Windows Vista BitLocker Drive Encryption:技術概觀

  • 發行項

發佈日期: 2006 年 4 月 4 日

1.02 版

本頁內容
  1. 摘要
  2. 概觀
  3. 系統設計
  4. 系統生命週期
  5. 系統修復
    附錄

1. 摘要

本文提供簡短扼要的 BitLocker™ Drive Encryption 技術概觀,這是 Microsoft Windows Vista 中令人振奮的資料保護新功能。最主要的目標是為進階使用者和 IT 系統管理員,提供本功能生命週期的深入探討,協助他們瞭解 BitLocker Drive Encryption 的功能內容及其處理日益增加之資料保護問題的方式:例如,由於電腦硬體遺失或遭竊而導致機密資訊洩露。

本文假設讀者瞭解「可信賴平台模組」(Trusted Platform Module,TPM) 技術。如需有關 TPM 技術的背景資訊,請參閱 http://www.trustedcomputinggroup.org/ (英文) 網站上所提供的規格與資料。

回到頁首

2. 概觀

BitLocker™ Drive Encryption 是 Windows Vista Enterprise 和 Ultimate 針對用戶端電腦以及 Windows Server "Longhorn" 中所提供的資料保護功能。BitLocker 是 Microsoft 回應客戶最迫切需求之一的產品:與 Windows 作業系統中解決方案密切整合,以處理因 PC 硬體遺失、遭竊或不當解除委任而導致資料失竊或洩露的真實威脅。

BitLocker 可防止竊賊以另一個作業系統開機或執行軟體攻擊工具,侵入 Windows Vista 檔案和系統保護,或是對儲存在受保護磁碟機上的檔案執行離線檢視。

在理想的情況下,此功能使用可信賴平台模組 (TPM 1.2) 保護使用者資料,並確保執行 Windows Vista 的 PC 不會在系統離線時遭到竄改。BitLocker 可以為機動性及辦公室企業資訊工作人員,在系統遺失或遭竊時加強提供資料保護,並且在解除委任這些資產時確實刪除資料。

BitLocker 加強的資料保護功能結合了兩大子功能:完整的磁碟機加密以及早期開機元件的完整性檢查。

磁碟機加密是以阻止未授權使用者侵入遺失或遭竊電腦上 Windows 檔案和系統保護的方式來保護資料。這種保護是透過為整個 Windows 磁碟區加密的方式達成。在 BitLocker 保護之下,所有使用者和系統檔案都會進行加密,包括交換檔案和休眠檔案在內。

早期開機元件的完整性檢查有助於確保只有在這些元件未經干擾的情況下才會執行資料解密,並確保加密的磁碟機位於原先的電腦之中。

BitLocker 密切整合於 Windows Vista 之中,為企業提供無接縫、安全而且容易管理的資料保護解決方案。例如,BitLocker 也能夠發揮企業原有 Active Directory 網域服務基礎結構的功效,從遠端委付修復金鑰。BitLocker 也配備有嚴重損壞修復主控台,密切整合於早期開機元件之中,以提供「實地」資料擷取。

BitLocker 提供鎖定正常開機程序的選擇,一定要使用者提供 PIN (個人識別碼) 才能解除鎖定,類似於提款卡 PIN ,或插入含金鑰材料的 USB 快閃磁碟。這些外加的安全性措施可提供多重係數驗證,確保一定要提供正確的 PIN 或 USB 快閃磁碟,電腦才會啟動或從休眠狀態恢復。

BitLocker 提供精靈進行設定及管理,並透過 Windows Management Instrumentation (WMI) 介面提供含指令碼支援的擴充性和管理性。此外,BitLocker 會加速機密資料清除作業,簡化電腦回收程序。

每天使用以 BitLocker 保護的 Windows Vista 電腦,使用者可能完全不會察覺。而且,在發生罕見的系統鎖定情況下 (也許是因為硬體失敗或是直接攻擊所造成的結果),BitLocker 也提供簡單而有效率的修復處理程序。這些情況之中包括將含作業系統磁碟區的硬碟移至另一部電腦、更換包含 TPM 的主機板,或早期開機檔案的資料損毀等事件。

BitLocker Drive Encryption:

  • 在系統離線時保護資料,因為它會:

    • 加密整個 Windows 磁碟區,包括使用者資料和系統檔案、休眠檔案、分頁檔案,以及暫存檔。

    • 為協力廠商應用程式提供保護傘。協力廠商應用程式會因為安裝在已加密的磁碟機上而自動受益。

  • 確保開機程序完整性,因為它會:

    • 提供檢查早期開機檔案確實保持完整性的方法,確保這些檔案沒有遭到任何修改更動 (例如,以開機磁區病毒或根目錄套件)。

    • 保護系統,不受離線軟體的侵襲:任何其他能夠啟動系統的軟體都將無法存取保護此 Windows 磁碟區的根目錄金鑰。

    • 在遭到竄改時鎖定系統:如果任何監控下的檔案遭到竄改,系統將不會啟動。由於系統無法一如往常地啟動,可警告使用者檔案已遭竄改。

  • 透過下列方式減輕設備回收工作負擔:

    • 縮減在磁碟機上永久而安全地刪除磁碟機上所有資料的時間。只要刪除存取磁碟機所需的金鑰,即可將加密磁碟區上的資料轉變為無用資料。

本文件說明企業電腦上的 BitLocker Drive Encryption 生命週期,描述在各種不同使用者案例中的設定、管理及修復功能及相關聯的金鑰。Windows Vista 的開發工作尚未完全結束,螢幕擷取畫面、API、文字和流程都可能會變更。

2.1 系統硬體、韌體和軟體需求

若要使用 BitLocker,電腦必須滿足一組由 BitLocker Windows Vista 系統標誌需求所指定的條件。這些需求的測試會隨附於 Windows Development Kit (WDK) 中一起發行:

  • 系統必須具有 Trusted Platform Module (TPM) v1.21。TPM 提供系統開機程序完整性測量及報告。

    • TPM 提供系統開機程序完整性測量及報告。

  • 系統必須具有 v1.2 TCG (Trusted Computing Group) 相容的 BIOS1。

    • BIOS 會建立 OS 開機之前的信賴鏈。

    • 系統必須包含 TCG 指定的 Static Root Trust Measurement (SRTM) 支援

  • 系統 BIOS 必須支援 USB 大型存放裝置類別2,其中包括在作業系統之前的環境中,在快閃磁碟上讀取及寫入小型檔案的相關資訊。

  • 電腦必須至少具有兩個磁碟區3才能運作:

    • 「作業系統 (OS) 磁碟區」(或稱為開機磁碟區) 是包含 Windows 作業系統及其支援檔案的磁碟區,必須格式化為 NTFS。此磁碟區上的資料受到 BitLocker 的保護。

    • 「系統磁碟區」是包含特定硬體檔案的磁碟區,BIOS 啟動平台以後,需要這些檔案才能載入 Windows 電腦。若要讓 BitLocker 能夠運作,系統磁碟區不可以加密、必須不同於作業系統磁碟區,並且必須以 NTFS 進行格式化。您的系統磁碟區必須至少有 1.5 GB 的空間。寫入此磁碟區的資料 (包括額外的使用者資料) 並不受 BitLocker 保護。

本文中的資訊適用於含 BitLocker 的 Windows 版本。伺服器特定的資訊包含在<第 3.5 節,伺服器上的 BitLocker>。

回到頁首

3. 系統設計

BitLocker 的主要目標是保護硬碟上作業系統磁碟區上的資料。為了達成這項目標,BitLocker 使用 v1.2 TPM 安全性硬體,以協助保障加密金鑰的安全,並防止對系統完整性或其他資料、應用程式、DLL 檔,以及儲存在作業系統磁碟區上檔案發動的軟體攻擊。

BitLocker 包含對重要的早期開機元件進行完整性檢查。BitLocker 使用 TPM,在開機程序之內收集並儲存多種來源的測量,4以建立一種系統「指紋」。除非開機系統遭到竄改,否則「指紋」會保持不變。BitLocker 有賴於 TPM 根據這些測量,來限制根目錄機密的存取。一旦證明開機程序的完整性之後,BitLocker 就會使用 TPM,解除其餘資料的鎖定。然後系統會繼續啟動,而系統保護就轉而成為執行中作業系統的責任。

[圖 1] 示範磁碟區如何以完整磁碟區加密金鑰 (Full Volume Encryption Key,FVEK) 為磁碟區內容加密,該金鑰再轉而利用磁碟區主要金鑰 (Volume Master Key,VMK) 加密。保障 VMK 安全是以間接方式保護磁碟區上的資料:加上磁碟區主要金鑰,可讓系統在信賴鏈上游的金鑰遺失或遭入侵時,輕易就能重新設定金鑰。如此可節省解密及重新加密整個磁碟區的開銷。

BitLocker 中不同加密金鑰之間的關係

[圖 1]: BitLocker 中不同加密金鑰之間的關係。

一旦 BitLocker 驗證過受保護作業系統磁碟區的存取權限以後,資料寫入受保護磁碟區或從中讀取資料時, Windows Vista 檔案系統堆疊中的篩選器驅動程式就會自動加密及解密磁碟區。當電腦進入休眠時,休眠檔案是以加密方式儲存在受保護的磁碟區中。從休眠狀態恢復的處理方式幾乎與開機程序完全相同:此儲存檔案會在電腦從休眠狀態恢復時解密。加密及解密對效能的負面影響應該極其有限,而且在大部分情況下都是自動執行。

IT 系統管理員可以透過精靈或是由 Windows Vista 的 Win32_EncryptableVolume Windows Management Instrumentation (WMI) 提供者公開的介面,在本機或遠端設定 BitLocker。介面中包含管理功能,可開始、暫停及繼續磁碟區加密作業,並設定保護磁碟區加密金鑰 (FVEK) 的方式。

Windows Vista 及 Windows Server "Longhorn" 中有一種管理指令碼 (manage-bde.wsf),提供 IT 系統管理員簡單的方式管理及檢查磁碟狀態。這個指令碼是以可用的 WMI 提供者為基礎撰寫而成,很容易就能加以修改,以協助針對不同的企業系統管理需求建立自訂解決方案。

3.1 架構圖

[圖 2] 示範整體 BitLocker 架構,包括其中各種不同的子元件。圖中顯示 BitLocker 的使用者模式和核心模式元件,及其與作業系統不同層次整合的方式。當中特別顯示出控制 TPM 的模組,包括 Microsoft Management Console (MMC) 嵌入式管理單元、TPM 驅動程式,以及磁碟加密模組。

整體 BitLocker 架構

[圖 2]:整體 BitLocker 架構。

3.2 開機序列中的驗證模式

初次設定 BitLocker 時,您可以從數種驗證模式選擇其中一種。每次受 BitLocker 保護的系統磁碟區一啟動,Windows Vista 開機程式碼都會根據磁碟區保護設定,執行一系列步驟。這些步驟可以包括程式碼完整性檢查,以及必須先確認才能解除保護磁碟區鎖定的其他驗證步驟。若要進行其他資料保護,BitLocker 可以使用個人識別碼 (PIN),或啟動金鑰 (儲存在每次電腦開機都必須插入之 USB 快閃磁碟上的金鑰)。

進行修復時,BitLocker 則使用修復金鑰 (用來修復在 BitLocker 磁碟區上加密之資料的金鑰),或使用修復密碼 (數字密碼),如 [圖 1] 所示,以便讓授權使用者在安全性、硬碟或其他失敗的情況下,仍然能夠存取系統。

Windows Vista 會依下列順序尋找金鑰:

  1. 純金鑰 (請參閱<附錄>中的「名詞解釋」) - 已經停用完整性檢查保護,磁碟區主要金鑰可以自由取用。不需要任何驗證 (請參閱<第 4.3.4.3 小節>有關停用保護模式的說明,以取得詳細資訊)。

  2. 不需要使用者動作的驗證:

    1. TPM - TPM 順利地驗證早期開機元件,將 VMK 開封。

    2. TPM 和啟動金鑰 - TPM 順利驗證早期開機元件,而且已插入包含啟動金鑰的 USB 快閃磁碟。

  3. 需要使用者動作的驗證 (呈現給使用者的文字模式介面):

    1. TPM 和 PIN - TPM 驗證早期開機元件確實無誤,此外,使用者還必須輸入正確的 PIN,啟動程序才能繼續,而將磁碟機解除鎖定。PIN 已受到保護免於 TCG 相容的 TPM「重」擊。

    2. 修復金鑰和/或啟動金鑰 - 使用者會收到提示插入存放修復金鑰和/或啟動金鑰的 USB 快閃磁碟。

    3. 修復密碼 - 使用者必須輸入正確的修復密碼。

3.3 外部磁碟區

外部磁碟區一般是在另一部已啟用 BitLocker 之電腦上的作業系統磁碟區,並已「匯入」目前電腦上的目前 Windows 中。匯入外部磁碟區是快速而直接的修復程序,例如,從現在已損壞電腦上加密的磁碟修復資訊。在這種磁碟區上唯一可用的驗證作業就是修復 (請參閱<第 5 節修復>,以取得詳細資訊)。修復需要修復金鑰或修復密碼。

3.4 伺服器上的 BitLocker Drive Encryption

對儲存在不安全或共用環境 (如分公司地點) 中的伺服器而言,BitLocker 可保證具有與提供給用戶端電腦之相同層次的資料保護。這種伺服器上可用的外加功能會加密作業系統磁碟區,並可透過 WMI 在 IT 系統管理員想要有 BitLocker 保護的任何資料磁碟區上啟用。

在預設情況下,BitLocker Drive Encryption 不會與 Windows Server "Longhorn" 同時安裝。請選取 [新增功能 (Add Features)],然後從清單選項中選取 [BitLocker Drive Encryption],從 InitialConfigurationTasks 功能表加入 BitLocker 功能。安裝 BitLocker 功能以後,設定及維護作業即會依照本文件稍後說明般執行。在伺服器上安裝 BitLocker Drive Encryption 之後,必須重新開機。BitLocker 可以使用 WMI 從遠端加以啟用。

PIN 支援
一般來說,在考慮到重新開機速度,或因人為介入而無法重新開機的伺服器上啟用 PIN 功能並不是最佳作法。在許多伺服器環境中,執行時間與遠端管理非常重要。

有一種可行的部署案例是:在員工每次一開始上班就必須開啟伺服器的分公司中,開啟 BitLocker 和 PIN 功能。在此情況下,負責的人會知道並在開機時輸入 PIN。

啟動金鑰支援
支援伺服器的 USB 啟動金鑰,但只有在開機後不留在電腦中,才能提升資料保護。因此,每次伺服器重新啟動都必須人為介入,才能達到最佳資料保護作用。

3.4.1 資料磁碟區

作業系統磁碟區和系統磁碟區以外的磁碟區,就稱為「資料磁碟區」。只有在 Windows Server "Longhorn" v1 中,才支援資料磁碟區的 BitLocker 加密。

BitLocker 是透過以加密作業系統磁碟區的相同方式進行加密來保護 Windows Server "Longhorn" 資料磁碟區。作業系統會以一般方式掛上 BitLocker 保護的資料磁碟區。

金鑰鏈
保護資料磁碟區的金鑰與保護作業系統磁碟區金鑰毫無關係。若要允許系統自動掛上這些磁碟區,保護資料磁碟區的金鑰鏈也要加密儲存在目前已開機的磁碟區上。明確地說,就是在目前已開機的磁碟區登錄中要有 External Wrapping Key (EWK),這是 256 位元 AES 金鑰,會保護資料磁碟區的 VMK。由於 EWK 是儲存在加密的作業系統磁碟區之內,它除了受 BitLocker 保護外,也受到 Windows Server "Longhorn" 作業系統本身的保護。如果作業系統進入修復模式,一直到作業系統離開修復模式,都能保障資料磁碟區的安全。

自動解除鎖定
自動解除鎖定可以在開機期間讓資料磁碟區自動解除鎖定,而毋需人為介入。啟用自動解除鎖定會向已開機作業系統的登錄認可資料磁碟區 EWK 的純文字複本。沒有順利地存取已加密的作業系統磁碟區,就不能存取資料磁碟區上的資料。第一次嘗試從 Windows 讀取或查詢資料磁碟區,會造成從登錄讀取 EWK 將其 VMK 解密。即使作業系統磁碟區上已關閉 BitLocker,BitLocker 也會清除作業系統磁碟區登錄中的任何金鑰資料。在這些條件之下,使用者必須提供金鑰,以存取資料磁碟區。

系統的管理員可以使用可編寫指令碼的 WMI 介面,啟用或停用各系統的自動解除鎖定。為了保持資料磁碟區的高度保護,除非作業系統磁碟區已啟用 BitLocker 並進行加密,否則沒有人能夠啟用自動解除鎖定。

叢集設定
BitLocker 不支援 v1 中與叢集設定相關聯的資料磁碟區。

修復
資料磁碟區修復類似於作業系統磁碟區修復。您必須在失敗以前 (最好是在設定時),先將 EWK 複本儲存在其他媒體上。如果資料磁碟區損毀、移到新的平台上,或是作業系統磁碟區無法擷取供自動解除鎖定的 EWK,則使用者必須插入含 EWK 複本的媒體。

資料磁碟區的修復是由介面和 WMI 提供者加以支援。資料磁碟區是以類似 BitLocker 用戶端版本中的外部磁碟區來對待。只有在作業系統磁碟區登錄中的 EWK 遺失或損毀時,才需重新將資料磁碟區繫結至平台上。

3.5 系統威脅

以高層的角度來看,對 BitLocker 的威脅可以分為兩大類:對平台的威脅以及因系統使用方式而造成的威脅。每一種威脅都可以透過使用者能夠為保護系統採取的特定動作而得到紓緩。

第一種威脅指的是對 BitLocker 所運作之平台的威脅。BitLocker 對每一種不同的驗證模式都有特定的硬體需求。若要紓緩這類威脅,而且要實際達到最高安全性利益,則必須符合所選取驗證模式的這些需求。例如,如果使用 TPM+PIN 驗證模式,使用者必須確定所使用的平台是運用與 TCG 需求完全相容的 TPM 1.2 版。

因系統使用情形而產生的潛在威脅可以藉由下列最佳實作方法而紓緩,當中說明了系統應該如何設定,以及正確的使用者作法。使用者應該確保定期下載一般軟體更新,並安裝可保護系統免於遭受攻擊的安全性軟體 (例如:防火牆、防毒、防間諜軟體等等)。此外,對於產品的日常使用,適當使用最佳化的驗證作業及修復機制也可以紓緩這類威脅。例如,確保適當處理啟動金鑰 (也就是,不要隨時將金鑰留在機器裡),以防止資料遺失或遭未授權使用者存取,都能紓緩對資料保密的威脅。

回到頁首

4. 系統生命週期

BitLocker 系統生命週期中有四大要素,如 [圖 3] 所示。

BitLocker Drive Encryption 生命週期

[圖 3]: BitLocker Drive Encryption 生命週期。

  1. 安裝: BitLocker 乃安裝成 Windows Vista 的一部分。

  2. 初始化: BitLocker 功能已初始化並已開啟。

  3. 日常使用: 日常使用的情形依第 2 階段所選取的選項而定,可能具有不同層次的保護。

  4. 電腦汰換: 已啟用 BitLocker 功能的電腦需要汰換/升級/重新部署。

下面各節將說明上述各種要素,並透過個案闡述最常見的 BitLocker 加值案例。詳細的架構圖請參閱<第 3.2 節>。

4.1 安裝

BitLocker 是屬於 Windows Vista 的一部分,會在安裝 Enterprise 和 Ultimate 版 OS 期間自動進行安裝5 (請注意,它不會自動開啟)。至於 Windows Server "Longhorn",您必須選擇安裝 BitLocker Drive Encryption 功能。在作業系統安裝期間,會有下列 BitLocker 步驟 (用戶端或伺服器都相同):

  1. 安裝適當的 BitLocker 檔案。

  2. 檢查 TPM/BIOS 的版本是否正確。

  3. 安裝 TPM 和 BitLocker 驅動程式。

4.2 初始化

安裝作業系統並進行初始設定之後,系統管理員隨時都可以使用 Windows Vista 控制台,初始化和開啟 BitLocker 功能。設定作業中有兩個步驟:

  1. 設定 TPM (每部電腦只需要進行一次)。

  2. 設定 BitLocker (每個作業系統只需要進行一次)。

這兩個步驟都需要本機系統管理權限。沒有系統管理權限的使用者可以因 BitLocker 資料保護而獲益,但不能開啟或關閉 BitLocker。

企業部署,包括 Active Directory 設定、BitLocker 原則,及以指令碼安裝都會在第 4.2.3 節中討論。

4.2.1 TPM 初始化

使用「TPM 初始化精靈」或執行經過特別設計以進行初始化的指令碼,初始化您的 TPM。「TPM 初始化精靈」可以透過 TPM Management Console 精靈存取,後者是遵循 [安全性控制台 (Security Control Panel)] 中的連結加以啟動。

在這兩種情況下,初始化 TPM6 包含下列步驟:

  1. 如果 TPM 尚未開啟,請開啟 TPM。根據電腦製造商的情況,開啟方法各有不同。

  2. 檢查實際存在狀態 (系統管理員必須親自在主控台前執行作業)。

    1. 除非 OEM 提供替代性的遠端部署解決方案

  3. 登入回到 Windows Vista。

  4. 檢查 TPM 之內是否有背書金鑰 (由 OEM 提供的金鑰)。

  5. 建立 TPM 系統管理密碼,設定 TPM 的擁有者。

  6. 委付 TPM 系統管理密碼給 Active Directory (AD) 並/或儲存成檔案。

    1. 請注意,如果系統管理員已設定群組原則 (GP) 來執行發佈,AD 發佈會由系統自動執行。

另外還支援 TPM 的遠端初始化7。BitLocker 的 TPM 服務元件會顯示管理 API,允許以指令碼執行初始化程序 - 包括設定擁有者及建立 TPM 系統管理密碼。

TPM 初始化作業即已完成。將 TPM 初始化之後,本機系統管理員即可初始化 BitLocker。

4.2.2 開啟 BitLocker Drive Encryption

若要開啟 Windows Vista 的 BitLocker Drive Encryption 功能,請使用該功能的精靈或指令碼。

在 [Windows Vista 資訊安全中心] 面板中啟動「BitLocker 設定精靈」,將會帶您逐步完成下列步驟:

  1. 啟用 Windows Vista 磁碟區的 BitLocker 6。

  2. 選擇修復方法。

  3. 按一下 [開啟 BitLocker™ (Turn On BitLocker™)] 連結,繼續進行磁碟區加密作業。加密作業期間,BitLocker 會在顯示背景加密進度列和系統匣圖示。

「BitLocker 設定精靈」允許本機系統管理員啟用 BitLocker。系統管理員可使用此精靈指定加密金鑰的保護方式,並開始執行包含 Windows Vista 的磁碟區加密作業。

「BitLocker 設定精靈」的整個流程顯示於下面的 [圖 4] 中。本圖目的在顯示畫面的順序,而不在顯示每一個螢幕擷取畫面。每一個螢幕擷取畫面下面都有說明。

BitLocker 設定精靈 UI 流程

[圖 4]: BitLocker 設定精靈 UI 流程。

啟動選項

啟動驗證選項包括:

  • 僅 TPM (略過畫面 2a 和 2b);

  • TPM+PIN (使用畫面 2a,但不用 2b);

  • TPM+啟動金鑰 (使用畫面 2b,但不用 2a),或是

  • 在未啟用 TPM 的電腦上,僅啟動金鑰 (使用畫面 2b)。

請注意,PIN 和啟動金鑰不能結合運作。

建立啟動 PIN
畫面 2a 提供可輸入 4 至 20 位數 PIN 的選項;每次重新啟動都必須輸入 PIN;這樣就會為加密的磁碟區多設一道驗證保護關卡。請參閱<第 4.3.2 節>,以取得更詳細資訊。網域系統管理員可以使用群組原則,要求或不允許建立 PIN。

建立並儲存啟動金鑰
畫面 2b 提供可建立啟動金鑰,並儲存在 USB 快閃磁碟上的選項;每次重新啟動,連接埠都必須有啟動金鑰;這樣就會為作業系統磁碟區多設一道驗證保護關卡。請參閱<第 4.3.2 節>,以取得更詳細資訊。網域系統管理員可以使用群組原則,要求或不允許啟動金鑰。

修復選項

本機系統管理員可以設定修復機制,在不太可能發生問題的情況下,充分發揮使用便利性 (請參閱<第 5 節系統修復>,以取得詳細資訊)。

使用修復密碼
畫面 3 提供可建立修復密碼的選項。請參閱<第 5 節系統修復>,以取得在資料修復狀況下如何使用修復密碼的相關資訊。網域系統管理員可以使用群組原則,要求或不允許建立修復密碼。預設值是要求修復密碼。

儲存修復密碼
畫面 4 提供多個儲存修復密碼的選項,其中包括顯示密碼、將之儲存成檔案、及/或列印等功能。請參閱<第 5 節系統修復>,以取得在資料修復狀況下如何使用修復密碼的相關資訊。網域系統管理員可以使用群組原則,要求或不允許建立修復密碼。預設值是要求修復密碼。

將修復密碼儲存至 USB 磁碟的選項
畫面 4a 提供可將修復密碼以文字檔儲存至 USB 快閃磁碟的選項。此外,如果群組原則允許,還會建立修復金鑰 (相當於人工可讀取修復密碼的機器可讀取金鑰),並儲存至 USB 快閃磁碟上。請參閱<第 5 節系統修復>,以取得在資料修復狀況下如何使用修復密碼的相關資訊。網域系統管理員可以使用群組原則,要求或不允許建立修復金鑰。

顯示修復密碼的選項
畫面 4b 提供使用者可顯示修復密碼的選項。

列印修復密碼的選項
畫面 4c 提供使用者可列印修復密碼的選項。

將修復密碼儲存至資料夾的選項
畫面 4d 提供可將修復密碼 (及其相關聯修復金鑰) 以檔案儲存至資料夾 (如網路共用上的資料夾) 的選項。網域系統管理員可以使用群組原則,要求或不允許將修復金鑰儲存至資料夾,或設定所使用的預設資料夾路徑。

無修復機制警告
畫面 5 顯示警告,提醒使用者,如果沒有選擇修復機制,則在沒有修復機制下可能會導致資料永久遺失。這個對話方塊可以由網域系統管理員透過群組原則加以停用。

加密作業已就緒可以開始的通知
畫面 6 提供可開始進行磁碟區加密作業的通知。這項初始磁碟區加密作業所需花費的時間與磁碟區的大小有直接關係。但是,加密作業是在背景中執行,以便在磁碟區進行加密時,讓電腦繼續供人使用。除此之外,系統管理員可以隨時暫停並恢復加密作業。加密作業會自動暫停,讓電腦關機或休眠,而且可以在電腦重新開啟時,繼續進行加密作業。

本機系統管理員目前不需要使用畫面 6 來開始加密 - 本機系統管理員可以稍後再開啟這項功能,磁碟區就會在下一次重新開機時,啟動磁碟區加密。BitLocker 也可以由本機系統管理員隨時加以關閉。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker 項目,以開啟 BitLocker™。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行「BitLocker 設定精靈」。

    • 建立修復金鑰和/或修復密碼,作為設定程序的一部分,略過所有其他選項。

  2. 必要時,您可以巡覽至相同的控制台項目,以關閉 BitLocker™。

指令碼支援 8

  1. 使用 ProtectKeyWithTPM,保護 TPM 磁碟區加密金鑰的安全。

  2. 建立修復 blob。

    • 使用 ProtectKeyWithExternalKey 建立修復金鑰。

    • 使用 ProtectKeyWithNumericalPassword 建立修復密碼。

  3. 使用 Encrypt 加密磁碟區。

  4. 使用 GetConversionStatus 指示磁碟機已經完整加密。

  5. 使用 GetProtectionStatus 確定已開啟 BitLocker 保護。

  6. [使用 Decrypt 將磁碟區解密,並關閉 BitLocker 保護]。

4.2.3 企業部署

BitLocker 支援以指令碼執行,而且輕易就能與 Active Directory 和群組原則技術整合。在企業部署中,IT 系統管理員需遵循下列步驟:

  1. 逐步進行下列步驟,準備 Active Directory 供 BitLocker (TPM 和修復) 金鑰使用:

    • BitLocker 所使用的金鑰可以儲存在 Active Directory 中 (TPM 金鑰和/或修復金鑰)。

    • 具備 TPM 和 BitLocker 屬性及物件的延伸架構 (不適用於 Windows Server "Longhorn")。

    • 設定 TPM 和 BitLocker 修復資訊結構物件上的權限

      • 找出包含架構延伸的指令碼,名為 Add-WriteACEs.vbs。

      • 指令碼會假設已設定從高層網域物件繼承權限至目標電腦物件。如果階層架構中的任何容器不允許從父項繼承的權限生效,將無法視需要設定權限。

      • 在命令提示下執行指令碼 Add-WriteACEs.vbs。

  2. 設定與 BitLocker 相關的群組原則。

    • 設定群組原則,以啟用從 BitLocker 和 TPM 修復資訊備份至 Active Directory 的作業。

      • 設定原則,以執行下列各項:

        • 建立要啟用/停用/選用的安全性案例。

        • 要啟用/停用/選用的修復機制等。

        • 修改預設值 - 亦即:一切都可以選用,只有修復密碼除外,它是強制性的。精靈設定的群組原則設定沒有指令碼支援。

    • 設定加密與驗證原則 (例如,磁碟區的加密方法)。

  3. 在用戶端電腦上安裝 Windows Vista。

  4. BitLocker 安裝程式:

    • 以指令碼執行的 TPM 初始化。

    • 儲存至 Active Directory 的 TPM 擁有者密碼。

    • 遠端執行的指令碼,以設定 BitLocker 原則,將修復密碼儲存至 AD。

  5. 使用系統管理工具,檢查稽核記錄檔,以順利加密。

4.3 日常使用

使用僅 TPM 驗證且已啟用 BitLocker 的系統可以像其他任何系統一樣使用。使用者啟動 Windows,並且接到提示,要求輸入其網域使用者名稱和密碼,這是一般的登入經驗。除非接到有關該功能的通知,否則他們不會察覺到電腦上另外加了一層保護。

在設定為增強式安全性案例的系統上,可能會要求使用者輸入 PIN,或插入 USB 快閃磁碟,以便啟動 Windows Vista (如需詳細資訊,請參閱<第 4.3.2 節增強式保護使用案例>)。在此情況下,會修改正常開機或恢復流程,以便發出提示取得額外的安全性需求。

4.3.1 BitLocker Drive Encryption 基本案例

這是上述說明的基本案例。它的優點是它是最直接了當的使用模式。電腦包含相容的 TPM (1.2 版,具備 BIOS 支援),而且有兩個磁碟區:(1) 系統磁碟區和 (2) 作業系統磁碟區,附支援 BitLocker Drive Encryption 的 Windows 版本。

以 TPM 保護,存取已啟用 BitLocker Drive Encryption 的磁碟區

[圖 5]:以 TPM 保護,存取已啟用 BitLocker Drive Encryption 的磁碟區。

BitLocker Drive Encryption 的主要功能 (如 [圖 5] 所示) 是保護硬碟作業系統磁碟區上的使用者資料。若要達成此目標,磁碟區必須以完整磁碟區加密金鑰 (Full Volume Encryption Key,FVEK) 進行加密,這永遠都是以磁碟區主要金鑰 (Volume Master Key,VMK) 進行加密,此金鑰又轉由 TPM 進行加密。

這種案例可以由本機系統管理員使用 [Windows Vista 控制台安全性] 畫面加以啟用或停用。關閉 BitLocker 會將磁碟區解密,並移除所有金鑰。新的金鑰將在稍後重新開啟 BitLocker 後建立。

當本機系統管理員開啟 BitLocker 時,強烈建議建立修復密碼或修復金鑰。 沒有修復金錀或修復密碼,已加密磁碟機上的所有資料可能都無法存取,而且一旦出了差錯,也無法修復!

4.3.2 增強式保護使用案例

電腦擁有者想要對系統上的資料使用雙重保護。

如 [圖 6] 所示,BitLocker 提供兩種多係數保護選項:TPM 提供與下列二者並存的系統完整性因素:(1) PIN (使用者知道的),或 (2) 儲存在 USB 快閃磁碟上的額外金鑰 (使用者擁有的)。使用儲存在 USB 快閃磁碟上的金鑰,有一項最重要的優點,就是在這類案例中,並非所有金鑰資料都在本機電腦上。

存取有增強式保護且已啟用 BitLocker 的磁碟區

[圖 6]:以增強式保護,存取已啟用 BitLocker 的磁碟區。

4.3.2.1 PIN 驗證
PIN 驗證案例9的優點是:提供雙係數驗證,缺點是:每次開機都需要 PIN。在此驗證案例中,系統管理員會在開啟 BitLocker 時設定 PIN。BitLocker 使用 SHA-256 雜湊處理使用者指定的 PIN,而雜湊的前 160 個位元都用作為傳送給 TPM 以密封 VMK 的授權資料。現在 VMK 是同時以 TPM 和 PIN 加以保護。若要開封 VMK,系統會要求使用在每次電腦重新開機或從休眠狀態重新啟動時輸入 PIN。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中,巡覽至 BitLocker 項目以開啟 BitLocker,並啟用 PIN 支援10。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行「BitLocker 設定精靈」。

    • 建立修復金鑰和/或修復密碼,作為設定程序的一部分。

    • 使用 [是否建立 PIN? (Create PIN?)] 對話方塊,以啟用 PIN 驗證 ([圖 4] 中的畫面 2a),並建立 PIN。

  2. 透過 BitLocker 控制台項目中的「管理金鑰」連結,重設或變更 PIN。

指令碼支援

a) 若要啟用 PIN 驗證

  1. 使用 ProtectKeyWithTPMAndPIN 保護 TPM 磁碟區加密金鑰的安全,並以 PIN 驗證加強其安全性。

    • 請注意,即使已有僅 TPM 驗證 blob,或已開啟 BitLocker 保護,也可以使用這個方法。

  2. 建立修復 blob:

    • 使用 ProtectKeyWithExternalKey 建立修復金鑰。

    • 使用 ProtectKeyWithNumericalPassword 建立修復密碼。

  3. 使用 Encrypt 加密磁碟區。

  4. 使用 GetConversionStatus 指示磁碟機已經完整加密。

  5. 使用 GetProtectionStatus 確定已開啟 BitLocker 保護。

b) 若要停用 PIN 驗證

  1. 使用 使用 Decrypt 將磁碟區解密,並關閉 BitLocker 保護。

  2. 使用 DeleteKeyProtector 移除 TPM 加 PIN 驗證 blob。

  3. [再次使用 ProtectKeyWithTPMAndPIN 重新建立 TPM 加 PIN blob (可能使用不同的 PIN)]。

一般來說,在考慮到重新開機速度,或因人為干預而無法重新開機的伺服器上啟用 PIN 功能並不是最佳實作方法。有一種可行的部署案例是:在員工每次開始上班都必須開啟伺服器的分公司中,開啟 BitLocker 和 PIN 功能。在此案例中,負責的人會知道並在開機時輸入 PIN。

4.3.2.2 啟動金鑰驗證

雙係數金鑰保護案例提供兩個驗證係數。此案例可加以啟用或停用,從 [Windows Vista 控制台安全性] 畫面開始,然後使用隨後的 [建立啟動金鑰 (Create Startup Key)] 工作畫面 (請參閱<第 4.2.2 節>中的畫面 2b)。在此案例中,啟動金鑰是儲存在任何 BIOS 列舉的儲存裝置上 (例如,外掛式 USB 快閃磁碟),而且使用者必須在每次電腦開機時,將該裝置插入電腦11。雖然存放啟動金鑰的 USB 快閃磁碟必須在開啟電源一直到開機時插入電腦中,但也應該在 Windows 登入完成後移除。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker 項目,以開啟 BitLocker 並啟用啟動金鑰支援。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行「BitLocker 設定精靈」。

    • 建立修復金鑰和/或修復密碼,作為設定程序的一部分。

    • 使用 [建立啟動金鑰,以加強安全性 (Create a startup key for added security)] 對話方塊,加入啟動金鑰。

    • 請參閱<第 4.2.2 節>中的畫面 2b,以取得詳細資訊。

  2. 透過 BitLocker 控制台項目中的 [管理金鑰 (Manage Keys)] 連結,複製啟動金鑰。

指令碼支援

a) 若要啟用啟動金鑰驗證

  1. 使用 ProtectKeyWithTPMAndStartupKey 保護 TPM 磁碟區加密金鑰的安全,並以啟動金鑰驗證加強其安全性。

    • 請注意,即使已有僅 TPM 驗證 blob,或已開啟 BitLocker 保護,也可以使用這個方法。

  2. 建立修復 blob。

    • 使用 ProtectKeyWithExternalKey 建立修復金鑰。

    • 使用 ProtectKeyWithNumericalPassword 建立修復密碼。

  3. 使用 Encrypt 加密磁碟區。

  4. 使用 GetConversionStatus 指示磁碟機已經完整加密。

  5. 使用 GetProtectionStatus 確定已開啟 BitLocker 保護。

a) 若要停用啟動金鑰驗證

  1. 使用 Decrypt 將磁碟區解密,並關閉 BitLocker 保護。

  2. 使用 DeleteKeyProtector 移除 TPM 和啟動金鑰驗證 blob。

  3. [再次使用 ProtectKeyWithTPMAndStartupKey 重新建立 TPM 和啟動金鑰 blob (可能使用不同的啟動金鑰)]。

4.3.3 僅啟動金鑰使用案例

電腦擁有者可能要保護不包含 v1.2 TPM 之電腦上的資料。在這種案例中,電腦擁有者願意在每次電腦啟動或休眠後恢復時,要求電腦使用者,插入包含啟動金鑰的 USB 快閃磁碟。請注意,使用僅啟動金鑰案例的系統安全性設定檔將與使用 TPM 的系統保護不同,因為在非 TPM 系統上不會驗證早期開機元件的完整性。

這種案例會透過 Windows 中 BitLocker 控制台項目開啟或關閉。本機系統管理員必須在開啟 BitLocker™ 時,使用精靈來建立啟動金鑰。這種案例也可以透過指令碼加以啟用。關閉這種案例會強迫磁碟區解密,並移除所有金鑰;如果將來重新啟用這種案例,就必須重新建立金鑰。

系統產生啟動金鑰以後,使用者插入 USB 快閃磁碟,然後系統將啟動金鑰儲存在該裝置上。電腦硬碟必須有系統磁碟區和作業系統磁碟區 (如需有關該需求的詳細資訊,請參閱<第 2.1 節系統硬體、韌體和軟體需求>)。現在,每次從受 BitLocker 保護的磁碟區中啟動電腦時,電腦中就必須有該裝置。使用者插入 USB 快閃磁碟,並開啟電腦。電腦開機,啟動作業系統,然後使用者就可以開始正常使用系統。

使用者可以使用 BitLocker 控制台項目,建立啟動金鑰備份複本。在遺失外部裝置的情況下,磁碟區必須使用修復金鑰或修復密碼進行修復,然後必須再產生新的啟動金鑰。其他也使用啟動金鑰的所有磁碟區都必須經過類似的程序,以確保未授權的使用者不會使用遺失的啟動金鑰。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker 項目,以開啟 BitLocker 並啟用啟動金鑰支援。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行「BitLocker 設定精靈」。

    • 建立修復金鑰和/或修復密碼,作為設定程序的一部分。

  2. 建立並儲存啟動金鑰,作為 BitLocker 設定精靈的一部分。

    • 請參閱<第 4.2.2 節>中的畫面 2b,以取得詳細資訊。

  3. 儲存已建立的啟動金鑰作為金鑰管理精靈的一部分。

  4. 輸入啟動金鑰作為開機程序的一部分。

指令碼支援

a) 若要啟用僅啟動金鑰驗證

  1. 使用 ProtectKeyWithExternalKey 建立啟動金鑰,用作為無相容 TPM 的電腦的啟動金鑰。

    • 即使已有啟動金鑰 blob,或已開啟 BitLocker 保護,也可以使用這個方法。

  2. 使用 SaveExternalKeyToFile 將包含啟動金鑰的檔案寫入 USB 快閃磁碟或其他位置。

  3. 使用建立修復 blob。

    • 使用 ProtectKeyWithExternalKey 建立修復金鑰。

    • 使用 ProtectKeyWithNumericalPassword 建立修復密碼。

  4. 使用 Encrypt 加密磁碟區。

  5. 使用 GetConversionStatus 指示磁碟機已經完整加密。

  6. 使用 GetProtectionStatus 確定已開啟 BitLocker 保護。

  7. 使用 UnlockWithExternalKey 解除鎖定有啟動金鑰的磁碟區。

a) 若要停用僅啟動金鑰驗證

  1. 使用 Decrypt 將磁碟區解密,並關閉 BitLocker 保護。

  2. 使用 GetKeyProtectors 列出已為磁碟區建立的啟動金鑰。

  3. 使用 DeleteKeyProtector 移除與已建立啟動金鑰相關聯的啟動金鑰驗證 blob。

  4. [再次使用 ProtectKeyWithExternalKey 以建立新的啟動金鑰]。

4.3.4 系統管理

本機系統管理員控制著 BitLocker Drive Encryption 的各個層面。系統管理員可以直接在 Windows 資訊安全中心啟用或停用這項功能。

4.3.4.1 金鑰管理使用者經驗

磁碟區一旦經過加密並以 BitLocker 進行保護之後,管理金鑰使用者介面就會允許本機和網域系統管理員複製金鑰及重設 PIN。介面中僅顯示在 BitLocker 設定時所建立金鑰的連結。

管理金鑰的流程允許系統管理員存取下列金鑰管理選項:

  • 複製修復密碼

    • 顯示修復密碼並允許使用者列印。

    • 將修復密碼和修復金鑰儲存 (複製) 至 USB 快閃磁碟。

    • 將修復密碼和修復金鑰儲存 (複製) 至資料夾。

  • 複製啟動金鑰

    • 將啟動金鑰儲存至外掛式 USB 快閃磁碟。

  • 重設 PIN。

4.3.4.2 設定與管理

Windows 資訊安全中心提供 BitLocker 功能狀態以及啟用或停用 BitLocker 的能力,另外也提供設定功能,如<第 4.2 節>中所示。如果由於最近的安裝或解除安裝要求,而致 BitLocker 主動加密或解密資料,就會顯示進度狀態。

系統管理員也可以從資訊安全中心存取 TPM 管理主控台,以管理 TPM。

IT 系統管理員可使用命令列管理工具 (manage-bde.wsf),從遠端執行指令碼功能。

4.3.4.3 電腦升級:停用保護使用案例

在某些情況下,系統管理員可能會需要暫時停用 BitLocker,例如:

  1. 在不要求使用者輸入 (例如 PIN 或啟動金鑰) 之下,將電腦重新開機以進行維護。

  2. 在不觸發 BitLocker 修復之下,進行重要的早期開機元件升級。

    • 安裝另一個作業系統可能會變更開機管理程式。

    • 重新分割磁碟可能會變更磁碟分割表。

    • 其他變更由 TPM 驗證之開機元件的系統工作。

  3. 在不觸發 BitLocker 修復下,進行主機板升級或更換或移除 TPM。

  4. 在不觸發 BitLocker 修復下,關閉/停用,或清除 TPM。

  5. 在不觸發 BitLocker 修復下,將受 BitLocker 保護的磁碟區移至另一部電腦。

  6. 遺失所有修復 blob 而必須在觸發 BitLocker 修復之前,安全地建立新的修復 blob。

我們將這些案例統稱為「電腦升級案例」。這種案例可以透過 Windows 中的 BitLocker 控制台啟用/停用。已啟用 BitLocker 的電腦升級只需少數幾個步驟:

  1. 透過進入停用模式,暫時關閉 BitLocker。

  2. 將系統升級。

    • 升級 BIOS 或安裝 Service Pack。

  3. 開啟 BitLocker - 不需要加密作業,如下所述。

強迫 BitLocker 進入停用模式會讓磁碟區保持為加密,但磁碟區主要金鑰將可自由用於磁碟上,使用儲存在硬碟上的對稱式純金鑰進行加密。能夠使用純金鑰表示會關閉由 BitLocker 所提供的資料保護,但可確保在任何條件下,所有後續電腦開機都能成功,而毋需再由使用者進行輸入。重新啟用 BitLocker 時,純金鑰就會從磁碟區中移除,BitLocker 保護也會再度開啟。此外,VMK 也會重新建立金鑰並重新進行加密。

將受保護的磁碟區 (實體磁碟) 移至另一部已啟用 TPM 的電腦並不需要任何其他步驟,因為保護磁碟區主要金鑰的金鑰是儲存在本機磁碟上,完全無虞。

公開磁碟區主要金鑰,即使只是很短暫的期間,也會產生安全性風險,因為在純金鑰公開這些金鑰時,攻擊者可能會取得磁碟區主要金鑰和 FVEK。

4.4 電腦汰換

今日,有許多個人電腦都是由第一個擁有者或使用者以外的人重複使用。在企業環境下,電腦可以重新部署至其他部門,也可能是在標準電腦硬體更新週期程序下丟出公司。

IT 部門可能會執行一項或多項安全性規程,在機器移出或丟出公司之前保護或刪除機器上的資料。BitLocker 可以在機器重新部署以前,大幅提升其安全性。

IT 人員可以選擇關閉 BitLocker,讓電腦 (也許包括其中一些資料) 仍然可作其他用途,也可以執行「安全解除委任」節省時間,而讓資料永遠處於加密狀態,絕對無法加以擷取。

4.4.1 關閉 BitLocker Drive Encryption

本機系統管理員可以在 Windows 資訊安全中心之內關閉這項功能。BitLocker 提供兩種解除安裝模式:

  • BitLocker 停用 - 保留加密。這個選項讓資料在硬碟上保持為加密狀態,但移除 TPM 硬體依賴 (進入停用模式即可移除,請參閱<第 4.3.4.3 小節>)。

  • BitLocker 關閉 - 移除加密。這個選項會將 Windows 分割的保護全部移除,並將資料解密 (透過關閉 BitLocker 的方式)。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker 項目,以開啟 BitLocker 並啟用啟動金鑰支援。

  2. 按一下 [關閉 BitLocker™ (Turn Off BitLocker™)],以關閉 BitLocker™。

指令碼支援

  1. 使用 Decrypt 將磁碟區解密,並關閉 BitLocker 保護。

關閉 BitLocker 之後,可以在硬體重新格式化以前,移轉許多有用的資料。

4.4.2 安全解除委任

安全解除委任指的是刪除特定磁碟區上的金鑰 blob。沒有金鑰 blob,資料就無法解密12。

這項程序中包含兩個步驟:

  1. 移除磁碟區上所有非修復金鑰 blob。這樣可以強迫使用者在下次開機時,逐步執行修復程序,並提供修復金鑰或修復密碼。這種作法被視為可恢復的安全解除委任。此法可以用來鎖定要進行搬運的機器。

  2. 移除所有可用的金鑰 blob,包括儲存在 AD 中的修復資料。資料將永遠加密,磁碟區可以重新格式化,而不會危及在受 BitLocker 保護之磁碟區中的資料。這是永久性的安全解除委任。只有在永遠都不再想要或不再需要這些資料時,才採用這種作法。磁碟機將無法修復。

安全解除委任可以透過執行管理階層指令碼來達成,指令碼會移除磁碟上的所有金鑰 (v1 中沒有使用者介面支援可用)。

指令碼支援

  1. 使用 GetKeyProtectors 取得所有「TPM」、「TPM 加 PIN」和「TPM 加啟動金鑰」類型的金鑰保護裝置之識別碼 [若要進行永久性安全解除委任,請取得所有金鑰保護裝置識別碼,包括修復識別碼]。

  2. [進行永久性安全解除委任] 建立不准使用的修復密碼 blob 13(捨棄實際的修復密碼),使用 ProtectKeyWithNumericalPassword 及隨機產生的密碼序列來建立。

  3. 使用 DeleteKeyProtector 移除所有與上述程序所找到之識別碼相關聯的可使用金鑰保護裝置。

  4. [進行永久性安全解除委任] 在 TPM 機器上,使用 TPM WMI 提供者函數 Win32_TPM.Clear 清除 TPM。

這是迅速而有效的方式,讓磁碟區上的資料無法取用。

回到頁首

5. 系統修復

在發生狀況的情形下 (如果磁碟區的金鑰無法由 BitLocker 自動取得),加密磁碟區上的資料可透過只需最低設定的有效程序加以修復。有幾種情況可能會觸發修復:

  1. 將受 BitLocker 保護的磁碟機移入新電腦中。

  2. 主機板升級為新品 (含新的 TPM)。

  3. 關閉/停用,或清除 TPM。

  4. 重要的早期開機元件升級,使得 TPM 無法通過驗證。

  5. 在已啟用 PIN 驗證時遺忘 PIN。

  6. 在已啟用啟動金鑰驗證時,遺失其中包含啟動金鑰的外掛式 USB 快閃磁碟。

  7. 將桌上型或膝上型電腦重新部署給企業中其他部門/員工 (例如,給具有不同安全權限或不同知情需要的使用者),在通過審察可供不同安全權限層級使用之前,需要修復資料。

  8. 桌上型電腦就地重新分派工作 (例如,由 IT 系統管理員從遠端重新安裝作業系統) 而沒有遺失受保護的資料。

5.1 修復設定

IT 系統管理員可以使用群組原則,選擇要求、拒絕何種修復方法,或是讓啟用 BitLocker 的使用者選用。修復密碼可以儲存在 Active Directory 中,而系統管理員可以讓這成為必要、禁止或可選用選項 (分別對電腦的每個使用者進行)。請參閱<第 4.2.3 節>,當中有說明 Active Directory 設定步驟。此外,修復資料也可以儲存在任何外掛式 USB 快閃磁碟。

5.2 修復案例

在 BitLocker 中,修復包含了以儲存在 USB 快閃磁碟上的修復金鑰,或以從修復密碼所衍生密碼編譯金鑰加密的主要金鑰 blob 複本解密。TPM 與任何修復案例都無關,因此如果 TPM 無法通過開機元件驗證、故障或消失,都可以進行修復。

若要修復磁碟區,使用者可以使用在初始化時設定的任何修復機制。使用者可以使用修復密碼或修復金鑰 (相當於修復密碼的機器可讀取項目)。

5.2.1 修復密碼

修復密碼是 48 位數隨機產生的數字,在 BitLocker 設定時建立。啟用 BitLocker 之後,可以進行管理和複製。修復密碼可以透過介面列印和/或儲存成檔案,以備將來使用。

網域系統管理員可以設定群組原則,自動產生修復密碼,然後 BitLocker 一啟動,就自動備份至 Active Directory。而且,網域系統管理員還可以選擇阻止 BitLocker 為磁碟機加密,除非電腦已連接到網路上,而且已成功備份 Active Directory 的修復密碼。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker™ 項目,以開啟 BitLocker™ 並啟用修復密碼。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行 BitLocker™ 設定精靈。

  2. 儲存、檢視,及/或列印修復密碼,作為 BitLocker™ 設定精靈的一部分14

    • 請參閱<第 4.2.2 節>中的畫面 4,以取得詳細資訊。

  3. 儲存及/或列印已建立的修復密碼複本,作為金鑰管理介面的一部分。

  4. 輸入修復密碼,作為 Windows 之前文字模式修復介面的一部分。

指令碼支援

a) 若要啟用修復密碼

  1. 使用 ProtectKeyWithNumericalPassword 建立修復密碼。

    • 即使已有修復金鑰 blob,或已開啟 BitLocker 保護,也可以使用這個方法。

    • 若已啟用 Active Directory 備份,或群組原則要求 Active Directory 備份,這個方式也會將修復密碼儲存至 Active Directory。

  2. 使用 GetKeyProtectorNumericalPassword 擷取所建立修復密碼 blob 的數字密碼內容。

  3. 使用 UnlockWithNumericalPassword 解除鎖定有修復密碼的磁碟區。

b) 若要停用修復金鑰

  1. 使用 GetKeyProtectors 列出已為磁碟區建立的修復密碼。

  2. 使用 DeleteKeyProtector 移除與已建立修復密碼相關聯的數字密碼驗證 blob。

5.2.2 修復金鑰

修復金鑰可以在 BitLocker 設定時建立並儲存至外掛式 USB 快閃磁碟15,而且它可以在啟用 BitLocker 之後進行管理及複製。電腦啟動時,使用者透過將包含修復金鑰的 USB 快閃磁碟插入電腦中,取得作業系統磁碟區的存取權限,而不必理會 TPM 的狀態。

使用者介面支援

  1. 在 [控制台] 的 [安全性] 區域中巡覽至 BitLocker™ 項目,以開啟 BitLocker™ 並啟用修復金鑰。

    • 按一下 [開啟 BitLocker™ (Turn On BitLocker™)],以執行「BitLocker 設定精靈」。

  2. 建立及儲存修復密碼,作為 BitLocker™ 設定精靈的一部分16

    • 請參閱<第 4.2.2 節>中的畫面 4,以取得詳細資訊。

  3. 製作已建立修復金鑰的複本,作為金鑰管理精靈的一部分。

  4. 輸入修復金鑰,作為 Windows 之前文字模式修復介面的一部分。

指令碼支援

a) 若要啟用修復金鑰

  1. 使用 ProtectKeyWithExternalKey 建立修復金鑰。

  2. 使用 SaveExternalKeyToFile 將包含修復金鑰的檔案寫入可插入的 USB 快閃磁碟或其他位置。

  3. 使用 GetKeyKeyProtector ExternalKey 擷取已建立修復金鑰 blob 的金鑰內容。

  4. 使用 UnlockWithExternalKey 解除鎖定使用修復金鑰的磁碟區。

b) 若要停用修復金鑰

  1. 使用 GetKeyProtectors 列出已為磁碟區建立的修復金鑰。

  2. 使用 DeleteKeyProtector 移除與已建立修復金鑰相關聯的驗證 blob。

回到頁首

附錄

名詞解釋

BitLocker 停用
在「停用模式」中,會停用磁碟區上的 BitLocker 保護,並加密磁碟區,但用來加密作業系統磁碟區的 FVEK 可透過「純金鑰」自由地使用。雖然已進行了加密,但資料保護已有效地停用。

BitLocker 啟用 (或開啟)
在磁碟區上啟用 BitLocker 保護時,磁碟區上的資料會在寫入時加密,而在讀取時解密。電腦啟動時,需要由「TPM」(結合「啟動金鑰」或「PIN」,若有此設定時) 驗證重要的早期開機元件成功、輸入「修復密碼」,或插入包含「修復金鑰」的 USB 快閃磁碟,才能解密 VMK 並存取磁碟區。

BitLocker 關閉
在此模式下,磁碟區上的保護已關閉,磁碟區未加密,而 BitLocker 保護並未發生作用。這是具有標準純文字檔案格式的磁碟區。

Blob
二進位大型物件;任何以密碼編譯演算法保護的資料。例如,VMK 是密封至 TPM,但由 TPM_Seal 作業傳回所得到的 blob 其實是儲存在磁碟上。同樣地,VMK 可以由「純金鑰」、「啟動金鑰」或「修復金鑰」進行加密,並以 blob 儲存於磁碟上。

純金鑰
無障礙儲存在磁碟區上的金鑰。此金鑰是在已停用 BitLocker 保護而磁碟區仍然保持加密時,用來自由存取 VMK,再轉而存取 FVEK。 請參閱 BitLocker 停用 。

FVEK
完整磁碟區加密金鑰;特定演算法的金鑰,用來加密 (也可以用來散佈) 磁碟區上的資料。目前這個金鑰可以自 128 位元到 512 位元不等。用在磁碟區上的預設加密演算法是 AES 128 位元附擴散器。

作業系統磁碟區
包含作業系統 (例如,Windows Vista) 的磁碟區,可由電腦的開機管理程式載入。這個磁碟區將由 BitLocker 加以保護。

永久性安全解除委任
透過移除解密或修復磁碟所需的全部金鑰資料,迫使受 BitLocker 保護磁碟區無法修復的程序。

PIN
個人識別碼;這是系統管理員指定的機密值,必須在每次電腦啟動 (或由休眠恢復) 時輸入。PIN 可以有 4 到 20 位數,在內部將所輸入 Unicode 字元儲存為 256 位元雜湊。這個值永遠都不會以任何形式或因任何理由顯示給使用者。PIN 是用來結合 TPM 驗證,提供另外一項保護要素。

可修復的安全解除委任
藉由移除為磁碟解密所需的本機金鑰 blob (而不是修復 blob), 迫使系統進行修復模式的程序。

修復金鑰
用來修復在 BitLocker 磁碟區上加密的資料。這個金鑰的加密情形與「啟動金鑰」相當。如果有修復金鑰可用,修復金鑰可將 VMK 解密,然後 VMK 再轉而將 FVEK 解密。

修復密碼
以 48 位數組成而分成 8 組的數字密碼。每組 6 位數是先由 mod-11 進行檢查,再壓縮成對應的 16 位元密碼資料。密碼資料的複本是儲存在由 VMK 加密的磁碟上,因此修復密碼可以由系統管理員在載入 Windows Vista 之後加以擷取。

啟動金鑰
儲存在 USB 快閃磁碟的金鑰,必須在每次電腦啟動時插入。啟動金鑰是用來結合 TPM 驗證,提供另外一項保護係數。

系統磁碟區
電腦啟動時,第一個存取的磁碟區。這個磁碟區包含必需載入 Windows 之中的特定硬體檔案,包括電腦的開機管理程式 (以供載入多種作業系統)。一般來說,系統磁碟區可以是,但並不一定是,與作業系統 (開機) 磁碟區相同的磁碟區。但是,若要 BitLocker 運作,系統磁碟區必須與作業系統磁碟區不同,而且不可加密。

TPM
可信賴平台模組,由 Trusted Computing Group 定義。TPM 是安全性硬體,可提供信賴的硬體根目錄,可發揮功效,提供各種不同的加密服務。TPM v1.2 搭配相容的 BIOS 升級,所提供的磁碟加密具有早期開機元件的完整性檢查功能,可驗證重要的早期開機元件,並提供無障礙的啟動經驗。

VMK
磁碟區主要金鑰:用來加密 FVEK 的金鑰。

1但僅啟動金鑰的情況除外,請參閱<第 4.3.3 節>以取得詳細資訊
2如需詳細資訊,請參閱 USB 大型存放類別僅大量傳輸,以及 USB 大型存放類別 UFI 命令規格,可以自 http://www.usb.org/developers/devclass\_docs\#approved 下載
3在本文件中,「磁碟區」意指硬碟上的儲存區域。磁碟區是使用檔案系統 (如 NTFS) 進行格式化,並具有指定的磁碟機代號。磁碟區與「磁碟分割」不同,後者是代表實體磁碟的一部分,會如實際區隔的磁碟般運作。硬碟機上的每一個磁碟分割都可以有一個磁碟區,或是多個磁碟區可以跨多個磁碟分割。
4預設的 TPM 平台驗證設定檔能確保 VMK 不因 Core Root of Trust of Measurement (CRTM)、BIOS,以及平台延伸 (PCR 0)、Option ROM Code (PCR 2)、主開機記錄 (MBR) 程式碼 (PCR 4)、NTFS 開機磁區 (PCR 8)、NTFS 啟動區 (PCR 9) 及開機管理程式 (PCR 10) 變更而受干擾。同時也使用 PCR 11 (BitLocker 存取控制)。
5前面章節中所提及的兩個磁碟區設置是先決條件。
6這裡所列網址提供詳細的逐步指示:https://www.microsoft.com/downloads/details.aspx?FamilyID=311f4be8-9983-4ab0-9685-f1bfec1e7d62&DisplayLang=en
7通常必須親自在電腦前執行,才能初始化電腦的 TPM。但是,假如電腦推出時就已開啟 TPM,則不需要親自開啟
8本節所提及的方法名稱是透過 BitLocker Windows Management Instrumentation (WMI) 提供者 Win32_EncryptableVolume 加以公開。每一個可以由 Windows Vista 識別的磁碟區都是 Win32_EncryptedVolume 提供者類別的執行個體。
9請注意,PIN 驗證不能與啟動金鑰結合運作。
10Windows Vista 中具有下列安全性功能:在開啟 BitLocker 保護之後,若沒有先將磁碟解密並關閉 BitLocker,將無法加入 PIN。在建立 PIN 並開啟 BitLocker 保護以後,唯有透過將磁碟解密,才能移除 PIN
11請注意,啟動金鑰驗證無法與 PIN 驗證結合運作
12資料會永遠保持為加密狀態,與基礎密碼編譯演算法 (具有 128 或 256 位元金鑰的 AES) 一樣安全。
13因為 DeleteKeyProtector 不會移除所有金鑰保護裝置,所以這是必要的。
14開啟 BitLocker 保護之後,必須先加密磁碟並關閉 BitLocker,才能新增、變更,或移除修復密碼。
15所有可列舉 BIOS 媒體。
16開啟 BitLocker 保護之後,必須先加密磁碟並關閉 BitLocker,才能新增、變更,或移除修復金鑰。

回到頁首