Каталог статей[скрывать]

• 1. Измените групповую политику.
• 2. Измените реестр.
• 3. Создайте самозаверяющий сертификат.
• 4. Импортируйте сертификат в YubiKey.
• 5. Привязать BitLocker
• 6.Другие инструкции

BitLocker — это функция шифрования жесткого диска, встроенная в операционную систему Microsoft, начиная с Windows Vista. Пользователи могут использовать пароль или смарт-карту для шифрования данных. Смарт-карты также являются одной из функций YubiKey. Если вы устали каждый раз вводить пароль для разблокировки, как Рейжи, вы также можете добавить YubiKey в качестве метода разблокировки BitLocker, чтобы вам нужно было вводить только PIN-код каждый раз. пора разблокировать.

Привязка YubiKey к BitLocker не повышает безопасность данных, а просто обеспечивает более простой способ их разблокировки. После привязки жесткий диск можно разблокировать с помощью мастер-пароля или PIN-кода YubiKey, поэтому случайная потеря YubiKey не приведет к невозможности разблокировки. Кроме того, привязка YubiKey не изменит существующие зашифрованные данные в Bitlocker и может быть завершена мгновенно.

1. Измените групповую политику.

Чтобы BitLocker правильно распознавал самозаверяющий сертификат, нам необходимо изменить соответствующие настройки групповой политики на компьютере, на котором включена привязка. Если вы просто разблокируете, вам не нужно его изменять. Например, если вам нужно привязать YubiKey к мобильному жесткому диску, то системе, привязанной к текущей операции, необходимо изменить групповую политику, но использовать YubiKey для разблокировки. мобильный жесткий диск на других компьютерах не требует модификации.

Сначала введите gpedit.msc в меню «Пуск» и нажмите «Ввод». В окне «Редактор локальной групповой политики» перейдите к: «Конфигурация компьютера» — «Административные шаблоны» — «Шифрование диска BitLocker» — «Проверка соответствия использования сертификата смарт-карты», нажмите «Включено». Оставьте идентификатор объекта по умолчанию и нажмите «ОК».

2. Измените реестр.

По умолчанию BitLocker не принимает самозаверяющие сертификаты, поэтому нам необходимо внести небольшие изменения в реестр на компьютере, где включена привязка. Аналогично, если вы просто разблокируете его, вам не нужно его модифицировать.

Введите regedit.msc в меню «Пуск» и нажмите Enter. В окне редактора реестра перейдите к:

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE , щелкните правой кнопкой мыши, чтобы создать новый файл с именем SelfSignedCertificates из Dword значение, данные равны 1. Затем перезагрузите компьютер, чтобы реестр вступил в силу.

3. Создайте самозаверяющий сертификат.

Сохраните следующее содержимое в виде текстового файла с любым именем файла. Для удобства объяснения в качестве примера использован файл cert.txt, который сохраняется в папке D:\.

[NewRequest]
Subject = "CN=BitLocker"
KeyLength = 2048
HashAlgorithm = Sha256
Exportable = TRUE
KeySpec = "AT_KEYEXCHANGE"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = Cert
SMIME = FALSE
ValidityPeriodUnits = 99
ValidityPeriod = Years

[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.67.1.1

Введите powershell в меню «Пуск» и нажмите Enter, последовательно выполните следующие две строки:

cd d:
certreq -new .\cert.txt

В это время появится сообщение CertReq: Сертификат создан и установлен, и появится всплывающее окно сохранения файла. Вы можете сохранить этот файл где угодно. Нам он не понадобится и мы можем его сразу удалить. В настоящее время файл cert.txt также можно удалить вместе.

Введите в меню «Пуск» certmgr.msc и нажмите Enter, перейдите к: Personal в окне диспетчера сертификатов. – сертификат и найдите имя, которое вы только что создали, из BitLocker изCertificate, щелкните правой кнопкой мыши и выберите Все задачи – Экспорт.

На первом этапе мастера экспорта выберите «Да».,Экспортировать закрытый ключ",На втором этапе выберите «Если экспорт прошел успешно».,Удалить закрытый ключ",Остальное можно оставить по умолчанию. Следуйте инструкциям, чтобы установить пароль для файла экспорта.,Сохраните сертификат в файл. Для удобства объяснения здесь используется cert.pfx.

4. Импортируйте сертификат в YubiKey.

Открыть YubiKey Manager , расположен на Applications – PIV – Configure Certificates – Slot 9a , нажмите Import . Выберите «Экспорт» на предыдущем шаге. cert.pfx , введите пароль из, установленный на предыдущем шаге, и импортируйте сертификат Воля в YubiKey середина.

Если есть несколько YubiKey , повторите этот шаг для импорта по одному. Здесь не используется YubiKey Manager Основная причина использования встроенной функции генерации сертификата заключается в том, что закрытый ключ не может быть экспортирован при создании сертификата и не может быть передан в другие сертификаты. YubiKey 。

Сохраните файл cert.pfx в безопасном месте или уничтожьте его.

5. Привязать BitLocker

После выполнения вышеуказанных шагов мы наконец можем YubiKey привязать к BitLocker Да, вам нужно только сначала разблокировать диск и выбрать «Добавить смарт-карту» Вот в панели управления и все Добавление и удаление производятся мгновенно, если у вас их несколько. YubiKey Вам нужно связать только один, при условии, что тот же из cert.pfx Сертификат.

Для последующей разблокировки выберите «Использовать смарт-карту», ​​чтобы разблокировать диск. Вам нужно только вставить YubiKey и ввести ПИН-код.

6.Другие инструкции

Используется в процессе переплета cert.txt При экспорте файлов приложения нет риска утечки, и вы можете создавать их непосредственно в системе, не сохраняя. BitLocker Нет необходимости создавать резервные копии личных сертификатов,Нет необходимости удалять,Но обязательно сделайте это один раз, независимо от того, решите ли вы удалить закрытый ключ или нет.,Закрытые ключи можно экспортировать только один раз.

Если в будущем новые не будут добавлены, YubiKey Или аналогичное оборудование для смарт-карт, экспорт из cert.pfx Файлы можно измельчить напрямую. В противном случае сохраните его в безопасном месте и не забудьте установить пароль сертификата при экспорте. Уже импортировано в YubiKey сертификат при экспорте содержит только открытый ключ, который нельзя использовать для расшифровки и копировать в другие сертификаты. YubiKey . если cert.pfx Уже удалено, нужно добавить YubiKey , вы можете только отменить привязку и начать заново.

Если вам нужно отвязаться, вы можете разблокировать жесткий диск и работать на панели управления.

Эта статья относится к https://nathanaelfrey.com/2021/01/09/setting-up-bitlocker-with-yubikey-as-smart-card/, и я хотел бы выразить свою благодарность.