É melhor você adicionar proteção de pin à configuração do Bitlocker

Bitlocker é uma tecnologia de criptografia popular da Microsoft usada para proteger dados em dispositivos Windows. Os usuários domésticos e clientes corporativos podem proteger o sistema e os dados usando o Bitlocker.

O Bitlocker funciona de maneira conveniente por padrão, já que os usuários não precisam inserir um pin ou senha durante a inicialização, pois tudo isso é tratado pelo sistema automaticamente.

Gorjeta : confira nosso guia como configurar o Bitlocker no Windows 10.

Configurar um alfinete é opcional, mas altamente recomendado, como uma história recente em Blog do Grupo Dolos sugerir. A empresa recebeu um laptop de uma organização que foi configurada com a pilha de segurança padrão da organização. O laptop foi totalmente criptografado com TPM e Bitlocker, tinha uma senha do BIOS definida, bloqueou a ordem de inicialização do BIOS e usou a inicialização segura para evitar que sistemas operacionais não assinados inicializassem.

ligar bitlocker

Os pesquisadores de segurança descobriram que o sistema estava inicializando direto na tela de login do Windows 10; isso significava que os usuários não precisavam digitar um pin ou uma senha antes disso e que a chave foi obtida do TPM.

Os pesquisadores procuraram informações no chip TPM e descobriram como ele se comunica. O Bitlocker não está usando 'nenhum dos recursos de comunicação criptografados do padrão TPM 2.0', e isso significa que a comunicação é em texto simples.

O laptop foi aberto e sondas foram usadas para registrar dados durante a inicialização. A ferramenta de código aberto h ttps: //github.com/FSecureLABS/bitlocker-spi-toolkit foi usado para detectar a chave Bitlocker nos dados; ele foi então usado para descriptografar o Solid State Drive do laptop.

Os pesquisadores conseguiram entrar no sistema após inicializar sua imagem em um ambiente virtual. A partir daí, eles conseguiram se conectar à VPN da empresa.

Mitigação

O Bitlocker suporta a configuração de uma chave de autenticação pré-inicialização. Se essa chave estiver definida, ela precisa ser inserida antes de o sistema inicializar; isso funciona de forma semelhante ao funcionamento do VeraCrypt e de outros programas de criptografia de terceiros. O VeraCrypt exibe uma senha e um prompt PIM durante a inicialização se a unidade do sistema estiver criptografada. Os usuários precisam digitar a senha correta e o PIM para que a unidade seja descriptografada e o sistema operacional inicializado.

Os pesquisadores sugerem que os usuários definam o PIN para proteger o sistema e seus dados.

Autenticação pré-inicialização definida como TPM com um protetor de PIN (com um PIN alfanumérico sofisticado [pino aprimorado] para ajudar na mitigação anti-hammering do TPM).

Configurando um PIN de autenticação de pré-inicialização do Bitlocker

Observação : A criptografia de unidade Bitlocker está disponível no Windows 10 Pro e Enterprise. Os dispositivos domésticos têm criptografia de unidade, o que é diferente. Você pode querer considerar o uso de VeraCrypt em vez de proteger melhor os dados em seus dispositivos domésticos. No Windows 10, você pode verificar se a descriptografia do dispositivo é usada abrindo as Configurações, pesquisando a descriptografia do dispositivo e selecionando a opção nos resultados.

  1. Abra o Editor de Política de Grupo:
    1. Use o atalho de teclado Windows-R
    2. Digite gpedit.msc e pressione a tecla Enter.
  2. Vá para Configuração do computador> Modelos administrativos> Componentes do Windows> Criptografia de unidade de disco BitLocker> Unidades do sistema operacional usando a estrutura de pastas da barra lateral.
  3. Clique duas vezes em Requer autenticação adicional na inicialização no painel principal.
  4. Defina a política como Habilitada.
  5. Selecione o menu em 'Configurar PIN de inicialização do TPM' e defina-o como 'Exigir PIN de inicialização com TPM'.
  6. Clique em OK para salvar as alterações que você acabou de fazer.

Você preparou o sistema para aceitar um PIN como método de autenticação de pré-inicialização, mas ainda não definiu o PIN.

  1. Abra Iniciar.
  2. Digite cmd.exe.
  3. Selecione Executar como administrador para abrir uma janela elevada do prompt de comando.
  4. Execute o seguinte comando para definir um PIN de pré-inicialização: manage-bde -protectors -add C: -TPMAndPIN
  5. Você será solicitado a digitar o PIN e confirmá-lo para ter certeza de que é idêntico.

O PIN está definido e será solicitado que você o insira na próxima inicialização. Você pode executar o comando manage-bde -status para verificar o status.

Agora você: você criptografa seus discos rígidos? (através da Nascer )