如何保护那些依赖比特锁和密码而不使用TPM的设备？

Question

在与许多非营利性组织合作时，工作人员使用的笔记本电脑等设备都是使用比特储物柜加密的。不幸的是，由于这些设备(通常是捐赠的)不具有TPM功能，所以使用本地组策略启用了比特存贮器。

作为工作的一部分，工作人员经常到不同的地点。由于设备存储敏感信息，如个人可识别信息、财务数据等，因此保护数据至关重要。此外，用户通常仍然登录到多个在线服务，如电子邮件，如GMail。从财务或财产的角度来看，设备的丢失是次要的。

1. 如果一个设备被偷了，那么没有TPM的比特存贮器的使用会相对降低安全性吗？
2. 如果是，有哪些选项可以保护这些数据(假设internet连接并不总是可能的，所以从DropBox之类的服务访问数据并不总是可行的。工作人员经常在当地制作数据副本)
3. 如果用户仍然登录在线服务，如果设备被盗，如果用户不注销，这些服务是否有被破坏的风险？
4. 在评估其中一些设备时，我观察到比特储物柜经常被挂起，必须手动重新启用。例如，如果威胁参与者使用LiveCD引导设备，这会增加数据被破坏的风险吗？
5. 这个装置能被进一步固定吗？如果是的话，怎么做？例如，是否应该启用BIOS密码？

当使用引脚时，一个关于设备安全程度的问题并没有具体地触及上面的问题。

Answer 1

1. 如果一个设备被偷了，那么没有TPM的比特存贮器的使用会相对降低安全性吗？

是的，TPM用于进一步保护主密钥。没有它，比特锁的安全性肯定会降低。由于微软的秘密性质，不可能说出多少，但最好不要相信它。

1. 如果是，有哪些选项可以保护这些数据(假设internet连接并不总是可能的，所以从DropBox之类的服务访问数据并不总是可行的。工作人员经常在当地制作数据副本)

无论如何，Dropbox不会解决你的问题。您可能希望寻找其他完整的磁盘加密解决方案。我个人使用VeraCrypt，但其他解决方案也是可用的。VeraCrypt使用一个缓慢的KDF而不是TPM，所以只要您使用强密码，它将保护数据良好。(请注意，如果打开计算机，就会有一些理论上的攻击，如冷引导攻击，但这些攻击很难完成。)如果计算机也登录了，那么显然没有多少加密会有帮助)

1. 如果用户仍然登录在线服务，如果设备被盗，如果用户不注销，这些服务是否有被破坏的风险？

大多数在线服务允许您从所有计算机上注销。如果一个装置被偷了，就应该这样做。另外，更改密码也是可取的，因为它们可能保存在浏览器或计算机的其他地方。尽管计算机驱动器是加密的，但风险很小。

1. 在评估其中一些设备时，我观察到比特储物柜经常被挂起，必须手动重新启用。例如，如果威胁参与者使用LiveCD引导设备，这会增加数据被破坏的风险吗？

我对此不太确定。在我看来，这根本不应该适用于没有TPM的电脑。

1. 这个装置能被进一步固定吗？如果是的话，怎么做？例如，是否应该启用BIOS密码？

BIOS密码几乎没有提供额外的安全性。我建议在windows帐户的引导+普通密码上使用良好的FDE和强密码。然后，无论何时离开，都要使用Windows键+L锁定设备。最大的风险往往是笔记本电脑在解锁时被抢夺，因为对攻击者来说，这是最容易的。