di Martin Brinkmann il 30 luglio 2021 in Suggerimenti per Windows – Ultimo aggiornamento: 30 luglio 2021 – Nessun commento
Bitlocker è una popolare tecnologia di crittografia di Microsoft utilizzata per proteggere i dati sui dispositivi Windows. Gli utenti domestici e i clienti Enterprise possono proteggere il sistema e i dati utilizzando Bitlocker.
Bitlocker funziona in modo conveniente per impostazione predefinita, poiché gli utenti non devono inserire un pin o una password durante l'avvio, poiché tutto questo è gestito automaticamente dal sistema.
Suggerimento: consulta la nostra guida su come configurare Bitlocker su Windows 10.
L'impostazione di un pin è facoltativa, ma altamente consigliata, come suggerisce una storia recente sul blog di Dolos Group. L'azienda ha ricevuto un laptop da un'organizzazione configurata con lo stack di sicurezza standard dell'organizzazione. Il laptop era completamente crittografato con TPM e Bitlocker, aveva una password del BIOS impostata, un ordine di avvio del BIOS bloccato e utilizzava l'avvio sicuro per impedire l'avvio di sistemi operativi non firmati.
I ricercatori sulla sicurezza hanno scoperto che il sistema si avviava direttamente nella schermata di accesso di Windows 10; ciò significava che gli utenti non dovevano digitare un pin o una password prima di ciò e che la chiave veniva estratta da TPM.
I ricercatori hanno cercato informazioni sul chip TPM e hanno scoperto come comunica. Bitlocker non utilizza “nessuna delle funzionalità di comunicazione crittografata dello standard TPM 2.0” e ciò significa che la comunicazione è in testo normale.
Il laptop è stato aperto e le sonde sono state utilizzate per registrare i dati durante l'avvio. Lo strumento open source https://github.com/FSecureLABS/bitlocker-spi-toolkit è stato utilizzato per rilevare la chiave Bitlocker nei dati; è stato quindi utilizzato per decrittografare il Solid State Drive del laptop.
I ricercatori sono riusciti a entrare nel sistema dopo aver avviato la sua immagine in un ambiente virtuale. Da lì, sono riusciti a connettersi alla VPN aziendale.
Mitigazione
Bitlocker supporta l'impostazione di una chiave di autenticazione pre-avvio. Se quella chiave è impostata, deve essere immessa prima dell'avvio del sistema; funziona in modo simile a come funzionano VeraCrypt e altri programmi di crittografia di terze parti. VeraCrypt visualizza una password e un prompt PIM durante l'avvio se l'unità di sistema è crittografata. Gli utenti devono digitare la password e il PIM corretti per decrittografare l'unità e avviare il sistema operativo.
I ricercatori suggeriscono agli utenti di impostare il PIN per proteggere il sistema e i suoi dati.
Autenticazione pre-avvio impostata su TPM con protezione PIN (con un PIN alfanumerico sofisticato [pin avanzato] per aiutare il Mitigazione anti-martellamento del TPM).
Impostazione di un PIN di autenticazione pre-avvio di Bitlocker
NotaNota: Crittografia unità Bitlocker è disponibile su Windows 10 Pro ed Enterprise. I dispositivi domestici hanno la crittografia dell'unità, che è diversa. Potresti prendere in considerazione l'utilizzo di VeraCrypt invece per proteggere meglio i dati sui tuoi dispositivi domestici. Su Windows 10, puoi verificare se viene utilizzata la decrittografia del dispositivo aprendo le Impostazioni, cercando la decrittografia del dispositivo e selezionando l'opzione dai risultati.
- Apri l'Editor criteri di gruppo:
- Utilizzare la scorciatoia da tastiera Windows-R
- Digitare gpedit.msc e premere il tasto Invio.
- Vai a Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Sistema operativo Unità che utilizzano la struttura a cartelle della barra laterale.
- Fai doppio clic su Richiedi autenticazione aggiuntiva all'avvio nel riquadro principale.
- Imposta il criterio su Abilitato.
- Seleziona il menu in “Configura PIN di avvio TPM” e impostalo su “Richiedi PIN di avvio con TPM”.
- Fai clic su OK per salvare le modifiche appena apportate.< /li>
Hai preparato il sistema per accettare un PIN come metodo di autenticazione pre-avvio, ma non hai ancora impostato il PIN.
- Apri Start.< /li>
- Digita cmd.exe.
- Seleziona Esegui come amministratore per avviare una finestra del prompt dei comandi con privilegi elevati.
- Esegui il comando seguente per impostare un PIN di pre-avvio: manage -bde -protectors -add C: -TPMAndPIN
- Ti viene chiesto di digitare il PIN e di confermarlo per assicurarti che sia identico.
Il PIN è impostato , e ti verrà chiesto di inserirlo all'avvio successivo. Puoi eseguire il comando manage-bde -status per controllare lo stato.
Ora tu: crittografi i tuoi dischi rigidi? (tramite Born)