Bitlocker構成にピン保護を追加することをお勧めします

Bitlockerは、Windowsデバイス上のデータを保護するために使用される、Microsoftによって人気のある暗号化テクノロジです。ホームユーザーとエンタープライズのお客様は、Bitlockerを使用してシステムとデータを保護できます。

Bitlockerは、起動時にPINやパスワードを入力する必要がないため、デフォルトで便利な方法で機能します。これらはすべてシステムによって自動的に処理されるためです。

ヒント :Windows10ガイドでBitlockerをセットアップする方法を確認してください。

ピンの設定はオプションですが、最近の記事として強くお勧めします DolosGroupのブログ 提案。同社は、組織の標準セキュリティスタックで構成されたラップトップを組織から受け取りました。ラップトップはTPMとBitlockerで完全に暗号化され、BIOSパスワードが設定され、BIOSの起動順序がロックされ、安全な起動を使用して、署名されていないオペレーティングシステムが起動しないようにしました。

BitLockerをオンにします

セキュリティ研究者は、システムがWindows10のログイン画面から直接起動していることを発見しました。これは、ユーザーがそれ以前にPINまたはパスワードを入力する必要がなく、キーがTPMから取得されたことを意味します。

研究者はTPMチップの情報を調べ、それがどのように通信するかを発見しました。 Bitlockerは、「TPM 2.0標準の暗号化された通信機能のいずれも」使用していません。これは、通信がプレーンテキストであることを意味します。

ラップトップを開き、プローブを使用して起動中にデータを記録しました。オープンソースツールh ttps://github.com/FSecureLABS/bitlocker-spi-toolkit データ内のBitlockerキーを検出するために使用されました。次に、ラップトップのソリッドステートドライブを復号化するために使用されました。

研究者たちは、仮想環境でイメージを起動した後、なんとかシステムに入ることができました。そこから、彼らはなんとか会社のVPNに接続することができました。

緩和

Bitlockerは、起動前認証キーの設定をサポートしています。そのキーが設定されている場合は、システムを起動する前に入力する必要があります。これは、VeraCryptやその他のサードパーティの暗号化プログラムの動作と同様に機能します。システムドライブが暗号化されている場合、VeraCryptは起動時にパスワードとPIMプロンプトを表示します。ドライブを復号化してオペレーティングシステムを起動するには、ユーザーは正しいパスワードとPIMを入力する必要があります。

研究者は、ユーザーがシステムとそのデータを保護するためにPINを設定することを提案しています。

PINプロテクター(TPMのハンマー防止の軽減に役立つ高度な英数字のPIN [拡張ピン]を使用)を使用して、起動前認証をTPMに設定します。

Bitlockerの起動前認証PINの設定

ノート :Bitlocker Drive Encryptionは、Windows 10ProおよびEnterpriseで使用できます。ホームデバイスにはドライブ暗号化がありますが、これは異なります。ホームデバイス上のデータをより適切に保護するために、代わりにVeraCryptの使用を検討することをお勧めします。 Windows 10では、[設定]を開き、デバイスの復号化を検索し、結果からオプションを選択することで、デバイスの復号化が使用されているかどうかを確認できます。

  1. グループポリシーエディターを開きます。
    1. キーボードショートカットWindows-Rを使用する
    2. gpedit.mscと入力し、Enterキーを押します。
  2. サイドバーのフォルダー構造を使用して、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブの暗号化]> [オペレーティングシステムドライブ]に移動します。
  3. をダブルクリックします 起動時に追加の認証が必要 メインペインで。
  4. ポリシーを[有効]に設定します。
  5. [TPM起動PINの構成]の下のメニューを選択し、[TPMで起動PINを要求する]に設定します。
  6. [OK]をクリックして、行った変更を保存します。

起動前の認証方法としてPINを受け入れるようにシステムを準備しましたが、PINをまだ設定していません。

  1. スタートを開きます。
  2. cmd.exeと入力します。
  3. 管理者として実行を選択して、管理者特権のコマンドプロンプトウィンドウを起動します。
  4. 次のコマンドを実行して、起動前のPINを設定します。manage-bde-protectors-add C:-TPMAndPIN
  5. PINを入力し、それが同一であることを確認するために確認するように求められます。

PINが設定され、次回の起動時にPINを入力するように求められます。コマンドmanage-bde-statusを実行して、ステータスを確認できます。

では、あなた: ハードドライブを暗号化しますか? (経由 生まれ )。