crowdstrike 这次蓝屏至少让全球损失好几十亿

2024-07-19 22:05:51 +08:00

zealer8

我的身份，世界 500 强公司 IT 运维

我们公司是外企，公司采购新电脑到货之后都会重新安装新系统，安装新系统公司是要求默认开启 bitlocker 。

但问题就在于公司的推软件服务器并不能 100%的把 bitlocker 密钥给备份下来，
也就代表有 3 分之 1 左右的电脑是没有备份硬盘加密密钥的。

而这一次事情就非常严重了，正常来说没有加密的电脑，我可以通过 pe 去给他删除这个更新补丁，但是有加密电脑数据就全毁了。

我尝试进入安全模式，但是是进不去的，公司也大部分是戴尔惠普电脑，在开机 windows 加载的状态下就会蓝屏，

所以根本就没有机会通过 f8 进入安全模式。

所以这一次公司损失了非常非常多的数据，直接间接损失至少好几百万。。。

哎，心累，明天加班慢慢研究解决方案

13400 次点击

所在节点

信息安全

86 条回复

y1y1

2024-07-20 14:50:17 +08:00

不备份密钥，这是防自己吗

siyanmao

2024-07-20 14:52:57 +08:00

贵司 IT 老大和管 IT 的 VP 估计已经收拾好东西准备被开了…

kenvix

2024-07-20 14:55:37 +08:00

@zealer8 #40 没用 BL 的域模式？我觉得 IT 该被炒了

yytbob

2024-07-20 15:47:38 +08:00

回复 @zealer8 59 楼：BitLocker 不是全磁盘加密吗…正常情况下哪怕拆电脑取硬盘，里面的数据应该也是读不出的来的吧？

Remember

2024-07-20 16:08:40 +08:00

@zealer8 为什么开了 BitLocker 但没有密钥备份，需要现在才知道严重性？

Rorysky

2024-07-20 17:02:34 +08:00

你别急，天塌了高个儿顶着

说不定你前面有位子被撸了，你还能有机会升值呢

MaxLen

2024-07-20 19:07:43 +08:00

bitlocker 数据火葬场 hh

gggccc44

2024-07-21 01:06:47 +08:00

@zealer8 #42 嗯嗯，问了个群里的人知道问题是杀软不是 win ，那软件没见过所以没反应过来，又看到说 ms 市值啥的所以才奇怪了下

。谢谢两位解惑

424778940

2024-07-21 01:14:58 +08:00

不要急 2333, bitlocker 一般 protector 两种比较常见, 纯密码, 和 tpm
看帖子, 你们公司应该使用的是 tpm+自动解锁吧, 也就是密钥在 TPM 里
现在一般电脑的 TPM 都是没做总线防护的, TPM2.0 虽然有这部分, 但一般都是没有启用的
也就是说可以启动时候监听 LPC 总线来拿到 key (当然如果是 TPM PIN 你得知道 TPM 的 PIN), 拿到 key 之后直接挂载到其他电脑上用那个 key 解密就行了

424778940

2024-07-21 01:18:46 +08:00

还有一种可能就是 GPT 启动的话 EFI 分区是不会被 bitlocker 加密的不然怎么启动呢...
所以你可以直接修改里面的 BCD, 新增一个强制进入安全模式的 entry, 然后开启启动菜单和倒数, 最后启动时候选那个就行了

kevin660

2024-07-21 08:09:54 +08:00

https://www.crowdstrike.com/wp-content/uploads/2024/07/Bitlocker-recovery-without-recovery-keys.pdf

kakarott1883

2024-07-21 09:25:28 +08:00

@kevin660 这样就能绕过？那 bitlocker lock 了个啥？

winterbells

2024-07-21 09:56:26 +08:00

@424778940 进安全模式也是要输入密钥的

bullfrog

2024-07-21 10:46:05 +08:00

谁给讲讲，既然硬盘没有解密，那那个会报错的文件是怎么被执行的？是不是说明存放的位置并没有加密？

ccwc

2024-07-21 12:55:38 +08:00

@bullfrog 开机的时候是自动解密的，系统运行在解密状态，可以读写
Bitlocker 有两种解密方式，一种是开机自动解密，一种是手动输密码（非恢复秘钥，需要自己去设置）解密，个人用的第二种，强迫自己记密码

424778940

2024-07-21 13:26:21 +08:00

@winterbells 启动失败用菜单选择进入安全模式是要输入密钥但通过修改 bcd 开启的话应该是能绕过的

hello2090

2024-07-21 13:28:08 +08:00

@test0x01 据我所知 500 强也是有档次的，楼主他们应该是 450 - 500 这个区间

424778940

2024-07-21 13:28:42 +08:00

@kakarott1883 他那个不是绕过就是我说的修改 bcd 实现 safeminial 方式 load
安全模式和普通启动的区别也是在于是否加载第三方驱动
crowdstrike 出问题的驱动就是第三方驱动

424778940

2024-07-21 13:31:30 +08:00

@bullfrog TPM 加密是启动时候动态解密的如果 TPM 加密且不设置 PIN 这种主要是防止拆盘下来读数据

mark2025

2024-07-21 15:58:44 +08:00

@424778940 “如果 TPM 加密且不设置 PIN 这种主要是防止拆盘下来读数据”，那如果 TPM 加密且设置 PIN 是防止什么呢？

第 4 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1058707

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.