BitLocker是Windows内置的加密技术，最近受到了一些欢迎。最近的一次攻击显示，移除了一台计算机的TPM芯片以提取其加密密钥，许多硬盘驱动器正在破坏BitLocker。以下是避免BitLocker陷阱的指南。

请注意，这些攻击都需要物理访问您的计算机。这就是加密的全部意义，以阻止小偷谁偷了你的笔记本电脑或有人获得访问你的台式电脑查看你的文件没有你的许可。

标准bitlocker在windows home上不可用

虽然几乎所有现代消费类操作系统都默认提供加密功能，但Windows 10仍不能在所有PC上提供加密功能。Mac、Chromebook、iPad、iPhone甚至Linux发行版都为所有用户提供加密功能。但微软仍然没有将BitLocker与Windows10Home捆绑在一起。

有些电脑可能会附带类似的加密技术，微软最初称之为“设备加密”，现在有时称之为“BitLocker设备加密”。我们将在下一节中介绍这一点。但是，这种设备加密技术比完整的BitLocker更为有限。

攻击者如何利用此漏洞：不需要利用漏洞！如果您的Windows Home PC未加密，攻击者可以删除硬盘驱动器或启动PC上的其他操作系统来访问您的文件。

解决方案：支付99美元升级到Windows10Professional并启用BitLocker。您还可以考虑尝试另一种加密解决方案，如免费的TrueCrypt的继承者VeraCrypt。

相关报道：为什么其他人都赠送加密软件，微软却要收100美元？

bitlocker有时会将您的密钥上载到microsoft

许多现代Windows 10 PC都带有一种名为“设备加密”的加密类型。如果您的PC支持这种加密，则在您使用Microsoft帐户（或公司网络上的域帐户）登录PC后，它将自动加密。然后，恢复密钥将自动上载到Microsoft的服务器（或域上组织的服务器）。

这可以防止您丢失文件，即使您忘记了Microsoft帐户密码并且无法登录，您也可以使用帐户恢复过程并重新获得对加密密钥的访问。

攻击者如何利用此漏洞：这比不加密要好。然而，这意味着微软可能会被迫向**公开你的加密密钥。或者，更糟糕的是，攻击者理论上可能滥用Microsoft帐户的恢复过程来访问您的帐户和加密密钥。如果攻击者对您的电脑或其硬盘有物理访问权限，则他们可以使用该恢复密钥解密您的文件，而不需要您的密码。

解决方案：支付99美元升级到Windows10Professional，通过控制面板启用BitLocker，并在出现提示时选择不将恢复密钥上载到Microsoft服务器。

相关：如何在Windows10上启用全磁盘加密

许多固态驱动器破坏了bitlocker加密

一些固态驱动器宣传支持“硬件加密”。如果您在系统中使用这样的驱动器并启用BitLocker，Windows将信任您的驱动器来执行此任务，而不执行通常的加密技术。毕竟，如果硬盘可以在硬件上完成工作，那应该会更快。

只有一个问题：研究人员发现，许多固态硬盘无**确实现这一点。例如，关键的MX300在默认情况下用空密码保护您的加密密钥。Windows可能会说BitLocker已启用，但实际上它在后台的作用可能不大。这很可怕：BitLocker不应该默默地信任SSD来完成这项工作。这是一个较新的功能，因此此问题只影响Windows 10而不影响Windows 7。

攻击者如何利用此漏洞：Windows可能会说BitLocker已启用，但BitLocker可能袖手旁观，让您的SSD无法安全加密您的数据。攻击者可能会绕过固态驱动器中执行不正确的加密来访问您的文件。

解决方案：将Windows组策略中的“配置对固定数据驱动器使用基于硬件的加密”选项更改为“已禁用”。您必须先解除加密，然后重新加密驱动器，此更改才能生效。BitLocker将停止信任驱动器，并将用软件而不是硬件完成所有工作。

相关：你不能信任BitLocker在Windows10上加密你的SSD

可以移除tpm芯片

一位安全研究员最近演示了另一次攻击。BitLocker将加密密钥存储在计算机的Trusted Platform Module（TPM）中，TPM是一种特殊的硬件，应该是防篡改的。不幸的是，攻击者可以使用一块27美元的FPGA板和一些开源代码从TPM中提取它。这将破坏硬件，但允许提取密钥并绕过加密。

攻击者如何利用此漏洞：如果攻击者拥有您的PC，理论上他们可以通过篡改硬件和提取密钥绕过所有这些奇特的TPM保护，这是不可能的。

解决方案：将BitLocker配置为需要组策略中的预引导PIN。“Require startup PIN with TPM”选项将强制Windows在启动时使用PIN来解锁TPM。当你的电脑在Windows启动前启动时，你必须输入一个PIN。但是，这将通过附加保护锁定TPM，攻击者在不知道您的PIN的情况下无法从TPM中提取密钥。TPM可防止暴力攻击，因此攻击者不仅能够逐个猜测每个PIN。

相关：如何在Windows上启用预引导BitLocker PIN

休眠PC更容易受到攻击

Microsoft建议在使用BitLocker时禁用睡眠模式以获得最大的安全性。休眠模式很好，当你从休眠状态唤醒电脑或正常启动电脑时，你可以让BitLocker需要一个PIN。但是，在睡眠模式下，电脑仍保持开机状态，其加密密钥存储在RAM中。

攻击者如何利用此漏洞：如果攻击者拥有你的电脑，他们可以唤醒它并登录。在Windows10上，他们可能需要输入一个数字PIN。通过物理访问您的PC，攻击者还可以使用直接内存访问（DMA）来获取系统RAM的内容并获取BitLocker密钥。攻击者还可以执行冷启动攻击重新启动正在运行的PC并在密钥消失之前从RAM中获取密钥。这甚至可能涉及到使用冷冻机来降低温度和减缓这一过程。

解决方法：休眠或关闭你的电脑，而不是让它睡着。使用预引导PIN使引导过程更安全，并阻止冷引导攻击如果BitLocker设置为在引导时需要PIN，则从休眠恢复时BitLocker也需要PIN。Windows还允许您通过组策略设置“在锁定此计算机时禁用新的DMA设备”，即使攻击者在您的电脑运行时获取它，也可以提供一些保护。

相关：你应该关闭，睡眠，或休眠你的笔记本电脑？

如果您想进一步了解这个主题，Microsoft在其网站上提供了保护Bitlocker的详细文档。