Назад | Перейти на главную страницу

Насколько полезен Bitlocker без TPM?

Когда вы устанавливаете Bitlocker в системе без TPM, вам необходимо поместить ключ запуска на флэш-накопитель.

Поскольку вряд ли можно ожидать, что пользователь будет хранить свой ноутбук и флешку отдельно, будет ли Bitlocker иметь какое-либо преимущество перед незашифрованной системой в случае потери / кражи обоих?

Я знаю, что это старый вопрос, но я наткнулся на него в связанных вопросах, ища свой собственный ответ.

Вы можете использовать manage-bde, чтобы потребовать и USB, и пароль для разблокировки устройства. Это фактически превращает разблокировку машины в испытание для двухфакторной аутентификации. В отличие от пользовательского интерфейса Bitlocker, который не дает вам возможности применять несколько предохранителей, инструмент manage-bde позволяет вам указать несколько предохранителей, если у вас есть «Требовать дополнительную аутентификацию при запуске», о чем вы, вероятно, уже догадались. Я предполагаю, что команды будут работать следующим образом:

manage-bde –protectors -add C: -startupkey [USB-ДИСК]

управление-bde -on C:

[После того, как он зашифрован]

управление-bde -protectors -add C: pw

Возможно, вы сможете сделать это с помощью одной команды, у меня просто нет хороших средств для тестирования его на новой конечной точке, но мне достаточно любопытно, что я собираюсь запустить его на своем старом ноутбуке и сообщить вам, сможете ли вы сделайте это одной командой и отредактируйте соответственно, основываясь на том, что я вижу.

Ссылка: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker

Bitlocker может быть взломан даже с TPM. Конечно, это маловероятно, но все зависит от того, сколько вам дороги ваши данные и кто в них заинтересован.

Для обычного Джо это того не стоит.

Что касается безопасности на уровне генерального директора, я бы подумал о том, чтобы добавить как минимум дополнительный уровень шифрования.

Видеть: http://www.schneier.com/blog/archives/2009/12/defeating_micro.html

Если они оба были украдены одним и тем же вором, который, как оказалось, имеет некоторое представление о том, как работает Bitlocker, вы можете в значительной степени предположить, что ваша файловая система была взломана.

Вы можете рассмотреть возможность использования TPM, если ваши данные чрезвычайно важны, или даже TPM + PIN. Лучше полагаться на вещи, которые находятся в вашей голове, а не на USB-ключ, который может получить каждый, если он действительно этого хочет.

Две существующие атаки на битлокер - довольно большая натяжка. Получение доступа к компьютеру жертвы ДВА РАЗ - очень маловероятное событие. Что будет в большинстве случаев? Ноутбук / рабочая станция украдены полностью или только жесткий диск. BitLocker будет держать ваши данные в «безопасности» (конечно, НИКОГДА не существует 100% -ной безопасности).

Важны только данные генерального директора? В самом деле? Я думаю, что могу нанести большой ущерб некоторым случайным файлам сотрудников.

«Поскольку вряд ли можно ожидать, что пользователь будет хранить свой ноутбук и флешку отдельно [...]» Если вы не сможете научить сотрудников основам безопасности, большинство ваших мер предосторожности не сработает.

Не поймите меня неправильно, но безопасность не так проста :)