在没有 TPM 的系统上安装 Bitlocker 时,您需要将启动密钥放在闪存驱动器上。
由于您很难指望用户将笔记本电脑和闪存驱动器分开存储,如果两者都丢失/被盗,Bitlocker 是否比未加密的系统更具优势?
答案1
如果两个文件都是由同一个窃贼偷走的,而且这个窃贼恰好知道 Bitlocker 的工作原理,那么你基本上可以肯定你的文件系统已经被侵入了。
如果您的数据极其重要,您可能需要考虑使用 TPM,甚至 TPM + PIN。最好依靠您头脑中的东西,而不是任何人只要真的想要就能拿到的 USB 密钥。
答案2
我知道这个问题已经很老了,但是我在寻找自己的答案时在相关问题中偶然发现了它。
您可以使用 manage-bde 来要求 USB 和密码才能解锁设备。这实际上将解锁机器变成了一项 2FA 考验。与 Bitlocker UI 不允许您应用多个保护器的选项不同,manage-bde 工具允许您指定多个保护器(如果您有“启动时需要额外身份验证”),您可能已经知道了这一点。我猜命令将按如下方式运行:
管理-bde –protectors -add C: -startupkey [USB 驱动器]
管理-bde-在C:
[加密后]
管理-bde-保护器-添加 C: pw
您可能能够在一个命令中完成此操作,我只是没有很好的方法在新的端点上对其进行测试,但我很好奇,我即将在我的旧笔记本电脑上运行它并让您知道您是否可以在一个命令中完成此操作并将根据我所看到的内容进行相应的编辑。
答案3
即使使用 TPM,Bitlocker 也可能受到攻击。当然,这种情况不太可能发生,但这取决于您的数据对您来说有多大价值以及谁对它感兴趣。
对于普通人来说,这不值得。
对于 CEO 级别的安全性,我认为至少应该考虑添加一层额外的加密。
看: http://www.schneier.com/blog/archives/2009/12/defeating_micro.html
答案4
针对 BitLocker 的两次现有攻击相当牵强。两次获得受害者计算机的访问权限是不太可能发生的。在大多数情况下会发生什么?笔记本电脑/工作站被盗或只有硬盘被盗。BitLocker 将保证您的数据“安全”(当然,永远不会有 100% 的安全性)。
只有 CEO 的数据才是重要的?真的吗?我觉得我可以用一些随机员工文件造成很大的破坏。
“由于您很难指望用户将笔记本电脑和闪存驱动器分开存放[...]”如果您无法教会员工基本的安全行为,那么您的大多数预防措施都会失败。
请不要误会我的意思,但安全性并不是以简单的方式实现的:)