Questão Como posso garantir que o BitLocker não possa ser ignorado com uma chave de recuperação?


Desejo criptografar meu disco rígido usando o BitLocker, mas é necessário que eu crie uma chave de recuperação. Agora, eu entendo porque isso é importante, pois pode haver casos em que minha senha não possa desbloquear a unidade, por exemplo, se o perfil do usuário for corrompido. O problema é que, se um ladrão determinado conseguir meu disco rígido, ele também poderá receber minha chave de recuperação, supondo que eu realmente a guarde na minha casa, na minha pessoa ou em qualquer lugar conectado remotamente a mim. Claro, se a minha senha ainda é necessária para desbloquear a unidade, então o ladrão não pode acessar meus dados. No entanto, se a chave de recuperação ALONE puder desbloquear a unidade, não há absolutamente nada que impeça o ladrão de acessar meus dados. Seria como um ladrão entrando na casa de alguém usando uma chave debaixo de um vaso de plantas.

o que estou perdendo? Como garantir, por um lado, que eu nunca serei bloqueado dos meus dados, desde que eu me lembre da minha senha e, por outro lado, que eu não esteja criando algo que um ladrão poderia usar para contornar a minha senha? senha.

Nota: não estou usando o TPM.


1


origem


a chave de recuperação só pode ser feita depois de inserir a senha correta, depois que você fizer a chave armazená-la em um local seguro. Se eles roubarem sua unidade, eles não poderão fazer outra chave de recuperação, a menos que tenham a senha atual. - Moab
Delete isso. Se não existir, não pode ser usado. - Ramhound


Respostas:


Resposta curta: armazene sua chave de recuperação em um local seguro. Talvez, para você, seja o Google Drive, uma unidade flash que você mantém em sua cadeia de chaves ou em um e-mail que você envia para si mesmo.

O ladrão não pode gerar uma chave de recuperação a menos que esteja logado no seu computador. Se eles roubarem a unidade sem primeiro obterem a chave de recuperação ou a senha que o Bitlocker está fazendo, é uma coisa.

O que você está pedindo é 'como posso fazer uma chave que ninguém mais pode usar, o que me permite entrar se eu esquecer minha senha', e a resposta curta é que você não pode. Se você fizer a chave, dificulte a localização. Se você não fizer a chave, não esqueça sua senha. Eu

É um compromisso comum em segurança: facilidade de uso <-> força de segurança

Como disse @Ramhound. O uso adicional / secundário da chave de recuperação é se o hardware ao qual a unidade estava conectada foi alterado. Você precisaria disso para acessar os dados nesse ponto.

Per @ user1751825 "Há uma outra situação em que você pode exigir a chave de recuperação. Se você precisar desbloquear sua unidade usando a linha de comando manage-bde utilitário eu acredito que você pode precisar da chave de recuperação ".


4



Não envie por e-mail para você mesmo. Isso está longe de ser seguro o suficiente. O Bitlocker oferece a opção de fazer upload para sua conta de uma unidade. Isso seria preferível para armazená-lo em um email. - user1751825
@ user1731825 Como na maioria das coisas, é relativo. Se é um laptop pessoal, você não se importa muito com o trabalho em uma empresa com segurança intensa de e-mail, é um risco muito baixo. Outro caso de uso é executar seu próprio servidor de troca / postfix no qual você gerencia a segurança. Se você confia bastante, o que há de errado em usá-lo? Eu concordo que é menos ideal, mas também não é uma coisa física e pode evitar o armazenamento em nuvem. - Abraxas
Mesmo desconsiderando as potenciais implicações de segurança, o email não é projetado para ser um sistema de armazenamento de propósito geral. É fácil excluir ou excluir acidentalmente as coisas. Eu sei que muitas pessoas fazem isso, mas não é algo que deva ser encorajado. Como armazenar coisas na lixeira para posterior recuperação. - user1751825
Mais uma vez, estava apenas fornecendo uma resposta. Eu não concordo com usá-lo para armazenamento, mas as pessoas fazem e com o aumento da disponibilidade de caixas de correio de arquivo e coisas assim, não é a "pior" idéia. Mas eu absolutamente diria ao OP para não armazená-lo em email. - Abraxas
Concordo. Não é a pior idéia, mas há opções mais simples e seguras que realmente devem ser consideradas primeiro. - user1751825


A chave de recuperação é necessária apenas se você esquecer sua senha, portanto, exigir a senha ao usar a chave de recuperação seria contra-intuitivo. Se você tiver certeza de que nunca esquecerá sua senha, não precisará manter a chave de recuperação. Isso é arriscado. Eu acho que simplesmente manter a chave de recuperação em um local seguro deve ser suficiente.

Atualizar... O utilitário de linha de comando manage-bde funciona apenas com a chave de recuperação, não com a senha. É pouco provável que, em uso normal, seja necessário esse utilitário.


1



Se você digitar manage-bde -unlock -help, então você pode ver que a chave de recuperação não é apenas uma opção para desbloquear. -Password é uma das opções suportadas. - PetSerAl
@ PetSerAl Isso é verdade. No entanto, tem limitações. Este parâmetro não aceita uma senha na linha de comando, mas abre uma caixa de diálogo para permitir que o usuário insira a senha. Isso significa que não pode ser usado no ambiente de recuperação do Windows, por exemplo. Além disso, se você precisar fazer script do comando lock / unlock, para que ele não seja interativo, você precisará da senha / chave de recuperação, pois a opção -Password não funcionará. - user1751825
Mas você ainda pode usar wmic para script: wmic /namespace:\\Root\CIMV2\Security\MicrosoftVolumeEncryption path Win32_EncryptableVolume where DriveLetter='X:' call UnlockWithPassphrase Passphrase='Password' - PetSerAl
@PetSerAl Obrigado por isso. Eu não tinha conhecimento desse meio alternativo de criação de scripts. parece muito interessante. - user1751825


Por que não pegar o arquivo de recuperação e criptografar isto? Usando outra frase secreta que você definitivamente não esquecerá, é diferente da palavra-passe de bitlocker "principal" que você está tentando proteger.

Usando PGP / GPG ou LUKS ou mesmo TrueCrypt (ainda) deve ser seguro.

Então, seria muito mais seguro carregá-lo em algum armazenamento online, mas se algo danificar seu computador (incêndio, roubo, etc), não há motivo real para manter o arquivo de recuperação fora do site (é inútil sem o bitlocker então indisponível dados)


0





Armazene a chave em sua conta da Microsoft. Somente aqueles que têm acesso à sua conta da Microsoft podem obter a chave. Se você não conseguir fazer login no seu computador, use outro computador ou laptop próximo para acessá-lo.

https://support.microsoft.com/pt-br/instantanswers/566e0e4e-4ca7-4df2-88fb-aa71c00ea55e/find-my-bitlocker-recovery-key

Aqui está a instrução direto da microsoft

Locais para procurar sua chave do BitLocker:

On a printout you saved. Look in places you keep important papers.
Saved on a USB flash drive. Plug the USB flash drive in to your locked PC and follow the instructions. If you saved the key as a text

arquivo na unidade flash, use um computador diferente para ler o texto   Arquivo.       Na sua conta da Microsoft. Para obter sua chave de recuperação, vá para Chaves de Recuperação do BitLocker.

Ou peça ajuda a alguém:

Ask someone with administrator privileges on the same PC to unlock it with their key.
If your PC is connected to a domain (usually a work or school computer), ask a system administrator for your recovery key.

Se você ainda não conseguir entrar, precisará redefinir o seu PC. Aprenda como.

é semelhante a colocá-lo no Google Drive ou Dropbox, mas eu acho que é muito melhor. No Google Drive você pode esquecer onde você armazena a chave. No Google Drive, este é apenas outro arquivo de texto que pode estar perdido em algum lugar.

Com microsoft eles não apenas armazenam em onedrive (que é o dropbox btw da microsoft). Você não verá a chave na sua unidade. A Microsoft tem um lugar especial para armazenar a chave apenas para você. Então não é apenas outro arquivo de texto. É realmente uma característica especial feita pela única empresa que fabrica o sistema bitlocker. É muito mais facilmente encontrado. É mais seguro. Você precisa verificar sua identidade no telefone antes de poder fazer login. E você a usa em texto, não apenas em arquivo de texto.

Além disso, se você tiver várias chaves ou centenas de computadores, a Microsoft nomeará o computador em que cada chave pertence.

Se você salvá-lo no Google Drive você só tem que tentar um por um, eu acho. Sim, tecnicamente, a chave de recuperação tem um nome de arquivo que você pode igualar também. Ainda assim, é muito mais conveniente obter uma chave com o nome de Jim-PC em vez da chave 12234-fdfdg-blabla-blublu

Você basicamente armazena a chave com a mesma conta que você usa para fazer login no seu computador. A única maneira de falhar é se você esquecer de passar para essa conta, mas isso significa que você não pode fazer login no seu computador de qualquer maneira. Se você é eu, eu posso ter várias unidades do Google não necessariamente vinculadas à minha conta da Microsoft. Então eu acho que é apenas mais apropriado usar a chave microsoft usando o serviço microsoft.


-1



Como isso é diferente de armazená-lo no Google Drive? - Ramhound