如何使用 BitLocker 加密磁盘并保护数据

如何使用 BitLocker 加密磁盘并保护数据

2024年5月1日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师启用、配置和管理 BitLocker(Microsoft 的全磁盘加密解决方案)。保护静态数据是信息安全的基础,尤其是笔记本电脑和平板电脑等移动设备上的数据,这些设备很容易被盗或丢失。 BitLocker 有助于降低物理设备受损时未经授权的数据访问的风险 [1]。

简介

随着劳动力流动性的增加以及存储敏感信息的设备的激增,磁盘加密已成为不可或缺的安全措施。 BitLocker 内置于 Windows 操作系统中,提供了一种强大的方法来加密整个卷,确保没有正确解密密钥的任何人都无法读取数据。这对于满足合规性要求和保护知识产权至关重要[2]。

本实用指南将涵盖在不同场景(操作系统驱动器和固定/可移动数据驱动器)中启用 BitLocker、管理恢复密钥、验证加密状态以及在企业环境中部署 BitLocker 的最佳实践。将提供分步说明、实际命令和说明,以便读者能够有效地实施和管理磁盘加密、保护静态数据并加强组织的安全态势。

为什么使用 BitLocker?

  • 静态数据保护:确保存储在硬盘驱动器上的数据免受未经授权的访问,即使设备被盗或丢失也是如此。
  • 合规性:帮助满足需要数据加密的法规和合规性要求(例如 HIPAA、GDPR、LGPD)。
  • 与 Windows 集成:作为 Windows 的一个组成部分,它提供了简化的管理体验以及与其他 Microsoft 工具的集成。
  • 违规预防:防止攻击者通过启动替代操作系统或删除硬盘来访问敏感数据。

先决条件

要启用和配置 BitLocker,您将需要以下项目:

  1. Windows 版本:BitLocker 在 Windows 10 和 11 的专业版、企业版和教育版中可用。家庭版有一个更基本的版本,称为“设备加密”[3]。
  2. TPM(可信平台模块):对于操作系统驱动器加密,强烈建议使用 TPM 版本 1.2 或更高版本(并且通常需要自动激活)。 TPM 是一种微芯片,用于存储加密密钥并帮助验证系统完整性 [4]。
  3. 管理权限:在设备上具有本地管理员权限的帐户。
  4. 恢复密钥:存储 BitLocker 恢复密钥的安全位置(Microsoft 帐户、文件、USB 或 Azure AD/Active Directory)。

分步:启用和配置 BitLocker

让我们介绍一下为操作系统驱动器和数据驱动器启用 BitLocker。

1. 检查 TPM 状态

验证 TPM 是否已启用并可供使用非常重要,特别是对于操作系统驱动器。

  1. 按“Win + R”,输入“tpm.msc”,然后按“Enter”。
  2. 在 TPM 管理窗口中,检查 TPM“状态”和“版本”。
    • 如果状态为“TPM 已准备好使用”,您可以继续。
    • 如果没有,您可能需要在计算机的 BIOS/UEFI 中启用它。

2. 为操作系统驱动器启用 BitLocker

这是保护笔记本电脑或台式机的最常见方法。

  1. 打开控制面板
  2. 导航到 系统和安全 > BitLocker 驱动器加密

  3. 在“操作系统驱动器”部分中,单击 C: 驱动器的“启用 BitLocker”。

  4. BitLocker 向导将启动。选择您想要如何备份恢复密钥:

    • 保存到您的 Microsoft 帐户:推荐家庭用户。密钥存储在您的在线 Microsoft 帐户中。
    • 保存到文件:将密钥保存到文件的文本。确保将其存储在安全的位置(例如单独的 USB 驱动器、安全的网络共享)。
    • 打印恢复密钥:打印密钥。将其存放在安全的物理位置。
    • 企业提示:在企业环境中,恢复密钥应通过 GPO 或 Intune 自动存储在 Azure ADActive Directory 域服务 (AD DS) 中,以进行集中管理 [5]。

  5. 选择如何加密您的驱动器:

    • 仅加密已使用的磁盘空间:最快,非常适合新驱动器或空驱动器。
    • 加密整个驱动器:速度较慢,但​​可确保所有数据(包括已删除的数据)都被加密。建议用于具有现有数据的驱动器。

  6. 选择加密模式:

    • 新加密模式 (XTS-AES):推荐用于固定驱动器。
    • 兼容模式 (AES-CBC):适用于可在旧系统上使用的可移动驱动器。

  7. 确认设置并单击“开始加密”。

  8. BitLocker 将需要重新启动才能开始加密过程。重新启动后,加密将在后台继续。

3. 为数据驱动器启用 BitLocker(固定驱动器和可移动驱动器)

该过程类似,但解锁选项有所不同。

  1. 打开 控制面板 > 系统和安全 > BitLocker 驱动器加密
  2. 在“固定数据驱动器”或“可移动驱动器”部分中,单击所需驱动器的“启用 BitLocker”。

  3. 选择如何解锁驱动器:

    • 使用密码解锁驱动器:设置密码以访问驱动器。
    • 使用智能卡解锁设备:需要智能卡。
    • 在此计算机上自动解锁:对于固定驱动器,允许在操作系统启动时自动解锁驱动器(如果操作系统驱动器也使用 BitLocker 加密)。

  4. 备份恢复密钥(按照第 2 节中描述的选项)。

  5. 选择加密类型和模式并启动该过程。

4.管理 BitLocker 恢复密钥

恢复密钥对于在出现问题(忘记密码、TPM 故障等)时访问数据至关重要。

  1. 控制面板 > 系统和安全 > BitLocker 驱动器加密
  2. 单击“将恢复密钥备份到所需的驱动器”。

  3. 您可以保存到文件、打印或再次保存到 Microsoft 帐户。

  4. 检查状态并获取密钥 ID 的命令:打开命令提示符(管理员)并运行: cmd 管理 bde 状态 ```` 要获取恢复密钥 ID:cmd 管理-bde-保护器C:-get ```` “密钥 ID”可用于在 Azure AD 或 Active Directory 中查找恢复密钥。

验证和测试

验证 BitLocker 是否处于活动状态并正常工作至关重要。

1. 检查加密状态

  1. 打开文件资源管理器

  2. 您应该在加密驱动器上看到一个锁定图标,表明 BitLocker 处于活动状态。

  3. 打开命令提示符(管理员)并运行“manage-bde -status”命令。

  4. 验证“转换状态”为“完全加密”,“保护状态”为“已启用保护”。

2. 测试恢复密钥

  1. 模拟恢复情况:在测试环境中或出于谨慎考虑,您可以尝试在BIOS/UEFI中暂时禁用TPM或将磁盘移至另一台计算机。
  2. 当您启动 Windows 时,BitLocker 应进入恢复模式并要求恢复密钥。
  3. 输入您保存的恢复密钥以检查其是否有效。

安全提示和最佳实践

  • 集中管理:在企业环境中,使用 Microsoft Intune 或组策略对象 (GPO) 集中管理 BitLocker,包括强制执行加密策略以及自动将恢复密钥备份到 Azure AD 或 AD DS [5]。
  • 安全密钥存储:切勿将恢复密钥存储在正在加密的同一磁盘上。使用单独的安全位置,例如密码库、来自加密 USB 或目录服务。
  • TPM 至关重要:优先考虑具有 TPM 2.0 的设备,以获得更高的安全性和更轻松的 BitLocker 管理。
  • 预启动 PIN/密码:为了提高操作系统驱动器的安全性,除了 TPM 之外,还可以考虑设置预启动 PIN 或密码。这要求用户在 Windows 加载之前输入 PIN,以防止冷启动攻击。
  • 可移动驱动器加密:鼓励或要求对可能包含敏感数据的所有可移动驱动器(USB、外部硬盘)进行加密。
  • 定期审查:定期检查设备的加密状态以及恢复密钥的可访问性。
  • 用户教育:教育用户了解 BitLocker 的重要性、如何管理其恢复密钥以及遇到问题时该怎么办。

常见故障排除

  • BitLocker 未激活:检查 TPM 是否已激活并在 BIOS/UEFI 中正确配置。确保磁盘具有 EFI/UEFI 系统分区(如果是操作系统驱动器)。检查可能阻止激活的组策略。
  • 启动时要求恢复密钥:如果硬件发生更改(例如 BIOS/UEFI 更新、主板更改)或 TPM 已禁用,则可能会发生这种情况。输入恢复密钥。如果频繁发生,请调查根本原因(例如 TPM 不稳定、硬件问题)。
  • 丢失恢复密钥:如果恢复密钥丢失并且在可访问位置没有备份,则加密驱动器上的数据可能无法恢复。这就是为什么安全备份如此重要。
  • 性能下降:实时加密和解密可能会导致性能小幅下降,尤其是在较旧的硬件上。确保硬件满足性能要求。
  • GPO/Intune 问题:如果通过 GPO 或 Intune 管理 BitLocker 并且存在问题,请检查策略实施、设备上的事件日志以及与 Azure AD/AD DS 的连接以进行密钥备份。

结论

使用 BitLocker 进行磁盘加密是保护 Windows 设备上静态数据的强大而重要的工具。通过实施 BitLocker,组织可以确保敏感信息在硬件被盗、丢失或处置不当时不会受到未经授权的访问。正确的配置、恢复密钥的安全管理以及遵守最佳实践对于最大限度地提高 BitLocker 的有效性至关重要。通过本指南,安全分析师、IT 管理员和系统工程师将能够加强其环境中的数据安全性,从而有助于建立符合当前要求的更强大的安全态势。

参考资料:

[1] 微软学习。 BitLocker 概述。位于:https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] 微软学习。 BitLocker 规划指南。位于:https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] 微软学习。 Windows 上的设备加密。网址:[https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] 微软学习。 可信平台模块技术概述。网址:https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] 微软学习。 备份 BitLocker 恢复密钥。网址:[https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage](https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage)