1 votos

Obtención de datos fuera de las restricciones de la unidad Bitlocker donde Bitlocker usa TPM y no tiene contraseña

Estoy explorando la seguridad de Bitlocker cuando se combina con TPM y arranque seguro (y no la contraseña de Bitlocker o BIOS), y estoy luchando con algo -

¿/¿Cómo Windows proteger el proceso de inicio anticipado?

Por ejemplo supongamos que un equipo con el cifrado de bitlocker drive es robado, pero el ladrón no sabe credenciales de inicio de sesión para entrar en Windows. Cuál, si alguna, que son las protecciones en su lugar para evitar que el ladrón de hacer cambios a los principios de entorno de arranque para permitir que el ladrón para agregar o cambiar una contraseña de un shell sin necesidad de un inicio de sesión válido?

Posiblemente la mendicidad, la pregunta, pero es el proceso de inicio anticipado firmado/medido de tal manera como para evitar este tipo de ataque, y si es así, ¿cómo?

Bono si alguien puede asesorar de una forma de eludir el Bitlocker/TPM/protección de la cadena sin el uso de la clave de recuperación de Bitlocker. (Creo que hay/en teoría era un mecanismo de abuso de la actualización de Windows proceso de derivación de esta protección, pero no tengo idea de como podría ser implementadas o cómo duro o si hay maneras más simples)

Para aclarar elementos de mi post:

En este enlace, Microsoft dice que "TPM-sólo a modo de autenticación es más fácil de implementar, administrar y usar. También podría ser más apropiado para los equipos que están desatendidas o debe reiniciar mientras desatendida. Sin embargo, la TPM en modo de sólo ofrece la menor cantidad de protección de datos. Si partes de la organización tienen los datos que se consideran altamente sensible en los equipos móviles, considerar la implementación de BitLocker con la autenticación multifactor en esos equipos." - Estoy tratando de cuantificar este riesgo.

Cuando digo "proceso de inicio anticipado", estoy hablando de cuando Windows se toma durante el arranque, pero antes de que la principal OS ha sido cargado (es decir, el stub/inicial de bits en el que se carga el controlador Bitlocker y otros de los primeros procesos que se encuentran en el no-partición cifrada que bitlocker unidades - y luego manos a la principal de arranque)

2voto

Johan Leino Puntos 2533

¿Cómo Windows proteger el proceso de inicio anticipado?

Windows no intento de proteger el proceso de inicio anticipado (algo que sucede antes de que el Gestor de arranque de Windows). Secure Boot, una UEFI característica, lleva a cabo esta tarea. Cuando los cambios de configuración se detectan BitLocker le pedirá que proporcione la clave de recuperación. Esto impide que un disco duro de ser sacados de una máquina y se coloca en el otro sin la clave de Recuperación de BitLocker para ser proporcionado. Un sistema de disco protegida por BitLocker, montado dentro de Windows, no se puede desbloquear sin la clave de recuperación.

Cuál, si alguna, que son las protecciones en su lugar para evitar que el ladrón de hacer cambios a los principios de entorno de arranque para permitir que el ladrón para agregar o cambiar una contraseña de un shell sin necesidad de un inicio de sesión válido?

Si hay cambios en la TPM se detectan, BitLocker le pedirá, para la clave de recuperación. Si se realizan cambios en el firmware UEFI, BitLocker le pedirá, para la clave de recuperación. Desde BitLocker es un cifrado de disco completo no existe una manera de acceder a los datos sin la clave de recuperación.

Posiblemente la mendicidad, la pregunta, pero es el proceso de inicio anticipado firmado/medido de tal manera como para evitar este tipo de ataque, y si es así, ¿cómo?

Secure Boot impide el arranque en unsigned sistemas operativos.

Secure boot es un estándar de seguridad desarrollado por miembros de la industria de la PC para ayudarle a asegurarse de que un dispositivo se inicia utilizando sólo software que es de confianza por el Fabricante de Equipo Original (OEM). Cuando el PC se inicia, el firmware de los cheques de la firma de cada pieza de software de inicio, incluyendo el firmware UEFI los drivers (también conocidos como los Rom de Opción), las aplicaciones de EFI, y el sistema operativo. Si las firmas son válidas, el PC arranca, y el firmware que le da el control al sistema operativo.

Fuente: Secure boot

¿Alguien puede asesorar de una forma de eludir el Bitlocker/TPM/protección de la cadena sin el uso de la clave de recuperación de BitLocker.

Si tal existe una vulnerabilidad con BitLocker no se ha hecho público.

Creo que hay/en teoría era un mecanismo de abuso de la actualización de Windows proceso de derivación de esta protección, pero no tengo idea de como podría ser implementadas o cómo duro o si hay maneras más simples

Este mecanismo teórico para eludir la protección de BitLocker no existe como usted lo describe. Para el arranque de Windows en el entorno de la instalación, será necesario cambiar la configuración del firmware del dispositivo, que podría resultar en la recuperación de la clave necesaria para descifrar los datos. Además, usted no puede instalar Windows sobre sí mismo, en un volumen cifrado desde dentro del entorno de la instalación.

Sin embargo, la TPM en modo de sólo ofrece la menor cantidad de protección de datos. Si partes de la organización tienen los datos que se consideran altamente sensible en los equipos móviles, considerar la implementación de BitLocker con la autenticación multifactor en esos equipos.

Yo no creo que esto se aplica a la TPM 1.2. La documentación que el enlace es a partir de Windows Vista, que NO admite TPM 1.2.

Cuando digo "proceso de inicio anticipado", estoy hablando de cuando Windows se toma durante el arranque, pero antes de que la principal OS ha sido cargado (es decir, el stub/inicial de bits en el que se carga el controlador BitLocker y otros de los primeros procesos que se encuentran en el no-partición cifrada que BitLocker unidades - y luego manos a la principal de arranque)

Lo que significa que el Gestor de arranque de Windows. Como he indicado, de cualquier cambio de configuración tendrá como resultado la Recuperación de la Clave necesaria para descifrar los datos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: