我主要使用 Ubuntu 多年,現在必須使用 Windows 11 Pro。
我有一台帶有 TPM 2.0 的機器,因此 Microsoft 網站/Windows 11 告訴我,現在裝置(我希望是磁碟?!)已加密。
但是,我不明白如果整個 SSD 都被加密(至少是我想要實現的),我如何才能到達 Windows 登入畫面?在沒有金鑰的情況下如何能夠讀取作業系統來解密磁碟上的內容?
或者我只是誤解了「設備加密」的實際作用?
答案1
但是,我不明白如果整個 SSD 都被加密(至少是我想要實現的),我如何才能到達 Windows 登入畫面?在沒有金鑰的情況下如何能夠讀取作業系統來解密磁碟上的內容?
它做有鑰匙。 BitLocker 加密金鑰不是基於您的登入密碼 - 它是完全獨立的,非常類似於 Ubuntu 上的 LUKS 密碼。
從本質上講,Windows 上的 BitLocker 的工作方式幾乎與 Ubuntu 上的 LUKS 完全相同。它在每個分割區上工作(不是在整個磁碟層級),因此整個作業系統分割區都被加密,但作業系統的一小部分是加密的不是加密1並儲存在不同的分割區上,這就是為什麼提示您輸入「磁碟」密碼的原因,或使用 TPM 自動檢索它。
當「裝置加密」處於活動狀態時,磁碟密碼將使用 TPM 進行加密(「密封」)並儲存在磁碟的 BitLocker 元資料中。當系統啟動時,Windows 引導程式會解封密碼(即要求 TPM 解密)並且能夠解鎖加密的 C:\ 卷前載入作業系統。
當您出現作業系統登入提示時,一切都已解鎖。
(在 Linux 上使用 也可以實現相同的效果systemd-cryptenroll,它使用TPM 來密封LUKS 密鑰並將其作為「令牌」儲存在LUKS2 標頭中。在這種情況下,未加密的Linux 核心+ initrd 會提示輸入密碼或與TPM。
BitLocker 的完整版本(在「Pro」和更高版本的 Windows 中)也支援使用沒有 TPM 的常規密碼。 (這不算是特定的“裝置加密”,但其本質上仍然是相同的BitLocker。)如果您要在沒有TPM 的情況下以這種方式設定BitLocker,您也會在啟動之前從Windows 引導程式收到密碼短語提示。
1「全碟加密」其實大多時候是按分割完成的,而不是真正的全碟。通常,主 C:\ 或 Linux“/”分割區已加密,但“EFI 系統分割區”未加密。
Windows 開機載入程式(處理 BitLocker)和 Linux 核心+initrd(處理 LUKS)都需要儲存在未加密的 EFI 系統分割區中。 (類似地,在 BIOS 系統上,您將擁有未加密的 /boot,或“Microsoft 系統分割區”,它相當於 Windows 中的 /boot。)
整個設定的一個重要部分是“TPM 密封”密鑰解密條件附加到它 – 如果啟動不同的作業系統(或啟用/停用安全啟動),TPM 實際上會拒絕解封它,這樣即使未加密,引導程式也能免受篡改。基於密碼的普通加密通常沒有此類保護。
Windows 磁碟通常有一個帶有唯讀迷你作業系統的「救援」分割區;這也沒有加密(但由安全啟動覆蓋)。如果同一磁碟上有任何自訂資料分割區,這些分割區可能會也可能不會加密;如果它們被加密,那麼它們的密碼只是儲存在 C: 中的某個位置。
答案2
裝置加密有助於保護您的數據,並且可在多種 Windows 裝置上使用。
通常,當您存取資料時,是透過 Windows 進行的,並且具有與登入 Windows 相關的常用保護。然而,如果有人想繞過這些 Windows 保護,他們可以打開電腦機箱並移除實體硬碟。然後,透過將您的硬碟機新增為他們控制的電腦上的第二個驅動器,他們可能無需您的憑證即可存取您的資料。
但是,如果您的磁碟機已加密,當他們嘗試使用該方法存取磁碟機時,他們必須提供解密金鑰(他們不應該提供)才能存取磁碟機上的任何內容。如果沒有解密金鑰,磁碟機上的資料對他們來說就像是亂碼。
裝置加密可以保護您的磁碟不被盜,但不能保護您的電腦。
為了保護計算機,您需要啟用 Bitlocker,如果您的計算機有資格使用它,則需要密鑰來解鎖計算機。您應該妥善保管 Bitlocker 金鑰和復原金鑰,否則將面臨遺失資料的風險。
欲了解更多信息,請參閱 BitLocker 概述。