我想在无法物理访问的远程计算机上启用 BitLocker 加密。我担心的是:
- 启用 BitLocker 后,操作系统将无法启动(例如,将卡在某个屏幕上,要求输入密码、密钥或类似内容,并且需要物理访问)
- 操作系统将加密所有驱动器,而不仅仅是我选择的几个驱动器
- 操作系统将自动加密将来插入的每个驱动器
这些担忧有多大道理?
答案1
启用 BitLocker 后,操作系统将无法启动(例如,将卡在某个屏幕上,要求输入密码、密钥或类似内容,并且需要物理访问)
如果机器没有 TPM,则可以保证(因为这是默认的无密码解锁机制),但即使有,也是可能的。
使用 TPM 时,如果启用了安全启动,则出现“恢复密码”屏幕的可能性会大大降低,但仍然不能保证您可以避免这种情况。
操作系统将加密所有驱动器,而不仅仅是我选择的几个驱动器
“启用” BitLocker 仅在所选分区上启用它。如果在系统卷上启用它,则对数据分区没有影响。
“硬件”模式下的 BitLocker(当它使用磁盘的内置 TCG OPAL 加密时)可能会影响同一物理磁盘上的其他分区,但不会影响其他磁盘。Windows 很久以前就默认停止在硬件模式下使用 BitLocker。
操作系统将自动加密将来插入的每个驱动器
BitLocker 不会这样做。某些第三方“数据泄露防护”产品可能会这样做。
我无法实际访问
下次请确保您的服务器具有 iLO / IDRAC / IP-KVM。