¿Cómo proteger los dispositivos que dependen de Bitlocker y una contraseña sin TPM?

1

Al trabajar con varias organizaciones sin fines de lucro, los dispositivos como las computadoras portátiles que usa el personal se cifran con Bitlocker. Desafortunadamente, dado que los dispositivos (a menudo donados) no tienen TPM, Bitlocker se ha habilitado usando políticas de grupo local .

El personal frecuenta diferentes ubicaciones como parte de su trabajo. Como los dispositivos almacenan información confidencial, como información de identificación personal, datos financieros, etc., la protección de los datos es primordial. Además, los usuarios a menudo permanecen conectados a múltiples servicios en línea como correo electrónico, por ejemplo. GMail. La pérdida del dispositivo es secundaria desde una perspectiva financiera o de propiedad.

  1. Si un dispositivo es robado, el uso de Bitlocker sin TPM ofrece un ¿Nivel de seguridad degradado comparativamente?
  2. En caso afirmativo, ¿qué opciones existen para proteger los datos (suponga que la conectividad a Internet no siempre es posible, por lo que no siempre es posible acceder a datos de servicios como DropBox? El personal a menudo trabaja en copias locales de datos)
  3. Si los usuarios permanecen conectados a los servicios en línea, ¿corren el riesgo de verse comprometidos en caso de robo de un dispositivo y si los usuarios no se desconectan?
  4. Al evaluar varios de estos dispositivos, he observado que Bitlocker a menudo se suspende y se debe volver a habilitar manualmente. ¿Aumenta esto el riesgo de que los datos se vean comprometidos si un actor de amenazas iniciara el dispositivo utilizando un LiveCD, por ejemplo?
  5. ¿Se puede asegurar más el dispositivo? ¿Si es así, cómo? Por ejemplo, ¿deberían habilitarse las contraseñas del BIOS?

Una pregunta sobre qué tan seguro es un dispositivo cuando el uso de un pin no toca específicamente las preguntas anteriores.

    
pregunta Motivated 14.10.2018 - 10:02
fuente

1 respuesta

1
  
  1. Si un dispositivo es robado, ¿el uso de Bitlocker sin TPM ofrece un nivel de seguridad degradado comparativamente?
  2.   

Sí, los TPM se utilizan para proteger aún más la clave maestra. Sin él, la seguridad de bitlocker es ciertamente degradada. Debido a la naturaleza secreta de Microsoft, es imposible decir cuánto, pero sería recomendable no confiar en él.

  
  1. En caso afirmativo, ¿qué opciones existen para proteger los datos (suponga que la conectividad a Internet no siempre es posible, por lo que no siempre es posible acceder a datos de servicios como DropBox? El personal a menudo trabaja en copias locales de datos)
  2.   

Dropbox no resolvería tu problema de todos modos. Es posible que desee buscar otras soluciones de cifrado de disco completo. Personalmente uso VeraCrypt, pero también hay otras soluciones disponibles. VeraCrypt usa un KDF lento en lugar de TPM, por lo que siempre que use contraseñas seguras, protegerá la multa de los datos. (Tenga en cuenta que si la computadora está encendida, hay ataques teóricos, como los ataques de arranque en frío, pero son muy difíciles de lograr. Si la computadora también está conectada, obviamente, no habrá ninguna cantidad de cifrado)

  
  1. Si los usuarios permanecen conectados a los servicios en línea, ¿corren el riesgo de verse comprometidos en caso de robo de un dispositivo y si los usuarios no se desconectan?
  2.   

La mayoría de los servicios en línea le permiten desconectarse de todas las computadoras. Esto debe hacerse si un dispositivo es robado. También es recomendable cambiar las contraseñas, ya que se pueden guardar en el navegador o en cualquier otro lugar de la computadora. Aunque si la unidad de la computadora está encriptada, existe poco riesgo.

  
  1. Al evaluar varios de estos dispositivos, he observado que Bitlocker a menudo se suspende y se debe volver a habilitar manualmente. ¿Aumenta esto el riesgo de que los datos se vean comprometidos si un actor de amenazas iniciara el dispositivo utilizando un LiveCD, por ejemplo?
  2.   

No estoy seguro de esto. Me parece que esto ni siquiera debería solicitar una computadora sin un TPM.

  
  1. ¿Se puede asegurar más el dispositivo? ¿Si es así, cómo? Por ejemplo, ¿deberían habilitarse las contraseñas del BIOS?
  2.   

Las contraseñas de BIOS proporcionan poca seguridad adicional. Sugeriría un buen FDE y una contraseña segura en el inicio + contraseña mediocre para la cuenta de Windows. Luego use [Windows Key + L] para bloquear el dispositivo cada vez que salga. El riesgo más alto es a menudo que la computadora portátil sea arrebatada cuando está desbloqueada, ya que es mucho más fácil para los atacantes.

    
respondido por el Peter Harmann 14.10.2018 - 12:29
fuente

Lea otras preguntas en las etiquetas