系统默认全盘bitlocker加密的讨论

123hefei

这个东东其实并不是这两年的新问题。手机上早就开始了。安卓5.0开始，谷歌就开始默认手机全盘加密，只不过一众手机厂商直到安卓10开始才逐步默认全盘加密（之前都是给个很深的选项自己决定是否加密）。
国产手机就不说了，具代表性的三星，理论上，三星（安卓10以上）手机坏了或者不记得密码而无法开机时，nand内容是无法被外部读取的。
手机都好理解，这是为了隐私，因为手机“容易”丢。

然后，windows开始了，这两年的新电脑（默认开了tpm），只要OOBE阶段登录ms账号，就给你全盘bitlocker加密。。。没有任何提示，也不管你是否接受。
的确锁住了隐私，bitlocker从诞生，还没有任何被破解的记录。一旦开启，除非你记得密码，否则没有任何能读取的方法。
这个个人觉得是弊大于利的，因为ms这个默认tpm加密，并不要你用户手动设置bitlocker密钥，tm的ms把随机密钥放在了https://account.microsoft.com/devices/recoverykey，用户自己都不知道密钥是啥，默认也不问用户是否要另存一个密钥在本地。
winows系统比安卓可更加容易坏啊。你想修个系统，一进PE，所有盘符都tm是个挂锁的图标，谁tm不骂娘？

大家讨论下。

374799732

所以我买到新机器第一件事就是全盘格式化，重装系统

123hefei

374799732 发表于 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

你重装系统，win11让你必须联网输入ms账户
除非你跳过（而且不容易跳过）
否则还是给你加密了

yanchenyu

我是反对这样做，大部分是不需要这种级别的加密，反倒偶发出问题后恢复密钥成了大问题！

lixiangliuyi

ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃圾的surface笔记本来解密bitlocker，数据恢复报价20w。

楼上说的全盘格式化，也没必要

我一般都是删除带锁的分区。当然资料先保存。再新建分区。然后一键ghost
不然装完分区盘符前面会有警告那种感叹号，很是蛋疼

weal2010

谢谢

374799732

123hefei 发表于 2022-8-30 08:49
你重装系统，win11让你必须联网输入ms账户
除非你跳过（而且不容易跳过）
否则还是给你加密了

自己封装系统，不用联网。再说直接装微软官网原版系统，也可以跳过。先联网到设置账号那一段拔网线，返回上一步，再设置就不用微软账号

123hefei

lixiangliuyi 发表于 2022-8-30 08:58
ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃 ...

敢报价，就表示知道了取密钥的途径，bitlocker到现在没有被爆破的记录估计问到了客户的ms账户密码
哈哈，这尼玛是纯赚20w，半小时就全盘复制出来了

magicgenius

很多新品牌机都会默认启用 bitlocker，即使是重装也一样。
我封装的系统都添加了一条关闭所有分区 Bitlocker 的批处理。
品牌机不重装也用批处理或手动关闭。

ldg_2

总体来说弊大于利

q1611765574

表示没用过

123hefei

magicgenius 发表于 2022-8-30 09:26
很多新品牌机都会默认启用 bitlocker，即使是重装也一样。
我封装的系统都添加了一条关闭所有分区 Bitlock ...

啥批处理贡献出来啊

weal2010

谢谢

hua_wuxin

9月7日更正：以下说法只在使用本地账户登录时正确。




这个只是预加密，经用户确认后才会真正生效的。用户不明确接受加密的话，数据是可以直接访问的，包括在PE下有挂锁图标时也是直接就能访问的。

yanqiancike

手机加密有啥用？国内版的app还不是直接搞数据？

窄口牛

bios关了tpm有什么不一样？系统里面tpm不驱动起来有什么不一样？还没正式鼓捣过这东西。我一般都要优化bios设置的，关闭安全启动，tpm这些必做。

mnbabc2002

我公司局域网的电脑也是这样 问题是没联外网啊，而且都是盗版WIN7.
实在不行我要强删文件去了

szyang

都无密可保了。

htmlc4

只能说不敢苟同

chibuzhu

lixiangliuyi 发表于 2022-8-30 08:58
ms免费给你用的都是垃圾功能，。而且都是会让你蛋疼到骂娘的弱智脑残的功能

之前一个客户，拿着全球最垃 ...

20w，遇到这样一个，原地升仙

test2333

个人觉得，BitLocker应该作为一个可选项，让用户自行选择是否开启，像之前win7、8时代一样
个人用户很少用得到BitLocker，它的使用对象应该是企业用户，对数据安全性要求高，且对数据有多重备份，恢复密钥在域控上也有备份。其对文件的保密要求高于保存要求，一台电脑系统崩了，可以找管理员获取恢复密钥，或者简单格盘重来，从备份服务器上把资料拷回来。而不少个人用户缺少备份意识，也压根不知道有恢复密钥这件事，最重要的是，微软也没有告知用户可能的后果，而是默认加密。连个弹框提示都没有。如果确实有文件保密的需求，可以选择对非系统盘进行加密，把重要文件放非系统盘再加密，这样即使在PE下，解锁也只需要密码，而不需要48位的恢复密钥

作为非专业人士，聊点题外话，如有疏漏还是请大家批评指正，话说回来，微软在这10年来的产品策略有点让人迷惑，推了不少普通人用不到的功能
对个人而言，微软推行安全启动，除了为难Windows PE作者之外，并没啥用，所谓的“避免rootkit”.....事实上不少rootkit都是有有效的签名，可以过安全启动。而一般的用户态病毒，杀毒软件干的掉，对于那种内核级和驱动级的病毒，有着有效签名或搞进程注入或做免杀，杀毒软件和安全启动也难防御。何况现在随着杀软的普及，基本上中病毒的概率相比12年前小了很多
总结回来就是：安全启动小病毒不用防，大病毒防不住

至于广受诟病的Windows defender.....用过的大家都懂

test2333

微软貌似塞了太多不需要的功能在镜像里了....
对绝大多数用户而言，hyper-v、IIS、以及预装的一堆appx、OneDrive之类的，占体积大，用的人也少，完全可以改成需要时联网下载
强制登陆微软账户......个人感觉不太好，微软账户的附加服务绝大多数用户也用不到，改回之前的可选项最好

chunlei233

374799732 发表于 2022-8-30 08:47
所以我买到新机器第一件事就是全盘格式化，重装系统

新电脑重装系统也给你默认加密.除非你手动关了.

magicgenius

123hefei 发表于 2022-8-30 10:24
啥批处理贡献出来啊

::关闭BitLocker
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z  ) do (manage-bde.exe -off %%a: >nul 2>nul)

chunlei233

test2333 发表于 2022-8-30 12:23
个人觉得，BitLocker应该作为一个可选项，让用户自行选择是否开启，像之前win7、8时代一样
个人用户很少用 ...

Windows defender  病毒杀不掉,专杀注册机.

ilikeyi

对于你封装师，一定不情愿被 Bitlocker 加密，

做为用户或特殊用户群，还有害群之马的，这是一个很好的功能。

害群之马的笔记本，都是自带销毁功能，被*时，马上按下 EZ 按钮，电脑无法启动，BitLocker 是硬盘的另一道屏障。

你应该感谢微软，Bitlocker 可以破解，这个解锁，只有 OEM 厂商和微软才能。

当时 Bitlocker 出来，有人就说可以万能解。

test2333

chunlei233 发表于 2022-8-30 13:26
Windows defender  病毒杀不掉,专杀注册机.

客观来讲，Windows defender杀毒能力在免费杀软里面还是可以的，但就是误报率实在是太高
不过专杀注册机确实对大家不友好

test2333

DOSforever 发表于 2022-8-30 14:32
说得好！完全同意你的看法！ 近几年推出的新技术就是瞎折腾用户！除了给用户带来麻烦外感觉不到 ...

个人觉得，微软应该把那些从win7以后发展出来的新技术，以可选功能和在线下载后使用的形式向用户提供，而不是像现在一样强行塞给用户
现在Windows越来越臃肿了，相比XP时代，安装好后打上驱动和运行库，5G磁盘占用、64M内存占用，就可以满足绝大多数用户的绝大多数需求
当下的Windows11，巨大的体积占用，打好驱动后30G，2G内存开机就吃了1.2G，硬塞一堆鸡肋功能进来
90%的Windows用户，需求就是office4件套、浏览器、QQ、微信，XP就能满足，而Windows11却平白无故塞进一堆无用还强制开启的功能

test2333

我是折腾RAMOS的，精简系统也经常用，对我的日常使用（office3件套、autocad、matlab、VS2013、浏览器、VMware）以及玩游戏（微软模拟飞行、minecraft）的需求，安装完成，打好驱动后10G的中度精简版的兼容性和稳定性足够满足需要
真是不知道微软原版全套安装就绪后动辄20G+的原版里有多少不常用/鸡肋/无用/过于小众功能