Je kunt beter Pin Protection toevoegen aan je Bitlocker-configuratie

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Bitlocker is een populaire coderingstechnologie van Microsoft die wordt gebruikt om gegevens op Windows-apparaten te beschermen. Thuisgebruikers en Enterprise-klanten kunnen het systeem en de gegevens beschermen met Bitlocker.

Bitlocker werkt standaard op een handige manier, omdat gebruikers geen pincode of wachtwoord hoeven in te voeren tijdens het opstarten, omdat dit allemaal automatisch door het systeem wordt afgehandeld.

Tip : bekijk onze handleiding voor het instellen van Bitlocker op Windows 10.

Het instellen van een pin is optioneel, maar wordt ten zeerste aanbevolen, als een recent verhaal over De blog van Dolos Group voorstellen. Het bedrijf ontving een laptop van een organisatie die was geconfigureerd met de standaard security-stack van de organisatie. De laptop was volledig versleuteld met TPM en Bitlocker, had een BIOS-wachtwoord ingesteld, een vergrendelde BIOS-opstartvolgorde en veilig opstarten gebruikt om te voorkomen dat niet-ondertekende besturingssystemen opstartten.

zet de Bitlocker aan

De beveiligingsonderzoekers ontdekten dat het systeem rechtstreeks opstartte naar het inlogscherm van Windows 10; dit betekende dat gebruikers daarvoor geen pincode of wachtwoord hoefden in te voeren en dat de sleutel uit TPM werd gehaald.

De onderzoekers zochten informatie op over de TPM-chip en ontdekten hoe deze communiceert. Bitlocker gebruikt 'geen van de versleutelde communicatiefuncties van de TPM 2.0-standaard' en dat betekent dat de communicatie in platte tekst is.

De laptop werd geopend en sondes werden gebruikt om gegevens te registreren tijdens het opstarten. De open source tool h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit werd gebruikt om de Bitlocker-sleutel in de gegevens te detecteren; het werd vervolgens gebruikt om de Solid State Drive van de laptop te decoderen.

De onderzoekers slaagden erin om in het systeem te komen na het opstarten van de image in een virtuele omgeving. Van daaruit slaagden ze erin om verbinding te maken met de VPN van het bedrijf.

Verzachting

Bitlocker ondersteunt het instellen van een pre-boot authenticatiesleutel. Als die sleutel is ingesteld, moet deze worden ingevoerd voordat het systeem opstart; dit werkt op dezelfde manier als VeraCrypt en andere versleutelingsprogramma's van derden. VeraCrypt geeft een wachtwoord en PIM-prompt weer tijdens het opstarten als de systeemschijf is versleuteld. Gebruikers moeten het juiste wachtwoord en PIM typen om de schijf te ontsleutelen en het besturingssysteem op te starten.

De onderzoekers stellen voor dat gebruikers de pincode instellen om het systeem en zijn gegevens te beschermen.

Pre-boot-authenticatie ingesteld op TPM met een pincodebeveiliging (met een geavanceerde alfanumerieke pincode [verbeterde pin] om de TPM-antihammering te verminderen).

Een Bitlocker pre-boot authenticatie-pincode instellen

Opmerking : Bitlocker-stationsversleuteling is beschikbaar op Windows 10 Pro en Enterprise. Thuisapparaten hebben schijfversleuteling, wat anders is. U kunt overwegen om in plaats daarvan VeraCrypt te gebruiken om de gegevens op uw Home-apparaten beter te beschermen. Op Windows 10 kunt u controleren of apparaatdecodering wordt gebruikt door de instellingen te openen, naar apparaatdecodering te zoeken en de optie in de resultaten te selecteren.

  1. Open de Groepsbeleid-editor:
    1. Gebruik de sneltoets Windows-R
    2. Typ gpedit.msc en druk op de Enter-toets.
  2. Ga naar Computerconfiguratie > Beheersjablonen > Windows-componenten > BitLocker-stationsversleuteling > Besturingssysteemstations met behulp van de mappenstructuur van de zijbalk.
  3. Dubbelklik op Extra authenticatie vereisen bij opstarten in het hoofdvenster.
  4. Stel het beleid in op Ingeschakeld.
  5. Selecteer het menu onder 'TPM-opstartpincode configureren' en stel deze in op 'Opstartpincode vereisen met TPM'.
  6. Klik op OK om de zojuist aangebrachte wijzigingen op te slaan.

U hebt het systeem voorbereid om een ​​pincode te accepteren als pre-boot-authenticatiemethode, maar u hebt de pincode nog niet ingesteld.

  1. Begin openen.
  2. Typ cmd.exe.
  3. Selecteer Als administrator uitvoeren om een ​​verhoogd opdrachtpromptvenster te openen.
  4. Voer de volgende opdracht uit om een ​​pre-boot-pincode in te stellen: manage-bde -protectors -add C: -TPMAndPIN
  5. U wordt gevraagd de pincode in te voeren en te bevestigen om er zeker van te zijn dat deze identiek is.

De pincode is ingesteld en u wordt gevraagd deze in te voeren bij de volgende keer opstarten. U kunt de opdracht manage-bde -status uitvoeren om de status te controleren.

Nu jij: versleutelt u uw harde schijven? (via Geboren )