Многие пользователи с выходом операционной системы Windows 7 столкнулись с тем, что в ней появилась непонятная служба BitLocker. Многим остается только догадываться, что такое BitLocker. Давайте на конкретных примерах проясним ситуацию. Также мы рассмотрим вопросы, которые касаются того, насколько целесообразно задействование данного компонента или его полное отключение.

Служба BitLocker: для чего она нужна

Если разобраться как следует, то можно сделать вывод, что BitLocker представляет собой полностью автоматизированное универсальное средство шифрования данных, которые хранятся на жестком диске. Что представляет собой BitLocker на жестком диске? Это обычная служба, которая без участия пользователя позволяет защитить папки и файлы путем их шифрования и создания специального текстового ключа, который обеспечивает доступ к документам. В тот момент, когда пользователь работает под своей учетной записью, он даже не догадывается о том, что данные являются зашифрованными. Вся информация отображается в читабельном виде и доступ к папкам и файлам для пользователя не заблокирован. Иначе говоря, такое средство защиты рассчитано только на те ситуации, при которых к компьютерному терминалу осуществляется несанкционированный доступ при попытке вмешательства извне.

Вопросы криптографии и паролей

Если говорить о том, что собой представляет BitLocker Windows 7 или в системах более высокого ранга, необходимо отметить такой неприятный факт: в случае утери пароля на вход многие пользователи не смогут не только зайти в систему, но и выполнить некоторые действия по просмотру документов, которые ранее были доступны, по перемещению, копированию и так далее. Но на этом проблемы не заканчиваются. Если как следует разобраться с вопросом, что собой представляет BitLocker Windows 8 и 10, то особых различий здесь нет. Можно отметить только более усовершенствованную технологию криптографии. Проблема здесь заключается в другом. Все дело в том, что сама по себе служба способна работать в двух режимах, сохраняя ключи дешифрации или на жестком диске, или на съемном USB-носителе. Отсюда напрашивается вполне логичный вывод: пользователь при наличии сохраненного ключа на винчестере без проблем получает доступ ко всей информации, которая на нем хранится. Когда ключ сохраняется на флэш-накопителе, проблема намного серьезнее. В принципе можно увидеть зашифрованный диск или раздел, а вот считать информацию никак не получится. К тому же, если уж говорить о том, что собой представляет BitLocker Windows 10 и систем более ранних версий, то необходимо отметить тот факт, что служба интегрируется в контекстные меню любого типа, которые вызываются путем правого клика мыши. Многих пользователей это просто раздражает. Не будем раньше времени забегать вперед и рассмотрим все основные аспекты, которые связаны с работой данного компонента, а также с целесообразностью его деактивации и использования.

Методика шифрования съемных носителей и дисков

Самое странное заключается в том, что в различных системах и их модификациях по умолчанию служба BitLocker Windows 10 может находиться как в активном, так и в пассивном режиме. В Windows 7 она по умолчанию включена, в Windows 8 и Windows 10 иногда требуется ручное включение. Что же касается шифрования, то здесь ничего нового не изобрели. Обычно используется та же самая технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому если ваш компьютерный терминал с соответствующей операционной системой подключен к локальной сети, вы можете быть полностью уверены в том, что используемая политика безопасности и защиты информации подразумевает активацию данной службы. Даже обладая правами администратора, ничего изменить вы не сможете.

Включение службы BitLocker Windows 10, в том случае, если она была деактивирована

Прежде чем приступать к решению вопроса, связанного с BitLocker Windows 10, необходимо рассмотреть процесс ее включения и настройки. Шаги по деактивации необходимо будет осуществлять в обратном порядке. Включение шифрования простейшим способом осуществляется из «Панели управления» путем выбора раздела шифрования диска. Данный способ может использоваться только в том случае, если сохранение ключа не должно выполняться на съемный носитель. Если заблокирован несъемный носитель, то придется искать другой вопрос о службе BitLocker Windows 10: как отключить данный компонент? Это делается достаточно просто. При условии, что ключ находится на съемном носителе, для расшифровки дисков и дисковых разделов необходимо вставить его в соответствующий порт, а после этого перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем рассматриваем носители и диски, на которых установлена защита. Внизу будет находиться гиперссылка, предназначенная для отключения шифрования. Необходимо нажать на нее. При условии распознавания ключа будет активирован процесс дешифрования. Вам останется только дождаться завершения его выполнения.

Настройка компонентов шифровальщиков: проблемы

Что же касается вопроса настройки, то здесь не обойдется без головной боли. Прежде всего, стоит отметить, что система предлагает зарезервировать под свои нужды не менее 1,5 Гб. Во-вторых, необходимо настраивать разрешения файловой системы NTFS, например, уменьшать размер тома. Для того чтобы заниматься такими вещами, следует сразу отключить данный компонент, поскольку большинству пользователей он не нужен. Даже те, у кого данная служба по умолчанию задействована в настройках, не всегда знают, что с ней нужно делать, и нужна ли она вообще. И зря… На локальном компьютере можно защитить с ее помощью данные даже при условии полного отсутствия антивирусного программного обеспечения.

Как отключить BitLocker: начальный этап

Прежде всего, необходимо использовать в «Панели управления» указанный ранее пункт. Названия полей отключения службы в зависимости от модификации системы могут изменяться. На выбранном накопителе может быть выбрана строка приостановки защиты или указание на отключение службы BitLocker. Но суть не в этом. Следует обратить особое внимание на тот момент, что необходимо полностью отключить обновление BIOS и загрузочных файлов системы. Иначе процесс дешифровки может занять довольно продолжительное время.

Контекстное меню

Это одна сторона медали, которая связана со службой BitLocker. Что собой представляет данная служба, должно быть уже понятно. Оборотная сторона состоит в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на данную службу. Для этого необходимо еще раз взглянуть на BitLocker. Как убрать все ссылки на службу из контекстного меню? Да очень просто… При выделении нужного файла в «Проводнике» используем раздел сервиса и редактирования контекстного меню, переходим к настройкам, а после этого используем настройки команд и упорядочиваем их. Далее необходимо указать значение «Панели управления» и найти в списке соответствующих элементов панелей и команд нужную и удалить ее. Затем в редакторе реестра необходимо зайти на ветку HKCR и найти раздел ROOT Directory Shell, развернуть его и удалить нужный элемент путем нажатия на клавишу Del или при помощи команды удаления из меню правого клика. Это последнее, что касается BitLocker. Как его отключить, вам должно быть уже понятно. Но не стоит обольщаться раньше времени. Эта служба все равно будет работать в фоновом режиме, хотите вы этого или нет.

Заключение

Необходимо добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Мы уже разобрались, что собой представляет BitLocker. Также вы узнали, как можно отключить и удалить команды меню. Вопрос заключается в другом: стоит ли отключать BitLocker. Здесь можно дать один совет: в корпоративной сети вообще не стоит деактивировать данный компонент. Но если речь идет о домашнем компьютерном терминале, то почему бы и нет.

Теxнология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным нaбором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и зaмены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлaйновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодoполняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домoхозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озабoтились своей безопасностью! Операционная система и так слoжный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без нeго! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориeнтированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединeние нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через пaнель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютеpа -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM…» и включить ее.

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

После применения новых политик возвpащаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой спoсоб считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезaписанные файлы какое-то время остаются доступными для прямого чтения.

Полное и частичное шифрование

После настройки всех параметров оcтанется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нeскольких часов.

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

Как устроен BitLocker

О нaдежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, зaтрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий - 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится - ни длина вводимых паролей, ни субъективная скороcть выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей… и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
2. В свою очередь, FVEK шифруется при помощи другого ключа - VMK (volume master key) - и сохраняется в зашифрованном виде среди метаданных тома.
3. Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
4. На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопpоцессоре - доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
5. Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
6. Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технолoгию шифрования с прежним названием под видом обновления. Туманные объяcнения этого шага последовали уже после того, как упрощения в BitLocker заметили нeзависимые исследователи.

Формально отказ от Elephant Diffuser потребoвался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма - это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости пpи его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, котоpым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG - «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь пeреписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управлeния ключами.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспoминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа - и все три одной комбинацией. <…> Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы - технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, - словом, все, о чем знали в Лос-Аламосе, всю кухню!» .

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо болeе хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <…> Я оcмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединeн с маленьким замочком, который выглядел точно так же, как и замoк моего шкафа в Лос-Аламосе. <…> Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <…>. Изображая некую деятельность, я принялся наугад крутить лимб. <…> Через две минуты - щелк! - сейф открылся. <…> Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продeмонстрировать Вам опасность» .

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно - процесс посекторного шифрования можeт занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно - как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дискoвой подсистемы. Точнее - отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), пoврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользовaтели боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождиcь, пока коллега уйдет на перерыв (как всегда, забыв заблoкировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удoбно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь смeнить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Вскрываем BitLocker

Реальная криптографическая система - это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной рабoты с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.

В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь… или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента - тем более.

По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.

Получение депонированных ключей из учетной записи Microsoft или AD - основной способ вскpытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.

Почему они вообще там хранятся? Как это ни смешно - для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются пeрезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?

Все описанные выше методы взлома BitLocker собраны в одной программе - Forensic Disk Decryptor , разpаботанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей - атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллeга вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту пoлучаем полный дамп в файле с расширением.mem и размером, соответствующим объему оперативки, устанoвленной на компьютере жертвы.

Делаем дамп пaмяти

Чем делать дамп - по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

Укaзываем источник ключей

BitLocker - типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты - вдруг жертва тайком использует TrueCrypt или PGP!

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл - это пригодится в дальнeйшем.

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку - например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».

После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому оcтается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Для новых накопителей мoжно использовать шифрование только занятой области - все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время завиcит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстанoвления.

Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зaшифрованной флешке есть два основных варианта:

• использoвать встроенный мастер BitLocker для непосредственной работы с флeшкой;
• использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гoраздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или снaчала конвертировать в другой формат (например, с помощью UltraISO).

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.

Выводы

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроeнный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать вcе данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

Защита данных с помощью шифрования диска BitLocker

Alexander Antipov

Шифрование дисков BitLocker — определенно одна из самых обсуждаемых возможностей в Windows Vista. Однако, большинство людей еще не имело серьезной возможности опробовать BitLocker и на собственном опыте испытать, что и как он делает — особенно на компьютере с доверенным платформенным модулем (TPM). В этой статье мы рассмотрим основы BitLocker™, позволяющие оценить его потенциал и включить в программу обновления. Начнем с предпосылок и концепций, затем рассмотрим включение BitLocker, восстановление данных, администрирование и то, какова роль BitLocker при утилизации компьютера.

BitLocker выполняет две взаимодополняющие, но различные функции. Во-первых, он обеспечивает шифрование всего тома ОС Windows ® . Во-вторых, на компьютерах с совместимым доверенным платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска Windows Vista™.

Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимыми микрочипом TPM и BIOS. Под совместимыми понимается версия 1.2 TPM и BIOS, поддерживающая TPM и статический корень измерения доверия (Static Root of Trust Measurement), определенный в спецификациях TCG. Однако компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker.

Полное шифрование тома

BitLocker шифрует весь том ОС Windows со всеми данными. Это ключевой аспект в защите конфиденциальной информации, содержащейся на компьютерах предприятия, особенно переносных.

Переносные компьютеры крадут и теряют каждый день. Благодаря возросшим возможностям переносных устройств, а также все большей доли мобильности в работе один сотрудник может иметь при себе сотни гигабайт промышленных секретов вашего предприятия, секретных документов или сведений о клиентах частного характера. Краткий обзор сводок новостей покажет, что такие данные теряются слишком часто. (По данным Privacy Rights Clearinghouse, с 2005 года пропало или было разглашено свыше 104 миллионов записей, содержащих частные сведения.)

Большинство организаций уже находятся под действием юридических или корпоративных документов, обязывающих охранять сведения личного характера, и даже если ваше предприятие еще не входит в их число, вы наверняка были бы заинтересованы обеспечить документам сохранность.

Зачем шифровать весь том?

Если вы опытный администратор Windows, вы наверняка уже знакомы с имевшимися в Windows вариантами шифрования, например EFS, и, возможно, с шифрованием и защитой служб управления правами (RMS). Главное отличие BitLocker в том, что он работает автоматически, прозрачно и распространяется на весь том.

Например, в EFS нужно было явно указывать, какие файлы и папки шифровать. В Windows Vista появились новые параметры, добавляющие EFS гибкости. И EFS, и RMS могут пригодиться в определенных обстоятельствах, когда BitLocker не сможет помочь. Обе эти технологии требуют значительных усилий по настройке и не предназначены для защиты всего содержимого тома.

В противоположность им, BitLocker шифрует все, что записывается на защищенный им том, включая файлы операционной системы, реестр, файлы спящего режима и подкачки, приложения и их данные.

Не шифруются три элемента: загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, и метаданные тома. Последние состоят из трех избыточных копий данных, используемых BitLocker, включая статистическую информацию о томе и защищенные копии некоторых ключей расшифровки. Эти элементы не требуют шифрования, поскольку не являются уникальными, ценными или позволяющими определить личность.

Шифрование всего тома защищает от атак с выключением (offline attack), которые подразумевают обход операционной системы. Типичный пример — кража офисного компьютера, извлечение жесткого диска и установка его в качестве второго диска другого компьютера (под управлением другой копии Windows или вообще другой ОС), что позволяет обойти разрешения NTFS и ввод пароля. Прочитать таким образом диск, защищенный BitLocker, невозможно.

Как BitLocker шифрует данные

BitLocker использует алгоритм AES с ключом 128 бит. Для большей надежности длину ключа можно увеличить до 256 бит с помощью групповых политик или через поставщик инструментария управления Windows (WMI) для BitLocker.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затрудняет определение ключей шифрования путем записи и шифровки заранее известных данных.

Перед применением шифрования BitLocker использует алгоритм, называемый диффузором (diffuser). Не углубляясь в криптографию, можно сказать, в результате его применения даже мельчайшее изменение исходного текста приводит к абсолютному изменению всего сектора зашифрованных данных. Это также серьезно затрудняет определение ключей или дешифровку.

Если вас заинтересовали детали алгоритма шифрования BitLocker, вы можете подробнее прочитать о нем в статье Нейла Фергюсона (Neil Ferguson) «AES-CBC + Elephant Diffuser: алгоритм шифрования диска для Windows Vista ».

Ключи BitLocker

Имея дело с шифрованием, стоит разбираться в ключах, и шифрование BitLocker не исключение. Архитектура его ключей изящна, но весьма непроста.

Сами секторы шифруются ключом шифрования всего тома (full-volume encryption key, FVEK). Пользователи, однако, с этим ключом не работают и доступа к нему не имеют. Сам ключ FVEK шифруется основным ключом тома (volume master key, VMK). Такой уровень абстракции дает уникальные преимущества, но делает весь процесс более трудным для понимания. Ключ FVEK хранится в строжайшей секретности, потому что при его разглашении потребовалось бы перешифровать все секторы. Поскольку перешифрование займет значительное время, стоит не допускать разглашения ключа. Поэтому система работает с ключом VMK.

Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не попадает на диск в расшифрованном виде.

Ключ VMK тоже шифруется, или «охраняется», одним или несколькими предохранителями ключей. Предохранитель по умолчанию — TPM. Его использование описано далее в разделе о проверке целостности. Пароль восстановления тоже создается как предохранитель на случай экстренных ситуаций. Восстановление также описано далее.

Для дополнительной защищенности можно объединить TPM с числовым ПИН-кодом или с частичным ключом, хранимым на USB-накопителе. И то, и другое — образец двухфакторной проверки подлинности. Если у компьютера нет совместимого TPM-чипа и BIOS, BitLocker может сохранить предохранитель ключа целиком на USB-накопителе. Получится ключ запуска.

BitLocker можно отключить, не расшифровывая данные. В этом случае ключ VMK защищается только новым предохранителем ключа, который хранится в незашифрованном виде. Этот ключ позволяет системе получать доступ к диску так, словно он не зашифрован.

При запуске система ищет подходящий предохранитель ключа, опрашивая TPM, проверяя порты USB или, если необходимо, запрашивая пользователя (что называется восстановлением). Обнаружение предохранителя ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, которым расшифровываются данные на диске. Весь процесс показан на рис. 1.

Рис. 1 Процесс запуска BitLocker по умолчанию

Проверка целостности

Поскольку компоненты, выполняющие начальную стадию загрузки, должны оставаться незашифрованными (иначе компьютер не сможет запуститься), злоумышленник может изменить их код (создать rootkit) и так получить доступ к компьютеру, даже если данные на диске останутся зашифрованными.

Это открывает доступ к конфиденциальной информации, например ключам BitLocker или паролям пользователей, которые могут быть использованы для обхода других средств защиты.

Предотвращение такого хода событий было одной из исходных целей всей программы и группы разработчиков BitLocker. До некоторой степени, шифрование почти позволяло достичь конечной цели. Полное шифрование тома позволяет BitLocker сберегать целостность системы и не давать Windows запуститься, если компоненты, выполняющие начальную стадию загрузки, были изменены.

Если компьютер снабжен совместимым TPM, при каждом его запуске каждый из компонентов ранней загрузки — BIOS, MBR, загрузочный сектор и код диспетчера загрузки — проверяет запускаемый код, подсчитывает значение хэша и сохраняет его в специальных регистрах TPM, называемых регистрами конфигурации платформы (platform configuration registers, PCR). Значение, сохраненное в PCR, может быть заменено или стерто только при перезапуске системы. BitLocker использует TPM и значения, сохраненные в PCR, для защиты ключа VMK.

TPM может создать ключ, привязанный к конкретным значениям PCR. После создания этот ключ шифруется модулем TPM, и расшифровать его сможет только этот конкретный модуль. Причем для этого потребуется, чтобы текущие значения PCR совпадали со значениями на момент создания ключа. Это называется запечатыванием (sealing) ключа в TPM.

По умолчанию BitLocker запечатывает ключи к измерениям CRTM, BIOS и любым расширениям платформы, необязательному ROM-коду, коду MBR, загрузочному сектору NTFS и диспетчеру загрузки. Если любой из этих элементов неожиданно оказывается измененным, BitLocker блокирует диск и не даст получить к нему доступ или расшифровать.

По умолчанию BitLocker настроен на обнаружение и использование TPM. С помощью настроек групповой или локальной политики можно разрешить работу BitLocker без TPM с хранением ключей на внешнем флэш-накопителе USB, но тогда становится невозможно проверять целостность системы.

Первичное включение BitLocker

BitLocker доступен в редакциях Windows Vista Enterprise и Windows Vista Ultimate (а также как необязательный компонент следующей версии Windows Server ® под кодовым именем «Longhorn»).

В нижеследующем изложении предполагается, что для тестирования доступен компьютер с совместимым TPM. Если требуется включить BitLocker на компьютере без TPM, следуйте инструкциям на боковой панели «Использование BitLocker без TPM».

Использование BitLocker без TPM

По умолчанию BitLocker настроен на использование TPM, поэтому при его отсутствии Windows с неизмененными настройками не даст включить BitLocker. Однако, выполнив приведенные далее шаги, взятые из «Пошагового руководства шифрования дисков Windows BitLocker», вы сможете использовать BitLocker на компьютере без TPM.

Для выполнения этих шагов необходимо войти в систему с администраторскими привилегиями. Даже при отсутствии TPM компьютер должен поддерживать чтение с флэш-накопителя USB во время загрузки. Кроме того, необходимо иметь и сам готовый к использованию флэш-накопитель — при запуске BitLocker и при каждой последующей перезагрузке компьютера.

Шифрование диска BitLocker на компьютере без совместимого TPM включается так:

1. нажмите кнопку Пуск, введите gpedit.msc в поле поиска и нажмите ВВОД;
2. если появится диалоговое окно контроля учетных записей, подтвердите желаемость действия, нажав кнопку «Продолжить»;
3. в дереве консоли редактора объектов групповых политик выберите пункт «Редактор локальной политики», щелкните «Административные шаблоны», затем «Компоненты Windows», после чего дважды щелкните «Шифрование диска BitLocker»;
4. Дважды щелкните настройку «Установка панели управления: включить дополнительные параметры запуска». Появится одноименное диалоговое окно;
5. Выберите вариант «Включить», установите флажок «Разрешить использование BitLocker без совместимого TPM» и нажмите кнопку «ОК». Теперь вместо TPM можно использовать ключ запуска;
6. закройте редактор объектов групповой политики;
7. чтобы новые настройки групповых политик вступили в силу немедленно, нажмите кнопку «Пуск», введите gpupdate.exe /force в поле поиска и нажмите клавишу ВВОД. Дождитесь завершения процесса.

Важный шаг в процессе включения BitLocker — убедиться, что тома настроены верно. Для работы BitLocker требуется, чтобы активный раздел был не зашифрован. Это необходимо для считывания загрузочного сектора, диспетчера загрузки и загрузчика Windows (эти компоненты защищаются средствами проверки целостности системы, описанными ранее). Поскольку другие компоненты Windows могут нуждаться во временном доступе к активному разделу, корпорация Майкрософт рекомендует отводить ему не меньше 1,5 ГБ. Также не помешает настроить разрешения NTFS, чтобы пользователи не смогли случайно записать данные на этот том.

Сама Windows будет установлена на другой, больший том, который можно зашифровать. Если установка Windows производится на новый компьютер, можно вручную настроить тома в соответствии с инструкциями, приведенными в Пошаговом руководстве шифрования дисков Windows BitLocker .

Для подготовки системы можно использовать средство подготовки диска для BitLocker. Это средство берет на себя все заботы по настройке дисков. Оно доступно как Windows Vista Ultimate Extra, а также для потребителей, занимающихся развертыванием Windows Vista Enterprise. Подробные инструкции по использованию этого средства см. в статье базы знаний support.microsoft.com/kb/930063 .

Средство подготовки автоматически уменьшает размер тома (если он один), создает второй раздел, делает его активным, вносит все необходимые изменения в конфигурацию и переносит стартовые файлы в нужное место.

После настройки томов включить BitLocker не составляет труда. В разделе «Безопасность» панели управления щелкните значок шифрования дисков BitLocker. После утвердительного ответа на запрос UAC появится диалоговое окно, показанное на рис. 2.

Дальнейшая последовательность шагов зависит от состояния микросхемы TPM компьютера. Если он не инициализирован, запустится мастер инициализации TPM. Для успешной инициализации следуйте его указаниям (потребуется перезагрузить компьютер).

После инициализации TPM появится страница сохранения пароля восстановления (рис. 3). Пароль восстановления нужен для возвращения доступа к данным в случае сбоя в модуле TPM или другой неисправности. С помощью этой страницы можно сохранить его на флэш-накопителе USB или на сетевом диске, а также напечатать для помещения в безопасное место. Нужно выбрать хотя бы один из этих вариантов, причем сохранять можно в нескольких экземплярах. После сохранения кнопка «Далее» станет доступной. Нажмите ее.

Рис. 3 Сохранение пароля восстановления

На следующей странице — «Зашифровать выбранный том» — можно указать, запускать ли проверку системы перед шифрованием. Проверка потребует перезагрузки, но это лучший способ убедиться, что TPM, BIOS и порты USB будут успешно использованы BitLocker. Если возникли проблемы, после перезагрузки будет отображено сообщение об ошибке. В противном случае появится строка состояния «Выполняется шифрование».

Вот и все Шифрование продолжит выполняться в фоновом режиме, а вы можете продолжать использовать свой компьютер. После завершения шифрования появляется соответствующее сообщение. Можно самостоятельно отслеживать текущее состояние шифрования, перемещая курсор на значок шифрования диска BitLocker в панели инструментов внизу экрана. Подробнее весь процесс описан в пошаговом руководстве, упомянутом выше.

Некоторых пользователей удивляет, что при запуске компьютера BitLocker не запрашивает ничего у пользователя и не вмешивается каким-либо иным заметным способом. Это происходит потому, что по умолчанию в проверке целостности системы до разблокировки диска BitLocker полагается на TPM. Это происходит автоматически и прозрачно для пользователя.

Можно настроить BitLocker на запрос ПИН-кода или требование ключа, сохраненного на флэш-накопителе USB. Эта конфигурация безопаснее и рекомендуется для ситуаций, когда плюсы от дополнительной защиты перевешивают неудобства введения ПИН-кода. В моем понимании, так дело обстоит всегда (другими словами, мой настольный компьютер требует ввода ПИН-кода, а переносной — ключа на накопителе USB.)

Восстановление BitLocker

Имея дело с шифрованием, особенно в деловой и корпоративной среде, следует обязательно обеспечить прошедшему проверку подлинности пользователю доступ к своим данным, даже если обычные методы доступа или ключи недоступны. В BitLocker это называется восстановлением.

Если происходят непредвиденные изменения в компонентах начальной загрузки, теряется загрузочный USB-ключ или пользователь забывает ПИН-код, BitLocker не сможет успешно завершить загрузку. Том будет оставлен заблокированным, и Windows не сможет запуститься. Вместо этого код BitLocker в диспетчере загрузки отобразит текстовый экран. Если пароль восстановления был сохранен на флэш-накопителе USB (иногда называемом ключом восстановления), появляется экран, подобный показанному на рис. 4.

Рис. 4 Поиск ключа восстановления

Чтобы BitLocker смог прочитать флэш-накопитель USB, тот должен быть подключен с самого начала. Поэтому, если имеется этот накопитель с ключом, нужно вставить его и нажать ESC. Если ключа нет, нажмите ВВОД. Появится экран, показанный на рис. 5. Тот же экран появится, если ключ восстановления не сохранялся на флэш-накопителе USB.

Рис. 5 Ввод пароля BitLocker

Теперь BitLocker ожидает ввода 48-значного цифрового пароля, который разблокирует диск. Это число напечатано на странице, если была выбрана печать пароля восстановления, или хранится в файле, если был выбран этот вариант сохранения.

В следующей статье мы подробно остановимся на управляемости BitLocker, а пока достаточно сказать, что он поставляется с полноценным поставщиком WMI, который позволяет контролировать BitLocker (и TPM) через любую совместимую с WMI систему WBEM. Это, в частности, означает, что управлять BitLocker можно через сценарии на любом языке сценариев, способном получать доступ к объектам WMI, например VBScript и Windows PowerShell™.

Вместе с BitLocker также поставляется средство командной строки manage-bde.wsf, использующее провайдер WMI для управления BitLocker на локальном и удаленном компьютере. Для получения более подробной информации о нем запустите командную строку с повышенными привилегиями и введите manage-bde.wsf /?.

Безопасное списание

Каждый компьютер в конце концов приходится списывать. Обычно предприятия тратят значительные средства и усилия на то, чтобы диски таких компьютеров были предварительно полностью очищены. Большинство методов удаления секретных данных требуют значительного времени и денег или выливаются в полное уничтожение оборудования. Средство BitLocker предоставляет более эффективные решения.

Вместо фактического удаления данных BitLocker гарантирует, что секретные сведения не хранятся на диске небезопасным образом. Поскольку все содержимое диска зашифровано, данные можно считать навсегда утерянными, если уничтожены все копии ключей шифрования. Сам жесткий диск остается неповрежденным и может быть повторно использован.

Существует большое число подходов к списанию томов, защищенных BitLocker. Можно удалить все копии ключей из метаданных тома, оставив их копии в надежно защищенном центральном архиве. После этого можно без опаски перевозить компьютеры или временно списать, если им предстоит провести значительное время без работы. Это гарантирует, что авторизованные пользователи смогут получить доступ к данным, в то время как все остальные, например новые владельцы оборудования, — нет.

Можно удалить все копии ключей из метаданных тома и из всех архивов, таких как Active Directory (это можно сделать, например, созданием новых ключей, которые нигде не будут храниться). Без ключей расшифровки никто не сможет восстановить данные.

В любом из этих случаев удаление и уничтожение ключей, содержащихся в метаданных тома, производится практически мгновенно и может выполняться администратором на многих системах разом. На это требуется минимум сил и времени, а результат — очень высокая степень непрерывной защиты. Средство форматирования в Windows Vista было обновлено. Теперь команда format удаляет метаданные тома и перезаписывает их секторы для надежного удаления всех ключей BitLocker.

Несколько заключительных слов

BitLocker — мощное средство, разработанное для защиты от конкретных угроз, с чем оно прекрасно справляется. Но не стоит считать его панацеей. Совершенно необходимо продолжать использование остальных защитных и управляющих мер, например надежных паролей.

BitLocker предназначен для защиты от атак с отключением оборудования. Если Windows запущена, BitLocker разблокировал том. Иными словами, он не обеспечивает защиту работающей системы. В этом его дополняют такие технологии, как EFS и RMS.

Подробнее о BitLocker см. на веб-узле Майкрософт, начиная с technet.microsoft.com/windowsvista/aa905065.aspx . Подробнее о спецификациях TPM и TCG см. в разделе «TPM Specifications» веб-узла TCG по адресу go.microsoft.com/fwlink/?LinkId=72757 .

Байрон Хайнз (Byron Hynes) работает в группе поддержки пользователей Windows Server в Майкрософт. До этого работал консультантом и инструктором. Связаться с ним можно по адресу [email protected] .

Многие используют функцию шифрования Windows, но не все задумываются о безопасности такого метода защиты данных. Сегодня мы поговорим о шифровании Bitlocker и попробуем разобраться насколько хорошо реализована защита дисков Windows.

Кстати, о том, как настроить Битлокер вы можете прочитать в статье « «.

• Предисловие
• Как работает Bitlocker
• Уязвимости
• Ключи восстановления
• Вскрываем BitLocker
• BitLocker To Go
• Заключение

Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Она адресована специалистам по безопасности и тем, кто хочет ими стать.

Как работает Bitlocker

Что такое Bitlocker?

BitLocker — это родная функция шифрования дисков в операционных системах Windows 7, 8, 8.1, 10. Данная функция позволяет надежно зашифровать конфиденциальные данные на компьютере, как на HDD и SSD, так и на съемных носителях.

Как устроен BitLocker?

О надежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, затрудняющий прямое сравнение блоков шифртекста. С ним одинаковые содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий - 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится - ни длина вводимых паролей, ни субъективная скорость выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей… и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

• При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
• В свою очередь, FVEK шифруется при помощи другого ключа - VMK (volume master key) - и сохраняется в зашифрованном виде среди метаданных тома.
• Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
• На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопроцессоpе - доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
• Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
• Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до нестоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технологию шифрования с прежним названием под видом обновления. Туманные объяснения этого шага последовали уже после того, как упрощения в BitLocker заметили независимые исследователи.

Формально отказ от Elephant Diffuser потребовался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма - это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости при его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам , которым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG - «криптографический стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь переписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управления ключами.

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспоминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа - и все три одной комбинацией. Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы - технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, - словом, все, о чем знали в Лос-Аламосе, всю кухню!».

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо более хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. Я осмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединен с маленьким замочком, который выглядел точно так же, как и замок моего шкафа в Лос-Аламосе. Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов.. Изображая некую деятельность, я принялся наугад крутить лимб. Через две минуты - щелк! - сейф открылся. Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продемонстрировать Вам опасность».

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если вам принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то вы вряд ли расшифруете ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Уязвимости BitLocker

Наверняка вы заметили, что при первой активации Битлокер приходится долго ждать. Это неудивительно - процесс посекторного шифрования может занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно - как же так?

Дело в том, что при отключении Битлокер не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дисковой подсистемы. Точнее - отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), поврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если Битлокер активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это все потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления Bitlocker

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользователи боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Если вы забыли (или никогда не знали) заданный в BitLocker пароль, то просто поищите файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft.

Для быстрого обнаружения ключа восстановления удобно ограничить поиск по расширению (txt), дате создания (если знаете, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируйте его. С ним вы сможете в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Вы залогинитесь без проблем и даже сможете сменить пароль в BitLocker на произвольный, не указывая старый!

Вскрываем BitLocker

Реальная криптографическая система - это компромисс между удобством , скоростью и надежностью . В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету , методы восстановления забытых паролей и удобной работы с ключами . Все это ослабляет любую систему , на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES . Гораздо проще их обнаружить именно в специфике конкретной реализации .

В случае Microsoft такой «специфики » хватает . Например , копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory .

Ну , вдруг вы их потеряете … или агент Смит спросит . Клиента неудобно заставлять ждать , а уж агента - тем более . По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план , как и рекомендации увеличить длину ключа . Каким бы длинным он ни был , атакующий легко получит его в незашифрованном виде .

Получение депонированных ключей из учетной записи Microsoft или AD - основной способ вскрытия BitLocker . Если же пользователь не регистрировал учетку в облаке Microsoft , а его компьютер не находится в домене , то все равно найдутся способы извлечь ключи шифрования . В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования »). Это значит , что они доступны в ее дампе и файле гибернации .

Почему они вообще там хранятся ?

Как это ни смешно - для удобства . BitLocker разрабатывался для защиты только от офлайновых атак . Они всегда сопровождаются перезагрузкой и подключением диска в другой ОС , что приводит к очистке оперативной памяти . Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать ) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон . Поэтому , если в Windows с активированным BitLocker недавно выполнялся вход , есть хороший шанс получить копию ключа VMK в расшифрованном виде , а с его помощью расшифровать FVEK и затем сами данные по цепочке .

Проверим ? Все описанные выше методы взлома BitLocker собраны в одной программе - Forensic Disk Decryptor , разработанной в отечественной компании «Элкомсофт ». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски , выполняя их расшифровку на лету .

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей - атакой через порт FireWire , которую целесообразно использовать в том случае , когда нет возможности запускать свой софт на атакуемом компьютере . Саму программу EFDD мы всегда устанавливаем на свой компьютер , а на взламываемом стараемся обойтись минимально необходимыми действиями .

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллега вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту получаем полный дамп в файле с расширением.mem и размером, соответствующим объему оперативки, установленной на компьютере жертвы.

Чем делать дамп - по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

BitLocker - типичный кpиптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вoт клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты - вдруг жертва тайком использует или PGP!

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл - это пригодится в дальнейшем.

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку - например, вытащить жесткий диск и скопировать его содержимое. Для этого просто подключите его к своему компьютеру и запустите EFDD в режиме «расшифровать или смонтировать диск».

После указания пути до файлов с сохраненными ключами EFDD на ваш выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому остается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Для новых накопителей можно использовать шифрование только занятой области - все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время зависит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Провoднике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстановления.

Если вы не знаете пароль, но вам удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зашифрованной флешке есть два основных варианта:

• использовать встроенный мастер BitLocker для непосредственной работы с флешкой;
• использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гораздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или сначала конвертировать в другой формат (например, с помощью UltraISO).

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обxода BitLocker. Просто перебирайте все доступные варианты подряд, пока не найдете ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и вы получите полный доступ к диску.

Заключение

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроенный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибeрнации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать все данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

В статье использованы материалы сайта:

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование - это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы windows Vista и была усовершенствована в windows 7. Bitlocker доступен в версиях windows 7 Максимальная и Корпоративная а так же в windows 8 Pro. Владельцам других версий придется искать альтернативу.

Как работает шифрование диска BitLocker

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Для этого воспользуемся поиском в windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики

В открывшемся окошке в левой части переходим по пути

Конфигурация компьютера > Административные шаблоны > Компоненты windows > Шифрование диска BitLocker

В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра

В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный

Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.

Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.

Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.

Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.

Усовершенствование BitLocker в windows 7

При установке windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.

Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.

В windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В windows 7 его сделали 100 МБ.

Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в windows 7 BitLocker сам подготовит нужный раздел. В windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.

Так же в windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.

Как включить шифрование диска BitLocker

По умолчанию BitLocker настроен на запуск с модулем TPM и при его отсутствии не захочет запускаться. (Сначала просто попробуйте включить шифрование и если запуститься, то не нужно ничего отключать в групповых политиках)

Для запуска шифрования заходим в Панель управления\Система и безопасность\Шифрование диска BitLocker

Выбираем нужный диск (в нашем примере это системный раздел) и нажимаем Включить BitLocker

Если же вы видите картинку подобную ниже

необходимо править групповые политики.

С помощью поиска из меню Пуск вызываем Редактор локальной групповой политики

Идем по пути

Конфигурация компьютера > Административные шаблоны > Компоненты windows > Шифрование диска BitLocker > Диски операционной системы

Справа выбираем Обязательная дополнительная проверка подлинности

В открывшемся окошке нажимаем Включить, затем необходимо проконтролировать наличие галочки Разрешить использование BitLocker без совместимого TPM и нажать ОК

После этого BitLocker можно будет запустить. Вас попросят выбрать единственный вариант защиты - Запрашивать ключ запуска при запуске. Это и выбираем

Вставляем флешку на которую будет записан ключ запуска и нажимаем Сохранить

Теперь необходимо сохранить ключ восстановления, на тот случай если флешка с ключом запуска будет не в зоне доступа. Можно сохранить ключ на флешке (желательно другой), сохранить ключ в файле для последующего переноса на другой компьютер или сразу распечатать.

Ключ восстановления нужно естественно хранить в надежном месте. Сохраню ключ в файл

Ключ восстановления это простой текстовый документ с самим ключом

Затем у вас откроется последнее окошко в котором вам рекомендуют Запустить проверку системы BitLocker до шифрования диска. Нажимаем Продолжить

Сохраняете все открытые документы и нажимаете Перезагрузить сейчас

Вот что увидите если что то пойдет не так

Если все работает то после перезагрузки компьютера запустится шифрование

Время зависит от мощности вашего процессора, емкости раздела или тома который вы шифруете и скорости обмена данными с накопителем (SSD или HDD). Твердотельный диск на 60 Гб заполненные почти под завязку шифруются минут за 30 при этом еще работают Добровольные распределенные вычисления.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки - BitLocker To Go

С появлением в windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.

Через поиск или пройдя по пути

Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker

открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя

Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.

Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее

Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее

Нажимаем Начать шифрование и защищаем свои данные

Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером

На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.

Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль

Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.

Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС windows Vista или windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.

Управление зашифрованным разделом

Управление осуществляется из окошка Шифрование диска BitLocker. Можно найти это окошко с помощью поиска, а можно зайти по адресу

Панель управления > Система и безопасность > Шифрование диска BitLocker

Вы можете выключить шифрование нажав на «Выключить BitLocker». В этом случае диск или том дешифруется. Это займет какое-то время и не нужно будет никаких ключей.

Так же здесь можно приостановить защиту

Данную функцию рекомендуют использовать при обновлении BIOS или редактировании загрузочного диска. (Того самого объемом 100 МБ). Приостановить защиту можно только на системном диске (тот раздел или том на котором установлена windows).

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков. Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск, Яндекс Диск и подобные.

С уважением, Антон Дьяченко

YouPK.ru

Включение или отключение Bitlocker в windows

Никого совсем не удивляет тот факт, что на персональном компьютере может храниться сугубо личная информация или же корпоративные данные, представляющие повышенную ценность. Нежелательно, если такие сведения попадут в руки сторонних лиц, которые могут ими воспользоваться, провоцируя серьёзные проблемы у бывшего владельца ПК.

В зависимости от обстоятельств Bitlocker можно активировать и деактивировать.

Именно по этой причине многие пользователи выражают желание предпринять какие-то действия, ориентированные на ограниченный доступ ко всем файлам, сохраняющимся на компьютере. Такая процедура, действительно, существует. Проделав определённые манипуляции, никто из посторонних, не зная пароль или ключ к его восстановлению, не сможет получить доступ к документам.

Защитить важную информацию от ознакомления сторонними лицами удаётся, если провести шифрование диска Bitlocker. Такие действия помогают обеспечить полную конфиденциальность документам не только на конкретном ПК, но и в том случае, когда кем-то жёсткий диск извлечён и вставлен в другой персональный компьютер.

Алгоритм включения и выключения функции

Шифрование диска Bitlocker осуществляется на windows 7, 8 и 10, но только не всех версий. Предполагается, что на материнской плате, которой оснащён конкретный компьютер, на котором пользователь желает провести шифрование, должен наличествовать модуль TPM.

СОВЕТ. Не расстраивайтесь, если вы точно знаете, что такого специального модуля на вашей материнке нет. Существуют некоторые хитрости, позволяющие «игнорировать» такое требование, соответственно, устанавливать и без такого модуля.

Прежде чем приступить к процессу шифрования всех файлов, важно учесть, что эта процедура достаточно продолжительная. Точное количество времени назвать предварительно затруднительно. Всё зависит от того, какой объём информации имеется на жёстком диске. В процессе шифрования windows 10 будет продолжать работать, но вряд ли своей работоспособностью сможет порадовать вас, поскольку показатель производительности будет существенно снижен.

Включение функции

Если на вашем компьютере установлен windows 10, при этом вы испытываете активное желание включить шифрование данных, воспользуйтесь нашими советами, чтобы вам не только всё удалось, но и путь реализации такого желания не был затруднительным. Первоначально найдите на своей клавиатуре клавишу «Win», иногда она сопровождается пиктограммой windows, зажмите её, одновременно с нею зажмите клавишу «R». Зажатие этих двух клавиш одновременно вызывает открытие окна «Выполнить».

В открывшемся окне вы обнаружите пустую строку, в которую вам потребуется ввести «gpedit.msc». После нажатия на кнопку «Ok», откроется новое окно «Редактор локальной групповой политики». В этом окне нам предстоит проделать небольшой путь.

С левой стороны окна найдите и сразу же кликните по строке «Конфигурация компьютера», в открывшемся подменю найдите «Административные шаблоны», а затем в очередном открывшемся подменю перейдите на параметр, расположенный на первом месте в списке и именуемый «Компоненты windows».

Теперь переведите свой взгляд на правую сторону окна, в нём найдите «Шифрование диска Bitlocker», двойным щелчком клавиши мышки активируйте его. Теперь откроется новый список, в котором вашей очередной целью должна стать строка «Диски операционной системы». Кликните также и по этой строке, вам остаётся совершить ещё один переход, чтобы приблизиться к окну, где будет осуществляться непосредственная настройка Bitlocker, позволяющая его включить, чего именно вам так хочется.

Найдите строку «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», раскройте этот параметр двойным щелчком. В открытом окне вы найдёте желанное слово «Включить», возле которого рядом обнаружите чекбокс, в нём вам нужно поставить специфическую отметку в виде галочки своего согласия.

Чуть ниже в этом окне находится подраздел «Платформы», в нём вам нужно установить галочку в чекбоксе возле предложения использования BitLocker без специального модуля. Это очень важно, особенно если в вашем windows 10 нет модуля TPM.

Настройка желаемой функции в этом окне завершается, поэтому его можно закрыть. Теперь наведите курсор мышки на значок «windows», только кликните по нему правой клавишей, что позволит появиться дополнительному подменю. В нём вы найдёте строку «Панель управления», перейдите на неё, а затем на следующую строку «Шифрование диска Bitlocker».

Не забудьте обозначить, где вы желаете осуществить шифрование. Это можно проделать и на жёстком, и на съёмном дисках. После выбора желаемого объекта нажмите на клавишу «Включить Bitlocker».

Теперь windows 10 запустит автоматический процесс, изредка привлекая ваше внимание, предлагая вам конкретизировать ваши желания. Безусловно, лучше всего перед выполнением такого процесса сделать резервную копию. В противном случае при потере пароля и ключа к нему даже владелец ПК не сможет восстановить информацию.

Далее начнётся процесс подготовки диска к последующему шифрованию. Во время выполнения этого процесса не разрешается выключать компьютер, поскольку таким действием можно нанести серьёзный вред операционной системе. После такого сбоя вы просто не сможете запустить ваш windows 10, соответственно, вместо шифрования вам предстоит установить новую операционную систему, потратив лишнее время.

Как только подготовка диска успешно завершается, начинается непосредственно сама настройка диска к шифрованию. Вам будет предложено ввести пароль, обеспечивающий доступ впоследствии к зашифрованным файлам. Также будет предложено придумать и ввести ключ восстановления. Оба этих важных компонента лучше всего сохранить в надёжном месте, лучше всего распечатать. Очень глупо хранить пароль и ключ к восстановлению на самом ПК.

В процессе шифрования система может поинтересоваться у вас, какую часть конкретно вы желаете зашифровать. Лучше всего такой процедуре подвергнуть полностью всё пространство диска, хотя имеется вариант зашифровать только занятое пространство.

Остаётся выбрать такой вариант действий, как «Новый режим шифрования», а после этого запустить автоматическую проверку операционной системы BitLocker. Далее система благополучно продолжит процесс, после чего к вам поступит предложение перезагрузить ваш ПК. Безусловно, выполните это требование, осуществите перезагрузку.

После очередного запуска windows 10 вы убедитесь в том, что доступ к документам без введения пароля будет невозможен. Процесс шифрования будет продолжаться, контролировать его можно при нажатии на значок BitLocker, располагающийся на панели уведомлений.

Отключение функции

Если по каким-либо причинам файлы на вашем компьютере перестали представлять повышенную важность, а вам не очень нравится каждый раз вводить пароль, чтобы получить к ним доступ, тогда предлагаем вам просто отключить функцию шифрования.

Чтобы выполнить такие действия, перейдите в панель уведомлений, найдите там значок BitLocker, кликните по нему. В нижней части открытого окна вы найдёте строку «Управление BitLocker», нажмите на неё.

Теперь система предложит вам выбрать, какое действие для вас является предпочтительным:

• провести архивацию ключа восстановления;
• изменить пароль доступа к зашифрованным файлам;
• удалить ранее установленный пароль;
• отключить BitLocker.

Безусловно, если вы решили отключить BitLocker, вам следует выбрать последний предлагаемый вариант. На экране сразу возникнет новое окно, в котором система пожелает убедиться в том, что вы действительно желаете отключить функцию шифрования.

ВНИМАНИЕ. Как только вы нажмёте на кнопку «Отключить BitLocker», сразу начнётся процесс дешифровки. К сожалению, и этот процесс не характеризуется высокой стремительностью, поэтому вам однозначно придётся настроиться на некоторое время, в ходе которого вам просто придётся ожидать.

Конечно, если вам нужно пользоваться в этот момент компьютером, вы можете себе это позволить, никакого категорического запрета на это нет. Однако следует себя настроить на то, что производительность ПК в этот момент может быть крайне низкой. Понять причину такой медлительности несложно, ведь операционной системе приходится разблокировать огромный объём информации.

Итак, имея желание зашифровать или дешифровать файлы на компьютере, достаточно ознакомиться с нашими рекомендациями, после этого без поспешности выполнять каждый шаг обозначенного алгоритма, а по завершении порадоваться достигнутому результату.

NastroyVse.ru

Настройка Bitlocker

Bitlocker- инструментальное средство обеспечивающее шифрование данных на уровне томов (том может занимать часть диска, а может включать в себя массив из нескольких дисков.) Bitlocker служит для защиты ваших данных в случае потери или кражи ноутбука\компьютера. В первоначальной версии BitLocker обеспечивал защиту только одного тома - диска с операционной системой. Средство BitLocker входит в комплект поставки всех редакций Server 2008 R2 и Server 2008 (за исключением редакции для Itanium), кроме того, windows 7 Ultimate и Enterprise, а также windows Vista. В версиях windows Server 2008 и Vista SP1 Microsoft реализовала средства защиты различных томов, в том числе томов локальных данных. В версиях windows Server 2008 R2 и windows 7 разработчиками была добавлена поддержка съемных накопителей данных (USB-устройств флэш-памяти и внешних жестких дисков). Эта функция называется BitLocker To Go. В технологии BitLocker используется AES алгоритм шифрования, ключ может хранится в TMP (Trusted Platform Module- специальная схема установленная в компьютер во время его производства, обеспечивающий хранение ключей шифрования)либо в USB-устройстве. Возможны следующие комбинации для доступа:

TPM - TPM + PIN - TPM + PIN + USB-ключ - TPM + USB-ключ - USB-ключПоскольку зачастую в компьютерах нет TMP, хочу описать пошагово настройку BitLocker с USB-накопителем.

Заходим в «Компьютер» и правой кнопкой мыши нажимаем на локальном диске, который мы хотим зашифровать (в данном примере будем шифровать локальный диск С) и выбираем «Включить BitLocker».

После этих шагов мы увидим ошибку.

Оно и понятно, как я уже писал- на этом компьютере нету модуля TMP и вот результат, но это все легко исправляется, достаточно зайти в локальные политики компьютера и изменить там настройки, для этого необходимо зайти в редактор локальных политик- пишем в поле поиска gpedit.msc и нажимаем «Enter».

В результате откроется окно локальных политик, заходим по пути «Конфигурация компьютера- Административные шаблоны -Компоненты windows - Шифрование диска BitLocker - Диски операционной системы» (Computer Configuration - Administrative Templates -windows Components -Bit-Locker Drive Encryption - Operating System Drives) и в политике Обязательная дополнительная проверка подлинности при запуске ставим Включить, необходимо так же обратить внимание что бы стояла галочка Разрешить использование BitLocker без совместимого TPM Нажимаем «Ок».

Теперь если повторить первые шаги по включению BitLocker на локальном диске, откроется окно по настройке шифрования диска, выбираем «Запрашивать ключ запуска» при запуске (впрочем выбора у нас и не было, связано это с отсутствием TPM).

В следующем окне выбираем то USB устройство на котором будет хранится ключ.

Затем выбираем куда сохраним ключ восстановления (это ключ который вводится в ручную в случае потери носителя с основным ключом), рекомендую сделать это другой на USB- носитель, либо на другой компьютер или же распечатайте его, в случае если вы сохраните ключ восстановления на этом же компьютере или на этом же USB-носителе вы не сможете запустить windows потеряв USB на котором сохранен ключ. В данном примере я сохранил на другой USB-носитель.

В следующем окне запускаем проверку системы Bitlocker с помощью нажатия кнопки «Продолжить», после этого компьютер будет перезагружен.

После загрузки компьютера появится окно процесса шифрования. Зачастую это длительная процедура, требующая нескольких часов.

В результате мы имеем зашифрованный диск С, который без USB-накопителя с ключом или ключа восстановления не запустится.

pk-help.com

Как настроить шифрование данных BitLocker для windows

Для защиты от несанкционированного доступа к файлам, хранящихся на жестком диске, а также на съемных дисках (внешние диски или USB-устройства флэш-памяти), пользователи ОС windows имеют возможность зашифровывать их, используя встроенную программу для шифрования BitLocker и BitLocker To Go.

Программа шифрования BitLocker и BitLocker To Go предустановлены в Proffessional и Enterprise версиях ОС windows 8/8.1, а также в Ultimate версии windows 7. Но так же пользователям базовой версии windows 8.1 доступна такая опция как «Device Encryption», которая выступает в роли аналога BitLocker в более продвинутых версиях операционной системы.

Включение программы шифрования BitLocker

Для включения программы шифрования BitLocker, откройте Панель Управления и далее проследуйте по пунктам - Система и безопасность > Шифрование диска BitLocker. Также вы можете открыть Проводник windows («Компьютер»), нажать на выбранном диске правой клавишей мыши и в выпадающем меню выбрать пункт «Включить BitLocker». Если вышеупомянутой строчки в меню нет, значит у вас неподходящая версия OC windows.

Для включения BitLocker для системного диска, диска с данными или съемного диска необходимо выбрать пункт «Включить BitLocker».

В данном окне вам доступны 2 типа шифрования диска BitLocker:

• «Шифрование диска BitLocker - жесткие диски«: Эта функция позволяет зашифровать весь диск целиком. При загрузке компьютера, стартовый загрузчик windows будет подгружать данные из области жесткого диска, зарезервированного системой, и вам будет предложен заданный вами тип разблокировки, к примеру - ввести пароль. Затем BitLocker выполнит процесс дешифровки данных и процесс загрузки windows продолжится. Иными словами, шифрование можно представить как процесс, выполнение которого происходит незаметно для пользователя. Вы, как обычно работаете с файлами и данными, которые в свою очередь находятся в зашифрованном виде на диске. Кроме этого вы можете применять шифрование не только для системных дисков.
• «Шифрование диска BitLocker - BitLocker To Go«: Внешние накопители, такие как USB устройства флеш-памяти или внешние жесткие диски могут быть зашифрованы с помощью утилиты BitLocker To Go. При подключении зашифрованного устройства к компьютеру Вам будет предложено, к примеру, ввести пароль, что защитит ваши данные от посторонних.

Использование BitLocker без модуля TPM

При попытке шифрования с помощью BitLocker на ПК без установленного аппаратного модуля TPM (Trusted Platform Module), будет открыто нижеприведенное окно с сообщением о необходимости включения опции “Разрешить использование BitLocker без совместимого TPM” (Allow BitLocker without a compatible TPM).

Программа шифрования BitLocker требует для нормальной работы ПК с аппаратным модулем TPM для защиты системного диска. Модуль TPM представляет собой небольшой чип, установленный на материнской плате. BitLocker может хранить ключи шифрования в нем, что является более надежным вариантом, чем хранение их на обычном диске с данными. Модуль TPM предоставляет ключи только лишь после запуска и проверки состояния системы, что исключает возможность расшифровки данных в случае кражи вашего жесткого диска или создания образа зашифрованного диска с целью взлома на другом ПК.

Для включения вышеописанной опции вам необходимо иметь права администратора. Вам всего лишь потребуется открыть «Редактор локальной групповой политики» и задействовать следующую опцию.

Нажмите сочетание клавиш Win + R чтобы запустить диалог «Выполнить», введите команду gpedit.msc. Далее пройдите по следующим пунктам - Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Компоненты windows (windows Components) > Шифрование диска BitLocker (BitLocker Drive Encryption) > Диски операционной системы (Operating System Drives). Двойное нажатие мышью на пункте «Требовать дополнительную проверку подлинности при запуске компьютера» (Require additional authentication at startup), выбираем опцию «Включить» (Enabled) и ставим галочку в пункте «Разрешить использование BitLocker без совместимого TPM» (Allow BitLocker without a compatible TPM). Жмите «Применить» для сохранения настроек.

Выбор способа снятия блокировки диска

При успешном выполнении вышеуказанных действий, вам будет предложено окно “Выбор способа разблокировки диска при запуске” (Choose how to unlock your drive at startup). Если у вашего ПК нет модуля TPM, то вы можете выбрать два варианта: ввести пароль или использовать специальный USB флеш-накопитель (смарт-карту) в качестве ключа для разблокировки.

Если модуль TPM присутствует на материнской плате, то вам будет доступно больше опций. К примеру, возможно настроить автоматическую разблокировку при загрузке компьютера - все ключи будут сохранены в модуле TPM и автоматически будут использованы для расшифровывания данных на диске. Также вы можете поставить на начальный загрузчик PIN пароль, который дальше разблокирует ваши ключи для дешифровки, сохраненные в TPM, а далее и весь диск.

Выберите способ наиболее Вам подходящий и следуйте указаниям установщика.

Создание резервного ключа

BitLocker также предоставляет Вам возможность создания резервного ключа. Этот ключ будет использован для доступа к зашифрованным данным в случае, если вы забыли или потеряли ваш основной ключ, к примеру, забыли пароль доступа к ключу или переставили жесткий диск в новый ПК с новым модулем TPM и т. п.

Вы можете сохранить ключ в файл, распечатать его, поместить на внешний USB накопитель или сохранить в вашем аккаунте Microsoft (для пользователей windows 8 and 8.1). Главное быть уверенным в том что этот резервный ключ хранится в надежном месте, в противном случае злоумышленник сможет без труда обойти BitLocker и получить доступ ко всем интересующим его данным. Но несмотря на это обязательно необходимо создать резервный ключ, поскольку утратив основной ключ без резервного вы утратите все свои данные.

Шифрование и дешифровка диска

BitLocker будет автоматически шифровать новые файлы, по мере их появления, однако вам предстоит выбрать, как вы хотите зашифровать ваше остальное пространство на диске. Вы можете зашифровать весь диск целиком (включая свободное пространство) - второй вариант на скриншоте ниже, либо же только файлы - первый вариант, что ускорит процесс шифрования.

При использовании BitLocker на новом ПК (имеется в виду, с недавно установленной ОС) лучше использовать шифрование занятого файлами пространства, поскольку это займет немного времени. Однако, в том случае если вы включаете шифрование для диска который находится длительное время в использовании, лучше использовать метод в котором шифруется полностью весь диск, даже со свободным пространством. Такой метод сделает невозможным восстановления не зашифрованных ранее удаленных файлов. Таким образом первый метод быстрее, второй же более надежный.

При дальнейшей настройке шифрования BitLocker проведет анализ системы и перезагрузит компьютер. После перезагрузки ПК процесс шифрования будет запущен. Он будет отображаться в трее в виде иконки, с помощью которой Вы будете видеть процентный прогресс процесса. Вы и далее сможете пользоваться компьютером, но при этом будет наблюдаться небольшое притормаживание системы из-за параллельно работающего шифрования файлов.

После завершения шифрования и при следующем запуске ПК BitLocker предоставит вам окно, в котором потребуется ввести пароль, PIN или вставить USB накопитель в качестве ключа (зависит от того каким способом вы до этого настроили доступ к ключу).

Нажатие клавиши Escape в данном окне приведет вас к окну ввода резервного ключа, в случае если был утерян доступ к основному ключу.

При выборе способа шифрования BitLocker To Go для внешних устройств вас ждет похожий мастер настройки, однако, перезагрузка компьютера в этом случае не потребуется. Не отключайте внешний накопитель до окончания процесса шифрования.

При последующем подключении зашифрованного устройства к ПК, будет запрошен пароль либо смарт-карта для разблокировки. Устройство защищенное с помощью BitLocker будет отображаться с соответствующей иконкой в диспетчере файлов или windows Explorer.

Вы можете управлять зашифрованным диском (изменять пароль, выключать шифрование, создавать резервные копии ключа и др) используя окно панели управления BitLocker. Правый щелчок мышью на зашифрованном диске и выбор пункта «Управление BitLocker» приведет вас по назначению.

Как и любые другие способы защиты информации, шифрование на ходу в реальном времени с помощью BitLocker конечно же будет забирать на себя часть ресурсов вашего компьютера. Это выразится в основном в повышенной нагрузке на ЦП из-за непрерывного шифрования данных с диска на диск. Но с другой стороны, для людей, информация которых должна быть надежно защищена от посторонних взоров, информация которая может предоставить злоумышленникам губительные козыри в руки, эта потеря производительности - это самое компромиссное решение.

osmaster.org.ua

Шифрование в windows 7 с помощью BitLocker

Владимир Безмалый

7 января 2009 года компания Microsoft представила для тестирования очередную версию операционной системы для рабочих станций – windows 7. В данной операционной системе, как уже стало привычным, широко представлены технологии безопасности, в том числе и ранее представленные в windows Vista. Сегодня речь пойдет о технологии шифрования windows BitLocker, претерпевшей значительные изменения после своего появления в windows Vista. Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, однако, тем не менее, приведем аргументы в пользу данного решения.

Потеря конфиденциальных данных из-за хищения или утери мобильных устройств

Сегодня стоимость аппаратных средств во много раз меньше, чем стоимость информации, содержащейся на устройстве. Потерянные данные могут привести к потере репутации, потере конкурентоспособности и потенциальным судебным тяжбам.

Во всем мире уже давно вопросы шифрования данных регулируются соответствующими законодательными актами. Так, например, в США, U.S. Government Information Security Reform Act (GISRA) требует шифрование данных для защиты конфиденциальной информации, принадлежащей правительственным органам. ВстранахЕСпринятадиректива European Union Data Privacy Directive. Канада и Япония имеют свои соответствующие инструкции.

Все эти законы предусматривают серьезные штрафы за утрату персональной или корпоративной информации. Как только ваше устройство похищено (утеряно) – ваши данные могут быть утрачены вместе с ним. Для запрета несанкционированного доступа к данным можно использовать шифрование данных. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного), либо продажи устройств, бывших в употреблении.

А то, что это не пустые слова, увы, неоднократно подтверждено фактами. Внештатный сотрудник министерства внутренних дел Великобритании потерял карту памяти с личными данными более чем сотни тысяч преступников, в том числе и отбывающих тюремный срок. Об этом говорится в сообщении ведомства. На носителе хранились имена, адреса и, в некоторых случаях, детали обвинений 84 тысяч заключенных, содержащихся в тюрьмах Соединенного Королевства. Также на карте памяти находятся адреса 30 тысяч человек с количеством судимостей от шести и выше. Как уточнили в министерстве, информация с карты памяти использовалась исследователем из компании РА Consulting. «Нам стало известно о нарушении правил безопасности, повлекшем за собой потерю сотрудником, находящемся на договоре, личной информации о нарушителях закона из Англии и Уэльса. Сейчас проводится тщательное расследование», – сказал представитель МВД.

С комментарием по этому поводу уже успел выступить министр внутренних дел «теневого» правительства Доминик Грив. Он отметил, что британские налогоплательщики будут «в совершенном шоке» от того, как британское правительство относится к секретной информации.

Это далеко не первый в Великобритании случай потери конфиденциальной информации различными организациями и ведомствами, напомнил Грив.

В апреле крупный британский банк HSBC признался в потере диска, на котором хранились личные данные 370 тысяч его клиентов. В середине февраля стало известно о краже из британской больницы Russels Hall Hospital в городе Дадли (графство Уэст-Мидландс) ноутбука с медицинскими данными 5 тысяч 123 пациентов. В конце января появилось сообщение, что у британской сети супермаркетов Marks and Spencer украден ноутбук с личными данными 26 тысяч сотрудников. Глава Минобороны Великобритании Дес Браун 21 января объявил, что у ведомства были украдены три ноутбука с личными данными тысяч человек.

В декабре прошлого года стало известно о том, что частная американская компания потеряла сведения о трех миллионах кандидатах на получение британских водительских прав. Они содержались на жестком диске компьютера. Среди утраченных данных – сведения об именах, адресах и телефонных номерах претендентов на получение водительских прав в период с сентября 2004 по апрель 2007 года.

В конце октября 2007 года два диска, на которых содержалась информация о 25 миллионах получателей детских пособий и их банковских счетах, пропали по дороге между двумя государственными учреждениями. Масштабная операция по поиску дисков, которая обошлась налогоплательщикам в 500 тысяч фунтов, не дала результатов.

Также в июне нынешнего года в одном из поездов, следовавших в Лондон, был обнаружен пакет с секретными документами (http://korrespondent.net/world/493585), в которых содержится информация о борьбе с финансированием террористов, контрабандой наркотиков и отмыванием денег. Ранее пакет с секретными документами, которые касаются последней информации о террористической сети Аль-Каида, был обнаружен (http://korrespondent.net/world/490374) на сиденье поезда в Лондоне. Спрашивается, чем думали пользователи, допустившие это?

А вот еще один факт, который должен заставить задуматься владельцев мобильных устройств

Согласно отчету Ponemon Institute (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute) ежегодно в больших и средних аэропортах США теряется около 637 000 ноутбуков Согласно обзору, ноутбуки, как правило, теряются в контрольных точках безопасности.

Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65% из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков, и 69% из них не возвращены владельцам. Институт провел опросы в 106 аэропортах 46 государств и опросил 864 человека.

Наиболее часто ноутбуки теряют в следующих пяти аэропортах:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O"Hare
• Newark Liberty International.

Путешественники не уверены что им возвратят потерянные ноутбуки.

Приблизительно 77% опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука, 16% говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. Приблизительно 53% заявили, что ноутбуки содержат конфиденциальную информацию компании, а 65%, не сделали ничего для защиты информации.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Что этому противопоставить? Только шифрование данных.

В этом случае шифрование выступает в роли последней линии физической обороны вашего ПК. Технологий шифрования жесткого диска сегодня – великое множество. Естественно, что после успешной премьеры своей технологии BitLocker в составе windows Vista Enterprise и windows Vista Ultimate компания Microsoft не могла не включить эту технологию в windows 7. Впрочем, справедливости ради, стоит отметить, что в новой ОС мы увидим значительно переработанную технологию шифрования.

Шифрование в windows 7

Итак, наше знакомство начинается с установки windows 7 на ваш ПК. В windows Vista для использования шифрования вам было необходимо сделать одно из двух: или вначале с использованием командной строки подготовить ваш жесткий диск, разметив его соответствующим способом, или сделать это позднее, используя специальной ПО от Microsoft (BitLocker Disk Preparation Tool). В windows 7 проблема решается изначально, при разметке жесткого диска. Так, при установке, я задал системный раздел емкостью в 39 гигабайт, а получил… 2 раздела! Один – размером 200Мб, а второй в 38 гигабайт с небольшим. Причем в стандартном окне проводника вы видите следующую картинку (рис.1).

Рис. 1. Окно проводника

Однако открыв Start – All Programs – Administrative Tools – Computer Management – Disk Management вы увидите (Рис. 2) следующее:

Рис. 2. Computer Management

Как видите, первый раздел размером в 200Мб просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в windows Vista особо нового на данном этапе нет, кроме того, что разбивка таким образом проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, бросающее в глаза отличие это его размер в 200 Мб против 1,5 Гб в windows Vista.

Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая ОС не задумывается сразу о том, будет ли он шифровать жесткий диск или нет.

Сразу же после установки ОС мы в Control Panel в разделе System and Security можем выбрать (рис. 3) BitLocker Drive Encryption

Рис. 3. System and Security

Выбрав Protect your computer by encrypting data on your disk выпопадаетевокно (рис 4)

Рис. 4. BitLocker Drive Encryption

Обратите внимание (на рисунке выделено красным цветом) на опции, которые в windows Vista отсутствуют или организованы иначе. Так, в windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что как только вы выберете Turn on BitLocker, вот вам и все хорошо. Не тут-то было! При включении BitLocker без дополнительных параметров, все, что вы получите, это шифрование жесткого диска на этом ПК без применения ТРМ, что, как я уже указывал в своих статьях, не является хорошим примером. Впрочем, у пользователей в некоторых странах, например, Российская Федерация или Украина просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае вы выбираете Turn on BitLocker и попадаете на рис.5.

Рис. 5. BitLocker Drive Encryption

Если же вы хотите использовать ТРМ, чтобы воспользоваться всей мощью шифрования, вам необходимо воспользоваться редактором групповых политик. Для этого вам необходимо запустить режим командной строки (cmd.exe) и наберите в командной строке gpedit.msc (рис.6), запустив редактор групповой политики (рис 7).

Рис. 6. Запуск редактора групповой политики

Рис. 7. Редактор групповой политики

Рассмотрим подробнее опции групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Опции групповой политики BitLocker Drive Encryption

Store BitLocker recovery information in Active Directory Domain Services (windows Server 2008 and windows Vista)

С помощью данной опции групповой политики вы можете управлять Active Directory Domain Services (AD DS) для резервирования информации для последующего восстановления BitLocker Drive Encryption. Данная опция применима только к компьютерам, работающим под управлением windows Server 2008 или windows Vista.

Когда данная опция будет установлена, при включении BitLocker, его информация восстановления будет автоматически скопирована в AD DS.

Если вы отключите данную опцию политики или оставите ее по умолчанию, то информация восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password

Эта опция политики позволит вам определить используемое по умолчанию местоположение папки для сохранения пароля восстановления, которое отображается мастером BitLocker Drive Encryption при запросе. Данная опция применяется, когда вы включаете шифрование BitLocker. Вместе с тем необходимо отметить, что пользователь может сохранить пароль восстановления в любой другой папке.

Choose how users can recover BitLocker-protected drives (windows Server 2008 и windows Vista)

Данная опция позволит вам управлять опциями восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением windows Server 2008 и windows Vista. Данная опция применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данной опции вы можете разрешить сохранение на USB-диск 256-разрядного ключа пароля в качестве невидимого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления.

В случае, если вы отключите или не будете конфигурировать это правило групповой политики, мастер установки BitLocker позволит пользователю выбрать опции восстановления.

Если вы отключите или не конфигурируете этот параметр политики, то мастер установки BitLocker предоставит пользователям другие способы сохранить опции восстановления.

Choose drive encryption method and cipher strength

С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization

Данное правило политики позволит вам создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и он может быть обновлен для существующих дисков, зашифрованных с помощью BitLocker, с помощью программного обеспечения командной строки Manage-BDE.

Второе поле идентификатора используется в комбинации с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками в вашей компании.

Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации или нет.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются.

Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart

Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако стоит понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не конфигурировано, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера.

Для усиления защищенности данное правило стоит оставить по умолчанию.

Configure smart card certificate object identifier

Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Стационарные жесткие диски

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives

Данное правило позволит определить, можно или использовать смарт-карты для разрешения доступа к данным на жестком диске ПК.

Если вы отключаете это правило, смарт-карты использовать нельзя.

По умолчанию смарт-карты могут использоваться.

Deny write access to fixed drives not protected by BitLocker

Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны по чтению и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of windows

Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под управлением windows Server 2008, windows Vista, windows XP SP3 и windows XP SP2.

Если данное правило включено или не конфигурировано, диски данных, отформатированные под файловой системой FAT, могут быть доступны для чтения на компьютерах с вышеперечисленными ОС.

Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под управлением windows Server 2008, windows Vista, windows XP SP3 и windows XP SP2.

Внимание! Это правило не относится к дискам, форматированным под NTFS.

Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, то можете установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности, необходимо установить требование к сложности пароля в разделе Политики паролей групповой политики.

Если данное правило определено, пользователи могут конфигурировать пароли, отвечающие выбранным требованиям.

Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered

Данное правило позволит вам управлять восстановлением зашифрованных дисков.

Если данное правило не сконфигурировано или заблокировано, то доступны опции восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup

Это правило групповой политики позволит установить, используете ли вы для идентификации Trusted Platform Module (ТМР).

Внимание! Стоит учесть, что при запуске может быть задана только одна из опций, иначе вы получите ошибку политики.

Если данное правило включено, пользователи смогут конфигурировать расширенные опции запуска в мастере установки BitLocker

Если политика отключена или не сконфигурирована, основные опции можно конфигурировать только на компьютерах с ТРМ.

Внимание! Если вы хотите использовать PIN и USB-диск, то должны сконфигурировать BitLocker, используя командную строку bde вместо мастера BitLocker Drive Encryption.

Require additional authentication at startup (windows Server 2008 and windows Vista)

Данное правило политики применимо только к компьютерам, работающим под управлением windows 2008 или windows Vista.

На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности – PIN код (от 4 до 20 цифр).

На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен – мастер отобразит окно, в котором пользователь сможет сконфигурировать дополнительные параметры запуска BitLocker.

Если же данный параметр отключен или не сконфигурирован, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup

С помощью данного параметра производится настройки минимальной длины PIN-кода для запуска компьютера.

PIN-код может иметь длину от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered

С помощью данного правила групповой политики вы сможете определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile

С помощью данного правила можно конфигурировать модель ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете конфигурировать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Съемные носители

Control use of BitLocker on removable drives

С помощью данного правила групповой политики вы сможете управлять шифрованием BitLocker на сменных дисках.

Вы можете выбрать, с помощью каких параметров настройки пользователи смогут конфигурировать BitLocker.

В частности, для разрешения выполнения мастера установки шифрования BitLocker на сменном диске вы должны выбрать «Allow users to apply BitLocker protection on removable data drives».

Если вы выберете «Allow users to suspend and decrypt BitLocker on removable data drives», то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не сконфигурировано, то пользователи могут использовать BitLocker на съемных носителях.

Если данное правило отключено, то пользователи не смогут использовать BitLocker на съемных дисках.

Configure use of smart cards on removable data drives

С помощью данной установки политики вы сможете определить, можно ли использовать смарт-карты для аутентификации пользователя и доступа его к сменным дискам на данном ПК.

Deny write access to removable drives not protected BitLocker

С помощью данного правила политики вы можете запретить запись на сменные диски, не защищенные BitLocker. В таком случае, все сменные диски, не защищенные BitLocker будут доступны только для чтения.

Если будет выбрана опция «Deny write access to devices configured in another organization», то запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным согласно правилу групповой политики «Provide the unique identifiers for your organization».

Если вы отключили данное правило или оно не сконфигурировано, то все сменные диски будут доступны и по чтению и по записи.

Внимание! Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило «Removable Disks: Deny write access» разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of windows

Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2.

Если данное правило разрешено или не сконфигурировано, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под управлением windows 2008, windows Vista, windows XP SP3 и windows XP SP2.

Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length

Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите использовать пароль, вы сможете установить требования к его сложности и минимальную длину пароля. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer Configurationwindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered

Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Однако продолжим шифрование жесткого диска. Так как вы уже убедились, что изменения групповой политики позволят значительно шире использовать возможности шифрования BitLocker, то перейдем к правке групповой политики. Для этого сформулируем цели и условия использования нашего шифрования.

1. Исследуемый компьютер обладает установленным модулем ТРМ

2. Мы будем шифровать:

• системный диск
• диск данных
• сменные носители, как под NTFS, так и под FAT.

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под управлением windows XP SP2, так и под управлением windows Vista SP1.

Переходим к процессу шифрования.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (рис. 8)

Рис. 8. Выбор алгоритма шифрования и длины ключа

Затемвразделе Operation System Drive выбираемправило Require additional authentication at startup (рис.9)

Рис. 9. Правило «Require additional authentication at startup»

После этого установим минимальную длину PIN-кода равную 6 символамспомощьюправила Configure minimum PIN length for startup .

Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов (рис 10).

Рис. 10. Установка требований к минимальной длине и сложности пароля

При этом необходимо помнить, что нужно выставить требования к парольной защите (рис 11).

Рис. 11. Требования к парольной защите

Для сменных дисков выберем следующие настройки:

• Не разрешать читать сменные диски с файловой системой FAT под младшими версиями windows;
• Пароли должны удовлетворять требованиям сложности;
• Минимальная длина пароля 8 символов.

После этого командой gpupdate.exe /force в окне командной строки обновить политику (рис 12).

Рис. 12. Обновление настроек групповой политики

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем (рис.13) Require a PIN at every startup.

Рис. 13. Вводить PIN при каждой загрузке

Рис. 14. Ввод PIN-кода

Введем PIN-код длиной 4 символа (рис.15)

Рис. 15. PIN-код не удовлетворяет требованиям минимальной длины

Минимальная длина PIN-кода, заданная в политике – 6 цифр, после ввода нового PIN-кода получаем приглашение на сохранение ключа на USB-диске и в виде текстового файла.

Рис. 16. Сохранение резервного ключа шифрования

После этого перегружаем систему, и начинается собственно процесс шифрования диска С:.

После этого мы с вами шифруем второй раздел нашего жесткого диска – диск D: (рис. 17)

Рис. 17. Шифрование диска D:

Перед шифрованием диска D: мы должны вести пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине пароля и требованиям сложности пароля. Стоит учесть, что возможно автоматически открывать этот диск на этом ПК.

Соответственно, аналогично сохраним пароль восстановления на USB-диск.

Стоит учесть, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Необходимо иметь в виду, что при шифровании раздела данных размером 120 Гб (из них 100 свободно), windows Explorer все время выдает сообщение о нехватке места на разделе (рис. 18).

Рис. 18. Окно windows Explorer

Попробуем зашифровать USB-диск, отформатированный файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля – 8 символов. При этом пароль должен соответствовать требованиям сложности (рис. 19)

Рис. 19. Ввод пароля для шифрования сменного USB-диска

По окончании шифрования я попробовал просмотреть этот USB-диск на другом компьютере, работающем под windows Vista Home Premium SP1. Результат – на рис. 21.

Рис. 21. Попытка прочесть зашифрованный USB-диск на компьютере с ОС windows Vista SP1

Как видите, в случае потери вашего диска, информация не будет прочитана, более того, скорее всего диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением windows 7 Beta1 можно увидеть следующее (рис.22).

Вывод

Таким образом, мы с вами увидели, как будет производиться шифрование в windows 7. Что можно сказать – по сравнению с windows Vista в ней появилось гораздо больше правил в групповых политиках, соответственно возрастает ответственность ИТ-персонала за их правильное применение и правильное построение взаимосвязанных отношений.

Как удалить точки восстановления системы в windows 7