.png)
В настоящее время я использую Bitlocker на двух своих машинах, на всех из которых установлены TPM. Поначалу он никогда не запрашивал у меня метод предзагрузочной аутентификации, потому что я забыл отредактировать GPO, включивший его.
Теперь я это сделал, и мне предлагается выбрать один из трех вариантов: - Ввести PIN-код - Вставить USB-флешку - Разрешить Bitlocker автоматически разблокировать мой диск
Меня не устраивало то, что в PIN-коде нельзя использовать только цифры, поэтому я включил расширенный PIN-код в GPO, позволяющий использовать также специальные символы, но на самом деле мне хотелось бы использовать гораздо более длинный пароль, чем 20 символов.
Есть ли способ получить опцию "Ввести пароль" вместо этого? У моего друга она есть, и мы не смогли понять, почему ее нет у меня.
Любая помощь будет очень высоко ценится.
Спасибо.
решение1
Это нормально. Меню, которое вы видите, не предназначено для автономных защитников – на самом деле это опции, которые идут вместе с защитником на основе TPM. Вы можете выбрать «TPM only» или «TPM + PIN» или «TPM + startup key».Документация
Если вы хотите использовать пароль, вам нужно будет удалить защитный модуль TPM и использоватьтолькопароль, который может фактически привести к более слабому уровню безопасности, поскольку данные больше не привязаны к оборудованию. Вы должны иметь возможность использовать команду, manage-bde -protectorsчтобы сделать это.
но на самом деле я бы хотел использовать гораздо более длинный пароль, чем 20 символов.
20 должно быть достаточно. TPM+PIN допускается короче, поскольку он имеет аппаратно ограниченное количество попыток, как и пароль iPhone.
Пароли шифрования должны быть длинными, поскольку как только кто-то завладеет вашим диском всего на несколько минут, он может просто скопировать его, и ничто не помешает ему перебрать огромное количество паролей к копии.
Между тем, PIN-код проверяется самим TPM — аппаратный модуль не просто выдает вам хэш пароля; единственное, что вы можете сделать с PIN-кодом, — это отправить его в TPM для проверки, и вы получите либо «да», либо «нет», либо «слишком много попыток, попробуйте еще раз через 10 минут».
Для машин с TPM 2.0 стандартное ограничение скорости, настроенное Windowsзадокументированобыть:
Windows 10 устанавливает максимальное значение счетчика 32, а время восстановления — 10 минут. Это означает, что каждые непрерывные десять минут работы без события, увеличивающего счетчик, приведут к уменьшению счетчика на 1.
Таким образом, после первоначальных бесплатных попыток злоумышленник получит всего 144 попытки в день при подборе PIN-кода TPM — по сравнению с миллиардами попыток в день при взломе хэша пароля.
(Что касается устойчивости к взлому, дешевый TPM, вероятно, не будет полностью защищенным, но если только он не хранит несколько миллионов биткоинов, то все, скорее всего, в порядке. И в этот момент вам, возможно, захочется подумать, не попадет ли ваш пароль в аппаратный кейлоггер...)