เพิ่มรหัสผ่าน BitLocker ไปยังไดรฟ์ระบบเข้ารหัสที่มีอยู่ (ไม่มี TPM)

0

แล็ปท็อปของฉันไม่ได้ติดตั้ง TPM ฉันได้เปิดใช้งานนโยบายกลุ่มบายพาสเพื่อใช้ BitLocker กับ USB thumb drive

ในบางกรณีฉันต้องการอัปเกรดการตรวจสอบสิทธิ์ด้วย เพิ่ม PIN ไปยังไดรฟ์ระบบเข้ารหัสที่มีอยู่ หรือในภายหลังเพื่อลบการรับรองความถูกต้องของไดรฟ์ USB Thumb Drive สำหรับ PIN / รหัสผ่านเท่านั้น

ฉันได้ตั้งค่านโยบายกลุ่มเพื่ออนุญาตการตั้งค่าเหล่านี้แล้ว แต่ฉันไม่พบตัวเลือกใด ๆ ในหน้าจอการตั้งค่า BitLocker เพื่ออัพเกรดความปลอดภัยสำหรับไดรฟ์ระบบของฉัน ไดรฟ์รองของฉันมีให้ใช้งานแทน (ซึ่งจะถูกถอดรหัสอัตโนมัติเมื่อบูทระบบขึ้น)

ฉันจินตนาการว่าฉันสามารถถอดรหัสไดรฟ์ทั้งหมดและทำการเข้ารหัสใหม่ด้วยการตั้งค่าใหม่

ฉันต้องการถามว่ามีวิธีที่สั้นกว่านี้หรือไม่

windows-10  hard-drive  encryption  bitlocker 
usr-local-ΕΨΗΕΛΩΝ
แหล่งที่มา

คำตอบ:

0

หลังจากคิดไปเล็กน้อยฉันก็สรุปคำตอบด้วยความรู้สึกที่ดี

หากเป็นไปได้ที่จะเพิ่ม PIN ลงในไดรฟ์ระบบที่เข้ารหัสด้วย Bitlocker ที่ปลดล็อคด้วยคีย์ USB ในกรณีที่ไม่มี TPM ความปลอดภัยที่เพิ่มเข้ามาจะเท่ากับ ศูนย์ . โพรซีเดอร์ที่ปลอดภัยเท่านั้นคือถอดรหัสดิสก์ทั้งหมดและเข้ารหัสอีกครั้งโดยใช้ความปลอดภัยที่สูงขึ้น

เหตุใดจึงไม่สามารถทำได้ด้วยการเข้ารหัสที่ใช้พลังงาน USB (และในทางกลับกัน)

BitLocker ใช้การเข้ารหัสแบบสมมาตร ฉันไม่ได้เข้าไปดูรายละเอียด แต่ใช้ PIN หรือ Thumb Drive ที่มีความลับที่สามารถเปิดเผยคีย์การเข้ารหัสเท่ากับ (จากมุมมองความปลอดภัย) เพื่อสมมติว่าไดรฟ์หรือ PIN คือ กุญแจ

ดังนั้นคุณมีการตั้งค่าที่เป็นมิตรที่คุณส่งออกไปแล้ว กุญแจ ไปยังไดรฟ์ USB หรือจดจำภายใต้รูปแบบของ PIN / รหัสผ่าน ที่ สำคัญ มีอยู่และที่ สำคัญ สามารถถอดรหัสดิสก์ สมมติว่าคีย์ถูกโจมตี ระบบจะขอรหัสผ่านเพิ่มเติม แต่เนื่องจาก สำคัญ มีอยู่ในไดรฟ์หัวแม่มือผู้โจมตีที่มีการเข้าถึงดิสก์ทางกายภาพอาจยังคงใช้ สำคัญ เพื่อถอดรหัสไดรฟ์เพราะสมมาตร สำคัญ เป็นข้อมูลทั้งหมดที่จำเป็นในการถอดรหัสข้อมูล ผู้โจมตีสามารถใช้ซอฟต์แวร์ใด ๆ ภายใต้การควบคุมของเขาที่ไม่ต้องการการตรวจสอบเพิ่มเติมอย่างโง่เขลา

เหตุใดจึงต้องทำสิ่งนี้ในการตั้งค่า TPM

TPM เป็นอุปกรณ์อื่น สำคัญ หรือข้อมูลลับที่ใช้เพื่อรับคีย์ถอดรหัสนั้นอยู่ภายในขอบเขตของระบบคอมพิวเตอร์ที่ใช้งานอยู่ซึ่งทำหน้าที่เป็นห้องนิรภัย หากคุณเปลี่ยนการล็อคของตู้นิรภัยเครื่องจะไม่เปิดโดยไม่ต้องมีการตรวจสอบสิทธิ์ใหม่

ระบบปฏิบัติการที่ควบคุม ( เป็นเจ้าของ ) TPM อาจ กรุณา ขอให้ TPM ไม่ปล่อยกุญแจอีกต่อไปเว้นแต่จะมีการรับรองความถูกต้องเพิ่มเติม ด้วย TPM และด้วยข้อยกเว้นของปุ่ม escrow ที่ BitLocker สร้างขึ้นกุญแจจะไม่ถูกเปิดเผย หนึ่งสามารถเปลี่ยน PIN / รหัสผ่านที่จะยังคงไม่มีใครมีสื่อด้วย byte array ของรหัสลับที่มีอยู่

usr-local-ΕΨΗΕΛΩΝ
แหล่งที่มา
1
แต่เนื่องจากคีย์นั้นมีอยู่ใน thumb drive ผู้โจมตีที่มีการเข้าถึงดิสก์ทางกายภาพอาจยังคงใช้คีย์เพื่อถอดรหัสไดรฟ์เพราะคีย์ symmetric เป็นข้อมูลทั้งหมดที่จำเป็นในการถอดรหัสข้อมูล นี่คือ ไม่ จริง หากคุณเปิดใช้งานการรับรองความถูกต้อง PIN นอกเหนือจากคีย์ USB ทั้งสองจะต้องปลดล็อคไดรฟ์ . สิ่งนี้ช่วยเพิ่มความปลอดภัยของคุณเพราะตอนนี้คุณต้องมีบางสิ่ง (ไดรฟ์ USB) และรู้บางอย่าง (PIN) เพื่อปลดล็อก
Twisty Impersonator
Twisty Impersonator
ฉันขอแนะนำให้คุณแก้ไขความไม่ถูกต้องในคำตอบของคุณ
Ramhound
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.