È meglio aggiungere la protezione dei pin alla configurazione di Bitlocker

• Categoria: Suggerimenti Per Windows

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Bitlocker è una popolare tecnologia di crittografia di Microsoft utilizzata per proteggere i dati sui dispositivi Windows. Gli utenti domestici e i clienti Enterprise possono proteggere il sistema e i dati utilizzando Bitlocker.

Bitlocker funziona in modo conveniente per impostazione predefinita, poiché gli utenti non devono inserire un pin o una password durante l'avvio, poiché tutto ciò viene gestito automaticamente dal sistema.

Consiglio : consulta la nostra guida su come configurare Bitlocker su Windows 10 .

L'impostazione di un pin è facoltativa, ma altamente consigliata, come una storia recente su Il blog del Gruppo Dolos suggerire. L'azienda ha ricevuto un laptop da un'organizzazione configurata con lo stack di sicurezza standard dell'organizzazione. Il laptop era completamente crittografato con TPM e Bitlocker, aveva una password del BIOS impostata, un ordine di avvio del BIOS bloccato e utilizzava un avvio sicuro per impedire l'avvio di sistemi operativi non firmati.

I ricercatori della sicurezza hanno scoperto che il sistema si avviava direttamente nella schermata di accesso di Windows 10; ciò significava che gli utenti non dovevano digitare un pin o una password prima di ciò e che la chiave veniva estratta da TPM.

I ricercatori hanno cercato informazioni sul chip TPM e hanno scoperto come comunica. Bitlocker non utilizza 'nessuna delle funzionalità di comunicazione crittografata dello standard TPM 2.0' e ciò significa che la comunicazione è in testo normale.

Il laptop è stato aperto e le sonde sono state utilizzate per registrare i dati durante l'avvio. Lo strumento open source h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit è stato utilizzato per rilevare la chiave Bitlocker nei dati; è stato quindi utilizzato per decrittografare il Solid State Drive del laptop.

I ricercatori sono riusciti a entrare nel sistema dopo aver avviato la sua immagine in un ambiente virtuale. Da lì, sono riusciti a connettersi alla VPN aziendale.

Mitigazione

Bitlocker supporta l'impostazione di una chiave di autenticazione pre-avvio. Se quella chiave è impostata, deve essere immessa prima dell'avvio del sistema; funziona in modo simile a come funzionano VeraCrypt e altri programmi di crittografia di terze parti. VeraCrypt visualizza una password e un prompt PIM durante l'avvio se l'unità di sistema è crittografata. Gli utenti devono digitare la password e il PIM corretti per decrittografare l'unità e avviare il sistema operativo.

I ricercatori suggeriscono agli utenti di impostare il PIN per proteggere il sistema e i suoi dati.

Autenticazione pre-avvio impostata su TPM con una protezione PIN (con un PIN alfanumerico sofisticato [pin avanzato] per aiutare la mitigazione anti-martellamento del TPM).

Configurazione di un PIN di autenticazione pre-avvio di Bitlocker

Nota Nota: Crittografia unità Bitlocker è disponibile su Windows 10 Pro ed Enterprise. I dispositivi domestici hanno la crittografia dell'unità, che è diversa. Potresti prendere in considerazione l'utilizzo di VeraCrypt invece per proteggere meglio i dati sui tuoi dispositivi domestici. Su Windows 10, puoi verificare se viene utilizzata la decrittografia del dispositivo aprendo le Impostazioni, cercando la decrittografia del dispositivo e selezionando l'opzione dai risultati.

1. Apri l'Editor criteri di gruppo:
   1. Usa la scorciatoia da tastiera Windows-R
   2. Digita gpedit.msc e premi il tasto Invio.
2. Vai a Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo utilizzando la struttura delle cartelle della barra laterale.
3. Fare doppio clic su Richiedi autenticazione aggiuntiva all'avvio nel riquadro principale.
4. Imposta il criterio su Abilitato.
5. Seleziona il menu in 'Configura PIN di avvio TPM' e impostalo su 'Richiedi PIN di avvio con TPM'.
6. Fare clic su OK per salvare le modifiche appena apportate.

Hai preparato il sistema per accettare un PIN come metodo di autenticazione pre-avvio, ma non hai ancora impostato il PIN.

1. Apri Inizio.
2. Digitare cmd.exe.
3. Selezionare Esegui come amministratore per avviare una finestra del prompt dei comandi con privilegi elevati.
4. Eseguire il comando seguente per impostare un PIN di pre-avvio: manage-bde -protectors -add C: -TPMAndPIN
5. Ti viene chiesto di digitare il PIN e di confermarlo per assicurarti che sia identico.

Il PIN è impostato e ti verrà chiesto di inserirlo all'avvio successivo. Puoi eseguire il comando manage-bde -status per controllare lo stato.

Ora tu: crittografate i vostri dischi rigidi? (attraverso Nato )