多くの非営利組織と協力して、スタッフが使用するラップトップなどのデバイスは、Bitlockerを使用して暗号化されています。残念ながら、デバイス(寄贈されることが多い)にはTPMが搭載されていないため、Bitlockerは ローカルグループポリシー を使用して有効になっています。
スタッフは仕事の一環としてさまざまな場所を頻繁に訪れます。デバイスは個人を特定できる情報、財務データなどの機密情報を保存するため、データの保護が最も重要です。さらに、ユーザーはメールなどの複数のオンラインサービスにログインしたままになることがよくあります。 Gmail。デバイスの紛失は、金銭的または財産的な観点から見ると二次的なものです。
A 質問 ピンを使用する場合のデバイスの安全性についての質問は、上記の質問には特に触れていません。
- デバイスが盗まれた場合、TPMなしでBitlockerを使用すると、セキュリティレベルが比較的低下しますか?
はい、TPMはマスターキーをさらに保護するために使用されます。これがないと、ビットロッカーのセキュリティは確実に低下します。マイクロソフトの秘密の性質上、どれほどのものかを言うことは不可能ですが、信頼しないことをお勧めします。
- はいの場合、データを保護するためのオプションは何ですか(インターネット接続が常に可能であるとは限らないため、DropBoxなどのサービスからのデータへのアクセスが常に可能であるとは限りません。スタッフはデータのローカルコピーで作業することがよくあります)
Dropboxはとにかくあなたの問題を解決しません。他のフルディスク暗号化ソリューションを探すことをお勧めします。個人的にはVeraCryptを使用していますが、他のソリューションも利用できます。 VeraCryptはTPMの代わりに低速のKDFを使用するため、強力なパスワードを使用する限り、データを細かく保護します。 (コンピューターの電源が入っている場合、コールドブート攻撃などの理論的な攻撃がありますが、これを阻止するのは非常に困難です。コンピューターもログインしている場合、明らかに暗号化の量は役に立ちません)
- ユーザーがオンラインサービスにログインしたままの場合、デバイスが盗まれた場合や、ユーザーがログオフしない場合、これらは侵害されるリスクがありますか?
ほとんどのオンラインサービスでは、すべてのコンピューターからログアウトできます。これは、デバイスが盗まれた場合に行う必要があります。また、パスワードはブラウザーやコンピューターの他の場所に保存される可能性があるため、パスワードを変更することをお勧めします。コンピュータドライブが暗号化されている場合でも、リスクはほとんどありません。
- これらのデバイスの数を評価する際、Bitlockerはしばしば一時停止され、手動で再度有効にする必要があることを確認しました。たとえば、攻撃者がLiveCDを使用してデバイスを起動した場合、データが危険にさらされるリスクが増加しますか?
これについてはよくわかりません。これは、TPMが搭載されていないコンピュータにも当てはまりません。
- デバイスをさらに保護できますか?もしそうなら?たとえば、BIOSパスワードを有効にする必要がありますか?
BIOSパスワードはセキュリティをほとんど提供しません。私は良いFDEとWindowsアカウントのブート+平凡なパスワードで強力なパスワードをお勧めします。次に、[Windowsキー+ L]を使用して、離れるときはいつでもデバイスをロックします。 最も高いリスクは、多くの場合、攻撃者にとって非常に簡単であるため、ロックを解除したときにラップトップが奪われることです。