Αντιμέτρηση Bitlocker

Περίληψη: Ο έλεγχος ταυτότητας πριν από την εκκίνηση με έναν PIN μπορεί να μετριάσει τους φορείς επίθεσης για συσκευές που χρησιμοποιούν ένα εκκινήσιμο edrive. Μπορεί επίσης να προστατεύσει από επιθέσεις θύρας DMA. Σε περίπτωση κλεμμένης μηχανής, η αλλαγή κωδικών πρόσβασης και η απενεργοποίηση λογαριασμών σε ηλεκτρονικές υπηρεσίες μπορεί να παρέχει πρόσθετη ασφάλεια.

Πόσο ασφαλές είναι το bitlocker με ένα πείρο όταν κλαπεί ολόκληρο το μηχάνημα?

Στο σενάριο ενός κλεμμένου σημειωματάριου, το Bitlocker με ένα PIN μπορεί να προσφέρει ένα επίπεδο ασφάλειας. Με την αλλαγή των κωδικών πρόσβασης και τους λογαριασμούς απενεργοποίησης, ακόμη και αν ο κλέφτης αποκτήσει πρόσβαση στο μηχάνημα, τα συστήματα που χρησιμοποιούν τα κλεμμένα δεδομένα θα παραμείνουν ασφαλή.

Ε: Δεν πρέπει να είναι αρκετός ο ισχυρός κωδικός πρόσβασης για το σενάριό σας?

Α: Ενώ ένας ισχυρός κωδικός πρόσβασης μπορεί να παρέχει κάποιο επίπεδο ασφάλειας, η χρήση ενός PIN με Bitlocker μπορεί να βελτιώσει σημαντικά την ασφάλεια. Το Bitlocker αποκρυπτογραφεί τη μονάδα δίσκου αμέσως μόλις εκκινήσει το λειτουργικό σύστημα και ένας πείρος προσθέτει ένα επιπλέον στρώμα προστασίας από κοινές επιθέσεις.

1 Απάντηση 1

Περίληψη: Ένας 9ψήφιος πείρος σε συνδυασμό με ένα TPM μπορεί να προστατεύσει από βασικές επιθέσεις παρέχοντας αρκετό χρόνο για να αλλάξετε τους κωδικούς πρόσβασης σε ηλεκτρονικές υπηρεσίες. Η αποτελεσματικότητα αυτού του μέτρου ασφαλείας εξαρτάται από διάφορους παράγοντες, όπως τα κίνητρα και οι δεξιότητες του επιτιθέμενου και ο χρόνος που χρειάζεται για το θύμα να παρατηρήσει την κλοπή και να αναλάβει δράση.

Ένας 9ψήφιος πείρος θα πρέπει να είναι επαρκής για να προστατεύσει από έναν εισβολέα με βασικές δεξιότητες πειρατείας για αρκετό καιρό για να αλλάξει τους κωδικούς πρόσβασης σε ηλεκτρονικές υπηρεσίες. Ο συνδυασμός ενός TPM εξασφαλίζει ότι μόνο ένας αξιόπιστος υπολογιστής μπορεί να το αποσταλεί, προσθέτοντας ένα επιπλέον στρώμα προστασίας. Η αποτελεσματικότητα αυτού του μέτρου ασφαλείας εξαρτάται από διάφορους παράγοντες:

• Πόσο κίνητρο είναι ο εισβολέας και αν το θύμα είναι ένας τυχαίος στόχος μεταξύ πολλών.
• Το επίπεδο δεξιοτήτων και εμπειρογνωμοσύνης του εισβολέα.
• Ο χρόνος που χρειάζεται για το θύμα να παρατηρήσει την κλοπή και να αλλάξει κωδικούς πρόσβασης.

Τόσο οι υπερασπιστές όσο και οι επιτιθέμενοι πρέπει να εξετάσουν την ανάλυση κόστους-οφέλους. Ο εισβολέας θα πρέπει να περάσει σημαντικό χρονικό διάστημα προσπαθώντας να αποκτήσει πρόσβαση στον κλεμμένο υπολογιστή, οπότε πρέπει να αξιολογήσουν εάν αξίζει την προσπάθεια. Μπορεί να είναι πιο κερδοφόρο για αυτούς να στοχεύσουν άλλες συσκευές αντ ‘αυτού.

Αντιμέτρηση Bitlocker

Τα Windows ενσωματώνουν διάφορες τεχνολογίες όπως το TPM, το Secure Boot και το Measured Boot για την προστασία των πλήκτρων κρυπτογράφησης Bitlocker από επιθέσεις. Το BitLocker χρησιμοποιεί την τεχνολογία κρυπτογράφησης ως μέρος μιας στρατηγικής προσέγγισης για την εξασφάλιση δεδομένων έναντι των επιθέσεων εκτός σύνδεσης. Όταν ένας υπολογιστής χάνεται ή κλαπεί, τα δεδομένα γίνονται ευάλωτα σε μη εξουσιοδοτημένη πρόσβαση μέσω εργαλείων επίθεσης λογισμικού ή μεταφέροντας τον σκληρό δίσκο σε άλλο υπολογιστή.

Το BitLocker βοηθά στην άμβλυνση της μη εξουσιοδοτημένης πρόσβασης δεδομένων σε χαμένους ή κλεμμένους υπολογιστές πριν ξεκινήσει το εγκεκριμένο λειτουργικό σύστημα. Αυτό επιτυγχάνεται με κρυπτογράφηση όγκων σε έναν υπολογιστή και εξασφαλίζοντας την ακεραιότητα των εξαρτημάτων πρώιμης εκκίνησης και των δεδομένων διαμόρφωσης εκκίνησης. Αυτά τα μέτρα ενισχύουν την ασφάλεια και προστατεύουν από διάφορες επιθέσεις σε κλειδιά κρυπτογράφησης Bitlocker.

Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση της καλύτερης διαμόρφωσης ασφαλείας για συσκευές Windows, ανατρέξτε στα τεκμηρίωση “Πρότυπα για μια εξαιρετικά ασφαλή συσκευή Windows”.

Προστασία πριν από την εκκίνηση

Πριν ξεκινήσει τα Windows, τα χαρακτηριστικά ασφαλείας που εφαρμόζονται στο υλικό και το υλικολογισμικό της συσκευής, όπως το TPM και το Secure Boot, διαδραματίζουν κρίσιμο ρόλο στην προστασία του συστήματος. Οι περισσότερες σύγχρονες συσκευές είναι εξοπλισμένες με TPM και ασφαλή εκκίνηση.

Αξιόπιστη ενότητα πλατφόρμας

Μια αξιόπιστη μονάδα πλατφόρμας (TPM) είναι ένα μικροτσίπ ή ασφαλές υλικολογισμικό που παρέχει βασικές λειτουργίες που σχετίζονται με την ασφάλεια, συμπεριλαμβανομένων των πλήκτρων κρυπτογράφησης. Το Bitlocker δεσμεύει τα κλειδιά κρυπτογράφησης με το TPM για να εξασφαλίσει ότι ο υπολογιστής δεν έχει παραβιαστεί ενώ δεν έχει εκτός σύνδεσης. Για περισσότερες πληροφορίες σχετικά με το TPM, ανατρέξτε στην τεκμηρίωση της ενότητας “Trusted Platform Module”.

UEFI και ασφαλής εκκίνηση

Η ενοποιημένη διεπαφή υλικολογισμικού (UEFI) και οι ασφαλείς τεχνολογίες εκκίνησης συμβάλλουν στην ασφάλεια του συστήματος. Το UEFI παρέχει μια διεπαφή που συνδέει το λειτουργικό σύστημα και το υλικολογισμικό, επιτρέποντας μια ασφαλή διαδικασία εκκίνησης. Η Secure Boot εξασφαλίζει ότι μόνο το αξιόπιστο λογισμικό, συμπεριλαμβανομένου του λειτουργικού συστήματος, επιτρέπεται να εκτελείται κατά την εκκίνηση.

Αντιμέτρηση Bitlocker

Ο έλεγχος ταυτότητας πριν από την εκκίνηση μπορεί να μετριάσει έναν φορέα επίθεσης για συσκευές που χρησιμοποιούν ένα εκκινήσιμο Edrive επειδή ένας εκτεθειμένος δίαυλος Edrive μπορεί να επιτρέψει σε έναν εισβολέα να συλλάβει το κλειδί κρυπτογράφησης Bitlocker κατά τη διάρκεια της εκκίνησης. Ο έλεγχος ταυτότητας πριν από την εκκίνηση με έναν πείρο μπορεί επίσης να μετριάσει τις επιθέσεις θύρας DMA κατά τη διάρκεια του παραθύρου του χρόνου μεταξύ του Bitlocker ξεκλειδώνει τις μπότες του δίσκου και των Windows στο σημείο που τα παράθυρα μπορούν να ορίσουν οποιεσδήποτε πολιτικές που σχετίζονται με τη θύρα.

Πόσο ασφαλές είναι το bitlocker με μια καρφίτσα όταν κλαπεί ολόκληρο το μηχάνημα?

Εν τω μεταξύ, θα έχω χρόνο να αλλάξω όλους τους κωδικούς πρόσβασης των ηλεκτρονικών υπηρεσιών, να απενεργοποιήσω τους λογαριασμούς VPN κ.λπ. που χρησιμοποιήθηκαν σε αυτό το σημειωματάριο, οπότε ακόμα κι αν τελικά αποκτήσουν πρόσβαση, τα συστήματά μας θα παραμείνουν ασφαλή.

65.8K 20 20 χρυσά κονκάρδες 209 209 ασημένια κονκάρδες 263 263 χάλκινα κονκάρδες

ρώτησε 22 Ιανουαρίου 2018 στις 11:27

180 8 8 χάλκινα κονκάρδες

Δεν πρέπει να είναι αρκετός κωδικός πρόσβασης για το σενάριό σας? Όπως και για να αποκτήσετε πρόσβαση στα δεδομένα σας, ο κλέφτης θα έπρεπε να μαντέψει τον κωδικό πρόσβασης και αυτό θα ήταν αδύνατο αν αυτό είναι μια ισχυρή φράση πρόσβασης. Εάν είμαι σωστός το Bitlocker δεν αποκρυπτογραφεί τη μονάδα μέχρι να συνδεθείτε (παρακαλώ διορθώστε με αν κάνω λάθος σε αυτό)

22 Ιανουαρίου 2018 στις 15:23

@Wealot με όλες τις (εύκολες) επιθέσεις Raman Remanence στο BitLocker, ένας καρφίτσα βελτιώνει πραγματικά την ασφάλεια κατά πολύ. Λυγαριά κάνει αποκρυπτογραφήστε τη μονάδα μόλις εκκινήσει το λειτουργικό σύστημα

7 Ιουλίου 2019 στις 3:54

1 Απάντηση 1

Το σενάριο που θέλω να προστατεύσω τον εαυτό μου από: 1. Ένας απλός κλέφτης κλέβει το σημειωματάριο 2. Θέλουν να έχουν πρόσβαση στα δεδομένα με βασικές δεξιότητες “googling γύρω”, όπως χρησιμοποιώντας ένα εργαλείο ή πληκτρολόγηση σε τυχαίους κωδικούς πρόσβασης.

Ένας 9 ψηφίων πρέπει να είναι αρκετός για να προστατεύσει από έναν εισβολέα αυτού του επιπέδου πολυπλοκότητας για αρκετό καιρό για να αλλάξετε τους κωδικούς πρόσβασης σε όλες τις ηλεκτρονικές σας υπηρεσίες. Ένα TPM θα εξασφαλίσει ότι μόνο ένας αξιόπιστος υπολογιστής μπορεί να το αποσταλεί, σε συνδυασμό με το PIN σας. Δεδομένου ότι ο εισβολέας έχει ολόκληρο τον υπολογιστή, το μόνο που χρειάζεται είναι το PIN. Αυτό που έχει σημασία τώρα είναι διάφοροι παράγοντες:

• Πόσο κίνητρο είναι ο επιτιθέμενος σας (είστε τυχαίο θύμα αυτού του εισβολέα, ένας από τους 100 άλλους?·.
• Πόσο έξυπνος είναι (οι “βασικές δεξιότητες Googling” ενός ατόμου είναι προηγμένη Google-FU ενός άλλου ατόμου).
• Πόσο καιρό θα σας πάρει ειδοποίηση την κλοπή και να αλλάξετε τους κωδικούς πρόσβασής σας.

Τόσο οι υπερασπιστές όσο και οι επιτιθέμενοι πρέπει να κάνουν ανάλυση κόστους-οφέλους. Πρέπει να καθορίσετε πόσο από το χρόνο και την προσπάθειά σας αξίζει τα περιουσιακά σας στοιχεία, αλλά ο εισβολέας πρέπει να κάνει το ίδιο. Εάν τους χρειάζονται δύο εβδομάδες για να αποκτήσετε πρόσβαση στον υπολογιστή σας, δηλαδή δύο εβδομάδες χαμένων ευκαιριών για κλοπή. Γιατί να περάσετε όλο αυτό το διάστημα τα δικα σου υπολογιστή εάν θα ήταν πιο κερδοφόρο να κλέβουμε τρεις ακόμη υπολογιστές εκείνη τη στιγμή?

Αντιμέτρηση Bitlocker

Τα Windows χρησιμοποιούν τεχνολογίες, συμπεριλαμβανομένης της αξιόπιστης μονάδας πλατφόρμας (TPM), της Secure Boot και της μετρημένης εκκίνησης για την προστασία των κλειδιά κρυπτογράφησης Bitlocker έναντι επιθέσεων. Το BitLocker αποτελεί μέρος μιας στρατηγικής προσέγγισης για την εξασφάλιση δεδομένων κατά των επιθέσεων εκτός σύνδεσης μέσω της τεχνολογίας κρυπτογράφησης. Τα δεδομένα για έναν χαμένο ή κλεμμένο υπολογιστή είναι ευάλωτα. Για παράδειγμα, θα μπορούσε να υπάρξει μη εξουσιοδοτημένη πρόσβαση, είτε με τη λειτουργία ενός εργαλείου επίθεσης λογισμικού εναντίον του υπολογιστή είτε με τη μεταφορά του σκληρού δίσκου του υπολογιστή σε διαφορετικό υπολογιστή.

Το BitLocker βοηθά στην άμβλυνση της μη εξουσιοδοτημένης πρόσβασης δεδομένων σε χαμένους ή κλεμμένους υπολογιστές πριν ξεκινήσει το εγκεκριμένο λειτουργικό σύστημα. Αυτός ο μετριασμός γίνεται από:

• Κρυπτογραφώντας όγκους σε έναν υπολογιστή. Για παράδειγμα, το BitLocker μπορεί να ενεργοποιηθεί για τον όγκο του λειτουργικού συστήματος, έναν όγκο σε σταθερή μονάδα δίσκου. ή αφαιρούμενη μονάδα δεδομένων (όπως μονάδα flash USB, κάρτα SD, κλπ.) Ενεργοποίηση του BitLocker για τον όγκο του λειτουργικού συστήματος κρυπτογραφεί όλα τα αρχεία συστήματος στην ένταση, συμπεριλαμβανομένων των αρχείων τηλεειδοποίησης και των αρχείων αδρανοποίησης. Η μόνη εξαίρεση είναι για το διαμέρισμα του συστήματος, το οποίο περιλαμβάνει τον διαχειριστή εκκίνησης των Windows και την ελάχιστη ασφάλεια εκκίνησης που απαιτείται για την αποκρυπτογράφηση του όγκου του λειτουργικού συστήματος μετά το κλειδί είναι αποσπασμένο.
• Εξασφάλιση της ακεραιότητας των εξαρτημάτων πρώιμης εκκίνησης και των δεδομένων διαμόρφωσης εκκίνησης. Σε συσκευές που διαθέτουν έκδοση TPM 1.2 ή υψηλότερο, το BitLocker χρησιμοποιεί τις βελτιωμένες δυνατότητες ασφαλείας του TPM για να καταστήσει τα δεδομένα προσβάσιμα μόνο εάν ο κωδικός και η διαμόρφωση του υλικολογισμικού BIOS του υπολογιστή, η αρχική ακολουθία εκκίνησης, τα εξαρτήματα εκκίνησης και η διαμόρφωση BCD εμφανίζονται αμετάβλητα και ο κρυπτογραφημένος δίσκος βρίσκεται στον αρχικό υπολογιστή. Σε συστήματα που χρησιμοποιούν TPM PCR [7], οι αλλαγές ρύθμισης BCD που θεωρούνται ασφαλείς επιτρέπονται να βελτιώσουν τη χρηστικότητα.

Οι επόμενες ενότητες παρέχουν περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο τα Windows προστατεύουν από διάφορες επιθέσεις στα πλήκτρα κρυπτογράφησης Bitlocker στα Windows 11, Windows 10, Windows 8.1, και τα Windows 8.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της καλύτερης συνολικής διαμόρφωσης ασφαλείας για συσκευές που ξεκινούν από την έκδοση Windows 10 έκδοση 1803, ανατρέξτε στην ενότητα Πρότυπα για μια εξαιρετικά ασφαλή συσκευή Windows.

Προστασία πριν από την εκκίνηση

Πριν ξεκινήσει τα Windows, τα χαρακτηριστικά ασφαλείας που εφαρμόζονται ως μέρος του υλικού της συσκευής και του υλικολογισμικού πρέπει να βασίζονται, συμπεριλαμβανομένης της TPM και της Secure Boot. Ευτυχώς, πολλοί σύγχρονοι υπολογιστές διαθέτουν TPM και Secure Boot.

Αξιόπιστη ενότητα πλατφόρμας

Μια αξιόπιστη μονάδα πλατφόρμας (TPM) είναι ένα μικροτσίπ που έχει σχεδιαστεί για να παρέχει βασικές λειτουργίες που σχετίζονται με την ασφάλεια, που περιλαμβάνουν κυρίως κλειδιά κρυπτογράφησης. Σε ορισμένες πλατφόρμες, το TPM μπορεί εναλλακτικά να εφαρμοστεί ως μέρος του ασφαλούς υλικολογισμικού. Το Bitlocker δεσμεύει τα πλήκτρα κρυπτογράφησης με το TPM για να εξασφαλίσει ότι ένας υπολογιστής δεν έχει παραβιαστεί ενώ το σύστημα ήταν εκτός σύνδεσης. Για περισσότερες πληροφορίες σχετικά με το TPM, δείτε την αξιόπιστη ενότητα πλατφόρμας.

UEFI και ασφαλής εκκίνηση

Το Unified Extensible Firmware Interface (UEFI) είναι ένα προγραμματιζόμενο περιβάλλον εκκίνησης που αρχικοποιεί τις συσκευές και ξεκινά το bootloader του λειτουργικού συστήματος.

Η προδιαγραφή UEFI ορίζει μια διαδικασία ελέγχου ταυτότητας υλικολογισμικού που ονομάζεται Secure Boot. Ασφαλίστε τα μπλοκ εκκίνησης μη αξιόπιστα firmware και bootloaders (υπογεγραμμένα ή μη υπογεγραμμένα) από το να είναι σε θέση να ξεκινήσουν στο σύστημα.

Από προεπιλογή, το BitLocker παρέχει προστασία ακεραιότητας για ασφαλή εκκίνηση χρησιμοποιώντας τη μέτρηση TPM PCR [7]. Ένα μη εξουσιοδοτημένο υλικολογισμικό EFI, εφαρμογή εκκίνησης EFI ή bootloader δεν μπορεί να εκτελέσει και να αποκτήσει το πλήκτρο Bitlocker.

Bitlocker και επαναφορά επιθέσεων

Για να υπερασπιστεί τις κακόβουλες επιθέσεις επαναφοράς, ο Bitlocker χρησιμοποιεί τον μετριασμό της επίθεσης TCG Reset, γνωστό και ως MOR BIT (αίτημα μνήμης), πριν από την εξαγωγή κλειδιών στη μνήμη.

Αυτό δεν προστατεύει από φυσικές επιθέσεις όπου ένας εισβολέας ανοίγει την υπόθεση και επιτίθεται στο υλικό.

Πολιτικές ασφαλείας

Οι επόμενες ενότητες καλύπτουν τις πολιτικές ελέγχου ταυτότητας πριν.

Προ-εκκίνηση ταυτότητας

Ο έλεγχος ταυτότητας πριν από την εκκίνηση με το BitLocker είναι μια ρύθμιση πολιτικής που απαιτεί τη χρήση είτε της εισόδου του χρήστη, όπως ένα PIN, ένα πλήκτρο εκκίνησης ή και τα δύο για να πιστοποιήσετε πριν από την παρασκευή του περιεχομένου της μονάδας δίσκου του συστήματος προσβάσιμο. Η ρύθμιση της πολιτικής ομάδας απαιτεί πρόσθετο έλεγχο ταυτότητας κατά την εκκίνηση και η αντίστοιχη ρύθμιση στο BitLocker CSP είναι το SystemDriveSRequirestArtuPauthentication.

Το BitLocker προσβάλλει και αποθηκεύει τα κλειδιά κρυπτογράφησης στη μνήμη μόνο μετά την ολοκλήρωση ταυτότητας πριν από την εκκίνηση. Εάν τα Windows δεν μπορούν να έχουν πρόσβαση στα πλήκτρα κρυπτογράφησης, η συσκευή δεν μπορεί να διαβάσει ή να επεξεργαστεί τα αρχεία στη μονάδα συστήματος. Η μόνη επιλογή για την παράκαμψη του ελέγχου ταυτότητας πριν από την εκκίνηση εισέρχεται στο κλειδί ανάκτησης.

Ο έλεγχος ταυτότητας πριν από την εκκίνηση έχει σχεδιαστεί για να εμποδίζει τα πλήκτρα κρυπτογράφησης να φορτωθούν στη μνήμη του συστήματος χωρίς τον αξιόπιστο χρήστη που παρέχει έναν άλλο παράγοντα ελέγχου ταυτότητας, όπως ένα PIN ή ένα πλήκτρο εκκίνησης. Αυτή η λειτουργία βοηθά στην άμβλυνση των επιθέσεων DMA και μνήμης.

Σε υπολογιστές με συμβατό TPM, οι δίσκοι λειτουργικού συστήματος που είναι προστατευμένες από το Bitlocker μπορούν να ξεκλειδωθούν με τέσσερις τρόπους:

• Μόνο για TPM. Η χρήση της επικύρωσης μόνο του TPM δεν απαιτεί καμία αλληλεπίδραση με το χρήστη να ξεκλειδώσει και να παρέχει πρόσβαση στη μονάδα δίσκου. Εάν η επικύρωση TPM επιτύχει, η εμπειρία σύνδεσης του χρήστη είναι η ίδια με την τυπική σύνδεση. Εάν το TPM λείπει ή αλλάζει ή εάν το BitLocker ανιχνεύσει αλλαγές στον κωδικό ή τη διαμόρφωση του BIOS ή UEFI, τα κρίσιμα αρχεία εκκίνησης του λειτουργικού συστήματος ή τη διαμόρφωση εκκίνησης, ο BitLocker εισάγει τη λειτουργία ανάκτησης και ο χρήστης πρέπει να εισάγει έναν κωδικό πρόσβασης ανάκτησης για να ανακτήσει την πρόσβαση στα δεδομένα. Αυτή η επιλογή είναι πιο βολική για την σύνδεση αλλά λιγότερο ασφαλής από τις άλλες επιλογές, οι οποίες απαιτούν πρόσθετο παράγοντα ελέγχου ταυτότητας.
• TPM με κλειδί εκκίνησης. Εκτός από την προστασία που παρέχει μόνο το TPM, μέρος του κλειδιού κρυπτογράφησης αποθηκεύεται σε μια μονάδα flash USB, που αναφέρεται ως πλήκτρο εκκίνησης. Τα δεδομένα σχετικά με τον κρυπτογραφημένο τόμο δεν μπορούν να έχουν πρόσβαση χωρίς το κλειδί εκκίνησης.
• TPM με PIN. Εκτός από την προστασία που παρέχει το TPM, το BitLocker απαιτεί ο χρήστης να εισέλθει σε PIN. Τα δεδομένα σχετικά με τον κρυπτογραφημένο τόμο δεν μπορούν να έχουν πρόσβαση χωρίς να εισέλθουν στον PIN. Τα TPMs έχουν επίσης προστασία κατά της επικάλυψης που έχει σχεδιαστεί για να αποτρέψει τις βίαιες επιθέσεις δύναμης που προσπαθούν να καθορίσουν τον PIN.
• TPM με κλειδί εκκίνησης και PIN. Εκτός από την προστασία του βασικού στοιχείου που παρέχει μόνο το TPM, μέρος του κλειδιού κρυπτογράφησης αποθηκεύεται σε μια μονάδα flash USB και απαιτείται ένας πείρος για την ταυτοποίηση του χρήστη στο TPM. Αυτή η διαμόρφωση παρέχει έλεγχο ταυτότητας πολλαπλών παραγόντων, έτσι ώστε εάν το κλειδί USB χάνεται ή κλαπεί, δεν μπορεί να χρησιμοποιηθεί για πρόσβαση στη μονάδα δίσκου, επειδή απαιτείται επίσης η σωστή ακίδα.

Στο ακόλουθο παράδειγμα πολιτικής ομάδας, το TPM + PIN απαιτείται για να ξεκλειδώσετε μια μονάδα λειτουργικού συστήματος:

Ο έλεγχος ταυτότητας πριν από την εκκίνηση μπορεί να μετριάσει έναν φορέα επίθεσης για συσκευές που χρησιμοποιούν ένα εκκινήσιμο Edrive επειδή ένας εκτεθειμένος δίαυλος Edrive μπορεί να επιτρέψει σε έναν εισβολέα να συλλάβει το κλειδί κρυπτογράφησης Bitlocker κατά τη διάρκεια της εκκίνησης. Ο έλεγχος ταυτότητας πριν από την εκκίνηση με έναν πείρο μπορεί επίσης να μετριάσει τις επιθέσεις θύρας DMA κατά τη διάρκεια του παραθύρου του χρόνου μεταξύ του Bitlocker ξεκλειδώνει τις μπότες του δίσκου και των Windows στο σημείο που τα παράθυρα μπορούν να ορίσουν οποιεσδήποτε πολιτικές που σχετίζονται με τη θύρα.

Από την άλλη πλευρά, οι προ-εκφράσεις ελέγχου ταυτότητας πριν από την εκκίνηση μπορεί να είναι ενοχλητικές για τους χρήστες. Επιπλέον, οι χρήστες που ξεχνούν την PIN τους ή χάνουν το κλειδί εκκίνησης τους στερούνται πρόσβαση στα δεδομένα τους έως ότου μπορούν να επικοινωνήσουν με την ομάδα υποστήριξης του οργανισμού τους για να αποκτήσουν ένα κλειδί ανάκαμψης. Ο έλεγχος ταυτότητας πριν από την εκκίνηση μπορεί επίσης να καταστήσει πιο δύσκολη την ενημέρωση των επιτραπέζιων υπολογιστών χωρίς επιτήρηση και των διακομιστών που διαχειρίζονται εξ αποστάσεως, επειδή πρέπει να εισαχθεί ένας πείρος όταν ένας υπολογιστής επανεκκινήσει ή επαναλαμβάνεται από την αδρανοποίηση.

Για την αντιμετώπιση αυτών των προβλημάτων, μπορεί να αναπτυχθεί το ξεκλείδωμα δικτύου Bitlocker Network. Το Network Unlock επιτρέπει στα συστήματα μέσα στην περίμετρο ασφαλείας φυσικών επιχειρήσεων που πληρούν τις απαιτήσεις υλικού και έχουν ενεργοποιηθεί το BitLocker με το TPM+PIN για εκκίνηση σε παράθυρα χωρίς παρέμβαση χρήστη. Απαιτεί άμεση συνδεσιμότητα Ethernet σε έναν διακομιστή υπηρεσιών ανάπτυξης Windows Enterprise (WDS).

Προστασία του Thunderbolt και άλλων θυρών DMA

Υπάρχουν μερικές διαφορετικές επιλογές για την προστασία των θυρών DMA, όπως το Thunderbolt ™ 3. Ξεκινώντας από την έκδοση Windows 10 έκδοση 1803, οι νέες συσκευές που βασίζονται σε Intel έχουν προστασία πυρήνα έναντι επιθέσεων DMA μέσω θύρας Thunderbolt ™ 3 ενεργοποιημένες από προεπιλογή. Αυτή η προστασία DMA του πυρήνα είναι διαθέσιμη μόνο για νέα συστήματα που ξεκινούν από την έκδοση Windows 10 έκδοση 1803, καθώς απαιτεί αλλαγές στο υλικολογισμικό συστήματος ή/και BIOS.

Μπορείτε να χρησιμοποιήσετε την εφαρμογή Desktop Information System MSINFO32.exe για να ελέγξετε εάν μια συσκευή έχει ενεργοποιημένη η προστασία του πυρήνα DMA:

Εάν η προστασία του Kernel DMA δεν είναι ενεργοποιημένη, ακολουθήστε αυτά τα βήματα για να προστατεύσετε τις θύρες Thunderbolt ™ 3:

1. Απαιτούν κωδικό πρόσβασης για αλλαγές BIOS
2. Η ασφάλεια Intel Thunderbolt πρέπει να οριστεί σε άδεια χρήσης στις ρυθμίσεις BIOS. Ανατρέξτε στο Intel Thunderbolt ™ 3 και την ασφάλεια στο Microsoft Windows® 10 Τεκμηρίωση του λειτουργικού συστήματος
3. Η πρόσθετη ασφάλεια DMA μπορεί να προστεθεί με πολιτική ανάπτυξης (ξεκινώντας από τα Windows 10 έκδοση 1607 ή Windows 11):
   • MDM: DataProtection/enletdirectMemoryAccess Πολιτική
   • Πολιτική ομάδας: Απενεργοποιήστε τις νέες συσκευές DMA όταν ο υπολογιστής αυτός είναι κλειδωμένος (αυτή η ρύθμιση δεν είναι διαμορφωμένη από προεπιλογή.·

Για τους Thunderbolt V1 και V2 (υποδείκτης DisplayPort), ανατρέξτε στο Μετριασμός με βροντές Τμήμα κατά την παρεμπόδιση του οδηγού SBP-2 και των ελεγκτών Thunderbolt για να μειώσουν τις απειλές 1394 DMA και Thunderbolt DMA στο Bitlocker. Για τα SBP-2 και 1394 (επίσης γνωστά ως FireWire), ανατρέξτε στο Μετριασμός SBP-2 Τμήμα κατά την παρεμπόδιση του οδηγού SBP-2 και των ελεγκτών Thunderbolt για να μειώσουν τις απειλές 1394 DMA και Thunderbolt DMA στο Bitlocker.

Επίθεση αντιμέτρων

Αυτή η ενότητα καλύπτει αντίμετρα για συγκεκριμένους τύπους επιθέσεων.

Bootkits και rootkits

Ένας φυσικά παρόν εισβολέας μπορεί να προσπαθήσει να εγκαταστήσει ένα bootkit ή rootkit κομμάτι λογισμικού στην αλυσίδα εκκίνησης σε μια προσπάθεια να κλέψει τα πλήκτρα bitlocker. Το TPM θα πρέπει να παρατηρήσει αυτήν την εγκατάσταση μέσω μετρήσεων PCR και το πλήκτρο Bitlocker δεν θα κυκλοφορήσει.

Ο Bitlocker προστατεύει από αυτή την επίθεση από προεπιλογή.

Ένας κωδικός πρόσβασης BIOS συνιστάται για την άμυνα σε βάθος σε περίπτωση που ένα BIOS εκθέτει ρυθμίσεις που μπορεί να αποδυναμώσουν την υπόσχεση ασφαλείας Bitlocker. Η Intel Boot Guard και η AMD Hardware επαληθεύτηκε ισχυρότερη υλοποίηση ασφαλούς εκκίνησης που παρέχουν πρόσθετη ανθεκτικότητα έναντι κακόβουλου λογισμικού και φυσικών επιθέσεων. Η Intel Boot Guard και η επαληθευμένη εκκίνηση Hardware AMD αποτελούν μέρος των προτύπων επαλήθευσης εκκίνησης πλατφόρμας για μια εξαιρετικά ασφαλή συσκευή Windows.

Επιθέσεις βίαιης δύναμης εναντίον ενός PIN

Απαιτήστε το TPM + PIN για προστασία κατά της αντιστροφής.

Επιθέσεις DMA

Αρχείο σελιδοποίησης, χωματερή συντριβής και Hyberfil.επιθέσεις SYS

Αυτά τα αρχεία είναι ασφαλισμένα σε κρυπτογραφημένο τόμο από προεπιλογή όταν το BitLocker είναι ενεργοποιημένο σε μονάδες λειτουργίας λειτουργίας. Αποκλείει επίσης αυτόματο ή εγχειρίδιο προσπαθεί να μετακινήσει το αρχείο τηλεειδοποίησης.

Αναστολή μνήμης

Ενεργοποιήστε την ασφαλή εκκίνηση και προτρέψτε έναν κωδικό πρόσβασης για να αλλάξετε τις ρυθμίσεις BIOS. Για τους πελάτες που απαιτούν προστασία από αυτές τις προηγμένες επιθέσεις, διαμορφώστε ένα προστατευτικό PIN TPM+, απενεργοποιήστε τη διαχείριση της ισχύος και κλείστε ή αδρανοποιήστε τη συσκευή πριν εγκαταλείψει τον έλεγχο ενός εξουσιοδοτημένου χρήστη.

Εξαπατώντας το bitlocker για να περάσει το κλειδί σε ένα λειτουργικό σύστημα Rogue

Ένας εισβολέας μπορεί να τροποποιήσει τη βάση δεδομένων διαμόρφωσης διαχείρισης εκκίνησης (BCD), η οποία αποθηκεύεται σε ένα μη κρυπτογραφημένο διαμέρισμα και προσθέτει ένα σημείο εισόδου σε ένα λειτουργικό σύστημα Rogue σε διαφορετικό διαμέρισμα. Κατά τη διάρκεια της διαδικασίας εκκίνησης, ο κώδικας Bitlocker θα διασφαλίσει ότι το λειτουργικό σύστημα που δίδεται το κλειδί κρυπτογράφησης που λαμβάνεται από το TPM, είναι κρυπτογραφικά επαληθευμένο ως ο προβλεπόμενος παραλήπτης. Επειδή αυτή η ισχυρή κρυπτογραφική επαλήθευση υπάρχει ήδη, δεν συνιστούμε να αποθηκεύσετε ένα hash ενός πίνακα διαμερισμάτων δίσκου στο Μητρώο Διαμόρφωσης πλατφόρμας (PCR) 5.

Ένας εισβολέας μπορεί επίσης να αντικαταστήσει ολόκληρο το δίσκο του λειτουργικού συστήματος, διατηρώντας παράλληλα το υλικό και το υλικολογισμικό της πλατφόρμας και θα μπορούσε στη συνέχεια να εξαγάγει ένα προστατευμένο Bitlocker Key BLOB από τα μεταδεδομένα του διαχωρισμού Victim OS. Ο εισβολέας θα μπορούσε στη συνέχεια να προσπαθήσει να αποσυρθεί ότι το bitlocker κλειδί blob καλώντας το TPM API από ένα λειτουργικό σύστημα υπό τον έλεγχό του. Αυτό δεν θα επιτύχει επειδή όταν τα Windows σφραγίζουν το κλειδί bitlocker στο TPM, το κάνει με τιμή PCR 11 του 0 και για να αποσυρθεί με επιτυχία το BLOB, το PCR 11 στο TPM πρέπει να έχει τιμή 0. Ωστόσο, όταν ο διαχειριστής εκκίνησης μεταφέρει τον έλεγχο σε οποιοδήποτε φορτωτή εκκίνησης (νόμιμος ή αδίστακτος) αλλάζει πάντα PCR 11 σε τιμή 1. Δεδομένου ότι η τιμή PCR 11 είναι εγγυημένη ότι είναι διαφορετική μετά την έξοδο από τον διαχειριστή εκκίνησης, ο εισβολέας δεν μπορεί να ξεκλειδώσει το κλειδί Bitlocker.

Αντιμέτρων επιτιθέμενης

Οι ακόλουθες ενότητες καλύπτουν μετριασμούς για διαφορετικούς τύπους επιτιθέμενων.

Επιτιθέμενος χωρίς μεγάλη ικανότητα ή με περιορισμένη φυσική πρόσβαση

Η φυσική πρόσβαση μπορεί να περιοριστεί από έναν παράγοντα μορφής που δεν εκθέτει λεωφορεία και μνήμη. Για παράδειγμα, δεν υπάρχουν εξωτερικές θύρες με δυνατότητα DMA, χωρίς εκτεθειμένες βίδες για να ανοίξουν το σασί και η μνήμη είναι συγκολλημένη στο κεντρικό πίνακα.

Αυτός ο επιτιθέμενος ευκαιρίας δεν χρησιμοποιεί καταστρεπτικές μεθόδους ή εξελιγμένο υλικό/λογισμικό εγκληματολογίας.

• Ο έλεγχος ταυτότητας πριν από την εκκίνηση που έχει οριστεί μόνο σε TPM (η προεπιλογή)

Επιτιθέμενος με δεξιότητα και μακρά σωματική πρόσβαση

Στοχευμένη επίθεση με αρκετό χρόνο. Αυτός ο επιτιθέμενος θα ανοίξει την υπόθεση, θα κολλήσει και θα χρησιμοποιήσει εξελιγμένο υλικό ή λογισμικό.

• Ο έλεγχος ταυτότητας πριν από την εκκίνηση σε TPM με προστατευτικό PIN (με εκλεπτυσμένο αλφαριθμητικό πείρο [Enhanced PIN] για να βοηθήσει τον μετριασμό κατά της αντιστροφής TPM). -Και-
• Απενεργοποιήστε τη διαχείριση ισχύος αναμονής και κλείστε ή αδρανοποιήστε τη συσκευή πριν αφήσει τον έλεγχο ενός εξουσιοδοτημένου χρήστη. Αυτή η διαμόρφωση μπορεί να ρυθμιστεί χρησιμοποιώντας την ακόλουθη πολιτική ομάδας:
  • Διαμόρφωση υπολογιστή >Πολιτικές >Πρότυπα διαχείρισης >Στοιχεία των Windows >Εξερευνητής αρχείου >Εμφάνιση αδρανοποίησης στο μενού επιλογών τροφοδοσίας
  • Διαμόρφωση υπολογιστή >Πολιτικές >Πρότυπα διαχείρισης >Διαχείριση ενέργειας >Ρυθμίσεις ύπνου >Αφήστε τις καταστάσεις αναμονής (S1-S3) όταν κοιμάστε (συνδεδεμένος)
  • Διαμόρφωση υπολογιστή >Πολιτικές >Πρότυπα διαχείρισης >Διαχείριση ενέργειας >Ρυθμίσεις ύπνου >Αφήστε τις καταστάσεις αναμονής (S1-S3) όταν κοιμάστε (σε μπαταρία)

  Αυτές οι ρυθμίσεις είναι δεν διαμορφώνεται από προεπιλογή.

  Για ορισμένα συστήματα, η παράκαμψη μόνο για το TPM μπορεί να απαιτεί το άνοιγμα της θήκης και μπορεί να απαιτεί συγκόλληση, αλλά θα μπορούσε ενδεχομένως να γίνει για λογικό κόστος. Η παράκαμψη ενός TPM με ένα προστατευτικό PIN θα κοστίσει πολύ περισσότερο και θα απαιτούσε βίαιη αναγκάζοντας τον πείρο. Με ένα εξελιγμένο ενισχυμένο πείρο, θα μπορούσε να είναι σχεδόν αδύνατο. Ο καθορισμός πολιτικής ομάδας για βελτιωμένο PIN είναι:

  • Διαμόρφωση υπολογιστή >Πολιτικές >Πρότυπα διαχείρισης >Στοιχεία των Windows >Κρυπτογράφηση δίσκου Bitlocker >Δείκτες λειτουργικού συστήματος >Επιτρέψτε βελτιωμένες ακίδες για εκκίνηση

  Αυτή η ρύθμιση είναι δεν διαμορφώνεται από προεπιλογή.

  Για ασφαλείς διαχειριστές σταθμούς εργασίας, η Microsoft συνιστά ένα TPM με προστατευτικό PIN και για την απενεργοποίηση της διαχείρισης ισχύος αναμονής και το κλείσιμο ή την αδρανοποίηση της συσκευής.

  Σχετικά Άρθρα

  • Αποκλεισμός του οδηγού SBP-2 και των ελεγκτών Thunderbolt για να μειώσουν τις απειλές 1394 DMA και Thunderbolt DMA στο Bitlocker
  • Ρυθμίσεις πολιτικής ομάδας Bitlocker
  • Bitlocker CSP
  • WINLOGON AUTACATIC REDART SIGN-ON (ARSO)

  Εισαγωγή στο BitLocker: Προστασία του δίσκου του συστήματός σας

  Εάν είστε χρήστης των Windows και σκεφτήκατε ποτέ να προστατεύετε τα δεδομένα σας με κρυπτογράφηση πλήρους δίσκου, πιθανότατα έχετε ακούσει για το BitLocker. Το Bitlocker είναι η Microsoft’S Εφαρμογή κρυπτογράφησης πλήρους δίσκου που είναι ενσωματωμένη σε πολλές εκδόσεις των Windows. Ίσως χρησιμοποιείτε ακόμη και το BitLocker χωρίς να συνειδητοποιήσετε ότι το κάνετε-για παράδειγμα, εάν έχετε μια επιφάνεια ή μια παρόμοια συσκευή λεπτού και φωτισμού Window. Ταυτόχρονα, η κρυπτογράφηση BitLocker δεν είναι διαθέσιμη από προεπιλογή σε επιτραπέζιους υπολογιστές εάν χρησιμοποιείτε την έκδοση Home Edition των Windows 10. Η ενεργοποίηση του BitLocker στο δίσκο του συστήματός σας μπορεί να είναι δύσκολη και μπορεί να μην λειτουργεί αμέσως ακόμα κι αν το Windows Edition το υποστηρίζει. Σε αυτό το άρθρο, προσφέρουμε μια εισαγωγή στην κρυπτογράφηση Bitlocker. Εμείς’LL λεπτομερώς οι τύποι απειλών Bitlocker μπορούν να προστατεύσουν αποτελεσματικά τα δεδομένα σας από και ο τύπος των απειλών κατά των οποίων το Bitlocker είναι άχρηστο. Τέλος, εμείς’θα περιγράψω πώς να ενεργοποιήσετε το bitlocker σε συστήματα που δεν είναι’να συναντήσω τη Microsoft’είναι απαιτήσεις υλικού και αξιολογήστε εάν’αξίζει τον κόπο ή όχι.

  Απειλές που καλύπτονται από κρυπτογράφηση Bitlocker

  Η κρυπτογράφηση Bitlocker δεν είναι ο τύπος προστασίας Be-all και all all. Ενώ η BitLocker κρυπτογραφεί τα δεδομένα σας με κρυπτογράφηση AES για τη βιομηχανία, μπορεί να προστατεύσει μόνο τα δεδομένα σας από ένα σύνολο πολύ συγκεκριμένων απειλών.

  Το BitLocker μπορεί να προστατεύσει αποτελεσματικά τα δεδομένα σας στις ακόλουθες συνθήκες.

  Ο σκληρός δίσκος σας αφαιρείται από τον υπολογιστή σας

  Εάν, για οποιονδήποτε λόγο, οι σκληροί δίσκοι σας (ή μονάδες SSD) αφαιρούνται από τον υπολογιστή σας, τα δεδομένα σας προστατεύονται με ασφάλεια με ένα κλειδί κρυπτογράφησης 128 bit (οι χρήστες που απαιτούν ασφάλεια υψηλότερου επιπέδου μπορούν να καθορίσουν κρυπτογράφηση 256 bit κατά τη δημιουργία Bitlocker).

  Πόσο ασφαλής είναι αυτός ο τύπος προστασίας? Αν εσύ’Χρησιμοποιώντας την προστασία TPM (περισσότερο σε αυτό αργότερα), είναι πολύ ασφαλές. Ακριβώς όπως είναι ασφαλής με τον ίδιο τον αλγόριθμο AES (στην άποψη Layman, η κρυπτογράφηση 128-bit ή 256 bit είναι εξίσου ισχυρή).

  Εάν, ωστόσο, έχετε ενεργοποιήσει το BitLocker σε έναν υπολογιστή χωρίς TPM, Στη συνέχεια, η κρυπτογράφηση Bitlocker θα είναι εξίσου ασφαλής με τον κωδικό πρόσβασης που ορίσατε. Για το λόγο αυτό, φροντίστε να καθορίσετε έναν αρκετά ισχυρό, αρκετά μεγάλο και απολύτως μοναδικό κωδικό πρόσβασης.

  Ολόκληρος ο υπολογιστής έχει κλαπεί

  Εάν ο ολόκληρος υπολογιστής σας έχει κλαπεί, η ασφάλεια των δεδομένων σας εξαρτάται από τον τύπο της προστασίας BitLocker που χρησιμοποιείτε καθώς και από τη δύναμη του κωδικού πρόσβασης των Windows σας. Η πιο βολική μέθοδος είναι “Μόνο TPM” (Περισσότερα για αυτό αργότερα). Αυτή είναι και η λιγότερο ασφαλής μέθοδος, επειδή ο υπολογιστής σας θα αποκρυπτογραφήσει το σκληρό δίσκο πριν συνδεθείτε στα Windows.

  Εάν χρησιμοποιείτε “Μόνο TPM” Πολιτική προστασίας, όποιος γνωρίζει τον κωδικό πρόσβασης του λογαριασμού Windows (ή τον κωδικό πρόσβασης του λογαριασμού Microsoft, εάν χρησιμοποιείτε λογαριασμό Microsoft ως Windows 10 Login) θα είναι σε θέση να ξεκλειδώσετε τα δεδομένα σας.

  Το TPM + PIN είναι σημαντικά πιο ασφαλές. Κατά κάποιο τρόπο, είναι πρακτικά τόσο ασφαλές όσο ένας σκληρός δίσκος.

  Εάν ρυθμίσετε την προστασία bitlocker χωρίς εγκατεστημένο TPM ή Intel PTT, εσείς’Θα αναγκαστείτε να χρησιμοποιήσετε τον κωδικό πρόσβασης. Σε αυτή την περίπτωση, τα δεδομένα θα είναι τόσο ασφαλή όσο ο κωδικός πρόσβασής σας. Το BitLocker έχει σχεδιαστεί για να επιβραδύνει τις επιθέσεις Brute-Force, οπότε ακόμη και ένας κωδικός πρόσβασης 8 χαρακτήρων μπορεί να παρέχει ασφαλή προστασία στα δεδομένα σας.

  Άλλοι χρήστες στον ίδιο υπολογιστή

  Εάν κάποιος μπορεί να συνδεθεί στον υπολογιστή σας και να αποκτήσει πρόσβαση στον λογαριασμό του, ο όγκος του δίσκου έχει ήδη αποκρυπτογραφηθεί. Το BitLocker δεν προστατεύει από χρήστες υπολογιστών από ομοτίμους.

  Κακόβουλο λογισμικό/ransomware και online απειλές

  Το BitLocker δεν κάνει τίποτα για να προστατεύσει τα δεδομένα σας από κακόβουλο λογισμικό, ransomware ή online απειλές.

  Με άλλα λόγια, το Bitlocker είναι υπέροχο όταν προστατεύετε τα δεδομένα σας από την απομάκρυνση του σκληρού δίσκου. το’είναι τέλεια εάν θέλετε να προστατεύσετε τα δεδομένα σας εάν πουλάτε ή RMA σας σκληρούς δίσκους. Το’είναι κάπως λιγότερο αποτελεσματικό (ανάλογα με τις πολιτικές σας) κατά την προστασία των δεδομένων σας εάν κλαπεί ολόκληρος ο υπολογιστής. Αυτό είναι; δεν καλύπτονται άλλες περιπτώσεις χρήσης.

  Απαιτήσεις συστήματος

  Οι περισσότεροι από εμάς συνηθίζουν “Απαιτήσεις συστήματος” Όντας μια απλή διατύπωση. Αυτό δεν συμβαίνει με το bitlocker. Προκειμένου να προστατεύσετε τη συσκευή εκκίνησης με το BitLocker, πρέπει να εκτελείτε επαγγελματικά ή υψηλότερα Windows 10. Το Windows 10 Home δεν υποστηρίζει Κρυπτογράφηση συστήματος Bitlocker.

  Για να κάνει τα πράγματα πιο συγκεχυμένα, η Microsoft υποστηρίζει Προστασία συσκευών Bitlocker Ακόμα και σε συσκευές με Windows 10 Home. Αποτελεσματικά, αυτή είναι η ίδια κρυπτογράφηση, μόνο με ορισμένους περιορισμούς. Η προστασία της συσκευής BitLocker είναι διαθέσιμη σε συσκευές λεπτού και φωτός (e.σολ. Microsoft Surface) Υποστηρίζοντας συνδεδεμένη αναμονή και εξοπλισμένο με αποθήκευση στερεάς κατάστασης. Αυτές οι συσκευές πρέπει να είναι εξοπλισμένες με TPM2.0 Ενότητα ή Τεχνολογία Intel PTT.

  Εάν χρησιμοποιείτε επαγγελματικά ή υψηλότερα Windows 10 με TPM2.0 ή Intel PTT, μπορείτε να ενεργοποιήσετε το BitLocker αμέσως. Ωστόσο, οι περισσότεροι υπολογιστές δεν είναι εξοπλισμένοι με μονάδες TPM και μόνο οι νεότεροι υπολογιστές γενιάς (πιστεύουν ότι η Intel 8η και η 9η γενιά μητρικών πλακέτας. Μερικές μητρικές πλακέτες μπορεί να υποστηρίξουν την Intel PTT με παλαιότερους επεξεργαστές) υποστηρίζουν την τεχνολογία Intel Platform Trust Trust Technology. Η Intel PTT δεν είναι καν ενεργοποιημένη στο BIOS από προεπιλογή. Πρέπει να ενεργοποιήσετε με μη αυτόματο τρόπο το πράγμα για να το χρησιμοποιήσετε για προστασία Bitlocker.

  Εδώ’S πώς ενεργοποιείτε το Intel PTT σε πίνακες Gigabyte Z390 (Τελευταία BIOS):

  

  Εναλλακτικά, μπορείτε να εκτελέσετε μια επεξεργασία πολιτικής ομάδας για να ενεργοποιήσετε το BitLocker χωρίς ενότητες προστασίας υλικού.

  Εάν ο υπολογιστής σας πληροί τις απαιτήσεις (δηλαδή, η παρουσία ενός υλικού TPM2.0 Μονάδα ή λογισμικό Intel Platform Trust Technology), επιτρέποντας το BitLocker στον υπολογιστή σας μπορεί να είναι τόσο εύκολο όσο το άνοιγμα του πίνακα ελέγχου και η εκκίνηση του Applet Drive Drive Bitlocker Drive. Σημειώστε ότι δεν μπορούν να χρησιμοποιήσουν όλες οι εκδόσεις των Windows 10.

  

  Μόλις κάνετε κλικ στο “Ενεργοποιήστε το Bitlocker”, Τα Windows θα σας ζητήσουν να δημιουργήσετε ένα κλειδί μεσεγγύησης (Bitlocker Recovery Key). Είναι ιδιαίτερα ενδεδειγμένο να το κάνετε. Σε μια ισορροπία, η αποθήκευση του κλειδιού ανάκτησης στον λογαριασμό σας Microsoft μπορεί να είναι μια αρκετά καλή επιλογή για τους περισσότερους οικιακούς χρήστες, ενώ οι εργαζόμενοι θα αποθηκεύσουν τα κλειδιά αποκατάστασης στην εταιρεία τους’S Active Directory. Η αποθήκευση του κλειδιού σε ένα αρχείο ή η εκτύπωση του είναι επίσης έγκυρες επιλογές που θα παρέχουν εξίσου ασφάλεια με το προσωπικό σας ασφαλές κουτί.

  

  Οι λεπτές και φωτεινές συσκευές (όπως τα δισκία Windows και τα Ultrabooks) μπορούν να προστατευθούν με κρυπτογράφηση συσκευών σε αντίθεση με την κρυπτογράφηση Drive Bitlocker. Ο αλγόριθμος είναι ουσιαστικά ο ίδιος. Ωστόσο, οι απαιτήσεις συμβατότητας είναι διαφορετικές. Η κρυπτογράφηση συσκευής είναι διαθέσιμη για συσκευές λεπτού και φωτός που εκτελούν οποιαδήποτε έκδοση Windows 10, ενώ η κρυπτογράφηση Drive Bitlocker δεν είναι διαθέσιμη στους χρήστες των Windows 10 Home User. Εάν έχετε δεδομένα για προστασία, εσείς’Θα πρέπει να πληρώσω ένα τέλος για μια επιτόπια αναβάθμιση στα Windows 10 Professional.

  Τι γίνεται αν έχετε ήδη επαγγελματικά Windows 10 αλλά Don’t έχει ένα υλικό TPM2.0 Ενότητα? Εάν χρησιμοποιείτε ένα από τα πιο πρόσφατα πίνακες που βασίζονται σε σετ τσιπ Intel, ενδέχεται να είστε σε θέση να ενεργοποιήσετε την τεχνολογία Intel Platform Trust (πώς να ενεργοποιήσετε το BitLocker με την Intel PTT και χωρίς TPM για καλύτερη ασφάλεια) ή να εκτελέσετε την ακόλουθη επεξεργασία πολιτικής ομάδας για να επιτρέψετε στο BitLocker:

  

  1. Open Policy Editor (τύπος GPEDIT.MSC στο πλαίσιο αναζήτησης των Windows)
  2. Ανοίξτε την τοπική πολιτική υπολογιστών> Διαμόρφωση υπολογιστών> Διαχειριστικά πρότυπα> Εξαρτήματα των Windows> κρυπτογράφηση δίσκου Bitlocker> Δίνεις λειτουργικού συστήματος
  3. Επεξεργασία του Απαιτούν πρόσθετο έλεγχο ταυτότητας κατά την εκκίνηση πολιτική
  4. Ορίστε την πολιτική σε Ενεργοποιημένος και ελέγξτε Αφήστε το BitLocker χωρίς συμβατό TPM όπως φαίνεται στο στιγμιότυπο της οθόνης

  Μιλώντας για τις πολιτικές, ο Bitlocker υποστηρίζει διάφορες μεθόδους ελέγχου ταυτότητας, που προσφέρει ένα μοναδικό συμβιβασμό μεταξύ ασφάλειας και ευκολίας.

  • Μόνο TPM. Το σύστημά σας θα εκκινήσει την προτροπή σύνδεσης. Τα δεδομένα θα αποκρυπτογραφηθούν με ένα κλειδί που είναι αποθηκευμένο στη μονάδα TPM (ή Intel PTT). Αυτή είναι η πιο βολική επιλογή που προστατεύει αποτελεσματικά τους σκληρούς δίσκους, αλλά προσφέρει ασθενέστερη προστασία εάν ο εισβολέας έχει πρόσβαση σε ολόκληρο το σύστημα (υπολογιστής με TPM και σκληρό δίσκο).
  • PIN TPM +. Σε αυτή τη λειτουργία, η μονάδα TPM θα απελευθερώσει μόνο το πλήκτρο κρυπτογράφησης μόνο εάν πληκτρολογήσετε σωστά τον κωδικό PIN κατά τη φάση πριν από την εκκίνηση. Παρόλο που ο κωδικός PIN είναι σύντομος, η είσοδος σε λάθος καρφίτσα αρκετές φορές κάνει το TPM πανικό και μπλοκάρει την πρόσβαση στο κλειδί κρυπτογράφησης. Αυτή η επιλογή προσφέρει αναμφισβήτητα την καλύτερη ισορροπία μεταξύ ασφάλειας και ευκολίας, συνδυάζοντας “κάτι που έχετε” (η μονάδα TPM) με “κάτι που γνωρίζετε” (Ο κωδικός PIN). Ταυτόχρονα, αυτή η επιλογή μπορεί να μην είναι βολική σε περιβάλλοντα πολλαπλών χρηστών.
  • Πλήκτρο TPM + USB. Αυτή η επιλογή απαιτεί τόσο το TPM όσο και τη μονάδα flash USB (ή το CCID SmartCard).
  • Πλήκτρο TPM + PIN + USB. Όπως υποδηλώνει το όνομα, αυτή η επιλογή απαιτεί και τα τρία TPM, κωδικός PIN και USB Key/SmartCard για να εκκινήσετε τον υπολογιστή σας. Ενώ αυτή είναι ίσως η πιο ασφαλής επιλογή, τα πρόσθετα οφέλη ασφαλείας δεν αξίζουν σχεδόν σε σύγκριση με την επιλογή PIN TPM + εάν εξετάσετε τη μειωμένη ευκολία και αξιοπιστία (εσείς’Θα πρέπει να χρησιμοποιήσετε το κλειδί ανάκτησης εάν χάνεται ή καταστραφεί ένα πλήκτρο USB ή μια έξυπνη κάρτα).
  • Κλειδί USB. Αυτή η επιλογή συνιστάται μόνο εάν ο υπολογιστής σας δεν είναι εξοπλισμένος με μονάδα TPM και δεν υποστηρίζει το Intel PTT.
  • Μόνο κωδικός πρόσβασης. Όπως και η προηγούμενη επιλογή, “Μόνο κωδικός πρόσβασης” Ο έλεγχος ταυτότητας θα πρέπει να χρησιμοποιείται μόνο εάν δεν υπάρχει διαθέσιμη TPM ή Intel PTT. Σημειώστε ότι το “Κωδικός πρόσβασης” Η επιλογή είναι διαφορετική από το “ΚΑΡΦΙΤΣΑ” Καθώς δεν υπάρχει εκτελεστικό όριο στον αριθμό των προσπαθειών κωδικού πρόσβασης χωρίς TPM, το οποίο επιτρέπει μια επίθεση βίαιης δύναμης στον κωδικό πρόσβασης.

  Οι προηγμένοι χρήστες και οι διαχειριστές συστημάτων μπορούν να αναφέρονται στις ρυθμίσεις πολιτικής ομάδας Bitlocker στη βάση γνώσεων της Microsoft.

  Ποιες προειδοποιήσεις υπάρχουν όταν πρόκειται για την εξασφάλιση δεδομένων έναντι της φυσικής εξαγωγής? Το πράγμα είναι, ενώ το Bitlocker είναι σχεδόν 100% αποτελεσματική λύση για την προστασία του γυμνού δίσκου, ίσως να μην είναι τόσο ασφαλής εάν ο εισβολέας έχει πρόσβαση σε ολόκληρο τον υπολογιστή με τον σκληρό δίσκο εγκατεστημένο. Ακόμα κι αν ο υπολογιστής σας είναι εξοπλισμένος με TPM2.0/Ενότητα Intel PTT, τα Windows θα ξεκλειδώσουν ακόμα τον κρυπτογραφημένο σκληρό δίσκο εάν πληρούνται ασφαλείς συνθήκες εκκίνησης. Αυτό με τη σειρά του ανοίγει πολυάριθμους φορείς επίθεσης που μπορεί να επιτρέψει στον εισβολέα να παρεμποδίσει το κλειδί κρυπτογράφησης bitlocker on-the-fly και να αποκρυπτογραφήσει τον σκληρό δίσκο. Αυτοί οι φορείς επίθεσης περιλαμβάνουν:

  1. Κάνοντας μια εικόνα RAM ενός τρέχοντος υπολογιστή με όγκο Bitlocker (ες) τοποθετημένος. Αυτό μπορεί να γίνει μέσω μιας επίθεσης Thunderbolt (παράθυρα, από προεπιλογή, δεν απενεργοποιεί την πρόσβαση του Thunderbolt DMA όταν είναι κλειδωμένο) ή μια επίθεση ψυχρής εκκίνησης.
  2. Σπάζοντας ή εξαγωγή του κωδικού πρόσβασης σύνδεσης των Windows (e.σολ. Εξαγωγή από το λογαριασμό σας στο Google, το smartphone σας ή από άλλο υπολογιστή που έχετε συνδεθεί και συγχρονίσει τα δεδομένα σας).
  3. Λήψη του κλειδιού ανάκτησης BitLocker από τον λογαριασμό σας Microsoft ή την Active Directory.

  Οι προηγμένοι χρήστες και οι διαχειριστές συστημάτων μπορούν να διαβάσουν τον ακόλουθο οδηγό για να εξασφαλίσουν τους τόμους Bitlocker: Bitlocker Recovery Guide

  συμπέρασμα

  Η αξιόπιστη προστασία δεδομένων είναι αδύνατη χωρίς να προστατεύετε τη συσκευή εκκίνησης. Το Bitlocker είναι η τέλεια επιλογή. Το’S ασφαλή, βολική και εξαιρετικά διαμορφωμένη, επιτρέποντάς σας να ισορροπήσετε την ασφάλεια και την ευκολία στις ακριβείς απαιτήσεις σας. Εάν ανησυχείτε για την ασφάλεια των δεδομένων σας, η προστασία της συσκευής εκκίνησης με το Bitlocker είναι ένα απολύτως υποχρεωτικό βήμα και το πιο σημαντικό στρώμα ασφαλείας.

  Bitlocker πίσω πόρτα – Μόνο TPM: από κλεμμένο φορητό υπολογιστή στο εσωτερικό του δικτύου της εταιρείας

  

  Η κρυπτογράφηση Drive Drive Bitlocker είναι μια δυνατότητα προστασίας δεδομένων που ενσωματώνεται στο λειτουργικό σύστημα και αντιμετωπίζει τις απειλές κλοπής δεδομένων ή έκθεση από τους χαμένους, κλεμμένους ή ακατάλληλα παροπλισμένους υπολογιστές. Τα δεδομένα σχετικά με έναν χαμένο ή κλεμμένο υπολογιστή είναι ευάλωτα σε μη εξουσιοδοτημένη πρόσβαση, είτε με τη λειτουργία ενός εργαλείου επίθεσης λογισμικού εναντίον του είτε με τη μεταφορά του υπολογιστή’είναι σκληρός δίσκος σε διαφορετικό υπολογιστή. Το BitLocker βοηθά στην άμβλυνση της μη εξουσιοδοτημένης πρόσβασης δεδομένων, ενισχύοντας την προστασία των αρχείων και του συστήματος. Το BitLocker βοηθά επίσης να καταστεί τα δεδομένα απρόσιτα όταν οι υπολογιστές που προστατεύονται από το bitlocker είναι παροπλισμένοι ή ανακυκλωμένοι. Δείτε τον ακόλουθο οδηγό σχετικά με τον τρόπο ενεργοποίησης της κρυπτογράφησης δίσκου FileVault σε μια συσκευή MAC και τα σενάρια κρυπτογράφησης και υλοποίησης BitLocker Drive Drive. Μπορεί να θέλετε να δείτε “Insight On Full Disk Encryption με PBA / Χωρίς PBA, UEFI, Secure Boot, BIOS, Αρχείο και κρυπτογράφηση καταλόγου και κρυπτογράφηση εμπορευματοκιβωτίων”, και πώς να ενεργοποιήσετε ή να απενεργοποιήσετε την κρυπτογράφηση δίσκου Bitlocker στα Windows 10 και Virtual Machines.

  ο Tpm-onlΗ λειτουργία Y χρησιμοποιεί τον υπολογιστή’S Hardware ασφαλείας S TPM χωρίς έλεγχο ταυτότητας PIN. Αυτό σημαίνει ότι ο χρήστης μπορεί να ξεκινήσει τον υπολογιστή χωρίς να του ζητηθεί ένα πείρο στο περιβάλλον προ-εκκίνησης των Windows, ενώ το PIN TPM+ Η λειτουργία χρησιμοποιεί τον υπολογιστή’Το υλικό ασφαλείας S TPM και η καρφίτσα ως έλεγχος ταυτότητας. Οι χρήστες πρέπει να εισάγουν αυτό το pin στο περιβάλλον πριν από την εκκίνηση των Windows κάθε φορά που ξεκινά ο υπολογιστής. Το TPM+PIN απαιτεί μια προετοιμασμένη TPM και οι ρυθμίσεις GPO του συστήματος πρέπει να επιτρέπουν τη λειτουργία PIN TPM+.

  Αυτή είναι η πρόσφατη έρευνα από ειδικούς ασφαλείας του ομίλου Dolos για να διαπιστώσει εάν ένας εισβολέας μπορεί να έχει πρόσβαση στον οργανισμό’Δίκτυο S από μια κλεμμένη συσκευή και επίσης εκτελέστε μετακίνηση πλευρικού δικτύου. Τους παραδόθηκαν ένα φορητό υπολογιστή Lenovo με την τυπική στοίβα ασφαλείας για αυτόν τον οργανισμό. Δεν δόθηκαν προηγούμενες πληροφορίες σχετικά με το φορητό υπολογιστή, τα διαπιστευτήρια δοκιμής, τις λεπτομέρειες διαμόρφωσης κ.λπ. Δήλωσαν ότι ήταν δοκιμασία 100% Blackbox. Μόλις κατέλαβαν τη συσκευή, κατευθύνθηκαν κατευθείαν στη δουλειά και πραγματοποίησαν κάποια αναγνώριση του φορητού υπολογιστή (ρυθμίσεις BIOS, κανονική λειτουργία εκκίνησης, λεπτομέρειες υλικού κ.λπ.) και σημείωσαν πολλές βέλτιστες πρακτικές ακολουθώντας, αναιρώντας πολλές κοινές επιθέσεις. Για παράδειγμα:

  • Οι επιθέσεις PCILEECH/DMA μπλοκαρίστηκαν επειδή η Intel’Ενεργοποιήθηκε η ρύθμιση S VT-D BIOS.
  • Όλες οι ρυθμίσεις BIOS ήταν κλειδωμένες με κωδικό πρόσβασης.
  • Η παραγγελία εκκίνησης BIOS ήταν κλειδωμένη για να αποτρέψει την εκκίνηση από USB ή CD.
  • Το SecureBoot ήταν πλήρως ενεργοποιημένο και εμπόδισε οποιαδήποτε μη υπογεγραμμένα λειτουργικά συστήματα.
  • Το Kon-Boot Auth Bypass δεν λειτούργησε λόγω κρυπτογράφησης πλήρους δίσκου.
  • Οι επιθέσεις LAN και άλλες επιθέσεις ανταποκριτών μέσω προσαρμογέων USB Ethernet δεν επέστρεψαν τίποτα χρήσιμο.
  • Το SSD ήταν κρυπτογραφημένο πλήρες δίσκο (FDE) χρησιμοποιώντας τη Microsoft’S Bitlocker, εξασφαλισμένο μέσω αξιόπιστης μονάδας πλατφόρμας (TPM)

  Με τίποτα άλλο να λειτουργεί, έπρεπε να ρίξουν μια ματιά στο TPM και παρατήρησαν από την αναγνώριση ότι οι μπότες φορητού υπολογιστή απευθείας στην οθόνη σύνδεσης των Windows 10. Αυτή είναι μια εφαρμογή μόνο για TPM.

  Αυτό, σε συνδυασμό με την κρυπτογράφηση Bitlocker σημαίνει ότι το κλειδί αποκρυπτογράφησης της μονάδας δίσκου τραβήχτηκε μόνο από το TPM, δεν απαιτείται καρφίτσα ή κωδικός πρόσβασης που παρέχεται από το χρήστη που είναι η προεπιλογή για το BitLocker. Το πλεονέκτημα της χρήσης μόνο του TPM είναι, εξαλείφει τη χρήση ενός δεύτερου παράγοντα (pin + κωδικός πρόσβασης), πείθει τους χρήστες να χρησιμοποιούν για να έχουν κρυπτογραφημένες συσκευές τους. Μπορεί να θέλετε να δείτε πώς να ενεργοποιήσετε τον έλεγχο ταυτότητας Bitlocker πριν από την πολιτική ομάδας.

  Το δήλωσαν την εισαγωγή πρόσθετης ασφάλειας, όπως κωδικός πρόσβασης ή PIN θα είχε αποτρέψει αυτήν την επίθεση.
  – Αυτό σημαίνει ότι συνιστούν τη χρήση TPM + PIN ή TPM με κωδικό πρόσβασης. Αυτό σημαίνει ότι, με μια καρφίτσα, εξαλείφετε σχεδόν όλες τις μορφές επίθεσης και κάθε φορά που η συσκευή σας είναι ενεργοποιημένη, η συσκευή σας δεν θα αρπάζει το κλειδί από το TPM. Απαιτείται πρόσθετος πείρος για να ξεκλειδώσετε τη μονάδα δίσκου, οπότε χωρίς τον πείρο δεν μπορείτε να εκκινήσετε παράθυρα όπως περιγράφεται σε αυτόν τον οδηγό. Αλλά’είναι ένα άλλο στρώμα ελέγχου ταυτότητας που ορισμένοι χρήστες μπορεί να βρουν ενοχλητικό.

  Για όσους χρησιμοποιούν VPN με προ-logon, αφού αποκτήσουν πρόσβαση στη συσκευή, χωρίς να απαιτούν πρόσβαση, αυτό θα μπορούσε να οδηγήσει σε πολλή πλευρική κίνηση εντός του δικτύου.

  Περίληψη: Το TPM είναι πολύ ασφαλές και μια επίθεση σε αυτό είναι σχεδόν αδύνατη. Το ελάττωμα είναι ότι το Bitlocker δεν χρησιμοποιεί κρυπτογραφημένα χαρακτηριστικά επικοινωνίας του TPM 2.0 Πρότυπο, που σημαίνει ότι όλα τα δεδομένα που προέρχονται από το TPM βγαίνουν σε απλό κείμενο, συμπεριλαμβανομένου του κλειδιού αποκρυπτογράφησης για τα Windows. Εάν ένας εισβολέας αρπάζει αυτό το κλειδί, θα πρέπει να είναι σε θέση να αποκρυπτογραφήσει τη μονάδα δίσκου, να αποκτήσει πρόσβαση στο config πελάτη VPN και ίσως να έχει πρόσβαση στο εσωτερικό δίκτυο.

  Μέχρι να διορθωθεί αυτό, Θα σας προτείνω να χρησιμοποιήσετε το TPM + PIN ή τον κωδικό πρόσβασης. Αυτός ο οδηγός θα βοηθήσει στη διαμόρφωση της παράκαμψης Pin Bitlocker: Πώς να διαμορφώσετε το δίκτυο ξεκλειδώματος στα Windows. Μπορεί να θέλετε να μάθετε πώς να αναπτύξετε το Microsoft BitLocker Administration and Tool.

  Ελπίζω να βρήκατε χρήσιμη αυτήν την ανάρτηση ιστολογίου. Εάν έχετε οποιεσδήποτε ερωτήσεις, ενημερώστε με στη συνεδρία σχολίων.