(1)处于睡眠(待机)模式的计算机。当便携式计算机进入睡眠模式时,便携式计算机和BitLocker加密密钥的状态不会更改。当计算机从睡眠模式恢复时,仍可访问FVEK。此风险可通过启用“计算机从睡眠模式恢复时提示输入密码”设置来缓解。
(2)处于登录状态且桌面未锁定的计算机。计算机启动且VMK解密后,可使用键盘的任何人均能访问未加密数据。缓解此风险最有效的方法是对可能在计算机上存放了敏感信息的用户进行安全意识培训。
(3)对操作系统进行联机攻击。如果攻击者能通过提供USB设备作为启动过程的一部分而正常启动计算机,那么他可以发起各种攻击,包括特权升级攻击和可进行远程利用的攻击。
(4)平台攻击。配置了BitLocker、TPM和USB设备的计算机将会启动操作系统并加载到Windows用户凭据界面。但是值得注意的是,平台攻击是可能会导致密钥材料泄露的。
(5)计算机保留了必需的身份验证元素。USB设备是单独的物理身份验证元素,是加密解决方案的依据。通过要求提供另一个非物理身份验证元素(例如PIN或密码),可以缓解用户同时丢失计算机和USB设备的风险。
2.4 清除密钥模式
对于一般情况下的各种模式清除密钥的方法,在支持该模式的电脑上会有使用向导,在此不再介绍。下面我们仅仅介绍需要临时禁用Bitlocker的清除密钥模式。需要禁用的情况如下所列:
1、重启计算机时不需要用户输入个人信息(例如,PIN或启动密钥)。 2、在升级到至关重要组件时没有触发Bitlocker的恢复模式。 3、升级系统版本时没有触发Bitlocker的恢复模式。
4、关闭、禁用或是去除TPM时没有触发Bitlocker的恢复模式。 5、将已被Bitlocker加密的磁盘移到另外的电脑上时没有触发恢复模式。 6、丢失了存储恢复密码的设备(如USB驱动器),但是却需要重新进行Bitlocker加密设置时。
7、修改磁盘上的主引导记录时没有触发恢复模式。 8、修改磁盘上的启动管理器时没有触发恢复模式。 9、TPM自我检测失败时。
10、在早期引导环境时,使用不同的键盘进行不正确的PIN输入,或是不匹配的键盘映射,使得系统对密码输入进行阻止时。
23
2.5 仅启动密钥模式
2.5.1 仅启动密钥模式介绍
如果用户的电脑没有兼容的TPM可用,那么可以采用仅启动密钥模式。由于用户倾向于将设置好的密码存于USB设备中,因此,这种模式有时也称为使用USB设备的Bitlocker加密模式。在这种仅使用启动密钥的模式中,我们选用USB设备来存储启动每次计算机启动时所需要的密钥。这种模式的启动和禁用,用户应该在Windows的控制面板中依据向导进行操作。
下图所示的是访问被仅启动密钥的Bitlocker模式加密后文件的内部原理性步骤:
Cleartext DataDataDecryption performed on data using FVEKEncrypted disk sectorsFVEKVolume Encryption Key (FVEK)VMKDecrypting of the VMK Startup KeyEncrypted Volume USB device with Startup Key
图2-7 没有TPM的电脑上的Bitlocker保护
对于上图的图解顺序的步骤如下:
1、操作系统启动并提示用户插入包含USB密钥的USB设备(一般情况下是直接输入设置好的密码)。
2、VMK通过(USB设备上的)密钥进行解密。
3、从卷中读取加密FVEK,并使用解密VMK对其进行解密。 4、访问磁盘扇区时,使用FVEK进行解密。
24
5、为应用程序和过程提供纯文本数据。
用户使用该模式时,在打开Bitlocker时首先应该创建一个启动密钥,这个密钥被用户创建之后是可以在文件中可见的,而且密钥可以复制,但却不能够更改。一旦启动密钥生成且启动Bitlocker的保护功能,则被加密的盘如果想要移植到另外的计算机上进行操作,也是需要输入密钥才能够进行的。
这种模式中,由于电脑不具备TPM模式,所以VMK也不存在密封/开启操作。VMK是通过传统的软件机制(使用USB设备上的对称密钥)进行加密和解密。USB设备插入计算机后,BitLocker将检索密钥并解密VMK。再接下来,VMK(卷主密钥)将用于解密FVEK(全卷加密密钥)。
由于这种模式是需要设置密码的,在此我们对设置密码时的要求作一点说明:我们建议用户在设置密码时使用强密码——强密码是长度至少为八个字符,且不包含用户名、真实姓名或公司姓名,不包含完整地单词组合。
2.5.2 仅启动密钥模式可以缓解的风险
此外,通过学习我们还可以知道,使用仅启动密钥的BitLocker加密模式可以缓解以下数据风险:
1、处于休眠模式的计算机。从休眠模式恢复后,BitLocker将要求对USB设备重新进行身份验证。
2、发现本地/域密码。使用USB设备的BitLocker要求除有效的计算机帐户密码之外还必须提供另一项身份验证元素才能访问计算机上的加密数据。
3、内部人员可以读取加密数据。这种模式与以前的风险缓解说明相同,同样是由于此模式添加了身份验证元素,因此降低了拥有有效帐户的未授权用户可能启动计算机、登录和读取加密数据的风险。
4、通过脱机攻击进行密钥发现。VMK使用USB设备上的密钥进行加密。如果USB设备不可用,攻击者必须发起一次强力攻击来确定FVEK的值。
5、对操作系统进行脱机攻击。VMK使用USB设备上的密钥进行加密。如果USB设备不可用,则攻击者必须成功操纵成千上万个包含操作系统模块的扇区(相当于强力攻击)才能确定FVEK的值。另外,配置了扩散器技术(默认情况下启用)的BitLocker正好可以缓解这种性质的集中攻击,因为对暗文的细微更改也将可能会扩散到更大的范围之内。
6、通过休眠文件泄露纯文本数据。BitLocker的主要目标之一是在计算机关闭或处
25
于休眠模式时保护硬盘驱动器的操作系统卷上的数据。启用BitLocker后,休眠文件将被加密。
7、通过系统页面文件泄露纯文本数据。启用BitLocker后,系统页面文件将会被加密。
8、用户错误。由于BitLocker是一种全卷加密技术,因此它可以对Windows操作系统卷中存储的所有文件进行加密。此加密模式功能可帮助避免错误,防止用户对是否应用加密作出错误决定。
2.5.3 仅启动密钥模式不能缓解的风险
而这种模式中,在没有其他控件和策略的情况下,使用USB设备的BitLocker加密模式不能缓解以下风险:
(1)处于睡眠(待机)模式的计算机。当便携式计算机进入睡眠模式时,便携式计算机和BitLocker加密密钥的状态不会更改。当计算机从睡眠模式恢复时,仍可访问FVEK。对于此风险,用户可以通过启用“计算机从睡眠模式恢复时提示输入密码”设置来缓解。
(2)处于登录状态且桌面未锁定的计算机。计算机启动且VMK开启后,可使用键盘的任何人均能访问未加密数据。缓解此风险最有效的方法是对可能在计算机上存放了敏感信息的用户进行安全意识培训。
(3)对操作系统进行联机攻击。在这种模式中不能缓解对操作系统的联机攻击。如果攻击者在启动计算机时能够通过提供USB设备进行正常启动,则操作系统可能容易遭受各种攻击,其中包括特权升级和远程执行代码攻击。
(4)平台攻击。配置有BitLocker和USB设备的计算机将通过使用USB设备中包含的密钥将操作系统启动并加载到Windows用户凭据界面来(Winlogon)。对于平台的任何攻击,例如通过PCI总线或IEEE 1394接口进行的DMA,都有可能导致密钥材料泄露。
(5)计算机保留了必需的身份验证元素。USB设备是单独的物理身份验证元素,是加密解决方案的依据。未经培训或粗心大意的用户可能会将USB设备与移动PC一起放在包里,这会使设备成为小偷的囊中之物。用户同时丢失计算机和USB设备带来的风险可以通过某种风险缓解方法来缓解,该方法要求提供另一个非物理身份验证元素,例如个人识别码(PIN)或密码。
26
2.6 恢复密钥/密码模式
2.6.1 恢复密钥/密码模式介绍
恢复密钥/密码模式是指使用恢复密码或恢复密钥来进行解密的模式。有几种场景可以触发恢复模式进行,即:
1、升级系统版本或是升级TPM时。
2、将Bitlocker保护的驱动器移植到新的计算机上时。 3、关闭、禁用或清除TPM时。 4、更新BIOS时。
5、升级至重要的组件时导致TPM验证失败时。
6、在使用TPM和PIN的Bitlocker模式之后,忘记了PIN时。
7、在使用TPM和启动密钥模式之后,丢失了载有启动密钥的USB驱动器时。 对于以上这些情况的出现,我们要使用恢复密钥/密码模式,但是,首要条件是我们要保证恢复密码/密钥的安全性,也就是最好只有用户自己知道。恢复密钥/密钥是在启用Bitlocker的时候创建并保存在所谓的USB闪存驱动器中的,并且在恢复进行的时候,用户是不能使用密码进入之前加密的盘中进行操作的。
那么,说了这么多,那么究竟恢复密码/密钥是什么呢?
下面我们来做较为详细的讲解:BitLocker恢复密钥是一种特殊的密钥,在每个要加密的驱动器上第一次启用Bitlocker驱动器加密时可以创建该密钥。如果使用BitLocker驱动器加密对安装了Windows的驱动器(操作系统驱动器)进行了加密,并且在计算机启动时BitLocker检测到存在某种阻止其解锁驱动器的情况,则可以使用恢复密钥获取对计算机的访问权限。恢复密码是随机生成的48位数,可以在BitLocker设置期间创建该密码。如果计算机进入恢复模式,则会提示用户使用功能键(F0到F9)键入该密码。启用BitLocker之后,可以对恢复密码进行管理和复制。
对于恢复密钥的存储,我们应当通过以下方式存储恢复密钥:对于电脑硬盘的恢复密钥可以打印,将恢复密钥保存在可移动媒体上,或者将恢复密钥以文件形式保存在计算机上其他未加密驱动器的某个文件夹中。注意,不能将可移动数据驱动器(如USB闪存驱动器)的恢复密钥保存在可移动媒体上。用户应该将恢复密钥存储在计算机以外的位置。在创建恢复密钥之后,可以使用“管理BitLocker”制作其他副本。
在此模式中,值得注意的是:1、如果计算机是域的一部分,系统管理员可能会控制可用的恢复密钥选项。2、Windows上运行的辅助技术软件(例如屏幕读取软件)无
27