Какой формат шифрования применяется в BitLocker? Можно ли его настроить?
BitLocker использует расширенный стандарт шифрования (AES) в качестве алгоритма шифрования с настраиваемой длиной ключа 128 или 256 бит. По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.
Как лучше всего использовать BitLocker на диске с операционной системой?
Рекомендуемая практика для конфигурации BitLocker на диске операционной системы заключается в реализации BitLocker на компьютере с доверенным платформенный платформенный платформой версии 1.2 или более поздней, а также реализацию bios или UEFI, совместимую с группой доверенных вычислений (TCG), а также реализацию встроенного ПО BIOS или UEFI, а также ПИН-код. Требуя ПИН-код, который был задан пользователем в дополнение к проверке доверенного платформенного модуля, злоумышленник, имеющий физический доступ к компьютеру, не может запустить компьютер.
Какие могут быть последствия при использовании параметров управления питанием (спящий режим и режим гибернации)?
BitLocker на дисках операционной системы в базовой конфигурации (с TPM, но без другой проверки подлинности при запуске) обеспечивает дополнительную безопасность для режима гибернации. Однако BitLocker обеспечивает большую безопасность, если настроено использовать другой фактор проверки подлинности запуска (TPM+PIN, TPM+USB или TPM+PIN+USB) в режиме гибернации. Этот метод является более безопасным, так как для возврата из режима гибернации требуется проверка подлинности. В спящем режиме компьютер уязвим для атак прямого доступа к памяти, так как незащищенные данные остаются в ОЗУ. Поэтому для повышения безопасности рекомендуется отключить спящий режим и использовать TPM+ПИН-код для метода проверки подлинности. Проверку подлинности при запуске можно настроить с помощью групповая политика или мобильной Управление устройствами с поставщиком служб CSP BitLocker.
Каковы преимущества доверенного платформенного модуля?
В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль — это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, средства и навыки, необходимые для атаки на оборудование, часто стоят дороже и обычно не так доступны, как те, которые используются для атак на программное обеспечение. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.
Примечание.
Настройка BitLocker с дополнительным фактором проверки подлинности обеспечивает еще большую защиту от аппаратных атак доверенного платформенного модуля.