TPMのないシステムにBitlockerをインストールする場合は、フラッシュドライブにスタートアップキーを配置する必要があります。
ユーザーがノートブックとフラッシュドライブを別々に保管することはほとんど期待できないので、Bitlockerは、両方が紛失/盗難にあった場合、暗号化されていないシステムよりも優れていますか?
両方が同じ泥棒に盗まれた場合、Bitlockerの動作についてある程度の知識がありますが、ファイルシステムが侵入されたと考えられます。
データが非常に重要な場合はTPMの使用を検討するか、TPM + PINの使用を検討することをお勧めします。本当に必要な場合は誰でも手に入れることができるUSBキーではなく、頭の中にあるものに頼るほうがよいでしょう。
私はこの質問が古いことを知っていますが、これに対する私自身の答えを探している間、私は関連する質問でそれを見つけました。
Manage-bdeを使用して、デバイスのロックを解除するためにUSBとパスワードの両方を要求できます。これにより、マシンのロック解除が2FAの試練に効果的に変わります。複数のプロテクターを適用するオプションを提供しないBitlockerUIとは異なり、manage-bdeツールでは、既に理解している可能性が高い「起動時に追加の認証が必要」がある場合に複数のプロテクターを指定できます。私の推測では、コマンドは次のように実行されます。
manage-bde –protectors -add C:-startupkey [USB DRIVE]
manage-bde -on C:
[暗号化後]
manage-bde -protectors -add C:pw
1つのコマンドでこれを実行できる可能性があります。新しいエンドポイントでテストするための適切な手段がありませんが、古いラップトップで実行して、実行できるかどうかをお知らせします。これを1つのコマンドで実行すると、表示内容に基づいて適宜編集されます。
TPMを使用しても、Bitlockerが危険にさらされる可能性があります。確かにそれはありそうもないですが、それはすべてあなたのデータがあなたにとってどれだけの価値があるか、そして誰がそれに興味を持っているかに依存します。
平均的なジョーにとって、それは価値がありません。
CEOレベルのセキュリティについては、少なくとも暗号化の層を追加することを検討していると思います。
参照: http://www.schneier.com/blog/archives/2009/12/defeating_micro.html
BitLockerに対する2つの既存の攻撃は、かなりの範囲です。被害者のコンピューターに2回アクセスすることは、非常にまれなイベントです。ほとんどの場合はどうなりますか?ラップトップ/ワークステーションは、まとめて、またはハードドライブだけが盗まれます。 BitLockerは、データを「安全」に保ちます(もちろん、100%のセキュリティはありません)。
CEOのデータだけが重要ですか?本当に?ランダムな従業員ファイルを使用すると、かなりのダメージを与えることができると思います。
「ユーザーがノートブックとフラッシュドライブを別々に保管することはほとんど期待できないため[...]」従業員に基本的なセキュリティ動作を教えることができない場合、ほとんどの予防策は失敗します。
ここで誤解しないでください、しかしセキュリティは簡単な方法ではありません:)