去年 6 月,有安全研究人員指出,只需 100 美元的工具、並重新刷寫韌體,即可輕鬆繞過固態硬碟驅動器(SSD)的硬體加密。
在啟用硬體加密的時候,Bitlocker“特別容易受到攻擊”,因其依賴於 SSD 自身的加解密功能。
問題曝光指出,微軟就建議使用者切換到基於軟體的加密方式。
Treo Alhonen 在 Twitter 上表示:
“如果你尚未配置這項組策略,那麼 BitLocker 將會採用基於軟體的加密方式”。
如果你非常關注開啟 BitLocker 後的資料安全性,那麼最好透過命令提示符(CMD)來檢查是否啟用了基於軟體或硬體的資料加密。
方法是:
(1)開啟命令提示符(執行 cmd.exe),右鍵選擇‘以管理員身份執行’。
(2)在使用者許可權控制(UAC)視窗中選擇允許。
(3)輸入 manage-bde.exe -status 命令。
(4)檢查‘加密方法’下的‘硬體加密’設定。
如果結果中沒有輸出“硬體加密”的字樣,那就表明驅動器在使用基於軟體的加密。
需要指出的是,該問題僅影響固態硬碟驅動器(SSD),普通機械硬碟(HDD)的使用者無需擔心。
去年 6 月,有安全研究人員指出,只需 100 美元的工具、並重新刷寫韌體,即可輕鬆繞過固態硬碟驅動器(SSD)的硬體加密。
顯然,這對使用者的資料安全造成了極大的隱患。不過該問題僅影響基於硬體的加密方式,而不影響基於軟體的加密措施。在啟用硬體加密的時候,Bitlocker“特別容易受到攻擊”,因其依賴於 SSD 自身的加解密功能。
問題曝光指出,微軟就建議使用者切換到基於軟體的加密方式。
不過在最新的 Windows 10 19H1 編譯版本中,該公司似乎已經預設切換到了軟體加密。Treo Alhonen 在 Twitter 上表示:
Windows 10 build 18317”的 BitLocker 組策略(GPO),已經預設放棄了基於硬體的 SSD 資料加密方式。“如果你尚未配置這項組策略,那麼 BitLocker 將會採用基於軟體的加密方式”。
但在 Build 18317 之前,描述文字曾是“BitLocker 將預設採用基於硬體的加密”。如果你非常關注開啟 BitLocker 後的資料安全性,那麼最好透過命令提示符(CMD)來檢查是否啟用了基於軟體或硬體的資料加密。
方法是:
(1)開啟命令提示符(執行 cmd.exe),右鍵選擇‘以管理員身份執行’。
(2)在使用者許可權控制(UAC)視窗中選擇允許。
(3)輸入 manage-bde.exe -status 命令。
(4)檢查‘加密方法’下的‘硬體加密’設定。
如果結果中沒有輸出“硬體加密”的字樣,那就表明驅動器在使用基於軟體的加密。
如果需要手動切換到後者,需要先解密驅動器、然後重新加密。需要指出的是,該問題僅影響固態硬碟驅動器(SSD),普通機械硬碟(HDD)的使用者無需擔心。
不過隨著 SSD 的普及率日漸提升,微軟還是選擇了儘快採取行動,以變更 Windows 10 BitLocker 功能的預設加密設定。