Instruções

No sistema operacional Windows XP, o serviço de criptografia não pode ser especialmente habilitado por padrão, pois é iniciado simultaneamente com o carregamento do próprio sistema operacional. Para realizar o procedimento de criptografia de uma pasta ou arquivo selecionado, acesse o menu de contexto do arquivo selecionado clicando com o botão direito e selecione “Propriedades”. Vá para a guia “Geral” da caixa de diálogo que se abre e use o botão “Outro”. Marque a caixa de seleção Criptografar conteúdo para proteger os dados e autorize a aplicação das alterações clicando em OK (Windows XP).

Chame o menu principal do sistema do SO Windows versão 7 para realizar a operação de habilitação da criptografia do disco do sistema operacional utilizando o utilitário e vá até o item “Painel de Controle”. Expanda a seção Sistema e Segurança e expanda Criptografia de Unidade de Disco BitLocker.

Use o comando Habilitar BitLocker na nova caixa de diálogo da unidade que contém os arquivos do sistema e aguarde até que o volume seja verificado para determinar se o módulo TMP precisa ser inicializado. Siga as recomendações do Assistente de configuração de criptografia de dados para conectar o módulo necessário e aguarde até que o sistema seja reinicializado e a mensagem sobre a inicialização do serviço de segurança para o módulo de plataforma confiável apareça.

Especifique o método desejado para salvar a chave de segurança na seguinte caixa de diálogo do assistente: - em uma unidade USB removível; - em um arquivo selecionado; - em formato impresso (é necessária uma conexão de impressora) Confirme sua escolha clicando no botão “Avançar” .

Marque a caixa de seleção na linha “Executar verificação do sistema BitLocker” na próxima caixa de diálogo do assistente e autorize a ação clicando no botão “Continuar”. Confirme a aplicação das alterações feitas clicando no botão “Reiniciar agora” e monitore a operação de criptografia na barra de status (para Windows 7).

Fontes:

• Habilitar a Criptografia de Unidade de Disco BitLocker em uma unidade do sistema operacional (Windows 7)

O Windows 7 inclui um aplicativo de sistema chamado BitLocker, projetado para criptografar unidades em geral. Infelizmente, está disponível apenas nas versões “antigas” deste sistema - “Máximo” e “Corporativo”. Mas em outras versões do sistema operacional é possível criptografar arquivos e pastas individuais. Ele é implementado usando o complemento de criptografia EFS no sistema de arquivos NTFS principal.

Você vai precisar

• Sistema operacional Windows 7.

Instruções

A maneira mais fácil de habilitar a opção de criptografar um arquivo individual ou todos os objetos em um diretório é por meio do gerenciador de arquivos padrão do Windows - Explorer. Abra-o clicando duas vezes no atalho “Computador” na área de trabalho ou selecionando o item com o mesmo nome no menu principal do sistema operacional.

Nesta janela do programa, navegue até o diretório que contém o arquivo, criptografia que você deseja ativar. Clique com o botão direito sobre ele e ative o item “Propriedades” no menu pop-up.

A guia “Geral” da janela de propriedades do arquivo na parte inferior contém o botão “Outro” - clique nele. Na nova janela que se abrirá como resultado, há uma seção “Atributos de compactação e criptografia” com uma caixa de seleção “Criptografar conteúdo para proteger os dados”. Marque esta caixa e clique em OK.

Com o lançamento do sistema operacional Windows 7, muitos usuários se depararam com o fato de que nele apareceu um serviço BitLocker um tanto incompreensível. O que é o BitLocker, muitos só podem adivinhar. Vamos tentar esclarecer a situação com exemplos específicos. Ao longo do caminho, consideraremos questões sobre quão apropriado é ativar este componente ou desativá-lo completamente.

BitLocker: o que é BitLocker, por que esse serviço é necessário

Se você observar, o BitLocker é uma ferramenta universal e totalmente automatizada para armazenar dados armazenados em um disco rígido. O que é o BitLocker em um disco rígido? Sim, apenas um serviço que protege arquivos e pastas sem intervenção do usuário, criptografando-os e criando uma chave de texto especial que fornece acesso aos documentos.

Quando um usuário trabalha no sistema por conta própria, ele pode nem perceber que os dados estão criptografados, pois as informações são exibidas de forma legível e o acesso a arquivos e pastas não é bloqueado. Em outras palavras, tal ferramenta de proteção é projetada apenas para situações em que um terminal de computador é acessado, por exemplo, ao tentar interferir externamente (ataque pela Internet).

Senhas e problemas de criptografia

Porém, se falarmos sobre o que é o BitLocker no Windows 7 ou em sistemas de classificação superior, é importante notar o fato desagradável de que, se perderem sua senha de login, muitos usuários não apenas não conseguirão fazer login no sistema, mas também realizar algumas ações de navegação. documentos anteriormente disponíveis para cópia, movimentação, etc.

Mas isso não é tudo. Se você olhar para a questão do que é BitLocker Windows 8 ou 10, não há diferenças significativas, exceto que eles possuem tecnologia de criptografia mais avançada. O problema aqui é claramente diferente. O fato é que o próprio serviço é capaz de operar em dois modos, armazenando as chaves de descriptografia em um disco rígido ou em uma unidade USB removível.

Isso sugere a conclusão mais simples: se a chave for salva no disco rígido, o usuário terá acesso a todas as informações nele armazenadas sem problemas. Mas quando a chave é salva em um pen drive, o problema é muito mais sério. Em princípio, você pode ver um disco ou partição criptografada, mas não consegue ler as informações.

Além disso, se falarmos sobre o que é o BitLocker no Windows 10 ou em sistemas anteriores, não podemos deixar de notar o fato de que o serviço está integrado a qualquer tipo de menu de contexto do botão direito, o que é simplesmente irritante para muitos usuários. Mas não nos precipitemos, mas consideremos todos os principais aspectos relacionados com o funcionamento deste componente e a conveniência da sua utilização ou desactivação.

Método de criptografia de discos e mídia removível

O mais estranho é que em diferentes sistemas e suas modificações, o serviço BitLocker pode estar no modo ativo e passivo por padrão. No "sete" está habilitado por padrão, na oitava e décima versões às vezes é necessária a ativação manual.

Quanto à criptografia, nada de particularmente novo foi inventado aqui. Via de regra, é utilizada a mesma tecnologia AES baseada em chave pública, mais utilizada em redes corporativas. Portanto, se o seu terminal de computador com o sistema operacional apropriado integrado estiver conectado à rede local, você pode ter certeza de que a política de segurança e proteção de dados aplicável implica a ativação deste serviço. Sem direitos de administrador (mesmo se você começar a alterar as configurações como administrador), você não poderá alterar nada.

Habilite o BitLocker se o serviço estiver desabilitado

Antes de abordar o problema relacionado ao BitLocker (como desabilitar o serviço, como remover seus comandos do menu de contexto), vamos dar uma olhada na habilitação e configuração, principalmente porque as etapas de desativação precisarão ser feitas na ordem inversa.

A ativação da criptografia da maneira mais simples é feita no “Painel de Controle” selecionando a seção Este método é aplicável apenas se a chave não deve ser salva em mídia removível.

Se o dispositivo bloqueado for uma unidade não removível, você terá que encontrar a resposta para outra pergunta sobre o serviço BitLocker: como desabilitar este componente em uma unidade flash? Isso é feito de forma bastante simples.

Desde que a chave esteja localizada em mídia removível, para descriptografar discos e partições de disco, primeiro você precisa inseri-la na porta apropriada (conector) e depois ir para a seção de sistema de segurança do Painel de Controle. Depois disso, encontramos o item de criptografia do BitLocker e, em seguida, examinamos as unidades e mídias nas quais a proteção está instalada. Na parte inferior você verá um hiperlink para desabilitar a criptografia, no qual você precisa clicar. Se a chave for reconhecida, o processo de descriptografia será ativado. Resta aguardar sua conclusão.

Problemas ao configurar componentes de ransomware

Quanto à configuração, não dá para ficar sem dor de cabeça. Em primeiro lugar, o sistema oferece a reserva de pelo menos 1,5 GB para as suas necessidades. Em segundo lugar, você precisa ajustar as permissões do sistema de arquivos NTFS, reduzir o tamanho do volume, etc. Para evitar fazer tais coisas, é melhor desabilitar imediatamente este componente, porque a maioria dos usuários simplesmente não precisa dele. Mesmo todos aqueles que têm este serviço habilitado nas configurações padrão nem sempre sabem o que fazer com ele, ou se é necessário. Mas em vão. Você pode usá-lo para proteger dados em seu computador local, mesmo se não tiver software antivírus.

BitLocker: como desabilitar. Primeira etapa

Novamente, use o item especificado anteriormente no “Painel de Controle”. Dependendo da modificação do sistema, os nomes dos campos de desativação do serviço podem mudar. A unidade selecionada pode ter uma linha para suspender a proteção ou uma indicação direta para desabilitar o BitLocker.

Essa não é a questão. Aqui vale atentar para o fato de que você precisará desabilitar completamente os arquivos de boot do sistema do computador. Caso contrário, o processo de descriptografia poderá demorar bastante.

Menu contextual

Este é apenas um lado da moeda do BitLocker. O que é o BitLocker provavelmente já está claro. Mas o outro lado é isolar menus adicionais da presença de links para este serviço neles.

Para fazer isso, vejamos novamente o BitLocker. Como remover todos os links para um serviço? Elementar! No Explorer, ao selecionar o arquivo ou pasta desejada, use a seção de serviço e edite o menu de contexto correspondente, vá até as configurações, a seguir use o comando configurações e organize-os.

Depois disso, no editor de registro, entre na ramificação HKCR, onde encontramos a seção ROOTDirectoryShell, expanda-a e exclua o elemento desejado pressionando a tecla Del ou o comando delete no menu do botão direito. Na verdade, essa é a última coisa sobre o componente BitLocker. Como desativá-lo, eu acho, já está claro. Mas não se iluda. Mesmo assim, este serviço funcionará (por precaução), quer você queira ou não.

Em vez de um posfácio

Resta acrescentar que isso não é tudo o que pode ser dito sobre o componente do sistema de criptografia BitLocker. O que é BitLocker, descobri como desativá-lo e excluir comandos de menu também. A questão é: você deve desabilitar o BitLocker? Aqui só podemos dar um conselho: em uma rede local corporativa, você não deve desativar esse componente de forma alguma. Mas se for um terminal de computador doméstico, por que não?

No Windows Vista, Windows 7 e Windows 8 versões Pro e superiores, os desenvolvedores criaram uma tecnologia especial para criptografar o conteúdo de partições lógicas em todos os tipos de unidades externas e unidades flash USB - BitLocker.
Para que serve? Se você executar o BitLocker, todos os arquivos do disco serão criptografados. A criptografia ocorre de forma transparente, ou seja, você não precisa digitar senha toda vez que salvar um arquivo – o sistema faz tudo de forma automática e silenciosa. No entanto, depois de desligar esta unidade, na próxima vez que ligá-la, você precisará de uma chave especial (um cartão inteligente especial, unidade flash ou senha) para acessá-la. Ou seja, se você perder acidentalmente seu laptop, não conseguirá ler o conteúdo do disco criptografado nele, mesmo se remover o disco rígido deste laptop e tentar lê-lo em outro computador. A chave de criptografia é tão longa que o tempo necessário para tentar todas as combinações possíveis para selecionar a opção correta nos computadores mais potentes levará décadas. Claro, a senha pode ser descoberta por meio de tortura ou roubada antecipadamente, mas se o pen drive foi perdido acidentalmente ou foi roubado sem saber que estava criptografado, será impossível lê-lo.

Configurando a criptografia BitLocker usando o Windows 8 como exemplo: criptografando a unidade do sistema e criptografando unidades flash e unidades USB externas.
Criptografando o disco do sistema
Um requisito para que o BitLocker funcione para criptografar a unidade lógica na qual o sistema operacional Windows está instalado é ter uma partição de inicialização não criptografada: o sistema ainda deve iniciar de algum lugar. Se você instalar o Windows 8/7 corretamente, duas partições serão criadas durante a instalação - uma partição invisível para o setor de inicialização e arquivos de inicialização e a partição principal na qual todos os arquivos são armazenados. A primeira é justamente a seção que não precisa ser criptografada. Mas a segunda partição, na qual todos os arquivos estão localizados, é criptografada.

Para verificar se você tem essas partições, abra Gerenciamento de computador

vá para a seção Dispositivos de armazenamento - Gerenciamento de Disco.

Na captura de tela, a partição criada para inicializar o sistema está marcada como SISTEMA RESERVADO. Se for, você poderá usar com segurança o sistema BitLocker para criptografar a unidade lógica na qual o Windows está instalado.
Para fazer isso, faça login no Windows com direitos de administrador, abra Painel de controle

vá para a seção sistema e segurança

e entre na seção Criptografia de unidade bitlocker.
Você verá nele todas as unidades que podem ser criptografadas. Clique no link Habilitar BitLocker.

Configurando modelos de política de segurança
Neste ponto, você poderá receber uma mensagem informando que a criptografia de disco não é possível até que os modelos de política de segurança sejam configurados.

O fato é que para executar o BitLocker, o sistema precisa permitir essa operação - somente um administrador pode fazer isso e somente com suas próprias mãos. Isso é muito mais fácil de fazer do que parece depois de ler mensagens incompreensíveis.

Abrir Condutor, imprensa Ganhar + R- uma linha de entrada será aberta.

Digite e execute:

gpedit.msc

Vai abrir Editor de política de grupo local. Vá para a seção

Modelos Administrativos
- Componentes do Windows
-- Esta configuração de política permite selecionar a criptografia de unidade BitLocker
--- Discos do sistema operacional
---- Esta configuração de política permite configurar o requisito de autenticação adicional na inicialização.

Defina o valor do parâmetro Incluído.

Depois disso, salve todos os valores e volte para Painel de controle- você pode executar a criptografia de unidade BitLocker.

Criando uma chave e salvando-a

O sistema oferecerá duas opções principais para você escolher: senha e unidade flash.

Ao usar uma unidade flash, você só poderá usar o disco rígido se inserir esta unidade flash - a chave será escrita nele de forma criptografada. Se você usar uma senha, precisará digitá-la sempre que acessar a partição criptografada neste disco. No caso da unidade lógica do sistema de um computador, será necessária uma senha durante uma inicialização a frio (do zero) ou uma reinicialização completa, ou ao tentar ler o conteúdo de uma unidade lógica em outro computador. Para evitar armadilhas, crie uma senha usando letras e números em inglês.

Depois de criar a chave, você será solicitado a salvar as informações para restaurar o acesso em caso de perda: você pode salvar um código especial em um arquivo de texto, salvá-lo em uma unidade flash, salvá-lo em sua conta da Microsoft ou imprimi-lo.

Observe que não é a chave em si que é salva, mas um código especial necessário para o procedimento de restauração de acesso.

Criptografia de unidades USB e unidades flash
Você também pode criptografar unidades USB externas e unidades flash - esse recurso apareceu pela primeira vez no Windows 7 com o nome BitLocker para viagem. O procedimento é o mesmo: você cria uma senha e salva o código de recuperação.

Ao montar uma unidade USB (conectá-la a um computador) ou tentar desbloqueá-la, o sistema solicitará uma senha.

Se você não deseja inserir uma senha todas as vezes, porque está confiante na segurança ao trabalhar neste computador, então você pode indicar nos parâmetros adicionais ao desbloquear que você confia neste computador - neste caso, a senha sempre será inserido automaticamente até você desconfigurar a confiança. Observe que em outro computador o sistema solicitará que você insira uma senha, pois a configuração de confiança em cada computador funciona de forma independente.

Depois de trabalhar com a unidade USB, desmonte-a, simplesmente desconectando-a ou através do menu de ejeção segura, e a unidade criptografada estará protegida contra acesso não autorizado.

Dois métodos de criptografia

Ao criptografar, o BitLocker oferece dois métodos que possuem o mesmo resultado, mas tempos de execução diferentes: você pode criptografar apenas o espaço ocupado pelas informações, ignorando o processamento do espaço vazio, ou percorrer todo o disco, criptografando todo o espaço da partição lógica , incluindo espaço desocupado. O primeiro acontece mais rápido, mas ainda é possível restaurar as informações do zero. O fato é que com a ajuda de programas especiais você pode restaurar informações, mesmo que tenham sido excluídas da Lixeira, e mesmo que o disco tenha sido formatado. Claro, isso é difícil de fazer na prática, mas a possibilidade teórica ainda existe se você não usar utilitários especiais de exclusão que excluem informações permanentemente. Ao criptografar todo o disco lógico, o espaço marcado como vazio também será criptografado, não havendo possibilidade de recuperação de informações dele mesmo com a ajuda de utilitários especiais. Este método é absolutamente confiável, mas mais lento.

Ao criptografar um disco, é aconselhável não desligar o computador. Levei cerca de 40 minutos para criptografar 300 gigabytes. O que acontece se a energia acabar repentinamente? Não sei, não verifiquei, mas na Internet escrevem que nada de ruim vai acontecer - basta reiniciar a criptografia.

Conclusão

Assim, se você usa constantemente uma unidade flash na qual armazena informações importantes, com a ajuda do BitLocker você pode se proteger de que informações importantes caiam em mãos erradas. Você também pode proteger as informações nos discos rígidos do computador, incluindo as unidades do sistema - basta desligar o computador completamente e as informações nas unidades ficarão inacessíveis para estranhos. Usar o BitLocker após configurar modelos de política de segurança não causa dificuldades mesmo para usuários não treinados; não notei nenhuma lentidão ao trabalhar com unidades criptografadas.

BitLocker – novos recursos de criptografia de disco

A perda de dados confidenciais geralmente ocorre depois que um invasor obtém acesso às informações do disco rígido. Por exemplo, se um fraudador de alguma forma tiver a oportunidade de ler arquivos do sistema, ele poderá tentar usá-los para encontrar senhas de usuários, extrair informações pessoais, etc.

O Windows 7 inclui uma ferramenta chamada BitLocker, que permite criptografar toda a sua unidade, mantendo os dados protegidos de olhares indiscretos. A tecnologia de criptografia BitLocker foi introduzida no Windows Vista e foi desenvolvida no novo sistema operacional. Listamos as inovações mais interessantes:

• habilitando o BitLocker no menu de contexto do Explorer;
• criação automática de uma partição oculta do disco de inicialização;
• Suporte ao Data Recovery Agent (DRA) para todos os volumes protegidos.

Lembramos que esta ferramenta não está implementada em todas as edições do Windows, mas apenas nas versões “Avançado”, “Corporativo” e “Profissional”.

A proteção de disco usando a tecnologia BitLocker preservará os dados confidenciais do usuário sob quase todas as circunstâncias de força maior - em caso de perda de mídia removível, roubo, acesso não autorizado ao disco, etc. A tecnologia de criptografia de dados BitLocker pode ser aplicada a qualquer arquivo na unidade do sistema, bem como a qualquer mídia conectada adicional. Se os dados contidos em um disco criptografado forem copiados para outro meio, as informações serão transferidas sem criptografia.

Para fornecer maior segurança, o BitLocker pode usar criptografia multinível – uso simultâneo de vários tipos de proteção, incluindo métodos de hardware e software. Combinações de métodos de proteção de dados permitem obter vários modos diferentes de operação do sistema de criptografia BitLocker. Cada um deles tem suas próprias vantagens e também oferece seu próprio nível de segurança:

• modo usando um módulo de plataforma confiável;
• modo usando um módulo de plataforma confiável e um dispositivo USB;
• modo usando um módulo de plataforma confiável e número de identificação pessoal (PIN);
• modo usando um dispositivo USB contendo uma chave.

Antes de examinarmos mais de perto como o BitLocker é usado, alguns esclarecimentos são necessários. Em primeiro lugar, é importante compreender a terminologia. Um Trusted Platform Module é um chip criptográfico especial que permite a identificação. Tal chip pode ser integrado, por exemplo, em alguns modelos de laptops, desktops, vários dispositivos móveis, etc.

Este chip armazena uma "chave de acesso root" exclusiva. Esse chip “costurado” é outra proteção adicional confiável contra hackers de chaves de criptografia. Se esses dados fossem armazenados em qualquer outro meio, seja um disco rígido ou um cartão de memória, o risco de perda de informações seria desproporcionalmente maior, uma vez que esses dispositivos são mais fáceis de acessar. Usando a “chave de acesso root”, o chip pode gerar suas próprias chaves de criptografia, que só podem ser descriptografadas pelo TPM. A senha do proprietário é criada na primeira vez que o TPM é inicializado. O Windows 7 oferece suporte ao TPM versão 1.2 e também requer um BIOS compatível.

Quando a proteção é realizada exclusivamente por meio de um módulo de plataforma confiável, quando o computador é ligado, os dados são coletados no nível do hardware, incluindo dados do BIOS, bem como outros dados, cuja totalidade indica a autenticidade do hardware. Este modo de operação é denominado “transparente” e não requer nenhuma ação do usuário - ocorre uma verificação e, se bem-sucedido, o download é realizado no modo normal.

É curioso que os computadores que contêm um módulo de plataforma confiável ainda sejam apenas uma teoria para nossos usuários, uma vez que a importação e venda de tais dispositivos na Rússia e na Ucrânia são proibidas por lei devido a problemas de certificação. Assim, a única opção que permanece relevante para nós é proteger a unidade do sistema usando uma unidade USB na qual está gravada a chave de acesso.

A tecnologia BitLocker permite aplicar um algoritmo de criptografia a unidades de dados que usam sistemas de arquivos exFAT, FAT16, FAT32 ou NTFS. Se a criptografia for aplicada a um disco com um sistema operacional, para usar a tecnologia BitLocker, os dados neste disco deverão ser gravados no formato NTFS. O método de criptografia usado pela tecnologia BitLocker é baseado no forte algoritmo AES com uma chave de 128 bits.

Uma das diferenças entre o recurso Bitlocker do Windows 7 e uma ferramenta semelhante do Windows Vista é que o novo sistema operacional não requer particionamento especial de disco. Anteriormente, o usuário precisava usar a ferramenta de preparação de disco Microsoft BitLocker para fazer isso, mas agora basta especificar qual disco deve ser protegido e o sistema criará automaticamente uma partição de inicialização oculta no disco usado pelo Bitlocker. Esta partição de inicialização será usada para iniciar o computador, ela é armazenada de forma não criptografada (caso contrário a inicialização não seria possível), mas a partição com o sistema operacional será criptografada. Comparada ao Windows Vista, a partição de inicialização ocupa cerca de dez vezes menos espaço em disco. A partição adicional não recebe uma letra separada e não aparece na lista de partições do gerenciador de arquivos.

Para gerenciar a criptografia, é conveniente usar uma ferramenta no Painel de Controle chamada Criptografia de Unidade de Disco BitLocker. Esta ferramenta é um gerenciador de disco que permite criptografar e desbloquear discos rapidamente, bem como trabalhar com o TPM. Nesta janela, você pode interromper ou pausar a criptografia do BitLocker a qualquer momento.

⇡ BitLocker To Go - criptografia de dispositivos externos

Uma nova ferramenta apareceu no Windows 7 - BitLocker To Go, projetada para criptografar qualquer unidade removível - unidade USB, cartão de memória, etc. Para habilitar a criptografia de uma unidade removível, você precisa abrir o "Explorador", clicar com o botão direito em a unidade desejada e no menu de contexto, selecione o comando “Ativar BitLocker”.

Depois disso, o Assistente de criptografia do disco selecionado será iniciado.

O usuário pode escolher um dos dois métodos para desbloquear uma unidade criptografada: usando uma senha - neste caso, o usuário precisará inserir uma combinação de um conjunto de caracteres, e também usando um cartão inteligente - neste caso, eles precisarão para especificar um código PIN especial para o cartão inteligente. Todo o procedimento de criptografia do disco leva bastante tempo - de vários minutos a meia hora, dependendo do volume da unidade criptografada, bem como da velocidade de sua operação.

Se você conectar uma unidade removível criptografada, será impossível acessar as unidades da maneira usual e, ao tentar acessar a unidade, o usuário verá a seguinte mensagem:

No Explorer, o ícone do disco ao qual o sistema de criptografia está aplicado também mudará.

Para desbloquear a mídia, você deve clicar novamente com o botão direito na letra da mídia no menu de contexto do gerenciador de arquivos e selecionar o comando apropriado no menu de contexto. Depois que a senha for digitada corretamente na nova janela, o acesso ao conteúdo do disco será aberto, e você poderá trabalhar com ele, como acontece com uma mídia não criptografada.

Nos últimos anos, em vários fóruns, em cartas e durante reuniões, os usuários estão cada vez mais começando a fazer perguntas sobre quais são as funcionalidades relativamente novas dos sistemas operacionais Windows Vista, Windows 7 e Windows Server 2008/2008 R2 - BitLocker do Windows(com o lançamento dos sistemas operacionais mais recentes, esta tecnologia adquiriu algumas alterações e agora se chama BitLoker To Go). Mas depois que a maioria dos usuários e administradores de sistema novatos ouvem a resposta de que esse componente é “apenas” um recurso de segurança integrado em sistemas operacionais modernos, que fornece proteção confiável para o próprio sistema operacional, dados armazenados no computador do usuário, bem como individual volumes e mídia removível, que permite deixar os dados do usuário intactos durante ataques graves, bem como remover fisicamente discos rígidos para posterior hackeamento autônomo de dados, ouço frequentemente que tal funcionalidade não será exigida e seu uso só complicará o vida dos usuários. É impossível concordar com tal afirmação, uma vez que os dados devem estar seguros. Você não deixa as chaves da sua casa ou o código da fechadura eletrônica da sua organização para todos que encontra, não é?

Os usuários domésticos geralmente justificam sua relutância em usar essa tecnologia pelo fato de que não há dados “vitais” em seus computadores e mesmo que sejam hackeados, nada de ruim acontecerá, exceto que alguém olhará seus perfis nas redes sociais Odnoklassniki e " Em contato com". Os proprietários de laptops e netbooks acreditam que, se seu equipamento for roubado, a última coisa com que precisam se preocupar é a perda de dados. Os administradores de sistemas de algumas empresas afirmam que não possuem projetos secretos e que absolutamente todos os funcionários da empresa são confiáveis, e levam para casa documentação e produtos de trabalho intelectual apenas para realizar trabalhos para os quais não houve tempo de trabalho suficiente. E os computadores da sua organização são protegidos por software antivírus e configurações de firewall por padrão. Por que você precisa proteger unidades externas se elas simplesmente armazenam arquivos de música e vídeo? E está tudo bem que dispositivos como pen drives possam circular tanto dentro das organizações quanto entre todos os seus amigos.

Mas não podemos concordar com nenhuma das razões acima. Durante um ataque, os usuários domésticos podem não apenas copiar toda a sua coleção de arquivos de música e vídeo, mas também apreender todas as senhas de contas bancárias e credenciais de sites visitados usando cookies ou, Deus me livre, arquivos de texto com logins e senhas que não raramente são colocados na área de trabalho. Há também uma grande chance de que toda a correspondência postal, etc., seja visualizada. Laptops roubados podem conter dados confidenciais, cujo roubo pode impactar negativamente os negócios da sua empresa, e ser demitido com uma “promoção” correspondente em seu currículo pode ter um impacto extremamente negativo em sua carreira no futuro. E, finalmente, em nossa época, qualquer organização contém dados secretos que não é aconselhável mostrar aos seus concorrentes. E se pelo menos um dos computadores da sua organização for atacado com sucesso, há uma grande chance de que em breve toda a sua frota de computadores seja infectada, o que implicará esforços hercúleos para trazer os computadores da sua organização ao seu estado original. Pode haver malfeitores até mesmo em sua organização. Mesmo que a segurança verifique suas malas quando você sai do prédio, eles não verificarão o dispositivo de armazenamento externo de todos os funcionários. Mas eles podem conter muitos dados que seus concorrentes só deverão descobrir por mais alguns meses.

Por esse motivo, você simplesmente precisa tentar proteger seus dados de qualquer forma válida possível. É exatamente para isso que este componente dos sistemas operacionais modernos da Microsoft foi projetado. O BitLocker permite impedir o acesso não autorizado aos dados, mesmo em computadores perdidos ou roubados, melhorando assim o desempenho do seu sistema operacional. Para melhorar a proteção dos seus dados, o Windows BitLocker usa um Trusted Platform Module (TPM) - uma especificação que detalha o criptoprocessador no qual as chaves criptográficas são armazenadas para proteger as informações, bem como um nome genérico para implementações da especificação especificada, por exemplo , na forma de um “chip TPM”, que garante a integridade dos componentes utilizados mesmo na fase inicial de carregamento.

Essas tecnologias oferecem benefícios tanto para usuários domésticos quanto para administradores de sistemas nas organizações. Para um usuário doméstico, a principal vantagem dessas tecnologias é a facilidade de uso, pois para o uso diário da funcionalidade BitLocker ou BitLocker To Go, proteger o computador e restaurá-lo é totalmente transparente para o usuário. Os administradores de sistema certamente apreciarão a facilidade do gerenciamento da proteção de dados. Para gerenciar remotamente a criptografia BitLocker, você pode usar a infraestrutura dos Serviços de Domínio Active Directory, com gerenciamento avançado por meio de políticas de grupo e scripts.

São esses componentes dos sistemas operacionais que serão discutidos nesta série de artigos. Você já pode encontrar muitas informações úteis sobre esses componentes e suas funcionalidades na Internet, incluindo maravilhosos relatórios de vídeo nos quais você pode ver ao vivo o princípio de seu funcionamento. Portanto, nos artigos desta série tentarei considerar com mais detalhes a maior parte das funcionalidades tanto para usuários domésticos quanto para organizações, para que você não precise perder muito tempo procurando como implementar este ou aquele cenário para aplicar determinado ações.

Arquitetura desta tecnologia

Como você já sabe, quando o sistema operacional está ativo, ele pode ser protegido por políticas de segurança locais, software antivírus e firewalls, mas você pode proteger o volume do sistema operacional no disco rígido com criptografia BitLocker. Para aproveitar ao máximo a criptografia BitLocker e a autenticação do sistema, seu computador deve atender a requisitos como ter o TPM versão 1.2 instalado, que, quando a criptografia está habilitada, permite armazenar uma chave de inicialização do sistema específica no próprio Trusted Platform Module. Além do TPM, o sistema de entrada/saída (BIOS) subjacente deve ter a especificação Trusted Computing Group (TCG) instalada, que cria uma cadeia de confiança para ações antes da inicialização do sistema operacional e inclui suporte para um objeto de mudança de confiança raiz estática . Infelizmente, nem todas as placas-mãe estão equipadas com um módulo como o TPM, mas mesmo sem este módulo, o sistema operacional permite que você aproveite esta tecnologia de criptografia se você tiver dispositivos de armazenamento USB que suportem comandos UFI, e também se o seu disco rígido for dividido em dois e mais de um volume. Por exemplo, em um volume você terá o próprio sistema operacional, para o qual a criptografia estará habilitada, e o segundo, volume do sistema, com capacidade de pelo menos 1,5 GB, contém os arquivos necessários para carregar o sistema operacional após o BIOS carrega a plataforma. Todos os seus volumes devem ser formatados com o sistema de arquivos NTFS.

A arquitetura de criptografia do BitLocker fornece mecanismos gerenciáveis ​​e funcionais tanto no modo kernel quanto no modo de usuário. Em alto nível, os principais componentes do BitLocker incluem:

• Driver de módulo de plataforma confiável(%SystemRoot%System32DriversTpm.sys) – driver que acessa o chip TPM em modo kernel;
• Principais serviços TPM, que inclui serviços personalizados que fornecem acesso em modo de usuário ao TPM (%SystemRoot%System32tbssvc.dll), ao provedor WMI e ao snap-in MMC (%SystemRoot%System32Tpm.msc);
• Código BitLocker relacionado no Boot Manager (BootMgr), que autentica o acesso ao disco rígido e também permite reparar e desbloquear o bootloader;
• Driver de filtro BitLocker(%SystemRoot%System32DriversFvevol.sys), que permite criptografar e descriptografar volumes dinamicamente no modo kernel;
• Provedor WMI BitLocker e gerenciamento de scripts, que permite configurar e gerenciar scripts de interface do BitLocker.

A ilustração a seguir mostra os vários componentes e serviços que fazem a tecnologia de criptografia BitLocker funcionar corretamente:

Arroz. 1. Arquitetura BitLocker

Chaves de criptografia

O BitLocker criptografa o conteúdo de um volume usando chave de criptografia de volume inteiro(FVEK - Chave de criptografia de volume total) atribuída a ele quando foi inicialmente configurado para usar o BitLocker, usando algoritmos de chave AES de 128 ou 256 bits AES128-CBC e AES256-CBC com extensões da Microsoft chamadas difusores. A chave FVEK é criptografada usando chave mestra de volume(VMK - Volume Master Key) e é armazenado no volume em uma área especialmente designada para metadados. Proteger a chave mestra de um volume é uma forma indireta de proteger os dados do volume: preencher a chave mestra do volume permite que o sistema regenere a chave depois que as chaves forem perdidas ou comprometidas.

Ao configurar a criptografia BitLocker, você pode usar um dos vários métodos para proteger seu computador com VMK, dependendo da configuração de hardware. A criptografia BitLocker oferece suporte a cinco modos de autenticação, dependendo dos recursos de hardware do seu computador e do nível de segurança necessário. Se a sua configuração de hardware suportar a tecnologia Trusted Platform Module (TPM), você poderá salvar o VMK em TMP e TPM e em um dispositivo USB ou salvar a chave VMK no TPM e inserir o PIN quando o sistema for inicializado. Além disso, você tem a oportunidade de combinar os dois métodos anteriores. E para plataformas que não são compatíveis com a tecnologia TPM, você pode armazenar a chave em um dispositivo USB externo.

Vale atentar para o fato de que ao carregar um sistema operacional com criptografia BitLocker habilitada, é realizada uma sequência de ações que depende do conjunto de ferramentas de proteção de volume. Essas etapas incluem verificações de integridade do sistema, bem como outras etapas de autenticação que devem ser concluídas antes que um bloqueio possa ser liberado de um volume protegido. A tabela a seguir resume os diferentes métodos que você pode usar para criptografar um volume:

Fonte	Segurança	Ações do usuário
Somente TPM	Protege contra ataques de software, mas é vulnerável a ataques de hardware	Nenhum
TPM+PIN	Adiciona proteção contra ataques de hardware	O usuário deve inserir um PIN sempre que o sistema operacional for iniciado
TPM + chave USB	Proteção total contra ataques de hardware, mas vulnerável à perda de chave USB
TPM + chave USB + PIN	Nível máximo de proteção	Cada vez que o sistema operacional é iniciado, o usuário deve inserir um código PIN e usar uma chave USB
Apenas chave USB	Nível mínimo de proteção para computadores não equipados com TPM + existe risco de perda da chave	O usuário deve usar a chave USB sempre que o sistema operacional for iniciado

Tabela 1. Fontes VMK

A ilustração a seguir mostra como criptografar volumes:

Arroz. 2. Métodos para criptografar volumes usando tecnologia BitLocker

Antes que o BitLocker conceda acesso ao FEVK e descriptografe o volume, você deve fornecer as chaves de um usuário ou computador autorizado. Conforme mencionado acima, se o seu computador tiver um TPM, você poderá usar diferentes métodos de autenticação. Nas subseções a seguir consideraremos cada um desses métodos com mais detalhes.

Usando apenas TPM

O processo de inicialização do sistema operacional usa TPM para garantir que o disco rígido esteja conectado ao computador correto e que arquivos importantes do sistema não tenham sido danificados, além de impedir o acesso ao disco rígido se um malware ou rootkit comprometer a integridade do sistema. Enquanto o computador está sendo validado, o TPM desbloqueia o VMK e seu sistema operacional é iniciado sem interação do usuário, como você pode ver na ilustração a seguir.

Arroz. 3. Autenticação usando tecnologia TPM

Usando TPM com uma chave USB

Além da segurança física descrita na subseção anterior, neste caso o TPM requer uma chave estrangeira que reside no dispositivo USB. Neste caso, o usuário precisa inserir um drive USB que armazene uma chave estrangeira destinada a autenticar o usuário e a integridade do computador. Nesse caso, você pode proteger seu computador contra roubo ao ligá-lo e também ao sair do modo de hibernação. Infelizmente, esse método não irá protegê-lo de tirar o computador do modo de suspensão. Ao usar este método, para reduzir o risco de roubo do seu computador, você precisa armazenar a chave estrangeira separadamente do seu computador. A ilustração a seguir ilustra o uso do TPM com uma chave USB externa:

Arroz. 4. Autenticação usando TPM e chave USB

Usando TPM em conjunto com um código PIN

Este método impede que o computador seja iniciado até que o usuário insira um número de identificação pessoal (PIN). Este método permite que você proteja seu computador caso ele seja roubado. Infelizmente, você não deve usar este método se o computador precisar iniciar automaticamente sem intervenção humana, que geralmente atuam como servidores. Quando um PIN é solicitado, o TPM de hardware do computador solicita que você insira um PIN de quatro dígitos com um atraso especial definido pelos fabricantes da placa-mãe e pelo próprio TPM. Na ilustração a seguir você pode ver este método de autenticação:

Arroz. 5. Autenticação TPM e PIN

Usando um método combinado (TPM+PIN+chave USB)

Nos sistemas operacionais Windows 7 e Windows Vista, você pode usar um método de autenticação combinado para obter o nível máximo de proteção do seu computador. Nesse caso, a autenticação de hardware TPM é complementada pela inserção de um código PIN e pelo uso de uma chave estrangeira localizada em uma unidade USB. Todas essas ferramentas fornecem o nível máximo de proteção do BitLocker, que requer dados que o usuário “conhece” e “usa”. Para que um invasor tome posse de seus dados, que estão localizados em um volume protegido pela tecnologia BitLocker, ele precisa roubar seu computador, ter um drive USB com sua chave e também saber o código PIN, o que é quase impossível. A ilustração a seguir ilustra esse método de autenticação:

Arroz. 6. Autenticação usando TPM, chave USB e código PIN

Autenticação somente com chave de inicialização USB

Nesse caso, o usuário fornece o VMK em um disco, unidade USB ou qualquer dispositivo de armazenamento externo para descriptografar o volume criptografado por FEVK e BitLocker em um computador que não possui um TPM instalado. Usar uma chave de inicialização sem TPM permite criptografar dados sem atualizar seu hardware. Este método é considerado o mais vulnerável, pois neste caso a integridade do boot não é verificada e ao transferir o disco rígido para outro computador, os dados do drive criptografado podem ser utilizados.

Conclusão

A Criptografia de Unidade de Disco BitLocker é um recurso de segurança nos sistemas operacionais Windows modernos que ajuda a proteger o sistema operacional e os dados armazenados em seus computadores. Em uma combinação ideal, o BitLocker é configurado para usar um Trusted Platform Module (TPM), que garante a proteção da integridade dos componentes de inicialização e de bloqueio de volume, mesmo quando o sistema operacional ainda não está em execução. Neste artigo da série sobre criptografia de dados, você conheceu a arquitetura dessa ferramenta. No artigo a seguir, você aprenderá como implementar a criptografia de disco usando a tecnologia Windows BitLocker.