无忧启动论坛

标题: 系统默认全盘bitlocker加密的讨论 [打印本页]

作者: 123hefei 时间: 2022-8-30 08:42
标题: 系统默认全盘bitlocker加密的讨论
本帖最后由 123hefei 于 2022-8-30 08:43 编辑

这个东东其实并不是这两年的新问题。手机上早就开始了。安卓5.0开始，谷歌就开始默认手机全盘加密，只不过一众手机厂商直到安卓10开始才逐步默认全盘加密（之前都是给个很深的选项自己决定是否加密）。
国产手机就不说了，具代表性的三星，理论上，三星（安卓10以上）手机坏了或者不记得密码而无法开机时，nand内容是无法被外部读取的。
手机都好理解，这是为了隐私，因为手机“容易”丢。

然后，windows开始了，这两年的新电脑（默认开了tpm），只要OOBE阶段登录ms账号，就给你全盘bitlocker加密。。。没有任何提示，也不管你是否接受。
的确锁住了隐私，bitlocker从诞生，还没有任何被破解的记录。一旦开启，除非你记得密码，否则没有任何能读取的方法。
这个个人觉得是弊大于利的，因为ms这个默认tpm加密，并不要你用户手动设置bitlocker密钥，tm的ms把随机密钥放在了https://account.microsoft.com/devices/recoverykey，用户自己都不知道密钥是啥，默认也不问用户是否要另存一个密钥在本地。
winows系统比安卓可更加容易坏啊。你想修个系统，一进PE，所有盘符都tm是个挂锁的图标，谁tm不骂娘？

大家讨论下。

作者: 374799732 时间: 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

作者: 123hefei 时间: 2022-8-30 08:49

374799732 发表于 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

你重装系统，win11让你必须联网输入ms账户
除非你跳过（而且不容易跳过）
否则还是给你加密了

作者: yanchenyu 时间: 2022-8-30 08:51
我是反对这样做，大部分是不需要这种级别的加密，反倒偶发出问题后恢复密钥成了大问题！

作者: lixiangliuyi 时间: 2022-8-30 08:58
本帖最后由 lixiangliuyi 于 2022-8-30 09:00 编辑

ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃圾的surface笔记本来解密bitlocker，数据恢复报价20w。

楼上说的全盘格式化，也没必要

我一般都是删除带锁的分区。当然资料先保存。再新建分区。然后一键ghost
不然装完分区盘符前面会有警告那种感叹号，很是蛋疼

作者: weal2010 时间: 2022-8-30 09:03
谢谢

作者: 374799732 时间: 2022-8-30 09:03

123hefei 发表于 2022-8-30 08:49
你重装系统，win11让你必须联网输入ms账户
除非你跳过（而且不容易跳过）
否则还是给你加密了

自己封装系统，不用联网。再说直接装微软官网原版系统，也可以跳过。先联网到设置账号那一段拔网线，返回上一步，再设置就不用微软账号

作者: 123hefei 时间: 2022-8-30 09:15

lixiangliuyi 发表于 2022-8-30 08:58
ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃 ...

敢报价，就表示知道了取密钥的途径，bitlocker到现在没有被爆破的记录估计问到了客户的ms账户密码
哈哈，这尼玛是纯赚20w，半小时就全盘复制出来了

作者: magicgenius 时间: 2022-8-30 09:26
很多新品牌机都会默认启用 bitlocker，即使是重装也一样。
我封装的系统都添加了一条关闭所有分区 Bitlocker 的批处理。
品牌机不重装也用批处理或手动关闭。

作者: ldg_2 时间: 2022-8-30 09:29
总体来说弊大于利

作者: q1611765574 时间: 2022-8-30 09:31
表示没用过

作者: 123hefei 时间: 2022-8-30 10:24

magicgenius 发表于 2022-8-30 09:26
很多新品牌机都会默认启用 bitlocker，即使是重装也一样。
我封装的系统都添加了一条关闭所有分区 Bitlock ...

啥批处理贡献出来啊

作者: weal2010 时间: 2022-8-30 10:26
谢谢

作者: hua_wuxin 时间: 2022-8-30 10:33
本帖最后由 hua_wuxin 于 2022-9-7 12:36 编辑

9月7日更正：以下说法只在使用本地账户登录时正确。

这个只是预加密，经用户确认后才会真正生效的。用户不明确接受加密的话，数据是可以直接访问的，包括在PE下有挂锁图标时也是直接就能访问的。

作者: yanqiancike 时间: 2022-8-30 10:42
手机加密有啥用？国内版的app还不是直接搞数据？

作者: 窄口牛 时间: 2022-8-30 10:59
bios关了tpm有什么不一样？系统里面tpm不驱动起来有什么不一样？还没正式鼓捣过这东西。我一般都要优化bios设置的，关闭安全启动，tpm这些必做。

作者: mnbabc2002 时间: 2022-8-30 11:02
我公司局域网的电脑也是这样问题是没联外网啊，而且都是盗版WIN7.
实在不行我要强删文件去了

作者: szyang 时间: 2022-8-30 11:03
都无密可保了。

作者: htmlc4 时间: 2022-8-30 12:07
只能说不敢苟同

作者: chibuzhu 时间: 2022-8-30 12:21
本帖最后由 chibuzhu 于 2022-8-30 12:25 编辑

lixiangliuyi 发表于 2022-8-30 08:58
ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃 ...

20w，遇到这样一个，原地升仙

作者: test2333 时间: 2022-8-30 12:23
个人觉得，BitLocker应该作为一个可选项，让用户自行选择是否开启，像之前win7、8时代一样
个人用户很少用得到BitLocker，它的使用对象应该是企业用户，对数据安全性要求高，且对数据有多重备份，恢复密钥在域控上也有备份。其对文件的保密要求高于保存要求，一台电脑系统崩了，可以找管理员获取恢复密钥，或者简单格盘重来，从备份服务器上把资料拷回来。而不少个人用户缺少备份意识，也压根不知道有恢复密钥这件事，最重要的是，微软也没有告知用户可能的后果，而是默认加密。连个弹框提示都没有。如果确实有文件保密的需求，可以选择对非系统盘进行加密，把重要文件放非系统盘再加密，这样即使在PE下，解锁也只需要密码，而不需要48位的恢复密钥

作为非专业人士，聊点题外话，如有疏漏还是请大家批评指正，话说回来，微软在这10年来的产品策略有点让人迷惑，推了不少普通人用不到的功能
对个人而言，微软推行安全启动，除了为难Windows PE作者之外，并没啥用，所谓的“避免rootkit”.....事实上不少rootkit都是有有效的签名，可以过安全启动。而一般的用户态病毒，杀毒软件干的掉，对于那种内核级和驱动级的病毒，有着有效签名或搞进程注入或做免杀，杀毒软件和安全启动也难防御。何况现在随着杀软的普及，基本上中病毒的概率相比12年前小了很多
总结回来就是：安全启动小病毒不用防，大病毒防不住

至于广受诟病的Windows defender.....用过的大家都懂

作者: test2333 时间: 2022-8-30 12:34
微软貌似塞了太多不需要的功能在镜像里了....
对绝大多数用户而言，hyper-v、IIS、以及预装的一堆appx、OneDrive之类的，占体积大，用的人也少，完全可以改成需要时联网下载
强制登陆微软账户......个人感觉不太好，微软账户的附加服务绝大多数用户也用不到，改回之前的可选项最好

作者: chunlei233 时间: 2022-8-30 13:20

374799732 发表于 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

新电脑重装系统也给你默认加密.除非你手动关了.

作者: magicgenius 时间: 2022-8-30 13:26

123hefei 发表于 2022-8-30 10:24
啥批处理贡献出来啊

::关闭BitLocker
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z ) do (manage-bde.exe -off %%a: >nul 2>nul)

作者: chunlei233 时间: 2022-8-30 13:26

test2333 发表于 2022-8-30 12:23
个人觉得，BitLocker应该作为一个可选项，让用户自行选择是否开启，像之前win7、8时代一样
个人用户很少用 ...

Windows defender 病毒杀不掉,专杀注册机.

作者: DOSforever 时间: 2022-8-30 14:32
提示: 作者被禁止或删除内容自动屏蔽

作者: ilikeyi 时间: 2022-8-30 14:41

对于你封装师，一定不情愿被 Bitlocker 加密，

做为用户或特殊用户群，还有害群之马的，这是一个很好的功能。

害群之马的笔记本，都是自带销毁功能，被*时，马上按下 EZ 按钮，电脑无法启动，BitLocker 是硬盘的另一道屏障。

你应该感谢微软，Bitlocker 可以破解，这个解锁，只有 OEM 厂商和微软才能。

当时 Bitlocker 出来，有人就说可以万能解。

作者: test2333 时间: 2022-8-30 15:57

chunlei233 发表于 2022-8-30 13:26
Windows defender 病毒杀不掉,专杀注册机.

客观来讲，Windows defender杀毒能力在免费杀软里面还是可以的，但就是误报率实在是太高
不过专杀注册机确实对大家不友好

作者: test2333 时间: 2022-8-30 16:05

DOSforever 发表于 2022-8-30 14:32
说得好！完全同意你的看法！近几年推出的新技术就是瞎折腾用户！除了给用户带来麻烦外感觉不到 ...

个人觉得，微软应该把那些从win7以后发展出来的新技术，以可选功能和在线下载后使用的形式向用户提供，而不是像现在一样强行塞给用户
现在Windows越来越臃肿了，相比XP时代，安装好后打上驱动和运行库，5G磁盘占用、64M内存占用，就可以满足绝大多数用户的绝大多数需求
当下的Windows11，巨大的体积占用，打好驱动后30G，2G内存开机就吃了1.2G，硬塞一堆鸡肋功能进来
90%的Windows用户，需求就是office4件套、浏览器、QQ、微信，XP就能满足，而Windows11却平白无故塞进一堆无用还强制开启的功能

作者: test2333 时间: 2022-8-30 16:10
我是折腾RAMOS的，精简系统也经常用，对我的日常使用（office3件套、autocad、matlab、VS2013、浏览器、VMware）以及玩游戏（微软模拟飞行、minecraft）的需求，安装完成，打好驱动后10G的中度精简版的兼容性和稳定性足够满足需要
真是不知道微软原版全套安装就绪后动辄20G+的原版里有多少不常用/鸡肋/无用/过于小众功能

作者: DOSforever 时间: 2022-8-30 17:05
提示: 作者被禁止或删除内容自动屏蔽

作者: 零下5度 时间: 2022-8-31 10:21

374799732 发表于 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

有些本本会自动启用加密。

作者: 零下5度 时间: 2022-8-31 10:22
我现在用的DELL成就5310本本，会启用自动加密，而且无法关闭；另一台游戏本不会，老本本和台式也不会。现在用一个在坛子里反映还可以的精简版本，去掉了bitlocker部份。

作者: 2012jiashanni 时间: 2022-8-31 12:53

magicgenius 发表于 2022-8-30 09:26
很多新品牌机都会默认启用 bitlocker，即使是重装也一样。
我封装的系统都添加了一条关闭所有分区 Bitlock ...

自动应答文件加一条
      <component name="Microsoft-Windows-SecureStartup-FilterDriver" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
         <PreventDeviceEncryption>true</PreventDeviceEncryption>
      </component>
</settings>

资料参考：https://docs.microsoft.com/zh-cn ... ences/oem-bitlocker

作者: magicgenius 时间: 2022-8-31 13:46

2012jiashanni 发表于 2022-8-31 12:53
自动应答文件加一条

true

那还是用注册表方便：

::禁用 BitLocker 自动设备加密
Reg add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v "PreventDeviceEncryption" /t REG_DWORD /d "1" /f

作者: weal2010 时间: 2022-8-31 14:13
谢谢

作者: htmlc4 时间: 2022-8-31 14:34
看了下讨论，只能说守旧的人太多了

作者: regdemo 时间: 2022-8-31 17:43
必须要加密的人，万一数据找不回来了，损失有限
需要加密的人，设备丢了，损失更有限

作者: chunlei233 时间: 2022-9-1 12:57
我对重要资料使用EFS文件加密

作者: chunlei233 时间: 2022-9-1 13:52
我对重要资料使用EFS文件加密

作者: zhouchao810 时间: 2022-9-1 14:54
回帖是一种美德!

作者: caocaofff 时间: 2022-9-1 15:04
加密xjj还是有必要的

作者: zcf115 时间: 2022-9-5 21:55

chunlei233 发表于 2022-8-30 13:20
新电脑重装系统也给你默认加密.除非你手动关了.

不是吧？我YOGA 13s，到手第一件事就是格式化，重装了LTSC 2021，没遇到要设置BitLocker的选项啊。

作者: zcf115 时间: 2022-9-5 21:58

零下5度发表于 2022-8-31 10:21
有些本本会自动启用加密。

这都可以？我联想的本没遇到过，BitLocker其实也挺不错的，我移动硬盘就是用这个加密了。

作者: 51xp 时间: 2022-9-6 08:38
::关闭BitLocker
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z ) do (manage-bde.exe -off %%a: >nul 2>nul)

::禁用 BitLocker 自动设备加密
Reg add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v "PreventDeviceEncryption" /t REG_DWORD /d "1" /f

作者: hfut 时间: 2022-9-6 08:43

hua_wuxin 发表于 2022-8-30 10:33
这个只是预加密，经用户确认后才会真正生效的。用户不明确接受加密的话，数据是可以直接访问的，包括在PE下 ...

一用户莫名其妙被加密，系统崩溃后，PE环境下无法访问。
对于绝大多数人而言，Bitlocker的默认启用是一声巨大的灾难。

作者: 零下5度 时间: 2022-9-6 10:18

hua_wuxin 发表于 2022-8-30 10:33
这个只是预加密，经用户确认后才会真正生效的。用户不明确接受加密的话，数据是可以直接访问的，包括在PE下 ...

一旦做了重装系统类的操作，包括用此前备份的系统进行恢复，整个分区完全锁死。

作者: hfut 时间: 2022-12-16 22:35

DOSforever 发表于 2022-8-30 17:05
有一年杀毒软件测评中好像是 MSE 还是 Defender 什么的，排名还挺高的。

这种排名你也信？我是连标点符号都不信的。

作者: DOSforever 时间: 2022-12-16 22:59
提示: 作者被禁止或删除内容自动屏蔽

作者: megatron 时间: 2023-5-12 07:59
居然有这样不便于用户的操作

作者: wsdyleon 时间: 2023-5-12 08:18
我是反对这种加密的，有啥秘密，系统早就把你信息上传完了。

作者: ylac 时间: 2023-5-12 08:20
我都是PE里从新分区

作者: syzyouling 时间: 2023-5-12 08:21
我是反对这种加密的，有啥秘密

作者: jlshnlhj 时间: 2023-5-12 09:36
本帖最后由 jlshnlhj 于 2023-5-12 09:39 编辑

syzyouling 发表于 2023-5-12 08:21
我是反对这种加密的，有啥秘密

同意，而且密钥在它那有备份。

作者: jlshnlhj 时间: 2023-5-12 09:43

wsdyleon 发表于 2023-5-12 08:18
我是反对这种加密的，有啥秘密，系统早就把你信息上传完了。

同意，这就是个套，安装时，“你的数据将在你所在的国家或地区之外进行处理”，bitlocker的密钥备份也在它那儿，好嘛，随时可以看。

作者: sulong 时间: 2023-5-12 11:49
遇到一个用户自己一知半解，手动全盘bitlocker加密，说是看到了那个选项觉得这样操作数据安全
之后系统崩了进pe全盘挂锁，啥账号密码、啥秘钥备份，一问三不知，这下子彻底安全了........

作者: 383098212 时间: 2023-6-6 09:19
感谢分享！

作者: nowayer 时间: 2023-11-21 21:18
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)