Show 是否必要,不是其他人能帮你做决定的,而是根据你自己的实际需要来决定的。 bitlocker可以通过加载存储在tpm芯片中的密钥,对硬盘进行加密。 加密后的硬盘无法在其他电脑上识别。并且本机上的非授权用户无法访问被加密的磁盘或分区。 一般来说,硬盘加密主要是防止电脑丢失或硬盘丢失后,带来的电脑资料外泄风险。 但bitlocker并不是万能的,有一些业务场景无法满足。 bitlocker是OS层之上的加密,我们揽阁信息还可以提供在硬盘引导层的硬盘加密。相比bitlocker,非授权用户无法使操作系统进行加载。 除此之外,一旦授权用户将访问磁盘,像勒索软件这类的病毒就可以访问磁盘,并对文件进行攻击,对于企业来说,也存在内部人员将机密文件外泄的风险。我们还可以提供透明加密产品、数据防泄漏产品、终端准入和访问控制产品,以及定制化的解决方案,可以全面覆盖硬盘或文件保护需求。
如果你盘里的文件重要的话肯定是需要加密的,但是不建议全盘加密,可以使用加密软件对重要文件选择性加密。现在市面上的加密软件技术都基本成熟,很多企业个人都有在用。安装加密软件后文件在新建、打开时就会自动加密,在内部环境文件是可以正常打开的,脱离这个环境则打不开或乱码,可以禁止截屏、拷贝、复制、打印、修改等。文件外发需授权解密,未授权解密无论以任何形式发出都是无法正常打开的,还可设置文件外发的浏览次数和打开时间。在不影响日常使用的情况下保障文件安全。
2.使用之前的密码就可以 3.没解锁可以格式化 4.有恢复密钥就可以解锁, 或者密钥绑定了ms账号也可以通过账号解锁 5.manage-dbe -lock <盘符> 或者用这个 (可选)装完把下面这段保存为.reg文件并运行, 菜单名称改成了中文粗体
答主只是外行,建议大家去看专业人士的科普: Bitlocker、TPM和系统安全 ============================================================================ BitLocker为啥能加密系统盘,其实和UEFI、TPM没有必然关系……用组策略启用额外的验证(开机时需要输入解锁密码)即可在没有TPM的机器上开启BitLocker,无论走UEFI引导还是BIOS引导都是这样。 回到一开始的问题:为啥可以加密Windows所在的分区? 因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。 Windows Boot Manager先把内核和各种驱动(包括BitLocker、磁盘有关的驱动)解密出来,然后就把控制权转交给Windows。借助BitLocker驱动(fvevol.sys),Windows也可以自由读写被加密的分区了,然后可以继续照常启动,不再需要Windows Boot Manager提供拐棍。 PS:解密密钥的来源取决于你的配置,可以是:TPM、数字密码即“恢复密钥”、存有密钥文件的U盘。实际上这些东西并不是真正的密钥,都不能直接解密数据。它们是用来解密FVEK的(实际上还不止一层加密),FVEK才是真正执行数据加密的密钥,它被上面这些东西加密保存在硬盘上——可想而知,如果有关的扇区损坏了,那整个盘的数据就被判了死刑——当然,微软的东西还是靠谱的,有做冗余,并没有那么脆弱。 TPM可以让BitLocker变得更安全便捷。 有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件,WinPE、KonBoot这些手段在TPM面前都会露馅:如果TPM发现启动方式不对,就不会释放密钥。 没有密钥就无法解锁BitLocker加密的C盘,正常情况下Windows就会报错,无法正常启动;WinPE的话,虽然能正常启动,但缺少TPM里的密钥,C盘无法解密,仍然是一堆乱码。 既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。 (开脑洞的话,这里还有一个隐含的信任关系:Windows Boot Manager、Winlogon这些程序不能爆安全漏洞,比如CVE-2015-2552,还有类似Linux 爆新漏洞,长按回车 70 秒可获得 root 权限这种,如果爆了安全漏洞,那不需要Windows登录密码也可以直接访问被加密的数据了) 但这样并不是完全没有弱点: 冷冻内存等Cold boot attack仍然可能奏效。内存被液氮冷却后,即使断电也可以让数据保留一段时间。而且系统正常运行时,随时需要读写被加密的盘,那内存里肯定能找到密钥,因为读写时肯定需要执行加密/解密。所以,可以趁电脑没关机时冷冻内存,然后把内存接到别的电脑上,再运行一个程序把密钥搜出来。 冷冻内存攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。 如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了?好像还没有。 如果系统中木马了,那木马自然也有机会访问那些被加密的数据,拿到整个盘的解密密钥也不是难事儿(这甚至有点多余了,因为种了木马以后,无论攻击者想偷什么文件,都已经可以直接拿到了)。 如果硬盘没有AES加密之类高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN。必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。 这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。 所以你想到了什么? 没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。 本文为中文互联网最全解析BitLocker的文章 20年成文,22年年底重新更新了一些内容,也做过视频版) 本文可以解答
网上搜来搜去,大抵也是本文范围内的知识 2002.09.13更新 目前已知两种解决找不到密钥的情况
实在找不到密钥,数据我不要了,电脑能用就行,怎么办?
2022.03.27更新 在这篇专栏成文一年多以来,600+小伙伴参考这个找回了自己的密钥,成功开机 还有超过200+找不回来(没有微软账号/忘了密码/没有上传过),请看到这篇内容的小伙伴务必做两件事
求求大家,增强对自己的电脑掌控力,这个丢了太惨了
以下是原文 电脑出现如下图所示的蓝屏,想知道如何解锁电脑的小伙伴,可以看这篇内容 成功解锁的朋友,如果也在使用知乎,请不要吝啬你的点赞/收藏,这可以帮助到更多的朋友 发文一年半以来,已经帮助几百位朋友找到密钥,解决问题Bitlocker锁定 P.S. 作者并不是专业的运维IT人员,如有谬误,欢迎大家指正~(学习使我快乐!) 本文已经被百度抓取,发文一年,阅读量约60K,百度搜索Bitlocker应该会直接出来这篇内容,希望能给更多人带来帮助~ 解决办法前提【电脑使用微软账户登录】
进去往下滑,找到【管理恢复密钥】,里面有密钥——会有很多组,找和电脑蓝屏里,前面数字一致的那组 点击【管理恢复密钥】
输入【密钥ID】匹配的【48位数字密钥】,即可进系统以上是需要解决这个【蓝屏输入密钥】问题的朋友所需要的全部内容 下面是【详细说明和科普】,又臭又长,可以不用看的~ 科普,向大家简要介绍一下Windows10电脑里的【Bitlocker】说不定哪天就用到了,点赞收藏走起哇! 背景——
更新时间2020.06.07Bitlocer视觉图(图标和名称) 简略版本:Bitlocker是一个数据加密软件,可以在硬件层面加密自己数据,保护自己的数据安全,密钥是48位数字
✨应用场景——电脑硬件变动,BitLocker恢复,需要输入密钥我猜搜这个东西的朋友,主要是遇到这个情况~2021.06.28更新——时隔一年,发现很多地方其实是写错了,于是准备重写 原正文: 目录
百度百科[1]
举个法外狂徒的例子:【李四】有一台C940,出厂自带Bitlocker保护,机器有TPM芯片张三只能通过沟通向李四索要 附录:几个名词的解释[2]【AES】高级加密标准(Advanced Encryption Standard,AES),又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。
【TPM】(Trusted Platform Module)安全芯片是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护PC、防止非法用户访问。
TPM的优势——
✨2、Bitlocker有什么用?前面的内容,看完大概知道了Bitlocekr有什么用,这里总结一下 Bitlocker用途如下:
Bitlocker的几个需要知道的地方:
✨3、BitLocker怎么使用新机默认自动打开已打开,可关闭,需要找到BitLocker设置——开始-设置-更新与安全-设备加密屏幕左下角的开始菜单里找到【设置】设置列表里找到【更新和安全】设备加密可以关闭加密 BitLocker设置
备份恢复密钥——
打印是这个样子——
Bitlocker是实时加密解密的,解锁的时候会读取整盘的数据 4、查找我的BitLocker密钥[3]
5、补充阅读
完结撒花!参考
|