BitLocker实际加密什么内容以及何时加密?


34

对于运行当前版本Windows 10 Pro的商务笔记本电脑,我需要全盘加密。这些计算机具有Samsung的NVMe SSD驱动器和Intel Core i5-8000 CPU。

从当今的一些网络研究来看,当前只有两个选项可用:Microsoft BitLocker和VeraCrypt。我完全了解开放源代码和封闭源代码的状态以及随之而来的安全隐患。

在阅读了一些我以前从未使用过的有关BitLocker的信息之后,给人的印象是,出于性能原因,从Windows 10开始,BitLocker仅加密磁盘上新写入的数据,而不加密已经存在的所有数据。(该文档说我有选择权,但我没有选择。激活它们后,他们没有问我想要什么。)过去我使用TrueCrypt系统加密,并且知道现有的数据加密是一项可见的任务,需要执行几个小时。我无法通过BitLocker观察到这种行为。没有明显的后台CPU或磁盘活动。

激活BitLocker确实很容易。单击一个按钮,将恢复密钥保存在安全的地方,完成。与VeraCrypt相同的过程使我放弃了这个想法。我实际上需要创建一个完全正常工作的恢复设备,甚至是在一次性系统上进行测试的目的。

我还读到VeraCrypt目前存在一个设计缺陷,这使得某些NVMe SSD的系统加密速度非常慢。我无法验证它,因为设置太复杂了。至少在激活BitLocker之后,我看不到磁盘性能的重大变化。另外,VeraCrypt团队的资源不足,无法修复该“复杂的错误”。此外,Windows 10升级无法在原位安装VeraCrypt进行操作,这使得需要频繁进行全磁盘解加密和加密。我希望BitLocker在这里能更好地工作。

因此,我几乎决定使用BitLocker。但是我需要了解它的作用。不幸的是,几乎没有关于它的在线信息。大多数内容由博客文章组成,这些文章仅提供概述,但没有简洁的深入信息。所以我在这里问。

在单驱动器系统上激活BitLocker后,现有数据会如何处理?新数据会怎样?“挂起BitLocker”是什么意思?(与永久停用它并从而解密磁盘上的所有数据不同。)如何检查加密状态或强制对所有现有数据进行加密?(我不是说未使用的空间,我不在乎,这是SSD所必需的,请参阅TRIM。)除了“挂起”和“解密”以外,还有关于BitLocker的一些更详细的数据和操作吗?

也许附带说明,BitLocker与EFS(加密文件系统)有何关系?如果仅对新写入的文件进行加密,则EFS似乎具有非常相似的效果。但是我知道如何操作EFS,这更容易理解。

Answers:


41

激活BitLocker将启动对所有现有数据进行加密的后台进程。(HDD上这传统上是一个漫长的过程,因为它需要读取和重写每一个分区的部门-对自加密磁盘也可以是瞬间),所以当有人说,只有新写入的数据进行加密,是指在国家立即激活BitLocker ,一旦后台加密任务完成,它就不再为true。可以在同一BitLocker控制面板窗口中看到此过程的状态,并在必要时暂停。

需要仔细阅读Microsoft文章:它实际上是在谈论仅加密磁盘的已使用区域。他们只是做广告此为对新的系统,你没有任何数据的最大影响尚未除了基本操作系统(因此所有的数据将是“新写的”)。也就是说,Windows 10 在激活后对所有现有文件进行加密–它根本不会浪费时间对尚不包含任何内容的磁盘扇区进行加密。(您可以通过组策略选择退出此优化。)

(本文还指出了一个缺点:先前保存了已删除文件的区域也将被跳过为“未使用”。因此,如果对使用良好的系统进行加密,请使用工具进行自由空间擦除,然后让Windows运行TRIM您必须先激活SSD,然后再激活BitLocker。或者使用组策略禁用此行为。)

在同一篇文章中,也提到了最近的Windows版本,这些版本支持使用OPAL标准的自加密SSD。因此,看不到任何后台I / O的原因可能是因为SSD从第一天开始就对其内部进行了加密,而BitLocker意识到了这一点,仅接管了SSD级别的密钥管理,而不是在操作系统级别上重复加密工作。也就是说,SSD不再可以在开机时自行解锁,而是需要Windows才能解锁。如果您更希望操作系统处理加密,则可以通过组策略禁用此功能。

挂起BitLocker会使“主”键的纯文本副本直接写入磁盘。(通常首先使用您的密码或TPM对这个主密钥进行加密。)在挂起状态下,这允许磁盘自行解锁-显然是不安全的状态,但是它允许Windows Update对TPM重新编程以使其与升级的OS相匹配。 , 例如。恢复BitLocker只是从磁盘擦除此普通密钥。

BitLocker与EFS不相关-后者在文件级别起作用,将密钥与Windows用户帐户关联(允许进行细粒度的配置,但无法对操作系统自己的文件进行加密),而前者则在整个磁盘级别起作用。它们可以一起使用,尽管BitLocker 通常使EFS成为冗余。

(请注意,无论是通过备份AD中的BitLocker主密钥,还是通过将EFS 数据恢复代理添加到所有文件中,BitLocker EFS都具有供企业Active Directory管理员恢复加密数据的机制。)


不错的概述,谢谢。关于最后一句话:我看到了很多用例-BitLocker针对公司外部的人对我的硬盘进行加密,但是我的IT小组可以在我不在的情况下访问所有数据,因为它们具有主密钥。EFS适用于我希望IT部门或经理访问的文档。
Aganju

6
@Aganju:同一IT部门可能已经部署了指定EFS数据恢复代理的策略。如果您有不希望IT部门访问的文档,则根本不要将其存储在公司设备上。
grawity

2
“ Bitlocker(...)加密所有现有数据(...)在整个磁盘级别上工作”->您忘记提及分区了。对于具有2个分区的HDD,我激活了Bitlocker来仅加密其中1个(其中一个带有数据,而不是OS)。当使用基于Linux的OS引导时,只能读取未加密分区中的数据。
CPHPython

@CPHPython:是的,这可能是不一致的地方-在软件模式下,它只能加密分区,但是在SSD(OPAL2)模式下,我不确定该功能是否存在。我认为它会锁定整个驱动器,并且(据我所了解的OPAL而言),“ PBA”会在运行任何操作系统之前将其解锁。
grawity
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.