假设您的计算机使用BitLockerencryption的系统驱动器,并且您没有使用PIN码,因此计算机将无人值守启动。 如果攻击者将系统启动到Windows预安装环境中,会发生什么情况? 他们将有权访问encryption的驱动器?
如果您拥有TPM而不是仅使用USB启动密钥,它会改变吗?
我想要确定的是TPM / USB启动密钥是否可用,而无需从原始操作系统启动。 换句话说,如果您使用的是USB启动密钥,并且计算机正常重启,那么数据仍然会受到保护,除非攻击者能够login。但是如果黑客只是将服务器引导到Windows预安装环境中插入的USB启动密钥? 他们会接触到这些数据吗? 或者这将需要恢复密钥?
理想情况下恢复密钥将需要像这样启动,但我没有看到这在任何地方logging。
TPM是安全的,因为它“监视”引导过程; 当您正常的Windows安装启动时,它遵循“正常”的启动path,TPM识别这个并且只有在遵循这个过程时才会存储/检索密钥。 如果您以其他方式启动,即使只是安全模式,您也将“更改”该过程,TPM将不会“解锁”。
从技术上讲,关键是存储在TPM芯片中,从理论上讲,可能要打开这个芯片并获取数据。 TPM就像其他任何一个保险库一样,在理论上有可能在给予足够的时间和资源的情况下打入保险库。 对于公开的知识,这从来没有发生过。 但这一半的原因是PIN和USB Key选项存在。 试图强制实际的AES-256encryption密钥需要花费大量的时间。
如果您的驱动器只需要USB密钥,那么即使从WinPE也可以使用该密钥来解锁驱动器。
我们使用BitLocker工作。 每个驱动器都有保护器,TPM密钥和自动发布到Active Directory的恢复密钥。 电脑正常启动,用户不知道它是否encryption,除非他们看起来。 当我将电脑送去维修/擦除/等时,我使用WinPE中的manage-bde命令行工具解锁并访问驱动器,使用恢复密钥解锁驱动器。
另请注意,GUI不提供所有可用的BitLocker选项。 命令行工具manage-bde可以。 对于大多数人来说,graphics用户界面已经足够好了,但是CLI工具对于高级设置是必要的,并且可能会让你更好地理解这个技术。
我希望这有帮助 。