一位研究员透露一个简单的Windows身份验证绕过了把数据BitLocker加密的笔记本电脑处于危险之中。

　　公司依托微软的BitLocker加密其员工的计算机的硬盘应该立即安装最新的Windows补丁。一位研究员透露一个简单的Windows身份验证绕行，在本周早些时候固定的，即把数据BitLocker加密驱动器处于危险之中。

　　伊恩·哈肯，软件安全测试公司Synopsys公司研究员，展示了攻击周五在阿姆斯特丹的黑帽欧洲安全会议。该问题影响Windows计算机是域，在企业网络中常见的配置的一部分。

　　当基于域的认证使用在Windows上，用户的密码进行比对，作为域控制器的计算机。然而，在当例如，膝上型取网络与域控制器外部无法到达的情况下，验证依赖于本地凭证机器上缓存。

　　为了防止攻击者连接被盗，丢失或无人看管的笔记本电脑不同的网络，并创建一个接受另一个密码才能解锁欺骗性的域控制器，认证协议也验证了机器本身已注册使用域控制器上单独的计算机密码。

　　此附加检查不会发生当控制器无法达到的，因为该协议的开发假设攻击者不能改变存储在本地高速缓存中的用户密码。然而，哈肯想出了一个办法做到这一点 - 如果自动化，只需要几秒钟。

　　首先，攻击者建立与作为所述一个笔记本电脑是应该连接到相同的名称的模拟域控制器。然后，他创建了控制器上的同一个用户帐户上的笔记本电脑，并为其创建一个口令创建日期不远了过去。

　　当身份验证尝试与笔记本电脑上的攻击者的密码，域控制器将通知Windows密码已过期，该用户将自动被提示去改变它。发生这种情况验证了该机还注册了控制器之前。

　　在这一点上，攻击者必须创建在笔记本电脑上，将取代原来的本地凭证高速缓存新密码的功能。

　　登录而连接到恶意域控制器仍然失败，因为控制器没有机器的密码。然而，攻击者可以以迫使回退到本地认证，这将现在的成功，因为只有用户密码对缓存验证断开网络的笔记本电脑。

　　这是一个逻辑缺陷，一直以来Windows 2000中的身份验证协议，该研究员表示。但是，物理访问没有曾经是Windows的威胁模型的一部分​​，因为在这种情况下，攻击者可以从备用源引导，就像一个活的Linux光盘反正对数据的访问。

　　当受BitLocker在Windows Vista中引入这一切都改变了。微软的全磁盘加密技术，这是在专业版和企业版的Windows中可用，是专门设计来保护，以防电脑被盗或丢失的数据 - 换句话说，当未经授权的个人有有物理访问权。

　　的BitLocker存储在可信平台模块(TPM)的数据加密密钥，执行加密操作一个安全硬件组件。关键是从TPM启封只有在相同的引导过程之后作为BitLocker时首先被激活。

　　引导过程的各个阶段进行密码验证的，所以用一个启用BitLocker的笔记本电脑的物理访问权限的攻击者将无法从其他操作系统启动到读取存储的驱动器上的数据。放置在这种情况下，攻击者唯一的可能性是正常引导解锁加密密钥，然后绕过Windows身份验证才能访问的数据，这哈肯的攻击允许。

　　微软修复漏洞周二公布了相应的MS15-122安全公告。

　　这次袭击表明，当涉及到安全，我们需要不断重新审视旧的真理，哈肯说。

　　的BitLocker提供可选择使用PIN或USB驱动器上有一个特殊的键，除了将TPM启用预引导认证。然而，这样的配置是为企业强买强卖，因为他们介绍摩擦的用户，并使它难以管理员远程管理计算机，哈肯说。

　　在自己的文档中，微软承认，预启动认证“不可接受的现代IT世界，用户希望他们的设备开启即时，它需要不断地连接到网络的PC。”