Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: kyssling02 04. 07. 2023, 13:37:30
-
Zdravím, měl bych dotaz.
Když mám TPM čip a zašifrovaný oddíl BitLockerem, pokud v BIOSU TPM čip disabluju, chápu správně, že Windows mě vyzve k vložení USB s klíčem, případně dlouhého hesla (obnovovacího klíče) ?
a potom, není to vypnutí čipu "nadstavba" zabezpečení ? (heslo BitLocker + Heslo Windows) ?
Nebo v praxi se jen nasazuje BitLocker, pro případ ztráty (odcizení) disku ?
(poněvadž když někdo ukradne notebook, a TPM je zapnutý a "dostane" se skrz přihlášení, tak je vlastně BitLocker na nic ...) Chápu to správně ?
Díky !
-
Tak už odpověď znám, omlouvám se ...
https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/
gpedit, vyžadovat PIN a nastavit příkazovým řádkem ...
-
Bitlocker není samostatně funkční celek. Je to nástroj, nikoli řešení. K zabezpečení musíš přistupovat komplexně, jinak budeš jen žít v celkem falešném pocitu bezpečí a nikdy na to nepřijdeš...
Vypnutí TPM je kravina a v běžném provozu pruda. Pokud tedy nejsi megaparanoik, co vidí za každým čipem bubáka z NSA, který je nasazený přímo na něj aby mu vysál sbírku manga komixů.
Ad bitlocker a TPM, je krajně vhodné:
- zapnout secureboot
- vypnout bootování ze všeho kromě disku
- Bios zaheslovat
- zabezpečit všechny účty na daném PC (ano, bitlocker + tpm + admin bez hesla je úplně nahouby)
- naplánovat a otestovat správnou exit strategy pro případ nouze. Kde budou recovery klíče, jak dlouho mi potrvá, než se k nim dostanu když mi komp chcípne, jak mě to omezí v práci - atd.
Zapomněl jsem na něco zássadního? Snad ne...
https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/
-
Děkuji za obsáhlou odpověď, měl bych tedy ještě takový poddotaz :
Nevíte zda lze dosáhnout toho, abych na Windows 11 HOME po zašifrování BitLockerem vynutil i vložení PINu ?
Na PRO verzi Win10 už postup znám, jde mě o to zda má smysl přidávat do Home verze gpedit.msc a zapínat šifrování, když stejně ten PIN po zapnutí nevynutím ...
Díky !
Bitlocker není samostatně funkční celek. Je to nástroj, nikoli řešení. K zabezpečení musíš přistupovat komplexně, jinak budeš jen žít v celkem falešném pocitu bezpečí a nikdy na to nepřijdeš...
Vypnutí TPM je kravina a v běžném provozu pruda. Pokud tedy nejsi megaparanoik, co vidí za každým čipem bubáka z NSA, který je nasazený přímo na něj aby mu vysál sbírku manga komixů.
Ad bitlocker a TPM, je krajně vhodné:
- zapnout secureboot
- vypnout bootování ze všeho kromě disku
- Bios zaheslovat
- zabezpečit všechny účty na daném PC (ano, bitlocker + tpm + admin bez hesla je úplně nahouby)
- naplánovat a otestovat správnou exit strategy pro případ nouze. Kde budou recovery klíče, jak dlouho mi potrvá, než se k nim dostanu když mi komp chcípne, jak mě to omezí v práci - atd.
Zapomněl jsem na něco zássadního? Snad ne...
https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/
-
HOME verze oficialne bitlocker neobsahuje.
-
Koho by to zajímalo jak to funguje, tak viz odpověď na: https://forum.root.cz/index.php?topic=20304.0