Windows11 24H2版本的更新引入了微软对磁盘加密方法的改变,这一转变将对数字取证产生长期影响。在此版本中,安装Windows时,如果在设置过程中使用了Microsoft帐户(MSA),大多数现代硬件都会自动启用BitLocker加密。加密会在后台悄无声息地启动,甚至会覆盖家庭版和台式电脑等消费类设备,而这些设备在过去都无法使用全磁盘加密的默认设置。
⚠️注:当现有Windows11用户通过Windows Update安装24H2版本时,这一新策略不会自动应用。
这项政策虽然看似新颖,但它实际上是早期名为“BitLocker设备加密”的功能的逻辑延续,该功能可追溯到Windows 8.1、Windows RT和Windows10 Home。设备加密是BitLocker的受限版本,旨在特定硬件和账户条件下自动保护系统启动卷:
- 设备符合“连接待机”或“现代待机”规格(通常为SSD或eMMC存储)。
- 设备具有不可拆卸(焊接)RAM,以减少冷启动攻击。
- 设备包含TPM2.0模块。
- 至少有一个管理员帐户是使用Microsoft帐户(而不是本地帐户)登录的。
这些要求在平板电脑、许多商用笔记本电脑和高端超极本上很常见。一旦这些条件得到满足,用户使用MSA登录后,启动卷的加密就会在后台悄然开始。大多数用户都不知道他们的分区已被加密,而磁盘活动的增加或电池电量损耗则表明了这一点。
Windows11 24H2通过更积极地执行在线账户登录和自动BitLocker激活,有效地将这一概念扩展到了所有现代PC,甚至包括没有焊接RAM的全台式机和笔记本电脑。
Windows11 24H2的BitLocker加密
微软一再解释为什么Windows 11如此需要TPM。早在2022年,笔者就曾撰文指出“尽管围绕Windows 11系统要求的提升存在争议,但微软的做法是正确的。无密码身份验证与TPM保护的结合使用大大提高了Windows账户的安全性。与此同时,我们并没有看到默认加密策略的改变。BitLocker设备加密仍然只适用于便携式设备;在台式机上,BitLocker加密不会强制执行,也不会自动启用。如果在系统分区上启用,你仍然需要正确的BitLocker恢复密钥来解锁和解密卷,这与Windows10中的情况相同"。
Windows11 24H2版本的发布结束了争议,通过将BitLocker系统加密作为新的默认设置,从而充分发挥了TPM保护的潜力。
在Windows11 24H2中,任何使用Microsoft帐户登录开箱即用体验(OOBE)的用户都将触发自动BitLocker加密。这现在适用于包括家庭版在内的所有Windows版本,并支持几乎所有Windows 11认证的硬件(必须包括TPM 2.0、安全启动和现代存储)。微软还删除了之前允许用户在设置过程中跳过帐户登录的BYPASSNRO解决方法,从而有效确保加密默认设置更难被绕过。
个人设备的恢复密钥会自动上传到用户的Microsoft帐户(可通过account.microsoft.com/devices/recoverykey访问),而域连接的企业设备则会将密钥托管到Active Directory或Azure AD,这样就有可能从中检索到密钥。这意味着密钥存在于设备之外,执法部门有可能通过法律渠道获取密钥,不过这会带来延迟和程序上的复杂性。
取证方面的影响和挑战
对于数字取证人员来说,这种转变会带来可预见的长期后果。如果没有BitLocker恢复密钥或用户凭证,加密硬盘将无法读取和挂载。主要影响包括:
- 查封的硬盘和磁盘镜像在没有密钥的情况下将变得毫无用处。解密需要BitLocker恢复密钥。
- 没有课替代的方案。BitLocker使用XTS-AES加密;二进制密钥由计算机的TPM保护。密码攻击是不可能的,因为这种BitLocker加密不依赖密码。
- 密钥检索成为必修课。调查人员必须通过自愿合作、向微软提出法律请求或通过企业IT部门(针对域连接设备)获取密钥。
- 实时抓取的机会有限。如果设备在扣押时处于开机和解锁状态,实时RAM抓取或命令行密钥提取可能允许检索卷主密钥。值得注意的是,加密的系统卷在重启或开机后仍会自动加载;但是,访问数据将极其困难,需要非常先进甚至奇特的技术才能访问。
- 取证时间变慢。等待微软或企业IT部门提供恢复密钥可能会造成重大延误。
调查人员必须将缴获的Windows11 24H2设备视为加密保险库,除非能立即找到有效的恢复方法。
仅影响新安装和重新安装系统的设备
还需要注意的是,这种自动加密行为主要适用于Windows 11 24H2的清洁安装或出厂重置。通过Windows Update升级到24H2的设备,如果硬盘之前未加密,则不会自动追溯启用BitLocker。该功能尊重现有加密状态,不会在升级后的系统上强制执行新策略。但是,如果用户随后执行了“重置此PC”操作或从头开始重新安装Windows11 24H2,自动加密工作流程就会启动,前提是满足硬件要求且用户使用Microsoft帐户登录。
对于取证人员来说,这一区别至关重要:虽然许多新镜像或重置的Windows11 24H2设备在到达时已加密,但已升级到位的系统可能保持未加密状态,从而更容易获取证据。
总结
微软的Windows11 24H2加密政策并不是一项突然的创新,而是对早期BitLocker设备加密实践的有条不紊的扩展。取证人员必须认识到,今后几乎所有被扣押的Windows 11设备都可能会被加密,即使是消费类设备也不例外。
随着几乎所有新安装的Windows系统都默认使用BitLocker,取证工作流程必须不断发展。及早识别加密状态至关重要。执法机构还应将证据收集扩展到其他来源(云数据、网络日志、辅助设备),同时认识到如果密钥无法恢复,主硬盘数据可能会永久无法访问。
做好准备处理锁定的系统、更积极的密钥恢复法律策略以及最新的证据收集策略也将至关重要。随着加密技术的普及,取证方法也必须相应发展,以保持调查的有效性。
作者:Oleg Afonin 翻译:Doris 转载请注明