假设您的计算机的系统驱动器已通过 BitLocker 加密,并且您未使用 PIN,因此计算机将无人值守启动。如果攻击者将系统启动到 Windows 预安装环境,会发生什么情况?他们能否访问加密驱动器?
如果您有 TPM 与仅使用 USB 启动密钥相比,情况会发生变化吗?
我想确定的是,如果不从原始操作系统启动,TPM / USB 启动密钥是否可用。换句话说,如果您使用 USB 启动密钥并且计算机正常重新启动,则数据仍将受到保护,除非攻击者能够登录。但是,如果黑客只是在插入 USB 启动密钥的情况下将服务器启动到 Windows 预安装环境,该怎么办?他们是否可以访问数据?或者这是否需要恢复密钥?
理想情况下,像这样启动时需要恢复密钥,但我还没有在任何地方看到过这方面的记录。
答案1
TPM 是安全的,因为它“监视”启动过程;当您的正常 Windows 安装启动时,它会遵循“正常”启动路径,并且 TPM 会识别这一点,并且只有在遵循此过程后才会存储/检索密钥。如果您以任何其他方式启动,即使只是安全模式,您也会“更改”该过程,并且 TPM 不会“解锁”。
从技术上讲,密钥存储在 TPM 芯片中,理论上可以切开该芯片并获取数据。TPM 和其他任何保险库一样,只要有足够的时间和资源,理论上总是有可能闯入保险库的。据公开信息显示,这种情况从未发生过。但这正是 PIN 和 USB 密钥选项存在的一半原因。尝试暴力破解实际的 AES-256 加密密钥将花费大量时间。
如果您的驱动器只需要 USB 密钥,那么甚至可以从 WinPE 中使用它来解锁驱动器。
我工作的地方使用 BitLocker。每个驱动器都有保护器、TPM 密钥和自动发布到 Active Directory 的恢复密钥。计算机像正常一样启动,用户不知道它已被加密,除非他们查看。当我将计算机送去维修/擦除/等时,我使用manage-bdeWinPE 中的命令行工具解锁并访问驱动器,使用恢复密钥解锁驱动器。
还请记住,GUI 不会显示所有可用的 BitLocker 选项。命令行工具manage-bde会显示。对于大多数人来说,GUI 足以开始使用,但 CLI 工具对于高级设置是必需的,并且可能让您更好地了解该技术。
答案2
- Bitlocker 使用密钥加密数据,因此无论其他用户是否启动环境,他都无法直接访问数据。缺点是他可以尝试破解加密,因为他可以物理访问硬盘(可以使用 USB 启动密钥部分阻止这种情况)。
- 据我所知,当从另一个操作系统启动而没有 PIN\PASSWORD 时,TPM / USB 密钥不可用。
- 想要获得访问权限的人会采取以下路线:a) 获取笔记本电脑 b) 获取密钥 c) 获取密码 d) 获取访问权限。
- 他们仍然需要恢复密钥或 PIN,除非他们在没有密钥的情况下直接尝试暴力破解。
我希望这有帮助 。