條件&環(huán)境:
Windows 10,非家庭版
準(zhǔn)備YubiKey 4/5系列 x 1
備份關(guān)鍵文件用的U盤 x 1 (非必須)
Why
- 電腦丟失/硬盤丟失的情況下,bitlocker可以保護(hù)數(shù)據(jù),不被人輕易訪問到.
- 沒有開啟bitlocker的情況下,Windows的開機(jī)密碼可被輕易繞過,但如果開了bitlocker,一般的黑闊選手也就沒轍了.
How
可以用傳統(tǒng)的口令密碼的方式啟動bitlocker,
也可以用ybk之類的智能卡/TPM芯片/U盤等方式.選擇YubiKey的理由?
成本比U盤高,
但是驗(yàn)證用的證書(密鑰)存儲在YubiKey中,
無法被人輕易訪問和COPY走,
如果YubiKey不丟,可以保證證書密鑰的存儲非常安全.缺點(diǎn)是YubiKeyPIV這種方式,無法用于Windows系統(tǒng)盤的bitlocker開啟,
只能用于其他普通磁盤.
What
先講一下大概的過程:
其實(shí)沒那么復(fù)雜,
簡單來說,我們需要的操作即:
滿足條件的yubikey + 滿足條件的windows配置 + 對磁盤開啟bitlocker滿足條件的yubikey:
(1)配置YubiKey PIV的密碼
(2)生成bitlocker驗(yàn)證所需的證書(密鑰)
(3)把這個證書塞進(jìn)YubiKey滿足條件的windows配置:
兩處配置對磁盤開啟bitlocker:
blablabla最后確保萬事大吉的善后工作
滿足條件的yubikey:
(1)要先搞清YubiKey PIV大概是什么東西,
安裝好YubiKey相關(guān)軟件,
設(shè)置好PIV部分的口令密碼才能繼續(xù),
我已經(jīng)提前寫好了相關(guān)內(nèi)容,通俗易懂.
鏈接在這里:
http://www.reibang.com/p/9aad2d79a66b-
(2)生成bitlocker驗(yàn)證所需的證書(密鑰):
驗(yàn)證支持的證書有三種類型,即CA證書 \ 自簽名證書 \ EFS證書
所以區(qū)別是什么?
簡單來說,
第1種要花錢,
第2種不如第3種用途廣,
所以我直接用了第3種EFS證書.
如何生成EFS證書?
windows鍵 - 搜"管理文件加密證書"
Snipaste_2020-10-03_21-39-43.png
沒啥選的,直接下一步
創(chuàng)建新證書,下一步
選存儲在計(jì)算機(jī)上,別選其他的,因?yàn)槌艘M(jìn)yubikey,我們還打算備份一份
這一步讓選一個備份的路徑,建議買一個U盤,專門用來存離線存這個證書,
然后U盤放家里保管好,不到萬不得已,不拿出來用,萬一哪天yubikey丟了,還可以救硬盤一命.
下面的密碼,指的是該證書的密碼,沒錯,證書自帶密碼保護(hù)機(jī)制,建議也一同離線存儲到U盤里.
兩個都不勾選,下一步
這步會彈個報(bào)錯,但不需要緊張,不管它.
看看我們選的備份路徑,證書已經(jīng)生成好了,這一步完成.
-
(3)把這個證書塞進(jìn)YubiKey
選第一個9a的標(biāo)簽頁,然后點(diǎn)import導(dǎo)入
Snipaste_2020-10-03_22-39-27.png
選剛才制作的證書文件(pfx結(jié)尾)
首先輸入證書密碼,注意是制作證書時,證書自己的那個密碼,不是yubikey piv pin碼,別搞錯了.
第二個密碼才輸yubikey piv的pin碼
導(dǎo)入成功,9a已經(jīng)有信息了,這一步完成
滿足條件的windows配置:
按照這個步驟做就行,不理解也沒關(guān)系.
- 1 修改注冊表
在桌面創(chuàng)建txt文本文件,命名為001.reg,
然后向它粘貼復(fù)制下面內(nèi)容保存,
最后以管理員身份運(yùn)行.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"SelfSignedCertificates"=dword:00000001
"CertificateOID"="1.3.6.1.4.1.311.10.3.4"
-
2 配置本地策略
windows鍵 - 搜gpedit.msc - 管理員權(quán)限運(yùn)行它,打開了本地策略編輯器
Snipaste_2020-10-03_23-04-26.png
管理模板 - windows組件 - BitLocker驅(qū)動器加密 - 驗(yàn)證智能卡證書使用合規(guī)性 - 啟用
這一步完成.
對某個磁盤開啟bitlocker:
記得先插上yubikey
這步是一個,恢復(fù)密鑰文件,如果你的yubikey,以及之前生成的那個證書,都搞丟了,
還可以用這個恢復(fù)密鑰來解鎖磁盤,建議冷存儲到U盤中保管好,不要亂丟亂存.
選哪個都行,第二個慢一些
加密中
加密好之后會有個鎖頭圖標(biāo)
重新載入該磁盤后,需要用yubikey解鎖才可訪問
插入yubikey,輸入yubikey piv的pin碼,完成解鎖.
最后確保萬事大吉的善后工作
做完上面的一系列工作后,手上會有5個東西:
1 yubikey以及yubikey piv相關(guān)密碼
2 EFS證書
3 EFS證書的密碼
4 bitlocker恢復(fù)密鑰
5 生成EFS證書時,在windows證書環(huán)境中,還可能殘留著帶密鑰的EFS證書.對于大多數(shù)普通人來說,有3件事要做,:
1 保管好yubikey和yubikey piv相關(guān)的密碼(puk pin或mgk)
2 將上面5個東西中的2 3 4,即EFS證書,EFS證書的密碼,bitlocker恢復(fù)密鑰,
離線存儲到一個專用U盤中,好好保管,
yubikey丟了時用它們恢復(fù)數(shù)據(jù),
然后把電腦磁盤上殘留的這幾個文件刪掉.
3 生成EFS證書時,在windows證書環(huán)境中,還可能殘留著帶密鑰的EFS證書,
去把它們清掉,方式是windows鍵,搜"管理用戶證書",然后在"個人"和"受信任人"下找到該EFS證書.
(強(qiáng)調(diào)一下:如果不太懂,不太確定哪一個是,建議就不要做這一步了,量力而為,刪錯了有風(fēng)險(xiǎn),出了岔子別怪我~)
參考文檔與資料
https://totoro.ink/yubikey-more.html
https://www.reddit.com/r/yubikey/comments/haf049/using_a_yubikey_as_a_smart_card_for_bitlocker/
https://blog.extrawdw.net/computer/windows/bitlocker-smartcard-self-signed-certificates/
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875530(v=ws.10)
