Снятие данных с ограничений диска Bitlocker, когда Bitlocker использует TPM и не использует пароль

455
davidgo

Я исследую безопасность Bitlocker в сочетании с TPM и защищенной загрузкой (и без пароля для Bitlocker или BIOS), и борюсь с чем-то -

/ Как Windows защищает процесс ранней загрузки?

Например: допустим, украден компьютер с зашифрованным диском, но вор не знает учетных данных для входа в Windows. Какие, если таковые имеются, средства защиты существуют, чтобы предотвратить вор, вносящий изменения в среду ранней загрузки, чтобы позволить ему добавить / изменить пароль / получить оболочку, не требуя действительного входа в систему?

Возможно, напрашивается вопрос, но подписан / измерен ли процесс ранней загрузки таким образом, чтобы предотвратить этот вектор атаки, и если да, то как?

Бонус, если кто-то может посоветовать способ фактически обойти защиту / цепочку Bitlocker / TPM без использования ключа восстановления Bitlocker. (Я полагаю, что / теоретически был механизм злоупотребления процессом обновления Windows для обхода этой защиты, но я не знаю, как это будет реализовано или насколько сложно - или если есть более простые способы)

Чтобы уточнить элементы моего поста:

По этой ссылке Microsoft говорит: «Режим аутентификации только TPM проще всего развертывать, управлять и использовать. Он также может быть более подходящим для компьютеров, которые не обслуживаются или должны перезагружаться, когда они находятся без присмотра. Однако режим только TPM предлагает минимум степень защиты данных. Если в частях вашей организации есть данные, которые на мобильных компьютерах считаются очень конфиденциальными, рассмотрите возможность развертывания BitLocker с многофакторной аутентификацией на этих компьютерах ». - Я пытаюсь количественно оценить этот риск.

Когда я говорю «процесс ранней загрузки», я говорю о том, когда Windows берет на себя загрузку, но до загрузки основной ОС (то есть заглушки / начального бита, который загружает драйвер Bitlocker и другие ранние процессы, которые находятся на -зашифрованный раздел, который есть на дисках с битлокером, - и затем от руки к основной загрузке)

0
@ fixer1234, пожалуйста, смотрите обновленный вопрос - я, вероятно, использую неправильный термин - я говорю о той части процесса загрузки, когда Windows загружает незашифрованный раздел для настройки доступа к Bitlocker и других ранних этапах загрузки. davidgo 5 лет назад 0

1 ответ на вопрос

0
Ramhound

Как Windows защищает процесс ранней загрузки?

Windows не пытается защитить процесс ранней загрузки (все, что происходит до загрузчика Windows). Безопасная загрузка, функция UEFI, выполняет эту задачу. При обнаружении изменений конфигурации BitLocker потребует от вас предоставить ключ восстановления. Это предотвращает извлечение жесткого диска из компьютера и его установку на другой без предоставления ключа восстановления BitLocker. Системный диск, защищенный BitLocker, смонтированный в Windows, не может быть разблокирован без ключа восстановления.

Какие существуют меры защиты, позволяющие вору вносить изменения в среду ранней загрузки, чтобы он мог добавить / изменить пароль / получить оболочку, не требуя действительного входа в систему?

Если обнаружены какие-либо изменения в TPM, BitLocker предложит ввести ключ восстановления. Если в прошивку UEFI будут внесены какие-либо изменения, BitLocker предложит ввести ключ восстановления. Поскольку BitLocker - это полное шифрование диска, невозможно получить доступ к данным без ключа восстановления.

Возможно, напрашивается вопрос, но подписан / измерен ли процесс ранней загрузки таким образом, чтобы предотвратить этот вектор атаки, и если да, то как?

Secure Boot предотвращает загрузку в неподписанных операционных системах.

Безопасная загрузка - это стандарт безопасности, разработанный представителями индустрии ПК для обеспечения того, чтобы устройство загружалось с использованием только программного обеспечения, которому доверяет производитель оригинального оборудования (OEM). Когда компьютер запускается, прошивка проверяет подпись каждого загрузочного программного обеспечения, включая драйверы прошивки UEFI (также называемые дополнительными ПЗУ), приложения EFI и операционную систему. Если подписи действительны, компьютер загружается, и микропрограмма передает управление операционной системе.

Источник: Безопасная загрузка

Кто-нибудь может посоветовать способ фактически обойти защиту / цепочку Bitlocker / TPM без использования ключа восстановления BitLocker.

Если такая уязвимость существует в BitLocker, она не будет опубликована.

Я полагаю, что был / теоретически был механизм злоупотребления процессом обновления Windows для обхода этой защиты, но я не знаю, как это будет реализовано или насколько сложно - или если есть более простые способы

Этот теоретический механизм обхода защиты BitLocker не существует, как вы его описали. Чтобы выполнить загрузку в среде установки Windows, необходимо изменить конфигурацию прошивки устройства, что приведет к тому, что для расшифровки данных потребуется ключ восстановления. Кроме того, вы не можете установить Windows поверх себя, на зашифрованный том из среды установки.

Однако режим только TPM обеспечивает наименьшую степень защиты данных. Если в частях вашей организации имеются данные, которые на мобильных компьютерах считаются очень конфиденциальными, рассмотрите возможность развертывания BitLocker с многофакторной аутентификацией на этих компьютерах.

Я не верю, что это относится к TPM 1.2. Документация, на которую вы ссылаетесь, взята из Windows Vista, которая НЕ поддерживает TPM 1.2.

Когда я говорю «процесс ранней загрузки», я говорю о том, когда Windows берет на себя загрузку, но до загрузки основной ОС (то есть заглушки / начального бита, который загружает драйвер BitLocker и другие ранние процессы, которые находятся на -зашифрованный раздел, который есть на дисках BitLocker, - и затем от руки к основной загрузке)

То есть вы имеете в виду загрузчик Windows. Как я уже указывал, любое изменение конфигурации приведет к тому, что ключ восстановления потребуется для расшифровки данных.

Я осторожно отвечаю на этот вопрос, хотя думаю, что вопросы, касающиеся теоретических возможностей, являются проблематичными. Ramhound 5 лет назад 0
@Ramhound Согласно https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-vista/cc766295(v=ws.10)#BKMK_S1 "Чтобы BitLocker работал, вы должны На вашем жестком диске должно быть не менее двух разделов. Первый раздел - это системный том, помеченный в этом документе буквой S. Этот том содержит загрузочную информацию в незашифрованном пространстве. Второй раздел - это том операционной системы, помеченный буквой C в этом документе. Этот том зашифрован и содержит операционную систему и пользовательские данные. " Если бы все было зашифровано (даже системный раздел), как бы загрузился компьютер? User025 5 лет назад 0
@ User025 - Я забыл, что технически раздел EFI не будет зашифрован. Документация, на которую вы ссылаетесь, относится к Windows Vista. BitLocker получил множество улучшений в Windows 7, Windows 8.x и Windows 10. Ramhound 5 лет назад 0
@ User025 Спасибо за эту ссылку - она ​​привела меня на путь исследования, который нашел меня по адресу https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker - Я пока не до конца понимаю, но, похоже, данные BCD - это данные, о которых я беспокоюсь и которые измеряются. davidgo 5 лет назад 0
@davidgo - вы не сможете получить доступ к WinRE без изменения конфигурации прошивки или доступа к Windows, поэтому вы можете выбрать загрузку в Advanced Startup. Даже имея доступ к WinRE, вы ничего не можете сделать злонамеренным, имея к нему доступ. Диск системного раздела все еще зашифрован Ramhound 5 лет назад 0
@ramhound - (я думаю, что ответ заключается в том, что важные файлы измеряются как часть безопасной загрузки, которую я до сих пор не понимаю полностью), но я должен иметь возможность изменять незашифрованный системный том без смены прошивки или доступа к Windows- и это то, где я обеспокоен тем, что злоумышленник может взломать Битовый шкафчик. davidgo 5 лет назад 0
Не ясно, какие изменения вы можете внести в EFI, которые позволят злоумышленнику получить полный доступ к вашим зашифрованным файлам. Им по-прежнему нужны ваши имена пользователей и пароль, а также ваш ключ восстановления для доступа к вашим файлам. Ramhound 5 лет назад 0

Похожие вопросы