Einu sau pro IT atliekų krūvą ir matau kažkokį nešiojamą kompą su biški sulaužytu ekranu. Standartinė šiukšlė, bet patraukė dėmesį užrašas ant kompo:
Galvoju… nu negali būti. Niekas taip gi nedaro. Nutariau pasitikrinti. Ištraukiu diską, inkišu į testavimo kompą:
Ir:
Diskas atsirakino, visi failiukai matosi.
O dabar gerieji skaitytojai paaiškinkit. Man, kaip truputi suprantančiam apie IT ir saugumą, visiškai nėra minčių. Kodėl?
Kažkas “prikasiačino” optum išmetęs utilizavimui 🙂 Tikiuosi gal ne kariuomenės PC? 😀
Oj ne, ne kariuomenė. Tie net ruterius pergręžia su drėle. 🙂 Bet netoli.
Buvo neseniai vienas win11 update’as, po kurio užsirakino diskai. Jei nebuvo kažkur išsaugotas key, tai teko atsisveikinti su failais. Čia tikriausiai dėl tokių atvejų IT personalas pasilengvino gyvenimą 😀
Sakyčiau čia tik 50% userio kaltės. Dažnai IT saugumo reikalavimai ir sprendimai pasitaiko tiek kreivi ir nepatogūs, kad žmonės pradeda shortcut’inti. Jei admino paliepimu žmogui nuolat reikėdavo suvesti šitą nesąmoningą raktą, nu tai taip ir atsitiko. Aš irgi taip padaryčiau.
Galiu iš savo aplinkos patvirtinti, jog įmonėse, ypač didesnėse, kur daug kas daroma centralizuotai dažnai būna tokių bajerių. Ten dažnai nebūna vietinių šalia esančių IT žmonių arba “yra” kokia išorinė kompanija kaip Atea ar pan. Pvz visiems taikomos vienodos “griežtos” IT saugumo sąlygos kur reikalaujama pakeisti slaptažodį kas 3 mėn. Kompiuterį naudoja kokia moterėlė ir dirba tik su tinkline apskaitos programa ir pažiūri paštą. Kad išjungti pvz bitlocker’į net nežinotų kaip paklausti tos išorinės IT kompanijos. Va taip iš didelio centralizuotai paskirto saugumo ir būna priklijuoti paswordai prie ekrano ar PC korpuso. O dėl diskų užrakinimo per updeitus – savo puslapyje aprašiau vieną tokį atvejį.
Aš su bitlokeriu labai mažai bendravau. Vienas prietaisas buvo su bitlokintu disku, tačiau jis puikiausiai veikė jei prisilogini su naudojamu vartotoju. Vienintelis skirtumas- kieto disko ikona. Todėl man keista, kad kažkur reikia suvesti tą kodą.
O mūsų prietaiso bitlokerį aš išjungiau ir diską atkodavau. Jokių kodų nereikėjo vesti.
Aš kiek suprantu, kad bitlokerio kodą reikia įvesti kai nori perinstaliuoti windowsus (išsaugant vartotojus) arba pažiūrėti į diską iš kito kompiuterio. Normaliam darbui (iki kompo susipisimo) tas bitlokeris neturi jokios įtakos. Tačiau bitlokeris apsaugo nuo mechaninės intervencijos ir nuo windows userio nulaužimo.
Šio straipsnio kompiuteris tikrai turėjo daug vartotojų (~10) ir jis prirašytas informacijos kurį nėra asmeninė.
P.S. kompo diskas (SSD) saugiai ištrintas.
Kodą reikia suvesti jei bent kiek pasikeitė hardwaras, o tai gali būti net kita bioso versija (mano atvejis) ar gal net kokia plokštė staliniame PC ar kompiuterio paleidimo tipas (reinstalas). Dėl nešiojamo kompo doko buvimo/nebuvimo netikrinau, lyg ir neturėtų įtakoti Yra daug faktorių kas vertinama M$.
O ne šitas ilgas Bitlocker’io kodas TPMe saugomas ? Kad nereiktų įvedinėti kiekvieną kartą kažka pakeitus, kol diskas tame pačiame kompiuteryje.
Pagal tai kaip kreivai užklijuoti lipdukai, gal jie buvo užklijuoti jau po to kai “biški sulaužytas ekranas”. Gal raktus tvarko vienas žmogus, o tokį malonų darbą kaip traukti failus į naują kompą daro koks studentas, kuris paskui disko ir nepratrynė arba išvis kas nors procese tiesiog persigalvojo ir taip išmetė.
Jei normalus verslo klasės laptopas, tai būtų TPM chipas kuris automatiskai atrakiną užrakintą diską užsibootinus win (nereik jokių raktų suvedinėti). Pastaruosius keletą metų jau visi laptopai eina su TPM. Consumer lygio laptopuose į CPU integruotas, verslo ir toliau eina su diskrečiais TPM chipais. Dabar gi, kad atsinaujinti į win11 iš win10, vienas iš reikalavimų yra TPM v2 palaikymas. Nuotraukoje atvejis arba senas consumer lygio laptopas be TPM, arba TPM palaiko bet per bios neįjungtas. Dar jei gerai pamenu automatiškai TPM atrakina tik sisteminį C diską – nuotraukoje berods ne sisteminis. Bet kokiu atveju juokinga…tas pats kas ant bankinės kortelės PIN užsirašytum. Gal tada geriau kur nors active directory kompų objektų aprašuose užrašyti, jei tai nesisteminis diskas ar nepalaiko TPM. Mūsų įstaigoje visuose kompuose kurie turi TPM automatiškai bitlockeris įjungiamas per GPO politikas ir recovery key automatiškai sukeliauja į Active Directory, taip apsisaugoma nuo tokių siurprizų kur aukščiau komentaruose apie update rašė. Aišku nelinskma jei daug kompų paprašytų suvesti recovery key, nes per nuotolį neišeitų suvesti ir tektų pėdinti į vietą arba diktuoti per telefoną. Recovery key suvedimą gali iššaukti nemažai atvejų, bootinimas iš usb, PXE boot, bios update, hardware keitimas, nes tai traktuojama kaip bandymas chimyčinti su sistema. Jei darai Bios update, prieš tai padarai bitlocker suspend. Su tokiais atvejais kaip nuotraukoje, bitlockerio nejungiame, nes IT per didelė knisliava konsultuoti dėl visokių passwordų suvedimų. Dėl duomenų saugos įdomus faktas tas, kad bitlocker puikiai tinka usb flash atmintinių utilizavimui, nes dėl wear leveling kontrolerio savybių sunku yra ištrinti duomenis iš usb flash, tai tiesiog užšifruoji. SSD gamintojai turi specilizuotus softus trynimui, bet gamintojų ne vienas, tai gaunasi mišrainė – bitlocker vėl gelbėja.