基于安全考虑微软已将Win10硬盘硬件加密换成BitLocker软件加密
去年蓝点网曾报道国外安全研究人员发现多数固态硬盘硬件加密方案存在弱点、非常容易通过硬件手段进行破解。
当时研究人员测试的存在弱点的固态硬盘不乏存在三星这种知名品牌的,这些高端固态硬盘基本都带有硬件加密。
然而令人诧异的是这些自带的硬件加密安全性实在堪忧,有鉴于微软决定将默认加密方案切换为微软的软件加密。
注意:软件加密方案恢复密钥会被保存在微软账户中,如果用户或企业追求高安全的话请在加密时禁用上传密钥!
微软在本周发布的测试版累积更新已经将Windows 10 LTSB 2016(对应周年更新)默认加密方案切换为软件加密。
所谓软件加密即使用微软提供的Windows Bitlocker进行加密,微软认为自家软件的加密方案并不比硬件加密差。
原本微软默认采用硬件加密的原因主要考虑硬盘制造商,微软认为既然硬盘本身提供硬件加密那就使用硬盘加密。
只是在被发现严重安全缺陷后微软觉得这些硬盘制造商更不靠谱,所以微软现在决定切换默认的方式为软件加密。
若Windows 10 LTSB 2016安装 KB4516061 号更新就会切换方案 , 不过若硬盘已经设置加密方案则不会被更改。
此外若用户使用的是 Windows 10 Version 1709 企业版和批量教育版,微软也会将默认方案换成软件加密方案。
如无意外的话其他版本将在下个月的累积更新里进行切换,对于企业管理员来说也可以通过组策略进行自由配置。
如何通过组策略切换加密方案:
用户或企业管理员如果需要切换加密的话可以通过组策略修改,修改后后续新连接硬盘将按组策略设置进行加密。
具体位置如下:组策略、计算机配置、管理模板、Windows 组件、Bitlocker驱动器加密、配置驱动器硬件加密。
然后找到配置对操作系统驱动器使用基于硬件的加密,将其策略修改为已启用最后按自己实际需求进行加密配置。
提示:后续微软更新加密方案后组策略配置应该会有变化,到时候用户可以按照调整后的组策略来自定义组策略。
如何查看当前的硬盘加密方案:
如果硬盘或部分硬盘已经启用加密功能则可以通过命令查看,管理员命令提示符执行 manage-bde.exe -status
执行此命令后系统将自动打印出所有已经加密的硬盘驱动器及对应的加密方案,未显示硬件加密那就是软件加密。