我的基础设施使用带有TPM的BitLockerencryption驱动器,但没有启动PIN。 恢复密钥存储在AD中。 我的一些用户担心在启动操作系统之前,没有启动PIN是不安全的,因为带启动PIN的旧WinMagic设置是不安全的。
在我们的devise中明确指出,最重要的是硬盘驱动器被encryption以防电脑被盗或丢失。
我可以告诉我的有关用户,这将使他们明白,启动PIN不会真正引入任何额外的安全性。
为什么不向他们解释BitLocker与TPM结合的透明模式操作,并且不需要启动PIN。
如果用户遇到大问题,也可以实施TPM + PIN。
您需要向用户说明您没有构build额外的安全性,而是通过encryption来devise数据保护。 如果以前有启动引脚,那么用户有一个有效的点,因为您的devise已经失去了以前的authentication因素。
这只是一个问题,如果他们失去了电脑开机并login(解锁)。 TPM的devise是这样的,任何攻击媒介用于危害窗口将使报告给PCR寄存器的数据无效,并导致驱动器locking。