BitLocker 因應措施

Windows 使用硬體解決方案和安全性功能來保護 BitLocker 加密金鑰免于遭受攻擊。 這些技術包括 信賴平臺模組 (TPM) 安全開機測量開機

啟動前保護

在 Windows 啟動之前,必須依賴實作為裝置硬體和韌體一部分的安全性功能,包括 TPM 和安全開機:

  • TPM是專為提供基本安全性相關功能而設計的晶片,主要涉及加密金鑰。 BitLocker 會將加密金鑰與 TPM 系結,以確保裝置在系統離線時未遭到竄改。 如需 TPM 的詳細資訊,請參閱 信賴平臺模組
  • 整合可延伸韌體介面 (UEFI) 是可程式化的開機環境,可初始化裝置並啟動作業系統的開機載入器。 UEFI 規格會定義稱為安全開機的韌體執行驗證程式
  • 安全開機 會封鎖未受信任的韌體和開機載入器, (已簽署或未簽署的) 無法在系統上啟動。 根據預設,BitLocker 會利用 TPM PCR[7] 度量來提供安全開機的完整性保護。 未經授權的 EFI 韌體、EFI 開機應用程式或開機載入器無法執行並取得 BitLocker 金鑰

BitLocker 和重設攻擊

為了防禦惡意重設攻擊,BitLocker 會先使用 TCG 重設攻擊防護功能,也稱為 MOR 位 (記憶體覆寫要求) ,再將金鑰擷取到記憶體中。

安全性原則

預先啟動驗證和 DMA 原則可為 BitLocker 提供額外的保護。

預先啟動驗證

使用 BitLocker 進行預先啟動驗證可能需要使用使用者輸入,例如 PIN、啟動金鑰,或兩者都需要先進行驗證,才能存取系統磁片磁碟機的內容。

只有在預先啟動驗證完成之後,BitLocker 才會存取加密金鑰並將其儲存在記憶體中。 如果 Windows 無法存取加密金鑰,裝置就無法讀取或編輯系統磁片磁碟機上的檔案。 略過啟動前驗證的唯一選項是輸入 修復金鑰

預先啟動驗證的設計目的是要防止加密金鑰載入系統記憶體,而不需要信任的使用者提供另一個驗證因素。 這項功能有助於降低 DMA 和記憶體還原攻擊。

在具有相容 TPM 的裝置上,受 BitLocker 保護的作業系統磁片磁碟機有四種方式可以解除鎖定:

  • 僅限 TPM:此選項不需要與使用者進行任何互動,即可解除鎖定並提供磁片磁碟機的存取權。 如果 TPM 驗證成功,使用者登入體驗會與標準登入相同。 如果 TPM 遺失或變更,或 BitLocker 偵測到 BIOS 或 UEFI 組態、重要作業系統啟動檔案或開機設定的變更,BitLocker 就會進入復原模式。 然後,使用者必須輸入修復密碼,才能重新取得資料的存取權。 此選項較方便登入,但比其他需要額外驗證因素的選項更安全
  • 具有啟動金鑰的 TPM:除了僅限 TPM 提供的保護之外,加密金鑰的一部分會儲存在 USB 快閃磁片磁碟機上,稱為 啟動金鑰。 沒有啟動金鑰,就無法存取加密磁片區上的資料
  • 具有 PIN 的 TPM:除了 TPM 所提供的保護之外,BitLocker 還需要使用者輸入 PIN。 未輸入 PIN,就無法存取加密磁片區上的資料。 TPM 也有 反鐵制保護 ,其設計目的是要防止嘗試判斷 PIN 碼的暴力密碼破解攻擊
  • 具有啟動金鑰和 PIN 的 TPM:除了 TPM 所提供的保護之外,加密金鑰的一部分會儲存在 USB 快閃磁片磁碟機上,而且需要 PIN 才能向 TPM 驗證使用者。 此設定提供多重要素驗證,因此如果 USB 金鑰遺失或遭竊,就無法用來存取磁片磁碟機,因為也需要 PIN

使用 PIN 進行預先啟動驗證可以減輕使用可開機 eDrive 之裝置的攻擊媒介,因為公開的 eDrive 匯流排可讓攻擊者在啟動期間擷取 BitLocker 加密金鑰。 在 BitLocker 解除鎖定磁片磁碟機和 Windows 開機到 Windows 可以設定任何已設定之埠相關原則的時間範圍內,使用 PIN 進行預先啟動驗證也可以減輕 DMA 埠攻擊。

另一方面,預先啟動驗證提示對使用者可能不方便。 此外,忘記 PIN 或遺失啟動金鑰的使用者會遭到拒絕存取其資料,直到他們可以連絡其組織的支援小組以取得修復金鑰為止。 預先啟動驗證也可能會讓更新自動或遠端系統管理的裝置變得比較困難,因為當裝置重新開機或從休眠狀態繼續時,必須輸入 PIN。

若要解決這些問題,可以部署 BitLocker 網路解除鎖定 。 網路解除鎖定可讓符合硬體需求且已使用 TPM+PIN 啟用 BitLocker 的系統在不需使用者介入的情況下開機到 Windows。 它需要直接乙太網路連線至 Windows 部署服務 (WDS) 伺服器。

若要深入瞭解,請參閱原則設定 [需要在啟動時進行其他驗證]

保護 DMA 埠

請務必保護 DMA 埠,因為外部周邊可能會取得未經授權的記憶體存取權。 根據裝置功能,有不同的選項可保護 DMA 埠。 若要深入瞭解,請參閱 此電腦鎖定時停用新的 DMA 裝置的原則設定。

攻擊因應措施

本節涵蓋特定攻擊類型的因應措施。

Bootkits 和 rootkits

實際存在的攻擊者可能會嘗試在開機鏈結中安裝 bootkit 或類似 rootkit 的軟體片段,以嘗試竊取 BitLocker 金鑰。 TPM 應該會透過 PCR 度量來觀察此安裝,而且 BitLocker 金鑰不會釋出。

注意

根據預設,BitLocker 會防止此攻擊。

如果 BIOS 公開的設定可能會降低 BitLocker 安全性承諾,則建議使用 BIOS 密碼進行深層防禦。 Intel Boot Guard 和 AMD Hardware Verified Boot 支援更強大的安全開機實作,可提供額外的復原能力來抵禦惡意程式碼和實體攻擊。 Intel Boot Guard 和 AMD 硬體驗證開機是 高度安全 Windows 裝置平臺開機驗證標準的一部分。

針對 PIN 的暴力密碼破解攻擊

需要 TPM + PIN 才能進行反鐵制保護。

DMA 攻擊

請參閱本文稍早的保護 DMA 埠

分頁檔案、損毀傾印和 Hyberfil.sys 攻擊

在作業系統磁片磁碟機上啟用 BitLocker 時,預設會在加密磁片區上保護這些檔案。 它也會封鎖自動或手動移動分頁檔案的嘗試。

記憶體重新管理

啟用安全開機,並使用密碼來變更 BIOS 設定。 針對需要保護以防止這些進階攻擊的案例,請 TPM+PIN 設定保護裝置、停用 待命 電源管理,以及在裝置離開授權使用者的控制權之前關閉或休眠裝置。

Windows 預設電源設定會導致裝置在閒置時進入 睡眠模式 。 當裝置轉換為睡眠狀態時,執行中的程式和檔會保存在記憶體中。 當裝置從睡眠狀態繼續時,使用者不需要使用 PIN 或 USB 啟動金鑰重新驗證,即可存取加密的資料。 此案例可能會導致資料安全性遭入侵的情況。

當裝置 休眠時,磁片磁碟機會鎖定。 當裝置從休眠狀態繼續時,磁片磁碟機會解除鎖定,這表示如果搭配 BitLocker 使用多重要素驗證,使用者必須提供 PIN 或啟動金鑰。

因此,使用 BitLocker 的組織可能會想要使用休眠而非睡眠,以改善安全性。

注意

此設定不會影響僅限 TPM 的模式,因為它可在啟動時和從休眠狀態繼續時,提供透明的使用者體驗。

誘使 BitLocker 將金鑰傳遞至 Rogue 作業系統

攻擊者可能會將開機管理員設定資料庫修改 (BCD) ,該資料庫會儲存在未加密的資料分割上,並將進入點新增至不同分割區上的 Rogue 作業系統。 在開機程式期間,BitLocker 程式碼會確定從 TPM 取得的加密金鑰所使用的作業系統,已以密碼編譯方式驗證為預定的收件者。 由於此強式密碼編譯驗證已存在,因此不建議將磁碟分割資料表的雜湊儲存在平臺設定暫存器中, (PCR) 5。

攻擊者也可以取代整個作業系統磁片,同時保留平臺硬體和韌體,然後從犧牲者 OS 磁碟分割的中繼資料擷取受保護的 BitLocker 金鑰 Blob。 攻擊者接著可以嘗試從其控制下的作業系統呼叫 TPM API 來解密該 BitLocker 金鑰 Blob。 這無法成功,因為當 Windows 將 BitLocker 金鑰密封至 TPM 時,它會使用 PCR 11 值 0 來執行此作業。 若要成功解密 Blob,TPM 中的 PCR 11 必須具有 0 的值。 不過,當開機管理員將控制項傳遞給任何開機載入器 (合法或惡意) 它一律會將 PCR 11 變更為 1 的值。 由於 PCR 11 值在結束開機管理程式之後保證會有所不同,因此攻擊者無法解除鎖定 BitLocker 金鑰。

攻擊者因應措施

下列各節涵蓋不同攻擊類型的緩和措施。

攻擊者沒有太多技能或有有限的實體存取權

實體存取可能會在不會公開匯流排和記憶體的外形規格中受到限制。 例如,沒有具備外部 DMA 功能的埠、沒有公開的螺絲來開啟底座,記憶體會被賣到主機板。

這個機會的攻擊者不會使用破壞性方法或複雜的鑒識硬體/軟體。

緩解:

  • 預先啟動驗證只會 (預設)

具有技能和冗長實體存取權的攻擊者

具有足夠時間的目標攻擊;攻擊者會開啟案例、銷售人員,並使用複雜的硬體或軟體。

緩解:

  • 使用具有複雜英數位元 PIN [增強式針腳] 的 PIN 保護裝置 (,將預先啟動驗證設定為 TPM,以協助 TPM 反雜湊防護功能) 。

    -和-

  • 停用待命電源管理,並在裝置離開授權使用者的控制權之前先關閉或休眠裝置。 您可以使用下列原則設定來設定此組態:

    • 電腦設定>政策>系統管理模> 板Windows 元件>> 檔案總管顯示電源選項功能表中的休眠
    • 電腦設定>政策>系統管理模> 板電源管理>睡眠設定>
      • 睡眠時允許待命狀態 (S1-S3) (一般電源)
      • 睡眠時允許待命狀態 (S1-S3) (使用電池)

重要

預設 不會 設定這些設定。

對於某些系統而言,略過僅限 TPM 可能需要開啟案例,而且需要銷售,但可以進行合理成本。 略過具有 PIN 保護裝置的 TPM 會產生更多成本,而且需要暴力密碼強制執行 PIN。 使用複雜的增強式 PIN,幾乎不可能。 若要深入瞭解原則設定,請參閱 允許增強型 PIN 啟動

針對安全的系統管理工作站,建議您:

  • 搭配 PIN 保護裝置使用 TPM
  • 停用待命電源管理
  • 在裝置離開授權使用者的控制權之前關閉或休眠裝置

後續步驟

瞭解如何在組織中規劃 BitLocker 部署:

BitLocker 規劃指南 >