假设您有一台计算机,其系统驱动器由 BitLocker 加密,并且您没有使用 PIN,因此计算机将在无人值守的情况下启动。如果攻击者将系统引导至 Windows 预安装环境会怎样?他们可以访问加密驱动器吗?
如果您有 TPM 与仅使用 USB 启动密钥相比,它会改变吗?
我要确定的是 TPM / USB 启动密钥是否可以在不从原始操作系统启动的情况下使用。换句话说,如果您使用 USB 启动密钥并且机器正常重启,那么除非攻击者能够登录,否则数据仍将受到保护。但是如果黑客只是将服务器启动到 Windows 预安装环境中插入的 USB 启动密钥?然后他们可以访问数据吗?还是需要恢复密钥?
理想情况下,像这样启动时需要恢复密钥,但我没有在任何地方看到这个记录。
TPM 是安全的,因为它“监视”引导过程;当您正常的 Windows 安装启动时,它会遵循“正常”启动路径,并且 TPM 会识别这一点,并且只会在遵循此过程时存储/检索密钥。如果您以任何其他方式启动,即使只是安全模式,您也会“更改”该进程,并且 TPM 不会“解锁”。
从技术上讲,密钥存储在 TPM 芯片中,理论上可以切开该芯片并获取数据。TPM 和其他任何保险库一样,只要有足够的时间和资源,理论上总是有可能闯入保险库。就公开知识而言,这从未发生过。但这是 PIN 和 USB Key 选项存在的一半原因。尝试暴力破解实际的 AES-256 加密密钥会花费大量时间。
如果您的驱动器只需要 USB 密钥,那么即使在 WinPE 中也可以只使用它来解锁驱动器。
我们在我工作的地方使用 BitLocker。每个驱动器都有保护器、TPM 密钥和自动发布到 Active Directory 的恢复密钥。计算机像正常一样启动,用户不知道它是加密的,除非他们看。当我将计算机送去维修/擦除/等时,我使用
manage-bdeWinPE 中的命令行工具解锁和访问驱动器,使用恢复密钥解锁驱动器。另请记住,GUI 不会显示所有可用的 BitLocker 选项。命令行工具
manage-bde可以。对于大多数人来说,GUI 足以入门,但 CLI 工具对于高级设置是必需的,并且可以让您更好地了解该技术。我希望这有帮助 。