背景
默认情况下,MicrosoftBitLocker不允许用户启用系统磁盘的全盘加密 (FDE),除非 PC 具有兼容的可信平台管理。
但是,如果“允许没有兼容 TPM 的 BitLocker”选项处于打开状态(在计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器 -> 启动时需要额外的身份验证),然后是 BitLocker巫师将允许对系统磁盘进行 FDE。如果这样做,则向导的其中一个对话框(标题为“选择如何在启动时解锁驱动器”)将要求用户在两种备选身份验证机制之间进行选择:
- 插入U盘;
- 输入密码。
如果用户选择“插入 USB 闪存驱动器”,则向导通常会生成一个“启动键“并将要求提供一个 USB 闪存驱动器来写入该信息。
(这个想法是,当用户将来想要启动 PC 时,第一的将该 USB 闪存盘插入 PC,然后然后打开 PC。Windows 引导加载程序将读取启动键从闪存驱动器解密系统磁盘,然后再启动 Windows。我知道有人在实践中这样做,而且效果很好。有关更多背景信息,请参阅例如这和这。
我的问题
使用 BitLocker 加密驱动器时,需要启动键,用户可以指定她自己的习惯 启动键(例如,如果她之前已经使用向导生成了一个密钥并想要在其他电脑上使用它),还是她必须接受 BitLocker 向导生成的密钥?
或者,如果她必须接受 BitLocker 向导创建的密钥(至少在向导运行时),那么作为一种解决方法,她可以之后用她喜欢的替换启动键? 也许可以通过 BitLocker 管理密钥界面?
答案1
您无法创建自己的启动密钥或者导入启动密钥,但是:
当使用 BitLocker 加密驱动器时,为了需要启动密钥,用户是否可以指定她自己的自定义启动密钥(例如,如果她之前已经使用向导生成了一个启动密钥并希望在其他 PC 上使用它),还是必须接受 BitLocker 向导生成的密钥?
在这个例子中,如果她希望使用相同的启动密钥在多台计算机上是无法做到的。但是,她可以在同一个 USB 上拥有来自不同计算机的启动密钥。我想补充一点,您可能认为 manage-bde -add 可用于“添加”您自己的启动密钥作为保护器,但它只是创建一个新的启动密钥并将其添加为保护器。
答案2
回答你的问题:
当使用 BitLocker 加密驱动器时,为了需要启动密钥,用户是否可以指定她自己的自定义启动密钥(例如,如果她之前已经使用向导生成了一个启动密钥并希望在其他 PC 上使用它),还是必须接受 BitLocker 向导生成的密钥?
答案是我们必须接受Bitlocer生成的密钥。
或者,如果她必须接受 BitLocker 向导创建的密钥(至少在向导运行时),那么作为一种解决方法,她以后可以用她喜欢的启动密钥替换它吗?也许可以通过 BitLocker 管理密钥界面?
答案我们不能这样做。