Bitlocker 대책
요약: 핀을 사용한 사전 부팅 인증. 또한 DMA 포트 공격으로부터 보호 할 수 있습니다. 도난당한 기계가 발생하면 비밀번호 변경 및 온라인 서비스에서 계정을 비활성화하면 추가 보안을 제공 할 수 있습니다.
전체 기계를 도난 당할 때 Bitlocker가 핀으로 얼마나 안전합니까??
도난당한 노트의 시나리오에서 핀이있는 Bitlocker는 수준의 보안을 제공 할 수 있습니다. 도둑이 기계에 액세스 할 수 있더라도 비밀번호를 변경하고 계정을 비활성화함으로써 도난당한 데이터를 사용하는 시스템은 안전하게 유지됩니다.
Q : 시나리오에 강한 암호가 충분하지 않아야합니다?
A : 강력한 암호는 어느 정도의 보안을 제공 할 수 있지만 Bitlocker와 함께 핀을 사용하면 보안을 크게 향상시킬 수 있습니다. Bitlocker는 운영 체제에 부팅하자마자 드라이브를 해독하고 핀은 일반적인 공격에 대한 추가 보호 계층을 추가합니다.
1 답변 1
요약: TPM과 함께 9 자리 핀은 온라인 서비스에서 암호를 변경하기에 충분한 시간을 제공함으로써 기본 공격으로부터 보호 할 수 있습니다. 이 보안 측정의 효과는 공격자의 동기 부여와 기술과 피해자가 도난을 알아 차리고 행동을 취하는 데 걸리는 시간과 같은 몇 가지 요인에 달려 있습니다.
9 자리 핀은 온라인 서비스에서 비밀번호를 변경하기에 충분히 오랫동안 기본 해킹 기술을 가진 공격자로부터 보호하기에 충분해야합니다. TPM의 조합은 신뢰할 수있는 컴퓨터만이 그것을 실현할 수 있도록하여 추가 보호 계층을 추가합니다. 이 보안 측정의 효과는 몇 가지 요인에 따라 다릅니다
- 공격자가 얼마나 동기를 부여했는지, 피해자가 많은 사람들 사이에서 임의의 목표인지.
- 공격자의 기술과 전문 지식 수준.
- 피해자가 도난을 알아 차리고 암호를 변경하는 데 걸리는 시간.
수비수와 공격자 모두 비용-이익 분석을 고려해야합니다. 공격자는 도난당한 컴퓨터에 액세스하려고 많은 시간을 소비해야하므로 노력의 가치가 있는지 평가해야합니다. 대신 다른 장치를 대상으로하는 것이 더 수익성이있을 수 있습니다.
Bitlocker 대책
Windows는 TPM, Secure Boot 및 측정 부팅과 같은 여러 기술을 통합하여 Bitlocker 암호화 키를 공격으로부터 보호합니다. Bitlocker는 오프라인 공격에 대한 데이터를 보호하기 위해 전략적 접근 방식의 일부로 암호화 기술을 사용합니다. 컴퓨터를 분실하거나 도난 당하면 소프트웨어 공격 도구를 통해 또는 하드 디스크를 다른 컴퓨터로 전송하여 데이터가 무단 액세스에 취약 해집니다.
Bitlocker는 승인 된 운영 체제가 시작되기 전에 분실 또는 도난당한 컴퓨터에서 무단 데이터 액세스를 완화하는 데 도움이됩니다. 이것은 컴퓨터에서 볼륨을 암호화하고 조기 부팅 구성 요소 및 부팅 구성 데이터의 무결성을 보장함으로써 달성됩니다. 이러한 조치는 보안을 향상시키고 Bitlocker 암호화 키에 대한 다양한 공격으로부터 보호합니다.
Windows 장치에 대한 최고의 보안 구성 가능에 대한 자세한 내용은 “고도로 보안 Windows 장치의 표준”문서를 참조하십시오.
시작 전 보호
Windows가 시작되기 전에 TPM 및 Secure Boot와 같은 장치의 하드웨어 및 펌웨어에서 구현 된 보안 기능은 시스템 보호에 중요한 역할을합니다. 대부분의 최신 기기에는 TPM과 안전한 부팅이 장착되어 있습니다.
신뢰할 수있는 플랫폼 모듈
신뢰할 수있는 플랫폼 모듈 (TPM)은 암호화 키를 포함하여 필수 보안 관련 기능을 제공하는 마이크로 칩 또는 보안 펌웨어입니다. Bitlocker는 오프라인에서 컴퓨터가 변조되지 않았는지 확인하기 위해 TPM과 암호화 키를 바인딩합니다. TPM에 대한 자세한 내용은 “신뢰할 수있는 플랫폼 모듈”문서를 참조하십시오.
UEFI 및 안전한 부팅
UEFI (Unified Extensible Excware Interface) 및 Secure Boot Technologies는 시스템 보안에 기여합니다. UEFI는 운영 체제와 펌웨어를 연결하는 인터페이스를 제공하여 안전한 부팅 프로세스를 가능하게합니다. Secure Boot는 운영 체제를 포함한 신뢰할 수있는 소프트웨어 만 시작하는 동안 실행할 수 있도록합니다.
Bitlocker 대책
핀을 사용한 사전 부팅 인증은 노출 된 에드리브 버스를 사용하면 공격자가 시작 중에 Bitlocker 암호화 키를 캡처 할 수 있기 때문에 부팅 가능한 Edrive를 사용하는 장치의 공격 벡터를 완화 할 수 있습니다. PIN을 사용한 사전 부팅 인증은 Bitlocker가 구동을 잠금 해제 할 때와 Windows 부츠를 구성 한 포트 관련 정책을 설정할 수있는 지점까지 시간 동안 DMA 포트 공격을 완화 할 수 있습니다.
전체 기계를 도난 당했을 때 Bitlocker가 핀으로 얼마나 안전합니까??
한편 온라인 서비스의 모든 비밀번호를 변경하고 VPN 계정을 비활성화 할 시간이 있습니다. 그것은 해당 노트에 사용되었으므로 결국 액세스 할 수 있더라도 우리 시스템은 안전하게 유지됩니다.
65.8k 20 20 금 배지 209 209은 배지 263 263 청동 배지
2018 년 1 월 22 일 11:27에 요청했습니다
180 8 8 청동 배지
강력한 암호가 시나리오에 충분하지 않아야합니다? 데이터에 액세스하기 위해 도둑은 암호를 추측해야 할 것이며 강력한 암호라면 불가능할 것입니다. 내가 올바른 경우 bitlocker가 로그인 될 때까지 드라이브를 해독하지 않습니다 (이 문제가 잘못되면 저를 수정하십시오)
2018 년 1 월 22 일 15:23
Bitlocker에 대한 모든 (쉬운) RAM Remanence 공격이 포함 된 @Wealot, PIN은 실제로 보안을 많이 향상시킵니다. Bitlocker 하다 운영 체제에 부팅하자마자 드라이브를 해독합니다
2019 년 7 월 7 일 3:54
1 답변 1
내가 자신을 보호하고 싶은 시나리오 : 1. 간단한 도둑은 노트북 2를 훔칩니다. 도구 사용 또는 임의의 암호로 입력하는 것과 같은 기본 “Googling jronm”해킹 기술로 데이터에 액세스하려고합니다.
9 자리 핀은 모든 온라인 서비스에서 암호를 변경할 수있을 정도로 오랫동안이 수준의 정교함을 공격하기에 충분해야합니다. TPM은 신뢰할 수있는 컴퓨터만이 핀과 결합하여 실패 할 수 있도록합니다. 공격자는 전체 컴퓨터를 가지고 있기 때문에 필요한 것은 핀입니다. 지금 중요한 것은 몇 가지 요인입니다
- 당신의 공격자가 얼마나 동기를 부여했는지?)).
- 그가 얼마나 영리한 지 (한 사람의 “기본 검색 기술”은 다른 사람의 고급 Google-Fu입니다).
- 얼마나 오래 걸릴 것인가 알아채다 도난과 비밀번호를 변경합니다.
수비수와 공격자 모두 비용 편익 분석을 수행해야합니다. 자산의 가치가 얼마나 많은 시간과 노력의 가치를 결정해야하지만, 공격자는 똑같이해야합니다. 컴퓨터에 액세스하는 데 2 주가 걸리면 2 주간의 도난 기회를 잃어 버렸습니다. 왜 모든 시간을 보내십시오 당신의 컴퓨터는 그 당시 3 개의 컴퓨터를 더 훔치는 것이 더 수익성이 있다면 컴퓨터?
Bitlocker 대책
Winders. Bitlocker는 암호화 기술을 통한 오프라인 공격에 대한 데이터를 보호하기위한 전략적 접근의 일부입니다. 분실되거나 도난당한 컴퓨터의 데이터는 취약합니다. 예를 들어, 컴퓨터에 대한 소프트웨어 공격 도구를 실행하거나 컴퓨터의 하드 디스크를 다른 컴퓨터로 전송하여 무단 액세스가 발생할 수 있습니다.
Bitlocker는 승인 된 운영 체제가 시작되기 전에 분실 또는 도난당한 컴퓨터에서 무단 데이터 액세스를 완화하는 데 도움이됩니다. 이 완화는 다음과 같이 수행됩니다
- 컴퓨터에서 볼륨을 암호화합니다. 예를 들어, 운영 체제 볼륨에 대해 Bitlocker를 켜면 고정 드라이브의 볼륨이 켜질 수 있습니다. 또는 탈착식 데이터 드라이브 (예 : USB 플래시 드라이브, SD 카드 등과 같은.) 운영 체제 볼륨에 대한 Bitlocker 켜기 페이징 파일 및 최대 절전 모드 파일을 포함하여 볼륨의 모든 시스템 파일을 암호화합니다. 시스템 파티션에 대한 유일한 예외는 Windows Boot Manager 및 키가 실패한 후 운영 체제 볼륨의 암호 해독에 필요한 최소 부팅 담보를 포함합니다.
- 조기 부팅 구성 요소 및 부팅 구성 데이터의 무결성 보장. TPM 버전 1이있는 장치에서.Bitlocker는 TPM의 향상된 보안 기능을 사용하여 컴퓨터의 BIOS 펌웨어 코드 및 구성, 원래 부팅 시퀀스, 부팅 구성 요소 및 BCD 구성이 모두 변경되지 않은 경우에만 데이터에 액세스 할 수 있도록합니다. TPM PCR을 사용하는 시스템에서 [7], BCD 설정은 안전한 것으로 간주되어 유용성을 향상시킬 수 있습니다.
다음 섹션에서는 Windows가 Windows 11, Windows 10, Windows 8의 Bitlocker 암호화 키에 대한 다양한 공격으로부터 Windows를 보호하는 방법에 대한 자세한 내용을 제공합니다.1 및 Windows 8.
Windows 10 버전 1803으로 시작하는 장치에 대한 최고의 전반적인 보안 구성을 활성화하는 방법에 대한 자세한 내용은 매우 안전한 Windows 장치 표준을 참조하십시오.
시작 전 보호
Windows가 시작되기 전에 TPM 및 Secure Boot를 포함하여 장치 하드웨어 및 펌웨어의 일부로 구현 된 보안 기능. 다행히도 많은 최신 컴퓨터에는 TPM과 Secure Boot가 있습니다.
신뢰할 수있는 플랫폼 모듈
신뢰할 수있는 플랫폼 모듈 (TPM)은 주로 암호화 키와 관련된 기본 보안 관련 기능을 제공하도록 설계된 마이크로 칩입니다. 일부 플랫폼에서는 TPM이 보안 펌웨어의 일부로 구현 될 수 있습니다. Bitlocker는 TPM과 암호화 키를 바인딩하여 시스템이 오프라인 상태 인 동안 컴퓨터가 변조되지 않았는지 확인합니다. TPM에 대한 자세한 내용은 신뢰할 수있는 플랫폼 모듈을 참조하십시오.
UEFI 및 안전한 부팅
UEFI (Unified Extensible 펌웨어 인터페이스)는 장치를 초기화하고 운영 체제의 부트 로더를 시작하는 프로그래밍 가능한 부팅 환경입니다.
UEFI 사양은 Secure Boot라는 펌웨어 실행 인증 프로세스를 정의합니다. 안전한 부트 블록은 신뢰할 수없는 펌웨어 및 부트 로더 (서명 또는 서명되지 않은) 시스템에서 시작할 수 없습니다.
기본적으로 Bitlocker는 TPM PCR [7] 측정을 활용하여 안전한 부팅에 대한 무결성 보호를 제공합니다. 무단 EFI 펌웨어, EFI 부팅 애플리케이션 또는 Bootloader는 Bitlocker 키를 실행하고 얻을 수 없습니다.
Bitlocker 및 재설정 공격
악의적 인 재설정 공격을 방어하기 위해 Bitlocker.
이것은 공격자가 사건을 열고 하드웨어를 공격하는 물리적 공격으로부터 보호하지 않습니다.
보안 정책
다음 섹션에서는 Bitlocker에 대한 추가 보호를 제공 할 수있는 사전 부팅 인증 및 DMA 정책을 다룹니다.
사전 부팅 인증
Bitlocker를 사용한 사전 부팅 인증은 System Drive의 내용을 액세스하기 전에 PIN, 시작 키 또는 둘 다와 같은 사용자 입력을 사용해야하는 정책 설정입니다. 그룹 정책 설정은 시작시 추가 인증이 필요하며 Bitlocker CSP의 해당 설정은 SystemDrivesRequirestArTupAuthentication입니다.
Bitlocker는 사전 부팅 인증이 완료된 후에 만 암호화 키를 메모리에 액세스하고 저장합니다. Windows가 암호화 키에 액세스 할 수없는 경우 장치는 시스템 드라이브에서 파일을 읽거나 편집 할 수 없습니다. 사전 부팅 인증을 우회하는 유일한 옵션은 복구 키를 입력하는 것입니다.
사전 부팅 인증은 신뢰할 수있는 사용자가 PIN 또는 시작 키와 같은 다른 인증 계수를 제공하지 않고 암호화 키가 시스템 메모리에로드되는 것을 방지하도록 설계되었습니다. 이 기능은 DMA 및 메모리 remanence 공격을 완화하는 데 도움이됩니다.
호환되는 TPM이있는 컴퓨터에서는 Bitlocker로 보호되는 운영 체제 드라이브를 네 가지 방법으로 잠금 해제 할 수 있습니다
- TPM 전용. TPM 전용 유효성 검사를 사용하면 사용자와의 상호 작용이 필요하지 않습니다. TPM 유효성 검사가 성공하면 사용자 로그인 경험은 표준 로그인과 동일합니다. TPM이 없거나 변경되거나 Bitlocker가 BIOS 또는 UEFI 코드 또는 구성의 변경 사항을 감지하는 경우, 중요한 운영 체제 시작 파일 또는 부팅 구성이 Bitlocker가 복구 모드로 들어가고 사용자가 데이터에 대한 액세스를 다시 회복하려면 Recovery 암호를 입력해야합니다. 이 옵션은 가입자에게는 편리하지만 다른 옵션보다 안전하지 않으므로 추가 인증 계수가 필요합니다.
- 시작 키가있는 TPM. TPM 전용이 제공하는 보호 외에도 암호화 키의 일부는 시작 키라고하는 USB 플래시 드라이브에 저장됩니다. 시작 키없이 암호화 된 볼륨에 대한 데이터에 액세스 할 수 없습니다.
- 핀이있는 TPM. TPM이 제공하는 보호 외에도 Bitlocker는 사용자가 PIN을 입력해야합니다. 암호화 된 볼륨에 대한 데이터는 PIN을 입력하지 않고 액세스 할 수 없습니다. TPM은 또한 핀을 결정하려는 무차별 인력 공격을 방지하도록 설계된 방지 방지 보호 기능이 있습니다.
- 시작 키 및 핀이있는 TPM. TPM 전용이 제공하는 핵심 구성 요소 보호 외에도 암호화 키의 일부는 USB 플래시 드라이브에 저장되며 사용자를 TPM에 인증하려면 핀이 필요합니다. 이 구성은 USB 키를 분실하거나 도난당한 경우 다중 인 인증을 제공하여 올바른 핀도 필요하므로 드라이브에 액세스하는 데 사용할 수 없습니다.
다음 그룹 정책 예에서는 운영 체제 드라이브를 잠금 해제하려면 TPM + PIN이 필요합니다
핀을 사용한 사전 부팅 인증은 노출 된 에드리브 버스를 사용하면 공격자가 시작 중에 Bitlocker 암호화 키를 캡처 할 수 있기 때문에 부팅 가능한 Edrive를 사용하는 장치의 공격 벡터를 완화 할 수 있습니다. PIN을 사용한 사전 부팅 인증은 Bitlocker가 구동을 잠금 해제 할 때와 Windows 부츠를 구성 한 포트 관련 정책을 설정할 수있는 지점까지 시간 동안 DMA 포트 공격을 완화 할 수 있습니다.
반면에 사전 부팅 인증 프로모스는 사용자에게 불편할 수 있습니다. 또한 PIN을 잊거나 시작 키를 잃은 사용자는 조직의 지원 팀에 연락하여 복구 키를 얻을 수있을 때까지 데이터에 대한 액세스가 거부됩니다. 사전 부팅 인증은 컴퓨터가 최대 절전 모드에서 재부팅되거나 재개 될 때 핀을 입력해야하기 때문에 무인 데스크톱 및 원격으로 관리되는 서버를 업데이트하기가 더 어려워 질 수 있습니다.
이러한 문제를 해결하려면 Bitlocker Network Unlock을 배포 할 수 있습니다. Network Unlock은 물리적 엔터프라이즈 보안 경계 내의 시스템을 허용하고 하드웨어 요구 사항을 충족하고 사용자 중재없이 TPM+핀을 사용하여 Bitlocker가 활성화되어 있습니다. Enterprise Windows 배포 서비스 (WDS) 서버에 대한 직접 이더넷 연결이 필요합니다.
Thunderbolt 및 기타 DMA 포트 보호
Thunderbolt ™ 3과 같은 DMA 포트를 보호하기위한 몇 가지 옵션이 있습니다. Windows 10 버전 1803부터 새로운 인텔 기반 장치는 기본적으로 활성화 된 Thunderbolt ™ 3 포트를 통한 DMA 공격에 대한 커널 보호 기능이 있습니다. 이 커널 DMA 보호는 시스템 펌웨어 및/또는 BIOS의 변경이 필요하므로 Windows 10 버전 1803으로 시작하는 새로운 시스템에서만 사용할 수 있습니다.
시스템 정보 데스크톱 앱 MSINFO32를 사용할 수 있습니다.장치에 커널 DMA 보호 기능이 활성화되어 있는지 확인하려면 EXE :
커널 DMA 보호가 활성화되지 않은 경우 다음 단계를 따라 Thunderbolt ™ 3 활성화 된 포트를 보호하십시오
- BIOS 변경에 대한 비밀번호가 필요합니다
- Intel Thunderbolt Security는 BIOS 설정에서 사용자 인증으로 설정해야합니다. Microsoft Windows® 10 운영 체제 문서의 Intel Thunderbolt ™ 3 및 보안을 참조하십시오
- 정책을 배포하여 추가 DMA 보안이 추가 될 수 있습니다 (Windows 10 버전 1607 또는 Windows 11부터 시작) :
- MDM : DataProtection/AllowDirectMemoryAccess 정책
- 그룹 정책 :이 컴퓨터가 잠겨있을 때 새 DMA 장치 비활성화 (이 설정은 기본적으로 구성되지 않습니다.))
Thunderbolt V1 및 V2 (DisplayPort 커넥터)의 경우 썬더 볼트 완화 SBP-2 드라이버 및 Thunderbolt 컨트롤러를 차단하는 섹션은 1394 DMA 및 Thunderbolt DMA 위협을 Bitlocker로 줄입니다. SBP-2 및 1394 (Firewire라고도 함)의 경우 SBP-2 완화 SBP-2 드라이버 및 Thunderbolt 컨트롤러를 차단하는 섹션은 1394 DMA 및 Thunderbolt DMA 위협을 Bitlocker로 줄입니다.
공격 대책
이 섹션에서는 특정 유형의 공격에 대한 대책을 다룹니다.
부트 키트와 루트 키트
물리적으로 현재의 공격자는 Bitlocker 키를 훔치기 위해 Bootkit 또는 Rootkit와 같은 소프트웨어를 부팅 체인에 설치하려고 시도 할 수 있습니다. TPM은 PCR 측정을 통해이 설치를 관찰해야하며 Bitlocker 키는 해제되지 않습니다.
Bitlocker는 기본적 으로이 공격으로부터 보호합니다.
BIOS가 BITLOCKER 보안 약속을 약화시킬 수있는 설정을 노출시킬 경우 Defence-in-Depth에 BIOS 비밀번호가 권장됩니다. 인텔 부트 가드 및 AMD 하드웨어 검증 부팅 지원 맬웨어 및 물리적 공격에 대한 추가적인 탄력성을 제공하는 보안 부팅의 강력한 구현. Intel Boot Guard 및 AMD Hardware Verified Boot는 매우 안전한 Windows 장치의 플랫폼 부팅 확인 표준의 일부입니다.
핀에 대한 무자비한 힘 공격
방지 방지 보호를 위해서는 TPM + 핀이 필요합니다.
DMA 공격
페이징 파일, 충돌 덤프 및 하이버 필.SYS 공격
이 파일은 OS 드라이브에서 Bitlocker가 활성화 될 때 기본적으로 암호화 된 볼륨으로 고정됩니다. 또한 Paging 파일을 이동하려는 자동 또는 수동 시도도 차단합니다.
기억 제거
안전한 부팅 활성화 및 BIOS 설정 변경을위한 비밀번호를 제출하는 필수 프롬프트. 이러한 고급 공격으로부터 보호가 필요한 고객의 경우 TPM+PIN 보호기를 구성하고 대기 전원 관리를 비활성화하며 공인 사용자의 제어를 남기기 전에 장치를 종료하거나 최동 원급합니다.
키를 불량 운영 체제에 전달하도록 Bitlocker 속임수
공격자는 암호화되지 않은 파티션에 저장된 BCD (Boot Manager Configuration Database)를 수정하고 다른 파티션의 불량 운영 체제에 진입 점을 추가 할 수 있습니다. 부팅 프로세스 중에 Bitlocker Code. 이 강력한 암호화 검증이 이미 존재하기 때문에 플랫폼 구성 레지스터 (PCR) 5에 디스크 파티션 테이블의 해시를 저장하는 것이 좋습니다.
공격자는 플랫폼 하드웨어 및 펌웨어를 유지하면서 전체 운영 체제 디스크를 교체 한 다음 피해자 OS 파티션의 메타 데이터에서 보호 된 Bitlocker 키 블로브를 추출 할 수 있습니다. 그런 다음 공격자는 통제하에 운영 체제에서 TPM API를 호출하여 Bitlocker 키 블로브를 풀어 주려고 시도 할 수 있습니다. Windows가 Bitlocker 키를 TPM에 밀봉 할 때 PCR 11 값 0으로 수행하고 Blob을 성공적으로 풀려면 TPM의 PCR 11의 값이 0이어야하므로 성공하지 못합니다. 그러나 부트 관리자가 컨트롤을 부트 로더 (합법적 또는 불량)로 전달하면 항상 PCR 11을 1의 값으로 변경합니다. 부팅 관리자를 종료 한 후 PCR 11 값이 다르기 때문에 공격자는 Bitlocker 키를 잠금 해제 할 수 없습니다.
공격자 대책
다음 섹션에서는 다양한 유형의 공격자에 대한 완화를 다룹니다.
많은 기술이 없거나 물리적 접근이 제한된 공격자
물리적 접근은 버스와 메모리를 노출시키지 않는 폼 팩터에 의해 제한 될 수 있습니다. 예를 들어, 외부 DMA 가능 포트가없고 섀시를 열 수있는 노출 된 나사가 없으며 메모리는 메인 보드에 납땜됩니다.
이 기회의 공격자는 파괴적인 방법이나 정교한 법의학 하드웨어/소프트웨어를 사용하지 않습니다.
- 사전 부팅 인증은 TPM으로 만 설정 (기본값)
기술과 긴 물리적 접근을 가진 공격자
충분한 시간에 대한 목표 공격; 이 공격자는 사건을 열고 납땜하며 정교한 하드웨어 또는 소프트웨어를 사용합니다.
- 사전 부팅 인증은 핀 프로텍터를 사용하여 TPM으로 설정합니다 (TPM 방지 방지 완화를 돕기 위해 정교한 영숫자 핀 [Enhanced PIN] 포함). -그리고-
- 대기 전원 관리를 비활성화하고 공인 사용자의 제어를 남기기 전에 장치를 종료하거나 최동 원급. 이 구성은 다음 그룹 정책을 사용하여 설정할 수 있습니다
- 컴퓨터 구성 >정책 >관리 템플릿 >Windows 구성 요소 >파일 탐색기 >전원 옵션 메뉴에서 최대 절전 모드를 표시하십시오
- 컴퓨터 구성 >정책 >관리 템플릿 >전력 관리 >수면 설정 >잠자면 대기 상태 (S1-S3) 허용 (플러그인)
- 컴퓨터 구성 >정책 >관리 템플릿 >전력 관리 >수면 설정 >자고있을 때 대기 상태 (S1-S3) 허용 (배터리)
이 설정은 다음과 같습니다 구성되지 않았습니다 기본적으로.
일부 시스템의 경우 TPM 전용을 우회하는 경우 케이스를 열어야 할 수 있으며 납땜이 필요할 수 있지만 합리적인 비용으로 수행 할 수 있습니다. 핀 보호기로 TPM을 우회하는 데는 비용이 훨씬 더 듭니다. 정교한 향상된 핀을 사용하면 거의 불가능할 수 있습니다. 향상된 핀에 대한 그룹 정책 설정은 다음과 같습니다
- 컴퓨터 구성 >정책 >관리 템플릿 >Windows 구성 요소 >Bitlocker 드라이브 암호화 >운영 체제 운전 >스타트 업을 위해 향상된 핀을 허용하십시오
이 설정은입니다 구성되지 않았습니다 기본적으로.
안전한 관리 워크 스테이션의 경우 Microsoft.
관련 기사
- SBP-2 드라이버 및 Thunderbolt 컨트롤러 차단하여 Bitlocker에 대한 1394 DMA 및 Thunderbolt DMA 위협을 줄이기
- Bitlocker 그룹 정책 설정
- Bitlocker CSP
- Winlogon 자동 재시작 사인 온 (ARSO)
Bitlocker 소개 : 시스템 디스크 보호
Windows 사용자이고 전체 디스크 암호화로 데이터 보호를 고려한 경우 Bitlocker에 대해 들었을 것입니다. Bitlocker는 Microsoft입니다’여러 버전의 Windows에 내장 된 전체 디스크 암호화 구현. 예를 들어 표면이나 유사한 얇은 창문 장치가있는 경우 Bitlocker를 사용하지 않을 수도 있습니다. 동시에 Windows 10의 홈 에디션을 사용하는 경우 데스크탑에서 기본적으로 Bitlocker 암호화를 사용할 수 없습니다. 시스템에서 Bitlocker를 활성화하면 까다로울 수 있으며 Windows 에디션이 지원하더라도 즉시 작동하지 않을 수 있습니다. 이 기사에서는 Bitlocker 암호화 소개를 제공합니다. 우리’ll Bitlocker가 데이터로부터 효과적으로 보호 할 수있는 위협 유형과 Bitlocker가 쓸모없는 위협의 유형에 대해 자세히 설명합니다. 마지막으로, 우리’ll don 시스템에서 Bitlocker를 활성화하는 방법을 설명합니다’t Microsoft를 만나십시오’S 하드웨어 요구 사항 및이를 평가합니다’가치가 있거나 보안 측면이 아닙니다.
Bitlocker 암호화로 인한 위협
Bitlocker 암호화는 전부 및 최종 유형의 보호가 아닙니다. Bitlocker는 업계 표준 AES 암호화로 데이터를 안전하게 암호화하지만 데이터를 매우 구체적인 위협 으로부터만 보호 할 수 있습니다.
Bitlocker는 다음 상황에서 데이터를 효과적으로 보호 할 수 있습니다.
컴퓨터에서 하드 드라이브가 제거됩니다
어떤 이유로 든 하드 드라이브 (또는 SSD 드라이브)가 컴퓨터에서 제거되는 경우 128 비트 암호화 키로 데이터가 안전하게 보호됩니다 (더 높은 수준의 보안이 필요한 사용자는 Bitlocker를 설정할 때 256 비트 암호화를 지정할 수 있음).
이러한 유형의 보호는 얼마나 안전합니까?? 만약 너라면’RE TPM 보호 (나중에 자세히 설명)는 매우 안전합니다. AES 알고리즘 자체만큼 안전합니다 (Layman View, 128 비트 또는 256 비트 암호화는 똑같이 강력합니다).
그러나 컴퓨터에서 Bitlocker를 활성화 한 경우 TPM없이, 그런 다음 Bitlocker 암호화가 설정 한 비밀번호만큼 안전합니다. 이러한 이유로 합리적으로 강하고 합리적으로 길고 절대적으로 고유 한 비밀번호를 지정하십시오.
전체 컴퓨터가 도난당했습니다
전체 컴퓨터가 도난당한 경우 데이터의 보안은 사용중인 Bitlocker 보호 유형과 Windows 비밀번호의 강도에 따라 다릅니다. 가장 편리한 방법은 “TPM 만” (나중에 더 자세히); Windows에 로그인하기 전에 컴퓨터가 하드 드라이브를 해독하기 때문에 이것은 가장 안전한 방법입니다.
사용중인 경우 “TPM 만” 보호 정책, Windows 계정 비밀번호 (또는 Microsoft 계정 비밀번호를 아는 사람은 Windows 10 로그인으로 Microsoft 계정을 사용하는 경우) 데이터를 잠금 해제 할 수 있습니다.
TPM + 핀은 훨씬 더 안전합니다. 어떤면에서, 그것은 실제로 베어 하드 드라이브만큼 안전합니다.
TPM 또는 Intel PTT가 설치되지 않은 Bitlocker Protection을 설정하면’비밀번호를 사용해야합니다. 이 경우 데이터는 비밀번호만큼 안전합니다. Bitlocker는 Brute-Force 공격 속도를 늦추도록 설계되었으므로 8-character 암호조차도 데이터를 안전하게 보호 할 수 있습니다.
같은 컴퓨터의 다른 사용자
누군가가 컴퓨터에 로그인하여 계정에 액세스 할 수 있다면 디스크 볼륨이 이미 해독되었습니다. Bitlocker는 피어 컴퓨터 사용자로부터 보호하지 않습니다.
맬웨어/랜섬웨어 및 온라인 위협
Bitlocker는 맬웨어, 랜섬웨어 또는 온라인 위협으로부터 데이터를 보호하기 위해 아무것도하지 않습니다.
다시 말해, Bitlocker는 하드 드라이브 제거로부터 데이터를 보호 할 때 훌륭합니다. 그것’당신이 당신이 당신의 하드 드라이브를 판매하거나 RMA에 데이터를 보호하고 싶다면 완벽합니다. 그것’전체 컴퓨터가 도난당한 경우 데이터를 보호 할 때 (정책에 따라) 다소 덜 효과적입니다. 이거 야; 다른 사용 사례는 적용되지 않습니다.
시스템 요구 사항
우리 대부분은 익숙합니다 “시스템 요구 사항” 단순한 형식이됩니다. Bitlocker의 경우에는 해당되지 않습니다. Bitlocker로 부팅 장치를 보호하려면 Windows 10 Professional 이상을 실행해야합니다. Windows 10 Home은 지원하지 않습니다 Bitlocker 시스템 암호화.
일을 더 혼란스럽게 만들기 위해 Microsoft는 지원합니다 Bitlocker 장치 보호 Windows 10 Home이있는 장치에서도. 효과적으로 이것은 동일한 암호화입니다. Bitlocker 장치 보호는 얇고 가벼운 장치에서 사용할 수 있습니다 (E.g. Microsoft Surface) 연결된 대기 지원 및 고체 스토리지가 장착 된 지원. 이러한 장치에는 TPM2가 장착되어 있어야합니다.0 모듈 또는 인텔 PTT 기술.
TPM2와 함께 Windows 10 Professional 이상을 사용하는 경우.0 또는 Intel PTT, BitLocker를 곧바로 활성화 할 수 있습니다. 그러나 대부분의 컴퓨터는 TPM 모듈이 장착되어 있지 않으며 새로운 세대 컴퓨터 만 (Intel 8 and 9 Th Gen 마더 보드를 생각하십시오. 일부 고급 마더 보드는 구형 프로세서를 사용하여 인텔 PTT를 지원할 수 있음) 인텔 플랫폼 신뢰 기술을 지원합니다. Intel PTT는 기본적으로 BIOS에서도 활성화되지 않습니다. Bitlocker Protection에 사용할 수있는 것을 수동으로 활성화해야합니다.
여기’기가 바이트 Z390 보드 (최신 BIOS)에서 인텔 PTT를 활성화하는 방법 :
또는 하드웨어 보호 모듈없이 Bitlocker를 활성화하기 위해 그룹 정책 편집을 수행 할 수 있습니다.
컴퓨터가 요구 사항을 충족하는 경우 (즉, 하드웨어 TPM2의 존재.0 모듈 또는 소프트웨어 기반 Intel Platform Trust Technology), 컴퓨터에서 Bitlocker를 활성화하는 것은 제어판을 열고 Bitlocker Drive 암호화 애플릿을 시작하는 것만 큼 쉽습니다. Windows 10의 모든 판이 Bitlocker Protection을 사용할 수있는 것은 아닙니다.
클릭하면 “Bitlocker를 켭니다”, Windows는 에스크로 키 (Bitlocker Recovery Key)를 생성하라는 메시지가 표시됩니다. 그렇게하는 것이 좋습니다. 균형 잡히면 Microsoft 계정에 복구 키를 저장하는 것은 대부분의 주택 사용자에게 충분한 옵션 일 수 있으며 직원은 회사에 복구 키를 저장합니다’S Active Directory. 키를 파일에 저장하거나 인쇄하는 것은 개인 금고 상자만큼 많은 보안을 제공하는 유효한 옵션입니다.
Bitlocker 드라이브 암호화와 달리 장치 암호화로 얇고 가벼운 장치 (예 : Windows 태블릿 및 Ultrabooks)를 보호 할 수 있습니다. 알고리즘은 본질적으로 동일합니다. 그러나 호환성 요구 사항은 다릅니다. Windows 10 에디션을 실행하는 얇고 가벼운 장치에 장치 암호화를 사용할 수 있으며 Bitlocker Drive 암호화는 Windows 10 Home 사용자가 사용할 수 없습니다. 보호 할 데이터가 있으면’LL Windows 10 Professional에 대한 업그레이드에 대한 수수료를 지불해야합니다.
이미 Windows 10 Professional이 있지만 돈이 있다면’t 하드웨어 tpm2가 있습니다.0 모듈? 인텔 칩 세트를 기반으로 최신 보드 중 하나를 사용하는 경우 인텔 플랫폼 트러스트 기술 (인텔 PTT 및 더 나은 보안을 위해 Bitlocker를 활성화하는 방법)을 활성화하거나 다음 그룹 정책 편집을 수행하여 Bitlocker를 활성화 할 수 있습니다
- 개방형 그룹 정책 편집기 (유형 gpedit.Windows 검색 창에 MSC)
- 지역 컴퓨터 정책> 컴퓨터 구성> 관리 템플릿> Windows 구성 요소> Bitlocker Drive 암호화> 운영 체제 드라이브
- 편집 시작시 추가 인증이 필요합니다 정책
- 정책을 설정하십시오 활성화 그리고 확인 호환 TPM없이 Bitlocker를 허용하십시오 스크린 샷에 표시된대로
정책에 관해 말하면, Bitlocker.
- TPM 만. 시스템이 로그인 프롬프트에 부팅됩니다. 데이터는 TPM (또는 Intel PTT) 모듈에 저장된 키로 해독됩니다. 이것은 하드 드라이브를 효과적으로 보호하는 가장 편리한 옵션이지만 침입자가 전체 시스템에 액세스 할 수있는 경우 약한 보호 기능을 제공합니다 (TPM 및 하드 드라이브가있는 컴퓨터).
- TPM + 핀. 이 모드에서 TPM 모듈은 사전 부팅 단계에서 PIN 코드를 올바르게 입력하면 암호화 키 만 릴리스됩니다. 핀 코드가 짧지 만 잘못된 핀을 여러 번 입력하면 TPM이 공황 상태로 만들고 암호화 키에 대한 블록 액세스. 이 옵션은 아마도 보안과 편의성 사이의 최상의 균형을 제공합니다 “당신이 가진 것” (TPM 모듈) “당신이 아는 것” (핀 코드). 동시에이 옵션은 다중 사용자 환경에서 편리하지 않을 수 있습니다.
- TPM + USB 키. 이 옵션은 시스템이 부팅하려면 TPM과 USB 플래시 드라이브 (또는 CCID 스마트 카드)가 모두 있어야합니다.
- TPM + PIN + USB 키. 이름에서 알 수 있듯이이 옵션에는 컴퓨터를 부팅하려면 TPM, PIN 코드 및 USB 키/스마트 카드가 모두 필요합니다. 이것은 아마도 가장 안전한 옵션이지만 편의성과 안정성 감소를 고려하면 TPM + PIN 옵션에 비해 추가 보안 이점이 거의 없습니다 (귀하’USB 키 또는 스마트 카드가 손실되거나 손상되면 복구 키를 사용해야합니다.
- USB 키. 이 옵션은 컴퓨터가 TPM 모듈이 장착되어 있지 않고 Intel PTT를 지원하지 않는 경우에만 권장됩니다.
- 비밀번호 만. 이전 옵션과 마찬가지로, “비밀번호 만” 인증은 TPM 또는 Intel PTT를 사용할 수있는 경우에만 사용해야합니다. 주목하십시오 “비밀번호” 옵션은 다음과 같습니다 “핀” TPM이없는 비밀번호 시도 수에는 시행 가능한 제한이 없으므로 암호에 대한 무차별 적 공격을 허용합니다.
고급 사용자 및 시스템 관리자는 Microsoft Knowledge Base의 Bitlocker Group 정책 설정을 참조 할 수 있습니다.
물리적 추출에 대한 데이터를 확보 할 때 어떤 경고가 있습니까?? 문제는 Bitlocker가 Bare Drive를 보호하기위한 거의 100% 효과적인 솔루션이지만 침입자가 하드 드라이브가 설치된 상태에서 전체 컴퓨터에 액세스 할 수있는 경우 안전하지 않을 수 있습니다. 컴퓨터에 TPM2가 장착되어 있어도.0/Intel PTT 모듈, 보안 부팅 조건이 충족되면 Windows가 암호화 된 하드 드라이브를 계속 잠금 해제합니다. 이로 인해 침입자가 날개 내 Bitlocker 암호화 키를 가로 채고 하드 드라이브를 해독 할 수있는 수많은 공격 벡터가 열립니다. 이러한 공격 벡터는 다음과 같습니다
- Bitlocker 볼륨 (S) 장착 된 실행중인 컴퓨터의 RAM 이미지 만들기. 이것은 Thunderbolt 공격 (기본적으로 Windows, 잠금시 Thunderbolt DMA 액세스를 비활성화하지 않음) 또는 콜드 부트 공격을 통해 수행 할 수 있습니다.
- Windows 로그온 비밀번호 분해 또는 추출 (e.g. Google 계정, 스마트 폰 또는 로그인하여 데이터를 동기화 한 다른 컴퓨터에서 추출).
- Microsoft 계정 또는 Active Directory에서 Bitlocker 복구 키 얻기.
고급 사용자 및 시스템 관리자는 Bitlocker 볼륨을 보호하기 위해 다음 안내서를 읽을 수 있습니다 : Bitlocker 복구 안내서
결론
부팅 장치를 보호하지 않으면 안정적인 데이터 보호가 불가능합니다. Bitlocker는 완벽한 선택입니다. 그것’S 안전하고 편리하며 고도로 구성 가능하여 보안 및 편의성을 정확한 요구 사항에 맞출 수 있습니다. 데이터의 보안에 관심이있는 경우 Bitlocker로 부팅 장치를 보호하는 것은 절대적으로 필수 단계와 가장 중요한 보안 계층.
Bitlocker 뒷문 – TPM 전용 : 도난당한 노트북에서 회사 네트워크 내부까지
Bitlocker Drive 암호화는 운영 체제와 통합되어 손실, 도난 또는 부적절하게 해체 된 컴퓨터의 데이터 도난 또는 노출의 위협을 해결하는 데이터 보호 기능입니다. 분실되거나 도난당한 컴퓨터의 데이터는 소프트웨어 공격 도구를 실행하거나 컴퓨터를 전송하여 무단 액세스에 취약합니다’다른 컴퓨터에 대한 하드 디스크. Bitlocker는 파일 및 시스템 보호를 향상시켜 무단 데이터 액세스를 완화하는 데 도움이됩니다. Bitlocker는 또한 Bitlocker로 보호 된 컴퓨터가 해체되거나 재활용 될 때 데이터에 액세스 할 수없는 렌더링을 돕습니다. Mac 장치 및 Bitlocker Drive 암호화 아키텍처 및 구현 시나리오에서 FileVault 디스크 암호화 활성화 방법에 대한 다음 안내서를 참조하십시오. 보고 싶을 수도 있습니다 “PBA /없는 PBA, UEFI, 보안 부팅, 바이오스, 파일 및 디렉토리 암호화 및 컨테이너 암호화를 통한 전체 디스크 암호화에 대한 통찰력”, Windows 10 및 가상 머신에서 Bitlocker 드라이브 암호화를 활성화 또는 비활성화하는 방법.
그만큼 tpm-onlY 모드는 컴퓨터를 사용합니다’핀 인증이없는 S TPM 보안 하드웨어. 즉, 사용자는 Windows 사전 부팅 환경에서 핀을 제출하지 않고 컴퓨터를 시작할 수 있습니다 TPM+핀 모드는 컴퓨터를 사용합니다’S TPM 보안 하드웨어 및 인증으로 핀. 사용자는 컴퓨터가 시작될 때마다 Windows 사전 부팅 환경 에서이 핀을 입력해야합니다. TPM+핀은 준비된 TPM이 필요하며 시스템의 GPO 설정은 TPM+핀 모드를 허용해야합니다.
이것은 공격자가 조직에 액세스 할 수 있는지 확인하기 위해 Dolos Group의 보안 전문가의 최근 연구입니다’도난 장치의 네트워크와 측면 네트워크 이동을 수행합니다. 그들은이 조직의 표준 보안 스택으로 전제 된 Lenovo 노트북을 전달했습니다. 노트북, 테스트 자격 증명, 구성 세부 사항 등에 대한 사전 정보가 없습니다. 그들은 그것이 100% 블랙 박스 테스트라고 말했습니다. 일단 장치를 잡으면 직접 작업하기 위해 직접 향하고 노트북 (BIOS 설정, 정상적인 부팅 작업, 하드웨어 세부 사항 등)의 정찰을 수행하고 많은 모범 사례가 따르고 많은 일반적인 공격을 무효화하고 있음을 언급했습니다. 예를 들어:
- PCIEECH/DMA 공격은 인텔 때문에 차단되었습니다’S VT-D BIOS 설정이 활성화되었습니다.
- 모든 BIOS 설정은 비밀번호로 고정되었습니다.
- USB 또는 CD에서 부팅을 방지하기 위해 BIOS 부츠 주문이 잠겨 있습니다.
- Secure Boot은 완전히 활성화되어 서명되지 않은 운영 체제를 방지했습니다.
- Kon-Boot Auth 바이 패스는 전체 디스크 암호화로 인해 작동하지 않았습니다.
- USB 이더넷 어댑터를 통한 Lan Turtle 및 기타 응답자 공격은 사용 가능한 것이 없습니다.
- SSD는 Microsoft를 사용하여 전체 디스크 암호화 (FDE)입니다’S Bitlocker, 신뢰할 수있는 플랫폼 모듈 (TPM)을 통해 확보
다른 일이 작동하지 않으면 서 TPM을 살펴 봐야했고 정찰에서 노트북이 Windows 10 로그인 화면에 직접 부츠를 부팅한다는 것을 알았습니다. 이것은 TPM 전용 구현입니다.
Bitlocker 암호화와 함께 드라이브 암호 해독 키가 TPM에서만 가져 오는 것을 의미합니다. Bitlocker의 기본값 인 사용자가 제공하는 핀 또는 비밀번호가 필요하지 않습니다. TPM 전용 사용의 장점은 두 번째 요소 (PIN + 암호)의 사용을 제거하여 사용자가 장치를 암호화하는 데 사용하도록 설득하는 것입니다. 그룹 정책을 통해 Bitlocker 사전 부팅 인증을 활성화하는 방법을보고 싶을 수도 있습니다.
그들은 그것을 말했습니다 암호 또는 핀과 같은 추가 보안 소개 이 공격을 방해했을 것입니다.
– 즉, 비밀번호와 함께 TPM + PIN 또는 TPM을 사용하는 것이 좋습니다. 즉, 핀을 사용하면 모든 형태의 공격을 거의 제거하고 장치가 켜질 때마다 장치가 TPM에서 키를 잡지 않습니다. 드라이브를 잠금 해제하려면 추가 핀이 필요하므로 핀이 없으면이 안내서에 설명 된대로 창을 부팅 할 수 없습니다. 그러나 그것은’일부 사용자가 눈에 띄게 찾을 수있는 또 다른 인증 계층.프리 로곤과 함께 VPN을 사용하는 사람들의 경우 장치에 액세스 한 후 액세스 할 필요없이 장치에 액세스 할 수 있으므로 네트워크 내에서 많은 측면 이동이 발생할 수 있습니다.
요약: TPM은 매우 안전하고 공격은 거의 불가능합니다. 결함은 Bitlocker입니다. TPM 2의 암호화 된 통신 기능을 사용하지 않습니다.0 표준, 이는 TPM에서 나오는 모든 데이터가 Windows의 암호 해독 키를 포함하여 일반 텍스트로 나오는 것을 의미합니다. 공격자가 해당 키를 잡으면 드라이브를 해독하고 VPN 클라이언트 구성에 액세스하고 내부 네트워크에 액세스 할 수 있어야합니다.
이것이 고정 될 때까지, TPM + 핀 또는 비밀번호를 사용하는 것이 좋습니다. 이 안내서는 Bitlocker PIN 바이 패스 구성에 도움이됩니다. Windows에서 네트워크 잠금 해제를 구성하는 방법. Microsoft Bitlocker 관리 및 모니터링 도구를 배포하는 방법을 배우고 싶을 수도 있습니다.
이 블로그 게시물이 도움이 되었기를 바랍니다. 궁금한 점이 있으면 의견 세션에서 알려주십시오.
