那些遇到过的问题

BitLocker 实际加密什么以及何时加密?

ygo*_*goe 39 encryption ssd bitlocker windows-10

我需要对运行当前版本的 Windows 10 专业版的商务笔记本电脑进行全盘加密。这些计算机具有三星的 NVMe SSD 驱动器和英特尔酷睿 i5-8000 CPU。

从今天的一些网络研究来看,目前只有两个选项可用:Microsoft BitLocker 和 VeraCrypt。我完全了解开源和闭源的状态以及随之而来的安全隐患。

在阅读了一些我以前从未使用过的有关 BitLocker 的信息后,我的印象是,从 Windows 10 开始,BitLocker出于性能原因只加密磁盘上新写入的数据,而不加密已经存在的所有数据。(该文档说我有一个选择,但我没有。他们在激活它后没有问我想要什么。)我过去使用过 TrueCrypt 系统加密,并且知道现有的数据加密是一项可见的任务,需要几个小时。我无法通过 BitLocker 观察到这种行为。没有明显的后台 CPU 或磁盘活动。

激活 BitLocker 非常简单。单击一个按钮,将恢复密钥保存在安全的地方,完成。与 VeraCrypt 相同的过程让我放弃了这个想法。我需要实际创建一个完全工作的恢复设备,即使是为了在一次性系统上进行测试。

我还读到 VeraCrypt 目前存在一个设计缺陷,导致某些 NVMe SSD在系统加密时速度极慢。我无法验证它,因为设置太复杂了。至少在激活 BitLocker 之后,我看不到磁盘性能的显着变化。VeraCrypt 团队也没有足够的资源来修复这个“复杂的错误”。此外,Windows 10 升级无法在安装 VeraCrypt 的情况下运行,这使得频繁的全盘解密和加密成为必要。我希望 BitLocker 在这里工作得更好。

所以我几乎决定使用 BitLocker。但我需要了解它的作用。不幸的是,网上几乎没有关于它的信息。大多数由提供概述但没有简洁深入信息的博客文章组成。所以我在这里问。

在单驱动器系统上激活 BitLocker 后,现有数据会发生什么变化?新数据会发生什么?“暂停 BitLocker”是什么意思?(与永久停用它从而解密磁盘上的所有数据不同。)如何检查加密状态或强制加密所有现有数据?(我不是说未使用的空间,我不在乎,SSD 需要它,请参阅 TRIM。)除了“挂起”和“解密”之外,还有关于 BitLocker 的更详细的数据和操作吗?

顺便提一下,BitLocker 与 EFS(加密文件系统)有什么关系?如果只加密新写入的文件,EFS 似乎具有非常相似的效果。但我知道如何操作EFS,它更容易理解。

use*_*686 48

激活 BitLocker 将启动一个加密所有现有数据的后台进程。(在 HDD 上,这在传统上是一个漫长的过程,因为它需要读取和重写每个分区扇区——在自加密磁盘上,它可以是即时的。)所以当说只有新写入的数据被加密时,指的是立即状态BitLocker 激活后,后台加密任务完成不再为真。此过程的状态可以在同一个 BitLocker 控制面板窗口中看到,并在必要时暂停。

需要仔细阅读 Microsoft 的文章:它实际上讨论了仅对磁盘的使用区域进行加密。他们只是做广告此为对新的系统,你没有任何数据的最大影响尚未除了基本操作系统(因此所有的数据将是“新写的”)。也就是说,Windows 10在激活后加密您现有的所有文件——它不会浪费时间加密尚不包含任何内容的磁盘扇区。(您可以通过组策略选择退出此优化。)

(该文章还指出了一个缺点:之前保存已删除文件的区域也会被跳过为“未使用”。因此,如果加密一个使用良好的系统,请使用工具进行可用空间擦除,然后让 Windows 运行 TRIM,如果在激活 BitLocker 之前,您有一个 SSD。或者使用组策略禁用此行为。)

在同一篇文章中,也提到了支持使用 OPAL 标准的自加密 SSD 的最新 Windows 版本。所以你看不到任何后台 I/O 的原因可能是因为 SSD 从第一天起就进行了内部加密,而 BitLocker 认识到了这一点,只接管了SSD 级别的密钥管理,而不是在操作系统级别重复加密工作。也就是说,SSD 不再在开机时自行解锁,而是要求 Windows 这样做。这可以通过组策略禁用,如果您更喜欢操作系统无论如何处理加密。

暂停 BitLocker 会导致将“主”密钥的纯文本副本直接写入磁盘。(通常,此主密钥首先使用您的密码或 TPM 加密。)挂起时,这允许磁盘自行解锁 - 显然是不安全的状态,但它允许 Windows 更新重新编程 TPM 以匹配升级的操作系统, 例如。恢复 BitLocker 只是从磁盘中擦除这个普通密钥。

BitLocker 与 EFS 无关——后者在文件级别工作,将密钥与 Windows 用户帐户相关联(允许细粒度配置,但无法加密操作系统自己的文件),而前者在整个磁盘级别工作。它们可以一起使用,尽管 BitLocker主要使 EFS 变得多余。

(请注意,BitLockerEFS 都有供企业 Active Directory 管理员恢复加密数据的机制——无论是通过备份 AD 中的 BitLocker 主密钥,还是通过向所有文件添加 EFS数据恢复代理。)

  • @Aganju:同一个 IT 组可能已经部署了指定 [EFS 数据恢复代理](https://docs.microsoft.com/en-us/windows/security/information-protection/windows-information-protection) 的策略/create-and-verify-an-efs-dra-certificate)。如果您有不希望 IT 部门访问的文档,请不要将它们存储在公司设备上。 (6认同)
  • “Bitlocker (...) 加密所有现有数据 (...) 在整个磁盘级别工作”-> 您忘记提及分区。使用具有 2 个分区的 HDD,我激活 Bitlocker 只加密其中的 1 个(包含数据的,而不是操作系统)。使用基于 linux 的操作系统启动时,只能读取未加密分区中的数据。 (2认同)

归档时间:

查看次数:

6022 次

最近记录:

7 年 前
相关归档
SATA HDD 上这个 4 针接口的用途是什么,为什么 SSD 上不存在? 63
如何使用 gpg 对称加密文件? 58
什么是“谁拥有这台 PC?” 在 Windows 10 设置中是什么意思? 26
新 PC 中的最佳 SATA SSD 配置 8
如果我现在购买 SSD,然后再购买新的计算机部件,我是否必须重新安装操作系统? 8
尽管没有未分配的空间,但 SSD 显示的大小不正确 6
笔记本电脑中的 SATA III SSD 的 SATA 操作模式是什么? 5
Intel SSD DC P3600 1.2TB 性能 5
如何知道共享驱动器的容量 5
Windows 更新后,Windows 存储空间错误地发出“低容量”警告 5
难疑归档
我应该将什么磁盘映像与 VirtualBox、VDI、VMDK、VHD 或 HDD 一起使用? 364
如何在 Tmux 中交换两个窗格? 297
在 Excel 中用逗号打开 CSV 的最简单方法 221
如何更改到上一个目录而不是上去? 220
如何卸载 Homebrew? 166
如果我把它放在冰箱里冷却,它会损坏我的 MacBook 吗? 162
Chrome:从自动完成中删除历史记录中未显示的 URL? 160
有没有办法在 Excel 或 OpenOffice Calc 中按像素而不是按单元格滚动? 155
适用于 Windows 的好屏幕标尺应用程序? 112
为什么 DNS 显然涉及在 Windows 10 上发布“dir”? 98