Безопасность BitLocker без PIN-кода от WinPE?
Допустим, у вас есть компьютер с системным диском, зашифрованный BitLocker, и вы не используете PIN-код, поэтому компьютер будет загружаться без присмотра. Что произойдет, если злоумышленник загрузит систему в среду предустановки Windows? Будет ли у них доступ к зашифрованному диску?
Изменится ли он, если у вас есть TPM против использования только ключа запуска USB?
Я пытаюсь определить, можно ли использовать ключ запуска TPM / USB без загрузки из исходной операционной системы. Другими словами, если вы используете USB-ключ запуска и компьютер перезагружается нормально, тогда данные все равно будут защищены, если злоумышленник не сможет войти в систему. Но что, если хакер просто загрузит сервер в среду предустановки Windows с USB-ключ запуска подключен? Получат ли они тогда доступ к данным? Или для этого потребуется ключ восстановления?
В идеале ключ восстановления потребуется при такой загрузке, но я нигде этого не видел.
2 ответа
TPM безопасен, потому что он "следит" за процессом загрузки; Когда ваша обычная установка Windows загружается, он следует "обычному" пути загрузки, и TPM распознает его и будет хранить / извлекать ключи только тогда, когда будет выполнен этот процесс. Если вы загрузитесь любым другим способом, даже просто в безопасном режиме, вы "измените" этот процесс, а TPM не "разблокирует".
Технически ключ хранится в микросхеме TPM, и теоретически возможно вскрыть этот чип и получить данные. TPM - это хранилище, как и любое другое, теоретически всегда возможно взломать хранилище при наличии достаточного количества времени и ресурсов. Для общедоступных знаний такого никогда не было. Но это половина причины, по которой существуют варианты PIN-кода и USB-ключа. Попытка перебора фактического ключа шифрования AES-256 заняла бы смехотворное время.
Если вашему диску требуется только USB-ключ, то можно будет использовать только этот ключ даже из WinPE для разблокировки диска.
Мы используем BitLocker, где я работаю. Каждый диск имеет защитные устройства, ключ TPM и ключ восстановления, который автоматически публикуется в Active Directory. Компьютер запускается как обычно, и пользователи не знают, что он зашифрован, если только они не выглядят. Когда я беру компьютер для обслуживания / очистки / и т.д., я использую manage-bde инструмент командной строки в WinPE для разблокировки и доступа к диску, используя ключ восстановления для разблокировки диска.
Также имейте в виду, что графический интерфейс не отображает все доступные параметры BitLocker. Инструмент командной строки manage-bde делает. Для большинства людей графический интерфейс достаточно хорош, чтобы начать работу, но инструмент CLI понадобится для расширенных настроек и может дать вам лучшее понимание технологии.
- Bitlocker шифрует данные ключом, поэтому независимо от того, загрузит ли другой пользователь среду, он не будет иметь доступа к данным напрямую. Недостатком является то, что он может попытаться взломать шифрование, потому что у него есть физический доступ к жесткому диску (который может быть частично предотвращен с помощью ключа запуска USB).
- Насколько я знаю, ключ TPM / USB не работает при загрузке с другой ОС без PIN\ ПАРОЛЯ.
- Кто-то, кто хотел бы получить доступ, пошел бы по следующему маршруту: а) получить ноутбук б) получить ключ в) получить пин-код г) получить доступ.
- Им по-прежнему понадобится ключ восстановления или ПИН-код, если только они не попытаются применить грубую силу напрямую без ключа.
Надеюсь, это поможет.