Windows 10的BitLocker加密不再信任您的SSD

Windows 10桌面上的BitLocker驱动器图标。

许多消费类SSD声称支持加密,而BitLocker相信它们。 但是,正如我们去年所了解的那样, 这些驱动器通常不能安全地加密文件 微软刚刚更改了Windows 10,以停止信任那些粗略的SSD,并默认使用软件加密。

总之,固态驱动器和其他硬盘驱动器可以声称是“自我加密”。如果这样做,则即使手动启用了BitLocker,BitLocker也不会执行任何加密。 从理论上讲,这很好:驱动器可以在固件级别本身执行加密,从而加快了处理速度,减少了CPU使用率,并可能节省了一些电量。 实际上,这很糟糕:许多驱动器具有空的主密码和其他可怕的安全故障。 我们了解到,消费者SSD无法实现加密。

现在,微软已经改变了一切。 默认情况下,BitLocker将忽略声称是自加密的驱动器,并在软件中执行加密工作。 即使您拥有声称支持加密的驱动器,BitLocker也不会相信。

此更改已在Windows 10的KB4516071更新中发布, 更新于2019年9月24日发布。SwiftOnSecurity在Twitter上发现了此更改:

具有BitLocker的现有系统将不会自动迁移,并且如果最初以这种方式设置,将继续使用硬件加密。 如果您已在系统上启用BitLocker加密 ,则必须解密驱动器,然后再次对其进行加密,以确保BitLocker使用的是软件加密而不是硬件加密。 此Microsoft安全公告包括一个命令,可用于检查系统是否使用硬件或基于软件的加密。

正如SwiftOnSecurity指出的那样,现代的CPU可以处理软件中的这些操作,当BitLocker切换到基于软件的加密时,您应该不会看到明显的速度下降。

如果您愿意,BitLocker仍然可以信任硬件加密。 该选项默认情况下处于禁用状态。 对于拥有其信任的固件的驱动器的企业,组策略中“计算机配置\管理模板\ Windows组件\ BitLocker驱动器加密\固定数据驱动器”下的“配置对固定数据驱动器使用基于硬件的加密”选项将使他们重新激活使用基于硬件的加密。 其他所有人都不要管它。

Windows 10组策略中启用或禁用BitLocker的基于硬件的加密的选项。

微软感到羞耻,我们其他人不能相信磁盘制造商。 但这是有道理的:当然,您的笔记本电脑可能是由戴尔,惠普甚至微软自己制造的。 但是,您知道那台笔记本电脑中的驱动器是谁制造的吗? 您是否相信该驱动器的制造商可以安全地处理加密并在出现问题时发出更新? 据我们了解,您可能不应该这样做。 现在,Windows也不会。

相关: 您无法信任BitLocker在Windows 10上加密您的SSD

赞 (0)
分享到:更多 ()