BitLocker 密钥管理常见问题解答 (Windows 10)

2023-06-08 02:32| 来源: 网络整理| 查看: 265

如何对可移动数据驱动器进行身份验证或解锁？

可以使用密码或智能卡解锁可移动数据驱动器。还可以将 SID 保护程序配置为使用用户域凭据解锁驱动器。加密开始后，还可以在特定计算机上为特定用户帐户自动解锁驱动器。系统管理员可以配置用户可用的选项，包括密码复杂性和最小长度要求。若要使用 SID 保护程序解锁，请使用 manage-bde.exe：

Manage-bde.exe -protectors -add e: -sid domain\username 恢复密码、恢复密钥、PIN、增强的 PIN 和启动密钥之间有什么区别？

有关列出和说明恢复密码、恢复密钥和 PIN 元素的表，请参阅 BitLocker 密钥保护器和 BitLocker 身份验证方法。

如何存储恢复密码和恢复密钥？

操作系统驱动器或固定数据驱动器的恢复密码和恢复密钥可以保存到文件夹、保存到一个或多个 USB 设备、保存到 Microsoft 帐户或打印。

对于可移动数据驱动器，恢复密码和恢复密钥可以保存到文件夹、保存到 Microsoft 帐户或打印。默认情况下，可移动驱动器的恢复密钥不能存储在可移动驱动器上。

域管理员还可以将组策略配置为自动生成恢复密码，并将其存储在任何受 BitLocker 保护的驱动器Active Directory 域服务 (AD DS) 中。

如果仅启用了 TPM 身份验证方法，在不解密驱动器的情况下，是否可以添加另外一种身份验证方法？

Manage-bde.exe命令行工具可用于将仅限 TPM 的身份验证模式替换为多重身份验证模式。例如，如果仅使用 TPM 身份验证启用了 BitLocker，并且需要添加 PIN 身份验证，请使用提升的命令提示符中的以下命令，将 4-20 位数字 PIN 替换为所需的数字 PIN：

manage-bde.exe -protectors -delete %systemdrive% -type tpm manage-bde.exe -protectors -add %systemdrive% -tpmandpin 何时应考虑使用其他身份验证方法？

满足 Windows 硬件兼容性计划要求的新硬件使 PIN 成为不太重要的缓解措施，与设备锁定等策略结合时，仅 TPM 的保护程序可能便已足够。例如，Surface Pro和Surface Book没有要攻击的外部 DMA 端口。对于可能需要 PIN 的较旧硬件，建议启用允许非数字字符（如字母和标点符号）的增强型 PIN ，并根据计算机 TPM 上可用的风险容忍度和硬件防锤功能设置 PIN 长度。

如果恢复信息丢失，受 BitLocker 保护的数据是否不可恢复？

BitLocker 的目的在于如果没有必需的身份验证，则无法恢复加密的驱动器。当处于恢复模式时，用户需要恢复密码或恢复密钥，以解锁加密的驱动器。

重要提示

将恢复信息存储在 AD DS 中，以及存储在 Microsoft 帐户或其他安全位置中。

用作启动密钥的 U 盘是否也可以用于存储恢复密钥？

虽然在技术上可以使用 U 盘作为启动密钥和存储恢复密钥，但使用一个 U 盘来存储这两个密钥并不是最佳做法。如果包含启动密钥的 U 盘丢失或被盗，恢复密钥也将丢失。此外，插入此密钥会导致计算机从恢复密钥自动启动，即使 TPM 测量的文件已更改，这会绕过 TPM 的系统完整性检查。

是否可以在多个 U 盘上保存启动密钥？

是的，计算机的启动密钥可以保存在多个 U 盘上。右键单击受 BitLocker 保护的驱动器并选择“ 管理 BitLocker ”，将提供根据需要将恢复密钥保存到其他 U 盘上的选项。

是否可以在相同的 U 盘上保存多个（不同的）启动密钥？

是的，不同计算机的 BitLocker 启动密钥可以保存在同一 U 盘上。

是否可以为相同的计算机生成多个（不同的）启动密钥？

可以通过编写脚本为同一台计算机生成不同的启动键。但是，对于具有 TPM 的计算机，创建不同的启动密钥会阻止 BitLocker 使用 TPM 的系统完整性检查。

是否可以生成多个 PIN 组合？

无法生成多个 PIN 组合。

BitLocker 中使用了哪些加密密钥？它们如何协同工作？

使用全卷加密密钥加密原始数据，然后使用卷主密钥对其进行加密。卷主密钥又通过几种可能的方法之一进行加密，具体取决于身份验证 (即密钥保护程序或 TPM) 和恢复方案。

加密密钥存储在何处？

全卷加密密钥通过卷主密钥进行加密并存储在加密的驱动器中。卷主密钥通过相应的密钥保护程序进行加密并存储在加密的驱动器中。如果已暂停 BitLocker，用于加密卷主密钥的明文密钥将随同加密的卷主密钥一起存储在加密的驱动器中。

此存储过程可确保卷主密钥永远不会未加密存储，并且除非禁用 BitLocker，否则会受到保护。密钥也会保存到驱动器上的两个其他位置中，以备不时之需。启动管理器可读取和处理密钥。

为什么需要使用功能键来输入 PIN 或 48 个字符的恢复密码？

F1 至 F10 键为通用映射扫描代码，可用于所有计算机上的预启动环境和所有语言。数字键 0 到 9 在所有键盘上的预启动环境中都不可用。

如果使用增强的 PIN，用户应在 BitLocker 安装过程期间运行可选系统检查以确保在预启动环境中可正确输入 PIN。

BitLocker 如何帮助阻止攻击者发现可以解锁操作系统驱动器的 PIN？

执行暴力攻击的攻击者可能会发现个人标识号 (PIN) 。暴力攻击会在攻击者使用自动化工具尝试不同的 PIN 组合时发生，一直持续到发现正确的那一个为止。对于受 BitLocker 保护的计算机，这种类型的攻击（也称为字典攻击）要求攻击者对计算机具有物理访问权限。

TPM 具有内置的检测和响应这些类型攻击的功能。由于不同制造商的 TPM 可能支持不同的 PIN 和攻击缓解措施，因此请联系 TPM 的制造商，以确定计算机的 TPM 如何缓解 PIN 暴力攻击。确定 TPM 的制造商后，请与制造商联系以收集 TPM 的供应商特定信息。大多数制造商使用 PIN 身份验证失败计数成倍增加 PIN 接口的锁定时间。但是，每个制造商都有关于何时以及如何减少或重置失败计数器的不同策略。

如何确定 TPM 的制造商？

可以在Windows Defender安全中心>设备安全性>处理器详细信息中确定 TPM 制造商。

如何评估 TPM 的字典攻击缓解机制？

当向 TPM 制造商询问字典攻击缓解机制的设计时，以下问题可能会提供帮助：

在锁定前，可发生多少次失败的授权尝试？用于确定基于失败尝试数量和任何其他相关参数的锁定的持续时间算法是什么？哪些操作可能会导致失败计数和锁定持续时间的减少或重置？是否可以使用组策略管理 PIN 长度和复杂性？

是和否。可以使用“为启动组策略配置最小 PIN 长度”设置来配置最小个人标识号 (PIN) 长度，并通过启用“允许启动组策略增强的 PIN”设置来允许使用字母数字 PIN。但是，无法通过组策略要求 PIN 复杂性。

有关详细信息，请参阅 BitLocker 组策略设置。

【本文地址】

公司简介

联系我们