【正文】 圖35 電腦提示輸入密碼接著根據(jù)提示要求用戶使用功能鍵輸入恢復(fù)密鑰。 硬盤丟失在這里，現(xiàn)在我們假設(shè)已經(jīng)被Bitlocker加密的硬盤丟失，且已經(jīng)被人掛到了另外一臺(tái)計(jì)算機(jī)上作為從盤。等待進(jìn)程完成。（4）選中“在為可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器將恢復(fù)信息存儲(chǔ)到AD DS之前禁止啟用BitLocker”復(fù)選框，以確保將您的組織中所有受BitLocker保護(hù)的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器的恢復(fù)信息存儲(chǔ)在AD DS中。若要指定其他恢復(fù)選項(xiàng)，請(qǐng)單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。若要強(qiáng)制組策略立即應(yīng)用這些更改，可以單擊“開(kāi)始”，在“搜索程序和文件”框中鍵入“ /force”，然后按下Enter鍵。當(dāng)用戶存儲(chǔ)的恢復(fù)密碼或恢復(fù)密鑰不可用時(shí)（例如，當(dāng)用戶丟失了恢復(fù)密鑰打印件或當(dāng)無(wú)法訪問(wèn)存儲(chǔ)的恢復(fù)密鑰文件時(shí)），AD DS中的存儲(chǔ)恢復(fù)密碼允許系統(tǒng)管理員向用戶提供恢復(fù)密碼或恢復(fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。若要為固定數(shù)據(jù)驅(qū)動(dòng)器配置恢復(fù)選項(xiàng)，請(qǐng)?jiān)诩?xì)節(jié)窗格中，雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的固定驅(qū)動(dòng)器”打開(kāi)策略設(shè)置。（5）如果希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項(xiàng)，請(qǐng)用戶選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項(xiàng)”復(fù)選框。如果希望為用戶提供使用恢復(fù)密碼或恢復(fù)密鑰的選項(xiàng)，則應(yīng)該同時(shí)選中“允許48位數(shù)的恢復(fù)密碼”和“允許256位恢復(fù)密鑰”。若要為操作系統(tǒng)驅(qū)動(dòng)器配置恢復(fù)選項(xiàng)，請(qǐng)?jiān)诩?xì)節(jié)窗格中，雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器”打開(kāi)策略設(shè)置。為應(yīng)用程序和過(guò)程提供純文本數(shù)據(jù)。Windows上運(yùn)行的輔助技術(shù)軟件（例如屏幕讀取軟件）無(wú)法讀取BitLocker啟動(dòng)屏幕，因?yàn)檫@些屏幕在Windows啟動(dòng)之前在基本輸入/輸出系統(tǒng) (BIOS)啟動(dòng)過(guò)程中顯示?；謴?fù)密碼是隨機(jī)生成的48位數(shù)，可以在BitLocker設(shè)置期間創(chuàng)建該密碼。更新BIOS時(shí)。（5）計(jì)算機(jī)保留了必需的身份驗(yàn)證元素。計(jì)算機(jī)啟動(dòng)且VMK開(kāi)啟后，可使用鍵盤的任何人均能訪問(wèn)未加密數(shù)據(jù)。用戶錯(cuò)誤。VMK使用USB設(shè)備上的密鑰進(jìn)行加密。發(fā)現(xiàn)本地/域密碼。一旦啟動(dòng)密鑰生成且啟動(dòng)Bitlocker的保護(hù)功能，則被加密的盤如果想要移植到另外的計(jì)算機(jī)上進(jìn)行操作，也是需要輸入密鑰才能夠進(jìn)行的。在這種僅使用啟動(dòng)密鑰的模式中，我們選用USB設(shè)備來(lái)存儲(chǔ)啟動(dòng)每次計(jì)算機(jī)啟動(dòng)時(shí)所需要的密鑰。將已被Bitlocker加密的磁盤移到另外的電腦上時(shí)沒(méi)有觸發(fā)恢復(fù)模式。USB設(shè)備是單獨(dú)的物理身份驗(yàn)證元素，是加密解決方案的依據(jù)。計(jì)算機(jī)啟動(dòng)且VMK解密后，可使用鍵盤的任何人均能訪問(wèn)未加密數(shù)據(jù)。由于BitLocker是一種全卷加密技術(shù)，因此它可以對(duì)Windows操作系統(tǒng)卷中存儲(chǔ)的所有文件進(jìn)行加密。如果USB設(shè)備不存在，則攻擊者需要對(duì)USB設(shè)備上保留的密鑰發(fā)起一次強(qiáng)力攻擊才能成功攻擊操作系統(tǒng)。從休眠模式恢復(fù)后，BitLocker將要求對(duì)USB設(shè)備重新進(jìn)行身份驗(yàn)證。從卷中讀取加密FVEK，并使用解密VMK對(duì)其進(jìn)行解密。否則，如果用戶一旦忘記PIN或設(shè)置好的密鑰，那么將很難實(shí)現(xiàn)對(duì)已加密成功的磁盤的訪問(wèn)。值得再次強(qiáng)調(diào)的是，同其他Bitlocker的應(yīng)用模式一樣，建立一個(gè)恢復(fù)密碼或恢復(fù)密鑰在USB設(shè)備丟失后進(jìn)行恢復(fù)模式是非常重要的。平臺(tái)攻擊將無(wú)法恢復(fù)密鑰材料，直至用戶輸入PIN。這一種的加密模式可通過(guò)啟用“計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)提示輸入密碼”設(shè)置來(lái)緩解風(fēng)險(xiǎn)。計(jì)算機(jī)保留了必需的身份驗(yàn)證元素。 對(duì)操作系統(tǒng)進(jìn)行脫機(jī)攻擊。對(duì)于那些面臨社會(huì)工程攻擊風(fēng)險(xiǎn)或是未養(yǎng)成良好的密碼使用習(xí)慣（例如在不可信的計(jì)算機(jī)上使用Windows密碼）的用戶，使用此種Bitlocker加密模式帶來(lái)了非常明顯的好處。此延遲的效果是減緩可能的強(qiáng)力攻擊，使得攻擊效率低下。將PIN添加到啟用了BitLocker的計(jì)算機(jī)中能顯著增強(qiáng)BitLocker技術(shù)的安全性，但需要以降低其可用性和易管理性為代價(jià)。受信任/受測(cè)量的組件與TPM交互，以將組件測(cè)量數(shù)據(jù)存儲(chǔ)在TPM平臺(tái)配置注冊(cè)表(PCR)中。在這里，首先我們學(xué)習(xí)的是TPM和PIN模式。雖然秘密密鑰是由公開(kāi)密鑰決定的，但卻不能根據(jù)加密密鑰計(jì)算出解密密鑰。迭代加密使用一個(gè)循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。AES加密有很多輪的重復(fù)和變換。有關(guān)AES——密碼學(xué)中的高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES），又稱Rijndael加密法，是美國(guó)聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。不能從公鑰推出私鑰，或者說(shuō)從公鑰推出私鑰在計(jì)算上困難或者不可能實(shí)現(xiàn)。研究如何對(duì)信息編碼以實(shí)現(xiàn)信息和通信安全的科學(xué)成為密碼編碼學(xué)，研究如何破解或攻擊受保護(hù)的科學(xué)成為密碼分析學(xué)。TPM將提供一個(gè)附加安全層，因?yàn)槿绻麤](méi)有它，則無(wú)法對(duì)密封的卷進(jìn)行解密。此選項(xiàng)不能緩解對(duì)操作系統(tǒng)的聯(lián)機(jī)攻擊。如果用戶的密碼被泄露，則加密解決方案也會(huì)受到威脅。與休眠模式一樣，當(dāng)便攜式計(jì)算機(jī)進(jìn)入睡眠模式時(shí)，便攜式計(jì)算機(jī)和BitLocker加密密鑰的狀態(tài)也不會(huì)更改。啟用BitLocker后，系統(tǒng)頁(yè)面文件將被加密。不過(guò)，用戶可以選擇將BitLocker配置為使用AES256以及256位版本的Elephant、普通AES128或普通AES256。處在計(jì)算機(jī)中的TPM未能成功進(jìn)行驗(yàn)證時(shí)。為應(yīng)用程序和過(guò)程提供純文本數(shù)據(jù)。下圖顯示了使用TPM的Bitlocker解密過(guò)程的邏輯流程：圖22 訪問(wèn)僅TPM的Bitlocker模式保護(hù)的數(shù)據(jù)對(duì)于上圖圖解順序的步驟如下：BIOS（BIOS是英文“Basic Input Output System”的縮略語(yǔ)，直譯過(guò)來(lái)后中文名稱就是“基本輸入輸出系統(tǒng)”。然而，BitLocker的多重身份驗(yàn)證模式可緩解許多此類攻擊，對(duì)多重身份驗(yàn)證模式后文會(huì)有所介紹。 使用TPM的Bitlocker模式經(jīng)過(guò)以上對(duì)TPM有了一定的認(rèn)識(shí)之后，讓我們接下來(lái)進(jìn)入我們真正的主題——TPM模式的學(xué)習(xí)。加密硬盤的任意分區(qū)。符合TPM的芯片首先必須具有產(chǎn)生加密、解密密鑰的功能，此外還必須能夠進(jìn)行高速的資料加密和解密、以及充當(dāng)保護(hù)BIOS盒操作系統(tǒng)不被修改的輔助處理器。功能之三：身份認(rèn)證功能。功能之一：完整性度量。例如，常見(jiàn)的離線攻擊是竊取計(jì)算機(jī)、拆除硬盤并將其安裝為其他計(jì)算機(jī)上的第二個(gè)驅(qū)動(dòng)器，從而消除NTFS權(quán)限或是用戶密碼。在過(guò)去，培訓(xùn)師有時(shí)會(huì)讓學(xué)生這樣記憶：“從系統(tǒng)分區(qū)啟動(dòng)，在引導(dǎo)分區(qū)上查找系統(tǒng)文件”。除了卷管理器和啟動(dòng)組件，其余的操作系統(tǒng)組件和應(yīng)用程序均使用卷，而非分區(qū)。第五章：對(duì)Bitlocker所作的總結(jié)。 在所有預(yù)先條件都具備的電腦上啟用Bitlocker時(shí)，我們可以根據(jù)個(gè)人計(jì)算機(jī)或是用戶的需要選擇不同的模式，上面說(shuō)過(guò)Bitlocker有TPM模式和U盤模式，然而實(shí)際操作時(shí)，還有一種混合模式，即TPM+U盤模式、TPM+PIN模式等。在一臺(tái)安裝Windows 7的計(jì)算機(jī)上運(yùn)行“”后即可看到硬盤分區(qū)情況。在使用TPM模式時(shí)，這種芯片是通過(guò)硬件提供的，一般只出現(xiàn)在對(duì)安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會(huì)提供。BitLocker在與受信任的平臺(tái)模塊 (TPM )一起使用時(shí)可提供最有力的保護(hù)。Bitlocker使用TPM來(lái)幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并以此來(lái)幫助確保計(jì)算機(jī)即使是在無(wú)人操作亦或是丟失被盜下也不會(huì)被篡改。這將驗(yàn)證Windows啟動(dòng)過(guò)程的完整性。存儲(chǔ)在TPM上的信息顯得更安全，可避免受到外部軟件攻擊和物理盜竊。這些都將會(huì)給我們的生活、工作和學(xué)習(xí)等帶來(lái)很大的不便。Bitlocker使用TPM幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使是在無(wú)人參與、丟失或是被盜竊的情況下也不會(huì)被篡改。加密整個(gè)卷可以保護(hù)所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows 注冊(cè)表、臨時(shí)文件以及休眠文件。在不帶有兼容TPM的計(jì)算機(jī)上，BitLocker也可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。已丟失或被盜計(jì)算機(jī)上的數(shù)據(jù)容易受到未經(jīng)授權(quán)的訪問(wèn)，方法是對(duì)該計(jì)算機(jī)運(yùn)行軟件攻擊工具或者將該計(jì)算機(jī)的硬盤轉(zhuǎn)移到另一臺(tái)計(jì)算機(jī)。 除了TPM之外，BitLocker還提供鎖定正常啟動(dòng)過(guò)程的選項(xiàng)，直到用戶提供PIN（個(gè)人標(biāo)識(shí)號(hào)）或插入包含啟動(dòng)密鑰的可移動(dòng)設(shè)備（如USB閃存驅(qū)動(dòng)器）。 對(duì)硬盤分區(qū)的要求：硬件滿足上述要求后，還要確保硬盤分區(qū)的安排可以滿足要求。但這就有一個(gè)問(wèn)題，用于解密的密鑰可以被保存在TPM芯片或者U盤中，但是解密程序應(yīng)該放在哪里？難道就放在系統(tǒng)盤嗎？可是系統(tǒng)盤已經(jīng)被加密了，這就導(dǎo)致了一種很矛盾的狀態(tài)：因?yàn)橛糜诮饷艿某绦虮患用芰?，因此無(wú)法運(yùn)行，導(dǎo)致無(wú)法解密文件。第二章：分別敘述Bitlocker的六種應(yīng)用環(huán)境。分區(qū)：分區(qū)是物理硬盤的一部分，它是磁盤上存儲(chǔ)的分區(qū)表中定義的邏輯結(jié)構(gòu)?；顒?dòng)分區(qū)有時(shí)稱為系統(tǒng)分區(qū)或系統(tǒng)卷，但是，應(yīng)該注意不要將這些術(shù)語(yǔ)和Windows操作系統(tǒng)卷混淆。BitLocker最大的不同之處在于，它在啟用之后是自動(dòng)、透明的。并提出了TPM規(guī)范。因此用戶在使用這種PC的時(shí)候就盡可以放心了。訪問(wèn)TPM所管理的資源（包括密鑰、加密存儲(chǔ)的敏感數(shù)據(jù)）時(shí)，是通過(guò)TPM的授權(quán)協(xié)議來(lái)完成的，只有通過(guò)合法授權(quán)才能訪問(wèn)資源，最大限度的保護(hù)了敏感數(shù)據(jù)。TPM安全芯片可以進(jìn)行范圍較廣的加密。前面的操作完成后，用戶需要登錄“TPM安全控制臺(tái)”設(shè)置相關(guān)屬性，譬如需要將“禁用”改為“啟用”，以啟動(dòng)TPM安全芯片，設(shè)置完畢后，用戶在開(kāi)機(jī)時(shí)會(huì)提示輸入密碼，否則無(wú)法正常登錄，另外還可以對(duì)TPM安全芯片的管理密碼、用戶登錄密碼進(jìn)行更改，或者備份或恢復(fù)用戶密鑰文件，如果需要重裝系統(tǒng)，用戶可以使用恢復(fù)向?qū)е匦乱龑?dǎo)TPM芯片。另外，僅TPM模式可能更適用于無(wú)人參與或必須在無(wú)人參與時(shí)重新啟動(dòng)的計(jì)算機(jī)。用卷主密鑰對(duì)該密鑰本身進(jìn)行加密，反過(guò)來(lái)由TPM對(duì)卷主密鑰進(jìn)行加密。如果PCR值與期望值相匹配，則TPM將使用存儲(chǔ)根密鑰（SRK）對(duì)卷主密鑰（VMK）進(jìn)行解密。當(dāng)Bitlocker被關(guān)閉時(shí)，系統(tǒng)卷被解密并且當(dāng)Bitlocker再次啟動(dòng)時(shí)所有的密鑰必須是再次生成的。然后VMK又用于加密FVEK。BitLocker的主要目標(biāo)之一是在計(jì)算機(jī)關(guān)閉或處于休眠模式時(shí)保護(hù)硬盤驅(qū)動(dòng)器的操作系統(tǒng)卷上的數(shù)據(jù)。當(dāng)便攜式計(jì)算機(jī)進(jìn)入休眠模式時(shí)，便攜式計(jì)算機(jī)和BitLocker加密密鑰的狀態(tài)不會(huì)更改。緩解此風(fēng)險(xiǎn)最有效的方法是對(duì)可能在計(jì)算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識(shí)培訓(xùn)。因此，任何能登錄到計(jì)算機(jī)的用戶帳戶均可訪問(wèn)部分或全部經(jīng)過(guò)BitLocker加密的文件，情形如同未啟用BitLocker一般。計(jì)算機(jī)以安全的方式執(zhí)行此操作，因?yàn)樗谑褂肨PM驗(yàn)證的可信計(jì)算機(jī)內(nèi)進(jìn)行操作。密碼學(xué)是保障信息安全的核心，信息安全是密碼學(xué)研究與發(fā)展的目的。對(duì)稱密碼體制又包括分組密碼和序列密碼，典型的對(duì)稱算法體制有DES、3DES、AES、IDES、RCA5和SEAL等。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。分組密碼算法通常由密鑰擴(kuò)展算法和加密（解密）算法兩部分組成。它是一個(gè)迭代的、對(duì)稱密鑰分組的密碼，可以使用128位、192位和256位密鑰，并且用128位（16字節(jié)）分組加密和解密數(shù)據(jù)。RSA公開(kāi)密鑰密碼體制：所謂的公開(kāi)密鑰密碼體制就是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。RSA是被研究得最廣泛的公鑰算法，從提出到現(xiàn)在的三十多年里，經(jīng)歷了各種攻擊的考驗(yàn)，逐漸為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。而且，一旦PIN設(shè)置成功且Bitlocker也已啟動(dòng)，那么PIN是不能去除的。為應(yīng)用程序和過(guò)程提供純文本數(shù)據(jù)。此功能限制了密鑰熵并使強(qiáng)力攻擊成為可能，盡管速度不是特別快。使用TPM和PIN的BitLocker可緩解此風(fēng)險(xiǎn)，因?yàn)楸銛y式計(jì)算機(jī)從休眠模式恢復(fù)時(shí)，系統(tǒng)會(huì)提示用戶輸入PIN。 通過(guò)脫機(jī)攻擊進(jìn)行密鑰發(fā)現(xiàn)。啟用BitLocker之后，休眠文件自然而然的也就被加密了。 TPM和PIN模式的Bitlocker不能緩解的風(fēng)險(xiǎn)在沒(méi)有其他控件和策略的情況下，使用TPM和PIN來(lái)進(jìn)行Bitlocker加密的這種模式不能緩解的風(fēng)險(xiǎn)為：（1）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。在這種加密模式中，是不能對(duì)此風(fēng)險(xiǎn)就行緩解的。而且，如果當(dāng)用戶想要通過(guò)刪除啟動(dòng)密鑰層來(lái)關(guān)閉雙層保護(hù)模式時(shí)，那么他就必須先禁用再重啟動(dòng)Bitlocker才行。這種模式與使用TPM的BitLocker或使用TPM和PIN的BitLocker基本模式不同，因?yàn)橐獙⒋鎯?chǔ)在USB中的密鑰材料與TPM密鑰結(jié)合才能解密VMK。系統(tǒng)將提示用戶插入包含BitLocker密鑰的USB設(shè)備。但是，由于TPM芯片并不常見(jiàn)，所以這種模式并不太受歡迎。通過(guò)脫機(jī)攻擊進(jìn)行密鑰發(fā)現(xiàn)。在Windows上，頁(yè)面文件使用計(jì)算機(jī)啟動(dòng)時(shí)生成的臨時(shí)對(duì)稱密鑰進(jìn)行加密，但該密鑰不會(huì)被寫入磁盤。當(dāng)計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)，仍可訪問(wèn)FVEK。配置了BitLocker、TPM和USB設(shè)備的計(jì)算機(jī)將會(huì)啟動(dòng)操作系統(tǒng)并加載到Windows用戶憑據(jù)界面。在升級(jí)到至關(guān)重要組件時(shí)沒(méi)有觸發(fā)Bitlocker的恢復(fù)模式。在早期引導(dǎo)環(huán)境時(shí)，使用不同的鍵盤進(jìn)行不正確的PIN輸入，或是不匹配的鍵盤映射，使得系統(tǒng)對(duì)密碼輸入進(jìn)行阻止時(shí)。訪問(wèn)磁盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密。由于這種模式是需要設(shè)置密碼的，在此我們對(duì)設(shè)置密碼時(shí)的要求作一點(diǎn)說(shuō)明：我們建議用戶在設(shè)置密碼時(shí)使用強(qiáng)密碼——強(qiáng)密碼是長(zhǎng)度至少為八個(gè)字符，且不包含用戶名、真實(shí)姓名或公司姓名，不包含完整地單詞組合。VMK使用USB設(shè)備上的密鑰進(jìn)行加密。啟用BitLocker后，休眠文件將被加密。當(dāng)計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)，仍可訪問(wèn)FVEK。（4）平臺(tái)攻擊。有幾種場(chǎng)景可以觸發(fā)恢復(fù)模式進(jìn)行，即：升級(jí)系統(tǒng)版本或是升級(jí)TPM時(shí)?；謴?fù)密鑰/密鑰是在啟用Bitlocker的時(shí)候創(chuàng)建并保存在所謂的USB閃存驅(qū)動(dòng)器中的，并且在恢復(fù)進(jìn)行的時(shí)候，用戶是不能使用密碼進(jìn)入之前加密的盤中進(jìn)行操作的。用戶應(yīng)該將恢復(fù)密鑰存儲(chǔ)