По -добре добавете Pin Protection към конфигурацията на Bitlocker

Опитайте Нашия Инструмент За Премахване На Проблемите

Bitlocker е популярна технология за криптиране от Microsoft, която се използва за защита на данни на устройства с Windows. Домашните потребители и корпоративните клиенти могат да защитават системата и данните с помощта на Bitlocker.

Bitlocker работи по удобен начин по подразбиране, тъй като потребителите не трябва да въвеждат ПИН или парола по време на зареждане, тъй като всичко това се обработва от системата автоматично.

Бакшиш : вижте нашето ръководство за настройка на Bitlocker за Windows 10.

Настройването на щифт не е задължително, но е силно препоръчително, като скорошна история Блогът на Dolos Group предлагам. Компанията получи лаптоп от организация, която беше конфигурирана със стандартния стек за сигурност на организацията. Лаптопът е напълно криптиран с TPM и Bitlocker, има зададена парола за BIOS, заключен ред за зареждане на BIOS и използва защитено зареждане, за да предотврати зареждането на неподписани операционни системи.

включете bitlocker

Изследователите по сигурността откриха, че системата се зарежда направо на екрана за влизане в Windows 10; това означаваше, че потребителите не трябваше да въвеждат пин или парола преди това и че ключът е изтеглен от TPM.

Изследователите потърсиха информация за чипа TPM и откриха как той комуникира. Bitlocker не използва „нито една от шифрованите комуникационни функции на стандарта TPM 2.0“ и това означава, че комуникацията е в обикновен текст.

Лаптопът беше отворен и сондите бяха използвани за записване на данни по време на зареждане. Инструментът с отворен код h ttps: //github.com/FSecureLABS/bitlocker-spi-toolkit беше използван за откриване на ключа Bitlocker в данните; след това той беше използван за декриптиране на SSD устройството на лаптопа.

Изследователите успяха да влязат в системата, след като заредиха нейния образ във виртуална среда. Оттам те успяха да се свържат с VPN на компанията.

Смекчаване

Bitlocker поддържа настройка на ключ за удостоверяване преди зареждане. Ако този ключ е зададен, той трябва да бъде въведен преди стартирането на системата; това работи подобно на начина, по който работят VeraCrypt и други програми за шифроване на трети страни. VeraCrypt показва парола и PIM подкана по време на зареждане, ако системното устройство е криптирано. Потребителите трябва да въведат правилната парола и PIM, за да получат дешифриране на устройството и стартиране на операционната система.

Изследователите предлагат на потребителите да зададат ПИН код за защита на системата и нейните данни.

Удостоверяването преди зареждане е настроено на TPM с PIN протектор (с усъвършенстван буквено-цифров PIN [подобрен пин], за да се помогне на TPM за предотвратяване на чукове).

Настройване на PIN за удостоверяване на Bitlocker преди зареждане

Забележка : Bitlocker Drive Encryption е налично в Windows 10 Pro и Enterprise. Домашните устройства имат криптиране на устройството, което е различно. Може да помислите да използвате VeraCrypt вместо това, за да защитите по -добре данните на домашните си устройства. В Windows 10 можете да проверите дали се използва Декриптиране на устройство, като отворите Настройките, потърсите декриптиране на устройството и изберете опцията от резултатите.

  1. Отворете редактора на групови правила:
    1. Използвайте клавишната комбинация Windows-R
    2. Въведете gpedit.msc и натиснете клавиша Enter.
  2. Отидете на Конфигурация на компютъра> Административни шаблони> Компоненти на Windows> Шифроване на устройство с BitLocker> Дискове на операционна система, като използвате структурата на папките на страничната лента.
  3. Щракнете двукратно върху Изисква допълнително удостоверяване при стартиране в главния прозорец.
  4. Задайте политиката на Enabled.
  5. Изберете менюто под „Конфигуриране на PIN за стартиране на TPM“ и го задайте на „Изискване на PIN за стартиране с TPM“.
  6. Щракнете върху OK, за да запазите промените, които току -що сте направили.

Подготвили сте системата да приеме ПИН като метод за удостоверяване преди зареждане, но още не сте задали ПИН кода.

  1. Отворете Старт.
  2. Въведете cmd.exe.
  3. Изберете Изпълни като администратор, за да стартирате повишен прозорец на командния ред.
  4. Изпълнете следната команда, за да зададете PIN за предварително зареждане: manage -bde -protectors -add C: -TPMAndPIN
  5. Ще бъдете подканени да въведете ПИН кода и да го потвърдите, за да се уверите, че е идентичен.

ПИН кодът е зададен и ще бъдете подканени да го въведете при следващото зареждане. Можете да изпълните командата manage -bde -status, за да проверите състоянието.

Сега ти: криптирате ли хард дисковете си? (чрез Роден )