Как защитить конфигурацию Bitlocker с помощью ПИН-кода в Windows 11 и 10

Домашние пользователи и корпоративные клиенты могут защитить систему и чувствительные данные с помощью Bitlocker. По умолчанию Bitlocker работает самым удобным, но не самым безопасным образом — пользователям не нужно вводить ПИН-код или пароль во время загрузки.

Установка ПИН-кода при этом не является обязательной, но как показывает недавняя история в блоге компании Dolos Group, лучше это все-таки сделать. Компания получила портативный компьютер от организации, в которой был настроен стандартный корпоративный стек безопасности. Ноутбук был полностью зашифрован с помощью TPM и Bitlocker, для него был установлен пароль BIOS, порядок загрузки BIOS был заблокирован, а для предотвращения загрузки неподписанных операционных систем использовалась безопасная загрузка.

Исследователи безопасности обнаружили, что система загружалась прямо на экране входа в Windows 10, т.е. пользователям не нужно было вводить ПИН-код или пароль для извлечения ключа из TPM.

В результате анализа взаимодействий микросхемы TPM исследователи установили, что Bitlocker не использует «какие-либо функции зашифрованного обмена данными стандарта TPM 2.0», а это означает, что обмен данными осуществляется в виде обычного текста.

Во время загрузки системы исследователи использовали модули для записи данных, а для обнаружения ключа Bitlocker в этих данных применялся инструмент с открытым исходным кодом, доступный в репозитории https://github.com/FSecureLABS/bitlocker-spi-toolkit. Затем извлеченный ключ использовался для расшифровки твердотельного накопителя ноутбука.

Исследователям удалось попасть в систему после загрузки ее образа в виртуальной среде. Затем у них получилось подключиться к корпоративной VPN.

Как обезопасить себя от этих рисков

Bitlocker поддерживает установку ключа аутентификации перед загрузкой. Если этот ключ установлен, то его необходимо ввести до загрузки системы. Данный механизм работает аналогично приложению VeraCrypt и другим сторонним программам для шифрования. Если системный диск зашифрован, то VeraCrypt запрашивает пароль и PIM (персональный множитель итераций). Пользователи должны ввести правильный пароль и PIM, чтобы расшифровать диск и загрузить операционную систему.

Исследователи рекомендуют пользователям установить ПИН-код для защиты системы и данных:

Установите сложный буквенно-цифровой ПИН-код для системы аутентификации TPM до загрузки системы (сложный ПИН позволит защититься от перебора паролей).

Как настроить аутентификацию Bitlocker до загрузки с помощью ПИН-кода

• Откройте редактор групповой политики:
  • Используйте сочетание клавиш Win+R
  • Введите gpedit.msc и нажмите клавишу Enter.
• Используя структуру папок на боковой панели, перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы.
• Дважды щелкните по параметру Этот параметр политики позволяет настроить требование дополнительное проверки подлинности при запуске.
• Установите для параметра значение Включено.
• Выберите меню в разделе Настройка ПИН-код запуска доверенного платформенного модуля и установите для него значение Требовать ПИН-код запуска с доверенным платформенным модулем.
• Щелкните ОК, чтобы сохранить только что внесенные изменения.

Теперь вы настроили требование Пин-кода в качестве метода проверки подлинности до загрузки, но не установили сам ПИН-кода:

• Откройте меню «Пуск».
• Введите cmd.exe.
• В меню правой кнопкой мыши выберите Запуск от имени администратора, чтобы открыть окно командной строки с повышенными привилегиями.
• Чтобы установить ПИН-код, введите следующую команду:

manage-bde -protectors -add C: -TPMAndPIN

• Вам будет предложено ввести ПИН-код и повторить его ввод.

После этого ПИН-код будет установлен и при следующей загрузке вам будет предложено ввести его. Чтобы проверить статус, вы можете запустить команду:

manage-bde -status