web-dev-qa-db-ja.com

BitLockerドライブ暗号化はネットワーク上のドライブマッピングから保護されていません

BitLockerドライブ暗号化で暗号化されたUSBドライブを持っています。ドライブをUSBポートに挿入するたびに期待どおりに機能し、パスワードを入力する必要があります。

BitLockerドライブ暗号化の設定が間違っているか不明な場合がありますが、USBドライブを挿入してパスワードを入力すると、同じネットワーク上の別のネットワークIDを持つ完全に別のPCに移動して、すべてを確認できます。私の親指ドライブ。他のPCからのすべてを表示できるだけでなく、書き込みを行うこともできます。他のPCからマップした場合、パスワードを入力する必要があると思いました。

他のPCが暗号化されたドライブにマップして、すべてに完全にアクセスできる理由を誰かが説明できますか?

17
Rose

BitLockerが何から保護することになっているのかを誤解している。 BitLockerの目標は、コールドブート攻撃からデータを保護することです( Technetブログエントリで説明されています )。

BitLockerで保護されたボリュームのロックを解除すると、システムはドライブの復号化に必要なキーにアクセスし、通常のドライブのように動作します。

これは、BitLockerについて知らなくても、システムをあらゆるアプリケーション(およびドライバー)と互換性を持たせるために必要です。 (それが透過的ディスク暗号化と呼ばれる理由です。アプリケーションとドライバーはそれを認識しません。)

これは、ネットワーク上でボリュームを自由に共有できることを意味します。データにアクセスできるユーザーにACL制限の種類を不注意に適用しないと、誰もが自由にデータにアクセスできます。

58
Stephane

パスワードを入力すると、暗号化がOSに対して透過的になるため、ドライブは他の暗号化されていないドライブと同じように動作します。

ドライブを共有し、他のユーザー/コンピューターがそのドライブにアクセスするために必要なアクセス許可を持っている場合、他のユーザーやコンピューターはアクセスを行うことができ、ドライブが暗号化されていることさえわかりません。

フルディスク暗号化は、たとえば、盗まれた場合に、ストレージメディア自体に対するオフライン攻撃から保護するように設計されています。これは、パスワードを取得したマシンにアクセスすることから保護するようには設計されていません。この時点では、ドライブのアクセス権とネットワーク共有設定に基づいてドライブへのアクセスを制限するのはマシンの責任です。

22
user42178