Краще додати до конфігурації Bitlocker захист від штифтів

• Категорія: Поради Щодо Windows

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Bitlocker - це популярна технологія шифрування Microsoft, яка використовується для захисту даних на пристроях Windows. Домашні користувачі та клієнти Enterprise можуть захищати систему та дані за допомогою Bitlocker.

За замовчуванням Bitlocker працює зручним способом, оскільки користувачам не потрібно вводити PIN -код або пароль під час завантаження, оскільки все це обробляється системою автоматично.

Порада : перегляньте наш посібник із налаштування Bitlocker у Windows 10.

Налаштування шпильки необов’язкове, але настійно рекомендується, як нещодавня історія Блог групи Dolos пропонувати. Компанія отримала ноутбук від організації, яка була налаштована зі стандартним стеком безпеки організації. Ноутбук був повністю зашифрований за допомогою TPM і Bitlocker, мав встановлений пароль BIOS, заблокований порядок завантаження BIOS і використовував безпечне завантаження, щоб запобігти завантаженню непідписаних операційних систем.

Дослідники безпеки виявили, що система завантажується прямо на екрані входу в Windows 10; це означало, що перед цим користувачам не потрібно було вводити PIN -код або пароль, і що ключ був вилучений з TPM.

Дослідники шукали інформацію про чіп TPM і виявляли, як він спілкується. Bitlocker не використовує 'жодної із зашифрованих комунікаційних функцій стандарту TPM 2.0', а це означає, що спілкування здійснюється у вигляді простого тексту.

Ноутбук був відкритий, а зонди використовувалися для запису даних під час завантаження. Інструмент з відкритим кодом h ttps: //github.com/FSecureLABS/bitlocker-spi-toolkit був використаний для виявлення ключа Bitlocker у даних; потім він був використаний для розшифровки твердотільного накопичувача ноутбука.

Дослідникам вдалося потрапити в систему після завантаження її образу у віртуальному середовищі. Звідти їм вдалося підключитися до VPN компанії.

Пом'якшення

Bitlocker підтримує налаштування ключа автентифікації перед завантаженням. Якщо цей ключ встановлено, його потрібно ввести перед завантаженням системи; це працює аналогічно тому, як працюють VeraCrypt та інші сторонні програми шифрування. VeraCrypt відображає пароль та запит PIM під час завантаження, якщо системний диск зашифрований. Користувачам потрібно ввести правильний пароль і PIM, щоб розшифрувати диск і завантажити операційну систему.

Дослідники пропонують користувачам встановити PIN -код для захисту системи та її даних.

Перед автентифікацією перед завантаженням встановлено TPM із захистом PIN-коду (із складним алфавітно-цифровим PIN-кодом [розширений PIN-код], що допомагає пом'якшити вплив ударів TPM).

Налаштування PIN-коду автентифікації попереднього завантаження Bitlocker

Примітка : Шифрування диска Bitlocker доступне у Windows 10 Pro та Enterprise. Домашні пристрої мають шифрування накопичувачів, що відрізняється. Можливо, ви захочете замість цього використовувати VeraCrypt для кращого захисту даних на своїх пристроях Home. У Windows 10 ви можете перевірити, чи використовується дешифрування пристрою, відкривши Налаштування, здійснивши пошук дешифрування пристрою та вибравши опцію з результатів.

1. Відкрийте редактор групової політики:
   1. Використовуйте комбінацію клавіш Windows-R
   2. Введіть gpedit.msc і натисніть клавішу Enter.
2. Перейдіть до Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диски операційної системи за допомогою структури папок на бічній панелі.
3. Двічі клацніть на Потрібна додаткова автентифікація при запуску на головній панелі.
4. Встановіть для політики значення Увімкнено.
5. Виберіть меню у розділі «Налаштувати PIN -код запуску TPM» і встановіть для нього значення «Вимагати PIN -код запуску за допомогою TPM».
6. Натисніть OK, щоб зберегти щойно внесені зміни.

Ви підготували систему прийняти PIN-код як метод автентифікації перед завантаженням, але ще не встановили PIN-код.

1. Відкрийте Пуск.
2. Введіть cmd.exe.
3. Виберіть Запуск від імені адміністратора, щоб відкрити вікно командного рядка з підвищеними правами.
4. Виконайте таку команду, щоб встановити PIN -код перед завантаженням: manage -bde -protectors -add C: -TPMAndPIN
5. Вам буде запропоновано ввести PIN -код і підтвердити його, щоб переконатися, що він ідентичний.

PIN -код встановлено, і вам буде запропоновано ввести його під час наступного завантаження. Ви можете виконати команду manage -bde -status, щоб перевірити стан.

Тепер ти: Ви шифруєте свої жорсткі диски? (через Народився ))