Bitlocker 구성에 Pin Protection을 추가하는 것이 좋습니다.

Bitlocker는 Windows 장치의 데이터를 보호하는 데 사용되는 Microsoft의 인기 있는 암호화 기술입니다. 가정 사용자와 기업 고객은 Bitlocker를 사용하여 시스템과 데이터를 보호할 수 있습니다.

Bitlocker는 기본적으로 편리한 방식으로 작동합니다. 사용자는 부팅 중에 핀이나 비밀번호를 입력할 필요가 없습니다. 이 모든 것이 시스템에서 자동으로 처리되기 때문입니다.

: Windows 10 가이드에서 Bitlocker 설정 방법을 확인하세요.

핀을 설정하는 것은 선택 사항이지만 최근 기사로 적극 권장됩니다. 돌로스 그룹의 블로그 제안하다. 회사는 조직의 표준 보안 스택으로 구성된 조직으로부터 랩톱을 받았습니다. 랩톱은 TPM 및 Bitlocker로 완전히 암호화되었으며 BIOS 암호가 설정되어 있고 BIOS 부팅 순서가 잠겼으며 보안 부팅을 사용하여 서명되지 않은 운영 체제가 부팅되지 않도록 했습니다.

비트로커 켜기

보안 연구원은 시스템이 Windows 10 로그인 화면으로 바로 부팅되고 있음을 발견했습니다. 이것은 사용자가 그 전에 핀이나 암호를 입력할 필요가 없었고 TPM에서 키를 가져왔다는 것을 의미했습니다.

연구원들은 TPM 칩에 대한 정보를 찾아보고 그것이 어떻게 통신하는지 발견했습니다. Bitlocker는 'TPM 2.0 표준의 암호화된 통신 기능 중 하나'를 사용하지 않으며, 이는 통신이 일반 텍스트로 이루어짐을 의미합니다.

랩톱을 열고 프로브를 사용하여 부팅하는 동안 데이터를 기록했습니다. 오픈 소스 도구 h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit 데이터에서 Bitlocker 키를 감지하는 데 사용되었습니다. 그런 다음 랩톱의 솔리드 스테이트 드라이브를 해독하는 데 사용되었습니다.

연구원들은 가상 환경에서 이미지를 부팅한 후 시스템에 들어갈 수 있었습니다. 거기에서 그들은 회사 VPN에 연결할 수 있었습니다.

완화

Bitlocker는 사전 부팅 인증 키 설정을 지원합니다. 해당 키가 설정되어 있으면 시스템이 부팅되기 전에 입력해야 합니다. 이것은 VeraCrypt 및 기타 타사 암호화 프로그램이 작동하는 방식과 유사하게 작동합니다. VeraCrypt는 시스템 드라이브가 암호화된 경우 부팅하는 동안 암호와 PIM 프롬프트를 표시합니다. 드라이브의 암호를 해독하고 운영 체제를 부팅하려면 사용자가 올바른 암호와 PIM을 입력해야 합니다.

연구원들은 사용자가 시스템과 데이터를 보호하기 위해 PIN을 설정할 것을 제안합니다.

PIN 보호기를 사용하여 TPM으로 설정된 사전 부팅 인증(TPM 안티 해머링 완화를 돕는 정교한 영숫자 PIN[향상된 핀] 사용).

Bitlocker 사전 부팅 인증 PIN 설정

메모 : Bitlocker 드라이브 암호화는 Windows 10 Pro 및 Enterprise에서 사용할 수 있습니다. 가정용 기기에는 드라이브 암호화가 있으며 이는 다릅니다. 대신에 VeraCrypt를 사용하여 홈 장치의 데이터를 더 잘 보호할 수 있습니다. Windows 10에서는 설정을 열고 장치 암호 해독을 검색하고 결과에서 옵션을 선택하여 장치 암호 해독이 사용되는지 확인할 수 있습니다.

  1. 그룹 정책 편집기를 엽니다.
    1. 키보드 단축키 Windows-R 사용
    2. gpedit.msc를 입력하고 Enter 키를 누릅니다.
  2. 사이드바의 폴더 구조를 사용하여 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브로 이동합니다.
  3. 두 번 클릭 시작 시 추가 인증 필요 기본 창에서.
  4. 정책을 사용으로 설정합니다.
  5. 'TPM 시작 PIN 구성'에서 메뉴를 선택하고 'TPM으로 시작 PIN 필요'로 설정합니다.
  6. 확인을 클릭하여 방금 변경한 내용을 저장합니다.

사전 부팅 인증 방법으로 PIN을 수락하도록 시스템을 준비했지만 아직 PIN을 설정하지 않았습니다.

  1. 시작을 엽니다.
  2. cmd.exe를 입력합니다.
  3. 관리자 권한으로 실행을 선택하여 관리자 권한 명령 프롬프트 창을 시작합니다.
  4. 다음 명령을 실행하여 사전 부팅 PIN을 설정합니다. manage-bde -protectors -add C: -TPMAndPIN
  5. PIN을 입력하고 동일한지 확인하라는 메시지가 표시됩니다.

PIN이 설정되고 다음 부팅 시 PIN을 입력하라는 메시지가 표시됩니다. 상태를 확인하려면 manage-bde -status 명령을 실행할 수 있습니다.

지금 당신: 당신은 당신의 하드 드라이브를 암호화합니까? (을 통해 태어나다 )