BitLocker 規劃指南
BitLocker 部署策略包括根據組織的安全性需求來定義適當的原則和設定需求。 本文可協助收集資訊以協助進行 BitLocker 部署。
稽核環境
若要規劃 BitLocker 部署,請瞭解目前的環境。 執行非正式稽核以定義目前的原則、程式和硬體環境。 檢閱現有的磁碟加密軟體和組織的安全策略。 如果組織未使用磁碟加密軟體,則這些原則可能不存在。 如果磁碟加密軟體正在使用中,則可能需要變更原則,才能使用特定的 BitLocker 功能。
若要協助記載組織目前的磁碟加密安全策略,請回答下列問題:
| ☑️ | 問題 |
|---|---|
| 🔲 | 是否有原則可判斷哪些裝置必須使用 BitLocker,哪些則不使用? |
| 🔲 | 有哪些原則可用來控制修復密碼和修復密鑰記憶體? |
| 🔲 | 哪些原則可用來驗證需要執行 BitLocker 復原的使用者身分識別? |
| 🔲 | 有哪些原則可用來控制組織中誰可以存取復原數據? |
| 🔲 | 有哪些原則可用來控制裝置的解除委任或淘汰? |
| 🔲 | 有哪些加密演演算法強度? |
加密金鑰和驗證
TPM) (受信任的平台模組是由製造商安裝在許多 Windows 裝置上的硬體元件。 它可與 BitLocker 搭配運作,以協助保護用戶數據,並確保裝置在系統離線時未遭到竄改。
BitLocker 可以鎖定正常啟動程式,直到使用者提供個人識別碼 (PIN) ,或插入包含啟動密鑰的卸載式 USB 裝置為止。 這些額外的安全性措施提供多重要素驗證。 它們也可確保在顯示正確的 PIN 或啟動金鑰之前,計算機不會從休眠狀態啟動或繼續。
在沒有 TPM 的裝置上,BitLocker 仍然可以用來加密 Windows 操作系統磁碟區。 不過,此實作不會提供 BitLocker 使用 TPM 所提供的啟動前系統完整性驗證。
如同大部分的安全性控制措施,信息保護的有效實作會考慮可用性和安全性。 使用者通常偏好簡單的安全性體驗。 事實上,安全性解決方案越透明,使用者就越可能符合該解決方案。
無論裝置的狀態或使用者的意圖為何,組織都必須保護其裝置上的資訊。 對用戶來說,這項保護應該不會很麻煩。 其中一個非預期且先前常見的情況是在預先啟動期間提示使用者輸入,然後在 Windows 登入期間再次出現。 應避免挑戰使用者多次輸入。
TPM 能夠在待用時安全地保護 BitLocker 加密金鑰,而且可以安全地解除鎖定作業系統磁碟驅動器。 當密鑰正在使用中,因此在記憶體中,硬體和 Windows 功能的組合可以保護密鑰,並防止透過冷開機攻擊未經授權的存取。 雖然可以使用其他因應措施,例如 PIN 型解除鎖定,但它們並不適合使用;視裝置的設定而定,它們在密鑰保護方面可能不會提供更多安全性。 如需詳細資訊,請參閱 BitLocker 因應措施。
BitLocker 金鑰保護工具
若要保護 BitLocker 加密金鑰,BitLocker 可以使用不同類型的 保護裝置。 啟用 BitLocker 時,每個保護裝置都會收到磁碟區 主要密鑰的複本,然後使用自己的機制進行加密。
| 金鑰保護裝置 | 描述 |
|---|---|
| 自動解除鎖定 | 用來自動解除鎖定未裝載作業系統的磁碟區。 BitLocker 會使用儲存在登錄和磁碟區元數據中的加密資訊,來解除鎖定任何使用自動解除鎖定的數據磁碟區。 |
| OS 磁碟驅動器的密碼和密碼 | 若要解除鎖定磁碟驅動器,用戶必須提供密碼。 當用於 OS 磁碟驅動器時,系統會在啟動前畫面中提示使用者輸入密碼。 此方法不提供任何鎖定邏輯,因此無法防範暴力密碼破解攻擊。 |
| 啟動金鑰 | 可儲存在抽取式媒體上的加密金鑰,檔案名格式為 <protector_id>.bek。 系統會提示使用者輸入具有修復密鑰和/或啟動金鑰的 USB 快閃磁碟驅動器,然後重新啟動裝置。 |
| 智慧卡憑證 | 用來解除鎖定未裝載作業系統的磁碟區。 若要解除鎖定磁碟驅動器,用戶必須使用智慧卡。 |
| TPM | 用來協助建立安全信任根目錄、驗證早期開機組件的硬體裝置。 TPM 保護裝置只能與 OS 磁碟驅動器搭配使用。 |
| TPM + PIN | 使用者輸入的數值或英數位元密鑰保護裝置,除了 TPM 之外,也只能與 OS 磁碟區搭配使用。TPM 會驗證早期開機組件。 用戶必須先輸入正確的 PIN 碼,才能繼續啟動程式,然後才能解除鎖定磁碟驅動器。 如果重複輸入不正確的 PIN,TPM 會進入鎖定,以保護 PIN 免於遭受暴力密碼破解攻擊。 觸發鎖定的重複嘗試次數是變數。 |
| TPM + 啟動金鑰 | TPM 已成功驗證早期開機組件。 用戶必須先插入包含啟動金鑰的 USB 磁碟驅動器,操作系統才能開機。 |
| TPM + 啟動金鑰 + PIN | TPM 已成功驗證早期開機組件。 使用者必須輸入正確的 PIN,並插入包含啟動金鑰的 USB 磁碟驅動器,OS 才能開機。 |
| 修復密碼 | 48 位數的數位,用來在磁碟區處於 恢復模式時解除鎖定磁碟區。 數位通常可以在一般鍵盤上輸入。 如果一般鍵盤上的數字沒有回應,則可以使用 F1-F10) (函式按鍵來輸入數位。 |
| TPM + 網路金鑰 | TPM 已成功驗證早期開機組件,而且已從 WDS 伺服器提供有效的加密網路密鑰。 此驗證方法可自動解除鎖定OS磁碟區,同時維護多重要素驗證。 此金鑰保護裝置只能與 OS 磁碟區搭配使用。 |
| 修復金鑰 | 儲存在抽取式媒體上的加密密鑰,可用來復原 BitLocker 磁碟區上加密的數據。 檔案名格式為 <protector_id>.bek。 |
| 數據復原代理程式 | 數據復原代理程式 (DRA) 是能夠使用其憑證解密受 BitLocker 保護之磁碟驅動器的帳戶。 使用適當憑證設定的數據復原代理程式可以完成受 BitLocker 保護的磁碟驅動器復原。 |
| Active Directory 使用者或群組 | 以 SID) 識別 (Active Directory 使用者或群組安全性為基礎的保護裝置。 當這類使用者嘗試存取數據磁碟驅動器時,數據磁碟驅動器會自動解除鎖定。 |
支援沒有 TPM 的裝置
判斷環境中沒有 TPM 1.2 或更高版本的電腦是否受支援。 如果您決定支持沒有 TPM 的裝置,用戶必須使用 USB 啟動金鑰或密碼來開機系統。 啟動金鑰需要與多重要素驗證類似的額外支援程式。
組織中的哪些區域需要基準層級的數據保護?
僅限 TPM 的驗證方法可為需要基準層級數據保護以符合安全策略的組織提供最透明的用戶體驗。 其總擁有成本最低。 僅限 TPM 可能更適合自動或必須自動重新啟動的裝置。
不過,僅限 TPM 的驗證方法不提供高階的數據保護。 此驗證方法可防止修改早期開機組件的攻擊。 但是,保護層級可能會受到硬體或早期開機組件中的潛在弱點所影響。 BitLocker 的多重要素驗證方法大幅提升數據保護的整體層級。
提示
僅限 TPM 驗證的優點是裝置可以在沒有任何使用者互動的情況下開機 Windows。 如果裝置遺失或遭竊,此設定可能會有其優點:如果裝置連線到因特網,則可以使用裝置管理解決方案從遠端抹除,例如 Microsoft Intune。
組織中的哪些區域需要更安全的數據保護層級?
如果有具有高度敏感數據的裝置,請在這些系統上部署具有多重要素驗證的 BitLocker。 要求使用者輸入 PIN 會大幅提高系統的保護層級。 BitLocker 網路解除鎖定也可用來允許這些裝置在連線到可提供網路解除鎖定密鑰的受信任有線網路時自動解除鎖定。
組織偏好何種多重要素驗證方法?
多重要素驗證方法所提供的保護差異無法輕易量化。 請考慮每個驗證方法對技術支援、使用者教育、用戶生產力,以及任何自動化系統管理程序的影響。
管理密碼和 PIN
在系統磁碟驅動器上啟用 BitLocker 且裝置具有 TPM 時,用戶必須先輸入 PIN,BitLocker 才能解除鎖定磁碟驅動器。 這類 PIN 需求可防止具有裝置實體存取權的攻擊者甚至無法進入 Windows 登入,讓攻擊者幾乎無法存取或修改使用者數據和系統檔案。
啟動時需要 PIN 是實用的安全性功能,因為它可作為第二個驗證因素。 不過,此設定會產生一些成本,特別是當您需要定期變更 PIN 碼時。
此外,新式待命裝置不需要 PIN 即可啟動:其設計目的是不常啟動,並備妥其他防護功能,進一步降低系統的受攻擊面。
如需啟動安全性運作方式和 Windows 所提供之因應措施的詳細資訊,請參閱 啟動前驗證。
TPM 硬體設定
在部署計劃中,識別支援哪些 TPM 型硬體平臺。 記錄組織所使用 OEM () 的硬體模型,以便測試和支援其設定。 TPM 硬體在規劃和部署的所有層面都需要特別考慮。
TPM 1.2 狀態和初始化
針對 TPM 1.2,有多個可能的狀態。 Windows 會自動初始化 TPM,使其變成已啟用、已啟用和擁有的狀態。 此狀態是 BitLocker 使用 TPM 之前所需的狀態。
簽署金鑰
若要讓 BitLocker 使用 TPM,它必須包含簽署金鑰,也就是 RSA 金鑰組。 密鑰組的私用部分會保留在 TPM 內,而且永遠不會在 TPM 外部顯示或存取。 如果 TPM 沒有簽署金鑰,BitLocker 會強制 TPM 在 BitLocker 安裝過程中自動產生簽署金鑰。
簽署密鑰可以在 TPM 生命週期的各個時間點建立,但在 TPM 的存留期中只需要建立一次。 如果 TPM 的簽署金鑰不存在,您必須先建立簽署金鑰,才能取得 TPM 擁有權。
如需 TPM 和 TCG 的詳細資訊,請參閱信賴運算群組: 信賴平臺模組 (TPM) 規格。
非 TPM 硬體組態
沒有 TPM 的裝置仍可使用啟動金鑰透過磁碟驅動器加密來保護。
使用下列問題來識別可能會影響非 TPM 設定中部署的問題:
- 每個裝置都有 USB 快閃磁碟驅動器的預算嗎?
- 現有的非 TPM 裝置在開機時是否支援 USB 磁碟驅動器?
在啟用 BitLocker 時,使用 BitLocker 系統檢查選項來測試個別硬體平臺。 系統檢查可確保 BitLocker 在加密磁碟區之前,可以正確地從 USB 裝置和加密金鑰讀取復原資訊。
磁碟設定考慮
若要正常運作,BitLocker 需要特定的磁碟設定。 BitLocker 需要兩個符合下列需求的分割區:
- 操作系統分割區包含作業系統及其支援檔案;它必須使用NTFS檔案系統格式化
- 系統分割區 (或開機磁碟分區) 包含在BIOS或 UEFI 韌體備妥系統硬體之後載入 Windows 所需的檔案。 此分割區上未啟用 BitLocker。 若要讓 BitLocker 能夠運作,系統分割區不得加密,而且必須位於與操作系統不同的分割區上。 在 UEFI 平臺上,系統分割區必須使用 FAT 32 檔案系統進行格式化。 在 BIOS 平臺上,系統分割區必須使用 NTFS 檔案系統進行格式化。 其大小應該至少為 350 MB。
Windows 安裝程式會自動設定電腦的磁碟驅動器,以支援 BitLocker 加密。
Windows 復原環境 (Windows RE) 是以 Windows 預安裝環境 (Windows PE) 為基礎的可延伸復原平臺。 當計算機無法啟動時,Windows 會自動轉換到此環境,而 中的啟動修復工具 Windows RE 自動診斷和修復無法啟動的 Windows 安裝。 Windows RE 也包含提供修復密鑰或修復密碼來解除鎖定受 BitLocker 保護之磁碟區所需的驅動程式和工具。 若要搭配 BitLocker 使用 Windows RE,Windows RE 開機映射必須位於不受 BitLocker 保護的磁碟區上。
Windows RE 也可以從本機硬碟以外的開機媒體使用。 如果 Windows RE 未安裝在已啟用 BitLocker 之電腦的本機硬碟上,則可以使用不同的方法來開機 Windows RE。 例如,Windows 部署服務 (WDS) 或 USB 快閃磁碟驅動器可用於復原。
BitLocker 布建
系統管理員可以先啟用 BitLocker,再從 Windows 預安裝環境 (WinPE) 部署操作系統。 此步驟是透過套用至格式化磁碟區的隨機產生清除密鑰保護裝置來完成。 它會在執行 Windows 安裝程式之前加密磁碟區。 如果加密使用 [ 僅使用磁碟空間 ] 選項,則此步驟只需要幾秒鐘的時間,即可併入現有的部署程式。 預先布建需要 TPM。
若要檢查特定磁碟區的 BitLocker 狀態,系統管理員可以查看 BitLocker 控制台 applet 或 Windows Explorer 中的磁碟驅動器狀態。 [正在等候啟用] 狀態表示磁碟驅動器已針對 BitLocker 預先布建,而且只有一個用來加密磁碟區的明確保護裝置。 在此情況下,磁碟區不會受到保護,而且必須先將安全密鑰新增至磁碟區,磁碟驅動器才會被視為完全受保護。 系統管理員可以使用 控制台 選項、PowerShell Cmdlet、manage-bde.exe工具或 WMI API 來新增適當的密鑰保護裝置。 磁碟區狀態隨即更新。
使用 控制台 選項時,系統管理員可以選擇開啟 BitLocker,並遵循精靈中的步驟來新增保護裝置,例如操作系統磁碟區 (的 PIN,如果沒有 TPM,則為密碼) ,或是將密碼或智慧卡保護裝置新增至數據磁碟區。 然後,磁碟驅動器安全性視窗會在變更磁碟區狀態之前顯示。
僅使用磁碟空間 加密
BitLocker 安裝精靈可讓系統管理員在啟用磁碟區的 BitLocker 時,選擇 [ 僅使用磁碟空間 ] 或 [ 完整 加密] 方法。 系統管理員可以使用 BitLocker 原則設定來強制執行僅限使用磁碟空間或完整磁碟加密。
啟動 BitLocker 安裝精靈會提示您使用驗證方法, (密碼和智慧卡可供數據磁碟區) 使用。 選擇方法並儲存修復金鑰之後,精靈會要求選擇磁碟驅動器加密類型。 選 取 [僅使用磁碟空間 ] 或 [ 完整 磁碟驅動器加密]。
使用僅限使用磁碟空間時,只會加密包含數據的磁碟驅動器部分。 未使用的空間會保持未加密狀態。 此行為會加快加密程式的速度,特別是針對新的裝置和數據磁碟驅動器。 使用這個方法啟用 BitLocker 時,當數據新增至磁碟驅動器時,所使用的磁碟驅動器部分會加密。 因此,永遠不會有未加密的數據儲存在磁碟驅動器上。
使用完整磁碟驅動器加密時,無論數據是否儲存在該磁碟驅動器上,整個磁碟驅動器都會加密。 此選項適用於已重新規劃的磁碟驅動器,而且可能包含先前使用的數據殘留物。
注意
當僅加密現有磁碟區上已使用的空間,而機密數據可能已儲存在未加密狀態時,請小心。 使用已使用的空間加密時,先前未加密數據儲存所在的扇區可以透過磁碟復原工具復原,直到新的加密數據覆寫為止。 相反地,僅在全新磁碟區上加密已使用的空間,可能會大幅減少部署時間,而不會有安全性風險,因為所有新數據都會在寫入磁碟時加密。
加密硬碟支援
加密硬碟提供上線密碼編譯功能,以加密磁碟驅動器上的數據。 這項功能可藉由將密碼編譯計算從裝置的處理器卸載至磁碟驅動器本身,來改善磁碟驅動器和系統效能。 數據會使用專用的專用硬體,由磁碟驅動器快速加密。 如果打算搭配 Windows 使用全磁碟驅動器加密,Microsoft 建議您研究硬碟製造商和模型,以判斷其任何加密硬碟是否符合安全性和預算需求。
如需加密硬碟的詳細資訊,請參閱 加密硬碟。
Microsoft Entra ID 和 Active Directory 網域服務 考慮
BitLocker 與 Microsoft Entra ID整合,並 Active Directory 網域服務 (AD DS) ,以提供集中式密鑰管理。 根據預設,不會將復原資訊備份至 Microsoft Entra ID 或 AD DS。 系統管理員可以為每個磁碟驅動器類型設定原則 設定 ,以啟用 BitLocker 復原資訊的備份。
下列復原資料會針對每個電腦物件儲存:
- 修復密碼:用來復原受 BitLocker 保護磁碟區的 48 位數修復密碼。 當 BitLocker 進入復原模式時,用戶必須輸入此密碼才能解除鎖定磁碟區
- 密鑰套件:使用金鑰套件和修復密碼時,如果磁碟嚴重損壞,則可以解密受 BitLocker 保護的磁碟區部分。 每個密鑰套件只適用於其建立所在的磁碟區,該磁碟區是由對應的磁碟區標識碼所識別
修復密碼保護裝置的 FIPS 支援
設定為在 FIPS 模式中運作的裝置可以建立符合 FIPS 規範的修復密碼保護裝置,其使用 FIPS-140 NIST SP800-132 演算法。
注意
#D5C13EED9032746E39EDFC520F7765CFD 美國聯邦資訊處理標準 (FIPS) 定義美國聯邦政府所使用計算機系統的安全性和互操作性需求。 FIPS-140 標準會定義已核准的密碼編譯演算法。 FIPS-140 標準也會針對密鑰產生和金鑰管理提出需求。 美國國家標準與技術局 (NIST) 會使用密碼編譯模組驗證計劃 (CMVP) 來判斷密碼編譯演算法的特定實作是否符合 FIPS-140 標準。 只有在已提交密碼編譯演算法並通過 NIST 驗證時,才會將密碼編譯演算法的實作視為符合 FIPS-140 規範。 即使實作產生的數據與相同演算法的驗證實作相同,尚未提交的演算法也無法視為符合 FIPS 規範。
- 符合 FIPS 規範的修復密碼保護裝置可以匯出並儲存在 AD DS 中
- 復原密碼的 BitLocker 原則設定適用於支援 BitLocker 的所有 Windows 版本,不論是否處於 FIPS 模式
網路解除鎖定
有些組織有位置特定的數據安全性需求,特別是在具有高價值數據的環境中。 網路環境可能會提供重要的數據保護,並強制執行強制驗證。 因此,原則會指出這些裝置不應該離開建築物或中斷公司網路的連線。 實體安全性鎖定和地理柵欄等保護措施可能有助於將此原則強制執行為回應式控制。 除了這些保護措施之外,只有在裝置連線到公司網路時,才可授與數據存取權的主動式安全性控制措施。
網路解除鎖定 可讓受 BitLocker 保護的裝置在連線到執行 Windows 部署服務的有線公司網路時自動啟動。 每當裝置未連線到公司網路時,如果已啟用 PIN 型解除鎖定) ,使用者就必須輸入 PIN 以解除鎖定磁碟驅動器 (。 網路解除鎖定需要下列基礎結構:
- 具有整合可延伸韌體介面 (UEFI) 韌體 2.3.1 版或更新版本的用戶端裝置,其支援動態主機設定通訊協定 (DHCP)
- 執行 Windows 部署服務的 Windows Server (WDS) 角色
- DHCP 伺服器
如需如何設定網路解除鎖定功能的詳細資訊,請參閱 網路解除鎖定。
BitLocker 復原
組織應該仔細規劃 BitLocker 復原策略,作為整體 BitLocker 實作計劃的一部分。 實作 BitLocker 恢復模式時有不同的選項, 如 BitLocker 複原概觀中所述。
監視 BitLocker
組織可以使用 Microsoft Intune 或 Configuration Manager 來監視多個裝置之間的裝置加密。 如需詳細資訊,請參閱使用 Intune 監視裝置加密和在 Configuration Manager 中檢視 BitLocker 報表。
後續步驟
瞭解如何為您的組織規劃 BitLocker 復原策略:
瞭解設定 BitLocker 的可用選項,以及如何透過設定服務提供者 (CSP) 或組策略 (GPO) 進行設定:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應