Sie fügen Pin Protection besser zu Ihrer Bitlocker-Konfiguration hinzu

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Bitlocker ist eine beliebte Verschlüsselungstechnologie von Microsoft, die zum Schutz von Daten auf Windows-Geräten verwendet wird. Privatanwender und Unternehmenskunden können das System und die Daten mit Bitlocker schützen.

Bitlocker funktioniert standardmäßig bequem, da Benutzer beim Booten keine PIN oder kein Passwort eingeben müssen, da dies alles automatisch vom System verarbeitet wird.

Spitze : Lesen Sie unsere Anleitung zum Einrichten von Bitlocker unter Windows 10 .

Das Einrichten eines Pins ist optional, aber dringend zu empfehlen, als aktuelle Geschichte auf Blog der Dolos Group vorschlagen. Das Unternehmen erhielt einen Laptop von einer Organisation, der mit dem Standardsicherheitsstack der Organisation konfiguriert war. Der Laptop war vollständig mit TPM und Bitlocker verschlüsselt, hatte ein BIOS-Passwort, eine gesperrte BIOS-Boot-Reihenfolge und verwendete Secure Boot, um das Booten nicht signierter Betriebssysteme zu verhindern.

schalte Bitlocker ein

Die Sicherheitsforscher stellten fest, dass das System direkt zum Windows 10-Anmeldebildschirm bootete. Dies bedeutete, dass Benutzer zuvor keine PIN oder kein Kennwort eingeben mussten und der Schlüssel aus dem TPM gezogen wurde.

Die Forscher suchten nach Informationen auf dem TPM-Chip und entdeckten, wie er kommuniziert. Bitlocker verwendet keine der verschlüsselten Kommunikationsfunktionen des TPM 2.0-Standards, was bedeutet, dass die Kommunikation im Klartext erfolgt.

Der Laptop wurde geöffnet und während des Bootens wurden Sonden verwendet, um Daten aufzuzeichnen. Das Open-Source-Tool h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit wurde verwendet, um den Bitlocker-Schlüssel in den Daten zu erkennen; es wurde dann verwendet, um das Solid State Drive des Laptops zu entschlüsseln.

Den Forschern gelang es, in das System einzudringen, nachdem sie ihr Image in einer virtuellen Umgebung gebootet hatten. Von dort aus gelang es ihnen, sich mit dem Firmen-VPN zu verbinden.

Schadensbegrenzung

Bitlocker unterstützt das Festlegen eines Pre-Boot-Authentifizierungsschlüssels. Wenn dieser Schlüssel gesetzt ist, muss er vor dem Systemstart eingegeben werden; dies funktioniert ähnlich wie VeraCrypt und andere Verschlüsselungsprogramme von Drittanbietern. VeraCrypt zeigt beim Booten ein Passwort und eine PIM-Eingabeaufforderung an, wenn das Systemlaufwerk verschlüsselt ist. Benutzer müssen das richtige Passwort und PIM eingeben, um das Laufwerk zu entschlüsseln und das Betriebssystem zu starten.

Die Forscher schlagen vor, dass Benutzer die PIN festlegen, um das System und seine Daten zu schützen.

Pre-Boot-Authentifizierung auf TPM mit PIN-Schutz eingestellt (mit einer ausgeklügelten alphanumerischen PIN [erweiterter Pin], um die TPM-Anti-Hammering-Minderung zu unterstützen).

Einrichten einer Bitlocker-Pre-Boot-Authentifizierungs-PIN

Notiz : Bitlocker-Laufwerkverschlüsselung ist unter Windows 10 Pro und Enterprise verfügbar. Heimgeräte verfügen über eine Laufwerkverschlüsselung, die anders ist. Vielleicht möchten Sie stattdessen VeraCrypt verwenden, um die Daten auf Ihren Heimgeräten besser zu schützen. Unter Windows 10 können Sie überprüfen, ob die Geräteentschlüsselung verwendet wird, indem Sie die Einstellungen öffnen, nach Geräteentschlüsselung suchen und die Option aus den Ergebnissen auswählen.

  1. Öffnen Sie den Gruppenrichtlinien-Editor:
    1. Verwenden Sie die Tastenkombination Windows-R
    2. Geben Sie gpedit.msc ein und drücken Sie die Eingabetaste.
  2. Gehen Sie über die Ordnerstruktur der Seitenleiste zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
  3. Doppelklicken Sie auf Erfordern zusätzliche Authentifizierung beim Start im Hauptfenster.
  4. Legen Sie die Richtlinie auf Aktiviert fest.
  5. Wählen Sie das Menü unter „TPM-Start-PIN konfigurieren“ und stellen Sie es auf „Start-PIN mit TPM erforderlich“ ein.
  6. Klicken Sie auf OK, um die soeben vorgenommenen Änderungen zu speichern.

Sie haben das System darauf vorbereitet, eine PIN als Pre-Boot-Authentifizierungsmethode zu akzeptieren, aber Sie haben die PIN noch nicht festgelegt.

  1. Öffnen Sie Start.
  2. Geben Sie cmd.exe ein.
  3. Wählen Sie Als Administrator ausführen aus, um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu starten.
  4. Führen Sie den folgenden Befehl aus, um eine Pre-Boot-PIN festzulegen: manage-bde -protectors -add C: -TPMANdPIN
  5. Sie werden aufgefordert, die PIN einzugeben und zu bestätigen, um sicherzustellen, dass sie identisch ist.

Die PIN ist festgelegt und Sie werden beim nächsten Booten aufgefordert, sie einzugeben. Sie können den Befehl manage-bde -status ausführen, um den Status zu überprüfen.

Jetzt du: verschlüsselst du deine festplatten? (über Geboren )