BitLocker, de encryptie-technologie die is ingebouwd in Windows, heeft een aantal hits van de laatste tijd. Een recente exploiteren aangetoond dat het verwijderen van een computer TPM-chip voor het uitpakken van de encryptie sleutels, en vele harde schijven zijn het breken van BitLocker. Hier is een handleiding tot het vermijden van BitLocker de valkuilen.
Merk op dat deze aanvallen moeten alle fysieke toegang tot je computer. Dat is het hele punt van encryptie te beschermen tegen een dief die stal uw laptop of iemand die toegang heeft tot uw desktop-PC van de weergave van uw bestanden zonder uw toestemming.
Standaard BitLocker Is niet Beschikbaar op Windows Home
Terwijl bijna alle moderne consument besturingssystemen schip met encryptie standaard Windows-10 nog steeds niet voorzien van encryptie op alle Pc ‘ s. Macs, Chromebooks, iPads, iPhones, en zelfs Linux-distributies bieden codering voor al hun gebruikers. Maar Microsoft heeft nog steeds niet bundelen met Windows BitLocker 10 Thuis.
Sommige Pc ‘ s kunnen worden geleverd met vergelijkbare encryptie-technologie, waarin Microsoft oorspronkelijk genaamd “device encryption” en nu soms roept “BitLocker apparaat versleuteling.” We dekken dat in de volgende paragraaf. Echter, dit apparaat encryptie-technologie is meer beperkt dan de volledige BitLocker.
Hoe een Aanvaller Kan misbruik maken van Deze: Er is geen noodzaak voor exploits! Als uw Windows PC Thuis gewoon niet versleuteld is, kan een aanvaller te verwijderen van de harde schijf of boot een ander besturingssysteem op uw PC om toegang te krijgen tot uw bestanden.
De Oplossing: Betalen $99 voor een upgrade naar Windows Professional 10 en BitLocker. Je zou ook kunnen overwegen te proberen een andere oplossing zoals versleuteling VeraCrypt, de opvolger van TrueCrypt, die gratis is.
GERELATEERD: Waarom Heeft Microsoft is Opladen $100 voor Encryptie Als Iedereen Het Weg Geeft?
BitLocker Soms Uploads Uw Sleutel voor Microsoft
Veel moderne Windows-10 Pc ‘ s zijn uitgerust met een type van codering met de naam “apparaat versleuteling.” Als uw PC dit ondersteunt, zal het automatisch worden gecodeerd nadat u zich aanmeldt bij uw PC met uw Microsoft-account (of een domein account op een bedrijfsnetwerk). De recovery knop wordt dan automatisch geüpload naar Microsoft ‘ s servers (of uw organisatie servers in een domein).
Dit beschermt u tegen het verlies van uw bestanden—zelfs als u vergeet uw Microsoft-account en wachtwoord niet kunt aanmelden, kunt u gebruik maken van de account-recovery-proces en toegang te krijgen tot uw coderingssleutel.
Hoe een Aanvaller Kan misbruik maken van Deze: Dit is beter dan geen encryptie. Dit betekent echter dat Microsoft gedwongen kan worden tot het bekendmaken van uw coderingssleutel de regering met een garantie. Of, nog erger, een aanvaller kan in theorie misbruik van een Microsoft-account van het herstel proces om toegang te krijgen tot uw account en toegang tot jouw encryptie sleutel. Als de aanvaller fysieke toegang tot de PC of de harde schijf, kunnen ze gebruik dat de recovery-toets om de bestanden te decoderen—zonder uw wachtwoord.
De Oplossing: Betalen $99 voor een upgrade naar Windows Professional 10, BitLocker inschakelt via het Bedieningspaneel en kies niet voor het uploaden van een recovery key (sleutel voor Microsoft-servers wanneer u hierom wordt gevraagd.
GERELATEERD: het Inschakelen van Full-Disk Encryptie voor Windows 10
Vele Solid State Drives Breken BitLocker-Versleuteling
Een aantal solid-state drives adverteren ondersteuning voor hardware-encryptie.” Als u een dergelijke schijf in uw systeem en BitLocker, Windows zal vertrouwen op uw schijf om het werk te doen en niet het uitvoeren van de gebruikelijke encryptie technieken. Immers, als de schijf kan het werk doen in hardware, dat moet sneller.
Er is slechts één probleem: Onderzoekers hebben ontdekt dat veel Ssd ‘ s niet de uitvoering van dit goed. Bijvoorbeeld, de Cruciale MX300 beschermt uw coderingssleutel met een leeg wachtwoord is standaard. Windows kan zeggen BitLocker is ingeschakeld, maar het kan in feite niet veel gedaan, in de achtergrond. Dat is eng: BitLocker mag niet stilzwijgend worden vertrouwen Ssd ‘ s om het werk te doen. Dit is een nieuwe functie, dus dit probleem is alleen van invloed Windows-10 en niet op Windows 7.
Hoe Kan een Aanvaller Dit: Windows kan zeggen BitLocker is ingeschakeld, maar BitLocker kan zitten werkeloos en verhuren van uw SSD niet veilig versleutelen van uw gegevens. Een aanvaller zou kunnen omzeilen slecht geïmplementeerd codering in uw ssd-schijf om uw bestanden te openen.
De Oplossing: het Wijzigen van de “Configureren voor gebruik van de hardware-gebaseerde encryptie, voor vaste gegevens drives” optie in Windows group policy op “Disabled” te kiezen. U moet unencrypt en opnieuw coderen van de schijf daarna voor deze wijziging door te voeren. BitLocker wordt niet vertrouwen schijven en zal al het werk doen in software in plaats van hardware.
GERELATEERD: Kun Je niet Vertrouwen BitLocker voor het Coderen van Uw SSD op de Windows-10
TPM-Chips Kunnen Worden Verwijderd
Een security-onderzoeker onlangs aangetoond dat een nieuwe aanval. BitLocker slaat de encryptiesleutel in in uw computer Trusted Platform Module (TPM) is een speciaal stukje hardware die wordt verondersteld te worden fraudebestendige. Helaas, kan een aanvaller een $27 FPGA board en een aantal open-source code te extraheren uit de TBM. Dit zou vernietigen van de hardware, maar staat zou stellen met het uitpakken van de toets en het omzeilen van de encryptie.
Hoe een Aanvaller Kan misbruik maken van Deze: Als een aanvaller heeft op uw PC, kunnen ze theoretisch bypass al die fancy TPM bescherming door te knoeien met de hardware en het uitpakken van de sleutel, en dat is niet de bedoeling te zijn mogelijk.
De Oplossing: het Configureren van BitLocker moet een pre-boot PIN in groepsbeleid. Het “Moeten opstarten PIN met TPM” optie zal de kracht van Windows voor het gebruik van een PIN-code voor het ontgrendelen van de TPM bij het opstarten. U zal hebben om een PIN-code wanneer u uw PC opstart voordat Windows wordt gestart. Dit zal echter slot de TPM met extra bescherming, en een aanvaller niet in staat om de sleutel te extraheren uit de TPM-zonder het te weten uw PIN-code in. De TPM beschermt tegen brute-force-aanvallen, zodat aanvallers niet alleen in staat om te raden elke PIN.
GERELATEERD: het Inschakelen van een Pre-Boot BitLocker-PIN op Windows
Slapen Pc ‘ S Zijn Meer Kwetsbaar
Microsoft raadt het uitschakelen van de slaapstand wanneer u BitLocker voor maximale veiligheid. De slaapstand is prima—je kunt BitLocker is een PINCODE vereist als u wakker van uw PC uit de slaapstand of wanneer u het opstarten van het normaal. Maar, in de slaapstand staat, de PC blijft ingeschakeld met de encryptie sleutel die wordt opgeslagen in het RAM-geheugen.
Hoe een Aanvaller Kan misbruik maken van Deze: Als een aanvaller heeft op uw PC, kunnen ze wakker en meld u aan. Op Windows-10, die ze kunnen hebben op voer een numerieke PIN-code. Met fysieke toegang tot uw computer, een hacker kan bovendien gebruik van DMA (direct memory access) in te grijpen in de inhoud van uw systeem-RAM-en voor de BitLocker-toets. Een aanvaller kan ook het uitvoeren van een cold boot-aanval—herstart de PC en pak de sleutels van de RAM voor ze verdwijnen. Dit kan zelfs leiden tot het gebruik van een diepvriezer om de temperatuur te verlagen en traag dat proces naar beneden.
De Oplossing: de Slaapstand of schakel uw PC in plaats van het verlaten van het in slaap. Gebruik een pre-boot PIN om het opstart proces meer veilig en blok cold boot-aanval—BitLocker vereist ook een PIN-code wanneer de computer uit de slaapstand als het is ingesteld om het vereisen van een PIN op de boot. Windows ook kunt u “uitschakelen nieuwe DMA-apparaten wanneer deze computer is vergrendeld” door middel van een groeps beleids instelling, ook dat biedt een zekere bescherming, zelfs als een aanvaller krijgt van uw PC terwijl deze actief is.
GERELATEERD: Moet Je Afsluiten, Slaapstand of Sluimerstand van Uw Laptop?
Als u wilt om wat meer te lezen over het onderwerp, heeft Microsoft gedetailleerde documentatie voor de beveiliging van Bitlocker op haar website.