Отримання даних з обмежень приводу Bitlocker, де Bitlocker використовує TPM і без пароля

Я досліджую безпеку Bitlocker у поєднанні з TPM і безпечним завантаженням (і без пароля для Bitlocker або BIOS), і я бореться з чимось -

Чи Windows захищає ранній процес завантаження?

Наприклад - скажемо, що комп'ютер з зашифрованим накопичувачем bitlocker викрадений, але злодій не знає облікових даних для входу в Windows. Що, якщо такі існують, захист для запобігання вторгненню внесення змін до ранньої середовища завантаження, щоб дозволити theif додавати / змінювати пароль / отримувати оболонку, не вимагаючи дійсного входу?

Можливо, просячи питання, але чи є процес раннього завантаження підписаний / виміряний таким чином, щоб запобігти цьому вектору атаки, і якщо так, то як?

Бонус, якщо хто-небудь може порадити спосіб фактично обійти Bitlocker / TPM захисту / ланцюга без використання ключа відновлення Bitlocker. (Я вважаю, що існує / теоретично був механізм зловживання процесом оновлення Windows, щоб обійти цей захист, але я не знаю, як це буде реалізовано або як важко - або якщо є простіші способи)

Щоб пояснити елементи мого повідомлення:

У це посилання Microsoft повідомляє: "Режим аутентифікації лише для TPM найлегше розгортати, керувати та використовувати. Він також може бути більш підходящим для комп'ютерів, які не обслуговуються або повинні перезапускатися під час автоматичного керування. Однак у режимі TPM є лише найменша кількість даних Якщо частини вашої організації містять дані, які вважаються дуже чутливими для мобільних комп'ютерів, розгляньте можливість розгортання BitLocker з багатофакторною аутентифікацією на цих комп'ютерах. " - Я намагаюся кількісно оцінити цей ризик.

Коли я говорю "ранній процес завантаження", я говорю про те, коли Windows завантажує завантаження, але перед завантаженням основної операційної системи (тобто заглушку / початковий біт, який завантажує драйвер Bitlocker та інші ранні процеси, які знаходяться на неприйнятному рівні -шифрований розділ, який має привід bitlocker - і потім віддаляється до головного завантаження)

Як Windows захищає процес початку завантаження?

Windows не намагається захистити процес початку завантаження (все, що відбувається перед завантажувачем Windows). Безпечне завантаження, функція UEFI, виконує це завдання. Коли виявляються зміни конфігурації, BitLocker вимагатиме введення ключа відновлення. Це запобігає витягуванню жорсткого диска з комп'ютера та розміщенню його в іншому без ключа відновлення BitLocker. Системний диск, захищений BitLocker, встановлений у Windows, не може бути розблоковано без ключа відновлення.

Які, якщо такі існують, засоби захисту, що запобігають вторгненню вносити зміни до ранньої завантажувальної середовища, щоб дозволити злодію додавати / змінювати пароль / отримувати оболонку, не вимагаючи правильного входу?

Якщо виявлено будь-які зміни до модуля TPM, BitLocker запросить ключ відновлення. У разі внесення будь-яких змін в прошивку UEFI BitLocker запросить ключ відновлення. Оскільки BitLocker є повним шифруванням дисків, немає доступу до даних без ключа відновлення.

Можливо, просячи питання, але чи є процес раннього завантаження підписаний / виміряний таким чином, щоб запобігти цьому вектору атаки, і якщо так, то як?

Безпечне завантаження запобігає завантаженню в непідписані операційні системи.

Безпечне завантаження - це стандарт безпеки, розроблений членами індустрії ПК, щоб переконатися, що пристрій завантажується, використовуючи лише програмне забезпечення, якому довіряє виробник оригінального обладнання (OEM). Коли комп'ютер запускається, мікропрограма перевіряє підпис кожного програмного забезпечення для завантаження, включаючи драйвери прошивки UEFI (також відомі як Option ROM), програми EFI та операційну систему. Якщо підписи дійсні, комп'ютер завантажується, а програмне забезпечення надає контроль операційній системі.

Джерело: Безпечне завантаження

Чи може хто-небудь порадити спосіб фактично обійти захист / ланцюг Bitlocker / TPM без використання ключа відновлення BitLocker.

Якщо така уразливість існує з BitLocker, вона не була опублікована.

Я вважаю, що є / теоретично був механізм зловживання процесом оновлення Windows, щоб обійти цей захист, але я не маю уявлення, як це буде реалізовано або як важко - або якщо є простіші способи

Цей теоретичний механізм обходу захисту BitLocker не існує, як ви його описуєте. Для завантаження у середовище інсталяції Windows потрібно змінити конфігурацію вбудованого програмного забезпечення пристрою. Крім того, не можна інсталювати Windows на себе, на зашифрованому томі з середовища інсталяції.

Проте режим TPM-only забезпечує найменший обсяг захисту даних. Якщо у вашій організації є дані, які вважаються дуже чутливими для мобільних комп'ютерів, розгляньте можливість розгортання BitLocker з багатофакторною аутентифікацією на цих комп'ютерах.

Я не думаю, що це стосується TPM 1.2. Документація, на яку ви посилаєтеся, - це Windows Vista, яка не підтримує TPM 1.2.

Коли я говорю "ранній процес завантаження", я говорю про те, коли Windows бере початок завантаження, але перед завантаженням основної ОС (тобто заглушку / початковий біт, який завантажує драйвер BitLocker та інші ранні процеси, які знаходяться на не-процесорі -шифрований розділ, на якому є диски BitLocker, - і потім передає головний завантажувач)

Таким чином, ви маєте на увазі завантажувач Windows. Як я вже зазначив, будь-яка зміна конфігурації призведе до того, що ключ відновлення буде необхідний для розшифровки даних.