Есть ли польза от использования bitlocker и efs вместе?

373
user935892

Пример: Bitlocker: во время процесса шифрования компьютер внезапно отключился из-за сбоя питания, часть данных останется незашифрованной, и злоумышленник сможет получить к ней доступ.

Я думаю, что bitlocker + efs решит эту проблему? Поскольку efs гарантирует, что зашифрованные данные могут быть доступны только конкретному пользователю. Таким образом, даже если кто-то получил, это жесткий диск (который имеет 20% ошибочный процесс шифрования битлокера). Он / она не сможет получить доступ, так как ему / ей нужно войти в систему, используя имя пользователя / пароль.

1
«Во время процесса шифрования компьютер внезапно отключился из-за сбоя питания, часть данных останется незашифрованной» - это имеет место только в том случае, если вы впервые устанавливаете Bitlocker, более поздние данные уже будут записаны в зашифрованном виде, поэтому вышеупомянутый сценарий не будет бывает. Таким образом, чтобы решить эту проблему, достаточно сохранить ваш компьютер в безопасном месте, пока шифрование завершено, или, что еще лучше, активируйте битлокер перед тем, как начать использовать компьютер. Máté Juhász 5 лет назад 0

1 ответ на вопрос

0
Xen2050

Во-первых, после завершения шифрования BitLocker не должно оставаться незашифрованных данных, поэтому пример сценария должен быть очень коротким.

Но если вы хотите использовать EFS вместе с BitLocker:

  • Вы бы добавили еще один уровень безопасности (что хорошо), возможно, за счет производительности (возможно, плохо).

  • BitLocker блокирует весь диск для всех пользователей, в то время как EFS блокирует только несколько избранных файлов для одного пользователя, поэтому вы можете, например, использовать EFS, чтобы попытаться сохранить только некоторые из ваших личных файлов от другого пользователя, который уже имеет доступ к BitLocker

    Примечание: Если они пользователь root / администратор, то, очевидно, они могли бы узнать ваш пароль, если бы они были определены: с помощью защиты смонтированного диска Bitlocker от других пользователей ( Райан Райс, 49,5 тыс. Репутация «Инженер эскалации Windows в Microsoft»)

    вы не сможете использовать что-то вроде EFS, поскольку EFS зависит от вашего имени пользователя и пароля Windows или AD, и любой администратор на той же машине может легко украсть ваше имя пользователя и пароль Windows или AD, проверяя память процесса lsass или установка кейлоггера.

Ваш комментарий о том, что администратор изменил пароль пользователя в отношении EFS, неверен, если администратор изменил пароль, он все равно не мог получить доступ к файлам, если использовалась EFS. Это связано с тем, что пароль пользователя используется для шифрования файлов, поэтому, если администратор сбрасывает пароль (это единственное, что он может сделать), файлы все равно будут зашифрованы. По этой причине Windows предупреждает вас об этом факте, когда вы сбрасываете пароль пользователя, и если EFS используется, это означает потерю этих файлов. Ramhound 5 лет назад 1
Чтобы быть понятным, администратор в Windows, не имеет возможности определить пароль другого пользователя (в виде простого текста). Администратор может только сбросить пароль пользователя. Ramhound 5 лет назад 0
@Ramhound Есть похожий вопрос (на другом сайте SE), когда причина была в том, что администратор Windows мог читать разблокированный ключ EFS любого пользователя прямо из памяти (каким-либо образом), или устанавливать кейлоггер для захвата пароля при входе в систему, или делать любые другие вредоносные действия это может случиться с скомпрометированным компьютером. Я предполагал, что просто изменение пароля одного пользователя не предоставит доступ к EFS (и технически я не сказал, что они могут это сделать), по крайней мере, это должно быть похоже на eCryptfs, но если вы не единственный администратор на компьютере тогда считайте это скомпрометированным небезопасным компьютером. Xen2050 5 лет назад 0
Нашел ссылку: [Защитите подключенный диск Bitlocker от других пользователей] (https://serverfault.com/a/847468/268911) "вы не сможете использовать что-то вроде EFS, так как EFS зависит от вашей Windows или AD имя пользователя и пароль, и любой администратор на одном компьютере может легко украсть ваше имя пользователя и пароль Windows или AD, проверив память процесса lsass или установив кейлоггер ". Xen2050 5 лет назад 0
Администратор должен знать пароль пользователя, чтобы импортировать сертификат. Если администратор использует кейлоггер, все идет за дверь, я поддерживаю мой комментарий. Можно использовать EFS, и если он используется, администратор не сможет получить доступ к вашим файлам. Ramhound 5 лет назад 0
@Ramhound У меня нет опыта из первых рук, может быть, «проверка памяти процесса lsass» - это хитрая форма паролей, я просто собираюсь [Райан Райс] (https://serverfault.com/users/104624 / ryan-ries) ответьте, он, кажется, знает, о чем говорит 49,5 тыс. повторений на сервере, и его профиль говорит, что он «инженер по эскалации Windows в Microsoft», возможно, ваши проблемы лучше направить на его ответ? Xen2050 5 лет назад 0