Nós usamos o bitlocker para nossos laptops porque não conseguimos uma boa resposta para essa pergunta do Wave, e achamos que os mesmos cenários provavelmente não seriam específicos de fornecedores.
A minha pergunta é basicamente esta: Quais são as experiências das pessoas com a criptografia de disco completo baseada em hardware, especialmente do ponto de vista de auditoria de segurança?
Mais informações: Estou analisando especificamente a unidade Momentus FDE da Seagate com Embassy Suite da Embassy (Se você tiver experiências com outras unidades de autocriptografia (SEDs) e / ou suítes s / w, os pls opinarão também.)
Fatos: As unidades de autocriptografia (configuradas) serão bloqueadas automaticamente quando desligadas (desligamento ou hibernação do computador ou apenas o plugue). Uma senha, token ou o que for necessário para acessar qualquer um dos dados na unidade, que é criptografado (geralmente AES-128). No entanto, uma reinicialização não faz com que o usuário tenha que se autenticar novamente com a unidade .
A resposta que recebi do Wave é que eles forçam o modo de hibernação (em sistemas Dell com Windows), mesmo que o modo de espera seja selecionado pelo usuário. Mas estou preocupado com o seguinte cenário de ataque:
Implorando a pergunta: Existem maneiras de atenuar essa avenida de ataque além de apenas alterar a sequência de inicialização no BIOS & proteger a configuração da BIOS por senha?
* Eu entendo que existem muitas outras vulnerabilidades em sistemas operacionais em execução, como ataques de estouro de buffer nos serviços do sistema através da rede, mas acho que essa avenida de ataque é menos provável do que simplesmente usar um disco de inicialização (conforme descrito acima) , esp como unidades de auto-criptografia se tornam mais difundidas.
Nós usamos o bitlocker para nossos laptops porque não conseguimos uma boa resposta para essa pergunta do Wave, e achamos que os mesmos cenários provavelmente não seriam específicos de fornecedores.
Você pode proteger por senha a configuração do BIOS e remover a unidade de CD e a chave USB da sequência de inicialização.
Dessa forma, eles teriam que desligar o computador para limpar a senha do BIOS (pulando pinos na placa-mãe), para que eles fossem bloqueados para fora do HD.