উইন্ডোজ ডিপিএপিআই এনক্রিপশন কী পরিচালনা সহ বিটলকার

হাইপার-ভি ভার্চুয়াল মেশিনের মধ্যে থেকে অ্যাক্সেসযোগ্য একটি আইএসসিএসআই লুনে আমাদের বিশ্রামের এনক্রিপশন প্রয়োগ করতে হবে।

আমাদের হাইপার-ভি ভার্চুয়াল সার্ভারে উইন্ডোজ সার্ভার 2012 ব্যবহার করে বিটলকার ব্যবহার করে আমরা একটি কার্যনির্বাহী সমাধান বাস্তবায়ন করেছি যা আমাদের সান-এর একটি লুনে আইএসসিএসআই অ্যাক্সেস রয়েছে। এই পোস্টে সংজ্ঞায়িত হিসাবে "ফ্লপি ডিস্ক কী স্টোরেজ" হ্যাক ব্যবহার করে আমরা সফলভাবে এটি করতে সক্ষম হয়েছি । তবে এই পদ্ধতিটি আমার কাছে "হকি" বলে মনে হচ্ছে seems

আমার অবিচ্ছিন্ন গবেষণায় আমি জানতে পেরেছিলাম যে অ্যামাজন কর্পোরেট আইটি টিম একটি হোয়াইটপারকে প্রকাশ করেছে যা আমি "ফ্লপি ডিস্ক হ্যাক" ছাড়াই আরও মার্জিত সমাধানে যা খুঁজছিলাম ঠিক সেটির রূপরেখা দিয়েছিল। এই সাদা কাগজের 7 পৃষ্ঠায়, তারা জানিয়েছে যে তারা তাদের বিটলকার কীগুলি সুরক্ষিতভাবে পরিচালনা করতে উইন্ডোজ ডিপিএপিআই এনক্রিপশন কী পরিচালনা প্রয়োগ করেছে। এটি হ'ল আমি যা করতে চাইছি, কিন্তু তারা বলেছিল যে এটি করার জন্য তাদের একটি স্ক্রিপ্ট লিখতে হয়েছিল, তবুও তারা স্ক্রিপ্টটি এমনকি কোনও কীভাবে তৈরি করবেন সে সম্পর্কে কোনও পয়েন্টার সরবরাহ করে না।

যে কেউ কিভাবে তৈরি করতে বিস্তারিত আছে "একটি পরিষেবা এবং একটি কী-স্টোরে ফাইল সার্ভারের মেশিন অ্যাকাউন্ট DPAPI কী দ্বারা সুরক্ষিত সাথে স্ক্রিপ্ট" (তারা রাষ্ট্র whitepaper ও পরিচালনা করুন) এবং স্বয়ংক্রিয় আনলক করার বিটলকার ভলিউম কিভাবে? কোন পরামর্শ প্রশংসা করা হয়।

--- সম্পাদনা 1 ---

নীচে ইভানের প্রতিক্রিয়ার ভিত্তিতে, আমি এখানে যা আবিষ্কার করেছি তা কিন্তু আমি এখনও আটকে আছি।

আমি ধরে নিলাম যে PsExec ব্যবহার করে এবং নিম্নলিখিত কমান্ডটি চালাওয়ার মাধ্যমে , পাওয়ারশেল সিস্টেম অ্যাকাউন্টের অধীনে চলছে এবং ইভান যেমনটি বলেছে তেমন "স্ট্রিং ডাব্লু / মেশিন অ্যাকাউন্টের পাসওয়ার্ড এনক্রিপ্ট করবে"। এটা কি সঠিক?

PsExec.exe -i -s Powershell.exe

তারপরে পিএসের মধ্যে থেকে, ( এই পোস্টটি একটি রেফারেন্স হিসাবে ব্যবহার করে ) সিকিউরস্ট্রিং পাসওয়ার্ড তৈরি করতে আমি এই আদেশটি চালাচ্ছি:

ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt

এটি আমাকে "01000000d08c…" (মোট 524 টি অক্ষর) ফর্ম্যাটে সুরক্ষিত স্ট্রিংযুক্ত একটি ফাইল দেয়। তারপরে, আমি এখন বুটটিতে চালনার জন্য একটি শিডিয়ুল টাস্ক তৈরি করতে পারি যা পাসওয়ার্ড লোড করতে (সিকিউরস্ট্রিং হিসাবে) নিম্নলিখিতটি ব্যবহার করে এবং এটি আনলক-বিটলকার কমান্ডে পাস করতে পারে :

$SecureBitLockerPassword = Get-Content C:\securestring.txt | ConvertTo-SecureString
Unlock-BitLocker -MountPoint "E:" -Password $ SecureBitLockerPassword

তবে, আমি যদি হার্ড ড্রাইভে কেবল এনক্রিপ্ট হওয়া পাসওয়ার্ডটি ফাইল হিসাবে সংরক্ষণ করি, তবে পাসওয়ার্ডটি এনক্রিপ্ট করা এবং ডিক্রিপ্ট করার মূল বিষয় কী? এটি কি সরল পাঠ্যে পাসওয়ার্ডটি সংরক্ষণ এবং নিম্নলিখিতগুলি (সুরক্ষিত স্ট্রিং ফাইলটি তৈরি করার প্রয়োজন ছাড়াই) ব্যবহার করার মতোই সুরক্ষিত হবে না?

$SecureString = ConvertTo-SecureString " MyBitLockerPassword " -AsPlainText –Force
Unlock-BitLocker -MountPoint "E:" -Password $SecureString

আর কীভাবে আপনি এই কাছে যেতে হবে? আমি সিকিউরস্ট্রিং কীটি কোথায় সঞ্চয় করতে পারলাম যাতে কেবলমাত্র সিস্টেম অ্যাকাউন্ট এটি অ্যাক্সেস করতে পারে?

দেখে মনে হচ্ছে সমস্ত অ্যামাজন সিস্টেমে প্রসঙ্গে ডিপাপিতে বিটলকার কীগুলি সংরক্ষণ করছে st যদিও এটি কোনও টিপিএম-তে কীগুলি সংরক্ষণ করার চেয়ে অনেক কম সুরক্ষিত (কারণ প্লেটেক্সট কীটি SYSTEM হিসাবে চলমান যে কোনও সার্ভিস দ্বারা টিপিএম-এ সঞ্চিত কী বনাম পুনরুদ্ধার করা যায় না) যদি টিপিএম ভার্চুয়াল মেশিনে উন্মুক্ত না হয় তবে এটি সম্ভবত আপনার একমাত্র বিকল্প।

তারা যা বর্ণনা করছে তার অনুরূপ কিছু অর্জন করতে আমি সম্ভবত ConvertFrom-SecureStringএবং প্রশংসামূলক ConvertTo-SecureStringপাওয়ারশেল এপিআই ব্যবহার করব। মাইক্রোসফ্ট ডক্স অনুসারে ConvertFrom-SecureStringকোনও স্ট্যাটিক কী নির্দিষ্ট না করা থাকলে সেমিডলেট DPAPI ব্যবহার করে। SYSTEM প্রসঙ্গে স্ক্রিপ্টটি চালান এবং DPAPI আপনার স্ট্রিং ডাব্লু / মেশিন অ্যাকাউন্টের পাসওয়ার্ড এনক্রিপ্ট করবে।

সেই জায়গা থেকে manage-bdeপুনরুদ্ধারকৃত পাসওয়ার্ড ব্যবহার করে ড্রাইভটি আনলক করার জন্য সরঞ্জামটি ব্যবহার করার বিষয়টি (যেমন manage-bde -unlock x: -password)