永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:23 AM
Fri, Aug 16, 2024 5:02 AM
19
5
Windows 11 24H2將預設啟用BitLocker裝置加密
X! 這讓我們非常麻煩,真的~~
標題[情報] Windows 11 24H2將預設啟用BitLocker裝置
BitLocker
一台一台要把它關掉
Hey Man BOT
@hmystgot
Fri, Aug 16, 2024 4:23 AM
掰噗~
@baipu
說
Fri, Aug 16, 2024 4:23 AM
唉唉唉
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:23 AM
正版受害者
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:23 AM
此事引發用戶反彈聲浪。原因之一是,一旦用戶遺失加密金鑰,則未來將再也無法存取自己的檔案。二來,如同Tom's Hardware報導,BitLocker加密將明顯降低機器效能,根據媒體測試,啟動BitLocker的機器固態硬碟效能最高減速45%。而且由於在BitLocker加解密過程會牽涉CPU,系統效能也將受影響。
機器狼🎸吉他生活第1課
@KMN_BOT
說
Fri, Aug 16, 2024 4:24 AM
沒事沒事的汪
機器狼🎸吉他生活第1課
@KMN_BOT
說
Fri, Aug 16, 2024 4:24 AM
這個情報是今天才出來的嗎汪 (っ・ω・)っ
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:25 AM
Fri, Aug 16, 2024 4:25 AM
用Rufus USB服務製作開機ISO,可預先關閉24H2的硬碟加密。
Rufus - The Official Website (Download, New Releases...
秘密客
@mysterier
Fri, Aug 16, 2024 4:31 AM
啟動 bitlocker 速度會慢很多,而且金鑰如果丟掉的話就......
一般人根本不會記得要留金鑰
秘密客
@mysterier
Fri, Aug 16, 2024 4:31 AM
Fri, Aug 16, 2024 4:32 AM
可以考慮用其他的加密軟體只針對重要的資料夾單獨加密
克雷野(Kuraiya)
@kuraiya
Fri, Aug 16, 2024 4:32 AM
看上去 原先23H2升上去的不影響
但 新電腦就累了
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:33 AM
秘密客
: 上週我才幫一個人救援 還好她的微軟帳號有登入過 因此從微軟後台去把這個裝置的救援碼產生出來 不然她的電腦永遠都不能存取了
Reco
@Reco_F
Fri, Aug 16, 2024 4:33 AM
不是rufus做iso,加上用gpo關掉嗎
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:34 AM
Reco
: 剛好她的單位 沒有使用AD
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:36 AM
我機器都是11、12代的,BitLocker 啟用完全無感蠻方便的~
唯一的缺點是沒有自動卸載
在某些要隱匿的資料需要另外寫腳本定時 Lock 住
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:37 AM
Fri, Aug 16, 2024 4:37 AM
克雷野(Kuraiya)
: 舊電腦如果不小心做了甚麼操作 也是會把 bitlocker 打開 剛好朋友這台就這樣
克雷野(Kuraiya)
@kuraiya
Fri, Aug 16, 2024 4:37 AM
只好繼續拿筆電當實驗品(X
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:38 AM
克雷野(Kuraiya)
: XD
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:38 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
: 我們是規定外接硬碟裝置啟用 這樣萬一掉了至少文件不會被取走
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:38 AM
但內接硬碟則是關閉
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:39 AM
看了下,原來現在商務版的筆電裝 windows pro 早就全是預設加密~~
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:39 AM
Fri, Aug 16, 2024 4:40 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
: 對 所以後來我們都一台一台把內接硬碟加密關掉
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:40 AM
有AD的話可以下policy處理 但還是要幫用戶檢查一下
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:41 AM
要開加密的 就得把key存到個人隨身碟裡面 以保之後可以用 有的人則是印出來一張放抽屜
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:41 AM
各家公司作法不一
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:48 AM
Fri, Aug 16, 2024 4:48 AM
之前修過 bitlocker 與無限自動重開機,最痛苦的就是每次開機要手動打那個 Key (網路驅動程式當下是還沒載入的)。
這次看到有別的公司面對 Crowdstrike 造成全公司電腦當機且 bitlocker 要手動輸入的狀況,他們想到的解法是去買條碼掃描機,條碼掃描機會直接將掃描到的條碼以文字輸出。
公司直接列印各個 key 對照資產歸檔成紙本,維修時直接掃描。
Bitlocker 未來強制推行時有點規模的公司可能要準備一個比較方便維修~
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:49 AM
推 bw212: 其實某版w10開始就搞了 只是以前會檢查sec 42.79.214.71 08/15 18:41
→ bw212: ure boot + TPM + 硬體在白名單 三個都有 42.79.214.71 08/15 18:41
→ bw212: 才預設開裝置加密(符合的幾乎都是套裝機跟 42.79.214.71 08/15 18:41
→ bw212: 筆電) 這次把三個條件都要滿足的限制砍了 42.79.214.71 08/15 18:41
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:50 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
: 我有的朋友說想辦法全部關掉 XDD
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:50 AM
Fri, Aug 16, 2024 4:51 AM
另一個網管朋友說 每個人發一個usb 來存key 公司預算買
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:51 AM
還有人說集中放到nas中每個人的工號資料夾去
克雷野(Kuraiya)
@kuraiya
Fri, Aug 16, 2024 4:52 AM
個人用戶則是把資料分攤給DAS跟另一台win7處理(???
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:53 AM
"secure boot + TPM + 硬體在白名單 " 這就是現在 win11 的基本安裝需求~~微軟不考慮用跳過限制方式安裝的用戶XD
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:53 AM
Fri, Aug 16, 2024 4:53 AM
克雷野(Kuraiya)
: 但現在我不會有win 7的機器呀 所以個人用戶的bitlocker key我是放nas上和隨身碟
THEO
@theolin
Fri, Aug 16, 2024 4:54 AM
我有救成功過一次,金鑰是存放在微軟帳戶底下,Thinkpad換主機板,開機手動輸入128個字…
THEO
@theolin
Fri, Aug 16, 2024 4:55 AM
邊看手機邊輸入
THEO
@theolin
Fri, Aug 16, 2024 4:55 AM
企業機器就不知道該怎麼保存比較適切
Reco
@Reco_F
Fri, Aug 16, 2024 4:55 AM
如何在Windows 11中輕鬆禁用Bitlocker加密(8種方法)
Reco
@Reco_F
Fri, Aug 16, 2024 4:56 AM
THEO
: 企業機器?? 看你哪種環境,機房/工作站/VM 都有不同
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:56 AM
開機要輸入key 才能救援 一般用戶看到這個他們通常都會嚇到
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:57 AM
Fri, Aug 16, 2024 4:57 AM
THEO
: 我那時候在 TS ,那128個字輸入到快備起來了(還三顆硬碟)
bitlocker AD 環境下有集中管理的配套~
那個 Crowdstrike 相關事件就是 AD 主機也被幹爆了,只好手動輸入
afuliu
@afuliu
說
Fri, Aug 16, 2024 4:57 AM
想到以前 Win7 的年代在某外商是筆電國外 AD 統一設定強制開啟 BitLocker 的,然後遇到筆電故障換主機板就要去請國外 IT 提供 recovery key,走在時代尖端(誤)
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:57 AM
THEO
: 只要換主機板 或其他作業系統去存取windows硬碟 更新記憶體模組 等等 都會觸發 bitlocker 機制
Reco
@Reco_F
Fri, Aug 16, 2024 4:58 AM
搞"secure boot + TPM + 硬體在白名單 "....QQ
先前某資安大廠面試時就有聊到防火牆要裝在主網路口還是每個OS.....
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:58 AM
Reco
: 那答案應該是哪一個? XD
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 4:58 AM
Reco
: 要先看他講的防火牆是什麼防火牆XDDD
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 4:59 AM
afuliu
: 時間尖端的強者~~
Reco
@Reco_F
Fri, Aug 16, 2024 4:59 AM
永遠的真田幸村
: 你想一下Linux裡有個selinux....下場如何??
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 5:00 AM
以雲端架構而言,虛擬OS一層防火牆、host 一層防火牆、虛擬路由政策一層防火牆、實體路由設備再一層防火牆 XD
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:01 AM
一層一層下來
Reco
@Reco_F
Fri, Aug 16, 2024 5:01 AM
雲端架構而言,虛擬OS一層防火牆、host 一層防火牆、虛擬路由政策一層防火牆、實體路由設備再一層防火牆 docker 一層,K8s 一層 程式碼一層...最好QC 與監控再一層....
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 5:02 AM
Fri, Aug 16, 2024 5:02 AM
Reco
: 超級安全!!! (爆炸
Chikei
@ChikeiLee
Fri, Aug 16, 2024 5:02 AM
下場就是android 用它,於是成為最大贏家
Reco
@Reco_F
Fri, Aug 16, 2024 5:03 AM
這年頭瀏覽器都有防火牆,網頁也有
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Fri, Aug 16, 2024 5:03 AM
駭客:我幹嘛沒事去撞銅牆鐵壁?(開始挖 0day
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:03 AM
且微軟這樣做應該也是為未來鋪路
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:03 AM
所有的bitlocker key 都會自動到雲端上你的微軟帳號去
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:04 AM
在AI時代 AI PC 時你的訓練資料也是要加密 我猜是這樣啦
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:04 AM
不然個資外流問題微軟會被告不完
Reco
@Reco_F
Fri, Aug 16, 2024 5:04 AM
可是我還是習慣 pfsense + iptables....
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:04 AM
所以應當要做的加密功能就給強制做上去,告訴業界,我有做應該要做的事情了,剩下是使用者的問題
Reco
@Reco_F
Fri, Aug 16, 2024 5:05 AM
是阿,挖 0day + OSINT 奪好。
看XXXX貓靠OSINT就搞垮柯P.....油水多
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:06 AM
Reco
: indeed
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:16 AM
勒索軟體ShrinkLocker濫用BitLocker加密電腦,導致電腦無法進入作業系統
BitLocker - 維基百科,自由的百科全書
Reco
@Reco_F
Fri, Aug 16, 2024 5:18 AM
Linux裡有個selinux....
下場就是初學者的第一課就是開機關掉該服務
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:19 AM
BitLocker 復原概觀
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:20 AM
下列清單提供導致裝置在啟動 Windows 時進入 BitLocker 恢復模式的常見事件範例:
輸入錯誤的 PIN 太多次
如果使用 USB 型金鑰而非 TPM,則關閉從 BIOS 或 UEFI 韌體讀取預先啟動環境中 USB 裝置的支援
在 BIOS 開機順序中的硬碟前面有 CD 或 DVD 磁碟驅動器 (虛擬機)
停駐或卸除可攜式計算機
磁碟上NTFS磁碟分區數據表的變更
開機管理員的變更
關閉、停用、停用或清除 TPM
TPM 自我測試失敗
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:20 AM
使用新的 TPM 將主機板升級至新的主機板
升級重要的早期啟動元件,例如 BIOS 或 UEFI 韌體升級
從操作系統隱藏 TPM
修改 TPM 驗證設定檔) 使用的平台設定快取器 (PCR
將受 BitLocker 保護的磁碟驅動器移至新電腦
在具有 TPM 1.2 的裝置上,變更 BIOS 或韌體開機裝置順序
超過允許的登入嘗試失敗次數上限
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 5:21 AM
BitLocker 復原程式
INA治百病@摳他羅
@megakotaro
愛
Fri, Aug 16, 2024 5:56 AM
其實使用bitlocker沒有什麼問題,在網域管理裡可以用群組原則來集中管理,但我不相信Win11以後的微軟更新,寧可使用端點防護的加密
集中控管企業Windows 10 BitLocker磁碟加密機制 | 網管人
coly.dll
@coly1222
Fri, Aug 16, 2024 6:26 AM
看來我不用W11的理由又多了一個……囧
沃夫☆ 基隆人、返鄉投票
@wolfgangc
說
Fri, Aug 16, 2024 6:35 AM
用rufus處理可能會有其它問題
𝔃𝓝𝓲𝓪𝓷𝓰𝓴𝓸
@ssdoz2sk
Fri, Aug 16, 2024 7:13 AM
Fri, Aug 16, 2024 7:13 AM
丟棄 Windows 改用 Linux
~大白~
@FlyinDeath
Fri, Aug 16, 2024 8:08 AM
OMFG
永遠的真田幸村
@ivanusto
Fri, Aug 16, 2024 8:11 AM
沃夫☆ 基隆人、返鄉投票
: 比方說?
秘密客
@mysterier
Fri, Aug 16, 2024 8:55 AM
不要考慮玩遊戲的話我覺得 linux 相關系統的 UI 現在也做的還不錯了
Chikei
@ChikeiLee
Fri, Aug 16, 2024 9:25 AM
wayland實在是...一言難盡
沃夫☆ 基隆人、返鄉投票
@wolfgangc
說
Fri, Aug 16, 2024 10:15 AM
永遠的真田幸村
: 沒有比方,單純來源俄羅斯、故避嫌
INA治百病@摳他羅
@megakotaro
愛
Sat, Aug 17, 2024 7:44 AM
沃夫☆ 基隆人、返鄉投票
: 這樣的疑慮沒有必要,因為rufus是開源項目,程式碼在GitHub上可以隨時檢視
GitHub - pbatard/rufus: The Reliable USB Formatting ...
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 7:45 AM
沃夫☆ 基隆人、返鄉投票
: rufus 我記得也是 Ubuntu 官方推薦使用的 iso 打造成 usb disk 工具
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 7:46 AM
是那樣我才開始用 rufus 的 XD
沃夫☆ 基隆人、返鄉投票
@wolfgangc
說
Sat, Aug 17, 2024 7:46 AM
INA治百病@摳他羅
: 不是可供檢視、就擁有絕對安全
特地是用在建立安裝作業系統的資料來源、以及非官方提供方式(這個也能改、只是要手動)
沃夫☆ 基隆人、返鄉投票
@wolfgangc
說
Sat, Aug 17, 2024 7:47 AM
永遠的真田幸村
: 曾經是,現在不是
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 7:48 AM
他們官方現在改推薦用這個了
balenaEtcher - Flash OS images to SD cards & USB dri...
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 7:48 AM
Sat, Aug 17, 2024 7:49 AM
但我還是繼續用rufus portable版本的樣子
Rufus - 輕鬆製作可開機的 USB 磁碟機
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 7:51 AM
FAQ
As of 2023, Rufus gets downloaded close to 3 million times each month 他們家的下載量真的不小
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Sat, Aug 17, 2024 8:17 AM
INA治百病@摳他羅
:
但要有人/組織真的去檢視
永遠的真田幸村
@ivanusto
Sat, Aug 17, 2024 8:18 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
: 可以改用這個看看
balenaEtcher - Flash OS images to SD cards & USB dri...
載入新的回覆
標題[情報] Windows 11 24H2將預設啟用BitLocker裝置
BitLocker
一台一台要把它關掉正版受害者一般人根本不會記得要留金鑰
但 新電腦就累了
唯一的缺點是沒有自動卸載
在某些要隱匿的資料需要另外寫腳本定時 Lock 住這次看到有別的公司面對 Crowdstrike 造成全公司電腦當機且 bitlocker 要手動輸入的狀況,他們想到的解法是去買條碼掃描機,條碼掃描機會直接將掃描到的條碼以文字輸出。
公司直接列印各個 key 對照資產歸檔成紙本,維修時直接掃描。
Bitlocker 未來強制推行時有點規模的公司可能要準備一個比較方便維修~
→ bw212: ure boot + TPM + 硬體在白名單 三個都有 42.79.214.71 08/15 18:41
→ bw212: 才預設開裝置加密(符合的幾乎都是套裝機跟 42.79.214.71 08/15 18:41
→ bw212: 筆電) 這次把三個條件都要滿足的限制砍了 42.79.214.71 08/15 18:41
bitlocker AD 環境下有集中管理的配套~
那個 Crowdstrike 相關事件就是 AD 主機也被幹爆了,只好手動輸入先前某資安大廠面試時就有聊到防火牆要裝在主網路口還是每個OS.....
下場就是android 用它,於是成為最大贏家看XXXX貓靠OSINT就搞垮柯P.....油水多
下場就是初學者的第一課就是開機關掉該服務
輸入錯誤的 PIN 太多次
如果使用 USB 型金鑰而非 TPM,則關閉從 BIOS 或 UEFI 韌體讀取預先啟動環境中 USB 裝置的支援
在 BIOS 開機順序中的硬碟前面有 CD 或 DVD 磁碟驅動器 (虛擬機)
停駐或卸除可攜式計算機
磁碟上NTFS磁碟分區數據表的變更
開機管理員的變更
關閉、停用、停用或清除 TPM
TPM 自我測試失敗
升級重要的早期啟動元件,例如 BIOS 或 UEFI 韌體升級
從操作系統隱藏 TPM
修改 TPM 驗證設定檔) 使用的平台設定快取器 (PCR
將受 BitLocker 保護的磁碟驅動器移至新電腦
在具有 TPM 1.2 的裝置上,變更 BIOS 或韌體開機裝置順序
超過允許的登入嘗試失敗次數上限
丟棄 Windows 改用 Linux不要考慮玩遊戲的話我覺得 linux 相關系統的 UI 現在也做的還不錯了wayland實在是...一言難盡特地是用在建立安裝作業系統的資料來源、以及非官方提供方式(這個也能改、只是要手動)
但要有人/組織真的去檢視