none
Bitlocker + TPM Windows 10 RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Все более в нашу жизнь входят новые лэптопы и моноблоки с предустановленной Windows 10 Pro и установленным TPM 2.0.

    Но как пользоваться шифрованием данных "по новому" не понятно.

    Поясню что конкретно мне не понятно далее на сравнении со старыми ОС.

    Защищаем данные от коррумпированных проверок, далее "злоумышленник"

    Задача: защитить секретные данные от злоумышленника.

    Приоритет: Лучше потерять данные чем они попадут к злоумышленнику

    Ранее пользуясь Windows 8.1 pro без TPM, мы включали в политике домена Bitlocker и просили пользователя ввести индивидуальный пароль при выдаче ему ноутбука/моноблока. Ключь восстановления печатали и сразу сунули в шредер.

    При загрузке мы видели запрос на ввод пароля.

    Кроме самого пользователя пароль не знал никто.

    То есть если злоумышленник проник в офис а пользователя нет - то никакой админ не поможет ему разблокировать данные как с самого устройства так и вытащив HDD из устройства.

    Теперь же появилась возможность "автоматически разблокировать диск" - что это за функция? какой от нее толк? 

    Чего я не понимаю в этой жизни?

    То есть если злоумышленник проник в офис, уточнил у админа пароль доменного админа (зажав гениталии админа в дверь) - он может получить доступ к любой информации на любом ПК?

    То есть автоматическая разблокировка защищает ИСКЛЮЧИТЕЛЬНО в случае если диск из ноута украли а ноут остался?

    И нужно политиками включать пинкод - только так защищать инфу?

    Спасибо!


    LEXX






    • Изменено LEXXntu 8 марта 2017 г. 7:30
    1 марта 2017 г. 15:14

Ответы

  • Дмитрий спасибо за ответ!

    значит для нормальной защиты информации по принципу "что знают двое то знает весь мир"

    1) не хранить НИКАКИЕ дубликаты в АД (по умолчанию так и есть?)

    2) ставить пинкод который знает ТОЛЬКО один пользователь

    так?


    LEXX


    • Изменено LEXXntu 1 марта 2017 г. 18:37
    • Помечено в качестве ответа LEXXntu 2 марта 2017 г. 19:36
    1 марта 2017 г. 18:32

Все ответы

  • >Чего я не понимаю в этой жизни?

    Мне кажется того, что есть библиотека технической литературы, и в ней можно прочитать про сценарии использования Bitlocker.

    https://technet.microsoft.com/ru-ru/library/hh831507(v=ws.11).aspx 

    Вот здесь например рассмотрен сценарий, когда пароли хранятся еще и в AD, и сценарий "кроме самого пользователя не знал никто" уходит.

    >Почему не удается автоматически разблокировать диск?

    <sentencetext abp="2047" xmlns="http://www.w3.org/1999/xhtml">Для автоматической разблокировки несъемных дисков с данными необходимо, чтобы диск с операционной системой также был защищен BitLocker.</sentencetext><sentencetext abp="2049" xmlns="http://www.w3.org/1999/xhtml">Если используется компьютер, где диск с операционной системой не защищается BitLocker, то диск нельзя автоматически разблокировать.</sentencetext>Управление BitLocker.</sentencetext><sentencetext abp="2054" xmlns="http://www.w3.org/1999/xhtml">Этот съемный диск можно разблокировать на других компьютерах, если ввести пароль или учетные данные смарт-карты, указанные при включении BitLocker.</sentencetext>

    >То есть если злоумышленник проник в офис, уточнил у админа пароль доменного админа (зажав гениталии админа в дверь) - он может получить доступ к любой информации на любом ПК?

    Да, это ведь не технический вопрос. К любой информации на любом ПК, разумеется. А еще он может не зажимать администратора дверью, а домой ему принести чемодан с валютой в обмен на учетные данные.

    И результат тот же будет. 

    1 марта 2017 г. 16:38
  • Дмитрий спасибо за ответ!

    значит для нормальной защиты информации по принципу "что знают двое то знает весь мир"

    1) не хранить НИКАКИЕ дубликаты в АД (по умолчанию так и есть?)

    2) ставить пинкод который знает ТОЛЬКО один пользователь

    так?


    LEXX


    • Изменено LEXXntu 1 марта 2017 г. 18:37
    • Помечено в качестве ответа LEXXntu 2 марта 2017 г. 19:36
    1 марта 2017 г. 18:32
  • Да, это ведь не технический вопрос. К любой информации на любом ПК, разумеется. А еще он может не зажимать администратора дверью, а домой ему принести чемодан с валютой в обмен на учетные данные.

    Обычно необходимо решение, и в современном мире нужны результаты, а не поиски крайнего.

    Необходимо решение, которое предусматривает любой ход событий


    LEXX

    1 марта 2017 г. 18:36
  • 1)Нет, совершенно. Хранить, ибо если пользователя переедет автобус, а информация будет нужна, то компания останется без нее. Именно для этого сценарий и предназначен.

    2) Да, и опираться на пункт выше. Если только это не личная информация сотрудника (а если личная, то это его дело, что и как с ней делать, но не Ваше)

    2 марта 2017 г. 5:27
  • PS. И да, такое решение предусматриват любой ход событий, о чем я написал выше.

    Но.  Оно не защитит от вредоносных действий администратора.  Если мы коротко рассмотрим вопрос доверия- то он простой. Либо компания полностью Вам доверяет (со всеми вытекающими) либо- нет.

    Как правило, администратор, подписав договор, учитывает ответственноть, которая в нем предусмотрена, в т.ч. и уголовную, поэтому спокойно работает. Как-то так.

    • Предложено в качестве ответа Dmitriy Razbornov 3 марта 2017 г. 5:06
    2 марта 2017 г. 5:40
  • по условию переезд автобусом не существенен

    LEXX

    2 марта 2017 г. 19:37