В организации, в которой я работаю, есть ноутбуки, оснащенные FDE-накопителями, то есть накопителями, которые шифруют данные на лету, так что в случае украденного ноутбука невозможно извлечь данные путем извлечения жесткого диска. Несмотря на то, что это защищает нас от злоумышленников, злые сотрудники могут по-прежнему переключать диск на компьютер, которым они владеют (и которым они управляют BIOS), и разрешать привилегии root / администратор в ОС для себя.
Короче говоря, решение этой проблемы заключается в сохранении (части) ключа шифрования в BIOS, так что другой компьютер не сможет расшифровать диск. Есть ли способ сделать это, или как другие организации справляются с этой угрозой безопасности?
Я думаю, что вы должны смотреть на решения TPM ( Trusted Platform Module ). Они встроены в большинство профессиональных ноутбуков.
В этой статье упоминается явное решение - шифрование диска :
Ограниченное количество решений для шифрования диска поддерживают TPM. Эти реализации могут обернуть ключ дешифрования с помощью TPM, тем самым привязав жесткий диск (HDD) к конкретному устройству. Если жесткий диск извлечен из этого конкретного устройства и помещен в другое, процесс расшифровки не удастся