许多消费类SSD声称支持加密,BitLocker相信它们。但是,正如我们去年了解到的那样,这些驱动器通常不能安全地加密文件。微软刚刚修改了windows10,不再信任那些粗略的ssd,而是默认使用软件加密。
总而言之,固态驱动器和其他硬盘可以声称是“自加密”的。如果是这样,BitLocker将不会执行任何加密,即使您手动启用了BitLocker。从理论上讲,这是好的:驱动器可以在固件级别执行加密本身,加快进程,减少CPU使用,并可能节省一些电源。事实上,这很糟糕:许多驱动器都有空的主密码和其他可怕的安全故障。我们了解到消费者SSD不能被信任来实现加密。
现在,微软改变了一切。默认情况下,BitLocker将忽略声称是自加密的驱动器,并在软件中执行加密工作。即使你有一个声称支持加密的驱动器,BitLocker也不会相信。
这一变化出现在Windows10于2019年9月24日发布的KB4516071更新中。这是由迅捷安全公司在Twitter上发现的:
Microsoft gives up on SSD manufacturers: Windows will no longer trust drives that say they can encrypt themselves, BitLocker will default to CPU-accelerated AES encryption instead. This is after an exposé on broad issues with firmware-powered encryption.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) September 27, 2019
带有BitLocker的现有系统不会自动迁移,如果它们最初是以这种方式设置的,则将继续使用硬件加密。如果系统上已启用BitLocker加密,则必须解密驱动器,然后再次加密,以确保BitLocker使用的是软件加密而不是硬件加密。此Microsoft安全公告包含一个命令,可用于检查系统是否使用基于硬件或软件的加密。
正如SwiftOnSecurity所指出的,现代cpu可以处理在软件中执行这些操作,并且当BitLocker切换到基于软件的加密时,您不应该看到明显的速度减慢。
如果您愿意,BitLocker仍然可以信任硬件加密。默认情况下,该选项处于禁用状态。对于拥有其信任的固件驱动器的企业,组策略中“计算机配置\管理模板\Windows组件\BitLocker驱动器加密\固定数据驱动器”下的“为固定数据驱动器配置基于硬件的加密的使用”选项将允许其重新激活基于硬件的加密的使用。其他人都不要管它。
很遗憾,微软和我们其他人不能信任磁盘**商。但这是有道理的:当然,你的笔记本电脑可能是由戴尔,惠普,甚至微软自己。但你知道那台笔记本电脑里有什么驱动器,是谁**的吗?您是否信任该驱动器的**商安全地处理加密并在出现问题时发布更新?我们已经了解到,你可能不应该。现在,Windows也不会。
相关:你不能信任BitLocker在Windows10上加密你的SSD
... 微软推荐BitLocker作为系统密钥的替代品。但你有什么选择?我们来看看。 ...
...、最快的方法之一。Windows10内置了一个驱动器加密程序。BitLocker是一种可供Windows 10 Pro、企业和教育用户使用的全驱动器加密工具。 ...
... 如果您使用Windows 10 Professional,则可以访问BitLocker,这是Microsoft的加密工具。您可以通过在“开始”菜单中搜索BitLocker并打开“管理BitLocker”选项来检查它是否已启用。如果未启用BitLocker off,则会显示它。 ...
...在Windows 10上,Personal Vault将这些文件存储在硬盘驱动器的BitLocker加密区域。即使您有Windows 10 Home并且不使用BitLocker进行其他操作,此功能也可以正常工作。微软说你的文件在微软的服务器上也是加密的。 存储在个人保险库中的...
BitLocker是Windows内置的加密技术,最近受到了一些欢迎。最近的一次攻击显示,移除了一台计算机的TPM芯片以提取其加密密钥,许多硬盘驱动器正在破坏BitLocker。以下是避免BitLocker陷阱的指南。 请注意,这些攻击都需要物理访问...
...些固态硬盘宣传支持“硬件加密”。如果在Windows上启用BitLocker,Microsoft会信任您的固态硬盘,不会做任何事情。但研究人员发现,许多固态硬盘的工作非常糟糕,这意味着BitLocker无法提供安全的加密。 更新:微软已经发布了关...
...s 7、8或10的专业版、企业版或教育版,则可以启用可选的BitLocker加密来保护您的设备。如果您使用的是这些更昂贵的Windows版本,并且已设置BitLocker,则假设您使用了强密码,则您的数据将是安全的。 您可以通过进入“控制面板...
...这些数据。 微软很早以前就在Windows中添加了一个名为“BitLocker”的磁盘加密功能,但是如果你使用Windows的家庭版,你就太倒霉了。当然,除非你愿意升级到专业版。 相关:如何在Windows10上启用全磁盘加密 只有WindowsProfessional包...
BitLocker是一个内置于Windows的工具,可以对整个硬盘进行加密以增强安全性。下面是如何设置它。 当TrueCrypt有争议地关闭商店时,他们建议他们的用户从TrueCrypt过渡到使用BitLocker或Veracrypt。BitLocker在Windows中已经存在了足够长的...