与其他加密方法相比,BitLocker 的优缺点

  • BitLocker 提供 Windows 内置的全盘加密功能,支持 TPM 和集中管理,是保护计算机和磁盘免遭盗窃的理想选择。
  • 它对性能的影响不大,但需要专业版/企业版和兼容的硬件,这限制了它的普遍使用。
  • 它可以保护驱动器上的静态数据,但不能阻止数据被解密后复制到 USB、电子邮件或云端,因此它不是一个完整的 DLP 解决方案。
  • 在安全共享和严格合规的场景中,建议将 BitLocker 与文件级或容器级加密结合使用。
Joaquin Romero

14分钟

与其他加密方法相比,BitLocker 的优缺点

在讨论 Windows 磁盘加密时,几乎总会提到同一个名字:BitLocker。它是微软的原生选项,也是许多用户的默认选择。但如果您的公司正在考虑使用它,例如用于…… 一个使用U盘和外置硬盘的DLP项目值得仔细研究一下 BitLocker 的功能以及与其他驱动器和文件加密方案相比的局限性。

接下来您将看到非常详细的内容: BitLocker 的工作原理、它提供的真正优势以及它的缺点。 我们将把这项技术与其他技术进行比较,例如 EFS、第三方工具或“便携式”加密解决方案。我们还将探讨其在企业环境中的推荐用途、性能影响、硬件要求,以及将数据移出 BitLocker 驱动器时会发生什么情况。

什么是 BitLocker?它解决了什么问题?

BitLocker 是一个 Windows 内置了完整的卷加密功能 自 Vista 和 Windows Server 2008 起,它的目标简单但至关重要:即使有人偷走了笔记本电脑、取出了磁盘或拿走了 USB 设备,没有密钥、PIN 码或恢复密码,他们也无法读取任何内容。

与其他系统不同,BitLocker 它不会加密单个文件,而是加密整个驱动器。操作系统、用户数据、临时文件,甚至根据需要,已用空间或整个磁盘都受到保护。没有正确的凭据,内容将无法读取,从而提供非常强大的物理安全保障。

这项技术已应用于 Windows 7 旗舰版/企业版、Windows 8.1 专业版/企业版以及 Windows 10 和 11 专业版、企业版和教育版以及最新的 Windows Server 版本(2016、2019、2022)。它不包含在 Windows 家庭版中,这已经凸显了其对家庭用户而言的首要缺点之一。

恶意U盘
相关文章:
保护电脑免受恶意U盘侵害的实用步骤

BitLocker简史及发展历程

BitLocker 最早出现于 Windows Vista 和 Windows Server 2008这是微软针对日益严重的笔记本电脑被盗和敏感信息泄露问题所采取的回应。自那时起,每个版本的Windows都对其功能、加密方法以及最重要的——与安全硬件的集成——进行了改进。

随着时间的推移,又增加了更多。 高级 TPM 支持,改进了与 Active Directory 和 Microsoft Entra ID 的集成兼容新的 AES-XTS 加密模式、域环境中的网络解锁选项,以及改进使用 BitLocker To Go 的可移动驱动器的体验。

如今,BitLocker 已成为许多组织安全策略的关键组成部分。 遵守诸如GDPR之类的法规。 或要求对个人或机密数据(尤其是在移动设备上)进行加密的行业法律。

BitLocker 的工作原理:加密、TPM 和安全启动

BitLocker 的核心是算法 采用 128 位或 256 位密钥的 AES(高级加密标准)它可以以 AES-CBC 等模式运行,或者在现代版本中以 XTS-AES 模式运行,以更好地抵抗某些磁盘攻击。

在驱动器上启用 BitLocker 时,它会生成一个 主音量键 实际上,它会对数据进行加密。而这个密钥又受到其他密钥和凭证(例如 TPM、PIN 码、密码、USB 启动盘等)的保护。用户永远不会直接接触主密钥:交互是通过密码、PIN 码或恢复文件进行的。

模块 TPM(可信平台模块) 它在兼容设备中扮演着核心角色。它是一个加密芯片,用于安全地存储密钥并验证启动完整性。BitLocker 将解密密钥链接到 TPM 和某些平台配置寄存器 (PCR)。如果有人尝试在另一台计算机上启动磁盘或更改关键启动组件,TPM 将不会释放密钥。 BitLocker进入恢复模式请求输入 48 位代码。

此外,BitLocker 依赖于 UEFI 系统典型的分区结构: 启动 EFI 分区、保留分区 (MSR)、操作系统分区,以及可选的恢复分区启动分区未加密,但操作系统分区已加密;TPM 会验证整个启动流程是否与当时加密的内容相符,以决定是否释放密钥。

轻松使用 BitLocker 的要求

要充分利用 BitLocker 的各项功能,您的计算机必须满足相应的要求。 某些硬件和固件要求:

  • TPM 1.2 或 2.0 如果要使用基于 TPM 的身份验证和安全启动,则需要在 BIOS/UEFI 中安装并启用该功能。
  • TCG兼容的UEFI或BIOS固件这样一来,就可以在一开始就建立起信任链。
  • UEFI启动模式 (尤其是 TPM 2.0),避免使用可能破坏与 PCR 7 连接的旧模式或 CSM。
  • 合适的分区方案至少需要一个独立的系统驱动器(NTFS)和一个启动驱动器(UEFI 使用 FAT32,BIOS 使用 NTFS)。
  KeePassXC:一款开源的密码管理替代方案

理论上,无需TPM即可激活BitLocker,仅使用TPM即可。 USB上的密码或启动密钥然而,这样会损失大部分启动完整性保护。在企业环境中,除非在非常特殊的情况下,否则放弃 TPM 通常被认为是一种不良做法。

BitLocker 中的身份验证、密钥和恢复

BitLocker 支持不同的 预启动认证方法 操作系统单元:

  • 仅限 TPM(如果设备未被篡改,则对用户透明启动)。
  • TPM + 数字 PIN(多因素身份验证(硬件 + 你知道的东西)。
  • TPM + USB启动密钥。
  • 在没有TPM的情况下,仅支持密码或仅支持USB。

此外,对于任何受保护的卷, 48 位恢复密钥这把钥匙可以:

  • 保存到文件(U盘、未加密磁盘)。
  • 需打印并妥善保存。
  • 登上 Microsoft 帐户或 Microsoft 登录 ID 在云端连接的设备上。
  • 存储在本地域环境中的 Active Directory 中。

与其他加密方法相比,BitLocker 的优缺点

BitLocker To Go:USB 和可移动驱动器的加密

BitLocker To Go 是该技术的扩展, 可移动存储设备,例如U盘和外置硬盘行为类似:启用后,整个卷将被加密,只能通过输入密码、使用智能卡或在某些情况下将其与 TPM 关联来访问。

从数据丢失防护(DLP)项目的角度来看,这具有重要的意义: 任何外部驱动器都可以使用 BitLocker 和简单的密码进行加密,即使在非托管计算机上也是如此。换句话说,用户可以在自己的电脑上加密 USB 驱动器,然后将其带到公司,反之亦然,这使得仅凭 BitLocker 的存在很难控制信息的流动。

此外,还必须考虑到: 设备安装并解锁后系统以明文形式处理这些文件。BitLocker 可以保护设备上“静态”存储的内容,但它并不能阻止用户将这些数据复制到其他未加密的介质上、将其作为附件添加到电子邮件中,或者在没有额外保护的情况下将其上传到云端。

BitLocker 与 EFS 及其他 Windows 加密技术

在 Windows 生态系统中,最好不要混淆概念:除了 BitLocker 之外,还有 EFS(加密文件系统)这是一种文件和文件夹级别的加密,使用用户证书,并且仅适用于 NTFS 卷。

BitLocker 会对整个驱动器进行加密,主要防止…… 未经授权的物理访问 (磁盘、设备、U盘等被盗),EFS 专注于确保只有拥有特定证书的特定用户或帐户才能在运行的系统中打开特定文件。

其中有几个关键的细微差别:

  • Al 将文件从 BitLocker 驱动器复制到未加密的 USB 驱动器,通过电子邮件发送,或上传到云端。数据以解密形式输出:保护措施在磁盘上,而不是在单个文件上。
  • 使用 EFS 时,如果您将加密文件复制到 FAT32 或 exFAT USB 驱动器,系统也会对其进行加密。 自动解密 因为这些文件系统不支持 EFS;在 NTFS 闪存驱动器上,它可以保持加密状态,但只有拥有相应证书的用户才能读取。
  • 通过与……同步 OneDrive、Google Drive、Dropbox 或其他服务EFS 文件以解密形式上传;云端不会保留 EFS 保护,但会对静态文件应用自己的加密。

总而言之,BitLocker 和 EFS 都是如此。 它们在 Windows 系统中对“静态数据”的保护非常到位。然而,它们并非“便携式”加密或安全交换解决方案。为此,需要使用诸如……之类的工具。 VeraCrypt使用 Cryptomator 或 7-Zip/ZIP 文件,并采用 AES 加密和强密码。

BitLocker 相对于其他驱动器加密系统的优势

BitLocker具有多项优势,这解释了它在专业环境中的广泛应用。其中包括: 最相关的优势 众多第三方替代方案包括:

  • 与 Windows 的原生集成它无需安装额外的软件,即可随系统自动更新,并与微软安全策略集成。
  • 集中管理在域中,可以通过组策略、Active Directory、Microsoft Entra ID 以及 Intune 等管理工具或使用其 API 的第三方解决方案进行控制。
  • 零额外成本 在专业版/企业版/教育版中:与付费加密产品不同,BitLocker 已包含在内。
  • 全盘加密它既保护用户数据和系统文件,也保护临时文件和可用空间,这使得从取证过程中恢复信息残留变得复杂。
  • TPM的使用 为了加强安全性:将密钥与硬件和启动状态关联起来,可以降低攻击移除磁盘并将其挂载到另一台计算机上的可能性。
  • 对性能的影响中等在目前具备加密加速功能的硬件中,CPU 和 I/O 开销通常很低,对于大多数用户来说几乎感觉不到。
  • 与高级功能的兼容性例如,对已启用域的计算机进行网络解锁、系统和数据卷保护、VHD/VHDX 支持以及在虚拟机环境中使用。
  一次性软件测试方法及其对数字垃圾的影响

BitLocker 的局限性和缺点

当然,并非一切都尽如人意。在将 BitLocker 与其他加密系统进行比较时,必须考虑多个因素。 一些缺点和限制 这在某些情况下可能起到决定性作用:

  • 每版数量有限如果您使用的是 Windows 10/11 家庭版,则无法使用标准版 BitLocker。这导致许多家庭用户无法使用此功能,除非他们升级到更高版本。
  • 对兼容硬件的依赖要充分发挥TPM、安全启动、网络解锁等技术的潜力,您需要现代化且配置完善的设备。在混合系统或老旧系统中,这些技术的实施可能参差不齐。
  • 因钥匙丢失而被锁在门外的风险如果恢复密钥丢失,且未在 AD、Entra ID、外部文件或纸质文件中进行备份,则数据将无法恢复。
  • 硬件变更或升级可能出现的问题某些主板、固件或 UEFI 配置更改可能会触发恢复模式。有时,在更新 BIOS 或执行 Windows 重大升级时,需要暂时禁用 BitLocker。
  • 与其他操作系统的有限兼容性从 Linux 或 macOS 访问 BitLocker 驱动器需要特定的工具,但支持程度不一,这使得异构环境变得复杂。
  • 对绩效影响的感知 在较旧或低端设备上:即使经过优化,加密/解密也会消耗 CPU 和 I/O;这在配置一般的硬件上可能会更加明显。
  • 它本身并不是一个数据防泄漏解决方案。它会对设备进行加密,但无法控制解锁后信息的传输路径。它无法阻止用户将数据复制到未加密的介质或上传到外部服务。
  • 可能与某些工具不兼容一些较旧的备份实用程序、防病毒程序或启动管理器可能会干扰 BitLocker 或您的安全启动链。

启用和禁用 BitLocker:图形界面和 CMD

在兼容的计算机上,启用 BitLocker 相对简单。通过图形界面,可以通过以下方式完成…… 控制面板 > 系统和安全 > BitLocker 驱动器加密选择要加密的单元并定义解锁方法(密码、PIN 码、TPM、USB 等)。

在向导过程中,系统会询问 保存恢复密钥 (在 Microsoft 帐户、文件、Active Directory 中,或者打印出来……)它允许您选择仅加密已用空间或加密整个磁盘。此外,它还提供在开始加密之前执行系统检查的选项,以验证计算机在启用 BitLocker 的情况下能否正常启动。

为什么要启用 BitLocker 驱动器加密?
相关文章:
BitLocker 驱动器加密:为什么要启用硬件加速

从命令行,使用 manage-bde.exe可以执行高级任务:启用指定驱动器的加密、添加或更改解锁密码、生成恢复密钥、锁定或解锁卷、暂停更新保护等。这在自动化部署或管理脚本中尤其有用。

禁用 BitLocker 涉及 解读该单元这可以通过 BitLocker 控制面板(使用“禁用 BitLocker”选项)或通过命令提示符完成。在大容量硬盘上,此过程可能需要一些时间,但完成后,数据将被解密,硬盘将像其他未加密的硬盘一样运行。

对性能、加密时间和操作行为的影响

人们普遍担心 BitLocker 会给电脑造成多大的“负担”。实际上, 配备支持 AES 加速的 CPU 的现代计算机影响通常很小:加密是在块级别进行的,系统只对实际读取或写入的内容进行加密/解密。

  Windows 11 中的图形设计:最推荐的应用套件

El 初始加密 是的,这可能需要一些时间,特别是如果您选择加密整个磁盘而不是仅加密已用空间。具体时间取决于磁盘容量和速度,可能需要几分钟或几小时。如果加密过程因断电而中断,计算机重新启动后,加密将继续进行,不会丢失任何数据。

BitLocker并非每次读取或写入数据时都会重新加密所有内容: 它能实时处理特定领域的数据。它也不妨碍使用卷快照等功能。 备用 或者VHD,前提是软件兼容。

企业环境中的 BitLocker:部署、管理和数据防泄漏

在组织中,BitLocker 的优势在于它可以…… 自动化几乎整个加密生命周期激活、PIN 码复杂度策略、AD 或 Entra ID 中的密钥备份、计划暂停更新等。

例如,可以使用 GPO 或 Intune 来实现。 强制系统所有单元加密要求笔记本电脑配备 TPM+PIN,规定恢复密钥自动保存在 Active Directory 中,并阻止用户将数据存储在未加密的磁盘上。

在已加入 Microsoft Enter ID 的设备上,Windows 尝试 将恢复密钥上传到企业云如果策略要求,则在无法复制该密钥的情况下不会恢复保护,这使得 Entra ID 成为中央恢复存储库。

然而,从纯粹的数据防泄漏角度来看,BitLocker 存在不足: 它既不分析内容,也不阻止通过电子邮件、云端或应用程序进行的窃取。它也无法控制用户登录后的数据使用。因此,在数据防泄漏 (DLP) 项目中,BitLocker 通常只是其中的一部分,负责保护设备,而数据流控制则留给特定的 DLP 或云访问安全代理 (CASB) 解决方案。

除了 BitLocker 之外,何时建议使用其他加密解决方案?

有些情况下,虽然 BitLocker 在保护磁盘方面表现出色,但最好还是…… 此外,还可以在文件或容器级别添加额外的加密。 在数据离开驱动器时保持保护。

以下是一些便携式加密工具大显身手的实际例子:

  • 通过电子邮件发送高度敏感的文件,或通过云服务共享这些文件。
  • 在以下情况下传输数据 USB 驱动器 FAT32 或 exFAT 他将效力于许多不同的球队。
  • 将关键信息上传到 OneDrive、Google Drive 或 Dropbox 等平台,确保 它只能在授权设备上解密。.

在这种情况下,通常会采取以下措施:

  • 加密容器,例如 VeraCrypt 或 Cryptomator创建一个大型文件,该文件充当加密的“虚拟磁盘”;无论该文件位于何处,保护功能都会随之转移,而与文件系统无关。
  • 使用真正的 AES-256 加密的 7-Zip/ZIP 压缩文件 而且需要设置强密码,而不仅仅是“密钥保护”。如果配置得当,只要密码足够长且复杂,它们就能提供非常可靠的保护。
  • 具备端到端加密的云服务数据在离开设备前会被加密,并且只有在授权客户端上才能解密。

这样,即使 BitLocker 继续在设备上发挥其作用,数据也能得到妥善保护。 第二层加密独立于操作系统 当它们被移动或共享时。

相关文章:
我们为什么要加密USB随身碟上的信息

总的来说,BitLocker 的优势非常明显:它提供非常强大的全盘加密,深度集成到 Windows 系统中,支持 TPM,集中管理,并且对性能的影响也比较合理,因此对于企业笔记本电脑、存储敏感数据的计算机以及在被盗或丢失时不应受到损害的外部驱动器来说,它几乎是必备之选。

同时,BitLocker 家庭版的局限性、对兼容硬件的依赖性、恢复密钥丢失的风险,以及最重要的是,它无法阻止数据被解密并通过 USB、电子邮件或云端发送,使得许多安全和数据防泄漏 (DLP) 项目中必须使用额外的策略、控制措施,并在必要时使用文件级或容器级加密解决方案来补充 BitLocker,从而在磁盘之外提供更全面的保护。请分享此信息,以便其他用户了解此问题。