
    Windows 账户登录密码直接不会影响 BitLocker 加密文件的安全。
    hjc4869
        2
    hjc4869  
       2017-05-09 20:04:15 +08:00   ❤️ 1
    你想实现的不是 Bitlocker,而是 EFS。右键文件-属性-高级-加密打开。
    geelaw
        3
    geelaw  
       2017-05-09 20:09:16 +08:00   ❤️ 1
    @wevsty 那就不能 EFS,得用不透明的加密。

    ---

    @hjc4869 这样是不行的,攻击者拆掉硬盘之后可以直接拿出 EFS 的密钥。

    ---

    楼主:

    你需要 TPM,然后 BitLocker 系统盘。

    如果你的电脑是多用户,那么你还需要 EFS。
    kokutou
        4
    kokutou  
       2017-05-09 20:11:08 +08:00 via Android
    EFS
    gdtv
        5
    gdtv  
    OP
       2017-05-09 20:11:17 +08:00
    @wevsty 系统盘我也想加密,因为浏览器的书签、cookie 等私人的东西也不想被人获取到
    Osk
        6
    Osk  
       2017-05-09 20:11:48 +08:00   ❤️ 1
    使用 tpm 模块可以在启动时自动验证启动环境,若没问题,主板可以释放 bitlocker 密钥解密,全程不需交互。

    没 tpm 的话,还是想想其他办法吧。
    非要使用 bitlocker: 使用 u 盘存放解密密钥,但计算机被盗了的话,解密密钥还不是被直接拿来解密 C 盘,骗自己,而且 U 盘坏了就得麻烦地进行 bitlocker 恢复

    不使用 bitlocker 保护吧,万一计算机被人离线注入点什么东西,开机后你解密数据盘,一条命令就把恢复密码搞到手了。而且系统盘不加密,无法使用 bitlocker 自动解密数据盘!

    所以在计算机会被其他人物理接触的情况下,TPM 真的是有大用,虽然 TPM 很有可能有 ZF 的后门。以后配计算机 TPM 模块是我的重要选项。
    oisc
        7
    oisc  
       2017-05-09 20:12:02 +08:00
    你电脑没有 TPM 吧
    ProjectAmber
        8
    ProjectAmber  
       2017-05-09 20:12:27 +08:00 via iPhone
    你需要 TPM。
    wevsty
        9
    wevsty  
       2017-05-09 20:13:05 +08:00
    @gdtv 要加密系统盘那就没有什么好办法了,只有 TPM
    zhujinliang
        10
    zhujinliang  
       2017-05-09 20:14:24 +08:00 via iPhone
    用 ipmi 之类的远程控制
    luos543
        11
    luos543  
       2017-05-09 20:43:47 +08:00
    关闭自动更新,上 ups 电源
    wevsty
        12
    wevsty  
       2017-05-09 21:00:48 +08:00
    其实楼主不介意性能差点的话,虚拟机可以解决这个问题。
    vmware 的产品直接支持对整个虚拟机硬盘加密。
    所以楼主可以直接新建一个加密虚拟机,实体机彻底不加密,这样即使没有 TPM 重启也可以保证 Windows 能顺利起来。
    因为虚拟机硬盘文件整个都是加密,所以安全性彻底得到保障。
    billlee
        13
    billlee  
       2017-05-09 21:35:15 +08:00
    @geelaw #3 EFS 私钥是用登录口令加密的。
    hjc4869
        14
    hjc4869  
       2017-05-10 00:04:32 +08:00
    @geelaw 现在 EFS 的密钥不是用登录密码加密的吗?
    https://technet.microsoft.com/en-us/library/cc962112.aspx
    geelaw
        15
    geelaw  
       2017-05-10 07:09:14 +08:00
    @billlee
    @hjc4869 是我 naif 了
    netfee
        16
    netfee  
       2017-05-10 07:25:52 +08:00 via Android
    借楼问一下 BitLocker 足够安全吗?
    acess
        17
    acess  
       2017-05-10 09:09:54 +08:00   ❤️ 1
    @netfee
    随手一搜: https://zh.scribd.com/doc/130070110/Extracting-Encryption-keys-from-RAM
    不过有些硬盘支持加密,可能这样就可以避免从内存中 dump 密钥的问题。
    EFS 的问题和这个差不多吧,好像直接拿 SYSTEM 账户打开 certmgr.msc 就可以看到私钥的样子。
    acess
        18
    acess  
       2017-05-10 09:10:56 +08:00
    @netfee 如果登录密码足够靠谱,没泄露也不会被暴力猜解,那 EFS 和 BitLocker 都足够靠谱,除非对方可以通过液氮冷却等方法 dump 内存。
    acess
        19
    acess  
       2017-05-10 09:13:08 +08:00
    @wevsty 系统盘必须加密,否则……就我知道的,蓝屏 dump,还有休眠文件 hiberfil.sys 就有可能被拿去 dump 内存、读取密钥了。
    acess
        20
    acess  
       2017-05-10 09:19:28 +08:00
    @netfee 我说的可能有点误导……
    想直接提取 EFS 的密钥,必须让目标账户登录一下。没有目标账户的密码,目标账户没登录的话,私钥也是不会被解密的,有管理员权限(比如用 WinPE 开启 Administrator 账号)也没用。
    xss
        21
    xss  
       2017-05-10 09:24:37 +08:00
    @geelaw 理论上, TPM 在中国是违法的, 不允许卖....
    wevsty
        22
    wevsty  
       2017-05-10 09:56:13 +08:00   ❤️ 1
    @acess 休眠可以关闭,蓝屏 dump 只要不是完整的内存 dump 也问题不大,只要内存足够大,页面文件也可以关闭。
    当然键盘记录器是防不住的,这一点很遗憾。只要能被物理接触,那就是最大的安全漏洞。
    加密系统盘唯一的优势就是保证了系统文件的完整性。但是没有 TPM,也没有 IPMI 之类管理工具的情况下,加密系统盘是没办法解决启动问题的。
    要能防止被物理接触获取数据,又要不想输入密码就能启动随时远程管理,还没有硬件方面的辅助设备也就只能做到这样了。
    从楼主的需求看,只是想防止数据被普通人看到,如果不想花钱用硬件来解决问题,虚拟机的方案应该是最优的。
    @xss 可以卖,只是国内要求只能使用国产的 TPM 而已。
    gdtv
        23
    gdtv  
    OP
       2017-05-13 10:16:52 +08:00
    @Osk 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。
    gdtv
        24
    gdtv  
    OP
       2017-05-13 10:19:48 +08:00
    @acess 请问如果 BitLocker 使用 u 盘存放解密密钥,电脑和 u 盘都被盗了,如果黑客没有我的 windows 登录密码(假设他猜解不出 windows 密码),他还能拿到我电脑上的数据吗? 例如他用 WINPE 之类的软件启动。
    acess
        25
    acess  
       2017-05-13 12:41:30 +08:00   ❤️ 1
    @gdtv U 盘有解锁密码啊,直接 manage-bde 命令就解开了。如果没有 EFS 之类保护,文件就随便拷了。
    gdtv
        26
    gdtv  
    OP
       2017-05-13 13:12:24 +08:00
    @acess 再请教一个问题,如果我的电脑硬件支持 TPM,我启用 BitLocker 加密后,整台电脑被偷了,别人在不知道我 windows 系统登录密码(假设密码足够复杂)的情况下能读取我硬盘上的数据吗?
    acess
        27
    acess  
       2017-05-13 13:26:54 +08:00
    @gdtv
    我也只是外行啊……我说的仅供参考。
    TPM 如果没设 PIN,或者即使开了 PIN,但对方拿到电脑时还没关机,那理论上可能被冷冻内存法直接 dump 内存找出密钥。对了,还有硬件加密没考虑,也许硬盘支持硬件加密,内存里就没密钥了,可能更安全一些。
    如果真的对安全要求那么高,那系统安全也得把守住,否则可能被键盘记录、mimikatz 之类手段搞到密码(复杂密码也可能泄露啊)。而且,如果平时使用时,系统有漏洞,或者自己手贱了,中了木马,也会 GG。
    gdtv
        28
    gdtv  
    OP
       2017-05-13 14:16:21 +08:00
    @acess 谢谢,我的要求没这么高,不考虑什么冷冻内存法这些黑科技,只要求普通人解密不了就行。
    假如有硬件 TPM,但没设置 PIN,只设置了 windows 系统的登录密码,假如电脑在关机的时候整台被偷了,别人能读取我的资料吗? 例如别人用 WINPE 启动系统,然后把我原来的硬盘挂为从盘,可以读资料吗?
    gdtv
        29
    gdtv  
    OP
       2017-05-13 15:03:53 +08:00
    @wevsty 谢谢,但是 vmware 的性能比真差得挺多的,我挺在乎的,并且最重要的是,vmware 太贵了
    wevsty
        30
    wevsty  
       2017-05-13 16:00:27 +08:00   ❤️ 1
    @gdtv 不开启 BitLocker 就不能保证系统盘的文件安全,即使有 TPM 也一样。TPM 的作用就是储存加密密钥,这样你开机才能不输入密码就自动解密。
    EFS 加密是跟 Windows 账户有关的加密方式,但是 EFS 有几个问题,EFS 加密后虽然不能看到文件内容但是依然是可以看到文件名的,EFS 对系统盘的保护有限,并且 EFS 实在太易用了,导致很容易忘记备份 EFS 加密证书,如果忘记备份加密证书那么很容易丢失所有数据。
    加密本身就是影响磁盘性能的,无论是 BitLock,EFS 还是其他的加密方案,对磁盘性能都有负面影响。虚拟机的方案里除了显卡性能以外,其他的性能和真机差距没有特别大。至于 vmware 授权的问题,如果不方便,可以使用 virtualbox 或者 Windows 自带的 hyper-v,然后在虚拟机里面启动全盘 BitLocker 就好。
    Osk
        31
    Osk  
       2017-05-13 21:30:20 +08:00   ❤️ 1
    bitlocker + tpm,从 pe 启动主板是不会释放解密 key 的,windows 分区还是安全的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1751 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:33 · PVG 00:33 · LAX 08:33 · JFK 11:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.