标签: bitlocker

我最近使用 Bitlocker 加密了我的 Windows 10 Pro 笔记本电脑系统驱动器和可移动备份驱动器。

我已经获得了文本文件形式的恢复密钥副本，并将它们存储在安全的地方，并通过我的登录帐户将其备份到 Microsoft 网站上。

然而，由于有点偏执（有经验？！），我想验证备份密钥在我需要时是否确实有效。如何测试/验证我的密钥是否与恢复系统在真实恢复场景中所需的密钥相匹配？

我最近在 BIOS 中启用了固件 TPM，以查看我的系统是否与 Windows 11 兼容。

我的问题是关于启用固件 TPM 时收到的以下警告：

英特尔 PTT 是集成在英特尔 ME/CSME/TXE 中的硬件 TPM 2.0 实现，用于凭证存储和密钥管理。启用 Intel PTT 和 Windows BitLocker 以进行驱动器加密后，固件 TPM 密钥将存储在 Intel ME 数据区域中。请注意，当恢复密钥丢失或更换 BIOS ROM 芯片时，系统将无法启动进入操作系统，数据将保持加密状态且无法恢复。

以下是我的问题：

1. 由于我从不想启用 BitLocker 并且我只启用了 TPM 以便我将来可以升级到 Windows 11，因此对于我的情况可以忽略此警告吗？

2. “一旦您启用英特尔 PTT 和 Windows BitLocker 进行驱动器加密，固件 TPM 密钥将存储在英特尔 ME 数据区域中。”

   这个“英特尔 ME 数据区域”将位于何处？这听起来不像我可以使用 Windows 资源管理器获得的东西。

   另外，“固件 TPM 密钥”有什么用？

3. “请注意，当恢复密钥丢失或更换 BIOS ROM 芯片时，系统将无法启动进入操作系统，数据将保持加密状态且无法恢复。”

   关于“什么时候更换BIOS ROM芯片”，是不是意味着开启BitLocker的用户应该先关闭再更换BIOS ROM芯片？

   如果是这样，如果他们在关闭 BitLocker 之前犯了更换 BIOS ROM 芯片的错误会怎样？他们可以将旧的 BIOS ROM 芯片放回原处并关闭 BitLocker，还是只是永久加密他们的系统？

当我激活 BitLocker 时，我想这将使我无法从我的 Ubuntu 安装中读取 Windows 分区上的任何文件。那是对的吗？

有什么方法可以不加密某些目录，以便我可以从 Ubuntu 访问它们？

我想加密我的主硬盘驱动器（我有我的操作系统、程序等），我已经在网上寻找教程，但每个教程似乎都遵循不同的步骤，有人说我需要另一个分区来放置恢复文件（主，系统保留和其他）和其他人说我必须修改注册表中的某些内容。

我之前曾将 bitlocker 用于两个外部驱动器，但我知道对于系统驱动器是不同的，我必须遵循哪些步骤来加密我的硬盘？

更多（可能相关）信息：我确实有一些教程提到的“系统保留”分区，这是加密我的主硬盘驱动器所必需的，并且硬盘有 465GB（434GB 免费）。

我有一个带有敏感数据的 USB 密钥。它包含一个 TrueCrypt 容器，我可以通过同一设备上的 TrueCrypt 安装将其安装到特定的驱动器号。

这一切都很好，除了 TrueCrypt 经常导致 BSOD 并且我对这些问题的支持请求没有得到答复。

所以我正在研究 BitLocker 加密。这看起来很棒，除了我无法控制安装驱动器的驱动器号这一事实。显然我可以在安装设备后通过计算机管理控制台更改驱动器号。但如果你每天必须做几次，那就是 PITA。

安装的设备具有特定的驱动器号很重要，因为多个应用程序会在该特定位置查找 SSL 证书和加密密钥。

在我看来，我希望有一个类似于 Linuxmount工作方式的解决方案。

解锁加密驱动器时.. 可以只为特定用户而不是使用系统的所有其他用户解锁该驱动器。

例如，有两个用户......User1并且User2，user1 解锁了一个加密驱动器，现在他锁定了桌面并user2从他的帐户中打开系统。现在，user2也可以访问user1解锁的驱动器。User2一定不能打开驱动器。如果他有驱动器的密码，那么他可能可以访问，但在此之前不能访问。

我已经阅读了这篇TechNet 博客文章，但我仍然无法确定 BitLocker 对试图暴力破解恢复密码的恶意用户的安全性如何。有没有人熟悉这个？另外，对恢复密码的离线暴力攻击怎么样？

我们在 MCITP 中了解了它们的功能。

EFS 和 BitLocker 之间有冲突吗？

我们可以同时使用它们吗？如果是这样，如何？

没想到我的要求太特别了，但是我的搜索确实没有得到太多结果，所以我仍然有一些问题没有得到解答。

基本上，我正在获得新硬件，并将在我的系统上进行完整的重新安装。由于我的新主板具有 UEFI（就像他们现在所做的那样），我想切换 - 但似乎没有任何简单的方法来满足我的要求：

• 我需要双引导 windows 和 Linux。最好是 Windows 7 (x64) Professional 和基于 Debain 的系统 (*ubuntu)，但我也可以访问 Windows 8.1，任何发行版都可以（尽管这应该不会有太大区别）
• 我需要完整的系统加密。即linux系统分区、windows系统分区和所有数据分区都必须完全加密。
• 我有共享数据分区，需要从两个系统读取和写入

• 不需要让 TPM/安全启动工作，我的主板无论如何都没有 TPM。

• 作为奖励，如果可能，我只想输入一次我的加密密码

我当前的系统使用 LUKS 进行 Linux 系统加密，使用 Truecrypt 进行 Windows 系统加密和共享分区。这样，我只需要在 Windows 系统启动时输入密码一次（truecrypt 调用它的预启动身份验证），并且只需要在 Linux 中输入一次（对于 LUKS - 密码存储在内核密钥环中并在我的 truecrypt 脚本中使用）添加到新贵，一旦我让脚本工作，就像一个魅力）

不幸的是，Truecrypt 引导加载程序还不能处理 GPT。所以有3个选择

• 使用 Legacy Boot 和我当前的设置
• 不加密 Windows 系统分区（不希望这样，因为它会将敏感文件存储在 AppData 或 ProgramData 或 Windows 隐藏未加密文件的其他任何地方）
• 使用 Bitlocker + LUKS。

最后一个设置看起来可以工作，但对 Linux 的 bitlocker 支持是非常测试版的 atm，并且似乎没有简单的方法来自动挂载 bitlocker 加密分区。因此，唯一真正有效的解决方案是用于 Windows 系统的 bitlocker、用于 linux 系统的 luks 和用于共享分区的 truecrypt，但这需要 …

是否可以远程输入 BitLocker 加密密钥？理想情况下，我希望能够通过网络 (WOL) 远程唤醒 PC，然后 RDP 进入它，但是启动驱动器是 BitLocker 加密的。