我想确保在设备丢失/被盗的情况下,我的文件是安全的。我使用 Bitlocker (TPM),但今天我读到sethc.exe/粘滞键破解通过恢复介质重置管理员密码。在我看来,使用较旧的安装介质是应对 Microsoft 近期安全改进的一种解决方法。
我是否正确地认为这个 sethc.exe(或 Explorer.exe 替代品)将解决 Bitlocker 加密问题并授予对文件的访问权限,因为机器此时已启动并因此已解密?
其次,我认为带有启动密码的 Bitlocker 是防止此漏洞的唯一方法?
我一直在寻找有关此问题的答案,但许多答案都已过时,并推荐使用其他启动工具来绕过 Bitlocker(我的启动密码问题由此产生)。
答案1
如果带有 TPM 的 Bitlocker 处于活动状态,则启动任何其他东西(例如 USB 记忆棒、安装媒体等)都将导致不同的 TPM 状态,因此通过 TPM 解锁受 Bitlocker 保护的卷将失败。无法访问系统驱动器意味着您无法应用 sticke-keys 攻击。
但是,如果 TPM 不使用 TPM + PIN 保护,攻击者可以启动到 Windows 要求输入用户名和密码才能登录的地步。如果您对硬件有完全访问权限,那么就会有各种攻击利用通过 PCIex 或不同总线系统直接访问 RAM 的设备。通过访问系统 RAM,可以提取 Bitlocker 使用的主密钥。
过去几年,英特尔和 AMD 在其 CPU 架构中引入了保护机制来防止此类攻击。我不知道哪一代 CPU 可以缓解哪些攻击,以及是否还存在其他攻击。
但除非系统加密了 RAM 中的所有数据(全 RAM 加密),否则具有完全硬件访问权限的攻击者应该始终能够直接访问 RAM 模块并提取 Bitlocker 主密钥。但这不是一种简单的攻击(如果 RAM 模块是可替换的,则“冷启动攻击“如果 Bitlocker 密钥未加密且未在 RAM 中与硬件绑定,那么仍然可行。