Защита BitLocker от атак предзагрузочной среды
Это подробное руководство поможет вам понять условия, в которых рекомендуется использовать проверку подлинности в предзагрузочной среде для устройств, работающих с Windows 10, Windows 8.1, Windows 8 или Windows 7, а также когда ее безопасно не использовать в конфигурации устройства.
BitLocker использует шифрование для защиты данных на диске, но безопасность, обеспечиваемая BitLocker, эффективна, только если ключ шифрования защищен. Многие пользователи применяют предзагрузочную проверку подлинности для защиты целостности операционной системы, решение шифрования диска (например, ключи шифрования) и данных компьютера от автономных атак. При использовании предзагрузочной проверки подлинности пользователям для снятия блокировки зашифрованных томов и запуска Windows необходимо указывать учетные данные определенной формы. Обычно их подлинность подтверждается с помощью PIN-кода или USB-устройства флэш-памяти, используемого в качестве ключа.
Шифрование всего тома с помощью BitLocker очень важно для защиты целостности данных и системы на устройствах, работающих с операционной системой Windows 10, Windows 8.1, Windows 8 или Windows 7. Не менее важно защищать и ключ шифрования BitLocker. На устройствах Windows 7 для обеспечения достаточной защиты этого ключа зачастую требуется предзагрузочная проверка подлинности, которую многие пользователи считают неудобной и которая осложняет управление устройствами.
Предзагрузочная проверка подлинности обеспечивает превосходную защиту запуска, но она затрудняет жизнь пользователей и увеличивает затраты на управление ИТ. Каждый раз, когда компьютер не используется, его необходимо переводить в спящий режим (другими словами, завершать его работу и выключать питание). Пре перезапуске компьютера пользователям необходимо пройти проверку подлинности, и только после этого зашифрованные тома будут разблокированы. Это требование ведет к увеличению времени перезапуска и не позволяет пользователям получить удаленный доступ к компьютерам, поскольку для прохождения проверки подлинности им необходим физический доступ к компьютеру. Все это делает предзагрузочную проверку подлинности неприемлемой в современном мире ИТ, где пользователи хотят, чтобы их устройства включались мгновенно, а ИТ-специалисты требуют, чтобы компьютеры были постоянно подключены к сети.
Если пользователи теряют свой USB-ключ или забывают PIN-код, они не могут получить доступ к своим компьютером без ключа восстановления. При наличии надлежащим образом настроенной инфраструктуры служба поддержки организации сможет предоставить ключ восстановления, но это ведет к увеличению затрат на поддержку, а пользователи могут потерять несколько часов продуктивного рабочего времени.
Начиная c Windows 8, процесс безопасной загрузки и надежной загрузки Windows обеспечивает целостность операционной системы, давая возможность Windows запускаться автоматически при минимальном риске применения злонамеренных средств запуска и пакетов программы rootkit. Кроме того, многие современные устройства в своей основе являются физически устойчивыми к сложным атакам на памяти компьютера, и теперь Windows проверяет подлинность пользователя, прежде чем предоставить доступ к устройствам, которые могут представлять угрозу компьютеру и ключам шифрования.
В этом разделе
Следующие разделы помогут понять, каким компьютерам все еще требуется предзагрузочная проверка подлинности, а какие могут удовлетворить требования в отношении безопасности без сопутствующих неудобств.