使用 BitLocker 时如何检查硬盘驱动器是否使用软件或硬件加密?
Pab*_*blo 30 security windows bitlocker
由于最近的安全发现可能大多数 SSD 都以一种完全幼稚和破坏的方式实现加密,我想检查我的哪些 BitLocker 机器正在使用硬件加密,哪些机器正在使用软件。
我找到了一种禁用硬件加密的方法,但我不知道如何检查我是否使用了硬件加密(在这种情况下,我必须重新加密驱动器)。我该怎么做?
我知道manage-bde.exe -status这给了我一个输出,例如:
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
Size: 952.62 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
但我不知道我想要的信息是否在这个屏幕上。
Len*_*iey 32
MSRC 上有一篇非常新的文章,部分解释了这个问题以及如何解决它。谢谢@凯文
Microsoft 已获悉有关某些自加密驱动器 (SED) 的硬件加密中存在漏洞的报告。关注此问题的客户应考虑使用 BitLocker Drive Encryption™ 提供的纯软件加密。在具有自加密驱动器的 Windows 计算机上,BitLocker Drive Encryption™ 管理加密,默认情况下将使用硬件加密。想要在具有自加密驱动器的计算机上强制进行软件加密的管理员可以通过部署组策略来覆盖默认行为来实现这一点。Windows 将咨询组策略以仅在启用 BitLocker 时强制执行软件加密。
要检查正在使用的驱动器加密类型(硬件或软件):
manage-bde.exe -status从提升的命令提示符运行。如果列出的驱动器都没有报告“加密方法”字段的“硬件加密”,则该设备正在使用软件加密并且不受与自加密驱动器加密相关的漏洞的影响。
manage-bde.exe -status 应该告诉你是否使用了硬件加密。
我没有硬件加密驱动器 ATM,所以这里是一个参考链接和它包含的图像:
控制面板中的 BitLocker UI 不会告诉您是否使用硬件加密,但命令行工具 manage-bde.exe 在使用参数 status 调用时会。可以看到D:(Samsung SSD 850 Pro)启用了硬件加密,C:(不支持硬件加密的Samsung SSD 840 Pro)没有启用:
