Vollständige Festplattenverschlüsselung: Kann der Schlüssel an ein bestimmtes BIOS / Laptop gebunden werden?

584
pberlijn

Die Organisation, für die ich arbeite, hat Laptops mit FDE-Laufwerken ausgestattet, dh Laufwerke, die Daten im laufenden Betrieb verschlüsseln, so dass bei einem gestohlenen Laptop keine Daten durch Entfernen der Festplatte abgerufen werden können. Das schützt uns zwar vor bösartigen Außenseitern, aber böse Angestellte können das Laufwerk immer noch auf einen Computer umstellen, dessen Eigentümer sie sind (und von dem sie das BIOS steuern) und Root- / Administrator-Berechtigungen im Betriebssystem für sich aktivieren.

Kurz gesagt, was dieses Problem lösen könnte, ist (ein Teil des) Verschlüsselungsschlüssels im BIOS gespeichert zu werden, sodass ein anderer Computer das Laufwerk nicht entschlüsseln kann. Gibt es eine Möglichkeit, dies zu tun, oder wie gehen andere Organisationen mit diesem Sicherheitsrisiko um?

0
"Wechseln Sie das Laufwerk zu einem Computer, dessen Eigentümer sie sind (und von dem sie das BIOS steuern), und aktivieren Sie Root- / Administrator-Berechtigungen im Betriebssystem." Sind Sie sicher, dass dies möglich ist? Warum könnte ein Dieb nicht dasselbe tun wie der böse Angestellte? Moab vor 11 Jahren 0
Moab: Dieb kann die Disk nicht entschlüsseln. Der Mitarbeiter kennt die Passphrase, um sein Laufwerk zu entsperren. pberlijn vor 11 Jahren 0
Warum hat der böse Mitarbeiter eine Passphrase für das Laufwerk einer anderen Person? Moab vor 11 Jahren 0
Er hat die Passphrase auf seinem eigenen Laufwerk. Das Laufwerk, auf dem sich das Betriebssystem befindet, für das er keine Root-Rechte besitzt (mit mehreren Gründen). pberlijn vor 11 Jahren 0

1 Antwort auf die Frage

2
wmz

Ich denke, Sie sollten sich TPM- Lösungen ( Trusted Platform Module ) ansehen. Sie sind in die meisten professionellen Laptop-Lines eingebaut.

In diesem Artikel wird die Lösung explizit erwähnt - Festplattenverschlüsselung :

Eine begrenzte Anzahl von Festplattenverschlüsselungslösungen unterstützt TPM. Diese Implementierungen können den Entschlüsselungsschlüssel mithilfe des TPM umschließen, wodurch das Festplattenlaufwerk (HDD) an ein bestimmtes Gerät gebunden wird. Wenn die Festplatte von diesem bestimmten Gerät entfernt und in einem anderen Gerät platziert wird, schlägt der Entschlüsselungsvorgang fehl

Besser als die Antwort, die ich gerade schrieb. :) OP: Stellen Sie sicher, dass Sie (oder Ihre IT-Abteilung) eine Möglichkeit haben, die Daten auf den Laufwerken abzurufen, oder stellen Sie sicher, dass auf dem Laptop keine wesentlichen lokalen Daten vorhanden sind. Motherboards sterben und Ihre eigene Sicherheit steht Ihnen im Weg. Hennes vor 11 Jahren 1
+1 Dies ist eines der Dinge, mit denen tpm helfen sollte. Denken Sie daran, die bösen Jungs können Ihre Daten nicht erhalten, ohne dass dieses Motherboard funktioniert ... und auch nicht die Guten! Stellen Sie sicher, dass Sie eine Möglichkeit haben, die Daten wiederherzustellen, wenn (wenn nicht, wann) etwas schief geht. Grant vor 11 Jahren 0

Verwandte Probleme