BitLocker是Windows內建的加密技術，最近受到了一些歡迎。最近的一次攻擊顯示，移除了一臺計算機的TPM晶片以提取其加密金鑰，許多硬碟驅動器正在破壞BitLocker。以下是避免BitLocker陷阱的指南。

請注意，這些攻擊都需要物理訪問您的計算機。這就是加密的全部意義，以阻止小偷誰偷了你的膝上型電腦或有人獲得訪問你的臺式電腦檢視你的檔案沒有你的許可。

標準bitlocker在windows home上不可用

雖然幾乎所有現代消費類作業系統都預設提供加密功能，但Windows 10仍不能在所有PC上提供加密功能。Mac、Chromebook、iPad、iPhone甚至Linux發行版都為所有使用者提供加密功能。但微軟仍然沒有將BitLocker與Windows10Home捆綁在一起。

有些電腦可能會附帶類似的加密技術，微軟最初稱之為“裝置加密”，現在有時稱之為“BitLocker裝置加密”。我們將在下一節中介紹這一點。但是，這種裝置加密技術比完整的BitLocker更為有限。

攻擊者如何利用此漏洞：不需要利用漏洞！如果您的Windows Home PC未加密，攻擊者可以刪除硬碟驅動器或啟動PC上的其他作業系統來訪問您的檔案。

解決方案：支付99美元升級到Windows10Professional並啟用BitLocker。您還可以考慮嘗試另一種加密解決方案，如免費的TrueCrypt的繼承者VeraCrypt。

相關報道：為什麼其他人都贈送加密軟體，微軟卻要收100美元？

bitlocker有時會將您的金鑰上載到microsoft

許多現代Windows 10 PC都帶有一種名為“裝置加密”的加密型別。如果您的PC支援這種加密，則在您使用Microsoft帳戶（或公司網路上的域帳戶）登入PC後，它將自動加密。然後，恢復金鑰將自動上載到Microsoft的伺服器（或域上組織的伺服器）。

這可以防止您丟失檔案，即使您忘記了Microsoft帳戶密碼並且無法登入，您也可以使用帳戶恢復過程並重新獲得對加密金鑰的訪問。

攻擊者如何利用此漏洞：這比不加密要好。然而，這意味著微軟可能會被迫向**公開你的加密金鑰。或者，更糟糕的是，攻擊者理論上可能濫用Microsoft帳戶的恢復過程來訪問您的帳戶和加密金鑰。如果攻擊者對您的電腦或其硬碟有物理訪問許可權，則他們可以使用該恢復金鑰解密您的檔案，而不需要您的密碼。

解決方案：支付99美元升級到Windows10Professional，透過控制面板啟用BitLocker，並在出現提示時選擇不將恢復金鑰上載到Microsoft伺服器。

相關：如何在Windows10上啟用全磁碟加密

許多固態驅動器破壞了bitlocker加密

一些固態驅動器宣傳支援“硬體加密”。如果您在系統中使用這樣的驅動器並啟用BitLocker，Windows將信任您的驅動器來執行此任務，而不執行通常的加密技術。畢竟，如果硬碟可以在硬體上完成工作，那應該會更快。

只有一個問題：研究人員發現，許多固態硬碟無**確實現這一點。例如，關鍵的MX300在預設情況下用空密碼保護您的加密金鑰。Windows可能會說BitLocker已啟用，但實際上它在後臺的作用可能不大。這很可怕：BitLocker不應該默默地信任SSD來完成這項工作。這是一個較新的功能，因此此問題隻影響Windows 10而不影響Windows 7。

攻擊者如何利用此漏洞：Windows可能會說BitLocker已啟用，但BitLocker可能袖手旁觀，讓您的SSD無法安全加密您的資料。攻擊者可能會繞過固態驅動器中執行不正確的加密來訪問您的檔案。

解決方案：將Windows組策略中的“配置對固定資料驅動器使用基於硬體的加密”選項更改為“已禁用”。您必須先解除加密，然後重新加密驅動器，此更改才能生效。BitLocker將停止信任驅動器，並將用軟體而不是硬體完成所有工作。

相關：你不能信任BitLocker在Windows10上加密你的SSD

可以移除tpm晶片

一位安全研究員最近演示了另一次攻擊。BitLocker將加密金鑰儲存在計算機的Trusted Platform Module（TPM）中，TPM是一種特殊的硬體，應該是防篡改的。不幸的是，攻擊者可以使用一塊27美元的FPGA板和一些開原始碼從TPM中提取它。這將破壞硬體，但允許提取金鑰並繞過加密。

攻擊者如何利用此漏洞：如果攻擊者擁有您的PC，理論上他們可以透過篡改硬體和提取金鑰繞過所有這些奇特的TPM保護，這是不可能的。

解決方案：將BitLocker配置為需要組策略中的預引導PIN。“Require startup PIN with TPM”選項將強制Windows在啟動時使用PIN來解鎖TPM。當你的電腦在Windows啟動前啟動時，你必須輸入一個PIN。但是，這將透過附加保護鎖定TPM，攻擊者在不知道您的PIN的情況下無法從TPM中提取金鑰。TPM可防止暴力攻擊，因此攻擊者不僅能夠逐個猜測每個PIN。

相關：如何在Windows上啟用預引導BitLocker PIN

休眠PC更容易受到攻擊

Microsoft建議在使用BitLocker時禁用睡眠模式以獲得最大的安全性。休眠模式很好，當你從休眠狀態喚醒電腦或正常啟動電腦時，你可以讓BitLocker需要一個PIN。但是，在睡眠模式下，電腦仍保持開機狀態，其加密金鑰儲存在RAM中。

攻擊者如何利用此漏洞：如果攻擊者擁有你的電腦，他們可以喚醒它並登入。在Windows10上，他們可能需要輸入一個數字PIN。透過物理訪問您的PC，攻擊者還可以使用直接記憶體訪問（DMA）來獲取系統RAM的內容並獲取BitLocker金鑰。攻擊者還可以執行冷啟動攻擊重新啟動正在執行的PC並在金鑰消失之前從RAM中獲取金鑰。這甚至可能涉及到使用冷凍機來降低溫度和減緩這一過程。

解決方法：休眠或關閉你的電腦，而不是讓它睡著。使用預引導PIN使引導過程更安全，並阻止冷引導攻擊如果BitLocker設定為在引導時需要PIN，則從休眠恢復時BitLocker也需要PIN。Windows還允許您透過組策略設定“在鎖定此計算機時禁用新的DMA裝置”，即使攻擊者在您的電腦執行時獲取它，也可以提供一些保護。

相關：你應該關閉，睡眠，或休眠你的膝上型電腦？

如果您想進一步瞭解這個主題，Microsoft在其網站上提供了保護Bitlocker的詳細文件。