BitLocker tylko z TPM (bez PIN-u)

Migracja XP->7 (USMT a certyfikaty) @ **choyrack** | **11.03.2014**

1
3
602

Szyfrowanie dysku systemowego oparte o BitLockera na komputerach z modułem TPM w domyślnej konfiguracji nie wymaga PIN-u. Ten sposób zabezpiecza przed odszyfrowaniem dysku na innym komputerze. Obecnie zawsze wymuszałem stosowanie dodatkowo PIN-u, ponieważ mam wątpliwości co do stopnia bezpieczeństwa stosowania samego modułu TPM w przypadku komputerów przenośnych.

Zastanawiają mnie następujące kwestie:

Jaki jest mechanizm odszyfrowania dysku podczas startu komputera?

W którym momencie i na jakiej podstawie system odpytuje moduł TPM o klucz do odszyfrowania dysku?

Czy jest możliwość uruchomienia innego systemu z jakiegoś bootującego nośnika i odszyfrowanie zaszyfrowanego dysku?

Zapytał
@ pmichalski | 22.03.2015
- 19
- 2
- 9

3

TPM posiada klucz RSA oraz numer seryjny, który generowany jest w trakcie produkcji. Moduł TPM odpowiada również za generowanie innych kluczy, np. klucza do BitLocker, które buduje w oparciu o identyfikatory fizycznie podłączonego sprzętu do płyty głównej (zapewnia w ten sposób sprawdzenie integralności sprzętu). Dostęp do kluczy możliwy jest tylko wtedy, gdy moduł nie wykryje drastycznych zmian w konfiguracji naszego komputera (np. podłączenie innego dysku, zmiana procesora itp.). Dzięki temu osoba nieupoważniona nie może odczytać danych przez usunięcie dysku twardego i zamontowanie go w innym komputerze bądź uruchomienie innego systemu np. z płyty CD. Domyślnie kreator konfiguracji funkcji BitLocker współpracuje z modułem TPM. Aby zwiększyć poziom bezpieczeństwa, można połączyć użycie modułu TPM z osobistym numerem identyfikacyjnym (PIN) lub kluczem startowym przechowywanym na dysku flash USB. Administrator może użyć zasad grupy lub skryptu do włączenia dodatkowych opcji i funkcji:

1. Tylko TPM – przezroczyste dla użytkownika, zabrania dostępu do systemu w przypadku próby uruchomienia dysku w innym systemie
2. TPM i PIN (ang. Personal Identification Number) – przy próbie dostępu do dysku użytkownik musi podać klucz, który zezwoli na „zwolnienie” klucza szyfrującego z TPM (oczywiście pod warunkiem sprawdzenia integralności sprzętu)
3. TPM i klucz startowy przechowywany na dysku flash USB
4. TPM + klucz startowy + PIN

http://windows.microsoft.com/en-us/windows7/learn-more-about-bitlocker-drive-encryption

Konfigurację zabezpieczeń administrator narzuca przez GPO.
Computer Configuration\Administrative Templates\Windows Component\Bitlocker Drive Encription\Operating System Drive:

Warto tutaj zwrócić uwagę, że w systemach od „Windows 7” można było zaszyfrować dysk systemowy bez modułu TPM, jednocześnie wtedy jest potrzebny klucz/plik podawany przez USB.

Warto zapoznać się z możliwością szyfrowania dysków z danymi:

https://technet.microsoft.com/pl-pl/library/cc732774.aspx

i urządzeń dyskowych USB (Bitlocker ToGo):

https://technet.microsoft.com/en-us/windows/bitlocker-and-bitlocker-to-go.aspx

Klucz niezbędny do odszyfrowywania dysku zaszyfrowanego przez Bitlocker można również przechowywać w bazie danych AD:

https://quorum.akademiq.pl/discussion/140

Dodatkowe wątki na Quorum:

https://quorum.akademiq.pl/discussion/2992

https://quorum.akademiq.pl/discussion/comment/4480#Comment_4480

Skomentuj

Odpowiedział
@ | 03.04.2015
TRENER ALTKOM AKADEMII

Pytanie