BitLocker-Gegenmaßnahmen

Betriff:

  • Windows 10

Windows verwendet Technologien, einschließlich Trusted Platform Module (TPM), sicherer Start und kontrollierter Start, um die BitLocker-Verschlüsselungsschlüssel vor Angriffen zu schützen. BitLocker ist Teil einer strategischen Ansatz zum Schutz von Daten vor offline-Angriffen durch die Verschlüsselung. Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig. Angenommen, es unter Umständen nicht autorisierten Zugriff durch Ausführen einer Software-Angriff Softwareangriffstools oder durch die Festplatte des Computers auf einen anderen Computer übertragen.

BitLocker hilft dabei, nicht autorisierten Datenzugriff auf verloren gegangenen oder gestohlenen Computern zu verringern, bevor das autorisierten Betriebssystem von gestartet wird:

  • Verschlüsselung von Volumes auf Ihrem Computer. Beispielsweise können Sie BitLocker für Ihr Betriebssystem-Volume oder ein Volume auf ein Datenlaufwerk oder Wechseldatenträgern aktivieren (z. B. einem USB-Speicherstick Laufwerk, SD-Karte, usw.). Aktivieren von BitLocker für Ihre Betriebssystemvolume verschlüsselt alle Systemdateien auf dem Volume, einschließlich der Auslagerungsdateien und Ruhezustandsdateien. Die einzige Ausnahme ist für die Systempartition, einschließlich der Windows-Start-Manager, und minimaler Start Materialien erforderlich für die Entschlüsselung von das Betriebssystemvolume nach den Schlüssel des nicht versiegelten ist.
  • Gewährleistet die Integrität der vorrangigen Startkomponenten und Startkonfigurationsdaten. BitLocker verwendet die erweiterte Sicherheitsfunktionen des TPM auf Geräten mit TPM-Version 1.2 oder höher, um Daten zugänglich zu machen, nur dann, wenn BIOS-Firmware-Code und die ursprüngliche Startsequenz-Konfiguration des Computers Komponenten starten und alle BCD-Konfiguration unveränderten angezeigt, und die verschlüsselte Festplatte befindet sich im ursprünglichen Computer. Auf Systemen, die TPM-PCR [7] nutzen, dürfen ändert sich die BCD-Einstellung als sicher eingeschätzt Verwendbarkeit verbessern.

In den nächsten Abschnitten enthalten weitere Details darüber, wie Windows vor verschiedenen Angriffen auf die BitLocker-Verschlüsselungsschlüssel in Windows 10, Windows 8.1 und Windows 8 schützt.

Weitere Informationen dazu, wie Sie die bestmögliche Sicherheit insgesamt-Konfiguration für Geräte, die ab Windows 10, Version 1803 zu aktivieren finden Sie unter Standards für ein hochsicheres Windows 10-Gerät.

Schutz vor dem Start

Bevor Windows gestartet wird, müssen Sie auf Sicherheitsfeatures, die als Teil der Gerätehardware und die Firmware, einschließlich TPM und den sicheren Start implementiert verlassen. Glücklicherweise verfügen über viele moderne Computer ein TPM und den sicheren Start.

Trusted Platform Module

Ein TPM ist ein Mikrochip, der grundlegende sicherheitsbezogene Funktionen bereitstellt, hauptsächlich unter Einbeziehung von Verschlüsselungsschlüsseln. Auf manchen Plattformen kann TPM Alternativ als Teil des sicheren Firmware implementiert werden. BitLocker bindet Verschlüsselungsschlüssel mit dem TPM, um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war. Weitere Informationen zum TPM finden Sie unter Trusted Platform Module.

UEFI und sicherer Start

Unified Extensible Firmware Interface (UEFI) ist eine programmierbare Boot-Umgebung, die Geräte und das Startladeprogramm des Betriebssystems.

Die UEFI-Spezifikation definiert ein Firmware-Authentifizierung Ausführungsprozess namens "Sicherer Start". Secure Boot blockiert nicht vertrauenswürdige Firmware und startladeprogrammen (mit oder ohne Vorzeichen) auf dem System gestartet wird.

BitLocker bietet Schutz der Integrität für den sicheren Start standardmäßig durch Nutzung der Messung TPM-PCR [7]. Eine nicht autorisierte EFI-Firmware, EFI-Boot-Anwendung oder Startladeprogramm kann nicht ausgeführt und den BitLocker-Schlüssel zu erwerben.

BitLocker und Zurücksetzen Angriffe

Um schädlichen zurücksetzen Angriffe zu verteidigen, nutzt BitLocker die TCG zurücksetzen-Angriffen, auch bekannt als MOR-Bit (Speicher überschreiben Anforderung), vor dem Extrahieren Schlüssel in den Arbeitsspeicher.

Hinweis

Dies nicht vor physischen Angriffen geschützt, in denen Angreifer öffnet die Groß-/Kleinschreibung und die Hardware-Angriffe.

Sicherheitsrichtlinien

In den nächsten Abschnitten behandelt die Authentifizierung vor dem Start und DMA-Richtlinien, die zusätzlichen Schutz für BitLocker bereitstellen können.

Pre-Boot-Authentifizierung

Pre-Boot-Authentifizierung mit BitLocker ist eine richtlinieneinstellung, die erfordert die Verwendung von entweder Benutzereingaben, z. B. eine PIN, einen Systemstartschlüssel oder beides zu authentifizieren, bevor Sie den Inhalt des Systemlaufwerks zugänglich machen. Die Gruppenrichtlinien-Einstellung ist zusätzlichen Authentifizierung beim Start anfordern , und die entsprechende Einstellung in der BitLocker-CSP ist SystemDrivesRequireStartupAuthentication.

BitLocker zugreift und speichert die Verschlüsselungsschlüssel im Arbeitsspeicher, nur nach Abschluss der Authentifizierung vor dem Start. Wenn Windows die Verschlüsselungsschlüssel zugreifen können, wird das Gerät kann nicht lesen oder bearbeiten Sie die Dateien auf dem Systemlaufwerk. Die einzige Möglichkeit zum umgehen Pre-Boot-Authentifizierung wird den Wiederherstellungsschlüssel eingeben.

Pre-Boot-Authentifizierung wurde entwickelt, um zu verhindern, dass die Verschlüsselungsschlüssel Systemspeicher geladen wird, ohne dass des vertrauenswürdigen Benutzers eine andere authentifizierungsfaktor, z. B. eine PIN oder ein Systemstartschlüssel bereitgestellt. Dies hilft dabei, DMA und Arbeitsspeicher Remanenz Angriffe zu verringern.

Auf Computern mit einem kompatiblen TPM können BitLocker geschützte Betriebssystemlaufwerke auf vier Arten entsperrt werden:

  • Nur TPM. Mit nur TPM-Überprüfung ist eine weitere Interaktion mit dem Benutzer zum Entsperren und ermöglichen den Zugriff auf das Laufwerk nicht erforderlich. Wenn der TPM-Überprüfung erfolgreich ist, wird den Benutzer Anmeldevorgang identisch mit einer standard-Anmeldung. Wenn das TPM fehlt oder geändert wird oder wenn BitLocker Änderungen an der BIOS- oder UEFI-Code oder Konfiguration, Startdateien kritische Betriebssystems oder der Startkonfiguration erkennt, BitLocker im Wiederherstellungsmodus wechselt, und der Benutzer muss ein Wiederherstellungskennwort, um wieder Zugriff erhält eingeben auf die Daten. Diese Option ist einfacher, melden Sie sich jedoch weniger sicher als die anderen Optionen, die einen zusätzlichen authentifizierungsfaktor erfordern.
  • TPM mit Systemstartschlüssel. Neben der Schutz, den der nur TPM bietet, ist Teil der Verschlüsselungsschlüssel auf einem USB-Speicherstick, als einen Systemstartschlüssel bezeichnet gespeichert. Daten auf dem verschlüsselten Volume können nicht ohne den Systemstartschlüssel zugegriffen werden.
  • TPM mit PIN. Neben der Schutz, den das TPM bietet, muss für BitLocker, dass der Benutzer eine PIN eingeben. Daten auf dem verschlüsselten Volume können nicht zugegriffen werden, ohne Eingabe der PIN. TPMs haben auch Anti-hammering-Schutz , die entwickelt wurde, um brute-Force-Angriffe zu verhindern, die versuchen, die PIN zu ermitteln.
  • TPM mit Systemstartschlüssel und PIN. Neben der Schutz der Core-Komponente, den die nur TPM bietet, Teil der Verschlüsselungsschlüssel auf einem USB-Laufwerk gespeichert, und eine PIN ist erforderlich, um den Benutzer an das TPM zu authentifizieren. Diese Konfiguration bietet mehrstufige Authentifizierung, wenn der USB-Stick verloren geht oder gestohlen wird, es für den Zugriff auf das Laufwerk verwendet werden kann, da die richtige PIN auch erforderlich ist.

Im folgenden Beispiel Gruppenrichtlinien ist TPM + PIN erforderlich, um ein Betriebssystem-Laufwerk zu entsperren:

Vorabstart Authentifizierung in "Gruppenrichtlinie"

Pre-Boot-Authentifizierung mit einer PIN kann Angriffsmittel für Geräte zu verringern, die ein startbares EDer verwenden, da ein Bus verfügbar gemachten EDer ein BitLocker-Verschlüsselungsschlüssel während des Starts erfassen Angreifer kann. Pre-Boot-Authentifizierung mit einer PIN kann auch DMA-Port des Zeitfensters der Zeit zwischen Angriffe Wenn BitLocker das Laufwerk entsperrt und Windows gestartet wird, bis zu dem Punkt, den Windows-Port-bezogene Richtlinien festlegen können, die konfiguriert wurden.

Andererseits, können Authentifizierung vor dem Start-Anweisungen für Benutzer sehr umständlich sein. Darüber hinaus sind Benutzer, die ihre PIN vergessen oder verlieren ihren Systemstartschlüssel Zugriff auf ihre Daten verweigert, bis sie ihrer Organisation Support-Team, um ein Wiederherstellungsschlüssel abrufen kontaktieren können. Pre-Boot-Authentifizierung kann auch erschweren unbeaufsichtigte Desktops und Remote verwaltete Server zu aktualisieren, da eine PIN muss eingegeben werden, wenn ein Computer wird neu gestartet oder aus dem Ruhezustand fortgesetzt wird.

Um diese Probleme zu beheben, können Sie den BitLocker-Netzwerkentsperrungbereitstellen. Die Netzwerkentsperrung ermöglicht Systeme innerhalb des physischen Unternehmens Sicherheit geschützt, die die Hardware erfüllt und BitLocker aktiviert mit TPM und PIN ohne Eingreifen des Benutzers in Windows gestartet haben. Direkte Ethernet-Verbindung zu einem Unternehmen (Windows Deployment Services, WDS)-Server erfordert.

Schutz von Thunderbolt und andere DMA-ports

Es gibt verschiedene Optionen zum Schutz der DMA-Ports, z. B. Thunderbolt™ 3. Beginnend mit Windows 10, Version 1803, verfügen über neue Intel-basierte Geräte Kernel-Schutz vor DMA-Angriffen über Thunderbolt™ 3-Ports standardmäßig aktiviert. Dieser Kernel-DMA-Schutz ist nur für neue Systeme, die ab Windows 10, Version 1803, verfügbar, da Änderungen in der Systemfirmware bzw. BIOS erforderlich ist.

Die Systeminformationen-desktop-app (MSINFO32) können Sie überprüfen, ob ein Gerät Kernel-DMA-Schutz aktiviert ist:

Kernel-DMA-Schutz

Wenn Kernel-DMA-Schutz nicht aktiviert ist, befolgen Sie diese Schritte zum Schutz von Ports für Thunderbolt™ 3 enabled:

  1. Anfordern eines Kennworts für BIOS-Änderungen
  2. Intel Thunderbolt Sicherheit müssen Benutzer Autorisierung im BIOS-Einstellungen festgelegt werden. Finden Sie in Intel Thunderbolt™ 3 und Sicherheit auf Microsoft Windows® 10-Betriebssystem-Dokumentation
  3. Durch die Bereitstellung von Gruppenrichtlinien (beginnend mit Windows 10 Version 1607) werden möglicherweise zusätzlicher DMA-Sicherheit hinzugefügt:

Für Thunderbolt v1 und v2 (DisplayPort-Anschluss), finden Sie im Abschnitt "Thunderbolt Gegenmaßnahme" in KB 2516445. Für SBP2- und 1394 (auch bekannt als FireWire), finden Sie im Abschnitt "SBP2-Gegenmaßnahme" in KB 2516445.

Angriff Gegenmaßnahmen

Dieser Abschnitt behandelt Gegenmaßnahmen für bestimmte Arten von Angriffen.

Bootkits und rootkits

Ein Angreifer physisch vorhanden möglicherweise versuchen, eine Bootkit oder eine ähnliche Rootkit Softwarekomponente in der Kette Start in ein Versuch, die BitLocker-Schlüssel zu stehlen installieren. Das TPM sollte diese Installation über PCR-Messungen beobachten und der BitLocker-Schlüssel werden nicht veröffentlicht. Dies ist die Standardkonfiguration.

Ein BIOS-Kennwort wird Defense-in-Depth im Fall, dass ein BIOS Einstellungen verfügbar macht, die die BitLocker-Sicherheit Zusage Schwächen möglicherweise empfohlen. Start-Guard Intel und AMD Hardware überprüft Start unterstützen eine stärkere Implementierungen von "Sicherer Start", die zusätzliche Zertifizierungstest vor Malware und physische Angriffe bereitstellen. Start-Guard Intel und AMD Hardware überprüft Start sind Teil der Plattform Start Überprüfung Standards für ein hochsicheres Windows 10-Gerät.

Brute-Force-Angriffe auf eine PIN

Erfordern Sie TPM + PIN für Anti-hammering-Schutz.

DMA-Angriffen

Weiter oben in diesem Thema finden Sie unter den Schutz von Thunderbolt und andere DMA-Ports .

Auslagerungsdatei, Absturzabbild und Hyberfil.sys Angriffe

Diese Dateien werden auf einem verschlüsselten Datenträger standardmäßig gesichert, wenn BitLocker auf Betriebssystem-Laufwerken aktiviert ist. Es kann außerdem automatische oder manuelle Versuche, die Auslagerungsdatei verschieben.

Arbeitsspeicher Remanenz

Aktivieren von "Sicherer Start", und eines Kennworts BIOS-Einstellungen zu ändern. Konfigurieren Sie für Kunden angeboten, Schutz gegen diese fortgeschrittene Angriffe ein TPM + PIN-Schutz, Standby-energieverwaltung, deaktivieren und heruntergefahren oder das Gerät in den Ruhezustand, bevor sie das Steuerelement von einem autorisierten Benutzer verlässt.

Angreifer Gegenmaßnahmen

In den folgenden Abschnitten behandelt Gegenmaßnahmen für verschiedene Arten von Angreifern.

Angreifer ohne viel Qualifikation oder mit eingeschränkten physischen Zugriff

Physischen Zugriff kann von einem Formfaktor eingeschränkt werden, die keine Busse und Speicher verfügbar macht. Beispielsweise stehen keine externen DMA-fähigen Anschlüsse, keine verfügbar gemachten Schrauben im Gehäuse öffnen und Arbeitsspeicher ist auf der Hauptplatine getrennt aufgelötet. Diese Angreifer Gelegenheit verwendet nicht destruktive Methoden oder ausgeklügelte Forensik Hardware und Software.

Gegenmaßnahmen:

  • Pre-Boot-Authentifizierung festgelegt, um nur TPM (Standard)

Angreifer mit Qualifikation und langwierige physischen Zugriff

Gezielte Angriffe mit viel Zeit; Diese Angreifer öffnet den Fall, wird Gelötete und komplexen Hardware oder Software verwenden.

Gegenmaßnahmen:

  • Pre-Boot-Authentifizierung festgelegt, TPM mit einem PIN-Schutz (mit einer komplexen alphanumerische PIN, um die TPM-Anti-hammering-Gegenmaßnahme zu).

    • Und -
  • Standby-energieverwaltung deaktivieren und Herunterfahren oder das Gerät in den Ruhezustand, bevor sie das Steuerelement von einem autorisierten Benutzer verlässt. Dies kann mithilfe von Gruppenrichtlinien festgelegt werden:

    • Computerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Datei-Explorer | Anzeigen, die in den Ruhezustand im Menü "Power Optionen"
    • Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Energieverwaltung | Standbymoduseinstellungen | Standbyzustände (S1-S3) im Ruhezustand (bei Netzbetrieb)
    • Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Energieverwaltung | Standbymoduseinstellungen | Standbyzustände (S1-S3) im Ruhezustand (bei Akkubetrieb) zulassen

Diese Einstellungen sind in der Standardeinstellung nicht konfiguriert .

Für einige Systeme, die nur TPM Mai umgehen erfordern, öffnen den Fall und Lötarbeiten erfordern, aber möglicherweise für eine angemessene Kosten durchgeführt werden konnte. Ein TPM mit einem PIN-Schutz umgehen würde viel mehr Kosten und Brute Erzwingen der PIN erforderlich. Mit einer komplexen erweiterten PIN kann es jedoch fast unmöglich sein. Die Gruppenrichtlinien-Einstellung für Erweiterte PIN ist:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker Drive Encryption | Betriebssystemlaufwerke | Erweiterte PINs für Systemstart zulassen

Diese Einstellung ist standardmäßig nicht konfiguriert .

Für sichere administrative Arbeitsstationen Microsoft empfiehlt TPM mit PIN-Schutz und Standbymodus energieverwaltung deaktivieren und heruntergefahren oder Ruhezustand versetzt das Gerät.

Weitere Informationen: