Como você verifica se um disco rígido foi criptografado com software ou hardware ao usar o BitLocker?

Navegue suas respostas
20

Devido às recentes descobertas de segurança em que provavelmente a maioria das SSDs implementa a criptografia de uma maneira completamente ingênua e quebrada, quero verificar quais de minhas máquinas BitLocker estão usando criptografia de hardware e quais estão usando software.

Encontrei uma maneira de desabilitar o uso de criptografia de hardware, mas não consigo descobrir como verificar se estou usando criptografia de hardware (nesse caso, terei que criptografar novamente a unidade). Como eu faço ti?

Estou ciente de manage-bde.exe -status , que me fornece uma saída como: 

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

mas não sei se as informações que quero estão nesta tela.

    
por pupeno 14.11.2018 / 10:27

1 resposta

20

Existe um artigo bem novo sobre o MSRC, explicando parcialmente o problema e como resolver . Obrigado @Kevin

Microsoft is aware of reports of vulnerabilities in the hardware encryption of certain self-encrypting drives (SEDs). Customers concerned about this issue should consider using the software only encryption provided by BitLocker Drive Encryption™. On Windows computers with self-encrypting drives, BitLocker Drive Encryption™ manages encryption and will use hardware encryption by default. Administrators who want to force software encryption on computers with self-encrypting drives can accomplish this by deploying a Group Policy to override the default behavior. Windows will consult Group Policy to enforce software encryption only at the time of enabling BitLocker.

To check the type of drive encryption being used (hardware or software):

  1. Run manage-bde.exe -status from elevated command prompt.

    2.   

  2. If none of the drives listed report "Hardware Encryption" for the Encryption Method field, then this device is using software encryption and is not affected by vulnerabilities associated with self-encrypting drive encryption.

    3.   

manage-bde.exe -status deve mostrar se a criptografia de hardware é usada.

Não tenho um ATM com criptografia HW, então aqui está um link de referência e a imagem que ele contém:

The BitLocker UI in Control Panel does not tell you whether hardware encryption is used, but the command line tool manage-bde.exe does when invoked with the parameter status. You can see that hardware encryption is enabled for D: (Samsung SSD 850 Pro) but not for C: (Samsung SSD 840 Pro without support for hardware encryption):

    
por 14.11.2018 / 11:04

Tags

Como você reconhece um bom administrador do sistema? Aplicar automaticamente as atualizações de segurança para o AWS Elastic Beanstalk