我需要对运行当前版本 Windows 10 Pro 的商务笔记本电脑进行全盘加密。这些电脑配有三星的 NVMe SSD 驱动器和 Intel Core i5-8000 CPU。
从今天的一些网络研究来看,目前只有两个选项可用:Microsoft BitLocker 和 VeraCrypt。我完全了解开源和闭源的状态以及随之而来的安全隐患。
在阅读了一些关于 BitLocker 的信息后,我以前从未使用过它,我有一种印象,从 Windows 10 开始BitLocker 仅加密磁盘上新写入的数据但出于性能原因,并非所有已存在的内容都将被删除。(该文档说我可以选择,但我没有。他们没有问我激活后想要什么。)我过去曾使用过 TrueCrypt 系统加密,并且知道现有数据加密是一项可见的任务,需要几个小时。我无法在 BitLocker 中观察到这种行为。没有明显的后台 CPU 或磁盘活动。
激活 BitLocker 非常简单。单击按钮,将恢复密钥保存在安全的地方,就完成了。VeraCrypt 的相同过程让我放弃了这个想法。我需要真正创建一个完全可用的恢复设备,即使是为了在一次性系统上进行测试。
我还了解到,VeraCrypt 目前有一个设计缺陷导致某些 NVMe SSD 速度极慢系统加密。我无法验证,因为设置太复杂了。至少在激活 BitLocker 后,我看不到磁盘性能有显著变化。而且 VeraCrypt 团队没有足够的资源来修复这个“复杂的错误”。此外,使用 VeraCrypt 无法升级 Windows 10,这使得频繁的全盘解密和加密成为必要。我希望 BitLocker 在这里能更好地工作。
所以我几乎决定使用 BitLocker。但我需要了解它的作用。不幸的是,网上几乎没有关于它的信息。大多数都是博客文章,只提供概述,但没有简明深入的信息。所以我在这里问。
在单驱动器系统上激活 BitLocker 后,现有数据会发生什么?新数据会发生什么?“暂停 BitLocker”是什么意思?(与永久停用它并解密磁盘上的所有数据不同。)如何检查加密状态或强制加密所有现有数据?(我不是指未使用的空间,我不关心这个,它是 SSD 所必需的,请参阅 TRIM。)除了“暂停”和“解密”之外,还有关于 BitLocker 的更详细的数据和操作吗?
顺便问一下,BitLocker 与 EFS(加密文件系统)有什么关系?如果只加密新写入的文件,EFS 似乎具有非常类似的效果。但我知道如何操作 EFS,它更容易理解。
答案1
激活 BitLocker 将启动一个后台进程,该进程将加密所有现有数据。(在 HDD 上,这通常是一个漫长的过程,因为它需要读取和重写每个分区扇区 - 在自加密磁盘上,它可以立即完成。)因此,当说只有新写入的数据被加密时,这是指状态之后立马一旦后台加密任务完成,BitLocker 激活就不再有效。此过程的状态可以在同一个 BitLocker 控制面板窗口中看到,必要时可以暂停。
微软的文章需要仔细阅读:它实际上只谈论加密用过的磁盘区域。他们只是宣传这对新系统影响最大,因为新系统没有任何数据然而除了基本操作系统(因此全部数据将被“新写入”)。也就是说,Windows 10将要激活后加密所有现有文件 – 它不会浪费时间加密尚不包含任何内容的磁盘扇区。(您可以通过组策略选择退出此优化。)
(文章还指出了一个缺点:以前保存已删除文件的区域也将被跳过,因为“未使用”。因此,如果要加密一个使用频繁的系统,请使用工具擦除可用空间,然后让 Windows 运行 TRIM(如果您有 SSD),所有这些都要在激活 BitLocker 之前完成。或者使用组策略禁用此行为。)
在同一篇文章中,还提到了最近的 Windows 版本支持使用 OPAL 标准的自加密 SSD。因此,您看不到任何后台 I/O 的原因可能是 SSD 从第一天起就进行了内部加密,而 BitLocker 识别了这一点,并且只接管了SSD 级密钥管理而不是在操作系统级别重复加密工作。也就是说,SSD 不再在开机时自行解锁,而是需要 Windows 来解锁。如果您希望操作系统无论如何都处理加密,可以通过组策略禁用此功能。
暂停 BitLocker 会导致“主”密钥的纯文本副本直接写入磁盘。(通常,此主密钥首先使用您的密码或 TPM 加密。)暂停时,这允许磁盘自行解锁 - 显然是一种不安全的状态,但它允许 Windows Update 重新编程 TPM 以匹配升级后的操作系统。恢复 BitLocker 只会从磁盘上擦除此纯文本密钥。
BitLocker 与 EFS 无关——后者在文件级别工作,将密钥与 Windows 用户帐户关联(允许细粒度配置,但无法加密操作系统自己的文件),而前者在整个磁盘级别工作。它们可以一起使用,尽管 BitLocker大多使得 EFS 变得多余。
(请注意,BitLocker和EFS 为企业 Active Directory 管理员提供了恢复加密数据的机制——无论是通过在 AD 中备份 BitLocker 主密钥,还是通过添加 EFS数据恢复代理至所有文件。