Вопрос/проблема FDE на основе аппаратного обеспечения

Вопрос/проблема FDE на основе аппаратного обеспечения

Мой вопроспо сути, это: каков опыт использования аппаратного полного шифрования диска, особенно с точки зрения аудита безопасности?

Больше информации: Я специально смотрю наSeagate Momentus FDEводить сЛюкс «Посольство» Wave (Если у вас есть опыт работы с другими самошифрующимися дисками (SED) и/или программными пакетами, пожалуйста, поделитесь своим мнением.)

Факты: Самошифрующиеся диски (которые были настроены) будут автоматически блокироваться при выключении питания (выключение компьютера или переход в спящий режим, или просто выдергивание вилки). Для доступа к любым данным на диске, который сам по себе зашифрован (обычно AES-128), требуется пароль, токен или что-то еще. Однакоперезагрузка не приводит к необходимости повторной аутентификации пользователя на диске.

Ответ, который я получил от Wave, заключается в том, что они принудительно переводят систему в спящий режим (на системах Dell с Windows), даже если пользователь выбирает режим ожидания. Но меня беспокоитследующий сценарий атаки:

  1. машина включена* (например, если пользователь заблокировал экран и отошел на мгновение), а затем
  2. кто-то крадет ноутбук (оставляя его включенным), а затем
  3. перезапускает машину с помощью загрузочного диска или загрузочного USB-накопителя.

Возникает вопрос:Существуют ли способы смягчить этот путь атаки, помимо простого изменения последовательности загрузки в BIOS и защиты настроек BIOS паролем?

* Я понимаю, что в работающих операционных системах существует множество других уязвимостей, таких как атаки с переполнением буфера на системные службы через сеть, но я считаю этот способ атаки менее вероятным, чем простое использование загрузочного диска (как описано выше), особенно с учетом того, что самошифрующиеся диски становятся все более распространенными.

решение1

Мы выбрали BitLocker для наших ноутбуков, потому что не смогли получить внятного ответа на этот вопрос от Wave, и мы посчитали, что те же сценарии, скорее всего, не будут зависеть от поставщика.

решение2

Вы можете защитить паролем настройки BIOS и удалить CD-привод и USB-накопитель из последовательности загрузки.

В этом случае им пришлось бы выключить компьютер, чтобы сбросить пароль BIOS (переключив контакты на материнской плате), и таким образом заблокировать доступ к жесткому диску.

Связанный контент