BitLocker 规划指南
BitLocker 部署策略包括根据组织的安全要求定义适当的策略和配置要求。 本文可帮助收集有助于进行 BitLocker 部署的信息。
审核环境
若要规划 BitLocker 部署,请了解当前环境。 执行非正式审核以定义当前策略、过程和硬件环境。 查看现有磁盘加密软件和组织的安全策略。 如果组织未使用磁盘加密软件,则这些策略可能不存在。 如果磁盘加密软件正在使用中,则可能需要更改策略以使用某些 BitLocker 功能。
若要帮助记录组织的当前磁盘加密安全策略,请回答以下问题:
☑️ | 问题 |
---|---|
🔲 | 是否有策略来确定哪些设备必须使用 BitLocker,哪些设备不使用? |
🔲 | 存在哪些策略来控制恢复密码和恢复密钥存储? |
🔲 | 用于验证需要执行 BitLocker 恢复的用户的标识的策略有哪些? |
🔲 | 存在哪些策略来控制组织中的谁有权访问恢复数据? |
🔲 | 存在哪些策略来控制设备的停用或停用? |
🔲 | 加密算法强度如何? |
加密密钥和身份验证
受信任的平台模块 (TPM) 是由制造商安装在许多 Windows 设备中的硬件组件。 它与 BitLocker 配合使用,可帮助保护用户数据,并确保设备在系统脱机时未被篡改。
BitLocker 可以锁定正常的启动过程,直到用户提供个人标识号 (PIN) ,或插入包含启动密钥的可移动 USB 设备。 这些额外的安全措施提供多重身份验证。 他们还确保计算机在提供正确的 PIN 或启动密钥之前不会启动或从休眠状态恢复。
在没有 TPM 的设备上,BitLocker 仍可用于加密 Windows 操作系统卷。 但是,此实现不提供使用 TPM 的 BitLocker 提供的启动前系统完整性验证。
与大多数安全控制一样,信息保护的有效实现考虑可用性和安全性。 用户通常更喜欢简单的安全体验。 事实上,安全解决方案越透明,用户就越有可能遵守它。
无论设备状态或用户的意图如何,组织都保护其设备上的信息至关重要。 这种保护对用户不应该很麻烦。 一种不合时宜且以前常见的情况是在预启动期间提示用户输入,然后在 Windows 登录期间再次提示用户输入。 应避免多次对用户进行输入挑战。
TPM 能够在 BitLocker 加密密钥处于静态状态时安全地保护它,并且可以安全地解锁操作系统驱动器。 当密钥正在使用中,因此在内存中时,硬件和 Windows 功能的组合可以保护密钥,并防止通过冷启动攻击进行未经授权的访问。 虽然其他对策(如基于 PIN 的解锁)可用,但它们并不像用户友好:根据设备的配置,在密钥保护方面,它们可能无法提供更多的安全性。 有关详细信息,请参阅 BitLocker 对策。
BitLocker 密钥保护程序
为了保护 BitLocker 加密密钥,BitLocker 可以使用不同类型的 保护程序。 启用 BitLocker 时,每个保护程序都会收到 卷主密钥的副本,然后通过使用其自身的机制对其进行加密。
密钥保护程序 | 描述 |
---|---|
自动解锁 | 用于自动解锁不托管操作系统的卷。 BitLocker 使用存储在注册表和卷元数据中的加密信息来解锁使用自动解锁的任何数据卷。 |
OS 驱动器的密码和密码 | 若要解锁驱动器,用户必须提供密码。 当用于 OS 驱动器时,系统会在预启动屏幕中提示用户输入密码。 此方法不提供任何锁定逻辑,因此无法防范暴力攻击。 |
启动密钥 | 可存储在可移动媒体上的加密密钥,文件名格式为 <protector_id>.bek 。 系统会提示用户输入具有恢复密钥和/或启动密钥的 U 盘,然后重新启动设备。 |
智能卡证书 | 用于解锁不托管操作系统的卷。 若要解锁驱动器,用户必须使用智能卡。 |
TPM | 一种硬件设备,用于帮助建立安全的信任根,验证早期启动组件。 TPM 保护程序只能与 OS 驱动器一起使用。 |
TPM + PIN | 用户输入的数字或字母数字密钥保护程序,除了 TPM 之外,只能与 OS 卷一起使用。TPM 验证早期启动组件。 用户必须输入正确的 PIN,然后才能继续启动过程,然后才能解锁驱动器。 如果重复输入不正确的 PIN,TPM 进入锁定,以保护 PIN 免受暴力攻击。 触发锁定的重复尝试次数是可变的。 |
TPM + 启动密钥 | TPM 已成功验证早期启动组件。 用户必须插入包含启动密钥的 U 盘,然后操作系统才能启动。 |
TPM + 启动密钥 + PIN | TPM 已成功验证早期启动组件。 用户必须输入正确的 PIN 并插入包含启动密钥的 U 盘,OS 才能启动。 |
恢复密码 | 一个 48 位数字,用于在卷处于 恢复模式时解锁卷。 通常可以在普通键盘上键入数字。 如果普通键盘上的数字没有响应,可以使用功能键 (F1-F10) 来输入数字。 |
TPM + 网络密钥 | TPM 已成功验证早期启动组件,并且已从 WDS 服务器提供了有效的加密网络密钥。 此身份验证方法提供 OS 卷的自动解锁,同时保持多重身份验证。 此密钥保护程序只能与 OS 卷一起使用。 |
恢复密钥 | 存储在可移动媒体上的加密密钥,可用于恢复 BitLocker 卷上加密的数据。 文件名的格式为 <protector_id>.bek 。 |
数据恢复代理 | (DRA) 的数据恢复代理是能够使用其证书解密受 BitLocker 保护的驱动器的帐户。 恢复受 BitLocker 保护的驱动器可以通过配置了适当证书的数据恢复代理来完成。 |
Active Directory 用户或组 | 一个基于 Active Directory 用户或组安全的保护程序, (SID) 标识。 当此类用户尝试访问数据驱动器时,数据驱动器会自动解锁。 |
支持不带 TPM 的设备
确定是否支持环境中没有 TPM 1.2 或更高版本的计算机。 如果你决定支持没有 TPM 的设备,用户必须使用 USB 启动密钥或密码来启动系统。 启动密钥需要类似于多重身份验证的额外支持过程。
组织的哪些领域需要基线级别的数据保护?
仅限 TPM 的身份验证方法为需要基线级别的数据保护以满足安全策略的组织提供最透明的用户体验。 其总拥有成本最低。 仅 TPM 可能更适合无人参与或必须以无人参与方式重新启动的设备。
但是,仅限 TPM 的身份验证方法不提供高级别的数据保护。 此身份验证方法可防止修改早期启动组件的攻击。 但是,保护级别可能会受到硬件或早期启动组件的潜在弱点的影响。 BitLocker 的多重身份验证方法显著提高了数据保护的总体级别。
提示
仅 TPM 身份验证的优点是设备无需任何用户交互即可启动 Windows。 如果设备丢失或被盗,则此配置可能有一个优点:如果设备连接到 Internet,则可以使用设备管理解决方案(如Microsoft Intune)远程擦除设备。
组织的哪些领域需要更安全的数据保护级别?
如果存在具有高度敏感数据的设备,请在这些系统上部署具有多重身份验证的 BitLocker。 要求用户输入 PIN 会显著提高系统的保护级别。 BitLocker 网络解锁还可用于允许这些设备在连接到可提供网络解锁密钥的受信任有线网络时自动解锁。
组织首选哪种多重身份验证方法?
多重身份验证方法提供的保护差异难以量化。 考虑每种身份验证方法对支持人员支持、用户教育、用户工作效率和任何自动化系统管理过程的影响。
管理密码和 PIN
在系统驱动器上启用 BitLocker 并且设备具有 TPM 时,可能需要用户在 BitLocker 解锁驱动器之前输入 PIN。 这种 PIN 要求可以防止对设备具有物理访问权限的攻击者甚至无法访问 Windows 登录,这使得攻击者几乎无法访问或修改用户数据和系统文件。
启动时需要 PIN 是一项有用的安全功能,因为它充当第二个身份验证因素。 但是,此配置需要一些成本,尤其是需要定期更改 PIN 时。
此外,新式待机设备不需要 PIN 即可启动:它们设计为不经常启动,并具有其他缓解措施,可进一步减少系统的攻击面。
有关启动安全性的工作原理和 Windows 提供的对策的详细信息,请参阅 预启动身份验证。
TPM 硬件配置
在部署计划中,确定支持哪些基于 TPM 的硬件平台。 记录组织使用的 OEM () 的硬件模型,以便测试和支持其配置。 在规划和部署的所有方面,TPM 硬件都需要特别考虑。
TPM 1.2 状态和初始化
对于 TPM 1.2,有多种可能的状态。 Windows 自动初始化 TPM,使 TPM 处于已启用、激活和拥有的状态。 此状态是 BitLocker 在使用 TPM 之前需要的状态。
认可密钥
要使 TPM 可供 BitLocker 使用,它必须包含认可密钥,即 RSA 密钥对。 密钥对的专用部分保存在 TPM 中,永远不会在 TPM 外部显示或访问。 如果 TPM 没有认可密钥,BitLocker 会在 BitLocker 设置过程中强制 TPM 自动生成一个认可密钥。
可以在 TPM 生命周期的各个时间点创建认可密钥,但只需在 TPM 的生存期内创建一次。 如果 TPM 不存在认可密钥,必须先创建该密钥,然后才能获得 TPM 所有权。
有关 TPM 和 TCG 的详细信息,请参阅受信任的计算组: 受信任的平台模块 (TPM) 规范。
非 TPM 硬件配置
没有 TPM 的设备仍然可以使用启动密钥通过驱动器加密进行保护。
使用以下问题来确定可能影响非 TPM 配置中的部署的问题:
- 其中每个设备的 USB 闪存驱动器是否有预算?
- 现有的非 TPM 设备是否在启动时支持 U 盘?
启用 BitLocker 时,使用 BitLocker 系统检查选项测试各个硬件平台。 系统检查确保 BitLocker 可以在加密卷之前正确读取 USB 设备和加密密钥中的恢复信息。
磁盘配置注意事项
若要正常运行,BitLocker 需要特定的磁盘配置。 BitLocker 需要两个满足以下要求的分区:
- 操作系统分区包含操作系统及其支持文件;必须使用 NTFS 文件系统格式化
- 系统分区 (或启动分区) 包括在 BIOS 或 UEFI 固件准备好系统硬件后加载 Windows 所需的文件。 未在此分区上启用 BitLocker。 若要使 BitLocker 正常工作,系统分区不得加密,并且必须位于与操作系统不同的分区上。 在 UEFI 平台上,必须使用 FAT 32 文件系统格式化系统分区。 在 BIOS 平台上,必须使用 NTFS 文件系统格式化系统分区。 大小应至少为 350 MB。
Windows 安装程序会自动配置计算机的磁盘驱动器以支持 BitLocker 加密。
Windows 恢复环境 (Windows RE) 是基于 Windows 预安装环境 (Windows PE) 的可扩展恢复平台。 当计算机无法启动时,Windows 会自动转换为此环境,Windows RE 中的启动修复工具可自动诊断和修复无法启动的 Windows 安装。 Windows RE还包含通过提供恢复密钥或恢复密码解锁受 BitLocker 保护的卷所需的驱动程序和工具。 若要将 Windows RE 与 BitLocker 配合使用,Windows RE启动映像必须位于不受 BitLocker 保护的卷上。
Windows RE还可以从本地硬盘以外的启动媒体中使用。 如果已启用 BitLocker 的计算机的本地硬盘上未安装Windows RE,则可以使用不同的方法来启动Windows RE。 例如,Windows 部署服务 (WDS) 或 U 盘可用于恢复。
BitLocker 预配
管理员可以先从 Windows 预安装环境 (WinPE) 启用 BitLocker 到操作系统部署。 此步骤使用随机生成的明文密钥保护程序应用于格式化卷来完成。 它会在运行 Windows 安装过程之前加密卷。 如果加密使用“ 仅使用磁盘空间 ”选项,则此步骤只需几秒钟,即可合并到现有部署过程中。 预配需要 TPM。
若要检查特定卷的 BitLocker 状态,管理员可以在 BitLocker 控制面板小程序或 Windows 资源管理器中查看驱动器状态。
“正在等待激活”状态意味着驱动器已为 BitLocker 预配,并且只有一个明确的保护程序用于加密卷。 在这种情况下,卷不受保护,需要先将安全密钥添加到卷,然后驱动器才被视为完全受保护。 管理员可以使用控制面板选项、PowerShell cmdlet、manage-bde.exe
工具或 WMI API 添加适当的密钥保护程序。 然后会更新卷状态。
使用控制面板选项时,管理员可以选择打开 BitLocker 并按照向导中的步骤添加保护程序,例如操作系统卷 (的 PIN 或密码(如果) 不存在 TPM),或者向数据卷添加密码或智能卡保护程序。 然后,在更改卷状态之前,会显示驱动器安全窗口。
已使用仅磁盘空间 加密
BitLocker 安装向导使管理员能够在为卷启用 BitLocker 时选择 “仅使用磁盘空间 ”或 “完全” 加密方法。 管理员可以使用 BitLocker 策略设置来强制实施“仅使用磁盘空间”或“完整磁盘”加密。
启动 BitLocker 安装向导会提示使用身份验证方法, (密码和智能卡可用于数据卷) 。 选择方法并保存恢复密钥后,向导会要求选择驱动器加密类型。 选择“ 仅使用磁盘空间 ”或 “完整 驱动器加密”。
使用仅使用磁盘空间时,仅加密包含数据的驱动器部分。 未使用的空间保持未加密状态。 此行为会导致加密过程更快,尤其是对于新设备和数据驱动器。 使用此方法启用 BitLocker 时,当数据添加到驱动器时,所使用的驱动器部分将加密。 因此,驱动器上永远不会存储未加密的数据。
使用完整驱动器加密时,无论数据是否存储在驱动器上,整个驱动器都是加密的。 此选项对于已重新调整用途的驱动器非常有用,并且可能包含以前使用的数据残留。
注意
仅加密机密数据可能已以未加密状态存储的现有卷上的已用空间时,请谨慎操作。 使用使用的空间加密时,可以通过磁盘恢复工具恢复以前未加密数据存储的扇区,直到它们被新的加密数据覆盖。 相比之下,仅加密全新卷上的已用空间可以显著缩短部署时间,而不会带来安全风险,因为所有新数据在写入磁盘时都会加密。
加密硬盘驱动器支持
加密硬盘驱动器提供载入加密功能来加密驱动器上的数据。 此功能通过将加密计算从设备的处理器卸载到驱动器本身来提高驱动器和系统性能。 驱动器使用专用的专用硬件快速加密数据。 如果计划将全驱动器加密与 Windows 配合使用,Microsoft 建议研究硬盘驱动器制造商和模型,以确定其任何加密硬盘驱动器是否满足安全性和预算要求。
有关加密硬盘驱动器的详细信息,请参阅 加密硬盘驱动器。
Microsoft Entra ID和Active Directory 域服务注意事项
BitLocker 与 Microsoft Entra ID 集成,Active Directory 域服务 (AD DS) 提供集中式密钥管理。 默认情况下,不会将恢复信息备份到 Microsoft Entra ID 或 AD DS。 管理员可以为每个驱动器类型配置 策略设置 ,以启用 BitLocker 恢复信息的备份。
将为每个计算机对象保存以下恢复数据:
- 恢复密码:用于恢复受 BitLocker 保护的卷的 48 位恢复密码。 BitLocker 进入恢复模式时,用户必须输入此密码才能解锁卷
- 密钥包:使用密钥包和恢复密码,如果磁盘严重损坏,则可以解密受 BitLocker 保护的卷的部分内容。 每个密钥包仅适用于创建它的卷,该卷由相应的卷 ID 标识
对恢复密码保护器的 FIPS 支持
配置为在 FIPS 模式下运行的设备可以创建符合 FIPS 的恢复密码保护程序,该保护程序使用 FIPS-140 NIST SP800-132 算法。
注意
美国联邦信息处理标准 (FIPS) 定义了美国联邦政府使用的计算机系统的安全性和互操作性要求。 FIPS-140 标准定义了已批准的加密算法。 FIPS-140 标准还规定了密钥生成和密钥管理的要求。 美国国家标准与技术研究院 (NIST) 使用加密模块验证计划 (CMVP) 来确定加密算法的特定实现是否符合 FIPS-140 标准。 仅当加密算法已提交并已通过 NIST 验证时,加密算法的实现才被视为符合 FIPS-140。 即使实现生成的数据与已验证的相同算法实现相同,尚未提交的算法也不能被视为符合 FIPS。
- 可以导出 FIPS 兼容的恢复密码保护程序并将其存储在 AD DS 中
- 恢复密码的 BitLocker 策略设置对于支持 BitLocker 的所有 Windows 版本都相同,无论是否处于 FIPS 模式
网络解锁
某些组织具有特定于位置的数据安全要求,尤其是在具有高价值数据的环境中。 网络环境可能会提供关键数据保护并强制实施强制身份验证。 因此,策略指出,这些设备不应离开建筑物或与公司网络断开连接。 物理安全锁和地理围栏等安全措施可能有助于强制实施此策略作为反应性控制措施。 除了这些安全措施之外,还需要主动安全控制,仅在设备连接到公司网络时才授予数据访问权限。
网络解锁 允许受 BitLocker 保护的设备在连接到运行 Windows 部署服务的有线公司网络时自动启动。 每当设备未连接到公司网络时,用户都必须输入 PIN 才能解锁驱动器, (如果启用了基于 PIN 的解锁) 。 网络解锁需要以下基础结构:
- 具有统一可扩展固件接口 (UEFI) 固件版本 2.3.1 或更高版本的客户端设备,它支持动态主机配置协议 (DHCP)
- 运行 Windows 部署服务的 Windows Server (WDS) 角色
- DHCP 服务器
有关如何配置网络解锁功能的详细信息,请参阅 网络解锁。
BitLocker 恢复
组织应仔细规划 BitLocker 恢复策略,作为整体 BitLocker 实施计划的一部分。 实现 BitLocker 恢复模型时,有多种选项, 如 BitLocker 恢复概述中所述。
监视 BitLocker
组织可以使用Microsoft Intune或Configuration Manager来监视多个设备之间的设备加密。 有关详细信息,请参阅使用 Intune 监视设备加密和在 Configuration Manager 中查看 BitLocker 报表。
后续步骤
了解如何为组织规划 BitLocker 恢复策略:
了解配置 BitLocker 的可用选项,以及如何通过配置服务提供程序 (CSP) 或组策略 (GPO) 对其进行配置: