O que o Bitlocker mede para detectar uma alteração de inicialização?

Navegue suas respostas
7

Meu laptop de trabalho está executando o Windows Vista com o Bitlocker ativado. De tempos em tempos, principalmente quando saio de férias e tenho um SSD pessoal, eu troco para o laptop para poder usar o laptop para uso pessoal enquanto estiver ausente. A imagem do sistema operacional corporativo está realmente bloqueada e eu não recebo o administrador local.

De qualquer forma, sempre que eu retornar de férias e trocar a unidade corporativa de volta no Windows, não inicializarei afirmando que as informações de inicialização foram alteradas. Eu tenho que ligar para o nosso help desk e mandar consertar o material do bitlocker.

Eles nunca me atrapalham com isso e eu expliquei o que estou fazendo e ninguém parece ter um problema com isso - mas está ficando chato não poder trocar entre as unidades sempre que eu quiser.

Alguém tem alguma idéia do que a troca entre dois discos rígidos, e a não alteração de outras configurações, poderia ser feita para o computador, bios ou o que mais o Bitlocker olha para fazer isso?

Mais importante, existe uma maneira de eu descobrir o que está sendo alterado e alterá-lo de volta para que eu possa inicializar de volta à minha unidade corporativa sem precisar fazer uma chamada para o help desk toda vez? Melhor ainda, alguma ideia de como eu posso evitar que qualquer mudança aconteça desde o começo?

O Laptop é um novo Lenovo Thinkpad T420 se a natureza do hardware tiver algo a ver com isso.

Obrigado antecipadamente!

    
por WerkkreW 25.12.2012 / 09:31

1 resposta

6

Na FAQ do BitLocker :

What system changes would cause the integrity check on my operating system drive to fail?

The following types of system changes can cause an integrity check failure and prevent the TPM from releasing the BitLocker key to decrypt the protected operating system drive:

  • Moving the BitLocker-protected drive into a new computer.

  • Installing a new motherboard with a new TPM.

  • Turning off, disabling, or clearing the TPM.

  • Changing any boot configuration settings.

  • Changing the BIOS, UEFI firmware, master boot record, boot sector, boot manager, option ROM, or other early boot components or boot configuration data.

This functionality is by design; BitLocker treats unauthorized modification of any of the early boot components as a potential attack and will place the system into recovery mode. Authorized administrators can update boot components without entering recovery mode by disabling BitLocker beforehand.

Leia também os 30 pontos ímpares em O que faz com que o BitLocker inicie no modo de recuperação ao tentar iniciar a unidade do sistema operacional?

Suponho que você veja o seguinte erro durante a inicialização:

Vocêtemacessoaoarquivodetextoquecontémasenhaderecuperação?EuestousupondoqueapenasopessoaldeadministraçãooudeTIotenha,certo?

Agora,obviamente,desligaroBitLockercompletamenteedescriptografarodiscodetrabalhonãoéumapossibilidadenestecenário.Aquiestáalgoquepodeajudar,deacordocomoFAQ:

CanIswapharddisksonthesamecomputerifBitLockerisenabledontheoperatingsystemdrive?

Yes,youcanswapmultipleharddisksonthesamecomputerifBitLockerisenabled,butonlyiftheharddiskswereBitLocker-protectedonthesamecomputer.TheBitLockerkeysareuniquetotheTPMandoperatingsystemdrive,soifyouwanttoprepareabackupoperatingsystemordatadriveforuseincaseofdiskfailure,youneedtomakesurethattheywerematchedwiththecorrectTPM.YoucanalsoconfiguredifferentharddrivesfordifferentoperatingsystemsandthenenableBitLockeroneachonewithdifferentauthenticationmethods(suchasonewithTPM-onlyandonewithTPM+PIN)withoutanyconflicts.

Então,seforpossível,achoquevocêpodecriptografarsuaunidadeinicialnomesmosistemae,emseguida,poderátrocarasunidadesfacilmente.

Seoacimanãoforumaopção,entãooseguintepodefuncionar,mastenhocertezaqueoacessodoadministradorénecessárioparaisso.Sevocêtiver,dapróximavezquequisertrocardeunidade,façaoseguinte:

  1. IrparaStart/ControlPanel/SystemandSecurity/BitLockerDriveEncryption

  2. CliqueemSuspenderproteçãoparaaunidadedoSO(trabalho):

  3. Clique em Sim quando solicitado:

  4. ConfirmeseoBitLockerfoisuspensoparaaunidadedosistemaoperacional:

  5. Agora desligue o computador (não não hibernate!)

  6. Troque as unidades, depois troque de volta após as férias e lembre-se de Continuar a proteção para a unidade do SO (trabalho)

By completing this procedure, you have suspended BitLocker protection on the drive by changing the decryption key to a clear key. To read data from the drive, the clear key is used to access the files. When BitLocker is suspended, TPM validation does not occur and other authentication methods, such as the use of a PIN or USB key to unlock the operating system drive, are not enforced.

Também do FAQ:

What is the difference between suspending and decrypting BitLocker?

Decrypt completely removes BitLocker protection and fully decrypts the drive.

When BitLocker is suspended, BitLocker keeps the data encrypted but encrypts the BitLocker volume master key with a clear key. The clear key is a cryptographic key stored unencrypted and unprotected on the disk drive. By storing this key unencrypted, the Suspend option allows for changes or upgrades to the computer without the time and cost of decrypting and re-encrypting the entire drive. After the changes are made and BitLocker is again enabled, BitLocker will reseal the encryption key to the new values of the measured components that changed as a part of the upgrade, the volume master key is changed, the protectors are updated to match and the clear key is erased.

    
por 25.12.2012 / 20:05

Tags

Existe um atalho de teclado do Windows para sair do Firefox? O Vim não solicita mais a chave de criptografia ao ler o arquivo criptografado; por que não, e como posso restaurá-lo?