【正文】 PM。從卷中讀取加密FVEK，并使用解密VMK對其進行解密。在成功執(zhí)行開啟操作之后，BitLocker將按照它已設置好的步驟執(zhí)行操作。盡管PIN可以提高安全性，但它仍然會受到非常耐心或動機強烈的攻擊者的攻擊。雖然詳細情況會因供應商不同而存在差異，但每次輸入錯誤的PIN后，允許輸入新數(shù)字的延遲時間都會呈幾何遞增。應該注意的是，由于用戶要記住兩個密碼，因此創(chuàng)建BitLocker恢復密鑰（用戶忘記BitLocker PIN時可使用此密鑰）甚至更為重要。使用TPM和PIN的BitLocker加密模式的主要優(yōu)點使該解決方案引入了另一要素，在啟動計算機或從休眠模式恢復計算機時，用戶是必須提供該要素的。擁有授權(quán)域帳戶但不具有附加身份驗證元素的用戶將無法啟動計算機進行登錄。如果攻擊者不知道PIN，那么他需要發(fā)起一次強力攻擊才能確定FVEK的值。通過休眠文件泄露純文本數(shù)據(jù)。啟用BitLocker之后，系統(tǒng)頁面文件將被加密。由于BitLocker是一種全卷加密技術，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進行加密。當計算機從睡眠模式恢復時，仍可訪問FVEK。緩解此風險最有效的方法是對可能在計算機上存放了敏感信息的用戶進行安全意識培訓。輸入用戶PIN后，配置有BitLocker、TPM和用戶PIN的計算機將會啟動操作系統(tǒng)并加載到Windows用戶憑據(jù)界面。 TPM和啟動密鑰模式 TPM和啟動密鑰模式介紹如果用戶想要用兩層身份驗證方法來保護他電腦上的數(shù)據(jù)，除了上面的那個雙層驗證法之外，我們還可以采用TPM和包含有啟動密鑰的USB模式來進行Bitlocker的加密工作。啟動密鑰是通過VMK（卷主密鑰）加密存儲在電腦中的，但不具備自動備份功能。而且我們知道，系統(tǒng)會在啟動時或從休眠模式恢復時提示用戶插入USB設備。而且，對于用戶已經(jīng)創(chuàng)建好的PIN和恢復密鑰，注意一定要設置成為自己熟知且不易忘記的數(shù)字或字母之類的組合。下圖顯示了使用TPM和USB的BitLocker選項中解密過程的邏輯流程:圖26 訪問由TPM和USB模式的Bitlocker保護的數(shù)據(jù)對于上圖圖解順序的步驟如下：BIOS啟動并初始化TPM。此中間密鑰與USB設備上的密鑰組合可以生成另一個用于解密VMK的中間密鑰。以上就是訪問由TPM和PIN雙重Bitlocker保護的數(shù)據(jù)的原理步驟，其步驟清晰的向用戶展示了內(nèi)部原理性構(gòu)造。 TPM和啟動密鑰模式可以緩解的風險通過學習我們還可以知道，使用TPM和USB設備的BitLocker選項可減緩以下數(shù)據(jù)風險：處于休眠模式的計算機。內(nèi)部人員可以讀取加密數(shù)據(jù)。 對操作系統(tǒng)進行脫機攻擊。在啟用BitLocker保護之后，休眠文件將被加密。用戶錯誤。 TPM和啟動密鑰模式不能緩解的風險而該模式在沒有其他控件和策略的情況下，使用TPM和USB設備的BitLocker選項不能緩解以下風險：（1）處于睡眠（待機）模式的計算機。（2）處于登錄狀態(tài)且桌面未鎖定的計算機。如果攻擊者能通過提供USB設備作為啟動過程的一部分而正常啟動計算機，那么他可以發(fā)起各種攻擊，包括特權(quán)升級攻擊和可進行遠程利用的攻擊。（5）計算機保留了必需的身份驗證元素。下面我們僅僅介紹需要臨時禁用Bitlocker的清除密鑰模式。關閉、禁用或是去除TPM時沒有觸發(fā)Bitlocker的恢復模式。修改磁盤上的啟動管理器時沒有觸發(fā)恢復模式。由于用戶傾向于將設置好的密碼存于USB設備中，因此，這種模式有時也稱為使用USB設備的Bitlocker加密模式。VMK通過（USB設備上的）密鑰進行解密。用戶使用該模式時，在打開Bitlocker時首先應該創(chuàng)建一個啟動密鑰，這個密鑰被用戶創(chuàng)建之后是可以在文件中可見的，而且密鑰可以復制，但卻不能夠更改。USB設備插入計算機后，BitLocker將檢索密鑰并解密VMK。從休眠模式恢復后，BitLocker將要求對USB設備重新進行身份驗證。這種模式與以前的風險緩解說明相同，同樣是由于此模式添加了身份驗證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動計算機、登錄和讀取加密數(shù)據(jù)的風險。 對操作系統(tǒng)進行脫機攻擊。通過休眠文件泄露純文本數(shù)據(jù)。啟用BitLocker后，系統(tǒng)頁面文件將會被加密。 僅啟動密鑰模式不能緩解的風險而這種模式中，在沒有其他控件和策略的情況下，使用USB設備的BitLocker加密模式不能緩解以下風險：（1）處于睡眠（待機）模式的計算機。（2）處于登錄狀態(tài)且桌面未鎖定的計算機。在這種模式中不能緩解對操作系統(tǒng)的聯(lián)機攻擊。對于平臺的任何攻擊，例如通過PCI總線或IEEE 1394接口進行的DMA，都有可能導致密鑰材料泄露。用戶同時丟失計算機和USB設備帶來的風險可以通過某種風險緩解方法來緩解，該方法要求提供另一個非物理身份驗證元素，例如個人識別碼(PIN)或密碼。關閉、禁用或清除TPM時。在使用TPM和啟動密鑰模式之后，丟失了載有啟動密鑰的USB驅(qū)動器時。如果使用BitLocker驅(qū)動器加密對安裝了Windows的驅(qū)動器（操作系統(tǒng)驅(qū)動器）進行了加密，并且在計算機啟動時BitLocker檢測到存在某種阻止其解鎖驅(qū)動器的情況，則可以使用恢復密鑰獲取對計算機的訪問權(quán)限。對于恢復密鑰的存儲，我們應當通過以下方式存儲恢復密鑰：對于電腦硬盤的恢復密鑰可以打印，將恢復密鑰保存在可移動媒體上，或者將恢復密鑰以文件形式保存在計算機上其他未加密驅(qū)動器的某個文件夾中。在此模式中，值得注意的是：如果計算機是域的一部分，系統(tǒng)管理員可能會控制可用的恢復密鑰選項。不過對于如何運用通過恢復密碼來訪問被Bitlocker加密的磁盤的內(nèi)部原理過程我們會在此作稍作介紹。訪問磁盤扇區(qū)時，使用FVEK進行解密。我們就對恢復模式進行較為詳細的介紹。 在控制臺樹的“本地計算機策略\計算機配置\管理模板\Windows組件\BitLocker驅(qū)動器加密”下，單擊“操作系統(tǒng)驅(qū)動器”。若要指定其他恢復選項，請單擊“已啟用”，然后根據(jù)需要配置以下設置：（1）選中“允許數(shù)據(jù)恢復代理”復選框，以允許將指定的帳戶用于恢復受BitLocker保護的驅(qū)動器。如果某個用戶存儲選項為必需，則必須禁止其他用戶存儲選項。當用戶存儲的恢復密碼或恢復密鑰不可用時（例如，當用戶丟失了恢復密鑰打印件或當無法訪問存儲的恢復密鑰文件時），AD DS中的存儲恢復密碼允許系統(tǒng)管理員向用戶提供恢復密碼或恢復受BitLocker保護的驅(qū)動器。選中此復選框后，當用戶啟用BitLocker時，必須連接到域。若要強制組策略立即應用這些更改，可以單擊“開始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter。 在控制臺樹的“本地計算機策略\計算機配置\管理模板\Windows組件\BitLocker驅(qū)動器加密”下，單擊“固定數(shù)據(jù)驅(qū)動器”。若要指定其他恢復選項，請單擊“已啟用”，然后根據(jù)需要配置以下設置：（1）選中“允許數(shù)據(jù)恢復代理”復選框，以允許將指定的帳戶用于恢復受BitLocker保護的驅(qū)動器。（3）選中“為固定數(shù)據(jù)驅(qū)動器將BitLocker恢復信息保存到AD DS中”復選框，然后選擇要在AD DS中“存儲恢復密碼和密鑰數(shù)據(jù)包”還是“僅存儲恢復密碼”。如果是第一次對驅(qū)動器進行加密，則會生成恢復信息，并且此信息在加密之后不會發(fā)送到AD DS。選擇完之后，單擊“應用”以應用這些設置，然后關閉該對話框。如果出現(xiàn)“用戶帳戶控制”對話框，用戶請確認其顯示的是您要執(zhí)行的操作，然后單擊“是”。在默認情況下，允許數(shù)據(jù)恢復代理，當啟用BitLocker之后，用戶可以選擇創(chuàng)建恢復密碼或恢復密鑰，并且恢復信息不會備份到AD DS。（2）在“配置BitLocker恢復信息的用戶存儲”下，可以選擇在打開BitLocker時，是允許、要求還是不允許用戶創(chuàng)建48位數(shù)的恢復密碼或256位恢復密鑰。除了恢復密碼之外，存儲密鑰包可使管理員能夠使用“Repairbde命令行工具”來恢復受BitLocker保護的已損壞的驅(qū)動器（無法通過該驅(qū)動器讀取加密密鑰）。（5）如果希望選擇的恢復方法由此策略設置控制，并且不希望向用戶顯示這些恢復選項，請選中“省略BitLocker安裝向?qū)е械幕謴瓦x項”復選框。若要強制組策略立即應用這些更改，可以單擊“開始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter鍵。三、有關Bitlocker其他相關介紹 Bitlocker To Go除了在第二章中我們所介紹的對具有Windows 7旗艦版本的電腦磁盤使用的Bitlocker的幾種運用之外，在Windows 7中類似于Bitlocker這種加密功能的還有一個針對于U盤加密的新添功能——即Bitlocker To Go。至于對于Bitlocker To Go的具體操作過程，我們會在第四章中有所介紹，在這里只是對其大意做粗略的介紹。圖31 查看磁盤狀態(tài)接著進入磁盤管理。圖34 硬盤掛在電腦上后顯示圖像回車繼續(xù)后提示如下圖。四、Bitlocker加密模式的實際操作基于現(xiàn)在擁有TPM的電腦比較少，也基于目前條件限制我們在此不對使用到TPM的幾種模式作詳細介紹，下面我們就對僅密鑰模式作詳細描述。圖36 電腦提示運用功能鍵輸入密碼在恢復密鑰輸入之后，不需要再敲回車鍵就已經(jīng)直接啟動系統(tǒng)了。圖32 查看磁盤容量大小圖33 查看磁盤屬性由以上操作可知，已經(jīng)被Bitlocker加密過后的硬盤即使是被外掛到了其他的電腦上也是無法訪問的，仍然具有安全保護功能。那么，通過以下步驟，用戶可以發(fā)現(xiàn)即使是被掛到其他計算機上的硬盤仍有保護作用。自Bitlocker To Go的問世，才算是真正為U盤的保護添加了一把安全鎖。通過完成此方案中的過程，用戶可以配置組策略設置，建立了對于操作系統(tǒng)驅(qū)動器、固定數(shù)據(jù)驅(qū)動器和可移動數(shù)據(jù)驅(qū)動器可用的恢復選項。選擇完之后，單擊“應用”以應用這些設置，然后關閉該對話框。如果是第一次對驅(qū)動器進行加密，則會生成恢復信息，并且此信息在加密之后不會發(fā)送到AD DS。（3）選中“為可移動數(shù)據(jù)驅(qū)動器將BitLocker恢復信息保存到AD DS中”復選框，然后選擇要在AD DS中“存儲恢復密碼和密鑰數(shù)據(jù)包”還是“僅存儲恢復密碼”。若要使用數(shù)據(jù)恢復代理，則必須配置該帳戶并將其添加到組策略中的以下位置：“計算機配置\Windows設置\安全設置\公鑰策略\BitLocker驅(qū)動器加密”。若要為可移動數(shù)據(jù)驅(qū)動器配置恢復選項，請在細節(jié)窗格中，雙擊“選擇如何才能恢復受BitLocker保護的可移動數(shù)據(jù)驅(qū)動器”打開策略設置。等待進程完成。（5）如果用戶希望選擇的恢復方法由此策略設置控制，并且不希望向用戶顯示這些恢復選項，請選中“省略BitLocker安裝向?qū)е械幕謴瓦x項”復選框。除了恢復密碼之外，存儲密鑰包可使管理員能夠使用“Repairbde命令行工具”來恢復受BitLocker保護的已損壞的驅(qū)動器（無法通過該驅(qū)動器讀取加密密鑰）。如果不希望結(jié)合使用數(shù)據(jù)恢復代理與BitLocker，請用戶清除“允許數(shù)據(jù)恢復代理”復選框。如果此策略設置已禁用或未配置，BitLocker恢復支持默認恢復選項。二、接下來我們講一下如何才能恢復受BitLocker保護的固定數(shù)據(jù)驅(qū)動器，以及他的步驟如何步驟如下：單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。若要啟用此選項，必須選中以下兩個管理恢復設置或其中之一：“為操作系統(tǒng)驅(qū)動器將BitLocker恢復信息保存到AD DS中”或“允許數(shù)據(jù)恢復代理”，以確保可以恢復受BitLocker保護的驅(qū)動器。（4）選中“在為操作系統(tǒng)驅(qū)動器將恢復信息存儲到AD DS之前禁止啟用BitLocker”復選框，以確保將您的組織中所有受BitLocker保護的操作系統(tǒng)驅(qū)動器的恢復信息存儲在AD DS中。如果不希望用戶能夠存儲或打印恢復信息，請同時選中“不允許48位數(shù)的恢復密碼”和“不允許256位恢復密鑰”。如果用戶不希望結(jié)合使用數(shù)據(jù)恢復代理與BitLocker，那么請用戶清除該復選框。如果此策略設置已禁用或未配置，BitLocker恢復支持默認恢復選項。單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。再次強調(diào)的是：一定要保證恢復密碼的安全性，如果恢復丟失或被盜竊，將會給用戶帶來很大的麻煩。VMK通過USB設備上的恢復密鑰進行解密。這包括鍵入個人標識號 (PIN)或恢復密鑰，以及出現(xiàn)任何BitLocker錯誤消息時使用的屏幕。用戶應該將恢復密鑰存儲在計算機以外的位置。如果計算機進入恢復模式，則會提示用戶使用功能鍵（F0到F9）鍵入該密碼。恢復密鑰/密鑰是在啟用Bitlocker的時候創(chuàng)建并保存在所謂的USB閃存驅(qū)動器中的，并且在恢復進行的時候，用戶是不能使用密碼進入之前加密的盤中進行操作的。升級至重要的組件時導致TPM驗證失敗時。有幾種場景可以觸發(fā)恢復模式進行，即：升級系統(tǒng)版本或是升級TPM時。USB設備是單獨的物理身份驗證元素，是加密解決方案的依據(jù)。（4）平臺攻擊。緩解此風險最有效的方法是對可能在計算機上存放了敏感信息的用戶進行安全意識培訓。當計算機從睡眠模式恢復時，仍可訪問FVEK。由于BitLocker是一種全卷加密技術，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進行加密。啟用BitLocker后，休眠文件將被加密。如果USB設備不可用，則攻擊者必須成功操縱成千上萬個包含操作系統(tǒng)模塊的扇區(qū)（相當于強力攻擊）才能確定FVEK的值。VMK使用USB設備上的密鑰進行加密。使用USB設備的BitLocker要求除有效的計算機帳戶密碼之外還必須提供另一項身份驗證元素才能訪問計算機上的加密數(shù)據(jù)。由于這種模式是需要設置密碼的，在此我們對設置密碼時的要求作一點說明：我們建議用戶在設置密碼時使用強密碼——強密碼是長度至少為八個