web-dev-qa-db-ja.com

TPMなしでBitlockerとパスワードに依存しているデバイスを保護するにはどうすればよいですか?

多くの非営利組織と協力して、スタッフが使用するラップトップなどのデバイスは、Bitlockerを使用して暗号化されています。残念ながら、デバイス(寄贈されることが多い)にはTPMが搭載されていないため、Bitlockerは ローカルグループポリシー を使用して有効になっています。

スタッフは仕事の一環としてさまざまな場所を頻繁に訪れます。デバイスは個人を特定できる情報、財務データなどの機密情報を保存するため、データの保護が最も重要です。さらに、ユーザーはメールなどの複数のオンラインサービスにログインしたままになることがよくあります。 Gmail。デバイスの紛失は、金銭的または財産的な観点から見ると二次的なものです。

  1. デバイスが盗まれた場合、TPMなしでBitlockerを使用すると、セキュリティレベルが比較的低下しますか?
  2. はいの場合、データを保護するためのオプションは何ですか(インターネット接続が常に可能であるとは限らないため、DropBoxなどのサービスからのデータへのアクセスが常に可能であるとは限りません。スタッフはデータのローカルコピーで作業することがよくあります)
  3. ユーザーがオンラインサービスにログインしたままの場合、デバイスが盗まれた場合や、ユーザーがログオフしない場合、これらは侵害されるリスクがありますか?
  4. これらのデバイスの数を評価する際、Bitlockerはしばしば一時停止され、手動で再度有効にする必要があることを確認しました。たとえば、攻撃者がLiveCDを使用してデバイスを起動した場合、データが危険にさらされるリスクが増加しますか?
  5. デバイスをさらに保護できますか?もしそうなら?たとえば、BIOSパスワードを有効にする必要がありますか?

A 質問 ピンを使用する場合のデバイスの安全性についての質問は、上記の質問には特に触れていません。

1
Motivated
  1. デバイスが盗まれた場合、TPMなしでBitlockerを使用すると、セキュリティレベルが比較的低下しますか?

はい、TPMはマスターキーをさらに保護するために使用されます。これがないと、ビットロッカーのセキュリティは確実に低下します。マイクロソフトの秘密の性質上、どれほどのものかを言うことは不可能ですが、信頼しないことをお勧めします。

  1. はいの場合、データを保護するためのオプションは何ですか(インターネット接続が常に可能であるとは限らないため、DropBoxなどのサービスからのデータへのアクセスが常に可能であるとは限りません。スタッフはデータのローカルコピーで作業することがよくあります)

Dropboxはとにかくあなたの問題を解決しません。他のフルディスク暗号化ソリューションを探すことをお勧めします。個人的にはVeraCryptを使用していますが、他のソリューションも利用できます。 VeraCryptはTPMの代わりに低速のKDFを使用するため、強力なパスワードを使用する限り、データを細かく保護します。 (コンピューターの電源が入っている場合、コールドブート攻撃などの理論的な攻撃がありますが、これを阻止するのは非常に困難です。コンピューターもログインしている場合、明らかに暗号化の量は役に立ちません)

  1. ユーザーがオンラインサービスにログインしたままの場合、デバイスが盗まれた場合や、ユーザーがログオフしない場合、これらは侵害されるリスクがありますか?

ほとんどのオンラインサービスでは、すべてのコンピューターからログアウトできます。これは、デバイスが盗まれた場合に行う必要があります。また、パスワードはブラウザーやコンピューターの他の場所に保存される可能性があるため、パスワードを変更することをお勧めします。コンピュータドライブが暗号化されている場合でも、リスクはほとんどありません。

  1. これらのデバイスの数を評価する際、Bitlockerはしばしば一時停止され、手動で再度有効にする必要があることを確認しました。たとえば、攻撃者がLiveCDを使用してデバイスを起動した場合、データが危険にさらされるリスクが増加しますか?

これについてはよくわかりません。これは、TPMが搭載されていないコンピュータにも当てはまりません。

  1. デバイスをさらに保護できますか?もしそうなら?たとえば、BIOSパスワードを有効にする必要がありますか?

BIOSパスワードはセキュリティをほとんど提供しません。私は良いFDEとWindowsアカウントのブート+平凡なパスワードで強力なパスワードをお勧めします。次に、[Windowsキー+ L]を使用して、離れるときはいつでもデバイスをロックします。 最も高いリスクは、多くの場合、攻撃者にとって非常に簡単であるため、ロックを解除したときにラップトップが奪われることです。

1
Peter Harmann