Насколько полезный Bitlocker без TPM?
Некоторые типы лицензий Windows Server 2008, Vista (и я принимаю Windows 7) ищут экземпляр Сервиса управления ключами (KMS) в Вашей сети. Я думаю ошибка, которую Вы получаете, Win2k8, говоря, что это не может найти этот сервис.
Эта кавычка от страницы Volume Licensing MS:
Активация объема (VA) относится к Windows Vista и операционным системам Windows Server 2008. Это помогает автоматизировать и справиться с процессом активации при обращении к пиратству и проблемам управления ключа продукта, связанным с ключами, выпущенными для Windows XP и Windows Server 2003.
Можно использовать или или оба метода ВА в организации:
Сервис управления ключами (KMS) использует ключ KMS, чтобы активировать хост-машину KMS и установить локальный сервис активации в Вашей среде. Windows Vista и системы Windows Server 2008 соединяются с хостом KMS к активации.
Несколько ключей активации (MAK) используются для активации Windows Vista и систем Windows Server 2008 непосредственно с размещенными серверами активации Microsoft.
Если это не находится что не так в Вашем случае, то вызов Вашему представителю MSDN может быть необходим, поскольку может быть проблема с Вашим ключом.
Если они оба были украдены тем же вором, который, оказывается, имеет некоторое знание того, как Bitlocker работает, можно в значительной степени предположить, что файловую систему ворвались.
Можно хотеть рассмотреть использование TPM, если данные чрезвычайно важны, или даже TPM + PIN. Лучше должным быть полагаться на материал, это находится в Вашей голове, а не флеш-карте, которая любой может достать то, если они действительно хотят.
-
1TPM почти всегда используется все еще с паролем – LapTop006 29 December 2009 в 15:18
Bitlocker может быть поставлен под угрозу даже с TPM. Уверенный это маловероятно, но все это зависит от того, насколько Ваши данные стоят Вам и кто интересуется им.
Для среднестатистического американца это не стоит того.
Для безопасности уровня генерального директора я думаю, что посмотрел бы на добавление дополнительного слоя шифрования по крайней мере.
См.: http://www.schneier.com/blog/archives/2009/12/defeating_micro.html
Два существующих нападения на bitlocker являются настоящим фрагментом. Получение доступа к компьютеру жертв ДВА РАЗА является очень маловероятным событием. Что произойдет в большинстве случаев? Ноутбук/Рабочая станция украден в целом или просто жесткий диск. BitLocker будет бережно хранить Ваши данные (конечно, никогда нет 100%-й безопасности).
Только данные генерального директора важны?В самом деле? Я думаю, что могу нанести большой ущерб с некоторыми случайными файлами сотрудников.
"Так как можно едва ожидать, что пользователь сохранит свой ноутбук и флеш-накопитель отдельно [...]", Если Вы будете не мочь преподавать сотрудникам основное поведение безопасности, то большинство Ваших мер предосторожности перестанет работать.
Не понимайте меня превратно здесь, но безопасность не сделана простой путь :)
Я знаю, что это старый вопрос, но я наткнулся на него в связанных вопросах, ища свой собственный ответ.
Вы можете использовать manage-bde, чтобы потребовать и USB, и пароль для разблокировки устройства. Это фактически превращает разблокировку машины в испытание 2FA. В отличие от пользовательского интерфейса Bitlocker, который не дает вам возможности применять несколько предохранителей, инструмент manage-bde позволяет вам указать несколько предохранителей, если у вас есть «Требовать дополнительную аутентификацию при запуске», о чем вы, вероятно, уже догадались. Я предполагаю, что команды будут работать следующим образом:
manage-bde –protectors -add C: -startupkey [USB DRIVE]
manage-bde -on C:
[После того, как он зашифрован]
manage-bde -protectors -add C: pw
Вы могли бы сделать это с помощью одной команды, просто у меня нет хороших средств проверить это на новом конечная точка, но мне достаточно любопытно, что я собираюсь запустить ее на своем старом ноутбуке и сообщить вам, сможете ли вы сделать это с помощью одной команды, и отредактируете ли вы это в соответствии с тем, что я вижу.