写在前面
hello 大家好我是菜白
这是我的一百种方法系列,这个系列我希望可以一直更新,给大家一些新鲜的insight。
本期主题企业信息保护,主要包括三个内容:BitLocker AppLocker和软件限制策略。
本文主要来源是Microsoft的官方文档,本文的价值在于总结了一些常见的数据保护的方法,属于总结非原创性文章。不喜请多多留言。
目录
BitLocker
BitLocker是什么?
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。BitLocker就是一个用于磁盘加密的工具。
BitLoker如何保护数据?
在与受信任的平台模块 (TPM,Trust Platform Module) 版本 1.2 或更高版本一起使用时,BitLocker 提供最多保护。 TPM是计算机制造商安装在许多较新的计算机上的硬件组件。将其与BitLocker一起使用,不仅可帮助保护用户数据,还可确保计算机不会在系统离线时遭到篡改。
在没有 TPM 版本 1.2 或更高版本的计算机上,你仍可以使用 BitLocker 加密 Windows 操作系统驱动器。 但是,此实现将要求用户插入 USB 启动密钥以启动计算机或从休眠状态中恢复。 从 Windows8 开始,你可以在没有 TPM 的计算机上使用操作系统卷密码保护操作系统卷。 这两种选项均不提供带有 TPM 的由 BitLocker 提供的预启动系统完整性验证。
除了 TPM 外,BitLocker 也可以让用户选择锁定正常的启动过程,但前提是该用户提供了个人标识号 (PIN) 或插入了包含启动密钥的可移动设备,例如 U 盘。 这些额外的安全措施提供了多重身份验证,并确保计算机在提供正确 PIN 或启动密钥之前将不会启动或从休眠状态中恢复。
BitLocker的发展
Windows7时代和windows 10时代的数据保护
| Windows7 |
Windows 10 |
| 将 BitLocker 与 PIN 配合使用以保护启动时,无法远程重新启动电脑(如展台)。 |
当今的 Windows 设备会越来越多地受到 BitLocker 设备加密功能的保护,并支持 SSO 以无缝保护 BitLocker 加密密钥的冷启动攻击。 网络解锁允许电脑在连接到内部网络时自动启动。 |
| 启用 BitLocker 后,预配过程可能需要几个小时。 |
BitLocker 预配、加密硬驱和已用空间 "仅加密" 允许管理员在新计算机上快速启用 BitLocker。 |
| 不支持将 BitLocker 与自加密驱动器(SEDs)配合使用。 |
BitLocker 支持将加密硬驱卸载到加密的硬驱。 |
| 管理员必须使用单独的工具来管理加密的硬驱。 |
BitLocker 支持使用内置的板载加密硬件的加密硬驱,这允许管理员使用熟悉的 BitLocker 管理工具管理它们。 |
| 加密新的闪存驱动器可能需要超过20分钟。 |
BitLocker To Go 中的 "仅使用空间" 加密允许用户在数秒内加密可移动数据驱动器。 |
| BitLocker 可能要求用户在发生系统配置更改时输入恢复密钥。 |
只有当发生磁盘损坏或用户丢失 PIN 或密码时,BitLocker 才需要用户输入恢复密钥。 |
| 用户需要输入 PIN 才能启动电脑,然后输入密码以登录到 Windows。 |
当今的 Windows 设备将受到 BitLocker 设备加密的干扰,并支持 SSO,以帮助保护 BitLocker 加密密钥免受冷启动攻击。 |
BitLocker 工作原理
BitLocker 如何与操作系统驱动器协同工作
通过加密操作系统驱动器上的所有用户文件和系统文件(包括交换文件和休眠文件),并检查早期启动组件和引导配置数据的完整性,BitLocker 可用于减少丢失或被盗的计算机上未经授权的数据访问。
BitLocker 如何与固定和可移动数据驱动器协同工作
你可以使用 BitLocker 加密数据驱动器的全部内容。 你可以使用组策略要求在计算机将数据写入驱动器之前,先在驱动器上启用 BitLocker。 可以使用各种解锁方法为数据驱动器配置 BitLocker,并且数据驱动器支持多种解锁方法。
Bitlocker配置
1. 准备驱动器和文件加密
TPM 预配
在 Windows7 中,准备 TPM 以供使用有几个挑战:
- 你可以在 BIOS 中打开 TPM,这要求某人进入 BIOS 设置以将其打开或安装驱动程序,以便从 Windows 内部将其打开。
- 启用 TPM 时,可能需要一个或多个重启。
基本上,这是一种很大的麻烦。 如果 IT 人员为新电脑提供了新的功能,他们可以处理所有这一切,但是如果你想要将 BitLocker 添加到已存在于用户手中的设备,这些用户将面临技术挑战,并将其与技术挑战联系起来,或者仅保留 BitLocker 禁用。Microsoft 在 Windows10 中提供了可使操作系统完全管理 TPM 的工具。 无需进入 BIOS,已消除所有需要重启的方案。
2. 部署硬驱加密
BitLocker 能够加密整个硬盘,包括系统和数据驱动器。 BitLocker 预配可显著减少预配启用 BitLocker 的新电脑所需的时间。 通过 Windows10,管理员可以在安装 Windows 之前在 Windows 预安装环境中打开 BitLocker 和 TPM,也可以在无需任何用户交互的情况下在自动部署任务序列中启用 TPM。 结合使用的磁盘空间(仅限于已使用的磁盘空间)和大部分空驱动器(因为尚未安装 Windows),只需几秒钟即可启用 BitLocker。
3. BitLocker 设备加密
从 Windows 8.1 开始,Windows 会在支持新式待机的设备上自动启用 BitLocker 设备加密。 通过 Windows10,Microsoft 在更广泛的一系列设备(包括新式待机的设备和运行 Windows 10 家庭版的设备)上提供 BitLocker 设备加密支持。
Microsoft 建议在支持它的任何系统上启用 BitLocker 设备加密,但可通过更改以下注册表设置来阻止自动 BitLocker 设备加密过程:
子键: HKEY _LOCAL \ _MACHINE \system\currentcontrolset\control\bitlocker
Value: PreventDeviceEncryption 等于 True (1)
类型: REG \ _DWORD
管理员可以管理通过 Microsoft BitLocker 管理和监视(MBAM)启用 BitLocker 设备加密的加入域的设备。 在这种情况下,BitLocker 设备加密会自动使其他 BitLocker 选项可用。 不需要转换或加密,并且如果需要任何配置更改,MBAM 可以管理完整的 BitLocker 策略集。
4. 仅限使用的磁盘空间加密
为了减少加密时间,Windows10 中的 BitLocker 允许用户选择仅加密其数据。 此选项可减少超过99% 的加密时间,具体取决于驱动器上的数据量。 但是,如果加密的现有卷上的已用空间已被存储为未加密状态,则请务必小心,因为这些扇区可以通过磁盘恢复工具恢复,直到它们被新的加密数据覆盖。 相反,仅加密全新卷上的已用空间可能会显著减少部署时间,而不会产生安全风险,因为所有新数据将在写入磁盘时加密。
5. 预启动信息保护
Windows10 可以在新式设备上的预启动环境中启用真正的 SSO 体验,在某些情况下,即使在使用较旧的设备保护配置时也是如此。 处于隔离状态的 TPM 可以安全地在其处于静止状态时保护 BitLocker 加密密钥,并且可以安全地解锁操作系统驱动器。 当密钥在使用中,因此在内存中,硬件和 Windows 功能的组合可以保护密钥,并防止通过冷启动攻击进行未经授权的访问。
6. 管理密码和 Pin 码
当在系统驱动器上启用 BitLocker 且电脑具有 TPM 时,你可以选择要求用户先键入 PIN,然后 BitLocker 将解锁驱动器。 此类PIN要求可防止对电脑具有物理访问权限的攻击者甚至能够访问 Windows 登录&
最低0.47元/天 解锁文章
1165
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
