Windows Vista的BitLocker全盘加密
早就垂涎Windows Vista的BitLocker全卷加密(简称BDE)功能,只是苦于不敢拿本本试刀。最近拿到最新的Windows Vista CTP 5308版本,居然在VMware虚拟机里测试成功!此等好事,安能善自珍摄?自当写来以飨读者诸君。
BitLocker概述
BitLocker只是微软起的“艺名”,其原名是Secure Startup(安全启动),从它的原名中可以看出其本义是为了确保系统的启动安全。
BitLocker可以加密整个Windows卷,包括页面文件、SAM注册表数据库文件、休眠文件和Dump文件等等,这些都是EFS加密所无法保护的(因为EFS无法加密系统文件和位于系统目录下的所有文件)。
BitLocker加密的模式有两种:
1.USB闪盘模式
需要BIOS支持引导时访问USB闪盘。可以将解锁磁盘所需的相关密钥存放在USB闪盘里,开机时必须插入USB闪盘,才能解锁加密的Windows卷,才能正常访问Windows Vista。
2.TPM模式
要求计算机带有1.2版本的TPM芯片,系统会将解锁磁盘所需的密钥存放在TPM芯片里。
TPM模式可以实现最严厉的安全保护措施。除了USB闪盘模式所支持的全卷加密之外,还另外支持系统启动组件的完整性检测。
这种完整性检测,有点类似于Windows XP的激活机制。在设置BitLocker加密时,系统会分别对主引导记录(MBR)、NTFS引导扇区、NTFS引导代码和密钥等做“快照”(估计可能是分别产生相应的散列值),然后保存在TPM芯片的相应的寄存器里,每次系统启动时,会自动与原本的快照进行比较,这个过程称作度量(measure)。
如果这些启动组件发生了变化(通常可能是攻击行为所导致),系统就会拒绝从TPM芯片里释放磁盘加密密钥!我们可以在组策略里指定TPM模式所“度量”的启动组件,如图1所示(图中显示,MBR的"快照"存放在TPM芯片的PCR4寄存器中,依次类推)。
图1
此外,还可以根据需要,选择是否设置启动密钥,以提供额外的安全保护。
实验准备
1.选择合适的虚拟机工具
由于BitLocker加密实验需要USB闪盘的支持,所以只能采用VMware 虚拟机,本例以VMware Workstation 5.5.1为例进行介绍。
2.准备虚拟机
(1) 给虚拟机分配一个18GB大小的磁盘,划分为两个分区,其中主分区C盘大小为3GB,逻辑存盘D盘大小为15GB。
(2) 在C盘上安装Windows XP,在D盘上安装Windows Vista CTP Build 5308。如果C盘上不安装任何系统,则只需大于50MB即可。
注意
不能将Windows Vista安装在系统卷(例如C盘),因为启动过程中所需的引导扇区和Windows Boot Manager都位于系统卷上,所以系统卷本身不允许加密!
实验步骤
在这个实验里,我们将借助“BitLocker Drive Encryption”控制面板组件,配置BitLocker全卷加密。
值得称道的是,尽管BitLocker加密的原理十分复杂,但是其使用和配置非常简便,几乎不会影响我们原来的使用习惯,可以说BitLocker加密就是Windows Vista的“具体而微者”,充分体现了Windows Vista的“自信”(confident)和“简明”(clear)的要旨。
广告结束,该轮到正角儿上场了!
1.启用BitLocker全卷加密
(1) 首先必须把USB闪盘插入宿主机,然后依次展开VMware工具栏上的VM→Removable Devices→USB Devices,选择该USB闪盘的代号,即可把USB闪盘挂载到Windows Vista虚拟机。
(2) 在控制面板窗口里依次单击Security →BitLocker Drive Encryption,打开BitLocker Drive Encryption的控制面板组件,如图2所示。可以看到该界面上只显示Windows Vista安装目录所在的卷,我们只能对该卷进行BitLocker加密。
图2
(3) 单击其上的“Turn on BitLocker”,即可启动BitLocker加密向导。系统将随机生成一个48位的恢复密码(Recovery Password)。单击“Show the password”,系统将会显示出该48位密码,如图3所示,这里需要记下该密码。
图3
注意
在本例中必须记下该恢复密码,否则今后无法进入Windows Vista虚拟机!
(3) 接下来系统提示把恢复密钥(Recovery Key)保存在USB闪盘,选中虚拟机所挂载USB闪盘的盘符,然后单击“Save Key”按钮即可,如图4所示。
图4
注意
如果选择把恢复密钥保存在USB闪盘里,则接下来必须更换一个新的USB闪盘,以便存放启动密钥。否则启动密钥会自动覆盖恢复密钥。
(4) 单击两次Next按钮,跳过“保存密钥到其他计算机或者网络共享”的过程。
(5) 下一步,系统会提示将启动密钥(Startup Key)保存在USB闪盘里,选中虚拟机所挂载USB闪盘的盘符,然后单击“Save Key”按钮即可,如图5所示。
图5
(6) 然后系统提示可以加密选中的分区,单击其上的“Encrypt”按钮即可,如图6所示。
图6
(7) 接下来就是冗长的加密过程,由于是虚拟机,所以速度特别慢,差不多要1~2个小时才能加密完毕,如图7所示。
图7
2.恢复过程
非常可惜,VMware虚拟机不支持在开机时访问USB闪盘。所以在虚拟机里,我们没法做到和真实环境一样实现无缝开机。必须在每次虚拟机开机时,手动输入先前保存的48位恢复密码,才能成功访问Windows Vista所在的卷。
(1) 启动虚拟机,在启动菜单上选择进入Windows Vista操作系统。
(2) 由于虚拟机在开机引导时无法访问USB闪盘,所以Windows Boot Manager会抱怨找不到解密磁盘的密钥,这时候按下ESC键,如图8所示。
图8
(3) 接下来Windows Boot Manager会提示输入48位的恢复密码,需要以F1~F10功能键代替数字键,直接按下相应的数字键即可输入恢复密码,如图9所示。
图9
(4) 输入恢复密码以后,即可进入Windows Vista环境。
BitLocker和EFS等加密方法的比较
很多用户以为,BitLocker加密是Windows Vista新引入的加密模式,它一定比其他所有已有的加密方法都要先进。
其实不然,从前面的描述中可以看出,BitLocker加密主要用于确保系统登录之前的启动安全,一旦登录到用户环境,所有的文件都处于解密状态。所以还是需要借助EFS加密实现基于用户(per-user)的文件保护。
尽管如此,BitLocker加密的重要意义还是非常明显,因为它可以加密页面文件、休眠文件和SAM数据库等EFS所无法涉足的重要文件,这样就可以防止攻击者借助LC5等工具离线破解帐户密码,从而绕过EFS的防护。
提示
EFS加密也可以采用导出私钥,并删除私钥的本地副本、结合SYSKEY、关机删除页面文件等方法防御攻击。
悬而未决的疑点
苦于BitLocker加密的官方文档非常少,对其实现细节,笔者几乎一无所知。所以有以下问题,希望大家能够在此讨论和PK:
1.这些密码和密钥到底是什么东东?
在设置BitLocker加密时,出现了三个密钥(密码),分别是恢复密码、恢复密钥和启动密钥,这三个密钥(密码)到底是什么含义?
用Winhex工具对恢复密钥和启动密钥的文件进行比较,发现这两个密钥文件都是124字节,其中只有offset 28、29、2A和2B四个字节的内容有所不同。
2.BitLocker加密和解密的过程
希望能够了解其加密和解密的过程,例如磁盘加密的密钥的产生,磁盘加密的密钥是怎么被加密并保存在哪里,系统是怎么从这个48位的恢复密钥得到磁盘密钥的,等等…
提示
1.撰写本文的过程中,得到了MVP李隽秀的极大帮助,在此表示感谢!
2.本文参考了微软官方文档《BitLocker Drive Encryption Step by Step Guide》。