Когда вы устанавливаете Bitlocker в системе без TPM, вам необходимо поместить ключ запуска на флэш-накопитель.
Поскольку вряд ли можно ожидать, что пользователь будет хранить свой ноутбук и флешку отдельно, будет ли Bitlocker иметь какое-либо преимущество перед незашифрованной системой в случае потери / кражи обоих?
Я знаю, что это старый вопрос, но я наткнулся на него в связанных вопросах, ища свой собственный ответ.
Вы можете использовать manage-bde, чтобы потребовать и USB, и пароль для разблокировки устройства. Это фактически превращает разблокировку машины в испытание для двухфакторной аутентификации. В отличие от пользовательского интерфейса Bitlocker, который не дает вам возможности применять несколько предохранителей, инструмент manage-bde позволяет вам указать несколько предохранителей, если у вас есть «Требовать дополнительную аутентификацию при запуске», о чем вы, вероятно, уже догадались. Я предполагаю, что команды будут работать следующим образом:
manage-bde –protectors -add C: -startupkey [USB-ДИСК]
управление-bde -on C:
[После того, как он зашифрован]
управление-bde -protectors -add C: pw
Возможно, вы сможете сделать это с помощью одной команды, у меня просто нет хороших средств для тестирования его на новой конечной точке, но мне достаточно любопытно, что я собираюсь запустить его на своем старом ноутбуке и сообщить вам, сможете ли вы сделайте это одной командой и отредактируйте соответственно, основываясь на том, что я вижу.
Bitlocker может быть взломан даже с TPM. Конечно, это маловероятно, но все зависит от того, сколько вам дороги ваши данные и кто в них заинтересован.
Для обычного Джо это того не стоит.
Что касается безопасности на уровне генерального директора, я бы подумал о том, чтобы добавить как минимум дополнительный уровень шифрования.
Видеть: http://www.schneier.com/blog/archives/2009/12/defeating_micro.html
Если они оба были украдены одним и тем же вором, который, как оказалось, имеет некоторое представление о том, как работает Bitlocker, вы можете в значительной степени предположить, что ваша файловая система была взломана.
Вы можете рассмотреть возможность использования TPM, если ваши данные чрезвычайно важны, или даже TPM + PIN. Лучше полагаться на вещи, которые находятся в вашей голове, а не на USB-ключ, который может получить каждый, если он действительно этого хочет.
Две существующие атаки на битлокер - довольно большая натяжка. Получение доступа к компьютеру жертвы ДВА РАЗ - очень маловероятное событие. Что будет в большинстве случаев? Ноутбук / рабочая станция украдены полностью или только жесткий диск. BitLocker будет держать ваши данные в «безопасности» (конечно, НИКОГДА не существует 100% -ной безопасности).
Важны только данные генерального директора? В самом деле? Я думаю, что могу нанести большой ущерб некоторым случайным файлам сотрудников.
«Поскольку вряд ли можно ожидать, что пользователь будет хранить свой ноутбук и флешку отдельно [...]» Если вы не сможете научить сотрудников основам безопасности, большинство ваших мер предосторожности не сработает.
Не поймите меня неправильно, но безопасность не так проста :)