[資安小常識] BitLocker 徹底保護你的硬碟/隨身碟資料
作者:資安顧問 Taien
當年某男星送修電腦的事情彷彿一場夢一樣轉眼間快三年了,這個教訓讓許多人在修電腦的時候都特別注意自己的私密資料是否安全,麻煩的是需要透過特殊的抹除軟體或是第三方加密軟體來達到保護的效果,為什麼 Windows 沒有這個功能,而 BitLocker 正好在大家期望下所問世…
BitLocker
以往 Windows 使用者如果要保護電腦資料,只能透過內建加密檔案系統或是第三方軟體來保護電腦資料,可惜的是 Windows 內建加密系統不能對整個硬碟做加密,因此如果有心人士想要破解還是有地方可以鑽,然第三方廠商所開發的加密軟體則是因為各家不同的實作,因此最常遇到的問題就是如果要讀取資料還需另外安裝外掛造成不便。
因此微軟在 Windows Vista 內建了磁碟加密解決方案也就是 BitLocker,而 BitLocker 也在 Windows 各個版本中也持續的改進,如下
作業系統/版本 | BitLocker功能 |
Windows Vista | 僅可加密本機系統磁碟(通常為 C 槽) |
Windows Vista SP1 | 可保護所有本機磁碟 |
Windows 7 企業版/旗艦版 | 可保護所有本機磁碟可對 USB 快閃磁碟機及外接式硬碟進行加密 |
現在的 BitLocker 已經能提供相當完整的功能,它有幾個特色
完整磁碟機加密,透過 BitLocker 可以對整個硬碟做加密,有心人士無法藉由透過其他作業系統,或是其它軟體來讀取到機密資料。
早期開機元件的完整性檢查 ( Integrity checking of early boot components ),BitLocker 為在 BIOS 開機時期進行檢查,以確保系統不被竄改,待完整性檢查無誤與拿到正確的金鑰後系統才會開始解密。
冷開機攻擊保護 (cold boot attacks),透過 PIN 碼或是有金鑰的USB裝置來讓系統開機或從休眠甦醒。
簡化硬碟回收作業,在以往硬碟更換時,總是要小心硬碟機敏資訊被還原回來,按造美國國安局 NSA 規範至少要複寫 7 次才算安全,而對於被 BitLocker 加密過的硬碟只需要將解密的金要移除即可,回收到的人沒有解密金鑰完全無從下手。
擴大加密裝置,除了加密保護本機硬碟還可以加密 USB 快閃磁碟機及外接式硬碟。
Windows7BitLocker 介紹
1.本機系統碟加密
在磁碟上按右鍵點選開啟 BitLocker
BitLocker 系統準備檢查畫面,如果您的電腦是出現找不到 TPM 模組,請參考最後的附件,這個部分檢查完會重新開機才正是進入加密的設定
這裡我們示範沒有 TPM 模組的加密方式,因為沒有 TPM 所以我們目前不能設定PIN,而且我們必須準備一支 USB 裝置來儲存啟動金鑰,而因為我們是將啟動金鑰儲在 USB,因此之後開機都必須有支設備,否則便會出現「需要 Windows BitLocker 磁碟機加密金鑰-插入金鑰儲存媒體」的訊息,好那…我們準備好 USB 就可以開始了
選擇儲存的 USB 設備
選擇[將修復金鑰儲存到 USB 快閃磁碟機中]
加密磁碟前需要檢查系統的狀況是否都設定好
接下來重新啟動系統,加密的動作就會開始
加密完成後,我們可以看到 C 磁碟多了一個鎖,便完成了加密動作,這是就算是拿到其它硬碟沒有金鑰也無法存取裡面資訊。
2.加密隨身硬碟
在 USB 隨身碟按右鍵點選啟用 BitLocker
設定解除 BitLocker 鎖定的密碼,千萬要記得這個密碼,以後要透過這組密碼才可以存取加密的磁碟
修復金鑰正是用在您忘記密碼的時候,所以務必把這組金鑰存好,假設連這組都忘記,那微軟也沒辦法幫你了
加密完硬碟後,可以看到隨身碟上多了鎖,這時只有輸入正確密碼才可以存取設備
加密完的硬碟可以在 Windows Vista 與 Windows 7 正常的存取,在 Windows XP 需要安裝更新才可存取加密的相關檔案。
Windows XP BitLocker To Go 讀取裝置更新檔:
https://www.microsoft.com/downloads/details.aspx?FamilyID=64851943-78c9-4cd4-8e8d-f551f06f6b3d&DisplayLang=zh-tw#filelist
系統安全分析
為了證明加密磁碟的安全性,我透過自己作的電腦鑑識分析光碟裡面的兩套商業軟體 FinalData 與 R-Studio 來嘗試看看是否可以讀取加密碟的檔案,不幸的是 FinalData 連加密硬碟的格式讀取都有點問題,我試著用 R-Studio 來解析加密碟,好不容易掃完的結果卻無法挖掘上面的任何檔案,這也簡單得確認了它的安全性,並印證他說得如果沒有金鑰硬碟就像是新的一樣也簡化了回收程序。
R-Studio 掃描分析被 BitLocker 加密的磁碟
可以看到分析完後在 R-Studio 找不到加密碟裡面的任何資料
補充附件:在沒有 TPM 模組的環境啟用 BitLocker
如果在 USB 裝置按右鍵找不到開啟 BitLocker,或是出現找不到 TPM 請作以下兩個步驟
開始功能表搜尋輸入 gpedit.msc 開啟本機群組原則編輯器
電腦設定>系統管理範本> BitLocker 磁碟機加密
- [設定磁碟機加密方法與加密長度]狀態更改成「已啟用」並選擇加密方法「具有 Diffuser 的 AES 128 位元(預設)」
- 作業系統磁碟機>[啟動時需要其他驗證]狀態更改成「已啟用」並確認在「不含相容 TPM 的情況下允許使用 BitLocker」被勾選
完成這兩個設定後,便可以在沒有 TPM 模組的環境下透過 USB 來加密存取系統碟
結論
BitLocker 幫助使用者從裡到外完整的保護資料,因此如果您的電腦有這個功能,千萬不要吝嗇使用它,它可以幫您保護公司重要機密與私密檔案的最佳拍檔。
參考資料