Come proteggere i dispositivi che dipendono da Bitlocker e una password senza TPM?

1

Lavorando con un numero di organizzazioni senza scopo di lucro, dispositivi come i laptop usati dallo staff sono crittografati usando Bitlocker. Purtroppo poiché i dispositivi (spesso donati) non dispongono di TPM, Bitlocker è stato abilitato utilizzando Criteri di gruppo locali .

Il personale frequenta diversi luoghi come parte del loro lavoro. Poiché i dispositivi memorizzano informazioni sensibili come informazioni personali identificabili, dati finanziari, ecc., La protezione dei dati è fondamentale. Inoltre, gli utenti spesso rimangono collegati a più servizi online come e-mail, ad es. GMail. La perdita del dispositivo è secondaria da una prospettiva finanziaria o di proprietà.

  1. Se un dispositivo viene rubato l'uso di Bitlocker senza TPM offre a livello di sicurezza degradato relativamente?
  2. In caso affermativo, quali sono le opzioni disponibili per proteggere i dati (supponiamo che la connettività Internet non sia sempre possibile, quindi l'accesso ai dati da servizi come DropBox non è sempre fattibile.Il personale lavora spesso su copie locali di dati)
  3. Se gli utenti rimangono collegati ai servizi online, sono a rischio di essere compromessi in caso di furto di un dispositivo e se gli utenti non si disconnettono?
  4. Nel valutare un certo numero di questi dispositivi, ho osservato che Bitlocker è spesso sospeso e deve essere riattivato manualmente. Ciò aumenta il rischio di compromissione dei dati se un attore delle minacce dovesse avviare il dispositivo utilizzando un LiveCD, ad esempio?
  5. Il dispositivo può essere protetto ulteriormente? Se é cosi, come? Ad esempio, dovrebbero essere abilitate le password del BIOS?

A domanda su quanto è sicuro un dispositivo quando si utilizza un pin non ha specificamente toccato le domande sopra.

    
posta Motivated 14.10.2018 - 10:02
fonte

1 risposta

1
  1. If a device is stolen does the use of Bitlocker without TPM offer a degraded level of security comparatively?

Sì, il TPM è usato per proteggere ulteriormente la chiave principale. Senza di esso, la sicurezza di BitLocker è certamente degradata. A causa della natura segreta di Microsoft, è impossibile dire quanto, ma sarebbe consigliabile non fidarsi di esso.

  1. If yes, what options are there to protect the data (assume that internet connectivity isn't always possible so access to data from services such as DropBox isn't always feasible. Staff often work on local copies of data)

Dropbox non risolverebbe comunque il tuo problema. Si consiglia di cercare altre soluzioni di crittografia dell'intero disco. Uso personalmente VeraCrypt, ma sono disponibili anche altre soluzioni. VeraCrypt utilizza un KDF lento anziché TPM, quindi finché si utilizzano password complesse, proteggerà i dati. (Si noti che se il computer è acceso, ci sono attacchi teorici come gli attacchi cold-boot, ma questi sono molto difficili da eseguire. Se anche il computer è connesso, ovviamente non vi sarà alcun aiuto nella crittografia)

  1. If users remain logged into online services, are these at risk of being compromised should a device be stolen and if users do not log off?

La maggior parte dei servizi online ti consente di disconnettersi da tutti i computer. Questo dovrebbe essere fatto se un dispositivo viene rubato. È inoltre consigliabile modificare le password in quanto potrebbero essere salvate nel browser o altrove nel computer. Anche se l'unità del computer è crittografata, ci sono pochi rischi.

  1. In assessing a number of these devices, i have observed that Bitlocker is often suspended and has to be re-enabled manually. Does this increase the risk of data being compromised if a threat actor were to boot the device using a LiveCD for example?

Non sono sicuro di questo. Mi sembra che questo non dovrebbe nemmeno applicarsi a un computer senza un TPM.

  1. Can the device be secured further? If so how? For example, should BIOS passwords be enabled?

Le password del BIOS forniscono poca sicurezza aggiuntiva. Suggerirei un buon FDE e una password sicura all'avvio + password mediocre per l'account Windows. Quindi utilizzare [Tasto Windows + L] per bloccare il dispositivo quando si va via. Il rischio più elevato è spesso il laptop che viene sottratto quando sbloccato, in quanto è di gran lunga più semplice per gli aggressori.

    
risposta data 14.10.2018 - 12:29
fonte

Leggi altre domande sui tag