利用 Yubikey 5C 作为 BitLocker 智能卡
最近正好看到了 BitLocker,想着之前打蓝帽杯也遇到过,稍微研究了下,虽然最后觉得研究了个寂寞(,但是还是看到了 USB 与 BitLocker 加密,仔细查了下是支持 PIV,正巧 Yubikey 5 Series 也支持 PIV,之前没用到这不先来用用,为了自己不要太憨,用 U 盘来全盘加密,这就开始吧~
创建 EFS 证书
打开开始菜单搜索文件加密就能搜到
因为是后面出现补写的,所以有之前创建的证书
选择创建新证书
为了你能方便的备份和导入证书,所以选择储存在我的计算机上
选择好路径设置好证书密码就直接点下一步就行
请注意该密码在使用到证书的时候就要求输入,不过你除了扔进 Yubikey 以外,不需要备份的话,可以 Random 一个密码,然后到时候导入证书的时候用一次(但是不建议不留后路)
这样你的 EFS 证书就创建完成了
将自签 EFS 证书导入
请做好使用 PIV 的准备,参见这篇文章:
当你更改完默认 PIN,PUK,证书之后,进入 Home > PIV > Certificates > Authentication
点击 Import 证书,选择你刚刚备份的证书,先输入你刚刚设置的证书密码,然后在输入你的 Yubikey PIN 码,就可以完成导入了。
启用 BitLocker To Go
选择验证方式
选中你的驱动器,管理 BitLocker,然后创建加密盘就行
选择你想要的加密方式,我用 LTSC 所以可能功能不完全,但是理论来说有个设备验证,可以同时选择,比如说 密码+智能卡,当然一般我觉得智能卡可能够了,不过如果你把你的 Yubikey 和 U 盘都放在一个地方的话其实还是建议添加一个密码的以提高安全性。
点下一页会让你选择智能卡,如果识别不到智能卡请尝试这两个步骤:
修改注册表
这里提供两个方法,可以自行选择
手动添加
使用 Win+R 打开运行(或从开始菜单寻找或打开任务管理器),输入 regedit 找到或输入一下路径,如果没有 FVE 这个项,右键 Microsoft 新建一个项即可,在这个项里面添加两个值分别为:
-
新建一个 DWORD 值
-
键名:SelfSignedCertificates
-
键值:1
-
-
新建一个字符串值
-
键名:
-
键值:1.3.6.1.4.1.311.10.3.4
-
使用 reg 文件添加
新建一个文本,复制以下文本并保存文件,将文件修改为 .reg 后缀,如 1.reg,保存后以管理员模式运行该文件即可。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE] "SelfSignedCertificates"=dword:00000001 "CertificateOID"="1.3.6.1.4.1.311.10.3.4"
为什么需要添加这两个值
虽然不能给个完整的答复,不过或许你可以看看:
-
CertificateOID:
-
另外一个字面意思自签证书
安装 YubiKey Smart Card Minidriver 驱动
打开一下链接,然后按需选择(我也不知道有什么好选的,基本都能用)https://www.yubico.com/support/download/smart-card-drivers-tools/
备份恢复密钥
然后在你选择好证书之后,记得保存你的 Recover Code 不然到时候你的 Yubikey 寄了你的文件有极大概率是真的取不回来了,所以还是多地备份留一手。
选择加密方式与模式
此处这个选项概述下就是,选第二个为一次性加密,加密整个硬盘的所有扇区,具体可以看之前水的浅析 BitLocker(?),后续存入文件不会再需要等待加密。选第一个就是每次放入新的文件就会在传入时加密所在扇区,还是有一些区别的,具体取舍可以自行定夺
选择加密模式,因为 XTS-AES 还是算比较新的(指对于 BitLocker)所以为了以防之后遇到不支持的设备,所以还是选择了兼容模式防止有其他意外。
加密过程有亿点点漫长大概 1GB 1分钟吧,所慢慢等吧。
解锁 BitLocker
当你重新插拔 U 盘以后,会要求你验证,如果你在本台电脑使用,你可以右击点击管理,选择自动解锁
会弹出输入密码,当然你的 Key 在电脑上会自动验证,如果你不想自动验证,想要每次使用的时候都验证一下 Key 可以使用 Yubikey CLI 工具进行设置,稍后会提到
输入完密码就正常的解锁 U 盘啦。
后记
其实还是不知道为什么添加密码之后,就没有再要求验证智能卡,所以我后面还是把密码验证关了。
利用 Yubikey 5C 作为 BitLocker 智能卡
https://www.wd-ljt.com/post/1129/948.html
来源于问谛居,转载记得联系作者哟~
共有 0 条评论