使用BitLocker保護(hù)你的系統(tǒng)和數(shù)據(jù)(YubiKey篇)

條件&環(huán)境:
Windows 10,非家庭版
準(zhǔn)備YubiKey 4/5系列 x 1
備份關(guān)鍵文件用的U盤 x 1 (非必須)

Why

  • 電腦丟失/硬盤丟失的情況下,bitlocker可以保護(hù)數(shù)據(jù),不被人輕易訪問到.
  • 沒有開啟bitlocker的情況下,Windows的開機(jī)密碼可被輕易繞過,但如果開了bitlocker,一般的黑闊選手也就沒轍了.

How

  • 可以用傳統(tǒng)的口令密碼的方式啟動bitlocker,
    也可以用ybk之類的智能卡/TPM芯片/U盤等方式.

  • 選擇YubiKey的理由?
    成本比U盤高,
    但是驗(yàn)證用的證書(密鑰)存儲在YubiKey中,
    無法被人輕易訪問和COPY走,
    如果YubiKey不丟,可以保證證書密鑰的存儲非常安全.

  • 缺點(diǎn)是YubiKeyPIV這種方式,無法用于Windows系統(tǒng)盤的bitlocker開啟,
    只能用于其他普通磁盤.

What

先講一下大概的過程:
  • 其實(shí)沒那么復(fù)雜,
    簡單來說,我們需要的操作即:
    滿足條件的yubikey + 滿足條件的windows配置 + 對磁盤開啟bitlocker

  • 滿足條件的yubikey:
    (1)配置YubiKey PIV的密碼
    (2)生成bitlocker驗(yàn)證所需的證書(密鑰)
    (3)把這個證書塞進(jìn)YubiKey

  • 滿足條件的windows配置:
    兩處配置

  • 對磁盤開啟bitlocker:
    blablabla

  • 最后確保萬事大吉的善后工作

滿足條件的yubikey:

  • (1)要先搞清YubiKey PIV大概是什么東西,
    安裝好YubiKey相關(guān)軟件,
    設(shè)置好PIV部分的口令密碼才能繼續(xù),
    我已經(jīng)提前寫好了相關(guān)內(nèi)容,通俗易懂.
    鏈接在這里:
    http://www.reibang.com/p/9aad2d79a66b

  • (2)生成bitlocker驗(yàn)證所需的證書(密鑰):
    驗(yàn)證支持的證書有三種類型,即CA證書 \ 自簽名證書 \ EFS證書

    所以區(qū)別是什么?
    簡單來說,
    第1種要花錢,
    第2種不如第3種用途廣,
    所以我直接用了第3種EFS證書.

    如何生成EFS證書?
    windows鍵 - 搜"管理文件加密證書"

    Snipaste_2020-10-03_21-39-43.png

沒啥選的,直接下一步


Snipaste_2020-10-03_21-30-37.png

創(chuàng)建新證書,下一步


Snipaste_2020-10-03_21-31-03.png

選存儲在計(jì)算機(jī)上,別選其他的,因?yàn)槌艘M(jìn)yubikey,我們還打算備份一份


Snipaste_2020-10-03_21-31-22.png

這一步讓選一個備份的路徑,建議買一個U盤,專門用來存離線存這個證書,
然后U盤放家里保管好,不到萬不得已,不拿出來用,萬一哪天yubikey丟了,還可以救硬盤一命.
下面的密碼,指的是該證書的密碼,沒錯,證書自帶密碼保護(hù)機(jī)制,建議也一同離線存儲到U盤里.


Snipaste_2020-10-03_21-32-48.png

兩個都不勾選,下一步


Snipaste_2020-10-03_21-33-16.png

這步會彈個報(bào)錯,但不需要緊張,不管它.


Snipaste_2020-10-03_21-33-54.png

看看我們選的備份路徑,證書已經(jīng)生成好了,這一步完成.


Snipaste_2020-10-03_21-36-18.png
  • (3)把這個證書塞進(jìn)YubiKey
    選第一個9a的標(biāo)簽頁,然后點(diǎn)import導(dǎo)入


    Snipaste_2020-10-03_22-39-27.png

選剛才制作的證書文件(pfx結(jié)尾)


Snipaste_2020-10-03_22-40-29.png

首先輸入證書密碼,注意是制作證書時,證書自己的那個密碼,不是yubikey piv pin碼,別搞錯了.


Snipaste_2020-10-03_22-40-58.png

第二個密碼才輸yubikey piv的pin碼


Snipaste_2020-10-03_22-41-27.png

導(dǎo)入成功,9a已經(jīng)有信息了,這一步完成


Snipaste_2020-10-03_22-42-03.png

滿足條件的windows配置:

按照這個步驟做就行,不理解也沒關(guān)系.

  • 1 修改注冊表
    在桌面創(chuàng)建txt文本文件,命名為001.reg,
    然后向它粘貼復(fù)制下面內(nèi)容保存,
    最后以管理員身份運(yùn)行.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"SelfSignedCertificates"=dword:00000001
"CertificateOID"="1.3.6.1.4.1.311.10.3.4"

Snipaste_2020-10-03_22-55-13.png
  • 2 配置本地策略
    windows鍵 - 搜gpedit.msc - 管理員權(quán)限運(yùn)行它,打開了本地策略編輯器


    Snipaste_2020-10-03_23-04-26.png

管理模板 - windows組件 - BitLocker驅(qū)動器加密 - 驗(yàn)證智能卡證書使用合規(guī)性 - 啟用
這一步完成.


Snipaste_2020-10-03_23-01-29.png

對某個磁盤開啟bitlocker:

Snipaste_2020-10-03_22-13-45.png

記得先插上yubikey


Snipaste_2020-10-03_22-14-46.png
Snipaste_2020-10-03_23-12-21.png

這步是一個,恢復(fù)密鑰文件,如果你的yubikey,以及之前生成的那個證書,都搞丟了,
還可以用這個恢復(fù)密鑰來解鎖磁盤,建議冷存儲到U盤中保管好,不要亂丟亂存.


Snipaste_2020-10-03_23-12-59.png

選哪個都行,第二個慢一些


Snipaste_2020-10-03_23-13-29.png

加密中


Snipaste_2020-10-03_23-13-46.png

加密好之后會有個鎖頭圖標(biāo)


Snipaste_2020-10-03_23-14-34.png

重新載入該磁盤后,需要用yubikey解鎖才可訪問


Snipaste_2020-10-03_23-15-28.png

插入yubikey,輸入yubikey piv的pin碼,完成解鎖.


Snipaste_2020-10-03_23-16-01.png
最后確保萬事大吉的善后工作
  • 做完上面的一系列工作后,手上會有5個東西:
    1 yubikey以及yubikey piv相關(guān)密碼
    2 EFS證書
    3 EFS證書的密碼
    4 bitlocker恢復(fù)密鑰
    5 生成EFS證書時,在windows證書環(huán)境中,還可能殘留著帶密鑰的EFS證書.

  • 對于大多數(shù)普通人來說,有3件事要做,:
    1 保管好yubikey和yubikey piv相關(guān)的密碼(puk pin或mgk)

    2 將上面5個東西中的2 3 4,即EFS證書,EFS證書的密碼,bitlocker恢復(fù)密鑰,
    離線存儲到一個專用U盤中,好好保管,
    yubikey丟了時用它們恢復(fù)數(shù)據(jù),
    然后把電腦磁盤上殘留的這幾個文件刪掉.

    3 生成EFS證書時,在windows證書環(huán)境中,還可能殘留著帶密鑰的EFS證書,
    去把它們清掉,方式是windows鍵,搜"管理用戶證書",然后在"個人"和"受信任人"下找到該EFS證書.
    (強(qiáng)調(diào)一下:如果不太懂,不太確定哪一個是,建議就不要做這一步了,量力而為,刪錯了有風(fēng)險(xiǎn),出了岔子別怪我~)


參考文檔與資料

https://totoro.ink/yubikey-more.html
https://www.reddit.com/r/yubikey/comments/haf049/using_a_yubikey_as_a_smart_card_for_bitlocker/
https://blog.extrawdw.net/computer/windows/bitlocker-smartcard-self-signed-certificates/
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875530(v=ws.10)

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末长豁,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子含长,更是在濱河造成了極大的恐慌踊餐,老刑警劉巖辜窑,帶你破解...
    沈念sama閱讀 211,123評論 6 490
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件躺盛,死亡現(xiàn)場離奇詭異,居然都是意外死亡彩库,警方通過查閱死者的電腦和手機(jī)肤无,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,031評論 2 384
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來骇钦,“玉大人宛渐,你說我怎么就攤上這事∶写睿” “怎么了窥翩?”我有些...
    開封第一講書人閱讀 156,723評論 0 345
  • 文/不壞的土叔 我叫張陵,是天一觀的道長鳞仙。 經(jīng)常有香客問我寇蚊,道長,這世上最難降的妖魔是什么棍好? 我笑而不...
    開封第一講書人閱讀 56,357評論 1 283
  • 正文 為了忘掉前任仗岸,我火速辦了婚禮,結(jié)果婚禮上借笙,老公的妹妹穿的比我還像新娘爹梁。我一直安慰自己,他們只是感情好提澎,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,412評論 5 384
  • 文/花漫 我一把揭開白布姚垃。 她就那樣靜靜地躺著,像睡著了一般盼忌。 火紅的嫁衣襯著肌膚如雪积糯。 梳的紋絲不亂的頭發(fā)上掂墓,一...
    開封第一講書人閱讀 49,760評論 1 289
  • 那天,我揣著相機(jī)與錄音看成,去河邊找鬼君编。 笑死,一個胖子當(dāng)著我的面吹牛川慌,可吹牛的內(nèi)容都是我干的吃嘿。 我是一名探鬼主播,決...
    沈念sama閱讀 38,904評論 3 405
  • 文/蒼蘭香墨 我猛地睜開眼梦重,長吁一口氣:“原來是場噩夢啊……” “哼兑燥!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起琴拧,我...
    開封第一講書人閱讀 37,672評論 0 266
  • 序言:老撾萬榮一對情侶失蹤降瞳,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后蚓胸,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體挣饥,經(jīng)...
    沈念sama閱讀 44,118評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,456評論 2 325
  • 正文 我和宋清朗相戀三年沛膳,在試婚紗的時候發(fā)現(xiàn)自己被綠了扔枫。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,599評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡锹安,死狀恐怖茧吊,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情八毯,我是刑警寧澤搓侄,帶...
    沈念sama閱讀 34,264評論 4 328
  • 正文 年R本政府宣布,位于F島的核電站话速,受9級特大地震影響讶踪,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜泊交,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,857評論 3 312
  • 文/蒙蒙 一乳讥、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧廓俭,春花似錦云石、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,731評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春宽菜,著一層夾襖步出監(jiān)牢的瞬間谣膳,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,956評論 1 264
  • 我被黑心中介騙來泰國打工铅乡, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留继谚,地道東北人。 一個月前我還...
    沈念sama閱讀 46,286評論 2 360
  • 正文 我出身青樓阵幸,卻偏偏與公主長得像花履,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子挚赊,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,465評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 條件環(huán)境:Windows 10,個人PC非域用戶,非家庭版沒有主板TPM芯片/智能卡設(shè)備可用的情況下準(zhǔn)備U盤 x ...
    vak閱讀 2,455評論 2 2
  • 和Windows BitLocker一樣诡壁,Encrypting File System(EFS,加密文件系統(tǒng))是W...
    曉a風(fēng)閱讀 2,135評論 1 3
  • 示例設(shè)備型號: YubiKey 5NFC演示環(huán)境: windows 10 1909 Why 將密鑰存儲在U盤/電腦...
    vak閱讀 5,619評論 2 3
  • 續(xù)前篇“大數(shù)據(jù)時代下的個人隱私保護(hù)建議” 隨著安全形勢的發(fā)展咬腕,安全性只依賴于密碼的方式逐漸不適用欢峰。越來越多的公司通...
    唐一緣閱讀 283評論 0 0
  • 久違的晴天葬荷,家長會涨共。 家長大會開好到教室時,離放學(xué)已經(jīng)沒多少時間了宠漩。班主任說已經(jīng)安排了三個家長分享經(jīng)驗(yàn)举反。 放學(xué)鈴聲...
    飄雪兒5閱讀 7,513評論 16 22