【正文】 其他一些BitLocker選項(xiàng)）或嚴(yán)格控制每臺計(jì)算機(jī)有關(guān)允許登錄人員的策略。密碼學(xué)是研究信息及信息系統(tǒng)安全的科學(xué)，它起源于保密通信技術(shù)。典型的非對稱密鑰密碼體制有RSA、ECC和Rabin等。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。以上就是對僅TPM的Bitlocker加密模式以及與其相關(guān)知識的一些介紹，然而，對于具體的操作步驟，由于支持該模式的電腦上會有很詳細(xì)的操作向?qū)?，在此便不做介紹。由以上可知，這種模式的Bitlocker與僅TPM模式的Bitlocker的加密模式之間存在一個(gè)有趣的差異，也就是PIN與TPM結(jié)合才能開啟VMK。 發(fā)現(xiàn)本地/域密碼。通過系統(tǒng)頁面文件泄露純文本數(shù)據(jù)。（4）平臺攻擊。開啟操作成功完成后，BitLocker將按照其在該模式中的步驟執(zhí)行操作。相反，對于僅使用啟動密鑰的模式用戶卻較為喜歡，具體細(xì)節(jié)在后文里我們會作介紹。系統(tǒng)關(guān)閉后，該密鑰將被丟棄，因此從頁面文件恢復(fù)數(shù)據(jù)就要求進(jìn)行強(qiáng)力攻擊以找到用于加密此頁面文件的對稱密鑰。但是值得注意的是，平臺攻擊是可能會導(dǎo)致密鑰材料泄露的。 僅啟動密鑰模式 僅啟動密鑰模式介紹如果用戶的電腦沒有兼容的TPM可用，那么可以采用僅啟動密鑰模式。 僅啟動密鑰模式可以緩解的風(fēng)險(xiǎn)此外，通過學(xué)習(xí)我們還可以知道，使用僅啟動密鑰的BitLocker加密模式可以緩解以下數(shù)據(jù)風(fēng)險(xiǎn)：處于休眠模式的計(jì)算機(jī)。通過系統(tǒng)頁面文件泄露純文本數(shù)據(jù)。配置有BitLocker和USB設(shè)備的計(jì)算機(jī)將通過使用USB設(shè)備中包含的密鑰將操作系統(tǒng)啟動并加載到Windows用戶憑據(jù)界面來(Winlogon)。那么，說了這么多，那么究竟恢復(fù)密碼/密鑰是什么呢？下面我們來做較為詳細(xì)的講解：BitLocker恢復(fù)密鑰是一種特殊的密鑰，在每個(gè)要加密的驅(qū)動器上第一次啟用Bitlocker驅(qū)動器加密時(shí)可以創(chuàng)建該密鑰。從卷中讀取加密的FVEK，并使用解密VMK對其進(jìn)行解密。（2）在“配置BitLocker恢復(fù)信息的用戶存儲”下，可以選擇在打開BitLocker時(shí)，是允許、要求還是不允許用戶創(chuàng)建48位數(shù)的恢復(fù)密碼或256位恢復(fù)密鑰。如果出現(xiàn)“用戶帳戶控制”對話框，則請用戶確認(rèn)其顯示的是您要執(zhí)行的操作，然后單擊“是”。若要啟用此選項(xiàng)，必須選中以下兩個(gè)管理恢復(fù)設(shè)置或其中之一：“為固定數(shù)據(jù)驅(qū)動器將BitLocker恢復(fù)信息保存到AD DS中”或“允許數(shù)據(jù)恢復(fù)代理”，以確保可以恢復(fù)受BitLocker保護(hù)的驅(qū)動器。當(dāng)用戶存儲的恢復(fù)密碼或恢復(fù)密鑰不可用時(shí)（例如，當(dāng)用戶丟失了恢復(fù)密鑰打印件或當(dāng)無法訪問存儲的恢復(fù)密鑰文件時(shí)），AD DS中的存儲恢復(fù)密碼允許系統(tǒng)管理員向用戶提供恢復(fù)密碼或恢復(fù)受BitLocker保護(hù)的驅(qū)動器。通過這種加密功能，可以對用戶的U盤加上一層很強(qiáng)的保護(hù)屏障，使得用戶信息和數(shù)據(jù)得到了很好的保護(hù)，這樣一來便不會因?yàn)橛脩鬠盤的丟失而有任何的損失，自從這種功能出現(xiàn)以后受到很多用戶的支持和使用，可見，該功能的可用性極強(qiáng)。 以上就是對Bitlocker To Go的概況，以及在硬盤丟失、磁盤被掛在別的電腦上的幾種可能出現(xiàn)的情況下Bitlocker加密功能所做的講解。以上各節(jié)就是對Bitlocker加密的幾種模式的介紹，這幾種模式各有特色，還望用戶在使用的時(shí)候可以根據(jù)自己的需要選擇不同的模式。如果不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，用戶請清除該復(fù)選框。（4）選中“在為固定數(shù)據(jù)驅(qū)動器將恢復(fù)信息存儲到AD DS之前禁止啟用BitLocker”復(fù)選框，以確保將您的組織中所有受BitLocker保護(hù)的固定數(shù)據(jù)驅(qū)動器的恢復(fù)信息存儲在AD DS中。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對話框。在默認(rèn)情況下，允許數(shù)據(jù)恢復(fù)代理，當(dāng)啟用BitLocker之后，用戶可以選擇是創(chuàng)建恢復(fù)密碼還是恢復(fù)密鑰，并且恢復(fù)信息是不會備份到AD DS的。對于恢復(fù)密碼創(chuàng)建之后，如何復(fù)制Bitlocker的恢復(fù)密鑰，在單擊打開“Bitlocker驅(qū)動器加密”，接著單擊打開“管理Bitlocker”之后，按照說明操作就行，在此不作講解。在使用TPM和PIN的Bitlocker模式之后，忘記了PIN時(shí)。（3）對操作系統(tǒng)進(jìn)行聯(lián)機(jī)攻擊。另外，配置了擴(kuò)散器技術(shù)（默認(rèn)情況下啟用）的BitLocker正好可以緩解這種性質(zhì)的集中攻擊，因?yàn)閷Π滴牡募?xì)微更改也將可能會擴(kuò)散到更大的范圍之內(nèi)。VMK是通過傳統(tǒng)的軟件機(jī)制（使用USB設(shè)備上的對稱密鑰）進(jìn)行加密和解密。修改磁盤上的主引導(dǎo)記錄時(shí)沒有觸發(fā)恢復(fù)模式。（3）對操作系統(tǒng)進(jìn)行聯(lián)機(jī)攻擊。BitLocker的主要目標(biāo)之一是在計(jì)算機(jī)關(guān)閉或處于休眠模式時(shí)保護(hù)硬盤中操作系統(tǒng)卷上的數(shù)據(jù)。為應(yīng)用程序和過程提供純文本數(shù)據(jù)。在這種模式當(dāng)中，Bitlocker被配置為將USB作為身份驗(yàn)證的另一要素與TPM結(jié)合在一起使用。計(jì)算機(jī)啟動且VMK開啟后，可使用鍵盤的任何人均能訪問未加密數(shù)據(jù)。如果攻擊者不知道PIN，那么他需要發(fā)起一次強(qiáng)力脫機(jī)攻擊才能確定FVEK的值，并使用該值對卷進(jìn)行解密以攻擊操作系統(tǒng)文件。用戶可以選擇7位數(shù)且至少有4個(gè)唯一值的相對較強(qiáng)的PIN，幫助緩解可能對PIN進(jìn)行的強(qiáng)力攻擊。如果PCR值與期望值匹配并且輸入的PIN正確，則VMK將通過使用SRK的TPM進(jìn)行解密。為提高保密強(qiáng)度，RSA密鑰至少為500位長，我們一般推薦使用1024位的RSA密鑰。AES算法基于排列和置換運(yùn)算。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公開密鑰才能解密。但是，由于TPM無法從計(jì)算機(jī)中刪除，因此它必定始終存在，而且不提供與完全獨(dú)立的身份驗(yàn)證元素相同的強(qiáng)度。強(qiáng)網(wǎng)絡(luò)密碼策略可有效防止攻擊者使用廣泛的可用工具對密碼成功地進(jìn)行字典攻擊。由于BitLocker是一種全卷加密技術(shù)，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進(jìn)行加密。以上均為較常見的觸發(fā)恢復(fù)模式的情況，至于其他情況，后文會有所介紹。其主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。此選項(xiàng)對用戶是透明的，因?yàn)閱舆^程不會以任何方式更改，而且不需要其他密碼或硬件。以往這些事物都是由BIOS做的，我們知道，忘記了密碼只要取下BIOS電池，給BIOS放電就可以清除密碼了。功能之二：敏感數(shù)據(jù)的加密存儲。本文Bitlocker提供的是整卷加密，確保可以對寫入Windows操作系統(tǒng)卷上的所有數(shù)據(jù)都能進(jìn)行加密。二、Bitlocker應(yīng)用模式詳解在本章的學(xué)習(xí)里，我們的主要任務(wù)是對Bitlocker的六種應(yīng)用模式逐一的進(jìn)行詳細(xì)的學(xué)習(xí)與研究，力爭在本章結(jié)束之時(shí)，我們可以對Bitlocker的各種應(yīng)用模式有清晰地認(rèn)識。如果該磁盤上有兩個(gè)分區(qū)，對應(yīng)的盤符分別是“C”和“D”，其中“C”就是第一塊硬盤上的第一個(gè)分區(qū)，屬于系統(tǒng)盤而且是活動的。它與BitLocker結(jié)合使用可以幫助保護(hù)用戶數(shù)據(jù)，并且確保當(dāng)系統(tǒng)脫機(jī)時(shí)，計(jì)算機(jī)不會被篡改。默認(rèn)情況下，BitLocker安裝向?qū)渲门cTPM無縫使用?？梢?，如何確保計(jì)算機(jī)信息的安全是非常重要的一件事，所以，越來越多的人開始重視保護(hù)計(jì)算機(jī)中數(shù)據(jù)、信息的安全。如果計(jì)算機(jī)安裝了兼容的TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。使用BitLocker而不使用TPM時(shí)，所需加密密鑰存儲在USB閃存驅(qū)動器中，必須提供該驅(qū)動器才能解鎖存儲在卷上的數(shù)據(jù)。使用U盤模式后，用于解密系統(tǒng)盤的密鑰文件會被保存在U盤上，每次重新啟動系統(tǒng)的時(shí)候都必須在開機(jī)之前將U盤連接到計(jì)算機(jī)上。在此聲明，由于本人的能力有限，也許對本次論文中所涉及的各類知識介紹和講解的不夠透徹，不能達(dá)到各位老師所期望的那樣的水平，不過這些工作的確是自己努力而來，還望老師見諒?；顒臃謪^(qū)：一次只能將一個(gè)分區(qū)標(biāo)為活動分區(qū)。TPM標(biāo)準(zhǔn)：1990年10月，多家IT巨頭聯(lián)合發(fā)起成立可信賴運(yùn)算平臺聯(lián)盟，初期加入者有康柏、HP、IBM、Intel、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運(yùn)算平臺。而具備由權(quán)威機(jī)構(gòu)頒發(fā)的唯一的身份證書的可信計(jì)算平臺具備在網(wǎng)絡(luò)上的唯一的身份標(biāo)識，從而為電子商務(wù)之類的系統(tǒng)應(yīng)用奠定信用基礎(chǔ)，對互聯(lián)網(wǎng)的應(yīng)用具有巨大的促進(jìn)作用。TPM安全芯片具有三個(gè)安全保護(hù)功能：系統(tǒng)身份認(rèn)證登錄、文件加密及個(gè)人安全虛擬磁，其中系統(tǒng)身份認(rèn)證登錄就類似此前的Windows賬戶密碼，不過有所不同的是，Windows賬戶密碼很容易被破解，而TPM安全芯片可將所有密鑰的根密鑰保存在自己的寄存器當(dāng)中，獨(dú)立于筆記本的傳統(tǒng)存儲系統(tǒng)(如硬盤)，這樣每一臺筆記本就相當(dāng)于有一個(gè)唯一的硬件“身份證”，以此來驗(yàn)證用戶身份，這無疑多加了一層保險(xiǎn)，破解的機(jī)會微乎其微。如果用戶想要運(yùn)用僅有TPM的Bitlocker模式在他的電腦丟失被盜的情況下保護(hù)電腦中的數(shù)據(jù)，則筆記本應(yīng)包含一個(gè)兼容的TPM(，另外必須BIOS支持),還要將硬盤分區(qū)為兩個(gè)卷:一個(gè)系統(tǒng)卷和一個(gè)操作系統(tǒng)卷,而且必須有支持BitLocker的Windows版本。當(dāng)打開Bitlocker時(shí)，操作系統(tǒng)卷被加密且卷主密鑰（VMK）被存儲在TPM中。另外，配置了擴(kuò)散器技術(shù)（默認(rèn)情況下啟用）的BitLocker正好可以緩解這種性質(zhì)的集中攻擊，因?yàn)閷Π滴牡募?xì)微更改也將擴(kuò)散到更大范圍。（3）處于登錄狀態(tài)且桌面未鎖定的計(jì)算機(jī)。將BitLocker配置為基本模式（僅TPM）的計(jì)算機(jī)可將操作系統(tǒng)啟動并加載到用戶憑據(jù)界面（Winlogon服務(wù)），無需任何其他BitLocker身份驗(yàn)證元素。密碼體制是指實(shí)現(xiàn)加密和解密功能的密碼方案，從使用密鑰策略上，可分為對稱密碼體制和非對稱密碼體制。2006年，高級加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一。RSA是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。其中，這種個(gè)人識別碼是可以更改的，但是卻不能存儲或備份。盡管PIN可以提高安全性，但它仍然會受到非常耐心或動機(jī)強(qiáng)烈的攻擊者的攻擊。擁有授權(quán)域帳戶但不具有附加身份驗(yàn)證元素的用戶將無法啟動計(jì)算機(jī)進(jìn)行登錄。由于BitLocker是一種全卷加密技術(shù)，因此它可以對Windows操作系統(tǒng)卷中存儲的所有文件進(jìn)行加密。 TPM和啟動密鑰模式 TPM和啟動密鑰模式介紹如果用戶想要用兩層身份驗(yàn)證方法來保護(hù)他電腦上的數(shù)據(jù)，除了上面的那個(gè)雙層驗(yàn)證法之外，我們還可以采用TPM和包含有啟動密鑰的USB模式來進(jìn)行Bitlocker的加密工作。下圖顯示了使用TPM和USB的BitLocker選項(xiàng)中解密過程的邏輯流程:圖26 訪問由TPM和USB模式的Bitlocker保護(hù)的數(shù)據(jù)對于上圖圖解順序的步驟如下：BIOS啟動并初始化TPM。內(nèi)部人員可以讀取加密數(shù)據(jù)。 TPM和啟動密鑰模式不能緩解的風(fēng)險(xiǎn)而該模式在沒有其他控件和策略的情況下，使用TPM和USB設(shè)備的BitLocker選項(xiàng)不能緩解以下風(fēng)險(xiǎn)：（1）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。下面我們僅僅介紹需要臨時(shí)禁用Bitlocker的清除密鑰模式。VMK通過（USB設(shè)備上的）密鑰進(jìn)行解密。這種模式與以前的風(fēng)險(xiǎn)緩解說明相同，同樣是由于此模式添加了身份驗(yàn)證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動計(jì)算機(jī)、登錄和讀取加密數(shù)據(jù)的風(fēng)險(xiǎn)。 僅啟動密鑰模式不能緩解的風(fēng)險(xiǎn)而這種模式中，在沒有其他控件和策略的情況下，使用USB設(shè)備的BitLocker加密模式不能緩解以下風(fēng)險(xiǎn)：（1）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。用戶同時(shí)丟失計(jì)算機(jī)和USB設(shè)備帶來的風(fēng)險(xiǎn)可以通過某種風(fēng)險(xiǎn)緩解方法來緩解，該方法要求提供另一個(gè)非物理身份驗(yàn)證元素，例如個(gè)人識別碼(PIN)或密碼。對于恢復(fù)密鑰的存儲，我們應(yīng)當(dāng)通過以下方式存儲恢復(fù)密鑰：對于電腦硬盤的恢復(fù)密鑰可以打印，將恢復(fù)密鑰保存在可移動媒體上，或者將恢復(fù)密鑰以文件形式保存在計(jì)算機(jī)上其他未加密驅(qū)動器的某個(gè)文件夾中。我們就對恢復(fù)模式進(jìn)行較為詳細(xì)的介紹。當(dāng)用戶存儲的恢復(fù)密碼或恢復(fù)密鑰不可用時(shí)（例如，當(dāng)用戶丟失了恢復(fù)密鑰打印件或當(dāng)無法訪問存儲的恢復(fù)密鑰文件時(shí)），AD DS中的存儲恢復(fù)密碼允許系統(tǒng)管理員向用戶提供恢復(fù)密碼或恢復(fù)受BitLocker保護(hù)的驅(qū)動器。若要指定其他恢復(fù)選項(xiàng)，請單擊“已啟用”，然后根據(jù)需要配置以下設(shè)置：（1）選中“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框，以允許將指定的帳戶用于恢復(fù)受BitLocker保護(hù)的驅(qū)動器。如果出現(xiàn)“用戶帳戶控制”對話框，用戶請確認(rèn)其顯示的是您要執(zhí)行的操作，然后單擊“是”。（5）如果希望選擇的恢復(fù)方法由此策略設(shè)置控制，并且不希望向用戶顯示這些恢復(fù)選項(xiàng)，請選中“省略BitLocker安裝向?qū)е械幕謴?fù)選項(xiàng)”復(fù)選框。圖31 查看磁盤狀態(tài)接著進(jìn)入磁盤管理。圖32 查看磁盤容量大小圖33 查看磁盤屬性由以上操作可知，已經(jīng)被Bitlocker加密過后的硬盤即使是被外掛到了其他的電腦上也是無法訪問的，仍然具有安全保護(hù)功能。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對話框。若要為可移動數(shù)據(jù)驅(qū)動器配置恢復(fù)選項(xiàng)，請?jiān)诩?xì)節(jié)窗格中，雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的可移動數(shù)據(jù)驅(qū)動器”打開策略設(shè)置。如果不希望結(jié)合使用數(shù)據(jù)恢復(fù)代理與BitLocker，請用戶清除“允許數(shù)據(jù)恢復(fù)代理”復(fù)選框。（4）選中“在為操作系統(tǒng)驅(qū)動器將恢復(fù)信息存儲到AD DS之前禁止啟用BitLocker”復(fù)選框，以確保將您的組織中所有受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動器的恢復(fù)信息存儲在AD DS中。單擊“開始”，在“搜索程序和文件”框中鍵入“”，然后按下Enter鍵。用戶應(yīng)該將恢復(fù)密鑰存儲在計(jì)算機(jī)以外的位置。有幾種場景可以觸發(fā)恢復(fù)模式進(jìn)行，即：升級系統(tǒng)版本或是升級TPM時(shí)。當(dāng)計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)，仍可訪問FVEK。VMK使用USB設(shè)備上的密鑰進(jìn)行加密。訪問磁盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密。在升級到至關(guān)重要組件時(shí)沒有觸發(fā)Bitlocker的恢復(fù)模式。當(dāng)計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)，仍可訪問FVEK。通過脫機(jī)攻擊進(jìn)行密