【摘要】 Windows附带了一个名为BitLocker的完整卷加密工具。该功能曾经信任任何声称提供其自身基于硬件的加密功能的SSD,但在9月24日发布的Wind
Windows附带了一个名为BitLocker的完整卷加密工具。该功能曾经信任任何声称提供其自身基于硬件的加密功能的SSD,但在9月24日发布的Windows 10的KB4516071更新中已更改,该功能现在假定已连接的SSD实际上并未加密任何内容。
SwiftOnSecurity于9月26日引起人们对这一变化的注意。匿名的Twitter用户随后提醒大家,2018年11月的一份报告揭示了自加密驱动器的安全漏洞,例如使用制造商设置的主密码。这意味着购买了本应有助于确保其数据安全的SSD的人也可能购买了未处理自身加密的驱动器。
这些人实际上比预期的要糟糕,因为微软设置了BitLocker来将这些自加密驱动器留在自己的设备上。这样做可以提高性能-驱动器可以使用自己的硬件来加密其内容而不是使用CPU-而不会损害驱动器的安全性。现在看来,该公司将不再信任SSD制造商自己保护客户安全。
这是微软在KB4516071中所做的确切更新:更改对自加密硬盘驱动器加密时BitLocker的默认设置。现在,默认设置是对新加密的驱动器使用软件加密。对于现有驱动器,加密类型将没变。人们还可以选择不让BitLocker对这些驱动器进行加密,但是默认设置假定他们不想让SSD制造商如愿以偿。
我们假设许多人希望自加密驱动器像声称更新Microsoft BitLocker一样安全。但是至少现在,他们不会陷入错误的安全感之中。如果驱动器按公布的方式工作,则可以告诉BitLocker在加密数据时跳过它们。但是,如果不这样做,至少Windows现在可以为他们提供安全网,而不是因为SSD公司搞砸了而让它们掉下来。