去年年底研究人员发现多个知名品牌的固态硬盘加密存在缺陷,这些基于硬件的加密由于缺陷变得容易破解,该问题也会给企业和高安全环境带来极大的安全隐患,当时微软火速发布公告指导用户换成基于软件的加密,所谓软件加密指的是利用 BitLocker 内置的算法对硬盘进行加密,也就是直接忽略固态硬盘自带的硬件加密。
默认不再基于硬件加密:
在最新发布的 Windows 10 Build 18317 测试版里,BitLocker加密组策略配置默认已经换成基于软件加密,用户无需进行任何配置默认情况下就使用软件加密而不是硬件加密,对于防止硬盘加密被破解来说比较有效,当然如果用户有需要的话也可以通过组策略改回硬件加密,但用户需要确定自己的硬盘硬件加密不存在缺陷,此缺陷目前仅发现影响诸如三星等固态硬盘,使用机械硬盘的用户可以继续使用硬件加密或也换成软件加密。
组策略配置项指引:
注意此组策略仅支持Windows 8、Windows RT、Windows Server 2012及以上版本,Windows 7不支持,打开组策略计算机配置—管理模板—Windows组件—BitLocker 驱动器加密—打开操作系统驱动器文件夹,找到配置对操作系统驱动器使用基于硬件的加密选项,这里设置为已禁用即可禁止使用硬盘自带的加密方案。
组策略配置项说明:未配置和已禁用均代表采用软件加密,若选择已启用则可以再选择软件加密或硬件加密。
特别注意:
Windows 10 Bitlocker 加密密钥可保存在微软账户,对于高安全环境可在加密时禁用此选项以免泄露密钥,保存在微软账户的好处是即便忘记密码也可以解锁硬盘,所以具体怎么配置可按照实际安全环境进行选择等。
如何检查自己的硬盘使用哪种加密方式:
微软小娜搜索命令提示符然后右键使用管理员权限运行,打开管理员命令提示符依次执行如下命令进行检查:manage-bde.exe -status 执行此命令将显示所有硬盘是否加密以及加密状态,其中加密方法下如果没有显示硬件加密则代表软件加密。
