我不明白“自动解锁”Bitlocker 功能在 Windows 10 上是如何工作的。我有一个安装了操作系统的主 SSD,它使用 bitlocker 加密,还有另一个驱动器也使用 bitlocker 加密,它会在启动时自动解锁。
我在文档中看到,设置为自动解锁的驱动器“只有当主操作系统驱动器也使用 bitlocker 锁定时才能解锁”。这似乎可以使用任何其他使用 bitlocker 加密的主操作系统驱动器解锁,而不仅仅是使用我自己的主操作系统驱动器。这是否意味着我可以使用 bitlocker(在主操作系统驱动器上)将我的数据驱动器放在另一台 PC 上,它也会在那里自动解锁?
对我来说这完全没有意义,但看起来是这样。没有迹象表明“OS 驱动器”和“自动解锁驱动器”这两个组合是唯一的,并且它们以某种方式联系在一起。那么自动解锁驱动器是否不安全?有没有更安全的锁定方法?
答案1
这是否意味着我可以使用 bitlocker(在主操作系统驱动器上)将我的数据驱动器放在另一台 PC 上,并且它也会在那里再次自动解锁?
不可以,因为另一台电脑无法猜出解密密钥。
事实上,当您启用自动解锁时,BitLocker 会在主操作系统卷的某个地方存储一个专门针对此数据驱动器的密钥,Windows 稍后将使用此密钥来解锁数据驱动器。
Windows 能够自动解锁数据驱动器,因为解锁此数据驱动器所需的密钥存储在主操作系统卷上。
因此,随机计算机将无法自动解锁您的数据驱动器,因为该计算机没有在其操作系统卷上自动解锁驱动器所需的密钥。
这就是文档说:
您可以将 BitLocker 配置为在启动期间自动解锁已安装的数据卷,无需人工干预。BitLocker 通过使用外部包装密钥加密数据卷的卷主密钥,然后将外部包装密钥的纯文本副本存储在加密操作系统卷的注册表中来实现此目的