Windows

使用 BitLocker 時如何檢查硬碟驅動器是否使用軟體或硬體加密?

  • November 15, 2018

由於最近的安全發現可能大多數 SSD 以完全幼稚和破壞的方式實施加密,我想檢查我的哪些 BitLocker 機器正在使用硬體加密,哪些正在使用軟體。

我找到了一種禁用硬體加密的方法,但我不知道如何檢查我是否正在使用硬體加密(在這種情況下,我必須重新加密驅動器)。我該怎麼做?

我知道manage-bde.exe -status這給了我一個輸出,例如:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

   Size:                 952.62 GB
   BitLocker Version:    2.0
   Conversion Status:    Used Space Only Encrypted
   Percentage Encrypted: 100.0%
   Encryption Method:    XTS-AES 128
   Protection Status:    Protection On
   Lock Status:          Unlocked
   Identification Field: Unknown
   Key Protectors:
       TPM
       Numerical Password

但我不知道我想要的資訊是否在這個螢幕上。

MSRC 上有一篇相當新的文章,部分解釋了這個問題以及如何解決它。謝謝@凱文

Microsoft 知道某些自加密驅動器 (SED) 的硬體加密存在漏洞的報告。擔心此問題的客戶應考慮使用 BitLocker Drive Encryption™ 提供的純軟體加密。在具有自加密驅動器的 Windows 電腦上,BitLocker Drive Encryption™ 管理加密並將預設使用硬體加密。想要在具有自加密驅動器的電腦上強制軟體加密的管理員可以通過部署組策略來覆蓋預設行為來實現此目的。Windows 將僅在啟用 BitLocker 時諮詢組策略以強制執行軟體加密。

要檢查正在使用的驅動器加密類型(硬體或軟體):

  1. > > manage-bde.exe -status從提升的命令提示符執行。 > > >
  2. > > 如果列出的驅動器均未報告“加密方法”欄位的“硬體加密”,則此設備正在使用軟體加密,並且不受與自加密驅動器加密相關的漏洞的影響。 > > >

manage-bde.exe -status應該告訴你是否使用了硬體加密。

我沒有硬體加密驅動器 ATM,所以這是一個參考連結及其包含的圖像:

控制面板中的 BitLocker UI 不會告訴您是否使用了硬體加密,但命令行工具 manage-bde.exe 在使用參數狀態呼叫時會告訴您。您可以看到 D: (Samsung SSD 850 Pro) 啟用了硬體加密,但 C: (Samsung SSD 840 Pro 不支持硬體加密) 沒有啟用硬體加密:

Bitlocker-狀態

引用自:https://serverfault.com/questions/939961