BitLocker ja ADV180028

Kolm päeva tagasi avaldati uudis, et grupp Hollandi teadlasi Radboud ülikoolist (Radboud University) avastasid turvanõrkuse laialt levinud SSD ketastes ja sellega seoses võib BitLockeriga kaitstud kettaid lihtsasti lahti murda. Turvanõrkus avaldub ainult siis, kui kasutatakse riistvarapõhist krüpteerimist.

Lähemalt saab lugeda siit:

–          https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028

–          https://www.ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/radboud-university-researchers-discover-security/

Süsteemiadministraatoritel võib tekkida küsimus, et millise konfiguratsiooniga BitLocker võiks masinates olla. Configuration Manageri kasutajana saame seda kontrollida mitmel erineval viisil.

Järgnevalt kaks erinevat meetodit, kuidas seda teha saaks.

Skriptid aka Scripts

Selle funktsionaalsusega saab reaalajas küsida infot ja muuta asju. Kui muud asjad on Configuration Manageris poliitikapõhised, siis skriptide kaudu saab tegevusi alustada koheselt ilma igasuguse viiteta. Soovitan osa tegevusi skriptide peale üle viia.

Vastavuskontrollid aka Configuration Items

Vastavuskontrollid on Configuration Manageris olnud pikka aega ja tegemist on võimsa funktsioonalusega, millega saab teha väga palju asju. Te saate rakendusi eemaldada, Windowsi rolle seadistada, kontrollida registri viiteid, jne.

Bitlockeri juhtumi puhul saab luua uue vastavuskontrolli, mis kontrollib krüpteerimise meetodid. Kui tegemist on riistvarapõhise krüpteerimismeetodiga, siis seade märgitakse mittevastavaks ja selle põhjal saab luua eraldi kollektsiooni. Vastavuskontrollide puhul tuleb meeles pidada, et selle info kätte saamine võtab aega.

Get-BitLockerEncryptionMethod.ps1

Postitasin oma GitHub keskkonda ühe näidisskripti, millega saab kontrollida, kas te keskkonnas esineb see probleem või mitte. Neid viise, kuidas seda PowerShelliga kontrollida on mitmeid:

–          WMI Win32_EncryptableVolume klass

–          Manage-BDE -Status C:

–          Get-BitLockerVolume | Select-Object -Property *

Skripti saate alla laadida siit – https://github.com/Kaidja/Configuration-Manager/blob/master/Get-BitLockerEncryptionMethod.ps1

PS! Skripti tulemus 5 viitab probleemile.

Kui läheb abi vaja, siis võib minuga julgelt ühendust võtta