Назад | Перейти на главную страницу

Безопасность BitLocker без PIN-кода от WinPE?

Допустим, у вас есть компьютер с системным диском, зашифрованным с помощью BitLocker, и вы не используете PIN-код, поэтому компьютер загрузится без присмотра. Что произойдет, если злоумышленник загрузит систему в среду предустановки Windows? Будет ли у них доступ к зашифрованному диску?

Изменится ли это, если у вас есть TPM по сравнению с использованием только USB-ключа запуска?

Я пытаюсь определить, можно ли использовать ключ запуска TPM / USB без загрузки из исходной операционной системы. Другими словами, если вы используете USB-ключ запуска, а компьютер перезагружается в обычном режиме, данные все равно будут защищены, если злоумышленник не сможет войти в систему. Но что, если хакер просто загрузит сервер в среду предустановки Windows с ключ запуска USB подключен? Получат ли они тогда доступ к данным? Или для этого потребуется ключ восстановления?

В идеале при такой загрузке потребуется ключ восстановления, но я нигде не видел этого документированного.

TPM безопасен, потому что он «наблюдает» за процессом загрузки; когда обычная установка Windows загружается, она следует «обычному» пути загрузки, и TPM распознает это и будет сохранять / извлекать ключи только после выполнения этого процесса. Если вы загрузитесь любым другим способом, даже в безопасном режиме, вы «измените» этот процесс, и TPM не будет «разблокироваться».

Технически ключ хранится в микросхеме TPM, и теоретически возможно вскрыть этот чип и добраться до данных. TPM - это такое же хранилище, как и любое другое, всегда теоретически возможно взломать хранилище, если у вас достаточно времени и ресурсов. По общедоступным сведениям, этого никогда не было. Но это половина причины, по которой существуют опции PIN и USB Key. Попытка подобрать фактический ключ шифрования AES-256 потребует невероятно много времени.

Если вашему диску требуется только USB-ключ, то для разблокировки диска можно будет использовать только его даже из WinPE.

Мы используем BitLocker там, где я работаю. На каждом диске есть предохранители, ключ TPM и ключ восстановления, который автоматически публикуется в Active Directory. Компьютер запускается как обычно, и пользователи не знают, что он зашифрован, кроме тех случаев, когда они смотрят. Когда я беру компьютер для обслуживания / очистки / т. Д., Я использую manage-bde инструмент командной строки в WinPE для разблокировки и доступа к диску, используя ключ восстановления для разблокировки диска.

Также имейте в виду, что графический интерфейс не предоставляет все доступные параметры BitLocker. Инструмент командной строки manage-bde делает. Для большинства людей графический интерфейс достаточно хорош, чтобы начать работу, но инструмент CLI будет необходим для расширенных настроек и может дать вам лучшее понимание технологии.

  1. Bitlocker шифрует данные с помощью ключа, поэтому независимо от того, загрузит ли среду среду другой пользователь, у него не будет прямого доступа к данным. Обратной стороной является то, что он может попытаться взломать шифрование, потому что у него есть физический доступ к жесткому диску (который можно частично предотвратить с помощью ключа запуска USB.
  2. Насколько мне известно, ключ TPM / USB непригоден для использования при загрузке из другой ОС без PIN \ PASSWORD.
  3. Кто-то, кому нужен доступ, пошел бы по следующему пути: а) получить ноутбук б) получить ключ в) получить пин г) получить доступ.
  4. Им по-прежнему понадобится ключ восстановления или PIN-код, если только они не попытаются выполнить прямой перебор без ключа.

Надеюсь, это поможет .