1. 引言
在前文中,我们探讨了攻击者在获得物理访问权限后,如何重置 Windows 和 Linux 设备的密码。这使我们从管理员或安全管理者的角度思考:如何防止此类攻击?
尽管 BIOS/EFI 保护措施(如 UEFI Secure Boot)可以在一定程度上限制攻击者的操作,但它们无法防止攻击者直接拆下硬盘或 SSD 并在其他设备上读取数据。唯一有效的防御措施是对整个磁盘进行加密,确保即使存储介质被盗,数据仍然无法被访问。
本指南将介绍 Windows、macOS 和 Linux 的主流加密方案,并分析各自的安全性及潜在风险。
2. Windows 加密方案:BitLocker
2.1 BitLocker 介绍
BitLocker 是 Windows 专业版(Pro)和企业版(Enterprise)内置的磁盘加密工具。它的核心工作原理如下:
- 使用 TPM(可信平台模块)存储加密密钥,确保设备在正常启动时无需额外输入密钥即可访问数据。
- 如果硬盘被移除或使用外部设备启动,则需要 BitLocker 密码或恢复密钥才能解密数据。
- 支持 USB 密钥,在不使用 TPM 的老旧设备上,也可以通过 USB 设备存储密钥。
2.2 启用 BitLocker
- 打开 BitLocker 控制面板(
控制面板 → BitLocker 驱动器加密
)。 - 选择要加密的磁盘,点击“启用 BitLocker”。
- 选择解锁方式:
- 使用 TPM(默认)。
- 使用密码。
- 使用 USB 密钥。
- 备份恢复密钥(建议存储在安全位置,如 Microsoft 账户、USB 设备或打印出来)。
- 选择加密模式:
- 仅加密已用空间(适用于新设备)。
- 加密整个驱动器