Sicurezza di BitLocker senza codice PIN da WinPE?

Dire che tu abbia un computer con l'unità di sistema crittografata da BitLocker e tu non stai utilizzando un PIN in modo che il computer si avvii in modo automatico. Cosa succede se un utente malintenzionato inizia il sistema nell'ambiente di preinstallazione di Windows? Avranno accesso all'unità crittografata?

Si cambia se si dispone di un TPM contro l'utilizzo di un solo tasto di avvio USB?

Quello che sto cercando di determinare è se la chiave di avvio TPM / USB è utilizzabile senza eseguire l'avvio dal sistema operativo originale. In altre parole, se si utilizza una chiave di avvio USB e la macchina viene riavviata normalmente, i dati saranno ancora protetti a less che un utente malintenzionato non sia in grado di eseguire il login. Ma cosa succede se l'hacker avvia il server in un ambiente di preinstallazione di Windows con è stata inserita la chiave di avvio USB? Avrebbero quindi accesso ai dati? Oppure che richiederebbe la chiave di recupero?

Idealmente, la chiave di ripristino sarebbe necessaria quando avviato come questo, ma non ho visto questo documentato da nessuna parte.

2 Solutions collect form web for “Sicurezza di BitLocker senza codice PIN da WinPE?”

TPM è sicuro perché è "guardare" il process di avvio; quando il normale avvio di Windows viene avviato, segue il path di avvio "normale" e TPM riconosce questo e solo memorizza / recupera le chiavi quando questo process è stato seguito. Se si avvia qualsiasi altro modo, anche solo la modalità sicura, "cambierà" quel process e TPM non "sblocca".

Tecnicamente la chiave è memorizzata nel chip TPM, ed è teoricamente ansible tagliare questo chip e get i dati. TPM è una volta come qualsiasi altra, è sempre teoricamente ansible penetrare in una volta data abbastanza tempo e risorse. Per conoscenza pubblicamente disponibile, questo non è mai accaduto. Ma a metà del motivo esistono le opzioni PIN e USB. Cercare di rendere brutale la chiave di crittografia AES-256 effettiva prende una ridicola quantità di tempo.

Se l'unità richiede solo la chiave USB, sarà ansible utilizzare solo che anche da WinPE per sbloccare l'unità.

Usiamo BitLocker where lavoro. Ogni drive deve essere protettore, la chiave TPM e una chiave di ripristino pubblicata automaticamente in Active Directory. Il computer inizia come normale e gli utenti non sanno che è crittografato, a less che guardino. Quando prendo il computer per essere servito / cancellato / etc utilizzo lo strumento di row di command di manage-bde in WinPE per sbloccare e accedere all'unità utilizzando la chiave di ripristino per sbloccare l'unità.

Ricorda inoltre che la GUI non presenta tutte le opzioni BitLocker disponibili. Lo strumento di row di command manage-bde . Per la maggior parte delle persone la GUI è abbastanza buona per iniziare, ma lo strumento CLI sarà necessario per le impostazioni avanzate e può presentarvi una migliore comprensione della tecnologia.

  1. Bitlocker crittografa i dati con una chiave, quindi non import se un altro utente avvia l'ambiente non avrà accesso ai dati direttamente. Il lato negativo è che egli può provare a rompere la crittografia perché ha accesso fisico al disco rigido (che può essere parzialmente impedito con una chiave di avvio usb.
  2. Per quanto so che il TPM / USB è inutilizzabile quando viene avviato da un altro sistema operativo senza PIN \ PASSWORD.
  3. Qualcuno che vorrebbe l'accesso sarebbe andato al path seguente: a) prendere il computer porttile b) get la chiave c) get pin d) get l'accesso.
  4. Avrebbero ancora bisogno della chiave di recupero o del PIN, a less che non tentino di forzare direttamente senza la chiave.

Spero che aiuti .

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.