Bitlocker常见的绕过手段与对策。

显示全部楼层 · 发表于 2024-8-7 16:55:59

本帖最后由 Dizziness2929 于 2024-8-7 16:59 编辑

驭龙发表于 2024-8-7 15:07
目前最顶级的安全PC是安全核心PC，这种级别的PC出厂就禁用了Microsoft UEFI CA Key，外加固件保护功能，基 ...

实际上，技嘉之类的板厂在安全引导菜单，是可以一键删除Microsoft UEFI CA根的（也叫“启用Device Guard支持”）。

显示全部楼层 · 发表于 2024-8-7 16:56:24

wangdl_100a 发表于 2024-8-7 07:31
感谢详解，我一开始以为自己看错了，这2个词只差1个字母。

看起来原句的意思是

是的（修正已经应用）

显示全部楼层 · 发表于 2024-8-7 17:33:32

Dizziness2929 发表于 2024-8-7 16:55
实际上，技嘉之类的板厂在安全引导菜单，是可以一键删除Microsoft UEFI CA根的（也叫“启用Device Guard ...

那只是单一禁用第三方CA，我不相信技嘉能搞出固件保护版本三级别的固件保护

显示全部楼层 · 发表于 2024-8-7 17:35:59

本帖最后由 00006666 于 2024-8-7 17:37 编辑

暴力破解也不是不行，对于没有获取到内存镜像的加密磁盘，Elcomsoft Forensic Disk Decryptor可基于加密磁盘生成后缀为.esprbltg的文件，基于该文件，可在Elcomsoft Distributed Password Recovery中对密钥进行暴力破解，需要时间足够+运气，有概率也能解密。

显示全部楼层 · 发表于 2024-8-7 17:43:06

驭龙发表于 2024-8-7 17:33
那只是单一禁用第三方CA，我不相信技嘉能搞出固件保护版本三级别的固件保护

我觉得问题最大的是Bitlocker不对内存保护，只要开机状态，就很大概率能被破解

显示全部楼层 · 发表于 2024-8-7 17:45:27

00006666 发表于 2024-8-7 17:43
我觉得问题最大的是Bitlocker不对内存保护，只要开机状态，就很大概率能被破解

实际上用vPro设备就可以解决内存问题，TME技术就是加密内存

显示全部楼层 · 发表于 2024-8-7 17:51:35

驭龙发表于 2024-8-7 17:33
那只是单一禁用第三方CA，我不相信技嘉能搞出固件保护版本三级别的固件保护

System Guard的一些要求取决于处理器是否支持。
但这确实符合Device Guard资格。

Device Guard和System Guard不是一回事。

https://www.dell.com/support/kbd ... %92%8C-device-guard

而且事实上来说，System Guard提供的DRTM对比SRTM的优势是更灵活（可用性优势）而不是安全性优势。

System Guard Secure Launch, first introduced in Windows 10 version 1809, aims to alleviate these issues by using a technology known as the Dynamic Root of Trust for Measurement (DRTM). DRTM lets the system freely boot into untrusted code initially, but shortly after launches the system into a trusted state by taking control of all CPUs and forcing them down a well-known and measured code path. This has the benefit of allowing untrusted early UEFI code to boot the system, but then being able to securely transition into a trusted and measured state.
————————————

System Guard Secure Launch首次在 Windows 10 版本 1809 中引入，旨在通过使用称为动态信任测量根 (DRTM) 的技术来缓解这些问题。 DRTM 最初允许系统自由启动至不受信任的代码，但不久后，通过控制所有 CPU 并迫使它们沿着众所周知且经过测量的代码路径，将系统启动至受信任状态。这样做的好处是允许不受信任的早期 UEFI 代码启动系统，然后能够安全地转换到受信任和可测量的状态。
————————————
https://learn.microsoft.com/en-us/windows/security/hardware-security/how-hardware-based-root-of-trust-helps-protect-windows

至于SMM保护（SMM安全缓解），恕我直言，我之前卖掉的那台技嘉X570主板还有一块微星X370主板，都默认启动了SMM Security Mitigation

很多板子说句实话，只是不支持DRTM所以才被排除了System Guard资格。

显示全部楼层 · 发表于 2024-8-7 17:53:53

驭龙发表于 2024-8-7 17:45
实际上用vPro设备就可以解决内存问题，TME技术就是加密内存

然而AMD平台的零售主板+零售处理器就可以开启透明内存加密，令人感慨。
https://mricher.fr/post/amd-memory-encryption/

显示全部楼层 · 发表于 2024-8-7 17:56:18

Dizziness2929 发表于 2024-8-7 17:51
System Guard的一些要求取决于处理器是否支持。
但这确实符合Device Guard资格。

我当然知道SG和DG不是一个技术

而且你这引用的信息是10的，来看看11的吧
https://learn.microsoft.com/zh-c ... lps-protect-windows

显示全部楼层 · 发表于 2024-8-7 18:03:09

Dizziness2929 发表于 2024-8-7 17:53
然而AMD平台的零售主板+零售处理器就可以开启透明内存加密，令人感慨。
https://mricher.fr/post/amd-me ...

AMD是PRO系商用系列才有完整的安全技术，官方文档，非PRO处理器没有修改功能

[分享] Bitlocker常见的绕过手段与对策。