Contromisure per BitLockerBitLocker Countermeasures

Si applica aApplies to

  • Windows 10Windows10

Windows usa le tecnologie tra cui Trusted Platform Module (TPM), Secure Boot e l'avvio misurato per proteggere le chiavi di crittografia di BitLocker dagli attacchi.Windows uses technologies including Trusted Platform Module (TPM), Secure Boot, and Measured Boot to help protect BitLocker encryption keys against attacks. BitLocker fa parte di un approccio strategico per proteggere i dati dagli attacchi offline tramite la tecnologia di crittografia.BitLocker is part of a strategic approach to securing data against offline attacks through encryption technology. I dati in un computer smarrito o rubato sono vulnerabili.Data on a lost or stolen computer is vulnerable. Ad esempio, l'accesso non autorizzato può essere eseguito eseguendo uno strumento di attacco software o trasferendo il disco rigido del computer in un altro computer.For example, there could be unauthorized access, either by running a software attack tool against it or by transferring the computer’s hard disk to a different computer.

BitLocker aiuta a mitigare l'accesso non autorizzato ai dati in computer smarriti o rubati prima che il sistema operativo autorizzato venga avviato da:BitLocker helps mitigate unauthorized data access on lost or stolen computers before the authorized operating system is started by:

  • Crittografia dei volumi nel computer.Encrypting volumes on your computer. Ad esempio, è possibile attivare BitLocker per il volume del sistema operativo oppure un volume in un'unità dati fissa o rimovibile, ad esempio un'unità flash USB, una scheda SD e così via.For example, you can turn on BitLocker for your operating system volume, or a volume on a fixed or removable data drive (such as a USB flash drive, SD card, and so on). L'attivazione di BitLocker per il volume del sistema operativo crittografa tutti i file di sistema nel volume, inclusi i file di paging e i file di sospensione.Turning on BitLocker for your operating system volume encrypts all system files on the volume, including the paging files and hibernation files. L'unica eccezione è per la partizione di sistema, che include Windows Boot Manager e garanzia di avvio minima necessaria per la decrittografia del volume del sistema operativo dopo la chiusura della chiave.The only exception is for the System partition, which includes the Windows Boot Manager and minimal boot collateral required for decryption of the operating system volume after the key is unsealed.
  • Garantire l'integrità dei componenti di avvio iniziali e dei dati di configurazione di avvio.Ensuring the integrity of early boot components and boot configuration data. Nei dispositivi con TPM versione 1,2 o successiva, BitLocker usa le funzionalità di sicurezza avanzate del TPM per rendere accessibili i dati solo se il codice e la configurazione del firmware del BIOS del computer, la sequenza di avvio originale, i componenti di avvio e la configurazione di BCD sono tutti vengono visualizzati inalterati e il disco crittografato si trova nel computer originale.On devices that have a TPM version 1.2 or higher, BitLocker uses the enhanced security capabilities of the TPM to make data accessible only if the computer’s BIOS firmware code and configuration, original boot sequence, boot components, and BCD configuration all appear unaltered and the encrypted disk is located in the original computer. Nei sistemi che sfruttano la PCR TPM [7], le modifiche apportate all'impostazione di BCD ritenute sicure possono migliorare l'usabilità.On systems that leverage TPM PCR[7], BCD setting changes deemed safe are permitted to improve usability.

Nelle sezioni successive sono disponibili altri dettagli su come Windows protegge da diversi attacchi alle chiavi di crittografia di BitLocker in Windows 10, Windows 8,1 e Windows 8.The next sections provide more details about how Windows protects against various attacks on the BitLocker encryption keys in Windows 10, Windows 8.1, and Windows 8.

Per altre informazioni su come abilitare la migliore configurazione di sicurezza complessiva per i dispositivi che iniziano con Windows 10 versione 1803, vedere standard per un dispositivo Windows 10 altamente sicuro.For more information about how to enable the best overall security configuration for devices beginning with Windows 10 version 1803, see Standards for a highly secure Windows 10 device.

Protezione prima dell'avvioProtection before startup

Prima dell'avvio di Windows, è necessario affidarsi alle funzionalità di sicurezza implementate come parte dell'hardware e del firmware del dispositivo, inclusi TPM e avvio sicuro.Before Windows starts, you must rely on security features implemented as part of the device hardware and firmware, including TPM and Secure Boot. Fortunatamente, molti computer moderni presentano un TPM e un avvio sicuro.Fortunately, many modern computers feature a TPM and Secure Boot.

Trusted Platform ModuleTrusted Platform Module

Un TPM è un microchip progettato per consentire funzioni di base relative alla sicurezza, che coinvolgono principalmente le chiavi di crittografia.A TPM is a microchip designed to provide basic security-related functions, primarily involving encryption keys. In alcune piattaforme il TPM può essere implementato in alternativa come parte del firmware sicuro.On some platforms, TPM can alternatively be implemented as a part of secure firmware. BitLocker associa le chiavi di crittografia al TPM per verificare che un computer non sia stato manomesso mentre il sistema era offline.BitLocker binds encryption keys with the TPM to ensure that a computer has not been tampered with while the system was offline. Per altre info sul TPM, Vedi Trusted Platform Module.For more info about TPM, see Trusted Platform Module.

UEFI e avvio sicuroUEFI and Secure Boot

Unified Extensible Firmware Interface (UEFI) è un ambiente di avvio programmabile che Inizializza i dispositivi e avvia il bootloader del sistema operativo.Unified Extensible Firmware Interface (UEFI) is a programmable boot environment that initializes devices and starts the operating system’s bootloader.

La specifica UEFI definisce un processo di autenticazione dell'esecuzione del firmware denominato Secure Boot.The UEFI specification defines a firmware execution authentication process called Secure Boot. Il blocco di avvio sicuro non è attendibile per il firmware e i bootloader (firmati o non firmati) che possono essere avviati nel sistema.Secure Boot blocks untrusted firmware and bootloaders (signed or unsigned) from being able to start on the system.

Per impostazione predefinita, BitLocker offre protezione dall'integrità per l'avvio sicuro tramite la misurazione della PCR TPM [7].By default, BitLocker provides integrity protection for Secure Boot by utilizing the TPM PCR[7] measurement. Un firmware EFI non autorizzato, un'applicazione di avvio EFI o un bootloader non può essere eseguito e acquisito la chiave BitLocker.An unauthorized EFI firmware, EFI boot application, or bootloader cannot run and acquire the BitLocker key.

Attacchi di BitLocker e resetBitLocker and reset attacks

Per difendersi da attacchi di reimpostazione dolosi, BitLocker sfrutta la mitigazione degli attacchi TCG reset, nota anche come bit MOR (richiesta di sovrascrittura della memoria), prima di estrarre le chiavi in memoria.To defend against malicious reset attacks, BitLocker leverages the TCG Reset Attack Mitigation, also known as MOR bit (Memory Overwrite Request), before extracting keys into memory.

Nota

Questo non protegge da attacchi fisici in cui un utente malintenzionato apre il caso e attacca l'hardware.This does not protect against physical attacks where an attacker opens the case and attacks the hardware.

Criteri di sicurezzaSecurity policies

Le sezioni successive includono i criteri di autenticazione pre-avvio e DMA in grado di assicurare ulteriore protezione per BitLocker.The next sections cover pre-boot authentication and DMA policies that can provide additional protection for BitLocker.

Autenticazione pre-avvioPre-boot authentication

L'autenticazione di pre-avvio con BitLocker è un'impostazione di criterio che richiede l'uso di un input utente, ad esempio un PIN, una chiave di avvio o entrambi per l'autenticazione prima di rendere accessibile il contenuto dell'unità di sistema.Pre-boot authentication with BitLocker is a policy setting that requires the use of either user input, such as a PIN, a startup key, or both to authenticate prior to making the contents of the system drive accessible. L'impostazione di criteri di gruppo richiede l'autenticazione aggiuntiva all'avvio e l'impostazione corrispondente nel CSP di BitLocker è SystemDrivesRequireStartupAuthentication.The Group Policy setting is Require additional authentication at startup and the corresponding setting in the BitLocker CSP is SystemDrivesRequireStartupAuthentication.

BitLocker accede e archivia le chiavi di crittografia in memoria solo dopo il completamento dell'autenticazione di pre-avvio.BitLocker accesses and stores the encryption keys in memory only after pre-boot authentication is completed. Se Windows non riesce ad accedere alle chiavi di crittografia, il dispositivo non può leggere o modificare i file nell'unità di sistema.If Windows can’t access the encryption keys, the device can’t read or edit the files on the system drive. L'unica opzione per aggirare l'autenticazione di pre-avvio sta immettendo la chiave di ripristino.The only option for bypassing pre-boot authentication is entering the recovery key.

L'autenticazione di pre-avvio è progettata per evitare che le chiavi di crittografia vengano caricate nella memoria di sistema senza che l'utente attendibile fornisca un altro fattore di autenticazione, ad esempio un PIN o una chiave di avvio.Pre-boot authentication is designed to prevent the encryption keys from being loaded to system memory without the trusted user supplying another authentication factor such as a PIN or startup key. Questo aiuta a mitigare gli attacchi DMA e Memory rimanenza.This helps mitigate DMA and memory remanence attacks.

Nei computer con un TPM compatibile, le unità del sistema operativo che sono protette da BitLocker possono essere sbloccate in quattro modi:On computers with a compatible TPM, operating system drives that are BitLocker-protected can be unlocked in four ways:

  • Solo TPM.TPM-only. L'uso della convalida solo TPM non richiede alcuna interazione con l'utente per sbloccare e consentire l'accesso all'unità.Using TPM-only validation does not require any interaction with the user to unlock and provide access to the drive. Se la convalida del TPM viene eseguita correttamente, l'esperienza di accesso dell'utente è uguale a quella di Access standard.If the TPM validation succeeds, the user sign in experience is the same as a standard logon. Se il TPM è mancante o è stato modificato o se BitLocker rileva le modifiche apportate al codice o alla configurazione del BIOS o UEFI, ai file di avvio del sistema operativo critico o alla configurazione di avvio, BitLocker entra in modalità di ripristino e l'utente deve immettere una password di ripristino per ottenere l'accesso. ai dati.If the TPM is missing or changed or if BitLocker detects changes to the BIOS or UEFI code or configuration, critical operating system startup files, or the boot configuration, BitLocker enters recovery mode, and the user must enter a recovery password to regain access to the data. Questa opzione è più comoda per l'accesso, ma meno sicura rispetto alle altre opzioni, che richiedono un ulteriore fattore di autenticazione.This option is more convenient for sign-in but less secure than the other options, which require an additional authentication factor.
  • TPM con chiave di avvio.TPM with startup key. Oltre alla protezione fornita solo dal TPM, parte della chiave di crittografia viene archiviata in un'unità flash USB, denominata chiave di avvio.In addition to the protection that the TPM-only provides, part of the encryption key is stored on a USB flash drive, referred to as a startup key. Non è possibile accedere ai dati del volume crittografato senza la chiave di avvio.Data on the encrypted volume cannot be accessed without the startup key.
  • TPM con il PIN.TPM with PIN. Oltre alla protezione fornita dal TPM, BitLocker richiede l'immissione di un PIN da parte dell'utente.In addition to the protection that the TPM provides, BitLocker requires that the user enter a PIN. Non è possibile accedere ai dati del volume crittografato senza immettere il PIN.Data on the encrypted volume cannot be accessed without entering the PIN. TPMs ha anche una protezione anti-martellamento progettata per evitare attacchi di forza bruta che tentano di determinare il PIN.TPMs also have anti-hammering protection that is designed to prevent brute force attacks that attempt to determine the PIN.
  • TPM con chiave di avvio e PIN.TPM with startup key and PIN. Oltre alla protezione del componente principale fornita solo dal TPM, parte della chiave di crittografia è archiviata in un'unità flash USB e un PIN è necessario per autenticare l'utente nel TPM.In addition to the core component protection that the TPM-only provides, part of the encryption key is stored on a USB flash drive, and a PIN is required to authenticate the user to the TPM. Questa configurazione fornisce l'autenticazione a più fattori in modo che, se la chiave USB viene persa o rubata, non può essere usata per accedere all'unità, perché è necessario anche il PIN corretto.This configuration provides multifactor authentication so that if the USB key is lost or stolen, it cannot be used for access to the drive, because the correct PIN is also required.

Nell'esempio di criteri di gruppo seguente è necessario TPM + PIN per sbloccare un'unità del sistema operativo:In the following Group Policy example, TPM + PIN is required to unlock an operating system drive:

Impostazione di autenticazione pre-avvio in criteri di gruppo

L'autenticazione di pre-avvio con un PIN può mitigare un vettore di attacco per i dispositivi che usano un eDrive avviabile perché un bus eDrive esposto può consentire a un utente malintenzionato di acquisire la chiave di crittografia BitLocker durante l'avvio.Pre-boot authentication with a PIN can mitigate an attack vector for devices that use a bootable eDrive because an exposed eDrive bus can allow an attacker to capture the BitLocker encryption key during startup. L'autenticazione di pre-avvio con un PIN può anche mitigare gli attacchi della porta DMA durante la finestra di tempo tra quando BitLocker sblocca l'unità e gli stivali di Windows, al punto che Windows può impostare i criteri relativi alla porta configurati.Pre-boot authentication with a PIN can also mitigate DMA port attacks during the window of time between when BitLocker unlocks the drive and Windows boots to the point that Windows can set any port-related policies that have been configured.

D'altra parte, le richieste di autenticazione pre-avvio possono risultare scomode per gli utenti.On the other hand, Pre-boot authentication prompts can be inconvenient to users. Inoltre, gli utenti che dimenticano il PIN o perdono la chiave di avvio vengono rifiutati di accedere ai loro dati fino a quando non possono contattare il team di supporto dell'organizzazione per ottenere una chiave di ripristino.In addition, users who forget their PIN or lose their startup key are denied access to their data until they can contact their organization’s support team to obtain a recovery key. L'autenticazione di pre-avvio può anche rendere più difficile l'aggiornamento dei desktop non presidiati e dei server gestiti in remoto perché è necessario immettere un PIN quando un computer viene riavviato o riprende dalla modalità di sospensione.Pre-boot authentication can also make it more difficult to update unattended desktops and remotely administered servers because a PIN needs to be entered when a computer reboots or resumes from hibernation.

Per risolvere questi problemi, è possibile distribuire BitLocker Network Unlock.To address these issues, you can deploy BitLocker Network Unlock. Network Unlock consente ai sistemi all'interno del perimetro di sicurezza dell'organizzazione fisica che soddisfano i requisiti hardware e che BitLocker è abilitato con TPM + PIN per l'avvio in Windows senza l'intervento dell'utente.Network Unlock allows systems within the physical enterprise security perimeter that meet the hardware requirements and have BitLocker enabled with TPM+PIN to boot into Windows without user intervention. Richiede la connettività Ethernet diretta a un server WDS (Enterprise Windows Deployment Services).It requires direct ethernet connectivity to an enterprise Windows Deployment Services (WDS) server.

Protezione di Thunderbolt e di altre porte DMAProtecting Thunderbolt and other DMA ports

Sono disponibili diverse opzioni per proteggere le porte DMA, ad esempio Thunderbolt™ 3.There are a few different options to protect DMA ports, such as Thunderbolt™3. A partire da Windows 10 versione 1803, i nuovi dispositivi basati su Intel hanno la protezione del kernel dagli attacchi DMA tramite Thunderbolt™ 3 porte abilitate per impostazione predefinita.Beginning with Windows 10 version 1803, new Intel-based devices have kernel protection against DMA attacks via Thunderbolt™ 3 ports enabled by default. Questa protezione DMA del kernel è disponibile solo per i nuovi sistemi a partire da Windows 10 versione 1803, poiché richiede modifiche nel firmware di sistema e/o nel BIOS.This Kernel DMA Protection is available only for new systems beginning with Windows 10 version 1803, as it requires changes in the system firmware and/or BIOS.

Puoi usare l'app System Information desktop (MSINFO32) per verificare se un dispositivo ha abilitato la protezione DMA del kernel:You can use the System Information desktop app (MSINFO32) to check if a device has kernel DMA protection enabled:

Protezione DMA del kernel

Se la protezione DMA del kernel non è abilitata, seguire questa procedura per proteggere le porte di Thunderbolt™ 3 abilitate:If kernel DMA protection not enabled, follow these steps to protect Thunderbolt™ 3 enabled ports:

  1. Richiedere una password per le modifiche del BIOSRequire a password for BIOS changes

  2. Intel Thunderbolt Security deve essere impostato su autorizzazione utente nelle impostazioni del BIOS.Intel Thunderbolt Security must be set to User Authorization in BIOS settings. Fare riferimento a Intel Thunderbolt™ 3 e sicurezza in Microsoft Windows® 10 documentazione del sistema operativoPlease refer to Intel Thunderbolt™ 3 and Security on Microsoft Windows® 10 Operating System documentation

  3. La sicurezza DMA aggiuntiva può essere aggiunta tramite la distribuzione di criteri (a partire da Windows 10 versione 1607):Additional DMA security may be added by deploying policy (beginning with Windows 10 version 1607):

Per Thunderbolt V1 e V2 (connettore DisplayPort), vedere la sezione "attenuazione Thunderbolt" in KB 2516445.For Thunderbolt v1 and v2 (DisplayPort Connector), refer to the “Thunderbolt Mitigation” section in KB 2516445. Per SBP-2 e 1394 (akaFor SBP-2 and 1394 (a.k.a. FireWire), vedere la sezione "SBP-2 Mitigation" in KB 2516445.Firewire), refer to the “SBP-2 Mitigation” section in KB 2516445.

Attaccare le contromisureAttack countermeasures

Questa sezione include le contromisure per attacchi di tipo specifico.This section covers countermeasures for specific types attacks.

Bootkits e rootkitBootkits and rootkits

Un utente malintenzionato può provare a installare un bootkit o un componente simile a un rootkit nella catena di avvio, cercando di rubare le chiavi di BitLocker.A physically-present attacker might attempt to install a bootkit or rootkit-like piece of software into the boot chain in an attempt to steal the BitLocker keys. Il TPM deve rispettare l'installazione tramite le misure di PCR e la chiave BitLocker non verrà rilasciata.The TPM should observe this installation via PCR measurements, and the BitLocker key will not be released. Questa è la configurazione predefinita.This is the default configuration.

È consigliabile una password del BIOS per la difesa in modo approfondito nel caso in cui un BIOS esponga impostazioni che potrebbero indebolire la promessa di sicurezza di BitLocker.A BIOS password is recommended for defense-in-depth in case a BIOS exposes settings that may weaken the BitLocker security promise. Il supporto per l'avvio di Intel Boot Guard e AMD hardware Verified implementazioni più solide di un avvio sicuro che garantiscono una resilienza aggiuntiva contro malware e attacchi fisici.Intel Boot Guard and AMD Hardware Verified Boot support stronger implementations of Secure Boot that provide additional resilience against malware and physical attacks. Intel Boot Guard e AMD hardware Verified boot fanno parte degli standard di verifica del boot della piattaforma per un dispositivo Windows 10 altamente sicuro.Intel Boot Guard and AMD Hardware Verified Boot are part of platform boot verification standards for a highly secure Windows 10 device.

Attacchi di forza bruta contro un PINBrute force attacks against a PIN

Richiedi TPM + PIN per la protezione anti-martellamento.Require TPM + PIN for anti-hammering protection.

Attacchi DMADMA attacks

Vedere protezione di Thunderbolt e di altre porte DMA in precedenza in questo argomento.See Protecting Thunderbolt and other DMA ports earlier in this topic.

File di paging, dump di arresto anomalo e attacchi di Hyberfil. sysPaging file, crash dump, and Hyberfil.sys attacks

Questi file sono protetti per impostazione predefinita su un volume crittografato quando BitLocker è abilitato sulle unità del sistema operativo.These files are secured on an encrypted volume by default when BitLocker is enabled on OS drives. Blocca anche i tentativi automatici o manuali di spostamento del file di paging.It also blocks automatic or manual attempts to move the paging file.

Rimanenza di memoriaMemory remanence

Abilitare l'avvio sicuro e richiedere una password per modificare le impostazioni del BIOS.Enable Secure Boot and require a password to change BIOS settings. Per i clienti che richiedono la protezione da questi attacchi avanzati, configurare un TPM + PIN Protector, disabilitare la gestione dell'alimentazione in standby e arrestare o sospendere il dispositivo prima di lasciare il controllo di un utente autorizzato.For customers requiring protection against these advanced attacks, configure a TPM+PIN protector, disable Standby power management, and shut down or hibernate the device before it leaves the control of an authorized user.

Contromisure degli aggressoriAttacker countermeasures

Le sezioni seguenti ricoprono i rimedi per i diversi tipi di attacchi.The following sections cover mitigations for different types of attackers.

Attaccante senza molto talento o con accesso fisico limitatoAttacker without much skill or with limited physical access

L'accesso fisico può essere limitato da un fattore di forma che non espone gli autobus e la memoria.Physical access may be limited by a form factor that does not expose buses and memory. Ad esempio, non ci sono porte in grado di DMA esterne, nessuna vite esposta per aprire lo chassis e la memoria viene saldata alla mainboard.For example, there are no external DMA-capable ports, no exposed screws to open the chassis, and memory is soldered to the mainboard. L'aggressore di Opportunity non usa metodi distruttivi o hardware/software Forensics sofisticati.This attacker of opportunity does not use destructive methods or sophisticated forensics hardware/software.

Attenuazione riguardaMitigation:

  • Autenticazione pre-avvio impostata su solo TPM (impostazione predefinita)Pre-boot authentication set to TPM only (the default)

Attacco con abilità e accesso fisico lungoAttacker with skill and lengthy physical access

Attacco mirato con un sacco di tempo; l'aggressore aprirà il caso, si salda e userà hardware o software sofisticato.Targeted attack with plenty of time; this attacker will open the case, will solder, and will use sophisticated hardware or software.

Attenuazione riguardaMitigation:

  • L'autenticazione pre-avvio è impostata su TPM con un PIN Protector (con un PIN alfanumerico sofisticato per facilitare l'attenuazione dell'anti-martellamento del TPM).Pre-boot authentication set to TPM with a PIN protector (with a sophisticated alphanumeric PIN to help the TPM anti-hammering mitigation).

    E-And-

  • Disabilitare la gestione dell'alimentazione in standby e arrestare o sospendere il dispositivo prima di lasciare il controllo di un utente autorizzato.Disable Standby power management and shut down or hibernate the device before it leaves the control of an authorized user. Questa operazione può essere impostata tramite criteri di gruppo:This can be set using Group Policy:

    • Configurazione computer | Criteri | Modelli amministrativi | Componenti di Windows | Esplora file | Mostra ibernazione nel menu Opzioni risparmio energiaComputer Configuration|Policies|Administrative Templates|Windows Components|File Explorer|Show hibernate in the power options menu
    • Configurazione computer | Criteri | Modelli amministrativi | Sistema | Power Management | Impostazioni di sospensione | Consentire stati di standby (S1-S3) durante il sonno (collegato)Computer Configuration|Policies|Administrative Templates|System|Power Management|Sleep Settings|Allow standby states (S1-S3) when sleeping (plugged in)
    • Configurazione computer | Criteri | Modelli amministrativi | Sistema | Power Management | Impostazioni di sospensione | Consentire stati di standby (S1-S3) durante il sonno (sulla batteria)Computer Configuration|Policies|Administrative Templates|System|Power Management|Sleep Settings|Allow standby states (S1-S3) when sleeping (on battery)

Queste impostazioni non sono configurate per impostazione predefinita.These settings are Not configured by default.

Per alcuni sistemi, l'esclusione di un solo TPM può richiedere l'apertura del caso e può richiedere la saldatura, ma potrebbe essere eseguita per un costo ragionevole.For some systems, bypassing TPM-only may require opening the case, and may require soldering, but could possibly be done for a reasonable cost. L'esclusione di un TPM con un Protector PIN costerebbe molto di più e richiederà la forzatura bruta del PIN.Bypassing a TPM with a PIN protector would cost much more, and require brute forcing the PIN. Con un PIN avanzato sofisticato, potrebbe essere quasi impossibile.With a sophisticated enhanced PIN, it could be nearly impossible. L'impostazione di criteri di gruppo per il PIN avanzato è:The Group Policy setting for enhanced PIN is:

Configurazione computer | Modelli amministrativi | Componenti di Windows | Crittografia unità BitLocker | Unità del sistema operativo | Consentire i PIN avanzati per l'avvioComputer Configuration|Administrative Templates|Windows Components|BitLocker Drive Encryption|Operating System Drives|Allow enhanced PINs for startup

Questa impostazione non è configurata per impostazione predefinita.This setting is Not configured by default.

Per le workstation amministrative sicure, Microsoft consiglia il TPM con il PIN Protector e disattiva la gestione dell'alimentazione in standby e arresta o iberna il dispositivo.For secure administrative workstations, Microsoft recommends TPM with PIN protector and disable Standby power management and shut down or hibernate the device.

Vedere ancheSee also