Как работает bitlocker windows 10. Защита данных с помощью шифрования диска BitLocker. Разблокировка вашего диска BitLocker
Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.
WARNING
Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Она адресована специалистам по безопасности и тем, кто хочет ими стать.
Офлайновые атаки
Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.
В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.
Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?
Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.
Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?
От Vista до Windows 10
В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домохозяйке, тем больше копий этого софта удастся продать.
«Подумаешь, полпроцента клиентов озаботились своей безопасностью! Операционная система и так сложный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без него! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориентированы на корпоративный рынок.
Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединение нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).
С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.
Как использовать BitLocker
Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через панель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).
Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM...» и включить ее.
В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.
После применения новых политик возвращаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.
Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой способ считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезаписанные файлы какое-то время остаются доступными для прямого чтения.
После настройки всех параметров останется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.
В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нескольких часов.
После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.
Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Здравствуйте читатели блога компании КомСервис (г. Набережные Челны). В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.
Шифрование - это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.
Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.
Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в . Bitlocker доступен в версиях Максимальная и Корпоративная а так же в Pro. Владельцам других версий придется искать .
Структура статьи
1. Как работает шифрование диска BitLocker
Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)
Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.
Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.
Когда шифрование будет завершено увидите следующую картинку
Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.
3. Шифрование флешки - BitLocker To Go
Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы ( и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.
Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска
Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.
Управление шифрованием внешних накопителей
Для управления параметрами шифрования флешки доступны следующие функции
Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого автоматически.
5. Восстановление доступа к диску
Восстановление доступа к системному диску
Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину
Для восстановления доступа и загрузки Windows нажимаем Enter
Увидим экран с просьбой ввести ключ восстановления
С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.
Восстановление доступа к съемным накопителям
Для восстановления доступа к информации на флешке или нажимаем Забыли пароль?
Выбираем Ввести ключ восстановления
и вводим этот страшный 48-значный код. Жмем Далее
Если ключ восстановления подходит то диск будет разблокирован
Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.
Заключение
В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.
Возможно буду пользоваться шифрованием флешек или . Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как , и подобные.
Благодарю за то, что поделились статьей в социальных сетях. Всего Вам Доброго!
Защита данных с помощью шифрования диска BitLocker
Alexander Antipov
Шифрование дисков BitLocker — определенно одна из самых обсуждаемых возможностей в Windows Vista. Однако, большинство людей еще не имело серьезной возможности опробовать BitLocker и на собственном опыте испытать, что и как он делает — особенно на компьютере с доверенным платформенным модулем (TPM). В этой статье мы рассмотрим основы BitLocker™, позволяющие оценить его потенциал и включить в программу обновления. Начнем с предпосылок и концепций, затем рассмотрим включение BitLocker, восстановление данных, администрирование и то, какова роль BitLocker при утилизации компьютера.
BitLocker выполняет две взаимодополняющие, но различные функции. Во-первых, он обеспечивает шифрование всего тома ОС Windows ® . Во-вторых, на компьютерах с совместимым доверенным платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска Windows Vista™.
Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимыми микрочипом TPM и BIOS. Под совместимыми понимается версия 1.2 TPM и BIOS, поддерживающая TPM и статический корень измерения доверия (Static Root of Trust Measurement), определенный в спецификациях TCG. Однако компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker.
Полное шифрование томаBitLocker шифрует весь том ОС Windows со всеми данными. Это ключевой аспект в защите конфиденциальной информации, содержащейся на компьютерах предприятия, особенно переносных.
Переносные компьютеры крадут и теряют каждый день. Благодаря возросшим возможностям переносных устройств, а также все большей доли мобильности в работе один сотрудник может иметь при себе сотни гигабайт промышленных секретов вашего предприятия, секретных документов или сведений о клиентах частного характера. Краткий обзор сводок новостей покажет, что такие данные теряются слишком часто. (По данным Privacy Rights Clearinghouse, с 2005 года пропало или было разглашено свыше 104 миллионов записей, содержащих частные сведения.)
Большинство организаций уже находятся под действием юридических или корпоративных документов, обязывающих охранять сведения личного характера, и даже если ваше предприятие еще не входит в их число, вы наверняка были бы заинтересованы обеспечить документам сохранность.
Зачем шифровать весь том?Если вы опытный администратор Windows, вы наверняка уже знакомы с имевшимися в Windows вариантами шифрования, например EFS, и, возможно, с шифрованием и защитой служб управления правами (RMS). Главное отличие BitLocker в том, что он работает автоматически, прозрачно и распространяется на весь том.
Например, в EFS нужно было явно указывать, какие файлы и папки шифровать. В Windows Vista появились новые параметры, добавляющие EFS гибкости. И EFS, и RMS могут пригодиться в определенных обстоятельствах, когда BitLocker не сможет помочь. Обе эти технологии требуют значительных усилий по настройке и не предназначены для защиты всего содержимого тома.
В противоположность им, BitLocker шифрует все, что записывается на защищенный им том, включая файлы операционной системы, реестр, файлы спящего режима и подкачки, приложения и их данные.
Не шифруются три элемента: загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, и метаданные тома. Последние состоят из трех избыточных копий данных, используемых BitLocker, включая статистическую информацию о томе и защищенные копии некоторых ключей расшифровки. Эти элементы не требуют шифрования, поскольку не являются уникальными, ценными или позволяющими определить личность.
Шифрование всего тома защищает от атак с выключением (offline attack), которые подразумевают обход операционной системы. Типичный пример — кража офисного компьютера, извлечение жесткого диска и установка его в качестве второго диска другого компьютера (под управлением другой копии Windows или вообще другой ОС), что позволяет обойти разрешения NTFS и ввод пароля. Прочитать таким образом диск, защищенный BitLocker, невозможно.
Как BitLocker шифрует данные
BitLocker использует алгоритм AES с ключом 128 бит. Для большей надежности длину ключа можно увеличить до 256 бит с помощью групповых политик или через поставщик инструментария управления Windows (WMI) для BitLocker.
Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затрудняет определение ключей шифрования путем записи и шифровки заранее известных данных.
Перед применением шифрования BitLocker использует алгоритм, называемый диффузором (diffuser). Не углубляясь в криптографию, можно сказать, в результате его применения даже мельчайшее изменение исходного текста приводит к абсолютному изменению всего сектора зашифрованных данных. Это также серьезно затрудняет определение ключей или дешифровку.
Если вас заинтересовали детали алгоритма шифрования BitLocker, вы можете подробнее прочитать о нем в статье Нейла Фергюсона (Neil Ferguson) «AES-CBC + Elephant Diffuser: алгоритм шифрования диска для Windows Vista ».
Ключи BitLocker
Имея дело с шифрованием, стоит разбираться в ключах, и шифрование BitLocker не исключение. Архитектура его ключей изящна, но весьма непроста.
Сами секторы шифруются ключом шифрования всего тома (full-volume encryption key, FVEK). Пользователи, однако, с этим ключом не работают и доступа к нему не имеют. Сам ключ FVEK шифруется основным ключом тома (volume master key, VMK). Такой уровень абстракции дает уникальные преимущества, но делает весь процесс более трудным для понимания. Ключ FVEK хранится в строжайшей секретности, потому что при его разглашении потребовалось бы перешифровать все секторы. Поскольку перешифрование займет значительное время, стоит не допускать разглашения ключа. Поэтому система работает с ключом VMK.
Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не попадает на диск в расшифрованном виде.
Ключ VMK тоже шифруется, или «охраняется», одним или несколькими предохранителями ключей. Предохранитель по умолчанию — TPM. Его использование описано далее в разделе о проверке целостности. Пароль восстановления тоже создается как предохранитель на случай экстренных ситуаций. Восстановление также описано далее.
Для дополнительной защищенности можно объединить TPM с числовым ПИН-кодом или с частичным ключом, хранимым на USB-накопителе. И то, и другое — образец двухфакторной проверки подлинности. Если у компьютера нет совместимого TPM-чипа и BIOS, BitLocker может сохранить предохранитель ключа целиком на USB-накопителе. Получится ключ запуска.
BitLocker можно отключить, не расшифровывая данные. В этом случае ключ VMK защищается только новым предохранителем ключа, который хранится в незашифрованном виде. Этот ключ позволяет системе получать доступ к диску так, словно он не зашифрован.
При запуске система ищет подходящий предохранитель ключа, опрашивая TPM, проверяя порты USB или, если необходимо, запрашивая пользователя (что называется восстановлением). Обнаружение предохранителя ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, которым расшифровываются данные на диске. Весь процесс показан на рис. 1.
Рис. 1 Процесс запуска BitLocker по умолчанию
Проверка целостности
Поскольку компоненты, выполняющие начальную стадию загрузки, должны оставаться незашифрованными (иначе компьютер не сможет запуститься), злоумышленник может изменить их код (создать rootkit) и так получить доступ к компьютеру, даже если данные на диске останутся зашифрованными.
Это открывает доступ к конфиденциальной информации, например ключам BitLocker или паролям пользователей, которые могут быть использованы для обхода других средств защиты.
Предотвращение такого хода событий было одной из исходных целей всей программы и группы разработчиков BitLocker. До некоторой степени, шифрование почти позволяло достичь конечной цели. Полное шифрование тома позволяет BitLocker сберегать целостность системы и не давать Windows запуститься, если компоненты, выполняющие начальную стадию загрузки, были изменены.
Если компьютер снабжен совместимым TPM, при каждом его запуске каждый из компонентов ранней загрузки — BIOS, MBR, загрузочный сектор и код диспетчера загрузки — проверяет запускаемый код, подсчитывает значение хэша и сохраняет его в специальных регистрах TPM, называемых регистрами конфигурации платформы (platform configuration registers, PCR). Значение, сохраненное в PCR, может быть заменено или стерто только при перезапуске системы. BitLocker использует TPM и значения, сохраненные в PCR, для защиты ключа VMK.
TPM может создать ключ, привязанный к конкретным значениям PCR. После создания этот ключ шифруется модулем TPM, и расшифровать его сможет только этот конкретный модуль. Причем для этого потребуется, чтобы текущие значения PCR совпадали со значениями на момент создания ключа. Это называется запечатыванием (sealing) ключа в TPM.
По умолчанию BitLocker запечатывает ключи к измерениям CRTM, BIOS и любым расширениям платформы, необязательному ROM-коду, коду MBR, загрузочному сектору NTFS и диспетчеру загрузки. Если любой из этих элементов неожиданно оказывается измененным, BitLocker блокирует диск и не даст получить к нему доступ или расшифровать.
По умолчанию BitLocker настроен на обнаружение и использование TPM. С помощью настроек групповой или локальной политики можно разрешить работу BitLocker без TPM с хранением ключей на внешнем флэш-накопителе USB, но тогда становится невозможно проверять целостность системы.
Первичное включение BitLockerBitLocker доступен в редакциях Windows Vista Enterprise и Windows Vista Ultimate (а также как необязательный компонент следующей версии Windows Server ® под кодовым именем «Longhorn»).
В нижеследующем изложении предполагается, что для тестирования доступен компьютер с совместимым TPM. Если требуется включить BitLocker на компьютере без TPM, следуйте инструкциям на боковой панели «Использование BitLocker без TPM».
Использование BitLocker без TPM
По умолчанию BitLocker настроен на использование TPM, поэтому при его отсутствии Windows с неизмененными настройками не даст включить BitLocker. Однако, выполнив приведенные далее шаги, взятые из «Пошагового руководства шифрования дисков Windows BitLocker», вы сможете использовать BitLocker на компьютере без TPM.
Для выполнения этих шагов необходимо войти в систему с администраторскими привилегиями. Даже при отсутствии TPM компьютер должен поддерживать чтение с флэш-накопителя USB во время загрузки. Кроме того, необходимо иметь и сам готовый к использованию флэш-накопитель — при запуске BitLocker и при каждой последующей перезагрузке компьютера.
Шифрование диска BitLocker на компьютере без совместимого TPM включается так:
- нажмите кнопку Пуск, введите gpedit.msc в поле поиска и нажмите ВВОД;
- если появится диалоговое окно контроля учетных записей, подтвердите желаемость действия, нажав кнопку «Продолжить»;
- в дереве консоли редактора объектов групповых политик выберите пункт «Редактор локальной политики», щелкните «Административные шаблоны», затем «Компоненты Windows», после чего дважды щелкните «Шифрование диска BitLocker»;
- Дважды щелкните настройку «Установка панели управления: включить дополнительные параметры запуска». Появится одноименное диалоговое окно;
- Выберите вариант «Включить», установите флажок «Разрешить использование BitLocker без совместимого TPM» и нажмите кнопку «ОК». Теперь вместо TPM можно использовать ключ запуска;
- закройте редактор объектов групповой политики;
- чтобы новые настройки групповых политик вступили в силу немедленно, нажмите кнопку «Пуск», введите gpupdate.exe /force в поле поиска и нажмите клавишу ВВОД. Дождитесь завершения процесса.
Сама Windows будет установлена на другой, больший том, который можно зашифровать. Если установка Windows производится на новый компьютер, можно вручную настроить тома в соответствии с инструкциями, приведенными в Пошаговом руководстве шифрования дисков Windows BitLocker .
Для подготовки системы можно использовать средство подготовки диска для BitLocker. Это средство берет на себя все заботы по настройке дисков. Оно доступно как Windows Vista Ultimate Extra, а также для потребителей, занимающихся развертыванием Windows Vista Enterprise. Подробные инструкции по использованию этого средства см. в статье базы знаний support.microsoft.com/kb/930063 .
Средство подготовки автоматически уменьшает размер тома (если он один), создает второй раздел, делает его активным, вносит все необходимые изменения в конфигурацию и переносит стартовые файлы в нужное место.
После настройки томов включить BitLocker не составляет труда. В разделе «Безопасность» панели управления щелкните значок шифрования дисков BitLocker. После утвердительного ответа на запрос UAC появится диалоговое окно, показанное на рис. 2.
Дальнейшая последовательность шагов зависит от состояния микросхемы TPM компьютера. Если он не инициализирован, запустится мастер инициализации TPM. Для успешной инициализации следуйте его указаниям (потребуется перезагрузить компьютер).
После инициализации TPM появится страница сохранения пароля восстановления (рис. 3). Пароль восстановления нужен для возвращения доступа к данным в случае сбоя в модуле TPM или другой неисправности. С помощью этой страницы можно сохранить его на флэш-накопителе USB или на сетевом диске, а также напечатать для помещения в безопасное место. Нужно выбрать хотя бы один из этих вариантов, причем сохранять можно в нескольких экземплярах. После сохранения кнопка «Далее» станет доступной. Нажмите ее.
Рис. 3 Сохранение пароля восстановления
На следующей странице — «Зашифровать выбранный том» — можно указать, запускать ли проверку системы перед шифрованием. Проверка потребует перезагрузки, но это лучший способ убедиться, что TPM, BIOS и порты USB будут успешно использованы BitLocker. Если возникли проблемы, после перезагрузки будет отображено сообщение об ошибке. В противном случае появится строка состояния «Выполняется шифрование».
Вот и все Шифрование продолжит выполняться в фоновом режиме, а вы можете продолжать использовать свой компьютер. После завершения шифрования появляется соответствующее сообщение. Можно самостоятельно отслеживать текущее состояние шифрования, перемещая курсор на значок шифрования диска BitLocker в панели инструментов внизу экрана. Подробнее весь процесс описан в пошаговом руководстве, упомянутом выше.
Некоторых пользователей удивляет, что при запуске компьютера BitLocker не запрашивает ничего у пользователя и не вмешивается каким-либо иным заметным способом. Это происходит потому, что по умолчанию в проверке целостности системы до разблокировки диска BitLocker полагается на TPM. Это происходит автоматически и прозрачно для пользователя.
Можно настроить BitLocker на запрос ПИН-кода или требование ключа, сохраненного на флэш-накопителе USB. Эта конфигурация безопаснее и рекомендуется для ситуаций, когда плюсы от дополнительной защиты перевешивают неудобства введения ПИН-кода. В моем понимании, так дело обстоит всегда (другими словами, мой настольный компьютер требует ввода ПИН-кода, а переносной — ключа на накопителе USB.)
Восстановление BitLockerИмея дело с шифрованием, особенно в деловой и корпоративной среде, следует обязательно обеспечить прошедшему проверку подлинности пользователю доступ к своим данным, даже если обычные методы доступа или ключи недоступны. В BitLocker это называется восстановлением.
Если происходят непредвиденные изменения в компонентах начальной загрузки, теряется загрузочный USB-ключ или пользователь забывает ПИН-код, BitLocker не сможет успешно завершить загрузку. Том будет оставлен заблокированным, и Windows не сможет запуститься. Вместо этого код BitLocker в диспетчере загрузки отобразит текстовый экран. Если пароль восстановления был сохранен на флэш-накопителе USB (иногда называемом ключом восстановления), появляется экран, подобный показанному на рис. 4.
Рис. 4 Поиск ключа восстановления
Чтобы BitLocker смог прочитать флэш-накопитель USB, тот должен быть подключен с самого начала. Поэтому, если имеется этот накопитель с ключом, нужно вставить его и нажать ESC. Если ключа нет, нажмите ВВОД. Появится экран, показанный на рис. 5. Тот же экран появится, если ключ восстановления не сохранялся на флэш-накопителе USB.
Рис. 5 Ввод пароля BitLocker
Теперь BitLocker ожидает ввода 48-значного цифрового пароля, который разблокирует диск. Это число напечатано на странице, если была выбрана печать пароля восстановления, или хранится в файле, если был выбран этот вариант сохранения.
В следующей статье мы подробно остановимся на управляемости BitLocker, а пока достаточно сказать, что он поставляется с полноценным поставщиком WMI, который позволяет контролировать BitLocker (и TPM) через любую совместимую с WMI систему WBEM. Это, в частности, означает, что управлять BitLocker можно через сценарии на любом языке сценариев, способном получать доступ к объектам WMI, например VBScript и Windows PowerShell™.
Вместе с BitLocker также поставляется средство командной строки manage-bde.wsf, использующее провайдер WMI для управления BitLocker на локальном и удаленном компьютере. Для получения более подробной информации о нем запустите командную строку с повышенными привилегиями и введите manage-bde.wsf /?.
Безопасное списаниеКаждый компьютер в конце концов приходится списывать. Обычно предприятия тратят значительные средства и усилия на то, чтобы диски таких компьютеров были предварительно полностью очищены. Большинство методов удаления секретных данных требуют значительного времени и денег или выливаются в полное уничтожение оборудования. Средство BitLocker предоставляет более эффективные решения.
Вместо фактического удаления данных BitLocker гарантирует, что секретные сведения не хранятся на диске небезопасным образом. Поскольку все содержимое диска зашифровано, данные можно считать навсегда утерянными, если уничтожены все копии ключей шифрования. Сам жесткий диск остается неповрежденным и может быть повторно использован.
Существует большое число подходов к списанию томов, защищенных BitLocker. Можно удалить все копии ключей из метаданных тома, оставив их копии в надежно защищенном центральном архиве. После этого можно без опаски перевозить компьютеры или временно списать, если им предстоит провести значительное время без работы. Это гарантирует, что авторизованные пользователи смогут получить доступ к данным, в то время как все остальные, например новые владельцы оборудования, — нет.
Можно удалить все копии ключей из метаданных тома и из всех архивов, таких как Active Directory (это можно сделать, например, созданием новых ключей, которые нигде не будут храниться). Без ключей расшифровки никто не сможет восстановить данные.
В любом из этих случаев удаление и уничтожение ключей, содержащихся в метаданных тома, производится практически мгновенно и может выполняться администратором на многих системах разом. На это требуется минимум сил и времени, а результат — очень высокая степень непрерывной защиты. Средство форматирования в Windows Vista было обновлено. Теперь команда format удаляет метаданные тома и перезаписывает их секторы для надежного удаления всех ключей BitLocker.
Несколько заключительных словBitLocker — мощное средство, разработанное для защиты от конкретных угроз, с чем оно прекрасно справляется. Но не стоит считать его панацеей. Совершенно необходимо продолжать использование остальных защитных и управляющих мер, например надежных паролей.
BitLocker предназначен для защиты от атак с отключением оборудования. Если Windows запущена, BitLocker разблокировал том. Иными словами, он не обеспечивает защиту работающей системы. В этом его дополняют такие технологии, как EFS и RMS.
Подробнее о BitLocker см. на веб-узле Майкрософт, начиная с technet.microsoft.com/windowsvista/aa905065.aspx . Подробнее о спецификациях TPM и TCG см. в разделе «TPM Specifications» веб-узла TCG по адресу go.microsoft.com/fwlink/?LinkId=72757 .
Байрон Хайнз (Byron Hynes) работает в группе поддержки пользователей Windows Server в Майкрософт. До этого работал консультантом и инструктором. Связаться с ним можно по адресу [email protected] .
Читайте, как защитить жесткий или внешний диск от доступа к нему посторонних зашифровав его . Как настроить и использовать встроенную функцию Windows – BitLocker шифрование. Операционная система позволяет шифровать локальные диски и съемные устройства с помощью встроенной программы-шифровальщика BitLocker . Когда команда TrueCrypt неожиданно закрыла проект, они рекомендовали своим пользователям перейти на BitLocker.
Содержание:
Как включить Bitlocker
Для работы BitLocker для шифрования дисков и BitLocker To Go требуется профессиональная, корпоративная версия Windows 8, 8.1 или 10, или же Максимальная версия Windows 7. Но “ядро” ОС Windows версии 8.1 включает в себя функцию “Device Encryption” для доступа к зашифрованным устройствам.
Для включения BitLocker откройте Панель управления и перейдите в Систему и безопасность – Шифрование диска с помощью BitLocker. Вы также можете открыть Проводник Windows, кликнуть правой кнопкой на диске и выбрать Включить BitLocker. Если такой опции нет в меню, значит у вас не поддерживаемая версия Windows.
Кликните на опцию Включить BitLocker на против системного диска, любого логического раздела или съемного устройства для включение шифрования. Динамические диски не могут быть зашифрованы с помощью BitLocker.
Доступно два типа шифрования BitLocker для включения:
- Для логического раздела . Позволяет шифровать любые встроенные диски, как системные, так и нет. При включении компьютера, загрузчик запускает Windows, из раздела System Reserved, и предлагает метод разблокировки – например, пароль. После этого BitLocker расшифрует диск и запустит Windows. Процесс шифрования / дешифрования будет проходить на лету, и вы будете работать с системой точно также, как до включения шифрования. Также можно зашифровать другие диски в компьютере, а не только диск операционной системы. Пароль для доступа необходимо будет ввести при первом обращении к такому диску.
- Для внешних устройств : Внешние накопители, такие как USB флэш-накопители и внешние жесткие диски, могут быть зашифрованы с помощью BitLocker To Go. Вам будет предложено ввести пароль для разблокировки при подключении накопителя к компьютеру. Пользователи, у которых не будет пароля не смогут получить доступ к файлам на диске.
Использование BitLocker без TPM
Если на вашем отсутствует Trusted Platform Module (TPM), то при включении BitLocker вы увидите сообщение:
«Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр – Разрешить использовать BitLocker без совместимого TPM» в политике – Обязательная дополнительная проверка подлинности при запуске для томов ОС.
Шифрование диска с Bitlocker по умолчанию требует наличие модуля TPM на компьютере для безопасности диска с операционной системой. Это микрочип, встроенный в материнскую плату компьютера. BitLocker может сохранять зашифрованный ключ в TPM, так как это гораздо надежнее чем хранить его на жестком диске компьютера. TPM чип предоставит ключ шифрования только после проверки состояния компьютера. Злоумышленник не может просто украсть жесткий диск вашего компьютера или создать образ зашифрованного диска и затем расшифровать его на другом компьютере.
Для включения шифрования диска без наличия модуля TPM необходимо обладать правами администратора. Вы должны открыть редактор Локальной группы политики безопасности и изменить необходимый параметр.
Нажмите клавишу Windows + R для запуска команды выполнить, введите gpedit.msc и нажмите Enter. Перейдите в Политика «Локальный компьютер» – «Конфигурация компьютера» – «Административные шаблоны» – «Компоненты Windows» – «Шифрование диска BitLocker» – «Диски операционной системы». Дважды кликните на параметре «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». Измените значение на включено и проверьте наличие галочки на параметре «Разрешить использование BitLocker без совместимого TPM», затем нажмите Ок для сохранения.
Выберите метод разблокировки
Далее необходимо указать способ разблокировки диска при запуске. Вы можете выбрать различные пути для разблокировки диска. Если ваш компьютер не имеет TPM, вы можете разблокировать диск с помощью ввода пароля или вставляя специальную USB флешку, которая работает как ключ.
Если компьютер оснащен TPM, вам будут доступны дополнительные опции. На пример вы можете настроить автоматическую разблокировку при загрузке. Компьютер будет обращаться за паролем к TPM модулю и автоматически расшифрует диск. Для повышения уровня безопасности Вы можете настроить использование Пин кода при загрузке. Пин код будет использоваться для надежного шифрования ключа для открытия диска, который храниться в TPM.
Выберите ваш предпочитаемый способ разблокировки и следуйте инструкции для дальнейшей настройки.
Сохраните ключ восстановления в надежное место
Перед шифрованием диска BitLocker предоставит вам ключ восстановления. Этот ключ разблокирует зашифрованный диск в случае утери вашего пароля. На пример вы потеряете пароль или USB флешку, используемую в качестве ключа, или TPM модуль перестанет функционировать и т.д.
Вы можете сохранить ключ в файл, напечатать его и хранить с важными документами, сохранить на USB флешку или загрузить его в онлайн аккаунт Microsoft. Если вы сохраните ключ восстановления в ваш аккаунт Microsoft, то сможете получить доступ к нему позже по адресу – https://onedrive.live.com/recoverykey . Убедитесь в безопасности хранения этого ключа, если кто-то получит доступ к нему, то сможет расшифровать диск и получить доступ к вашим файлам. Имеет смысл сохранить несколько копий этого ключа в различных местах, так как если у вас не будет ключа и что-то случиться с вашим основным методом разблокировки, ваши зашифрованные файлы будут утеряна навсегда.
Расшифровка и разблокировка диска
После включения BitLocker будет автоматически шифровать новые файлы по мере их добавления или изменения, но вы можете выбрать как поступить с файлами, которые уже присутствуют на вашем диске. Вы можете зашифровать только занятое сейчас место или весь диск целиком. Шифрование всего диска проходит дольше, но оградит от возможности восстановления содержимого удаленных файлов. Если вы настраиваете BitLocker на новом компьютере, шифруйте только использованное место на диске – так быстрее. Если вы настраиваете BitLocker на компьютере, который использовали до этого, вы должны использовать шифрование всего диска целиком.
Вам будет предложено запустить проверку системы BitLocker и перезагрузить компьютер. После первой загрузки компьютера в первый раз диск будет зашифрован. В системном трее будет доступна иконка BitLocker, кликните по ней что бы увидеть прогресс. Вы можете использовать компьютер пока шифруется диск, но процесс будет идти медленнее.
После перезагрузки компьютера, вы увидите строку для ввода пароля BitLocker, ПИН кода или предложение вставить USB ключ.
Нажмите Escape если вы не можете выполнить разблокировку. Вам будет предложено ввести ключ восстановления.
Если вы выбрали шифрование съемного устройства с BitLocker To Go, вы увидите похожий мастер, но ваш диск будет зашифрован без требования перезагрузки системы. Не отсоединяйте съемное устройство во время процесса шифрования.
Когда вы подсоедините зашифрованную флешку или внешний диск к компьютеру, необходимо будет ввести пароль для его разблокировки. Защищенные BitLocker диски имеют специальную иконку в Windows проводнике.
Вы можете управлять защищенными дисками в окне контрольной панели BitLocker – изменить пароль, выключить BitLocker, сделать резервную копию ключа восстановления и другие действия. Нажмите правой кнопкой мышки на зашифрованном диске и выберите Включить BitLocker для перехода в панель управления.
Как и любое шифрование BitLocker дополнительно нагружает системные ресурсы. Официальная справка Microsoft по BitLocker говорит следующее . Если вы работаете с важными документами и шифрование вам необходимо – это будет разумный компромисс с производительностью.
Загрузка...
