BitLocker為啥能加密系統盤,其實和UEFI、TPM沒有必然關係……用組策略啟用額外的驗證(開機時需要輸入解鎖密碼)即可在沒有TPM的機器上開啟BitLocker。回到一開始的問題:為啥可以加密Windows所在的分割槽?因為Windows Boot Manager可以在Windows啟動前“獨立”解密BitLocker分割槽。BitLocker、磁碟有關的驅動也是在引導時被載入的(和核心一起被載入),然後Windows就可以自己讀寫BitLocker分割槽,不再需要Windows Boot Manager提供柺棍了。UEFI的SecureBoot,還有TPM,有了它們,BitLocker可以變得更安全便捷。有了TPM,就可以不用輸入解鎖密碼了,金鑰由TPM負責保管,並由TPM來保證不會有人用WinPE偷窺硬盤裡的檔案。如果你嘗試用WinPE啟動,TPM就不會解鎖BitLocker加密的C盤。既然Ubuntu LiveCD、WinPE、拆機換硬碟等等威脅已經被TPM幹掉了,只要Windows登入密碼靠譜,那差不多就固若金湯了。但據說這樣並不是完全沒有弱點:冷凍記憶體等Cold boot attack仍然可能奏效;如果惡意程式碼得以在核心中執行,可能也有機會直接拿到金鑰。這些攻擊能奏效的前提是:硬碟資料加密仍然是作業系統在CPU上完成的,所以在那根插在主機板上的記憶體條裡,還是可以直接找到金鑰。如果把加密交給硬碟的主控晶片等硬體來做,讓硬碟主控去抵抗冷凍記憶體攻擊,那麼記憶體條裡就再也不需要保留金鑰,那……也許就真的固若金湯了……如果硬碟沒有這種高階功能,有一個緩解方法是讓TPM在開機時,多驗證一個PIN,必須輸對PIN才給金鑰,甚至在多次錯誤後毀掉金鑰。這樣一來,如果電腦被偷時,就已經關機了,那麼就沒法等到Windows傻乎乎地問登入密碼時,再偷偷冷凍記憶體幹猥瑣的事情了。但如果偷到的電腦還沒關機,那說不定有可乘之機。我實際上只是個小白使用者,以上理解可能有誤……還是需要真大神來科普一下 : - )所以你想到了什麼?沒錯……你不能把引導檔案也放在BitLocker加密的分割槽裡……就是這樣。
BitLocker為啥能加密系統盤,其實和UEFI、TPM沒有必然關係……用組策略啟用額外的驗證(開機時需要輸入解鎖密碼)即可在沒有TPM的機器上開啟BitLocker。回到一開始的問題:為啥可以加密Windows所在的分割槽?因為Windows Boot Manager可以在Windows啟動前“獨立”解密BitLocker分割槽。BitLocker、磁碟有關的驅動也是在引導時被載入的(和核心一起被載入),然後Windows就可以自己讀寫BitLocker分割槽,不再需要Windows Boot Manager提供柺棍了。UEFI的SecureBoot,還有TPM,有了它們,BitLocker可以變得更安全便捷。有了TPM,就可以不用輸入解鎖密碼了,金鑰由TPM負責保管,並由TPM來保證不會有人用WinPE偷窺硬盤裡的檔案。如果你嘗試用WinPE啟動,TPM就不會解鎖BitLocker加密的C盤。既然Ubuntu LiveCD、WinPE、拆機換硬碟等等威脅已經被TPM幹掉了,只要Windows登入密碼靠譜,那差不多就固若金湯了。但據說這樣並不是完全沒有弱點:冷凍記憶體等Cold boot attack仍然可能奏效;如果惡意程式碼得以在核心中執行,可能也有機會直接拿到金鑰。這些攻擊能奏效的前提是:硬碟資料加密仍然是作業系統在CPU上完成的,所以在那根插在主機板上的記憶體條裡,還是可以直接找到金鑰。如果把加密交給硬碟的主控晶片等硬體來做,讓硬碟主控去抵抗冷凍記憶體攻擊,那麼記憶體條裡就再也不需要保留金鑰,那……也許就真的固若金湯了……如果硬碟沒有這種高階功能,有一個緩解方法是讓TPM在開機時,多驗證一個PIN,必須輸對PIN才給金鑰,甚至在多次錯誤後毀掉金鑰。這樣一來,如果電腦被偷時,就已經關機了,那麼就沒法等到Windows傻乎乎地問登入密碼時,再偷偷冷凍記憶體幹猥瑣的事情了。但如果偷到的電腦還沒關機,那說不定有可乘之機。我實際上只是個小白使用者,以上理解可能有誤……還是需要真大神來科普一下 : - )所以你想到了什麼?沒錯……你不能把引導檔案也放在BitLocker加密的分割槽裡……就是這樣。