«БитЛокер» представляет собой проприетарную технологию, которая дает возможность обеспечивать защиту информации посредством комплексного шифрования разделов. Сам ключ может размещаться в «TRM» либо на устройстве USB.

TPM (Trusted Platform Module ) – это криптопроцессор, в котором размещаются криптоключи для защиты данных. Используется для того, чтобы:

• выполнять аутентификацию ;
• защищать информацию от кражи;
• управлять сетевым доступом;
• защищать программное обеспечение от изменений;
• защищать данные от копирования.

Модуль «Trusted Platform Module» в BIOS

Обыкновенно модуль запускается в рамках процесса модульной инициализации, его не нужно включать/выключать. Но если необходимо, осуществить активацию возможно посредством консоли управления модулем.

1. Нажмите в меню «Пуск» кнопку «Выполнить », напишите tpm. msc .
2. В разделе «Действие» выберите «Включить TPM ». Ознакомьтесь с руководством.
3. Перезагрузите ПК , следуйте рекомендациям «БИОС», отображаемым на мониторе.

Как включить «БитЛокер» без «Trusted Platform Module» в Windows 7, 8, 10

При запуске шифровального процесса «БитЛокер» для системного раздела на ПК многих юзеров появляется уведомление «Данное устройство не может применять доверенный платформенный модуль. Администратору нужно активировать параметр. Разрешить применение BitLocker без совместимого TPM ». Чтобы применять шифрование, нужно отключить соответствующий модуль.

Отключение использования модуля TPM

Для того чтобы можно было выполнить шифрование системного раздела без «Trusted Platform Module», нужно поменять настройки параметра в редакторе GPO (локальные групповые политики) ОС.

Как включить «БитЛокер»

Для того чтобы выполнить запуск «БитЛокер», необходимо следовать такому алгоритму:

1. Щелкните правой клавишей мышки по меню «Пуск», нажмите на «Панель управления ».
2. Кликните по «».
   
3. Нажмите на «Включить BitLocker ».
   
4. Подождите, пока закончится проверка, щелкните «Далее ».
   
5. Прочтите инструкции, кликните по клавише «Далее ».
   
6. Запустится процесс подготовки, при котором не стоит отключать ПК. В противном случае вы не сможете загрузить операционную систему.
   
7. Щелкните по клавише «Далее ».
   
8. Введите пароль, который станет применяться для разблокирования диска при запуске ПК. Кликните по клавише «Далее ».
   
9. Выберите метод сохранения ключа восстановления. Данный ключ позволит получить доступ к диску при утрате пароля. Щелкните «Далее».
   
10. Выберите шифрование всего раздела . Кликните «Далее».
    
11. Нажмите на «Новый режим шифрования », щелкните «Далее».
    
12. Отметьте пункт «Запустить проверку системы BitLocker », щелкните «Продолжить».
    
13. Выполните перезагрузку ПК.
14. При включении ПК наберите пароль, указанный при шифровании. Щелкните кнопку ввода.
    
15. Шифрование запустится сразу после загрузки ОС. Кликните по значку «БитЛокер» в панели уведомлений, чтобы посмотреть прогресс. Помните, что шифровальный процесс может отнимать немало времени. Все зависит от того, какой памятью располагает системный раздел. При выполнении процедуры ПК будет работать менее производительно, так как на процессор идет нагрузка.

Как отключить BitLocker

Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

WARNING

Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Она адресована специалистам по безопасности и тем, кто хочет ими стать.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домохозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озаботились своей безопасностью! Операционная система и так сложный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без него! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориентированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединение нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через панель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM...» и включить ее.

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

После применения новых политик возвращаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой способ считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезаписанные файлы какое-то время остаются доступными для прямого чтения.

После настройки всех параметров останется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нескольких часов.

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Защита данных с помощью шифрования диска BitLocker

Alexander Antipov

Шифрование дисков BitLocker — определенно одна из самых обсуждаемых возможностей в Windows Vista. Однако, большинство людей еще не имело серьезной возможности опробовать BitLocker и на собственном опыте испытать, что и как он делает — особенно на компьютере с доверенным платформенным модулем (TPM). В этой статье мы рассмотрим основы BitLocker™, позволяющие оценить его потенциал и включить в программу обновления. Начнем с предпосылок и концепций, затем рассмотрим включение BitLocker, восстановление данных, администрирование и то, какова роль BitLocker при утилизации компьютера.

BitLocker выполняет две взаимодополняющие, но различные функции. Во-первых, он обеспечивает шифрование всего тома ОС Windows ® . Во-вторых, на компьютерах с совместимым доверенным платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска Windows Vista™.

Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимыми микрочипом TPM и BIOS. Под совместимыми понимается версия 1.2 TPM и BIOS, поддерживающая TPM и статический корень измерения доверия (Static Root of Trust Measurement), определенный в спецификациях TCG. Однако компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker.

Полное шифрование тома

BitLocker шифрует весь том ОС Windows со всеми данными. Это ключевой аспект в защите конфиденциальной информации, содержащейся на компьютерах предприятия, особенно переносных.

Переносные компьютеры крадут и теряют каждый день. Благодаря возросшим возможностям переносных устройств, а также все большей доли мобильности в работе один сотрудник может иметь при себе сотни гигабайт промышленных секретов вашего предприятия, секретных документов или сведений о клиентах частного характера. Краткий обзор сводок новостей покажет, что такие данные теряются слишком часто. (По данным Privacy Rights Clearinghouse, с 2005 года пропало или было разглашено свыше 104 миллионов записей, содержащих частные сведения.)

Большинство организаций уже находятся под действием юридических или корпоративных документов, обязывающих охранять сведения личного характера, и даже если ваше предприятие еще не входит в их число, вы наверняка были бы заинтересованы обеспечить документам сохранность.

Зачем шифровать весь том?

Если вы опытный администратор Windows, вы наверняка уже знакомы с имевшимися в Windows вариантами шифрования, например EFS, и, возможно, с шифрованием и защитой служб управления правами (RMS). Главное отличие BitLocker в том, что он работает автоматически, прозрачно и распространяется на весь том.

Например, в EFS нужно было явно указывать, какие файлы и папки шифровать. В Windows Vista появились новые параметры, добавляющие EFS гибкости. И EFS, и RMS могут пригодиться в определенных обстоятельствах, когда BitLocker не сможет помочь. Обе эти технологии требуют значительных усилий по настройке и не предназначены для защиты всего содержимого тома.

В противоположность им, BitLocker шифрует все, что записывается на защищенный им том, включая файлы операционной системы, реестр, файлы спящего режима и подкачки, приложения и их данные.

Не шифруются три элемента: загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, и метаданные тома. Последние состоят из трех избыточных копий данных, используемых BitLocker, включая статистическую информацию о томе и защищенные копии некоторых ключей расшифровки. Эти элементы не требуют шифрования, поскольку не являются уникальными, ценными или позволяющими определить личность.

Шифрование всего тома защищает от атак с выключением (offline attack), которые подразумевают обход операционной системы. Типичный пример — кража офисного компьютера, извлечение жесткого диска и установка его в качестве второго диска другого компьютера (под управлением другой копии Windows или вообще другой ОС), что позволяет обойти разрешения NTFS и ввод пароля. Прочитать таким образом диск, защищенный BitLocker, невозможно.

Как BitLocker шифрует данные

BitLocker использует алгоритм AES с ключом 128 бит. Для большей надежности длину ключа можно увеличить до 256 бит с помощью групповых политик или через поставщик инструментария управления Windows (WMI) для BitLocker.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затрудняет определение ключей шифрования путем записи и шифровки заранее известных данных.

Перед применением шифрования BitLocker использует алгоритм, называемый диффузором (diffuser). Не углубляясь в криптографию, можно сказать, в результате его применения даже мельчайшее изменение исходного текста приводит к абсолютному изменению всего сектора зашифрованных данных. Это также серьезно затрудняет определение ключей или дешифровку.

Если вас заинтересовали детали алгоритма шифрования BitLocker, вы можете подробнее прочитать о нем в статье Нейла Фергюсона (Neil Ferguson) «AES-CBC + Elephant Diffuser: алгоритм шифрования диска для Windows Vista ».

Ключи BitLocker

Имея дело с шифрованием, стоит разбираться в ключах, и шифрование BitLocker не исключение. Архитектура его ключей изящна, но весьма непроста.

Сами секторы шифруются ключом шифрования всего тома (full-volume encryption key, FVEK). Пользователи, однако, с этим ключом не работают и доступа к нему не имеют. Сам ключ FVEK шифруется основным ключом тома (volume master key, VMK). Такой уровень абстракции дает уникальные преимущества, но делает весь процесс более трудным для понимания. Ключ FVEK хранится в строжайшей секретности, потому что при его разглашении потребовалось бы перешифровать все секторы. Поскольку перешифрование займет значительное время, стоит не допускать разглашения ключа. Поэтому система работает с ключом VMK.

Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не попадает на диск в расшифрованном виде.

Ключ VMK тоже шифруется, или «охраняется», одним или несколькими предохранителями ключей. Предохранитель по умолчанию — TPM. Его использование описано далее в разделе о проверке целостности. Пароль восстановления тоже создается как предохранитель на случай экстренных ситуаций. Восстановление также описано далее.

Для дополнительной защищенности можно объединить TPM с числовым ПИН-кодом или с частичным ключом, хранимым на USB-накопителе. И то, и другое — образец двухфакторной проверки подлинности. Если у компьютера нет совместимого TPM-чипа и BIOS, BitLocker может сохранить предохранитель ключа целиком на USB-накопителе. Получится ключ запуска.

BitLocker можно отключить, не расшифровывая данные. В этом случае ключ VMK защищается только новым предохранителем ключа, который хранится в незашифрованном виде. Этот ключ позволяет системе получать доступ к диску так, словно он не зашифрован.

При запуске система ищет подходящий предохранитель ключа, опрашивая TPM, проверяя порты USB или, если необходимо, запрашивая пользователя (что называется восстановлением). Обнаружение предохранителя ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, которым расшифровываются данные на диске. Весь процесс показан на рис. 1.

Рис. 1 Процесс запуска BitLocker по умолчанию

Проверка целостности

Поскольку компоненты, выполняющие начальную стадию загрузки, должны оставаться незашифрованными (иначе компьютер не сможет запуститься), злоумышленник может изменить их код (создать rootkit) и так получить доступ к компьютеру, даже если данные на диске останутся зашифрованными.

Это открывает доступ к конфиденциальной информации, например ключам BitLocker или паролям пользователей, которые могут быть использованы для обхода других средств защиты.

Предотвращение такого хода событий было одной из исходных целей всей программы и группы разработчиков BitLocker. До некоторой степени, шифрование почти позволяло достичь конечной цели. Полное шифрование тома позволяет BitLocker сберегать целостность системы и не давать Windows запуститься, если компоненты, выполняющие начальную стадию загрузки, были изменены.

Если компьютер снабжен совместимым TPM, при каждом его запуске каждый из компонентов ранней загрузки — BIOS, MBR, загрузочный сектор и код диспетчера загрузки — проверяет запускаемый код, подсчитывает значение хэша и сохраняет его в специальных регистрах TPM, называемых регистрами конфигурации платформы (platform configuration registers, PCR). Значение, сохраненное в PCR, может быть заменено или стерто только при перезапуске системы. BitLocker использует TPM и значения, сохраненные в PCR, для защиты ключа VMK.

TPM может создать ключ, привязанный к конкретным значениям PCR. После создания этот ключ шифруется модулем TPM, и расшифровать его сможет только этот конкретный модуль. Причем для этого потребуется, чтобы текущие значения PCR совпадали со значениями на момент создания ключа. Это называется запечатыванием (sealing) ключа в TPM.

По умолчанию BitLocker запечатывает ключи к измерениям CRTM, BIOS и любым расширениям платформы, необязательному ROM-коду, коду MBR, загрузочному сектору NTFS и диспетчеру загрузки. Если любой из этих элементов неожиданно оказывается измененным, BitLocker блокирует диск и не даст получить к нему доступ или расшифровать.

По умолчанию BitLocker настроен на обнаружение и использование TPM. С помощью настроек групповой или локальной политики можно разрешить работу BitLocker без TPM с хранением ключей на внешнем флэш-накопителе USB, но тогда становится невозможно проверять целостность системы.

Первичное включение BitLocker

BitLocker доступен в редакциях Windows Vista Enterprise и Windows Vista Ultimate (а также как необязательный компонент следующей версии Windows Server ® под кодовым именем «Longhorn»).

В нижеследующем изложении предполагается, что для тестирования доступен компьютер с совместимым TPM. Если требуется включить BitLocker на компьютере без TPM, следуйте инструкциям на боковой панели «Использование BitLocker без TPM».

Использование BitLocker без TPM

По умолчанию BitLocker настроен на использование TPM, поэтому при его отсутствии Windows с неизмененными настройками не даст включить BitLocker. Однако, выполнив приведенные далее шаги, взятые из «Пошагового руководства шифрования дисков Windows BitLocker», вы сможете использовать BitLocker на компьютере без TPM.

Для выполнения этих шагов необходимо войти в систему с администраторскими привилегиями. Даже при отсутствии TPM компьютер должен поддерживать чтение с флэш-накопителя USB во время загрузки. Кроме того, необходимо иметь и сам готовый к использованию флэш-накопитель — при запуске BitLocker и при каждой последующей перезагрузке компьютера.

Шифрование диска BitLocker на компьютере без совместимого TPM включается так:

1. нажмите кнопку Пуск, введите gpedit.msc в поле поиска и нажмите ВВОД;
2. если появится диалоговое окно контроля учетных записей, подтвердите желаемость действия, нажав кнопку «Продолжить»;
3. в дереве консоли редактора объектов групповых политик выберите пункт «Редактор локальной политики», щелкните «Административные шаблоны», затем «Компоненты Windows», после чего дважды щелкните «Шифрование диска BitLocker»;
4. Дважды щелкните настройку «Установка панели управления: включить дополнительные параметры запуска». Появится одноименное диалоговое окно;
5. Выберите вариант «Включить», установите флажок «Разрешить использование BitLocker без совместимого TPM» и нажмите кнопку «ОК». Теперь вместо TPM можно использовать ключ запуска;
6. закройте редактор объектов групповой политики;
7. чтобы новые настройки групповых политик вступили в силу немедленно, нажмите кнопку «Пуск», введите gpupdate.exe /force в поле поиска и нажмите клавишу ВВОД. Дождитесь завершения процесса.

Важный шаг в процессе включения BitLocker — убедиться, что тома настроены верно. Для работы BitLocker требуется, чтобы активный раздел был не зашифрован. Это необходимо для считывания загрузочного сектора, диспетчера загрузки и загрузчика Windows (эти компоненты защищаются средствами проверки целостности системы, описанными ранее). Поскольку другие компоненты Windows могут нуждаться во временном доступе к активному разделу, корпорация Майкрософт рекомендует отводить ему не меньше 1,5 ГБ. Также не помешает настроить разрешения NTFS, чтобы пользователи не смогли случайно записать данные на этот том.

Сама Windows будет установлена на другой, больший том, который можно зашифровать. Если установка Windows производится на новый компьютер, можно вручную настроить тома в соответствии с инструкциями, приведенными в Пошаговом руководстве шифрования дисков Windows BitLocker .

Для подготовки системы можно использовать средство подготовки диска для BitLocker. Это средство берет на себя все заботы по настройке дисков. Оно доступно как Windows Vista Ultimate Extra, а также для потребителей, занимающихся развертыванием Windows Vista Enterprise. Подробные инструкции по использованию этого средства см. в статье базы знаний support.microsoft.com/kb/930063 .

Средство подготовки автоматически уменьшает размер тома (если он один), создает второй раздел, делает его активным, вносит все необходимые изменения в конфигурацию и переносит стартовые файлы в нужное место.

После настройки томов включить BitLocker не составляет труда. В разделе «Безопасность» панели управления щелкните значок шифрования дисков BitLocker. После утвердительного ответа на запрос UAC появится диалоговое окно, показанное на рис. 2.

Дальнейшая последовательность шагов зависит от состояния микросхемы TPM компьютера. Если он не инициализирован, запустится мастер инициализации TPM. Для успешной инициализации следуйте его указаниям (потребуется перезагрузить компьютер).

После инициализации TPM появится страница сохранения пароля восстановления (рис. 3). Пароль восстановления нужен для возвращения доступа к данным в случае сбоя в модуле TPM или другой неисправности. С помощью этой страницы можно сохранить его на флэш-накопителе USB или на сетевом диске, а также напечатать для помещения в безопасное место. Нужно выбрать хотя бы один из этих вариантов, причем сохранять можно в нескольких экземплярах. После сохранения кнопка «Далее» станет доступной. Нажмите ее.

Рис. 3 Сохранение пароля восстановления

На следующей странице — «Зашифровать выбранный том» — можно указать, запускать ли проверку системы перед шифрованием. Проверка потребует перезагрузки, но это лучший способ убедиться, что TPM, BIOS и порты USB будут успешно использованы BitLocker. Если возникли проблемы, после перезагрузки будет отображено сообщение об ошибке. В противном случае появится строка состояния «Выполняется шифрование».

Вот и все Шифрование продолжит выполняться в фоновом режиме, а вы можете продолжать использовать свой компьютер. После завершения шифрования появляется соответствующее сообщение. Можно самостоятельно отслеживать текущее состояние шифрования, перемещая курсор на значок шифрования диска BitLocker в панели инструментов внизу экрана. Подробнее весь процесс описан в пошаговом руководстве, упомянутом выше.

Некоторых пользователей удивляет, что при запуске компьютера BitLocker не запрашивает ничего у пользователя и не вмешивается каким-либо иным заметным способом. Это происходит потому, что по умолчанию в проверке целостности системы до разблокировки диска BitLocker полагается на TPM. Это происходит автоматически и прозрачно для пользователя.

Можно настроить BitLocker на запрос ПИН-кода или требование ключа, сохраненного на флэш-накопителе USB. Эта конфигурация безопаснее и рекомендуется для ситуаций, когда плюсы от дополнительной защиты перевешивают неудобства введения ПИН-кода. В моем понимании, так дело обстоит всегда (другими словами, мой настольный компьютер требует ввода ПИН-кода, а переносной — ключа на накопителе USB.)

Восстановление BitLocker

Имея дело с шифрованием, особенно в деловой и корпоративной среде, следует обязательно обеспечить прошедшему проверку подлинности пользователю доступ к своим данным, даже если обычные методы доступа или ключи недоступны. В BitLocker это называется восстановлением.

Если происходят непредвиденные изменения в компонентах начальной загрузки, теряется загрузочный USB-ключ или пользователь забывает ПИН-код, BitLocker не сможет успешно завершить загрузку. Том будет оставлен заблокированным, и Windows не сможет запуститься. Вместо этого код BitLocker в диспетчере загрузки отобразит текстовый экран. Если пароль восстановления был сохранен на флэш-накопителе USB (иногда называемом ключом восстановления), появляется экран, подобный показанному на рис. 4.

Рис. 4 Поиск ключа восстановления

Чтобы BitLocker смог прочитать флэш-накопитель USB, тот должен быть подключен с самого начала. Поэтому, если имеется этот накопитель с ключом, нужно вставить его и нажать ESC. Если ключа нет, нажмите ВВОД. Появится экран, показанный на рис. 5. Тот же экран появится, если ключ восстановления не сохранялся на флэш-накопителе USB.

Рис. 5 Ввод пароля BitLocker

Теперь BitLocker ожидает ввода 48-значного цифрового пароля, который разблокирует диск. Это число напечатано на странице, если была выбрана печать пароля восстановления, или хранится в файле, если был выбран этот вариант сохранения.

В следующей статье мы подробно остановимся на управляемости BitLocker, а пока достаточно сказать, что он поставляется с полноценным поставщиком WMI, который позволяет контролировать BitLocker (и TPM) через любую совместимую с WMI систему WBEM. Это, в частности, означает, что управлять BitLocker можно через сценарии на любом языке сценариев, способном получать доступ к объектам WMI, например VBScript и Windows PowerShell™.

Вместе с BitLocker также поставляется средство командной строки manage-bde.wsf, использующее провайдер WMI для управления BitLocker на локальном и удаленном компьютере. Для получения более подробной информации о нем запустите командную строку с повышенными привилегиями и введите manage-bde.wsf /?.

Безопасное списание

Каждый компьютер в конце концов приходится списывать. Обычно предприятия тратят значительные средства и усилия на то, чтобы диски таких компьютеров были предварительно полностью очищены. Большинство методов удаления секретных данных требуют значительного времени и денег или выливаются в полное уничтожение оборудования. Средство BitLocker предоставляет более эффективные решения.

Вместо фактического удаления данных BitLocker гарантирует, что секретные сведения не хранятся на диске небезопасным образом. Поскольку все содержимое диска зашифровано, данные можно считать навсегда утерянными, если уничтожены все копии ключей шифрования. Сам жесткий диск остается неповрежденным и может быть повторно использован.

Существует большое число подходов к списанию томов, защищенных BitLocker. Можно удалить все копии ключей из метаданных тома, оставив их копии в надежно защищенном центральном архиве. После этого можно без опаски перевозить компьютеры или временно списать, если им предстоит провести значительное время без работы. Это гарантирует, что авторизованные пользователи смогут получить доступ к данным, в то время как все остальные, например новые владельцы оборудования, — нет.

Можно удалить все копии ключей из метаданных тома и из всех архивов, таких как Active Directory (это можно сделать, например, созданием новых ключей, которые нигде не будут храниться). Без ключей расшифровки никто не сможет восстановить данные.

В любом из этих случаев удаление и уничтожение ключей, содержащихся в метаданных тома, производится практически мгновенно и может выполняться администратором на многих системах разом. На это требуется минимум сил и времени, а результат — очень высокая степень непрерывной защиты. Средство форматирования в Windows Vista было обновлено. Теперь команда format удаляет метаданные тома и перезаписывает их секторы для надежного удаления всех ключей BitLocker.

Несколько заключительных слов

BitLocker — мощное средство, разработанное для защиты от конкретных угроз, с чем оно прекрасно справляется. Но не стоит считать его панацеей. Совершенно необходимо продолжать использование остальных защитных и управляющих мер, например надежных паролей.

BitLocker предназначен для защиты от атак с отключением оборудования. Если Windows запущена, BitLocker разблокировал том. Иными словами, он не обеспечивает защиту работающей системы. В этом его дополняют такие технологии, как EFS и RMS.

Подробнее о BitLocker см. на веб-узле Майкрософт, начиная с technet.microsoft.com/windowsvista/aa905065.aspx . Подробнее о спецификациях TPM и TCG см. в разделе «TPM Specifications» веб-узла TCG по адресу go.microsoft.com/fwlink/?LinkId=72757 .

Байрон Хайнз (Byron Hynes) работает в группе поддержки пользователей Windows Server в Майкрософт. До этого работал консультантом и инструктором. Связаться с ним можно по адресу [email protected] .

С выходом операционной системы Windows 7 многие юзеры столкнулись с тем, что в ней появилась несколько непонятная служба BitLocker. Что такое BitLocker, многим остается только догадываться. Попробуем прояснить ситуацию на конкретных примерах. Попутно рассмотрим вопросы, касающиеся того, насколько целесообразным является задействование этого компонента или его полное отключение.

BitLocker: что такое BitLocker, зачем нужна эта служба

Если разобраться, BitLocker представляет собой универсальное и полностью автоматизированное средство хранящихся на винчестере. Что такое BitLocker на жестком диске? Да просто служба, которая без участия пользователя защищает файлы и папки путем их шифрования и создания специального текстового ключа, обеспечивающего доступ к документам.

Когда пользователь работает в системе под своей учетной записью, он может даже не догадываться о том, что данные зашифрованы, ведь информация отображается в читабельном виде, и доступ к файлам и папкам не заблокирован. Иными словами, такое средство защиты рассчитано только на те ситуации, когда к компьютерному терминалу производится например, при попытке вмешательства извне (интернет-атаки).

Вопросы паролей и криптографии

Тем не менее, если говорить о том, что такое BitLocker Windows 7 или систем рангом выше, стоит отметить и тот неприятный факт, что при утере пароля на вход многие юзеры не то что не могут войти в систему, а и выполнить некоторые действия по просмотру документов, ранее доступных, по копированию, перемещению и т. д.

Но и это еще не все. Если разбираться с вопросом, что такое BitLocker Windows 8 или 10, то особых различий нет, разве что в них более усовершенствованная технология криптографии. Тут проблема явно в другом. Дело в том, что сама служба способна работать в двух режимах, сохраняя ключи дешифрации либо на жестком диске, либо на съемном USB-носителе.

Отсюда напрашивается простейший вывод: при наличии сохраненного ключа на винчестере пользователь получает доступ ко всей информации, на нем хранящейся, без проблем. А вот когда ключ сохраняется на флэшке, проблема куда серьезнее. Зашифрованный диск или раздел увидеть, в принципе, можно, но считать информацию - никак.

Кроме того, если уж и говорить том, что такое BitLocker Windows 10 или систем более ранних версий, нельзя не отметить тот факт, что служба интегрируется в контекстные меню любого типа, вызываемые правым кликом, что многих пользователей просто раздражает. Но не будем забегать вперед, а рассмотрим все основные аспекты, связанные с работой этого компонента и целесообразностью его применения или деактивации.

Методика шифрования дисков и съемных носителей

Самое странное состоит в том, что в разных системах и их модификациях служба BitLocker может находиться по умолчанию и в активном, и в пассивном режиме. В «семерке» она включена по умолчанию, в восьмой и десятой версиях иногда требуется ручное включение.

Что касается шифрования, тут ничего особо нового не изобретено. Как правило, используется все та же технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому, если ваш компьютерный терминал с соответствующей операционной системой на борту подключен к локальной сети, можете быть уверены, что применяемая политика безопасности и защиты данных подразумевает активацию этой службы. Не обладая правами админа (даже при условии запуска изменения настроек от имени администратора), вы ничего не сможете изменить.

Включение BitLocker, если служба деактивирована

Прежде чем решать вопрос, связанный с BitLocker (как отключить службу, как убрать ее команды из контекстного меню), посмотрим на включение и настройку, тем более что шаги по деактивации нужно будет производить в обратном порядке.

Включение шифрования простейшим способом производится из «Панели управления» путем выбора раздела Этот способ применим только в том случае, если сохранение ключа не должно быть произведено на съемный носитель.

В том случае, если заблокированным является несъемный носитель, придется найти ответ на другой вопрос о службе BitLocker: как отключить на флешку данный компонент? Делается это достаточно просто.

При условии, что ключ находится именно на съемном носителе, для расшифровки дисков и дисковых разделов сначала нужно вставить его в соответствующий порт (разъем), а затем перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем смотрим на диски и носители, на которых установлена защита. В самом низу будет показана гиперссылка отключения шифрования, на которую и нужно нажать. При условии распознавания ключа активируется процесс дешифрования. Остается только дождаться окончания его выполнения.

Проблемы настройки компонентов шифровальщика

Что касается настройки, тут без головной боли не обойтись. Во-первых, система предлагает резервировать не менее 1,5 Гб под свои нужды. Во-вторых, нужно настраивать разрешения файловой системы NTFS, уменьшать размер тома и т. д. Чтобы не заниматься такими вещами, лучше сразу отключить данный компонент, ведь большинству пользователей он просто не нужен. Даже все те, у кого эта служба задейстована в настройках по умолчанию, тоже не всегда знают, что с ней делать, нужна ли она вообще. А зря. Защитить данные на локальном компьютере с ее помощью можно даже при условии отсутствия антивирусного ПО.

BitLocker: как отключить. Начальный этап

Опять же используем ранее указанный пункт в «Панели управления». В зависимости от модификации системы названия полей отключения службы могут изменяться. На выбранном диске может стоять строка приостановки защиты или прямое указание на отключение BitLocker.

Суть не в том. Тут стоит обратить внимание и на то, что потребуется полностью отключить и загрузочных файлов компьютерной системы. В противном случае процесс дешифровки может занять достаточно много времени.

Контекстное меню

Это только одна сторона медали, связанная со службой BitLocker. Что такое BitLocker, наверное, уже понятно. Но оборотная сторона состоит еще и в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на эту службу.

Для этого посмотрим еще раз на BitLocker. Как убрать из все ссылки на службу? Элементарно! В «Проводнике» при выделении нужного файла или папки используем раздел сервиса и редактирование соответствующего контекстного меню, переходим к настройкам, затем используем настройки команд и упорядочиваем их.

После этого в редакторе реестра входим в ветку HKCR, где находим раздел ROOTDirectoryShell, разворачиваем его и удаляем нужный элемент нажатием клавиши Del или командой удаления из меню правого клика. Собственно, вот и последнее, что касается компонента BitLocker. Как отключить его, думается, уже понятно. Но не стоит обольщаться. Все равно эта служба будет работать в (так, на всякий случай), хотите вы этого или нет.

Вместо послесловия

Остается добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Что такое BitLocker, разобрались, как его отключить и удалить команды меню - тоже. Вопрос в другом: стоит ли отключать BitLocker? Тут можно дать только один совет: в корпоративной локальной сети деактивировать этот компонент не стоит вообще. Но если это домашний компьютерный терминал, почему бы и нет?

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование - это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы windows Vista и была усовершенствована в windows 7. Bitlocker доступен в версиях windows 7 Максимальная и Корпоративная а так же в windows 8 Pro. Владельцам других версий придется искать альтернативу.

Как работает шифрование диска BitLocker

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Для этого воспользуемся поиском в windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики

В открывшемся окошке в левой части переходим по пути

Конфигурация компьютера > Административные шаблоны > Компоненты windows > Шифрование диска BitLocker

В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра

В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный

Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.

Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.

Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.

Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.

Усовершенствование BitLocker в windows 7

При установке windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.

Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.

В windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В windows 7 его сделали 100 МБ.

Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в windows 7 BitLocker сам подготовит нужный раздел. В windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.

Так же в windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.

Как включить шифрование диска BitLocker

По умолчанию BitLocker настроен на запуск с модулем TPM и при его отсутствии не захочет запускаться. (Сначала просто попробуйте включить шифрование и если запуститься, то не нужно ничего отключать в групповых политиках)

Для запуска шифрования заходим в Панель управления\Система и безопасность\Шифрование диска BitLocker

Выбираем нужный диск (в нашем примере это системный раздел) и нажимаем Включить BitLocker

Если же вы видите картинку подобную ниже

необходимо править групповые политики.

С помощью поиска из меню Пуск вызываем Редактор локальной групповой политики

Идем по пути

Конфигурация компьютера > Административные шаблоны > Компоненты windows > Шифрование диска BitLocker > Диски операционной системы

Справа выбираем Обязательная дополнительная проверка подлинности

В открывшемся окошке нажимаем Включить, затем необходимо проконтролировать наличие галочки Разрешить использование BitLocker без совместимого TPM и нажать ОК

После этого BitLocker можно будет запустить. Вас попросят выбрать единственный вариант защиты - Запрашивать ключ запуска при запуске. Это и выбираем

Вставляем флешку на которую будет записан ключ запуска и нажимаем Сохранить

Теперь необходимо сохранить ключ восстановления, на тот случай если флешка с ключом запуска будет не в зоне доступа. Можно сохранить ключ на флешке (желательно другой), сохранить ключ в файле для последующего переноса на другой компьютер или сразу распечатать.

Ключ восстановления нужно естественно хранить в надежном месте. Сохраню ключ в файл

Ключ восстановления это простой текстовый документ с самим ключом

Затем у вас откроется последнее окошко в котором вам рекомендуют Запустить проверку системы BitLocker до шифрования диска. Нажимаем Продолжить

Сохраняете все открытые документы и нажимаете Перезагрузить сейчас

Вот что увидите если что то пойдет не так

Если все работает то после перезагрузки компьютера запустится шифрование

Время зависит от мощности вашего процессора, емкости раздела или тома который вы шифруете и скорости обмена данными с накопителем (SSD или HDD). Твердотельный диск на 60 Гб заполненные почти под завязку шифруются минут за 30 при этом еще работают Добровольные распределенные вычисления.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки - BitLocker To Go

С появлением в windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.

Через поиск или пройдя по пути

Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker

открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя

Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.

Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее

Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее

Нажимаем Начать шифрование и защищаем свои данные

Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером

На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.

Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль

Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.

Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС windows Vista или windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.

Управление зашифрованным разделом

Управление осуществляется из окошка Шифрование диска BitLocker. Можно найти это окошко с помощью поиска, а можно зайти по адресу

Панель управления > Система и безопасность > Шифрование диска BitLocker

Вы можете выключить шифрование нажав на «Выключить BitLocker». В этом случае диск или том дешифруется. Это займет какое-то время и не нужно будет никаких ключей.

Так же здесь можно приостановить защиту

Данную функцию рекомендуют использовать при обновлении BIOS или редактировании загрузочного диска. (Того самого объемом 100 МБ). Приостановить защиту можно только на системном диске (тот раздел или том на котором установлена windows).

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков. Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск, Яндекс Диск и подобные.

С уважением, Антон Дьяченко

YouPK.ru

Включение или отключение Bitlocker в windows

Никого совсем не удивляет тот факт, что на персональном компьютере может храниться сугубо личная информация или же корпоративные данные, представляющие повышенную ценность. Нежелательно, если такие сведения попадут в руки сторонних лиц, которые могут ими воспользоваться, провоцируя серьёзные проблемы у бывшего владельца ПК.

В зависимости от обстоятельств Bitlocker можно активировать и деактивировать.

Именно по этой причине многие пользователи выражают желание предпринять какие-то действия, ориентированные на ограниченный доступ ко всем файлам, сохраняющимся на компьютере. Такая процедура, действительно, существует. Проделав определённые манипуляции, никто из посторонних, не зная пароль или ключ к его восстановлению, не сможет получить доступ к документам.

Защитить важную информацию от ознакомления сторонними лицами удаётся, если провести шифрование диска Bitlocker. Такие действия помогают обеспечить полную конфиденциальность документам не только на конкретном ПК, но и в том случае, когда кем-то жёсткий диск извлечён и вставлен в другой персональный компьютер.

Алгоритм включения и выключения функции

Шифрование диска Bitlocker осуществляется на windows 7, 8 и 10, но только не всех версий. Предполагается, что на материнской плате, которой оснащён конкретный компьютер, на котором пользователь желает провести шифрование, должен наличествовать модуль TPM.

СОВЕТ. Не расстраивайтесь, если вы точно знаете, что такого специального модуля на вашей материнке нет. Существуют некоторые хитрости, позволяющие «игнорировать» такое требование, соответственно, устанавливать и без такого модуля.

Прежде чем приступить к процессу шифрования всех файлов, важно учесть, что эта процедура достаточно продолжительная. Точное количество времени назвать предварительно затруднительно. Всё зависит от того, какой объём информации имеется на жёстком диске. В процессе шифрования windows 10 будет продолжать работать, но вряд ли своей работоспособностью сможет порадовать вас, поскольку показатель производительности будет существенно снижен.

Включение функции

Если на вашем компьютере установлен windows 10, при этом вы испытываете активное желание включить шифрование данных, воспользуйтесь нашими советами, чтобы вам не только всё удалось, но и путь реализации такого желания не был затруднительным. Первоначально найдите на своей клавиатуре клавишу «Win», иногда она сопровождается пиктограммой windows, зажмите её, одновременно с нею зажмите клавишу «R». Зажатие этих двух клавиш одновременно вызывает открытие окна «Выполнить».

В открывшемся окне вы обнаружите пустую строку, в которую вам потребуется ввести «gpedit.msc». После нажатия на кнопку «Ok», откроется новое окно «Редактор локальной групповой политики». В этом окне нам предстоит проделать небольшой путь.

С левой стороны окна найдите и сразу же кликните по строке «Конфигурация компьютера», в открывшемся подменю найдите «Административные шаблоны», а затем в очередном открывшемся подменю перейдите на параметр, расположенный на первом месте в списке и именуемый «Компоненты windows».

Теперь переведите свой взгляд на правую сторону окна, в нём найдите «Шифрование диска Bitlocker», двойным щелчком клавиши мышки активируйте его. Теперь откроется новый список, в котором вашей очередной целью должна стать строка «Диски операционной системы». Кликните также и по этой строке, вам остаётся совершить ещё один переход, чтобы приблизиться к окну, где будет осуществляться непосредственная настройка Bitlocker, позволяющая его включить, чего именно вам так хочется.

Найдите строку «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», раскройте этот параметр двойным щелчком. В открытом окне вы найдёте желанное слово «Включить», возле которого рядом обнаружите чекбокс, в нём вам нужно поставить специфическую отметку в виде галочки своего согласия.

Чуть ниже в этом окне находится подраздел «Платформы», в нём вам нужно установить галочку в чекбоксе возле предложения использования BitLocker без специального модуля. Это очень важно, особенно если в вашем windows 10 нет модуля TPM.

Настройка желаемой функции в этом окне завершается, поэтому его можно закрыть. Теперь наведите курсор мышки на значок «windows», только кликните по нему правой клавишей, что позволит появиться дополнительному подменю. В нём вы найдёте строку «Панель управления», перейдите на неё, а затем на следующую строку «Шифрование диска Bitlocker».

Не забудьте обозначить, где вы желаете осуществить шифрование. Это можно проделать и на жёстком, и на съёмном дисках. После выбора желаемого объекта нажмите на клавишу «Включить Bitlocker».

Теперь windows 10 запустит автоматический процесс, изредка привлекая ваше внимание, предлагая вам конкретизировать ваши желания. Безусловно, лучше всего перед выполнением такого процесса сделать резервную копию. В противном случае при потере пароля и ключа к нему даже владелец ПК не сможет восстановить информацию.

Далее начнётся процесс подготовки диска к последующему шифрованию. Во время выполнения этого процесса не разрешается выключать компьютер, поскольку таким действием можно нанести серьёзный вред операционной системе. После такого сбоя вы просто не сможете запустить ваш windows 10, соответственно, вместо шифрования вам предстоит установить новую операционную систему, потратив лишнее время.

Как только подготовка диска успешно завершается, начинается непосредственно сама настройка диска к шифрованию. Вам будет предложено ввести пароль, обеспечивающий доступ впоследствии к зашифрованным файлам. Также будет предложено придумать и ввести ключ восстановления. Оба этих важных компонента лучше всего сохранить в надёжном месте, лучше всего распечатать. Очень глупо хранить пароль и ключ к восстановлению на самом ПК.

В процессе шифрования система может поинтересоваться у вас, какую часть конкретно вы желаете зашифровать. Лучше всего такой процедуре подвергнуть полностью всё пространство диска, хотя имеется вариант зашифровать только занятое пространство.

Остаётся выбрать такой вариант действий, как «Новый режим шифрования», а после этого запустить автоматическую проверку операционной системы BitLocker. Далее система благополучно продолжит процесс, после чего к вам поступит предложение перезагрузить ваш ПК. Безусловно, выполните это требование, осуществите перезагрузку.

После очередного запуска windows 10 вы убедитесь в том, что доступ к документам без введения пароля будет невозможен. Процесс шифрования будет продолжаться, контролировать его можно при нажатии на значок BitLocker, располагающийся на панели уведомлений.

Отключение функции

Если по каким-либо причинам файлы на вашем компьютере перестали представлять повышенную важность, а вам не очень нравится каждый раз вводить пароль, чтобы получить к ним доступ, тогда предлагаем вам просто отключить функцию шифрования.

Чтобы выполнить такие действия, перейдите в панель уведомлений, найдите там значок BitLocker, кликните по нему. В нижней части открытого окна вы найдёте строку «Управление BitLocker», нажмите на неё.

Теперь система предложит вам выбрать, какое действие для вас является предпочтительным:

• провести архивацию ключа восстановления;
• изменить пароль доступа к зашифрованным файлам;
• удалить ранее установленный пароль;
• отключить BitLocker.

Безусловно, если вы решили отключить BitLocker, вам следует выбрать последний предлагаемый вариант. На экране сразу возникнет новое окно, в котором система пожелает убедиться в том, что вы действительно желаете отключить функцию шифрования.

ВНИМАНИЕ. Как только вы нажмёте на кнопку «Отключить BitLocker», сразу начнётся процесс дешифровки. К сожалению, и этот процесс не характеризуется высокой стремительностью, поэтому вам однозначно придётся настроиться на некоторое время, в ходе которого вам просто придётся ожидать.

Конечно, если вам нужно пользоваться в этот момент компьютером, вы можете себе это позволить, никакого категорического запрета на это нет. Однако следует себя настроить на то, что производительность ПК в этот момент может быть крайне низкой. Понять причину такой медлительности несложно, ведь операционной системе приходится разблокировать огромный объём информации.

Итак, имея желание зашифровать или дешифровать файлы на компьютере, достаточно ознакомиться с нашими рекомендациями, после этого без поспешности выполнять каждый шаг обозначенного алгоритма, а по завершении порадоваться достигнутому результату.

NastroyVse.ru

Настройка Bitlocker

Bitlocker- инструментальное средство обеспечивающее шифрование данных на уровне томов (том может занимать часть диска, а может включать в себя массив из нескольких дисков.) Bitlocker служит для защиты ваших данных в случае потери или кражи ноутбука\компьютера. В первоначальной версии BitLocker обеспечивал защиту только одного тома - диска с операционной системой. Средство BitLocker входит в комплект поставки всех редакций Server 2008 R2 и Server 2008 (за исключением редакции для Itanium), кроме того, windows 7 Ultimate и Enterprise, а также windows Vista. В версиях windows Server 2008 и Vista SP1 Microsoft реализовала средства защиты различных томов, в том числе томов локальных данных. В версиях windows Server 2008 R2 и windows 7 разработчиками была добавлена поддержка съемных накопителей данных (USB-устройств флэш-памяти и внешних жестких дисков). Эта функция называется BitLocker To Go. В технологии BitLocker используется AES алгоритм шифрования, ключ может хранится в TMP (Trusted Platform Module- специальная схема установленная в компьютер во время его производства, обеспечивающий хранение ключей шифрования)либо в USB-устройстве. Возможны следующие комбинации для доступа:

TPM - TPM + PIN - TPM + PIN + USB-ключ - TPM + USB-ключ - USB-ключПоскольку зачастую в компьютерах нет TMP, хочу описать пошагово настройку BitLocker с USB-накопителем.

Заходим в «Компьютер» и правой кнопкой мыши нажимаем на локальном диске, который мы хотим зашифровать (в данном примере будем шифровать локальный диск С) и выбираем «Включить BitLocker».

После этих шагов мы увидим ошибку.

Оно и понятно, как я уже писал- на этом компьютере нету модуля TMP и вот результат, но это все легко исправляется, достаточно зайти в локальные политики компьютера и изменить там настройки, для этого необходимо зайти в редактор локальных политик- пишем в поле поиска gpedit.msc и нажимаем «Enter».

В результате откроется окно локальных политик, заходим по пути «Конфигурация компьютера- Административные шаблоны -Компоненты windows - Шифрование диска BitLocker - Диски операционной системы» (Computer Configuration - Administrative Templates -windows Components -Bit-Locker Drive Encryption - Operating System Drives) и в политике Обязательная дополнительная проверка подлинности при запуске ставим Включить, необходимо так же обратить внимание что бы стояла галочка Разрешить использование BitLocker без совместимого TPM Нажимаем «Ок».

Теперь если повторить первые шаги по включению BitLocker на локальном диске, откроется окно по настройке шифрования диска, выбираем «Запрашивать ключ запуска» при запуске (впрочем выбора у нас и не было, связано это с отсутствием TPM).

В следующем окне выбираем то USB устройство на котором будет хранится ключ.

Затем выбираем куда сохраним ключ восстановления (это ключ который вводится в ручную в случае потери носителя с основным ключом), рекомендую сделать это другой на USB- носитель, либо на другой компьютер или же распечатайте его, в случае если вы сохраните ключ восстановления на этом же компьютере или на этом же USB-носителе вы не сможете запустить windows потеряв USB на котором сохранен ключ. В данном примере я сохранил на другой USB-носитель.

В следующем окне запускаем проверку системы Bitlocker с помощью нажатия кнопки «Продолжить», после этого компьютер будет перезагружен.

После загрузки компьютера появится окно процесса шифрования. Зачастую это длительная процедура, требующая нескольких часов.

В результате мы имеем зашифрованный диск С, который без USB-накопителя с ключом или ключа восстановления не запустится.

pk-help.com

Как настроить шифрование данных BitLocker для windows

Для защиты от несанкционированного доступа к файлам, хранящихся на жестком диске, а также на съемных дисках (внешние диски или USB-устройства флэш-памяти), пользователи ОС windows имеют возможность зашифровывать их, используя встроенную программу для шифрования BitLocker и BitLocker To Go.

Программа шифрования BitLocker и BitLocker To Go предустановлены в Proffessional и Enterprise версиях ОС windows 8/8.1, а также в Ultimate версии windows 7. Но так же пользователям базовой версии windows 8.1 доступна такая опция как «Device Encryption», которая выступает в роли аналога BitLocker в более продвинутых версиях операционной системы.

Включение программы шифрования BitLocker

Для включения программы шифрования BitLocker, откройте Панель Управления и далее проследуйте по пунктам - Система и безопасность > Шифрование диска BitLocker. Также вы можете открыть Проводник windows («Компьютер»), нажать на выбранном диске правой клавишей мыши и в выпадающем меню выбрать пункт «Включить BitLocker». Если вышеупомянутой строчки в меню нет, значит у вас неподходящая версия OC windows.

Для включения BitLocker для системного диска, диска с данными или съемного диска необходимо выбрать пункт «Включить BitLocker».

В данном окне вам доступны 2 типа шифрования диска BitLocker:

• «Шифрование диска BitLocker - жесткие диски«: Эта функция позволяет зашифровать весь диск целиком. При загрузке компьютера, стартовый загрузчик windows будет подгружать данные из области жесткого диска, зарезервированного системой, и вам будет предложен заданный вами тип разблокировки, к примеру - ввести пароль. Затем BitLocker выполнит процесс дешифровки данных и процесс загрузки windows продолжится. Иными словами, шифрование можно представить как процесс, выполнение которого происходит незаметно для пользователя. Вы, как обычно работаете с файлами и данными, которые в свою очередь находятся в зашифрованном виде на диске. Кроме этого вы можете применять шифрование не только для системных дисков.
• «Шифрование диска BitLocker - BitLocker To Go«: Внешние накопители, такие как USB устройства флеш-памяти или внешние жесткие диски могут быть зашифрованы с помощью утилиты BitLocker To Go. При подключении зашифрованного устройства к компьютеру Вам будет предложено, к примеру, ввести пароль, что защитит ваши данные от посторонних.

Использование BitLocker без модуля TPM

При попытке шифрования с помощью BitLocker на ПК без установленного аппаратного модуля TPM (Trusted Platform Module), будет открыто нижеприведенное окно с сообщением о необходимости включения опции “Разрешить использование BitLocker без совместимого TPM” (Allow BitLocker without a compatible TPM).

Программа шифрования BitLocker требует для нормальной работы ПК с аппаратным модулем TPM для защиты системного диска. Модуль TPM представляет собой небольшой чип, установленный на материнской плате. BitLocker может хранить ключи шифрования в нем, что является более надежным вариантом, чем хранение их на обычном диске с данными. Модуль TPM предоставляет ключи только лишь после запуска и проверки состояния системы, что исключает возможность расшифровки данных в случае кражи вашего жесткого диска или создания образа зашифрованного диска с целью взлома на другом ПК.

Для включения вышеописанной опции вам необходимо иметь права администратора. Вам всего лишь потребуется открыть «Редактор локальной групповой политики» и задействовать следующую опцию.

Нажмите сочетание клавиш Win + R чтобы запустить диалог «Выполнить», введите команду gpedit.msc. Далее пройдите по следующим пунктам - Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Компоненты windows (windows Components) > Шифрование диска BitLocker (BitLocker Drive Encryption) > Диски операционной системы (Operating System Drives). Двойное нажатие мышью на пункте «Требовать дополнительную проверку подлинности при запуске компьютера» (Require additional authentication at startup), выбираем опцию «Включить» (Enabled) и ставим галочку в пункте «Разрешить использование BitLocker без совместимого TPM» (Allow BitLocker without a compatible TPM). Жмите «Применить» для сохранения настроек.

Выбор способа снятия блокировки диска

При успешном выполнении вышеуказанных действий, вам будет предложено окно “Выбор способа разблокировки диска при запуске” (Choose how to unlock your drive at startup). Если у вашего ПК нет модуля TPM, то вы можете выбрать два варианта: ввести пароль или использовать специальный USB флеш-накопитель (смарт-карту) в качестве ключа для разблокировки.

Если модуль TPM присутствует на материнской плате, то вам будет доступно больше опций. К примеру, возможно настроить автоматическую разблокировку при загрузке компьютера - все ключи будут сохранены в модуле TPM и автоматически будут использованы для расшифровывания данных на диске. Также вы можете поставить на начальный загрузчик PIN пароль, который дальше разблокирует ваши ключи для дешифровки, сохраненные в TPM, а далее и весь диск.

Выберите способ наиболее Вам подходящий и следуйте указаниям установщика.

Создание резервного ключа

BitLocker также предоставляет Вам возможность создания резервного ключа. Этот ключ будет использован для доступа к зашифрованным данным в случае, если вы забыли или потеряли ваш основной ключ, к примеру, забыли пароль доступа к ключу или переставили жесткий диск в новый ПК с новым модулем TPM и т. п.

Вы можете сохранить ключ в файл, распечатать его, поместить на внешний USB накопитель или сохранить в вашем аккаунте Microsoft (для пользователей windows 8 and 8.1). Главное быть уверенным в том что этот резервный ключ хранится в надежном месте, в противном случае злоумышленник сможет без труда обойти BitLocker и получить доступ ко всем интересующим его данным. Но несмотря на это обязательно необходимо создать резервный ключ, поскольку утратив основной ключ без резервного вы утратите все свои данные.

Шифрование и дешифровка диска

BitLocker будет автоматически шифровать новые файлы, по мере их появления, однако вам предстоит выбрать, как вы хотите зашифровать ваше остальное пространство на диске. Вы можете зашифровать весь диск целиком (включая свободное пространство) - второй вариант на скриншоте ниже, либо же только файлы - первый вариант, что ускорит процесс шифрования.

При использовании BitLocker на новом ПК (имеется в виду, с недавно установленной ОС) лучше использовать шифрование занятого файлами пространства, поскольку это займет немного времени. Однако, в том случае если вы включаете шифрование для диска который находится длительное время в использовании, лучше использовать метод в котором шифруется полностью весь диск, даже со свободным пространством. Такой метод сделает невозможным восстановления не зашифрованных ранее удаленных файлов. Таким образом первый метод быстрее, второй же более надежный.

При дальнейшей настройке шифрования BitLocker проведет анализ системы и перезагрузит компьютер. После перезагрузки ПК процесс шифрования будет запущен. Он будет отображаться в трее в виде иконки, с помощью которой Вы будете видеть процентный прогресс процесса. Вы и далее сможете пользоваться компьютером, но при этом будет наблюдаться небольшое притормаживание системы из-за параллельно работающего шифрования файлов.

После завершения шифрования и при следующем запуске ПК BitLocker предоставит вам окно, в котором потребуется ввести пароль, PIN или вставить USB накопитель в качестве ключа (зависит от того каким способом вы до этого настроили доступ к ключу).

Нажатие клавиши Escape в данном окне приведет вас к окну ввода резервного ключа, в случае если был утерян доступ к основному ключу.

При выборе способа шифрования BitLocker To Go для внешних устройств вас ждет похожий мастер настройки, однако, перезагрузка компьютера в этом случае не потребуется. Не отключайте внешний накопитель до окончания процесса шифрования.

При последующем подключении зашифрованного устройства к ПК, будет запрошен пароль либо смарт-карта для разблокировки. Устройство защищенное с помощью BitLocker будет отображаться с соответствующей иконкой в диспетчере файлов или windows Explorer.

Вы можете управлять зашифрованным диском (изменять пароль, выключать шифрование, создавать резервные копии ключа и др) используя окно панели управления BitLocker. Правый щелчок мышью на зашифрованном диске и выбор пункта «Управление BitLocker» приведет вас по назначению.

Как и любые другие способы защиты информации, шифрование на ходу в реальном времени с помощью BitLocker конечно же будет забирать на себя часть ресурсов вашего компьютера. Это выразится в основном в повышенной нагрузке на ЦП из-за непрерывного шифрования данных с диска на диск. Но с другой стороны, для людей, информация которых должна быть надежно защищена от посторонних взоров, информация которая может предоставить злоумышленникам губительные козыри в руки, эта потеря производительности - это самое компромиссное решение.

osmaster.org.ua

Шифрование в windows 7 с помощью BitLocker

Владимир Безмалый

7 января 2009 года компания Microsoft представила для тестирования очередную версию операционной системы для рабочих станций – windows 7. В данной операционной системе, как уже стало привычным, широко представлены технологии безопасности, в том числе и ранее представленные в windows Vista. Сегодня речь пойдет о технологии шифрования windows BitLocker, претерпевшей значительные изменения после своего появления в windows Vista. Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, однако, тем не менее, приведем аргументы в пользу данного решения.

Потеря конфиденциальных данных из-за хищения или утери мобильных устройств

Сегодня стоимость аппаратных средств во много раз меньше, чем стоимость информации, содержащейся на устройстве. Потерянные данные могут привести к потере репутации, потере конкурентоспособности и потенциальным судебным тяжбам.

Во всем мире уже давно вопросы шифрования данных регулируются соответствующими законодательными актами. Так, например, в США, U.S. Government Information Security Reform Act (GISRA) требует шифрование данных для защиты конфиденциальной информации, принадлежащей правительственным органам. ВстранахЕСпринятадиректива European Union Data Privacy Directive. Канада и Япония имеют свои соответствующие инструкции.

Все эти законы предусматривают серьезные штрафы за утрату персональной или корпоративной информации. Как только ваше устройство похищено (утеряно) – ваши данные могут быть утрачены вместе с ним. Для запрета несанкционированного доступа к данным можно использовать шифрование данных. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного), либо продажи устройств, бывших в употреблении.

А то, что это не пустые слова, увы, неоднократно подтверждено фактами. Внештатный сотрудник министерства внутренних дел Великобритании потерял карту памяти с личными данными более чем сотни тысяч преступников, в том числе и отбывающих тюремный срок. Об этом говорится в сообщении ведомства. На носителе хранились имена, адреса и, в некоторых случаях, детали обвинений 84 тысяч заключенных, содержащихся в тюрьмах Соединенного Королевства. Также на карте памяти находятся адреса 30 тысяч человек с количеством судимостей от шести и выше. Как уточнили в министерстве, информация с карты памяти использовалась исследователем из компании РА Consulting. «Нам стало известно о нарушении правил безопасности, повлекшем за собой потерю сотрудником, находящемся на договоре, личной информации о нарушителях закона из Англии и Уэльса. Сейчас проводится тщательное расследование», – сказал представитель МВД.

С комментарием по этому поводу уже успел выступить министр внутренних дел «теневого» правительства Доминик Грив. Он отметил, что британские налогоплательщики будут «в совершенном шоке» от того, как британское правительство относится к секретной информации.

Это далеко не первый в Великобритании случай потери конфиденциальной информации различными организациями и ведомствами, напомнил Грив.

В апреле крупный британский банк HSBC признался в потере диска, на котором хранились личные данные 370 тысяч его клиентов. В середине февраля стало известно о краже из британской больницы Russels Hall Hospital в городе Дадли (графство Уэст-Мидландс) ноутбука с медицинскими данными 5 тысяч 123 пациентов. В конце января появилось сообщение, что у британской сети супермаркетов Marks and Spencer украден ноутбук с личными данными 26 тысяч сотрудников. Глава Минобороны Великобритании Дес Браун 21 января объявил, что у ведомства были украдены три ноутбука с личными данными тысяч человек.

В декабре прошлого года стало известно о том, что частная американская компания потеряла сведения о трех миллионах кандидатах на получение британских водительских прав. Они содержались на жестком диске компьютера. Среди утраченных данных – сведения об именах, адресах и телефонных номерах претендентов на получение водительских прав в период с сентября 2004 по апрель 2007 года.

В конце октября 2007 года два диска, на которых содержалась информация о 25 миллионах получателей детских пособий и их банковских счетах, пропали по дороге между двумя государственными учреждениями. Масштабная операция по поиску дисков, которая обошлась налогоплательщикам в 500 тысяч фунтов, не дала результатов.

Также в июне нынешнего года в одном из поездов, следовавших в Лондон, был обнаружен пакет с секретными документами (http://korrespondent.net/world/493585), в которых содержится информация о борьбе с финансированием террористов, контрабандой наркотиков и отмыванием денег. Ранее пакет с секретными документами, которые касаются последней информации о террористической сети Аль-Каида, был обнаружен (http://korrespondent.net/world/490374) на сиденье поезда в Лондоне. Спрашивается, чем думали пользователи, допустившие это?

А вот еще один факт, который должен заставить задуматься владельцев мобильных устройств

Согласно отчету Ponemon Institute (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute) ежегодно в больших и средних аэропортах США теряется около 637 000 ноутбуков Согласно обзору, ноутбуки, как правило, теряются в контрольных точках безопасности.

Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65% из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков, и 69% из них не возвращены владельцам. Институт провел опросы в 106 аэропортах 46 государств и опросил 864 человека.

Наиболее часто ноутбуки теряют в следующих пяти аэропортах:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O"Hare
• Newark Liberty International.

Путешественники не уверены что им возвратят потерянные ноутбуки.

Приблизительно 77% опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука, 16% говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. Приблизительно 53% заявили, что ноутбуки содержат конфиденциальную информацию компании, а 65%, не сделали ничего для защиты информации.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Что этому противопоставить? Только шифрование данных.

В этом случае шифрование выступает в роли последней линии физической обороны вашего ПК. Технологий шифрования жесткого диска сегодня – великое множество. Естественно, что после успешной премьеры своей технологии BitLocker в составе windows Vista Enterprise и windows Vista Ultimate компания Microsoft не могла не включить эту технологию в windows 7. Впрочем, справедливости ради, стоит отметить, что в новой ОС мы увидим значительно переработанную технологию шифрования.

Шифрование в windows 7

Итак, наше знакомство начинается с установки windows 7 на ваш ПК. В windows Vista для использования шифрования вам было необходимо сделать одно из двух: или вначале с использованием командной строки подготовить ваш жесткий диск, разметив его соответствующим способом, или сделать это позднее, используя специальной ПО от Microsoft (BitLocker Disk Preparation Tool). В windows 7 проблема решается изначально, при разметке жесткого диска. Так, при установке, я задал системный раздел емкостью в 39 гигабайт, а получил… 2 раздела! Один – размером 200Мб, а второй в 38 гигабайт с небольшим. Причем в стандартном окне проводника вы видите следующую картинку (рис.1).

Рис. 1. Окно проводника

Однако открыв Start – All Programs – Administrative Tools – Computer Management – Disk Management вы увидите (Рис. 2) следующее:

Рис. 2. Computer Management

Как видите, первый раздел размером в 200Мб просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в windows Vista особо нового на данном этапе нет, кроме того, что разбивка таким образом проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, бросающее в глаза отличие это его размер в 200 Мб против 1,5 Гб в windows Vista.

Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая ОС не задумывается сразу о том, будет ли он шифровать жесткий диск или нет.

Сразу же после установки ОС мы в Control Panel в разделе System and Security можем выбрать (рис. 3) BitLocker Drive Encryption

Рис. 3. System and Security

Выбрав Protect your computer by encrypting data on your disk выпопадаетевокно (рис 4)

Рис. 4. BitLocker Drive Encryption

Обратите внимание (на рисунке выделено красным цветом) на опции, которые в windows Vista отсутствуют или организованы иначе. Так, в windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что как только вы выберете Turn on BitLocker, вот вам и все хорошо. Не тут-то было! При включении BitLocker без дополнительных параметров, все, что вы получите, это шифрование жесткого диска на этом ПК без применения ТРМ, что, как я уже указывал в своих статьях, не является хорошим примером. Впрочем, у пользователей в некоторых странах, например, Российская Федерация или Украина просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае вы выбираете Turn on BitLocker и попадаете на рис.5.

Рис. 5. BitLocker Drive Encryption

Если же вы хотите использовать ТРМ, чтобы воспользоваться всей мощью шифрования, вам необходимо воспользоваться редактором групповых политик. Для этого вам необходимо запустить режим командной строки (cmd.exe) и наберите в командной строке gpedit.msc (рис.6), запустив редактор групповой политики (рис 7).

Рис. 6. Запуск редактора групповой политики

Рис. 7. Редактор групповой политики

Рассмотрим подробнее опции групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Опции групповой политики BitLocker Drive Encryption

Store BitLocker recovery information in Active Directory Domain Services (windows Server 2008 and windows Vista)

С помощью данной опции групповой политики вы можете управлять Active Directory Domain Services (AD DS) для резервирования информации для последующего восстановления BitLocker Drive Encryption. Данная опция применима только к компьютерам, работающим под управлением windows Server 2008 или windows Vista.

Когда данная опция будет установлена, при включении BitLocker, его информация восстановления будет автоматически скопирована в AD DS.

Если вы отключите данную опцию политики или оставите ее по умолчанию, то информация восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password

Эта опция политики позволит вам определить используемое по умолчанию местоположение папки для сохранения пароля восстановления, которое отображается мастером BitLocker Drive Encryption при запросе. Данная опция применяется, когда вы включаете шифрование BitLocker. Вместе с тем необходимо отметить, что пользователь может сохранить пароль восстановления в любой другой папке.

Choose how users can recover BitLocker-protected drives (windows Server 2008 и windows Vista)

Данная опция позволит вам управлять опциями восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением windows Server 2008 и windows Vista. Данная опция применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данной опции вы можете разрешить сохранение на USB-диск 256-разрядного ключа пароля в качестве невидимого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления.

В случае, если вы отключите или не будете конфигурировать это правило групповой политики, мастер установки BitLocker позволит пользователю выбрать опции восстановления.

Если вы отключите или не конфигурируете этот параметр политики, то мастер установки BitLocker предоставит пользователям другие способы сохранить опции восстановления.

Choose drive encryption method and cipher strength

С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization

Данное правило политики позволит вам создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и он может быть обновлен для существующих дисков, зашифрованных с помощью BitLocker, с помощью программного обеспечения командной строки Manage-BDE.

Второе поле идентификатора используется в комбинации с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками в вашей компании.

Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации или нет.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются.

Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart

Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако стоит понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не конфигурировано, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера.

Для усиления защищенности данное правило стоит оставить по умолчанию.

Configure smart card certificate object identifier

Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Стационарные жесткие диски

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives

Данное правило позволит определить, можно или использовать смарт-карты для разрешения доступа к данным на жестком диске ПК.

Если вы отключаете это правило, смарт-карты использовать нельзя.

По умолчанию смарт-карты могут использоваться.

Deny write access to fixed drives not protected by BitLocker

Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны по чтению и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of windows

Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под управлением windows Server 2008, windows Vista, windows XP SP3 и windows XP SP2.

Если данное правило включено или не конфигурировано, диски данных, отформатированные под файловой системой FAT, могут быть доступны для чтения на компьютерах с вышеперечисленными ОС.

Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под управлением windows Server 2008, windows Vista, windows XP SP3 и windows XP SP2.

Внимание! Это правило не относится к дискам, форматированным под NTFS.

Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, то можете установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности, необходимо установить требование к сложности пароля в разделе Политики паролей групповой политики.

Если данное правило определено, пользователи могут конфигурировать пароли, отвечающие выбранным требованиям.

Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered

Данное правило позволит вам управлять восстановлением зашифрованных дисков.

Если данное правило не сконфигурировано или заблокировано, то доступны опции восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup

Это правило групповой политики позволит установить, используете ли вы для идентификации Trusted Platform Module (ТМР).

Внимание! Стоит учесть, что при запуске может быть задана только одна из опций, иначе вы получите ошибку политики.

Если данное правило включено, пользователи смогут конфигурировать расширенные опции запуска в мастере установки BitLocker

Если политика отключена или не сконфигурирована, основные опции можно конфигурировать только на компьютерах с ТРМ.

Внимание! Если вы хотите использовать PIN и USB-диск, то должны сконфигурировать BitLocker, используя командную строку bde вместо мастера BitLocker Drive Encryption.

Require additional authentication at startup (windows Server 2008 and windows Vista)

Данное правило политики применимо только к компьютерам, работающим под управлением windows 2008 или windows Vista.

На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности – PIN код (от 4 до 20 цифр).

На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен – мастер отобразит окно, в котором пользователь сможет сконфигурировать дополнительные параметры запуска BitLocker.

Если же данный параметр отключен или не сконфигурирован, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup

С помощью данного параметра производится настройки минимальной длины PIN-кода для запуска компьютера.

PIN-код может иметь длину от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered

С помощью данного правила групповой политики вы сможете определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile

С помощью данного правила можно конфигурировать модель ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете конфигурировать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Съемные носители

Control use of BitLocker on removable drives

С помощью данного правила групповой политики вы сможете управлять шифрованием BitLocker на сменных дисках.

Вы можете выбрать, с помощью каких параметров настройки пользователи смогут конфигурировать BitLocker.

В частности, для разрешения выполнения мастера установки шифрования BitLocker на сменном диске вы должны выбрать «Allow users to apply BitLocker protection on removable data drives».

Если вы выберете «Allow users to suspend and decrypt BitLocker on removable data drives», то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не сконфигурировано, то пользователи могут использовать BitLocker на съемных носителях.

Если данное правило отключено, то пользователи не смогут использовать BitLocker на съемных дисках.

Configure use of smart cards on removable data drives

С помощью данной установки политики вы сможете определить, можно ли использовать смарт-карты для аутентификации пользователя и доступа его к сменным дискам на данном ПК.

Deny write access to removable drives not protected BitLocker

С помощью данного правила политики вы можете запретить запись на сменные диски, не защищенные BitLocker. В таком случае, все сменные диски, не защищенные BitLocker будут доступны только для чтения.

Если будет выбрана опция «Deny write access to devices configured in another organization», то запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным согласно правилу групповой политики «Provide the unique identifiers for your organization».

Если вы отключили данное правило или оно не сконфигурировано, то все сменные диски будут доступны и по чтению и по записи.

Внимание! Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило «Removable Disks: Deny write access» разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of windows

Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2.

Если данное правило разрешено или не сконфигурировано, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2.

Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length

Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите использовать пароль, вы сможете установить требования к его сложности и минимальную длину пароля. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer Configurationwindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered

Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Однако продолжим шифрование жесткого диска. Так как вы уже убедились, что изменения групповой политики позволят значительно шире использовать возможности шифрования BitLocker, то перейдем к правке групповой политики. Для этого сформулируем цели и условия использования нашего шифрования.

1. Исследуемый компьютер обладает установленным модулем ТРМ

2. Мы будем шифровать:

• системный диск
• диск данных
• сменные носители, как под NTFS, так и под FAT.

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под управлением windows XP SP2, так и под управлением windows Vista SP1.

Переходим к процессу шифрования.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (рис. 8)

Рис. 8. Выбор алгоритма шифрования и длины ключа

Затемвразделе Operation System Drive выбираемправило Require additional authentication at startup (рис.9)

Рис. 9. Правило «Require additional authentication at startup»

После этого установим минимальную длину PIN-кода равную 6 символамспомощьюправила Configure minimum PIN length for startup .

Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов (рис 10).

Рис. 10. Установка требований к минимальной длине и сложности пароля

При этом необходимо помнить, что нужно выставить требования к парольной защите (рис 11).

Рис. 11. Требования к парольной защите

Для сменных дисков выберем следующие настройки:

• Не разрешать читать сменные диски с файловой системой FAT под младшими версиями windows;
• Пароли должны удовлетворять требованиям сложности;
• Минимальная длина пароля 8 символов.

После этого командой gpupdate.exe /force в окне командной строки обновить политику (рис 12).

Рис. 12. Обновление настроек групповой политики

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем (рис.13) Require a PIN at every startup.

Рис. 13. Вводить PIN при каждой загрузке

Рис. 14. Ввод PIN-кода

Введем PIN-код длиной 4 символа (рис.15)

Рис. 15. PIN-код не удовлетворяет требованиям минимальной длины

Минимальная длина PIN-кода, заданная в политике – 6 цифр, после ввода нового PIN-кода получаем приглашение на сохранение ключа на USB-диске и в виде текстового файла.

Рис. 16. Сохранение резервного ключа шифрования

После этого перегружаем систему, и начинается собственно процесс шифрования диска С:.

После этого мы с вами шифруем второй раздел нашего жесткого диска – диск D: (рис. 17)

Рис. 17. Шифрование диска D:

Перед шифрованием диска D: мы должны вести пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине пароля и требованиям сложности пароля. Стоит учесть, что возможно автоматически открывать этот диск на этом ПК.

Соответственно, аналогично сохраним пароль восстановления на USB-диск.

Стоит учесть, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Необходимо иметь в виду, что при шифровании раздела данных размером 120 Гб (из них 100 свободно), windows Explorer все время выдает сообщение о нехватке места на разделе (рис. 18).

Рис. 18. Окно windows Explorer

Попробуем зашифровать USB-диск, отформатированный файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля – 8 символов. При этом пароль должен соответствовать требованиям сложности (рис. 19)

Рис. 19. Ввод пароля для шифрования сменного USB-диска

По окончании шифрования я попробовал просмотреть этот USB-диск на другом компьютере, работающем под windows Vista Home Premium SP1. Результат – на рис. 21.

Рис. 21. Попытка прочесть зашифрованный USB-диск на компьютере с ОС windows Vista SP1

Как видите, в случае потери вашего диска, информация не будет прочитана, более того, скорее всего диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением windows 7 Beta1 можно увидеть следующее (рис.22).

Вывод

Таким образом, мы с вами увидели, как будет производиться шифрование в windows 7. Что можно сказать – по сравнению с windows Vista в ней появилось гораздо больше правил в групповых политиках, соответственно возрастает ответственность ИТ-персонала за их правильное применение и правильное построение взаимосвязанных отношений.

Как удалить точки восстановления системы в windows 7