条件&环境:
Windows 10,非家庭版
准备YubiKey 4/5系列 x 1
备份关键文件用的U盘 x 1 (非必须)
Why
- 电脑丢失/硬盘丢失的情况下,bitlocker可以保护数据,不被人轻易访问到.
- 没有开启bitlocker的情况下,Windows的开机密码可被轻易绕过,但如果开了bitlocker,一般的黑阔选手也就没辙了.
How
可以用传统的口令密码的方式启动bitlocker,
也可以用ybk之类的智能卡/TPM芯片/U盘等方式.选择YubiKey的理由?
成本比U盘高,
但是验证用的证书(密钥)存储在YubiKey中,
无法被人轻易访问和COPY走,
如果YubiKey不丢,可以保证证书密钥的存储非常安全.缺点是YubiKeyPIV这种方式,无法用于Windows系统盘的bitlocker开启,
只能用于其他普通磁盘.
What
先讲一下大概的过程:
其实没那么复杂,
简单来说,我们需要的操作即:
满足条件的yubikey + 满足条件的windows配置 + 对磁盘开启bitlocker满足条件的yubikey:
(1)配置YubiKey PIV的密码
(2)生成bitlocker验证所需的证书(密钥)
(3)把这个证书塞进YubiKey满足条件的windows配置:
两处配置对磁盘开启bitlocker:
blablabla最后确保万事大吉的善后工作
满足条件的yubikey:
(1)要先搞清YubiKey PIV大概是什么东西,
安装好YubiKey相关软件,
设置好PIV部分的口令密码才能继续,
我已经提前写好了相关内容,通俗易懂.
链接在这里:
https://www.jianshu.com/p/9aad2d79a66b-
(2)生成bitlocker验证所需的证书(密钥):
验证支持的证书有三种类型,即CA证书 \ 自签名证书 \ EFS证书
所以区别是什么?
简单来说,
第1种要花钱,
第2种不如第3种用途广,
所以我直接用了第3种EFS证书.
如何生成EFS证书?
windows键 - 搜"管理文件加密证书"
Snipaste_2020-10-03_21-39-43.png
没啥选的,直接下一步
创建新证书,下一步
选存储在计算机上,别选其他的,因为除了要塞进yubikey,我们还打算备份一份
这一步让选一个备份的路径,建议买一个U盘,专门用来存离线存这个证书,
然后U盘放家里保管好,不到万不得已,不拿出来用,万一哪天yubikey丢了,还可以救硬盘一命.
下面的密码,指的是该证书的密码,没错,证书自带密码保护机制,建议也一同离线存储到U盘里.
两个都不勾选,下一步
这步会弹个报错,但不需要紧张,不管它.
看看我们选的备份路径,证书已经生成好了,这一步完成.
-
(3)把这个证书塞进YubiKey
选第一个9a的标签页,然后点import导入
Snipaste_2020-10-03_22-39-27.png
选刚才制作的证书文件(pfx结尾)
首先输入证书密码,注意是制作证书时,证书自己的那个密码,不是yubikey piv pin码,别搞错了.
第二个密码才输yubikey piv的pin码
导入成功,9a已经有信息了,这一步完成
满足条件的windows配置:
按照这个步骤做就行,不理解也没关系.
- 1 修改注册表
在桌面创建txt文本文件,命名为001.reg,
然后向它粘贴复制下面内容保存,
最后以管理员身份运行.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"SelfSignedCertificates"=dword:00000001
"CertificateOID"="1.3.6.1.4.1.311.10.3.4"
-
2 配置本地策略
windows键 - 搜gpedit.msc - 管理员权限运行它,打开了本地策略编辑器
Snipaste_2020-10-03_23-04-26.png
管理模板 - windows组件 - BitLocker驱动器加密 - 验证智能卡证书使用合规性 - 启用
这一步完成.
对某个磁盘开启bitlocker:
记得先插上yubikey
这步是一个,恢复密钥文件,如果你的yubikey,以及之前生成的那个证书,都搞丢了,
还可以用这个恢复密钥来解锁磁盘,建议冷存储到U盘中保管好,不要乱丢乱存.
选哪个都行,第二个慢一些
加密中
加密好之后会有个锁头图标
重新载入该磁盘后,需要用yubikey解锁才可访问
插入yubikey,输入yubikey piv的pin码,完成解锁.
最后确保万事大吉的善后工作
做完上面的一系列工作后,手上会有5个东西:
1 yubikey以及yubikey piv相关密码
2 EFS证书
3 EFS证书的密码
4 bitlocker恢复密钥
5 生成EFS证书时,在windows证书环境中,还可能残留着带密钥的EFS证书.对于大多数普通人来说,有3件事要做,:
1 保管好yubikey和yubikey piv相关的密码(puk pin或mgk)
2 将上面5个东西中的2 3 4,即EFS证书,EFS证书的密码,bitlocker恢复密钥,
离线存储到一个专用U盘中,好好保管,
yubikey丢了时用它们恢复数据,
然后把电脑磁盘上残留的这几个文件删掉.
3 生成EFS证书时,在windows证书环境中,还可能残留着带密钥的EFS证书,
去把它们清掉,方式是windows键,搜"管理用户证书",然后在"个人"和"受信任人"下找到该EFS证书.
(强调一下:如果不太懂,不太确定哪一个是,建议就不要做这一步了,量力而为,删错了有风险,出了岔子别怪我~)
参考文档与资料
https://totoro.ink/yubikey-more.html
https://www.reddit.com/r/yubikey/comments/haf049/using_a_yubikey_as_a_smart_card_for_bitlocker/
https://blog.extrawdw.net/computer/windows/bitlocker-smartcard-self-signed-certificates/
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875530(v=ws.10)