【正文】 PM。從卷中讀取加密FVEK，并使用解密VMK對其進(jìn)行解密。在成功執(zhí)行開啟操作之后，BitLocker將按照它已設(shè)置好的步驟執(zhí)行操作。盡管PIN可以提高安全性，但它仍然會受到非常耐心或動機(jī)強(qiáng)烈的攻擊者的攻擊。雖然詳細(xì)情況會因供應(yīng)商不同而存在差異，但每次輸入錯誤的PIN后，允許輸入新數(shù)字的延遲時間都會呈幾何遞增。應(yīng)該注意的是，由于用戶要記住兩個密碼，因此創(chuàng)建BitLocker恢復(fù)密鑰（用戶忘記BitLocker PIN時可使用此密鑰）甚至更為重要。使用TPM和PIN的BitLocker加密模式的主要優(yōu)點使該解決方案引入了另一要素，在啟動計算機(jī)或從休眠模式恢復(fù)計算機(jī)時，用戶是必須提供該要素的。擁有授權(quán)域帳戶但不具有附加身份驗證元素的用戶將無法啟動計算機(jī)進(jìn)行登錄。如果攻擊者不知道PIN，那么他需要發(fā)起一次強(qiáng)力攻擊才能確定FVEK的值。通過休眠文件泄露純文本數(shù)據(jù)。啟用BitLocker之后，系統(tǒng)頁面文件將被加密。由于BitLocker是一種全卷加密技術(shù)，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進(jìn)行加密。當(dāng)計算機(jī)從睡眠模式恢復(fù)時，仍可訪問FVEK。緩解此風(fēng)險最有效的方法是對可能在計算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識培訓(xùn)。輸入用戶PIN后，配置有BitLocker、TPM和用戶PIN的計算機(jī)將會啟動操作系統(tǒng)并加載到Windows用戶憑據(jù)界面。 TPM和啟動密鑰模式 TPM和啟動密鑰模式介紹如果用戶想要用兩層身份驗證方法來保護(hù)他電腦上的數(shù)據(jù)，除了上面的那個雙層驗證法之外，我們還可以采用TPM和包含有啟動密鑰的USB模式來進(jìn)行Bitlocker的加密工作。啟動密鑰是通過VMK（卷主密鑰）加密存儲在電腦中的，但不具備自動備份功能。而且我們知道，系統(tǒng)會在啟動時或從休眠模式恢復(fù)時提示用戶插入USB設(shè)備。而且，對于用戶已經(jīng)創(chuàng)建好的PIN和恢復(fù)密鑰，注意一定要設(shè)置成為自己熟知且不易忘記的數(shù)字或字母之類的組合。下圖顯示了使用TPM和USB的BitLocker選項中解密過程的邏輯流程:圖26 訪問由TPM和USB模式的Bitlocker保護(hù)的數(shù)據(jù)對于上圖圖解順序的步驟如下：BIOS啟動并初始化TPM。此中間密鑰與USB設(shè)備上的密鑰組合可以生成另一個用于解密VMK的中間密鑰。以上就是訪問由TPM和PIN雙重Bitlocker保護(hù)的數(shù)據(jù)的原理步驟，其步驟清晰的向用戶展示了內(nèi)部原理性構(gòu)造。 TPM和啟動密鑰模式可以緩解的風(fēng)險通過學(xué)習(xí)我們還可以知道，使用TPM和USB設(shè)備的BitLocker選項可減緩以下數(shù)據(jù)風(fēng)險：處于休眠模式的計算機(jī)。內(nèi)部人員可以讀取加密數(shù)據(jù)。 對操作系統(tǒng)進(jìn)行脫機(jī)攻擊。在啟用BitLocker保護(hù)之后，休眠文件將被加密。用戶錯誤。 TPM和啟動密鑰模式不能緩解的風(fēng)險而該模式在沒有其他控件和策略的情況下，使用TPM和USB設(shè)備的BitLocker選項不能緩解以下風(fēng)險：（1）處于睡眠（待機(jī)）模式的計算機(jī)。（2）處于登錄狀態(tài)且桌面未鎖定的計算機(jī)。如果攻擊者能通過提供USB設(shè)備作為啟動過程的一部分而正常啟動計算機(jī)，那么他可以發(fā)起各種攻擊，包括特權(quán)升級攻擊和可進(jìn)行遠(yuǎn)程利用的攻擊。（5）計算機(jī)保留了必需的身份驗證元素。下面我們僅僅介紹需要臨時禁用Bitlocker的清除密鑰模式。關(guān)閉、禁用或是去除TPM時沒有觸發(fā)Bitlocker的恢復(fù)模式。修改磁盤上的啟動管理器時沒有觸發(fā)恢復(fù)模式。由于用戶傾向于將設(shè)置好的密碼存于USB設(shè)備中，因此，這種模式有時也稱為使用USB設(shè)備的Bitlocker加密模式。VMK通過（USB設(shè)備上的）密鑰進(jìn)行解密。用戶使用該模式時，在打開Bitlocker時首先應(yīng)該創(chuàng)建一個啟動密鑰，這個密鑰被用戶創(chuàng)建之后是可以在文件中可見的，而且密鑰可以復(fù)制，但卻不能夠更改。USB設(shè)備插入計算機(jī)后，BitLocker將檢索密鑰并解密VMK。從休眠模式恢復(fù)后，BitLocker將要求對USB設(shè)備重新進(jìn)行身份驗證。這種模式與以前的風(fēng)險緩解說明相同，同樣是由于此模式添加了身份驗證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動計算機(jī)、登錄和讀取加密數(shù)據(jù)的風(fēng)險。 對操作系統(tǒng)進(jìn)行脫機(jī)攻擊。通過休眠文件泄露純文本數(shù)據(jù)。啟用BitLocker后，系統(tǒng)頁面文件將會被加密。 僅啟動密鑰模式不能緩解的風(fēng)險而這種模式中，在沒有其他控件和策略的情況下，使用USB設(shè)備的BitLocker加密模式不能緩解以下風(fēng)險：（1）處于睡眠（待機(jī)）模式的計算機(jī)。（2）處于登錄狀態(tài)且桌面未鎖定的計算機(jī)。在這種模式中不能緩解對操作系統(tǒng)的聯(lián)機(jī)攻擊。對于平臺的任何攻擊，例如通過PCI總線或IEEE 1394接口進(jìn)行的DMA，都有可能導(dǎo)致密鑰材料泄露。用戶同時丟失計算機(jī)和USB設(shè)備帶來的風(fēng)險可以通過某種風(fēng)險緩解方法來緩解，該方法要求提供另一個非物理身份驗證元素，例如個人識別碼(PIN)或密碼。關(guān)閉、禁用或清除TPM時。在使用TPM和啟動密鑰模式之后，丟失了載有啟動密鑰的USB驅(qū)動器時。如果使用BitLocker驅(qū)動器加密對安裝了Windows的驅(qū)動器（操作系統(tǒng)驅(qū)動器）進(jìn)行了加密，并且在計算機(jī)啟動時BitLocker檢測到存在某種阻止其解鎖驅(qū)動器的情況，則可以使用恢復(fù)密鑰獲取對計算機(jī)的訪問權(quán)限。對于恢復(fù)密鑰的存儲，我們應(yīng)當(dāng)通過以下方式存儲恢復(fù)密鑰：對于電腦硬盤的恢復(fù)密鑰可以打印，將恢復(fù)密鑰保存在可移動媒體上，或者將恢復(fù)密鑰以文件形式保存在計算機(jī)上其他未加密驅(qū)動器的某個文件夾中。在此模式中，值得注意的是：如果計算機(jī)是域的一部分，系統(tǒng)管理員可能會控制可用的恢復(fù)密鑰選項。不過對于如何運(yùn)用通過恢復(fù)密碼來訪問被Bitlocker加密的磁盤的內(nèi)部原理過程我們會在此作稍作介紹。訪問磁盤扇區(qū)時，使用FVEK進(jìn)行解密。我們就對恢復(fù)模式進(jìn)行較為詳細(xì)的介紹。 在控制臺樹的“本地計算機(jī)策略\計算機(jī)配置\管理模板\Windows組件\BitLocker驅(qū)動器加密”下，單擊“操作系統(tǒng)驅(qū)動器”。若要指定其他恢復(fù)選項，請單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動器。如果某個用戶存儲選項為必需，則必須禁止其他用戶存儲選項。當(dāng)用戶存儲的恢復(fù)密碼或恢復(fù)密鑰不可用時（例如，當(dāng)用戶丟失了恢復(fù)密鑰打印件或當(dāng)無法訪問存儲的恢復(fù)密鑰文件時），AD DS中的存儲恢復(fù)密碼允許系統(tǒng)管理員向用戶提供恢復(fù)密碼或恢復(fù)受BitLocker保護(hù)的驅(qū)動器。選中此復(fù)選框后，當(dāng)用戶啟用BitLocker時，必須連接到域。若要強(qiáng)制組策略立即應(yīng)用這些更改，可以單擊“開始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter。 在控制臺樹的“本地計算機(jī)策略\計算機(jī)配置\管理模板\Windows組件\BitLocker驅(qū)動器加密”下，單擊“固定數(shù)據(jù)驅(qū)動器”。若要指定其他恢復(fù)選項，請單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動器。（3）選中“為固定數(shù)據(jù)驅(qū)動器將BitLocker恢復(fù)信息保存到AD DS中”復(fù)選框，然后選擇要在AD DS中“存儲恢復(fù)密碼和密鑰數(shù)據(jù)包”還是“僅存儲恢復(fù)密碼”。如果是第一次對驅(qū)動器進(jìn)行加密，則會生成恢復(fù)信息，并且此信息在加密之后不會發(fā)送到AD DS。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對話框。如果出現(xiàn)“用戶帳戶控制”對話框，用戶請確認(rèn)其顯示的是您要執(zhí)行的操作，然后單擊“是”。在默認(rèn)情況下，允許數(shù)據(jù)恢復(fù)代理，當(dāng)啟用BitLocker之后，用戶可以選擇創(chuàng)建恢復(fù)密碼或恢復(fù)密鑰，并且恢復(fù)信息不會備份到AD DS。（2）在“配置BitLocker恢復(fù)信息的用戶存儲”下，可以選擇在打開BitLocker時，是允許、要求還是不允許用戶創(chuàng)建48位數(shù)的恢復(fù)密碼或256位恢復(fù)密鑰。除了恢復(fù)密碼之外，存儲密鑰包可使管理員能夠使用“Repairbde命令行工具”來恢復(fù)受BitLocker保護(hù)的已損壞的驅(qū)動器（無法通過該驅(qū)動器讀取加密密鑰）。（5）如果希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項，請選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項”復(fù)選框。若要強(qiáng)制組策略立即應(yīng)用這些更改，可以單擊“開始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter鍵。三、有關(guān)Bitlocker其他相關(guān)介紹 Bitlocker To Go除了在第二章中我們所介紹的對具有Windows 7旗艦版本的電腦磁盤使用的Bitlocker的幾種運(yùn)用之外，在Windows 7中類似于Bitlocker這種加密功能的還有一個針對于U盤加密的新添功能——即Bitlocker To Go。至于對于Bitlocker To Go的具體操作過程，我們會在第四章中有所介紹，在這里只是對其大意做粗略的介紹。圖31 查看磁盤狀態(tài)接著進(jìn)入磁盤管理。圖34 硬盤掛在電腦上后顯示圖像回車?yán)^續(xù)后提示如下圖。四、Bitlocker加密模式的實際操作基于現(xiàn)在擁有TPM的電腦比較少，也基于目前條件限制我們在此不對使用到TPM的幾種模式作詳細(xì)介紹，下面我們就對僅密鑰模式作詳細(xì)描述。圖36 電腦提示運(yùn)用功能鍵輸入密碼在恢復(fù)密鑰輸入之后，不需要再敲回車鍵就已經(jīng)直接啟動系統(tǒng)了。圖32 查看磁盤容量大小圖33 查看磁盤屬性由以上操作可知，已經(jīng)被Bitlocker加密過后的硬盤即使是被外掛到了其他的電腦上也是無法訪問的，仍然具有安全保護(hù)功能。那么，通過以下步驟，用戶可以發(fā)現(xiàn)即使是被掛到其他計算機(jī)上的硬盤仍有保護(hù)作用。自Bitlocker To Go的問世，才算是真正為U盤的保護(hù)添加了一把安全鎖。通過完成此方案中的過程，用戶可以配置組策略設(shè)置，建立了對于操作系統(tǒng)驅(qū)動器、固定數(shù)據(jù)驅(qū)動器和可移動數(shù)據(jù)驅(qū)動器可用的恢復(fù)選項。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對話框。如果是第一次對驅(qū)動器進(jìn)行加密，則會生成恢復(fù)信息，并且此信息在加密之后不會發(fā)送到AD DS。（3）選中“為可移動數(shù)據(jù)驅(qū)動器將BitLocker恢復(fù)信息保存到AD DS中”復(fù)選框，然后選擇要在AD DS中“存儲恢復(fù)密碼和密鑰數(shù)據(jù)包”還是“僅存儲恢復(fù)密碼”。若要使用數(shù)據(jù)恢復(fù)代理，則必須配置該帳戶并將其添加到組策略中的以下位置：“計算機(jī)配置\Windows設(shè)置\安全設(shè)置\公鑰策略\BitLocker驅(qū)動器加密”。若要為可移動數(shù)據(jù)驅(qū)動器配置恢復(fù)選項，請在細(xì)節(jié)窗格中，雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的可移動數(shù)據(jù)驅(qū)動器”打開策略設(shè)置。等待進(jìn)程完成。（5）如果用戶希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項，請選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項”復(fù)選框。除了恢復(fù)密碼之外，存儲密鑰包可使管理員能夠使用“Repairbde命令行工具”來恢復(fù)受BitLocker保護(hù)的已損壞的驅(qū)動器（無法通過該驅(qū)動器讀取加密密鑰）。如果不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，請用戶清除“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框。如果此策略設(shè)置已禁用或未配置，BitLocker恢復(fù)支持默認(rèn)恢復(fù)選項。二、接下來我們講一下如何才能恢復(fù)受BitLocker保護(hù)的固定數(shù)據(jù)驅(qū)動器，以及他的步驟如何步驟如下：單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。若要啟用此選項，必須選中以下兩個管理恢復(fù)設(shè)置或其中之一：“為操作系統(tǒng)驅(qū)動器將BitLocker恢復(fù)信息保存到AD DS中”或“允許數(shù)據(jù)恢復(fù)代理”，以確?？梢曰謴?fù)受BitLocker保護(hù)的驅(qū)動器。（4）選中“在為操作系統(tǒng)驅(qū)動器將恢復(fù)信息存儲到AD DS之前禁止啟用BitLocker”復(fù)選框，以確保將您的組織中所有受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動器的恢復(fù)信息存儲在AD DS中。如果不希望用戶能夠存儲或打印恢復(fù)信息，請同時選中“不允許48位數(shù)的恢復(fù)密碼”和“不允許256位恢復(fù)密鑰”。如果用戶不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，那么請用戶清除該復(fù)選框。如果此策略設(shè)置已禁用或未配置，BitLocker恢復(fù)支持默認(rèn)恢復(fù)選項。單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。再次強(qiáng)調(diào)的是：一定要保證恢復(fù)密碼的安全性，如果恢復(fù)丟失或被盜竊，將會給用戶帶來很大的麻煩。VMK通過USB設(shè)備上的恢復(fù)密鑰進(jìn)行解密。這包括鍵入個人標(biāo)識號 (PIN)或恢復(fù)密鑰，以及出現(xiàn)任何BitLocker錯誤消息時使用的屏幕。用戶應(yīng)該將恢復(fù)密鑰存儲在計算機(jī)以外的位置。如果計算機(jī)進(jìn)入恢復(fù)模式，則會提示用戶使用功能鍵（F0到F9）鍵入該密碼?；謴?fù)密鑰/密鑰是在啟用Bitlocker的時候創(chuàng)建并保存在所謂的USB閃存驅(qū)動器中的，并且在恢復(fù)進(jìn)行的時候，用戶是不能使用密碼進(jìn)入之前加密的盤中進(jìn)行操作的。升級至重要的組件時導(dǎo)致TPM驗證失敗時。有幾種場景可以觸發(fā)恢復(fù)模式進(jìn)行，即：升級系統(tǒng)版本或是升級TPM時。USB設(shè)備是單獨(dú)的物理身份驗證元素，是加密解決方案的依據(jù)。（4）平臺攻擊。緩解此風(fēng)險最有效的方法是對可能在計算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識培訓(xùn)。當(dāng)計算機(jī)從睡眠模式恢復(fù)時，仍可訪問FVEK。由于BitLocker是一種全卷加密技術(shù)，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進(jìn)行加密。啟用BitLocker后，休眠文件將被加密。如果USB設(shè)備不可用，則攻擊者必須成功操縱成千上萬個包含操作系統(tǒng)模塊的扇區(qū)（相當(dāng)于強(qiáng)力攻擊）才能確定FVEK的值。VMK使用USB設(shè)備上的密鑰進(jìn)行加密。使用USB設(shè)備的BitLocker要求除有效的計算機(jī)帳戶密碼之外還必須提供另一項身份驗證元素才能訪問計算機(jī)上的加密數(shù)據(jù)。由于這種模式是需要設(shè)置密碼的，在此我們對設(shè)置密碼時的要求作一點說明：我們建議用戶在設(shè)置密碼時使用強(qiáng)密碼——強(qiáng)密碼是長度至少為八個