BitLocker和Active Directory

-1

我经常带着我的加密文件驱动器工作,但IT部门在这里看起来相当无能。安全策略非常宽松,我对被黑客攻击的域控制器感到妄想。如果发生这种情况,并且域控制器被黑客入侵,攻击者是否可以自由访问我的驱动器?

我在这里提出了这个问题而不是ServerFault / Information Security,因为这涉及到我的个人驱动器。所以,请不要将此标记为偏离主题。

security  encryption  active-directory  bitlocker 
Fuselight
source
他们仍然需要密码以便安装驱动器,即使他们获得了对您的用户配置文件的访问权限,您也在考虑这个问题。
Ramhound
我不是。我假设Active Directory最糟糕。驱动器已安装在计算机上。
Fuselight
除非您的配置文件自动安装驱动器,否则任何访问驱动器的尝试都会导致提示密码短语。当然,只访问域控制器不一定能提供对工作站的访问。
Ramhound
如何从域计算机加密驱动器并将恢复哈希存储在AD中,以便域管理员可以成为恢复代理?
Kinnectus
我不理解downvote?如果您要进行投票,请进行评论,以便可以改进问题。完全不公平。
Fuselight

Answers:

1

从理论上讲,如果Bitlocker驱动器配置为允许访问通过您的域帐户登录的任何人,而无需额外的密码,等等,那么是的,成功入侵公司DC的黑客可以访问它。

如果他们攻击DC,理论上他们可以获取包含所有域帐户密码的安全配置单元/哈希表, 破解哈希来获取密码 ,在您不知情的情况下登录您的计算机/帐户并访问该驱动器。

现实:

一般来说DC非常难以破解,特别是如果甚至有一个基本的防火墙。 IT人员必须完全无能为力,至少不要对互联网提供这种保护。

除此之外,如果您不信任IT员工,请不要将您的驱动器连接到他们的网络。

Ƭᴇcʜιᴇ007
source
通过输入密码可以访问驱动器,我担心域控制器能够在插入并安装到计算机时谨慎地从中提取文件。我甚至担心文件名能够被阅读,因为这可能使我成为目标。不仅如此,我对IT部门的隐私侵犯感到偏执。当然,我可以提出投诉,但这将是事后。我不是一个标准的蓝领工人。由于这个原因,你不能只是建议我不要把它带进来,因为你没有上下文。
Fuselight
在您提供的上下文中,如果您不信任网络,则不应将驱动器带入。无论如何你的问题不是关于避免它,是'它是否有可能',而且我给了你/它的情景。虽然驱动器已安装,解密并连接到域计算机,但您无法阻止域管理员帐户(用户,服务,系统或其他方式)访问它,我无法相信任何人都会攻击DC而不是给自己Domain Admin访问权限。 :)
Ƭᴇcʜιᴇ007
如果他们依靠手动提供的凭据来解密(并且没有主动解锁),那么您就非常安全。
Ƭᴇcʜιᴇ007
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.