V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Ko7ut
V2EX  ›  Windows

Bitlocker 的“备份恢复密钥”功能太不安全了吧

  •  
  •   Ko7ut · 2017-04-23 16:03:08 +08:00 · 4759 次点击
    这是一个创建于 2801 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有时别人临时用下我的电脑,只要在 C 盘上单击右键,备份恢复密钥,然后就能把恢复密钥保存到优盘了,居然不需要验证原来的密码。

    16 条回复    2017-05-04 01:38:42 +08:00
    Aliencn
        1
    Aliencn  
       2017-04-23 16:23:50 +08:00
    处于解锁状态下的磁盘操作 BitLocker 都不会再校验密码。
    Ko7ut
        2
    Ko7ut  
    OP
       2017-04-23 16:36:59 +08:00
    @Aliencn 对啊,太不安全了,备份密钥重要验证下原来的密码吧,微软这样弄,别人接触你电脑,密钥可以随便拿了
    billlee
        3
    billlee  
       2017-04-23 17:02:50 +08:00
    @Ko7ut 加密和访问控制是两个不一样的安全措施,备份密钥需要的是访问控制,靠的是管理员账户的口令。
    oisc
        4
    oisc  
       2017-04-23 17:07:33 +08:00
    都登陆了,还备份毛线恢复密钥,直接全盘拷走不是更方便吗?
    geelaw
        5
    geelaw  
       2017-04-23 17:23:15 +08:00
    离开电脑前你不锁定工作站吗?
    geelaw
        6
    geelaw  
       2017-04-23 17:23:45 +08:00
    另外如果你想别人临时用一下你的电脑,给他一个受限用户( Users 组)就好了。
    anyclue
        7
    anyclue  
       2017-04-23 19:05:12 +08:00
    你要是弄明白为什么 Windows 上没有原生的单独加密某个文件夹功能就明白这个问题了
    slrey
        8
    slrey  
       2017-04-23 19:40:45 +08:00
    我有事临时用一下你家钥匙,顺便拿着去配一把以后就能永久进你家了。你家锁太不安全了。
    geelaw
        9
    geelaw  
       2017-04-23 21:11:38 +08:00
    @anyclue What? 什么算“原生”? EFS ?
    anyclue
        10
    anyclue  
       2017-04-23 21:30:32 +08:00
    @geelaw 要是有人问你 Windows 上怎么加密某一个文件夹啊?我不知道你怎么回答,我会告诉对方 Windows 上不能加密某一个文件夹, Windows 上的使用安全靠的是权限来控制的,你如果不想让别人访问这个文件夹,就别让他登陆你现在使用的 Administrator 账户
    geelaw
        11
    geelaw  
       2017-04-23 21:43:40 +08:00
    @anyclue 我还是没有理解,你不可以使用 EFS 吗? EFS 和 ACL 是两个完全不同的防御方向—— EFS 防止可以修改或绕过 ACL 的人访问文件(例如本地 /域管理员,或者拆机), ACL 防止一个非管理员在 Windows 的控制下访问这个文件。

    如果你希望使用额外的密码加密一个文件夹或者文件,似乎 macOS 也没有这种东西,而 Linux 的那些工具也很难说是“原生”。第三方软件到处都是。

    “ Windows 上的使用安全靠的是权限”,当然,哪个系统上都是使用权限最简单; EFS 或者任何其他加密方式是保护软件控制范围之外的,例如有人拆了你的硬盘(当然你需要把密钥也加密起来,比如把系统分区 BitLocker 上)。

    我觉得你并没有理解加密和 ACL 的意义之区别,或者你懒得把这个概念给一个无知的人解释清楚。

    如果你了解了上述知识,你可以选择建立另一个分区,然后把它装入空白的 NTFS 文件夹,然后用密码式 BitLocker 加密那个分区,这样你就可以加密一个文件夹了。但是任何明智的人都不会这样做——这很麻烦。

    如果平时借给别人用的时候的是受限用户,两条路,一是给别人的时候用其他受限用户,然后自己的文件设 ACL ;二是给别人的时候仍然用自己的受限用户,自己建立一个新的受限用户用于存储受保护的文件夹,可以使用 EFS 而放松 ACL 。

    但是这样你仍然面临着加密数据被删除的可能;如果你不想加密数据被删除,那么惟一的方法就是 ACL ,就绕回来了。
    anyclue
        12
    anyclue  
       2017-04-23 21:56:16 +08:00
    @geelaw 哦哦哦
    lazycat
        13
    lazycat  
       2017-04-24 09:47:13 +08:00 via Android
    是不是每一次 IO 操作都校验一次密码你才觉得安全(手动滑稽)
    Ko7ut
        14
    Ko7ut  
    OP
       2017-04-24 12:20:32 +08:00
    被好多人喷啊。。。
    ghostheaven
        15
    ghostheaven  
       2017-04-26 23:21:41 +08:00 via Android
    其实 bitlocker 主要是防艳照门的(逃走
    acess
        16
    acess  
       2017-05-04 01:38:42 +08:00
    首先……作为被 BitLocker 的 AES-XTS 坑过的人,同情一下 LZ ( Win10 在 1511 版加了新加密方式,不兼容老系统,结果老系统打开新加密盘居然报密码输入错误,而不是报不兼容,真是误导)。

    还有,Windows 的管理员账户权限很大的,别看动不动拒绝访问什么的……你至少可以直接获取所有权,然后改成允许完全控制。
    实际上感觉和 root 也差不了太多了(笑)。
    比如 PCHunter,直接用驱动在内核层里操作,操作文件、注册表,都无视权限……(貌似这类驱动有个绰号叫“穿越驱动”,360、腾讯他们都有做这个)

    反正…… LZ 如果真的注意安全,确实应该把控好管理员账户,最好干脆别让别人用你电脑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1103 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:03 · PVG 07:03 · LAX 15:03 · JFK 18:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.