Снятие данных с ограничений диска Bitlocker, когда Bitlocker использует TPM и не использует пароль

Question

Я исследую безопасность Bitlocker в сочетании с TPM и защищенной загрузкой (и без пароля для Bitlocker или BIOS), и борюсь с чем-то -

/ Как Windows защищает процесс ранней загрузки?

Например: допустим, украден компьютер с зашифрованным диском, но вор не знает учетных данных для входа в Windows. Какие, если таковые имеются, средства защиты существуют, чтобы предотвратить вор, вносящий изменения в среду ранней загрузки, чтобы позволить ему добавить / изменить пароль / получить оболочку, не требуя действительного входа в систему?

Возможно, напрашивается вопрос, но подписан / измерен ли процесс ранней загрузки таким образом, чтобы предотвратить этот вектор атаки, и если да, то как?

Бонус, если кто-то может посоветовать способ фактически обойти защиту / цепочку Bitlocker / TPM без использования ключа восстановления Bitlocker. (Я полагаю, что / теоретически был механизм злоупотребления процессом обновления Windows для обхода этой защиты, но я не знаю, как это будет реализовано или насколько сложно - или если есть более простые способы)

Чтобы уточнить элементы моего поста:

По этой ссылке Microsoft говорит:«Режим аутентификации только для TPM проще всего развертывать, управлять и использовать. Это также может быть более подходящим для компьютеров, которые находятся без присмотра или должны перезагружаться без присмотра. Однако режим только TPM обеспечивает наименьшую степень защиты данных. Если в частях вашей организации имеются данные, которые на мобильных компьютерах считаются высокочувствительными, рассмотрите возможность развертывания BitLocker с многофакторной аутентификацией на этих компьютерах ». Я пытаюсь количественно оценить этот риск.

Когда я говорю "процесс ранней загрузки", я говорю о том, когда Windows берет на себя загрузку, но до загрузки основной ОС (то есть заглушки / начального бита, который загружает драйвер Bitlocker и другие ранние процессы, которые находятся на -зашифрованный раздел, который есть на дисках с битлокером, - и затем от руки до основной загрузки

Answer 1

Как Windows защищает процесс ранней загрузки?

Windows не пытается защитить процесс ранней загрузки (все, что происходит до загрузчика Windows). Безопасная загрузка, функция UEFI, выполняет эту задачу. При обнаружении изменений конфигурации BitLocker потребует от вас предоставить ключ восстановления. Это предотвращает извлечение жесткого диска из компьютера и его установку на другой без предоставления ключа восстановления BitLocker. Системный диск, защищенный BitLocker, смонтированный в Windows, не может быть разблокирован без ключа восстановления.

Какие существуют меры защиты, позволяющие вору вносить изменения в среду ранней загрузки, чтобы он мог добавить / изменить пароль / получить оболочку, не требуя действительного входа в систему?

Если обнаружены какие-либо изменения в TPM, BitLocker предложит ввести ключ восстановления. Если в прошивку UEFI будут внесены какие-либо изменения, BitLocker предложит ввести ключ восстановления. Поскольку BitLocker - это полное шифрование диска, невозможно получить доступ к данным без ключа восстановления.

Возможно, напрашивается вопрос, но подписан / измерен ли процесс ранней загрузки таким образом, чтобы предотвратить этот вектор атаки, и если да, то как?

Secure Boot предотвращает загрузку в неподписанных операционных системах.

Безопасная загрузка - это стандарт безопасности, разработанный представителями индустрии ПК для обеспечения того, чтобы устройство загружалось с использованием только программного обеспечения, которому доверяет производитель оригинального оборудования (OEM). Когда компьютер запускается, прошивка проверяет подпись каждого загрузочного программного обеспечения, включая драйверы прошивки UEFI (также называемые дополнительными ПЗУ), приложения EFI и операционную систему. Если подписи действительны, компьютер загружается, и микропрограмма передает управление операционной системе.

Источник: Безопасная загрузка

Кто-нибудь может посоветовать способ фактически обойти защиту / цепочку Bitlocker / TPM без использования ключа восстановления BitLocker.

Если такая уязвимость существует в BitLocker, она не будет опубликована.

Я полагаю, что был / теоретически был механизм злоупотребления процессом обновления Windows для обхода этой защиты, но я не знаю, как это будет реализовано или насколько сложно - или если есть более простые способы

Этот теоретический механизм обхода защиты BitLocker не существует, как вы его описали. Чтобы выполнить загрузку в среде установки Windows, необходимо изменить конфигурацию прошивки устройства, что приведет к тому, что для расшифровки данных потребуется ключ восстановления. Кроме того, вы не можете установить Windows поверх себя, на зашифрованный том из среды установки.

Однако режим только TPM обеспечивает наименьшую степень защиты данных. Если в частях вашей организации имеются данные, которые на мобильных компьютерах считаются очень конфиденциальными, рассмотрите возможность развертывания BitLocker с многофакторной аутентификацией на этих компьютерах.

Я не верю, что это относится к TPM 1.2. Документация, на которую вы ссылаетесь, взята из Windows Vista, которая НЕ поддерживает TPM 1.2.

Когда я говорю "процесс ранней загрузки", я говорю о том, когда Windows берет на себя загрузку, но до загрузки основной ОС (то есть заглушки / начального бита, который загружает драйвер BitLocker и другие ранние процессы, которые находятся на -зашифрованный раздел, который есть на дисках BitLocker, - и затем от руки к основной загрузке)

То есть вы имеете в виду загрузчик Windows. Как я уже указывал, любое изменение конфигурации приведет к тому, что ключ восстановления потребуется для расшифровки данных.