利用 Yubikey 5C 作为 BitLocker 智能卡

WDLJT 2022-11-29 技术分享 2409 阅读

前记

最近正好看到了 BitLocker,想着之前打蓝帽杯也遇到过,稍微研究了下,虽然最后觉得研究了个寂寞(,但是还是看到了 USB 与 BitLocker 加密,仔细查了下是支持 PIV,正巧 Yubikey 5 Series 也支持 PIV,之前没用到这不先来用用,为了自己不要太憨,用 U 盘来全盘加密,这就开始吧~

创建 EFS 证书

打开开始菜单搜索文件加密就能搜到

image-20221127220030576

因为是后面出现补写的,所以有之前创建的证书

image-20221127220148861

选择创建新证书

为了你能方便的备份和导入证书,所以选择储存在我的计算机上

image-20221127220234573

选择好路径设置好证书密码就直接点下一步就行

image-20221127220325441

请注意该密码在使用到证书的时候就要求输入,不过你除了扔进 Yubikey 以外,不需要备份的话,可以 Random 一个密码,然后到时候导入证书的时候用一次(但是不建议不留后路)

image-20221127220526282

这样你的 EFS 证书就创建完成了

将自签 EFS 证书导入

请做好使用 PIV 的准备,参见这篇文章:

当你更改完默认 PIN,PUK,证书之后,进入 Home > PIV > Certificates > Authentication

点击 Import 证书,选择你刚刚备份的证书,先输入你刚刚设置的证书密码,然后在输入你的 Yubikey PIN 码,就可以完成导入了。

image-20221127205259171

启用 BitLocker To Go

选择验证方式

选中你的驱动器,管理 BitLocker,然后创建加密盘就行

image-20221127221219166

选择你想要的加密方式,我用 LTSC 所以可能功能不完全,但是理论来说有个设备验证,可以同时选择,比如说 密码+智能卡,当然一般我觉得智能卡可能够了,不过如果你把你的 Yubikey 和 U 盘都放在一个地方的话其实还是建议添加一个密码的以提高安全性。

image-20221127210749753

点下一页会让你选择智能卡,如果识别不到智能卡请尝试这两个步骤:

修改注册表

这里提供两个方法,可以自行选择

手动添加

使用 Win+R 打开运行(或从开始菜单寻找或打开任务管理器),输入 regedit 找到或输入一下路径,如果没有 FVE 这个项,右键 Microsoft 新建一个项即可,在这个项里面添加两个值分别为:

  • 新建一个 DWORD 值

    • 键名:SelfSignedCertificates

    • 键值:1

  • 新建一个字符串值

image-20221127211000032

使用 reg 文件添加

新建一个文本,复制以下文本并保存文件,将文件修改为 .reg 后缀,如 1.reg,保存后以管理员模式运行该文件即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"SelfSignedCertificates"=dword:00000001
"CertificateOID"="1.3.6.1.4.1.311.10.3.4"
为什么需要添加这两个值

虽然不能给个完整的答复,不过或许你可以看看:

安装 YubiKey Smart Card Minidriver 驱动

打开一下链接,然后按需选择(我也不知道有什么好选的,基本都能用)https://www.yubico.com/support/download/smart-card-drivers-tools/

image-20221127222308677

备份恢复密钥

然后在你选择好证书之后,记得保存你的 Recover Code 不然到时候你的 Yubikey 寄了你的文件有极大概率是真的取不回来了,所以还是多地备份留一手。

image-20221127212520514

选择加密方式与模式

此处这个选项概述下就是,选第二个为一次性加密,加密整个硬盘的所有扇区,具体可以看之前水的浅析 BitLocker(?),后续存入文件不会再需要等待加密。选第一个就是每次放入新的文件就会在传入时加密所在扇区,还是有一些区别的,具体取舍可以自行定夺

image-20221127212619316

选择加密模式,因为 XTS-AES 还是算比较新的(指对于 BitLocker)所以为了以防之后遇到不支持的设备,所以还是选择了兼容模式防止有其他意外。

image-20221127212639362

加密过程有亿点点漫长大概 1GB 1分钟吧,所慢慢等吧。

image-20221127212728448

解锁 BitLocker

当你重新插拔 U 盘以后,会要求你验证,如果你在本台电脑使用,你可以右击点击管理,选择自动解锁

image-20221127222522481

会弹出输入密码,当然你的 Key 在电脑上会自动验证,如果你不想自动验证,想要每次使用的时候都验证一下 Key 可以使用 Yubikey CLI 工具进行设置,稍后会提到

image-20221127222627365

输入完密码就正常的解锁 U 盘啦。

后记

其实还是不知道为什么添加密码之后,就没有再要求验证智能卡,所以我后面还是把密码验证关了。

因为部分原因还有一篇浅析 BitLocker 没有发出,之后大家可以一起探讨下,主要是文档有点不像我想象的那样分布导致读起来很吃力,有些想找的根本找不到,还求各位大佬科普我一下呜呜呜。

感谢观看我的博客~
利用 Yubikey 5C 作为 BitLocker 智能卡
https://www.wd-ljt.com/post/1129/948.html
来源于问谛居,转载记得联系作者哟~
THE END
分享
二维码
海报
利用 Yubikey 5C 作为 BitLocker 智能卡
前记 最近正好看到了 BitLocker,想着之前打蓝帽杯也遇到过,稍微研究了下,虽然最后觉得研究了个寂寞(,但是还是看到了 USB 与 BitLocker 加密,仔细查了下……
<<上一篇
下一篇>>
文章目录
关闭
目 录