Hur du Skyddar Din BitLocker-Krypterade Filer Från Anfallare

0
457

BitLocker-kryptering teknik inbyggd i Windows, har tagit några träffar på sistone. En nyligen utnyttja visat att ta bort datorns TPM-chip för att extrahera sina krypteringsnycklar, och många hårddiskar är att bryta BitLocker. Här är en guide för att undvika BitLocker finns fallgropar.

Observera att dessa attacker kräver fysisk tillgång till din dator. Det är hela poängen av kryptering för att skydda en tjuv som stal din dator eller någon som får tillgång till din DATOR från att visa dina filer utan din tillåtelse.

Standard BitLocker Är inte Tillgänglig på Windows Home

Medan nästan alla moderna konsumenten operativsystem levereras med kryptering som standard, Windows 10 fortfarande inte ge kryptering på alla Datorer. Mac-datorer, Chromebooks, iPads, iPhones, och även Linux-distributioner erbjuder kryptering för alla sina användare. Men Microsoft fortfarande inte bunt med Windows BitLocker-10 Hem.

Vissa Datorer kan komma med liknande kryptering teknik som Microsoft ursprungligen kallad “device encryption” och nu ringer ibland “BitLocker-enhet kryptering.” Vi kommer att gå igenom detta i nästa avsnitt. Men den här enheten kryptering teknik är mer begränsad än full BitLocker.

Hur en Angripare Kan Utnyttja Detta: Det finns inget behov för att exploatera! Om din Windows-Hem-PC bara inte krypterade, att en angripare kan ta bort hårddisken eller starta ett annat operativsystem på din PC för att komma åt dina filer.

Lösning: Betala $99 för en uppgradering till Windows 10 Professional och aktivera BitLocker. Du kan också överväga att försöka med en annan kryptering lösning som VeraCrypt, efterföljaren av TrueCrypt, som är gratis.

RELATERAT: Varför Microsoft Laddar $100 för Kryptering När Alla Andra Ger Bort Det?

BitLocker Ibland laddar upp Din Nyckel till Microsoft

Många moderna Windows-10 pc-Datorer är utrustade med en typ av kryptering som heter “enheten för kryptering.” Om din DATOR stödjer detta, det kommer att vara krypterad automatiskt när du loggar in på DATORN med ditt Microsoft-konto (eller ett domänkonto i ett företagsnätverk). Återhämtning-nyckeln är sedan automatiskt laddas upp till Microsofts servrar (eller din organisations-servrar för en domän).

Detta skyddar dig från att förlora dina filer—även om du glömt ditt Microsoft-konto lösenord och kan inte logga in, kan du använda kontot för återhämtningen och få åtkomst till din krypteringsnyckel.

Hur en Angripare Kan Utnyttja Detta: Detta är bättre än ingen kryptering. Men det innebär även att Microsoft kan tvingas lämna ut din krypteringsnyckel till regeringen med en arresteringsorder. Eller, ännu värre, en angripare skulle teoretiskt sett kunna missbruka ett Microsoft-konto för återhämtning process för att få tillgång till ditt konto och få tillgång till din krypteringsnyckel. Om angriparen hade fysisk tillgång till din DATOR eller hårddisk, kan de sedan använda för att återhämtningen nyckel för att dekryptera dina filer—utan att behöva ditt lösenord.

Lösning: Betala $99 för en uppgradering till Windows 10 Professional, aktivera BitLocker via Kontrollpanelen och väljer att inte ladda upp en återhämtning nyckeln till Microsofts servrar när du uppmanas till det.

RELATERAT: Hur för att Möjliggöra Fullständig diskkryptering i Windows 10

Många Solid State-Hårddiskar Bryta BitLocker Kryptering

Vissa solid-state-enheter annonsera stöd för “hårdvarukryptering.” Om du använder en sådan enhet i ditt system och aktivera BitLocker, Windows kommer att lita på din disk för att göra jobbet och inte kan utföra sitt vanliga krypteringsteknik. Efter alla, om enheten kan göra arbetet på hårdvaran, som bör vara snabbare.

Det finns bara ett problem: Forskare har upptäckt att många Ssd inte genomföra detta på rätt sätt. Till exempel, den Avgörande MX300 skyddar din krypteringsnyckel med ett tomt lösenord som standard. Windows kan säga BitLocker är aktiverat, men det kan faktiskt inte göra mycket i bakgrunden. Det är skrämmande: BitLocker bör inte vara tyst lita på Ssd-enheter för att göra jobbet. Detta är en nyare funktion, så att det här problemet bara drabbar Windows-10 och inte Windows 7.

Hur en Angripare Kan Utnyttja Detta: Windows kan säga BitLocker är aktiverat, men BitLocker kan sitta overksam och låta din SSD misslyckas på ett säkert sätt att kryptera dina data. En angripare kunde möjligen kringgå dåligt genomfört kryptering i din ssd-enhet att få tillgång till dina filer.

Lösning: Ändra “Konfigurera användning av hårdvarubaserad kryptering för fasta data-enheter” alternativet i Windows grupprincip för att “Funktionshinder”. Du måste unencrypt och kryptera disken efteråt för att ändringen ska ta effekt. BitLocker kommer att sluta lita på enheter och kommer att göra allt arbete i mjukvara istället för hårdvara.

RELATERAT: Du Kan inte Lita på BitLocker för att Kryptera Din SSD på Windows-10

TPM-Chip Kan Tas Bort

En säkerhet forskare nyligen visat en annan attack. BitLocker lagrar din krypteringsnyckel i datorns TPM (Trusted Platform Module,) som är en speciell maskinvara som är tänkt att vara åverkanssäkra. Tyvärr, en angripare skulle kunna utnyttja en $27 FPGA styrelsen och några open-source kod för att extrahera den från TPM. Detta skulle förstöra hårdvaran, men skulle göra det möjligt att utvinna viktiga och förbi kryptering.

Hur en Angripare Kan Utnyttja Detta: Om en angripare har din PC, kan de teoretiskt kringgå alla de fina TPM skydd genom manipulering med hårdvara och extrahera nyckeln, vilket inte ska vara möjligt.

Lösning: Konfigurera BitLocker kräver en pre-boot-PIN i grupprincip. “Kräv start-PIN med TPM” kommer att tvinga Windows att använda en PIN-kod för att låsa upp TPM vid start. Du kommer att behöva skriva in en PIN-kod när din DATOR startar, innan Windows startar upp. Men, detta kommer att låsa TPM med extra skydd, och en angripare kan inte extrahera nyckeln från TPM utan att veta din PIN-kod. TPM-skyddar mot brute force attacker så angripare kommer inte bara kunna gissa varje STIFT en efter en.

RELATERAT: Hur du Aktiverar en Pre-Boot BitLocker-PIN-kod för Windows

Sova Datorer Är Mer Utsatta

Microsoft rekommenderar att avaktivera sleep-läge när du använder BitLocker för maximal säkerhet. Viloläge är fint att du kan ha BitLocker kräver en PIN-kod när du aktiverar DATORN från viloläge eller när du startar upp det normalt. Men, även i viloläge, DATORN är fortfarande drivs på med sin krypteringsnyckel som lagras i RAM-minnet.

Hur en Angripare Kan Utnyttja Detta: Om en angripare har din PC, kan de väcka den och logga in. På Windows-10, kan de behöva ange en numerisk PIN-kod. Med fysisk tillgång till din DATOR, en angripare kan också använda direct memory access (DMA) för att fånga innehållet i systemets RAM och få BitLocker-tangenten. En angripare kan också utföra en kall start attack—starta igång DATORN och ta nycklarna från RAM-minnet innan de försvinner. Detta kan även innebära användning av en frys för att sänka temperaturen och sakta ner processen.

Lösningen: Viloläge eller stänga av DATORN i stället för att låta det somna. Att använda en pre-boot PIN för att göra boot-processen säkrare och block kall start-attacker—BitLocker kommer också att kräva en PIN-kod när datorn återgår från viloläge om den är inställd att kräva en PIN-koden vid start. Windows kan du “inaktivera ny DMA-enheter när datorn är låst” via en grupprincip-inställningen—som ger ett visst skydd även om en angripare blir din DATOR medan den är igång.

RELATERAT: Bör Du Stänga av, Sova, eller Viloläge Din Bärbara dator?

Om du vill göra lite mer läsning på ämnet, har Microsoft detaljerad dokumentation för att säkra Bitlocker på sin webbplats.