คำแนะนำ

ในระบบปฏิบัติการ Windows XP บริการเข้ารหัสไม่สามารถเปิดใช้งานเป็นพิเศษตามค่าเริ่มต้นได้ เนื่องจากบริการเริ่มต้นพร้อมกันกับการโหลดระบบปฏิบัติการเอง หากต้องการดำเนินการขั้นตอนการเข้ารหัสสำหรับโฟลเดอร์หรือไฟล์ที่เลือก ให้เรียกเมนูบริบทของไฟล์ที่เลือกโดยคลิกขวาและเลือก "คุณสมบัติ" ไปที่แท็บ "ทั่วไป" ของกล่องโต้ตอบที่เปิดขึ้นและใช้ปุ่ม "อื่นๆ" ทำเครื่องหมายที่ช่องเข้ารหัสเนื้อหาเพื่อปกป้องข้อมูลและอนุญาตการเปลี่ยนแปลงที่จะนำไปใช้โดยคลิกตกลง (Windows XP)

เรียกเมนูระบบหลักของ OS Windows เวอร์ชัน 7 เพื่อดำเนินการเปิดใช้งานการเข้ารหัสดิสก์ระบบปฏิบัติการโดยใช้ยูทิลิตี้ n ไปที่รายการ "แผงควบคุม" ขยายส่วนระบบและความปลอดภัย และขยายการเข้ารหัสไดรฟ์ด้วย BitLocker

ใช้คำสั่งเปิดใช้งาน BitLocker ในกล่องโต้ตอบใหม่สำหรับไดรฟ์ที่มีไฟล์ระบบและรอจนกระทั่งสแกนโวลุ่มเพื่อพิจารณาว่าจำเป็นต้องเตรียมใช้งานโมดูล TMP หรือไม่ ปฏิบัติตามคำแนะนำของ Data Encryption Configuration Wizard เพื่อเชื่อมต่อโมดูลที่ต้องการ และรอจนกว่าระบบจะรีบูต และข้อความเกี่ยวกับการเริ่มต้นบริการรักษาความปลอดภัยสำหรับโมดูลแพลตฟอร์มที่เชื่อถือได้จะปรากฏขึ้น

ระบุวิธีการที่ต้องการในการบันทึกรหัสความปลอดภัยในกล่องโต้ตอบตัวช่วยสร้างต่อไปนี้: - บนไดรฟ์ USB แบบถอดได้ - ในรูปแบบไฟล์ที่เลือก - ในรูปแบบที่พิมพ์ (จำเป็นต้องมีการเชื่อมต่อเครื่องพิมพ์) ยืนยันการเลือกของคุณโดยคลิกปุ่ม "ถัดไป" .

เลือกช่องทำเครื่องหมายในบรรทัด "เรียกใช้การสแกนระบบ BitLocker" ในกล่องโต้ตอบวิซาร์ดถัดไป และให้สิทธิ์การดำเนินการโดยคลิกปุ่ม "ดำเนินการต่อ" ยืนยันการใช้การเปลี่ยนแปลงที่ทำโดยคลิกปุ่ม "รีสตาร์ททันที" และตรวจสอบการดำเนินการเข้ารหัสในแถบสถานะ (สำหรับ Windows 7)

แหล่งที่มา:

• เปิดใช้งานการเข้ารหัสลับไดรฟ์ด้วย BitLocker บนไดรฟ์ระบบปฏิบัติการ (Windows 7)

Windows 7 มีแอปพลิเคชันระบบที่เรียกว่า BitLocker ซึ่งออกแบบมาเพื่อเข้ารหัสไดรฟ์โดยทั่วไป น่าเสียดายที่มีเฉพาะในระบบนี้เวอร์ชัน "เก่ากว่า" - "สูงสุด" และ "องค์กร" แต่ในระบบปฏิบัติการเวอร์ชันอื่น คุณสามารถเข้ารหัสไฟล์และโฟลเดอร์แต่ละไฟล์ได้ มีการใช้งานโดยใช้โปรแกรมเสริมการเข้ารหัส EFS บนระบบไฟล์ NTFS หลัก

คุณจะต้องการ

• ระบบปฏิบัติการวินโดวส์ 7

คำแนะนำ

วิธีที่ง่ายที่สุดในการเปิดใช้งานตัวเลือกในการเข้ารหัสไฟล์แต่ละไฟล์หรือออบเจ็กต์ทั้งหมดในไดเร็กทอรีคือผ่านตัวจัดการไฟล์ Windows มาตรฐาน - Explorer เปิดโดยดับเบิลคลิกทางลัด "คอมพิวเตอร์" บนเดสก์ท็อปหรือเลือกรายการที่มีชื่อเดียวกันในเมนูระบบปฏิบัติการหลัก

ในหน้าต่างโปรแกรมนี้ ให้นำทางไปยังไดเร็กทอรีที่มีไฟล์ การเข้ารหัสที่คุณต้องการเปิดใช้งาน คลิกขวาที่มันและเปิดใช้งานรายการ "คุณสมบัติ" ในเมนูป๊อปอัป

แท็บ "ทั่วไป" ของหน้าต่างคุณสมบัติไฟล์ในส่วนล่างจะมีปุ่ม "อื่น ๆ " - คลิกมัน ในหน้าต่างใหม่ที่จะเปิดขึ้นมา มีส่วน "คุณลักษณะการบีบอัดและการเข้ารหัส" พร้อมช่องทำเครื่องหมาย "เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล" ทำเครื่องหมายที่ช่องนี้แล้วคลิกตกลง

ด้วยการเปิดตัวระบบปฏิบัติการ Windows 7 ผู้ใช้จำนวนมากต้องเผชิญกับความจริงที่ว่ามีบริการ BitLocker ที่ค่อนข้างเข้าใจยากปรากฏขึ้นมา BitLocker คืออะไร หลายคนคงเดาได้เท่านั้น เรามาลองชี้แจงสถานการณ์ด้วยตัวอย่างที่เฉพาะเจาะจง ในระหว่างนี้ เราจะพิจารณาคำถามเกี่ยวกับความเหมาะสมในการเปิดใช้งานส่วนประกอบนี้หรือปิดใช้งานส่วนประกอบนี้โดยสิ้นเชิง

BitLocker: BitLocker คืออะไร เหตุใดจึงจำเป็นต้องมีบริการนี้

หากคุณลองดู BitLocker เป็นเครื่องมือสากลและเป็นอัตโนมัติเต็มรูปแบบสำหรับการจัดเก็บข้อมูลที่จัดเก็บไว้ในฮาร์ดไดรฟ์ BitLocker บนฮาร์ดไดรฟ์คืออะไร? ใช่ เป็นเพียงบริการที่ปกป้องไฟล์และโฟลเดอร์โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ โดยการเข้ารหัสและสร้างคีย์ข้อความพิเศษที่ให้การเข้าถึงเอกสาร

เมื่อผู้ใช้ทำงานในระบบภายใต้บัญชีของตนเอง เขาอาจไม่รู้ด้วยซ้ำว่าข้อมูลถูกเข้ารหัส เนื่องจากข้อมูลจะแสดงในรูปแบบที่อ่านได้ และการเข้าถึงไฟล์และโฟลเดอร์จะไม่ถูกบล็อก กล่าวอีกนัยหนึ่ง เครื่องมือป้องกันดังกล่าวได้รับการออกแบบมาเฉพาะสำหรับสถานการณ์เหล่านั้นเมื่อมีการเข้าถึงเทอร์มินัลคอมพิวเตอร์ เช่น เมื่อพยายามรบกวนจากภายนอก (การโจมตีทางอินเทอร์เน็ต)

ปัญหาเกี่ยวกับรหัสผ่านและการเข้ารหัส

อย่างไรก็ตามหากเราพูดถึงสิ่งที่ BitLocker อยู่ใน Windows 7 หรือระบบที่มีอันดับสูงกว่าก็น่าสังเกตว่าข้อเท็จจริงที่ไม่พึงประสงค์คือหากพวกเขาทำรหัสผ่านการเข้าสู่ระบบหายผู้ใช้จำนวนมากไม่เพียงแต่ไม่สามารถเข้าสู่ระบบได้ แต่ยังดำเนินการเรียกดูบางอย่างด้วย เอกสารที่ก่อนหน้านี้มีให้สำหรับการคัดลอก ย้าย ฯลฯ

แต่นั่นไม่ใช่ทั้งหมด หากคุณดูคำถามว่า BitLocker Windows 8 หรือ 10 คืออะไร ก็ไม่มีความแตกต่างอย่างมีนัยสำคัญ ยกเว้นว่าจะมีเทคโนโลยีการเข้ารหัสขั้นสูงกว่า ปัญหาที่นี่แตกต่างอย่างชัดเจน ความจริงก็คือตัวบริการสามารถทำงานได้ในสองโหมดโดยจัดเก็บคีย์ถอดรหัสไว้ในฮาร์ดไดรฟ์หรือในไดรฟ์ USB แบบถอดได้

สิ่งนี้ชี้ให้เห็นข้อสรุปที่ง่ายที่สุด: หากคีย์ถูกบันทึกไว้ในฮาร์ดไดรฟ์ ผู้ใช้จะสามารถเข้าถึงข้อมูลทั้งหมดที่เก็บไว้ในนั้นได้โดยไม่มีปัญหา แต่เมื่อคีย์ถูกบันทึกลงในแฟลชไดรฟ์ ปัญหาก็จะร้ายแรงยิ่งขึ้น โดยหลักการแล้ว คุณสามารถดูดิสก์หรือพาร์ติชั่นที่เข้ารหัสได้ แต่คุณไม่สามารถอ่านข้อมูลได้

นอกจากนี้ หากเราพูดถึงว่า BitLocker คืออะไรใน Windows 10 หรือระบบรุ่นก่อนหน้า เราก็อดไม่ได้ที่จะทราบว่าบริการดังกล่าวรวมอยู่ในเมนูบริบทแบบคลิกขวาประเภทใดก็ได้ ซึ่งสร้างความรำคาญให้กับผู้ใช้จำนวนมาก แต่อย่าก้าวไปข้างหน้า แต่ให้พิจารณาประเด็นหลักทั้งหมดที่เกี่ยวข้องกับการทำงานของส่วนประกอบนี้และความเหมาะสมในการใช้งานหรือการปิดใช้งาน

วิธีการเข้ารหัสดิสก์และสื่อแบบถอดได้

สิ่งที่แปลกที่สุดคือในระบบที่แตกต่างกันและการปรับเปลี่ยนบริการ BitLocker สามารถเป็นได้ทั้งโหมดแอ็คทีฟและพาสซีฟตามค่าเริ่มต้น ใน "เจ็ด" จะเปิดใช้งานตามค่าเริ่มต้น ในเวอร์ชันที่แปดและสิบ บางครั้งจำเป็นต้องเปิดใช้งานด้วยตนเอง

สำหรับการเข้ารหัส ไม่มีการคิดค้นสิ่งใหม่เป็นพิเศษที่นี่ ตามกฎแล้ว จะใช้เทคโนโลยี AES ที่ใช้คีย์สาธารณะแบบเดียวกัน ซึ่งมักใช้ในเครือข่ายองค์กร ดังนั้น หากเทอร์มินัลคอมพิวเตอร์ของคุณที่มีระบบปฏิบัติการที่เหมาะสมเชื่อมต่อกับเครือข่ายท้องถิ่น คุณจะมั่นใจได้ว่านโยบายความปลอดภัยและการปกป้องข้อมูลที่บังคับใช้นั้นบ่งบอกถึงการเปิดใช้งานบริการนี้ หากไม่มีสิทธิ์ของผู้ดูแลระบบ (แม้ว่าคุณจะเริ่มเปลี่ยนการตั้งค่าในฐานะผู้ดูแลระบบ) คุณจะไม่สามารถเปลี่ยนแปลงอะไรได้

เปิดใช้งาน BitLocker หากบริการถูกปิดใช้งาน

ก่อนที่จะแก้ไขปัญหาที่เกี่ยวข้องกับ BitLocker (วิธีปิดใช้งานบริการ วิธีลบคำสั่งออกจากเมนูบริบท) มาดูการเปิดใช้งานและการกำหนดค่า โดยเฉพาะอย่างยิ่งเนื่องจากขั้นตอนการปิดใช้งานจะต้องดำเนินการในลำดับย้อนกลับ

การเปิดใช้งานการเข้ารหัสด้วยวิธีที่ง่ายที่สุดนั้นทำได้จาก "แผงควบคุม" โดยการเลือกส่วนนี้ วิธีนี้ใช้ได้เฉพาะในกรณีที่ไม่ควรบันทึกคีย์ลงในสื่อแบบถอดได้

หากอุปกรณ์ที่ถูกล็อคเป็นไดรฟ์แบบถอดไม่ได้ คุณจะต้องค้นหาคำตอบสำหรับคำถามอื่นเกี่ยวกับบริการ BitLocker: จะปิดการใช้งานส่วนประกอบนี้บนแฟลชไดรฟ์ได้อย่างไร ทำได้ค่อนข้างง่าย

โดยมีเงื่อนไขว่าคีย์นั้นอยู่บนสื่อแบบถอดได้เพื่อถอดรหัสดิสก์และพาร์ติชั่นดิสก์คุณต้องใส่คีย์ลงในพอร์ตที่เหมาะสม (ตัวเชื่อมต่อ) ก่อนจากนั้นไปที่ส่วนระบบความปลอดภัยของแผงควบคุม หลังจากนั้นเราจะพบรายการเข้ารหัส BitLocker จากนั้นดูไดรฟ์และสื่อที่ติดตั้งการป้องกันไว้ ที่ด้านล่างสุดคุณจะเห็นไฮเปอร์ลิงก์เพื่อปิดใช้งานการเข้ารหัสซึ่งคุณต้องคลิก หากรู้จักคีย์ กระบวนการถอดรหัสจะถูกเปิดใช้งาน สิ่งที่เหลืออยู่คือการรอให้เสร็จสิ้น

ปัญหาในการกำหนดค่าส่วนประกอบ ransomware

สำหรับการตั้งค่า คุณไม่สามารถทำได้โดยไม่ปวดหัว ประการแรก ระบบเสนอให้สำรองอย่างน้อย 1.5 GB ตามความต้องการของคุณ ประการที่สอง คุณต้องปรับการอนุญาตของระบบไฟล์ NTFS ลดขนาดวอลุ่ม ฯลฯ เพื่อหลีกเลี่ยงการทำสิ่งนี้ ควรปิดการใช้งานส่วนประกอบนี้ทันที เนื่องจากผู้ใช้ส่วนใหญ่ไม่ต้องการมัน แม้แต่ทุกคนที่เปิดใช้งานบริการนี้ในการตั้งค่าเริ่มต้นก็ยังไม่รู้ว่าต้องทำอย่างไรกับบริการนี้เสมอไปหรือจำเป็นหรือไม่ แต่เปล่าประโยชน์ คุณสามารถใช้มันเพื่อปกป้องข้อมูลบนคอมพิวเตอร์ของคุณแม้ว่าคุณจะไม่มีซอฟต์แวร์ป้องกันไวรัสก็ตาม

BitLocker: วิธีปิดการใช้งาน ขั้นแรก

อีกครั้ง ให้ใช้รายการที่ระบุไว้ก่อนหน้าใน "แผงควบคุม" ชื่อของฟิลด์ที่ปิดใช้งานบริการอาจมีการเปลี่ยนแปลง ทั้งนี้ขึ้นอยู่กับการปรับเปลี่ยนระบบ ไดรฟ์ที่เลือกอาจมีบรรทัดเพื่อระงับการป้องกันหรือตัวบ่งชี้โดยตรงเพื่อปิดใช้งาน BitLocker

นั่นไม่ใช่ประเด็น. ที่นี่ควรให้ความสนใจกับความจริงที่ว่าคุณจะต้องปิดการใช้งานไฟล์บูตของระบบคอมพิวเตอร์โดยสมบูรณ์ มิฉะนั้นกระบวนการถอดรหัสอาจใช้เวลานานพอสมควร

เมนูบริบท

นี่เป็นเพียงด้านหนึ่งของเหรียญ BitLocker BitLocker คืออะไรก็น่าจะชัดเจนอยู่แล้ว แต่ด้านพลิกคือการแยกเมนูเพิ่มเติมออกจากการมีลิงก์ไปยังบริการนี้

เมื่อต้องการทำเช่นนี้ ให้ดูที่ BitLocker อีกครั้ง จะลบลิงค์ทั้งหมดไปยังบริการได้อย่างไร? ประถมศึกษา! ใน Explorer เมื่อคุณเลือกไฟล์หรือโฟลเดอร์ที่ต้องการ ให้ใช้ส่วนบริการและแก้ไขเมนูบริบทที่เกี่ยวข้อง ไปที่การตั้งค่า จากนั้นใช้คำสั่ง การตั้งค่า และจัดระเบียบ

หลังจากนั้นในตัวแก้ไขรีจิสทรีให้เข้าสู่สาขา HKCR ซึ่งเราพบส่วน ROOTDirectoryShell ขยายและลบองค์ประกอบที่ต้องการโดยกดปุ่ม Del หรือคำสั่งลบจากเมนูคลิกขวา จริงๆ แล้วนั่นคือสิ่งสุดท้ายเกี่ยวกับส่วนประกอบ BitLocker ฉันคิดว่าวิธีปิดการใช้งานนั้นชัดเจนแล้ว แต่อย่าหลอกตัวเอง ในทำนองเดียวกัน บริการนี้จะใช้งานได้ (เผื่อไว้) ไม่ว่าคุณจะต้องการหรือไม่ก็ตาม

แทนที่จะเป็นคำหลัง

ยังคงต้องเสริมว่านี่ไม่ใช่ทั้งหมดที่สามารถพูดได้เกี่ยวกับส่วนประกอบระบบเข้ารหัส BitLocker BitLocker คืออะไร รู้วิธีปิดการใช้งานและลบคำสั่งเมนูด้วย คำถามคือ: คุณควรปิดการใช้งาน BitLocker หรือไม่ ที่นี่เราสามารถให้คำแนะนำได้เพียงข้อเดียว: ในเครือข่ายท้องถิ่นขององค์กร คุณไม่ควรปิดใช้งานส่วนประกอบนี้เลย แต่ถ้าเป็นเทอร์มินอลคอมพิวเตอร์ที่บ้านทำไมล่ะ?

ใน Windows Vista, Windows 7 และ Windows 8 เวอร์ชัน Pro และสูงกว่า นักพัฒนาได้สร้างเทคโนโลยีพิเศษเพื่อเข้ารหัสเนื้อหาของโลจิคัลพาร์ติชันบนไดรฟ์ภายนอกและแฟลชไดรฟ์ USB ทุกประเภท - BitLocker.
มีไว้เพื่ออะไร? หากคุณเรียกใช้ BitLocker ไฟล์ทั้งหมดในดิสก์จะถูกเข้ารหัส การเข้ารหัสเกิดขึ้นอย่างโปร่งใส นั่นคือคุณไม่จำเป็นต้องป้อนรหัสผ่านทุกครั้งที่บันทึกไฟล์ - ระบบจะทำทุกอย่างโดยอัตโนมัติและเงียบ ๆ อย่างไรก็ตาม เมื่อคุณปิดไดรฟ์นี้ ในครั้งต่อไปที่คุณเปิดใช้งาน คุณจะต้องใช้รหัสพิเศษ (สมาร์ทการ์ดพิเศษ แฟลชไดรฟ์ หรือรหัสผ่าน) เพื่อเข้าถึงไดรฟ์ นั่นคือหากคุณทำแล็ปท็อปหายโดยไม่ได้ตั้งใจ คุณจะไม่สามารถอ่านเนื้อหาของดิสก์ที่เข้ารหัสในนั้นได้ แม้ว่าคุณจะถอดฮาร์ดไดรฟ์ออกจากแล็ปท็อปเครื่องนี้แล้วลองอ่านบนคอมพิวเตอร์เครื่องอื่นก็ตาม คีย์เข้ารหัสนั้นใช้เวลานานมากจนต้องใช้เวลาหลายทศวรรษในการลองใช้ชุดค่าผสมที่เป็นไปได้ทั้งหมดเพื่อเลือกตัวเลือกที่ถูกต้องบนคอมพิวเตอร์ที่ทรงพลังที่สุด แน่นอนว่ารหัสผ่านสามารถค้นพบได้จากการทรมานหรือถูกขโมยล่วงหน้า แต่หากแฟลชไดรฟ์สูญหายโดยบังเอิญหรือถูกขโมยโดยไม่รู้ว่าถูกเข้ารหัสก็จะไม่สามารถอ่านได้

การตั้งค่าการเข้ารหัส BitLocker โดยใช้ Windows 8 เป็นตัวอย่าง: การเข้ารหัสไดรฟ์ระบบและการเข้ารหัสแฟลชไดรฟ์และไดรฟ์ USB ภายนอก
การเข้ารหัสดิสก์ระบบ
ข้อกำหนดสำหรับ BitLocker ในการทำงานเพื่อเข้ารหัสไดรฟ์แบบลอจิคัลที่ติดตั้งระบบปฏิบัติการ Windows คือต้องมีพาร์ติชันสำหรับเริ่มระบบที่ไม่ได้เข้ารหัส: ระบบยังต้องเริ่มต้นจากที่อื่น หากคุณติดตั้ง Windows 8/7 อย่างถูกต้องระหว่างการติดตั้งจะมีการสร้างพาร์ติชันสองพาร์ติชัน - พาร์ติชันที่มองไม่เห็นสำหรับบูตเซกเตอร์และไฟล์การเริ่มต้นและพาร์ติชันหลักที่เก็บไฟล์ทั้งหมด ส่วนแรกคือส่วนที่ไม่จำเป็นต้องเข้ารหัส แต่พาร์ติชันที่สองซึ่งมีไฟล์ทั้งหมดอยู่นั้นถูกเข้ารหัส

หากต้องการตรวจสอบว่าคุณมีพาร์ติชันเหล่านี้หรือไม่ ให้เปิด การจัดการคอมพิวเตอร์

ไปที่ส่วน อุปกรณ์จัดเก็บข้อมูล - การจัดการดิสก์.

ในภาพหน้าจอ พาร์ติชันที่สร้างขึ้นเพื่อบูตระบบจะถูกทำเครื่องหมายเป็น สงวนระบบ- หากเป็นเช่นนั้น คุณจะสามารถใช้ระบบ BitLocker เพื่อเข้ารหัสไดรฟ์แบบลอจิคัลที่ติดตั้ง Windows ได้อย่างปลอดภัย
ในการดำเนินการนี้ ให้เข้าสู่ระบบ Windows ด้วยสิทธิ์ผู้ดูแลระบบ แล้วเปิด แผงควบคุม

ไปที่ส่วน ระบบและความปลอดภัย

และเข้าสู่ส่วน การเข้ารหัสลับไดรฟ์ด้วย BitLocker.
คุณจะเห็นไดรฟ์ทั้งหมดที่สามารถเข้ารหัสได้ คลิกที่ลิงค์ เปิดใช้งาน BitLocker.

การตั้งค่าเทมเพลตนโยบายความปลอดภัย
ณ จุดนี้ คุณอาจได้รับข้อความแจ้งว่าการเข้ารหัสดิสก์ไม่สามารถทำได้จนกว่าจะกำหนดค่าเทมเพลตนโยบายความปลอดภัย

ความจริงก็คือเพื่อที่จะเรียกใช้ BitLocker ระบบจำเป็นต้องอนุญาตการดำเนินการนี้ - มีเพียงผู้ดูแลระบบเท่านั้นที่สามารถทำได้และด้วยมือของเขาเองเท่านั้น การทำเช่นนี้ง่ายกว่าที่คิดไว้มากหลังจากอ่านข้อความที่เข้าใจยาก

เปิด คอนดักเตอร์, กด วิน+อาร์- บรรทัดอินพุตจะเปิดขึ้น

ป้อนและดำเนินการ:

gpedit.msc

จะเปิด ตัวแก้ไขนโยบายกลุ่มท้องถิ่น- ไปที่ส่วน

เทมเพลตการดูแลระบบ
- ส่วนประกอบของวินโดวส์
-- การตั้งค่านโยบายนี้อนุญาตให้คุณเลือกการเข้ารหัสไดรฟ์ด้วย BitLocker
--- ดิสก์ระบบปฏิบัติการ
---- การตั้งค่านโยบายนี้ช่วยให้คุณสามารถกำหนดค่าข้อกำหนดสำหรับการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้น

ตั้งค่าพารามิเตอร์ รวมอยู่ด้วย.

หลังจากนั้นให้บันทึกค่าทั้งหมดแล้วกลับมาที่ แผงควบคุม- คุณสามารถเรียกใช้การเข้ารหัสไดรฟ์ด้วย BitLocker

การสร้างคีย์และบันทึก

ระบบจะเสนอตัวเลือกหลักสองตัวเลือกให้คุณเลือก: รหัสผ่านและแฟลชไดรฟ์

เมื่อใช้แฟลชไดรฟ์คุณสามารถใช้ฮาร์ดไดรฟ์ได้ก็ต่อเมื่อคุณใส่แฟลชไดรฟ์นี้ - รหัสจะถูกเขียนในรูปแบบที่เข้ารหัส หากคุณใช้รหัสผ่าน คุณจะต้องป้อนรหัสผ่านทุกครั้งที่เข้าถึงพาร์ติชันที่เข้ารหัสบนดิสก์นี้ ในกรณีของไดรฟ์แบบลอจิคัลระบบของคอมพิวเตอร์ จะต้องใช้รหัสผ่านในระหว่างการบูตแบบเย็น (ตั้งแต่ต้น) หรือการรีสตาร์ทโดยสมบูรณ์ หรือเมื่อพยายามอ่านเนื้อหาของไดรฟ์แบบลอจิคัลบนคอมพิวเตอร์เครื่องอื่น เพื่อหลีกเลี่ยงข้อผิดพลาด ให้สร้างรหัสผ่านโดยใช้ตัวอักษรและตัวเลขภาษาอังกฤษ

หลังจากสร้างคีย์แล้ว คุณจะถูกขอให้บันทึกข้อมูลเพื่อกู้คืนการเข้าถึงหากสูญหาย: คุณสามารถบันทึกรหัสพิเศษในไฟล์ข้อความ บันทึกลงในแฟลชไดรฟ์ บันทึกในบัญชี Microsoft ของคุณ หรือพิมพ์ออกมา

โปรดทราบว่าไม่ใช่รหัสที่บันทึกไว้ แต่เป็นรหัสพิเศษที่จำเป็นสำหรับขั้นตอนการกู้คืนการเข้าถึง

การเข้ารหัสไดรฟ์ USB และแฟลชไดรฟ์
คุณยังสามารถเข้ารหัสไดรฟ์ USB ภายนอกและแฟลชไดรฟ์ได้ - คุณสมบัตินี้ปรากฏครั้งแรกใน Windows 7 ภายใต้ชื่อ BitLocker ที่จะไป- ขั้นตอนเหมือนกัน: คุณสร้างรหัสผ่านและบันทึกรหัสกู้คืน

เมื่อคุณติดตั้งไดรฟ์ USB (เชื่อมต่อกับคอมพิวเตอร์) หรือพยายามปลดล็อค ระบบจะถามรหัสผ่านจากคุณ

หากคุณไม่ต้องการป้อนรหัสผ่านทุกครั้งเนื่องจากคุณมั่นใจในความปลอดภัยเมื่อทำงานกับคอมพิวเตอร์เครื่องนี้คุณสามารถระบุในพารามิเตอร์เพิ่มเติมเมื่อปลดล็อคว่าคุณเชื่อถือคอมพิวเตอร์เครื่องนี้ - ในกรณีนี้รหัสผ่านจะเป็นเสมอ ป้อนโดยอัตโนมัติจนกว่าคุณจะยกเลิกการกำหนดค่าความน่าเชื่อถือ โปรดทราบว่าในคอมพิวเตอร์เครื่องอื่น ระบบจะขอให้คุณป้อนรหัสผ่าน เนื่องจากการตั้งค่าความน่าเชื่อถือในคอมพิวเตอร์แต่ละเครื่องทำงานแยกจากกัน

เมื่อคุณทำงานกับไดรฟ์ USB แล้ว ให้ยกเลิกการต่อเชื่อม โดยเพียงแค่ถอดปลั๊กออกหรือผ่านเมนูนำออกที่ปลอดภัย จากนั้นไดรฟ์ที่เข้ารหัสจะได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต

วิธีการเข้ารหัสสองวิธี

เมื่อทำการเข้ารหัส BitLocker เสนอสองวิธีที่ให้ผลลัพธ์เหมือนกัน แต่เวลาดำเนินการต่างกัน: คุณสามารถเข้ารหัสเฉพาะพื้นที่ที่ข้อมูลครอบครอง ข้ามการประมวลผลของพื้นที่ว่าง หรือผ่านทั้งดิสก์ เข้ารหัสพื้นที่ทั้งหมดของโลจิคัลพาร์ติชัน รวมถึงพื้นที่ว่างด้วย ครั้งแรกเกิดขึ้นเร็วขึ้น แต่ยังคงสามารถกู้คืนข้อมูลได้ตั้งแต่เริ่มต้น ความจริงก็คือด้วยความช่วยเหลือของโปรแกรมพิเศษคุณสามารถกู้คืนข้อมูลได้แม้ว่าจะถูกลบออกจากถังรีไซเคิลและแม้ว่าดิสก์จะถูกฟอร์แมตก็ตาม แน่นอนว่านี่เป็นเรื่องยากในทางปฏิบัติ แต่ความเป็นไปได้ทางทฤษฎียังคงมีอยู่หากคุณไม่ได้ใช้ยูทิลิตี้พิเศษในการลบซึ่งจะลบข้อมูลอย่างถาวร เมื่อเข้ารหัสไดรฟ์แบบลอจิคัลทั้งหมด พื้นที่ที่ทำเครื่องหมายว่าว่างเปล่าจะถูกเข้ารหัสด้วย และจะไม่มีความเป็นไปได้ในการกู้คืนข้อมูลจากไดรฟ์ดังกล่าวแม้จะใช้ยูทิลิตี้พิเศษก็ตาม วิธีนี้เชื่อถือได้อย่างแน่นอน แต่ช้ากว่า

เมื่อเข้ารหัสดิสก์ ไม่แนะนำให้ปิดคอมพิวเตอร์ ฉันใช้เวลาประมาณ 40 นาทีในการเข้ารหัส 300 กิกะไบต์ จะเกิดอะไรขึ้นถ้าไฟฟ้าดับกะทันหัน? ฉันไม่รู้ ฉันยังไม่ได้ตรวจสอบ แต่พวกเขาเขียนบนอินเทอร์เน็ตว่าจะไม่มีอะไรเลวร้ายเกิดขึ้น - คุณเพียงแค่ต้องเริ่มการเข้ารหัสอีกครั้ง

บทสรุป

ดังนั้นหากคุณใช้แฟลชไดรฟ์ที่คุณจัดเก็บข้อมูลสำคัญอยู่ตลอดเวลาด้วยความช่วยเหลือของ BitLocker คุณสามารถป้องกันตัวเองจากข้อมูลสำคัญที่ตกไปอยู่ในมือของคนผิดได้ คุณยังสามารถปกป้องข้อมูลบนฮาร์ดไดรฟ์ของคอมพิวเตอร์ รวมถึงไดรฟ์ระบบได้ เพียงแค่ปิดคอมพิวเตอร์โดยสมบูรณ์ จากนั้นบุคคลภายนอกจะไม่สามารถเข้าถึงข้อมูลในไดรฟ์ได้ การใช้ BitLocker หลังจากตั้งค่าเทมเพลตนโยบายความปลอดภัยไม่ได้ทำให้เกิดปัญหาใด ๆ แม้แต่กับผู้ใช้ที่ไม่ผ่านการฝึกอบรม ฉันไม่สังเกตเห็นการชะลอตัวใด ๆ เมื่อทำงานกับไดรฟ์ที่เข้ารหัส

BitLocker - ความสามารถในการเข้ารหัสดิสก์ใหม่

การสูญเสียข้อมูลที่เป็นความลับมักเกิดขึ้นหลังจากที่ผู้โจมตีสามารถเข้าถึงข้อมูลในฮาร์ดไดรฟ์ได้ ตัวอย่างเช่น หากผู้ฉ้อโกงมีโอกาสอ่านไฟล์ระบบ เขาสามารถลองใช้ไฟล์เหล่านั้นเพื่อค้นหารหัสผ่านผู้ใช้ ดึงข้อมูลส่วนบุคคล ฯลฯ

Windows 7 มีเครื่องมือที่เรียกว่า BitLocker ซึ่งช่วยให้คุณสามารถเข้ารหัสไดรฟ์ทั้งหมดของคุณ ปกป้องข้อมูลในไดรฟ์จากการสอดรู้สอดเห็น เทคโนโลยีการเข้ารหัส BitLocker เปิดตัวใน Windows Vista และได้รับการพัฒนาเพิ่มเติมในระบบปฏิบัติการใหม่ เรามาแสดงรายการนวัตกรรมที่น่าสนใจที่สุดกัน:

• เปิดใช้งาน BitLocker จากเมนูบริบทของ Explorer
• การสร้างพาร์ติชันดิสก์สำหรับบูตที่ซ่อนอยู่โดยอัตโนมัติ
• รองรับ Data Recovery Agent (DRA) สำหรับโวลุ่มที่ได้รับการป้องกันทั้งหมด

เราขอเตือนคุณว่าเครื่องมือนี้ไม่ได้นำไปใช้กับ Windows ทุกรุ่น แต่เฉพาะในเวอร์ชัน "ขั้นสูง", "องค์กร" และ "มืออาชีพ" เท่านั้น

การป้องกันดิสก์โดยใช้เทคโนโลยี BitLocker จะรักษาข้อมูลผู้ใช้ที่เป็นความลับภายใต้สถานการณ์เหตุสุดวิสัยเกือบทุกกรณี - ในกรณีที่สื่อแบบถอดได้สูญหาย การโจรกรรม การเข้าถึงดิสก์โดยไม่ได้รับอนุญาต ฯลฯ เทคโนโลยีการเข้ารหัสข้อมูล BitLocker สามารถนำไปใช้กับไฟล์ใดก็ได้บนไดรฟ์ระบบ รวมถึงสื่อที่เชื่อมต่อเพิ่มเติม หากข้อมูลที่อยู่ในดิสก์ที่เข้ารหัสถูกคัดลอกไปยังสื่ออื่น ข้อมูลจะถูกถ่ายโอนโดยไม่มีการเข้ารหัส

เพื่อให้มีความปลอดภัยมากขึ้น BitLocker สามารถใช้การเข้ารหัสหลายระดับ - ใช้การป้องกันหลายประเภทพร้อมกัน รวมถึงวิธีฮาร์ดแวร์และซอฟต์แวร์ การผสมผสานวิธีการปกป้องข้อมูลช่วยให้คุณได้รับโหมดการทำงานของระบบเข้ารหัส BitLocker ที่หลากหลาย แต่ละข้อมีข้อดีของตัวเองและยังให้ระดับความปลอดภัยของตัวเองด้วย:

• โหมดโดยใช้โมดูลแพลตฟอร์มที่เชื่อถือได้
• โหมดโดยใช้โมดูลแพลตฟอร์มที่เชื่อถือได้และอุปกรณ์ USB
• โหมดโดยใช้โมดูลแพลตฟอร์มที่เชื่อถือได้และหมายเลขประจำตัวส่วนบุคคล (PIN)
• โหมดโดยใช้อุปกรณ์ USB ที่มีกุญแจ

ก่อนที่เราจะพิจารณาวิธีการใช้ BitLocker ให้ละเอียดยิ่งขึ้น จำเป็นต้องมีการชี้แจงบางประการก่อน ก่อนอื่น สิ่งสำคัญคือต้องเข้าใจคำศัพท์ Trusted Platform Module คือชิปเข้ารหัสพิเศษที่ช่วยให้สามารถระบุตัวตนได้ ชิปดังกล่าวสามารถรวมเข้ากับแล็ปท็อปบางรุ่น เดสก์ท็อปพีซี อุปกรณ์มือถือต่างๆ เป็นต้น

ชิปนี้จะจัดเก็บ "คีย์การเข้าถึงรูท" ที่เป็นเอกลักษณ์ ชิป "เย็บ" ดังกล่าวเป็นอีกหนึ่งการป้องกันที่เชื่อถือได้เพิ่มเติมจากการแฮ็กคีย์เข้ารหัส หากข้อมูลนี้ถูกจัดเก็บไว้ในสื่ออื่น ไม่ว่าจะเป็นฮาร์ดไดรฟ์หรือการ์ดหน่วยความจำ ความเสี่ยงในการสูญเสียข้อมูลก็จะสูงขึ้นอย่างไม่เป็นสัดส่วน เนื่องจากอุปกรณ์เหล่านี้เข้าถึงได้ง่ายกว่า เมื่อใช้ "คีย์การเข้าถึงรูท" ชิปจะสามารถสร้างคีย์เข้ารหัสของตัวเองได้ ซึ่งสามารถถอดรหัสได้โดย TPM เท่านั้น รหัสผ่านของเจ้าของจะถูกสร้างขึ้นในครั้งแรกที่เริ่มต้น TPM Windows 7 รองรับ TPM 1.2 และต้องมี BIOS ที่เข้ากันได้ด้วย

เมื่อการป้องกันดำเนินการโดยใช้โมดูลแพลตฟอร์มที่เชื่อถือได้โดยเฉพาะ เมื่อคอมพิวเตอร์เปิดอยู่ ข้อมูลจะถูกรวบรวมในระดับฮาร์ดแวร์ รวมถึงข้อมูล BIOS ตลอดจนข้อมูลอื่น ๆ จำนวนทั้งหมดซึ่งบ่งชี้ถึงความถูกต้องของฮาร์ดแวร์ โหมดการทำงานนี้เรียกว่า "โปร่งใส" และไม่จำเป็นต้องดำเนินการใดๆ จากผู้ใช้ - จะมีการตรวจสอบ และหากสำเร็จ การดาวน์โหลดจะดำเนินการในโหมดปกติ

เป็นเรื่องที่น่าสงสัยว่าคอมพิวเตอร์ที่มีโมดูลแพลตฟอร์มที่เชื่อถือได้ยังคงเป็นเพียงทฤษฎีสำหรับผู้ใช้ของเรา เนื่องจากการนำเข้าและการขายอุปกรณ์ดังกล่าวในรัสเซียและยูเครนเป็นสิ่งต้องห้ามตามกฎหมายเนื่องจากปัญหาเกี่ยวกับการรับรอง ดังนั้นตัวเลือกเดียวที่ยังคงเกี่ยวข้องกับเราคือการปกป้องไดรฟ์ระบบโดยใช้ไดรฟ์ USB ที่เขียนรหัสการเข้าถึง

เทคโนโลยี BitLocker ช่วยให้คุณใช้อัลกอริธึมการเข้ารหัสกับไดรฟ์ข้อมูลที่ใช้ระบบไฟล์ exFAT, FAT16, FAT32 หรือ NTFS หากใช้การเข้ารหัสกับดิสก์ด้วยระบบปฏิบัติการ ในการใช้เทคโนโลยี BitLocker ข้อมูลในดิสก์นี้จะต้องเขียนในรูปแบบ NTFS วิธีการเข้ารหัสที่เทคโนโลยี BitLocker ใช้จะขึ้นอยู่กับอัลกอริธึม AES ที่แข็งแกร่งพร้อมคีย์ 128 บิต

ความแตกต่างประการหนึ่งระหว่างคุณลักษณะ Bitlocker ใน Windows 7 และเครื่องมือที่คล้ายกันใน Windows Vista ก็คือระบบปฏิบัติการใหม่ไม่จำเป็นต้องมีการแบ่งพาร์ติชันดิสก์แบบพิเศษ ก่อนหน้านี้ผู้ใช้ต้องใช้เครื่องมือเตรียมดิสก์ Microsoft BitLocker เพื่อทำสิ่งนี้ แต่ตอนนี้ก็เพียงพอที่จะระบุได้ว่าควรป้องกันดิสก์ใด และระบบจะสร้างพาร์ติชันสำหรับเริ่มระบบที่ซ่อนอยู่บนดิสก์ที่ Bitlocker ใช้โดยอัตโนมัติ พาร์ติชันสำหรับเริ่มระบบนี้จะใช้ในการสตาร์ทคอมพิวเตอร์ โดยจะถูกจัดเก็บในรูปแบบที่ไม่ได้เข้ารหัส (ไม่เช่นนั้นจะไม่สามารถทำการบูทได้) แต่พาร์ติชันที่มีระบบปฏิบัติการจะถูกเข้ารหัส เมื่อเทียบกับ Windows Vista พาร์ติชันสำหรับเริ่มระบบจะใช้พื้นที่ดิสก์น้อยกว่าประมาณสิบเท่า พาร์ติชันเพิ่มเติมไม่ได้รับการกำหนดตัวอักษรแยกต่างหาก และไม่ปรากฏในรายการพาร์ติชันในตัวจัดการไฟล์

ในการจัดการการเข้ารหัส สะดวกในการใช้เครื่องมือในแผงควบคุมที่เรียกว่า BitLocker Drive Encryption เครื่องมือนี้คือตัวจัดการดิสก์ที่ช่วยให้คุณเข้ารหัสและปลดล็อคดิสก์ได้อย่างรวดเร็ว รวมถึงทำงานกับ TPM จากหน้าต่างนี้ คุณสามารถหยุดหรือหยุดการเข้ารหัส BitLocker ชั่วคราวได้ตลอดเวลา

⇡ BitLocker To Go - การเข้ารหัสอุปกรณ์ภายนอก

เครื่องมือใหม่ปรากฏใน Windows 7 - BitLocker To Go ซึ่งออกแบบมาเพื่อเข้ารหัสไดรฟ์แบบถอดได้ - ไดรฟ์ USB, การ์ดหน่วยความจำ ฯลฯ ในการเปิดใช้งานการเข้ารหัสของไดรฟ์แบบถอดได้ คุณต้องเปิด "Explorer" คลิกขวาที่ ไดรฟ์ที่ต้องการและในเมนูบริบทเลือกคำสั่ง "เปิด BitLocker"

หลังจากนี้ ตัวช่วยสร้างการเข้ารหัสสำหรับดิสก์ที่เลือกจะถูกเปิดตัว

ผู้ใช้สามารถเลือกหนึ่งในสองวิธีในการปลดล็อคไดรฟ์ที่เข้ารหัส: การใช้รหัสผ่าน - ในกรณีนี้ผู้ใช้จะต้องป้อนชุดอักขระผสมกันและยังใช้สมาร์ทการ์ดด้วย - ในกรณีนี้ พวกเขาจะต้อง เพื่อระบุรหัส PIN พิเศษสำหรับสมาร์ทการ์ด ขั้นตอนการเข้ารหัสดิสก์ทั้งหมดใช้เวลาค่อนข้างมาก - จากหลายนาทีถึงครึ่งชั่วโมงขึ้นอยู่กับปริมาณของไดรฟ์ที่เข้ารหัสรวมถึงความเร็วของการดำเนินการ

หากคุณเชื่อมต่อไดรฟ์แบบถอดได้ที่เข้ารหัส การเข้าถึงไดรฟ์ด้วยวิธีปกติจะไม่สามารถทำได้ และเมื่อพยายามเข้าถึงไดรฟ์ ผู้ใช้จะเห็นข้อความต่อไปนี้:

ใน Explorer ไอคอนของดิสก์ที่ใช้ระบบเข้ารหัสก็จะเปลี่ยนไปเช่นกัน

หากต้องการปลดล็อคสื่อ คุณต้องคลิกขวาที่ตัวอักษรสื่อในเมนูบริบทของตัวจัดการไฟล์อีกครั้ง และเลือกคำสั่งที่เหมาะสมในเมนูบริบท หลังจากป้อนรหัสผ่านอย่างถูกต้องในหน้าต่างใหม่ การเข้าถึงเนื้อหาของดิสก์จะเปิดขึ้น จากนั้นคุณสามารถใช้งานได้เช่นเดียวกับสื่อที่ไม่ได้เข้ารหัส

ในช่วงไม่กี่ปีที่ผ่านมาในฟอรัมต่าง ๆ ในจดหมายและในระหว่างการประชุมผู้ใช้เริ่มถามคำถามมากขึ้นเกี่ยวกับฟังก์ชันการทำงานที่ค่อนข้างใหม่ของระบบปฏิบัติการ Windows Vista, Windows 7 และ Windows Server 2008/2008 R2 คืออะไร - Windows BitLocker(ด้วยการเปิดตัวระบบปฏิบัติการล่าสุด เทคโนโลยีนี้ได้รับการเปลี่ยนแปลงบางอย่างและปัจจุบันเรียกว่า BitLoker To Go) แต่หลังจากที่ผู้ใช้และผู้ดูแลระบบมือใหม่ส่วนใหญ่ได้ยินคำตอบว่าส่วนประกอบนี้ “เป็นเพียง” คุณสมบัติความปลอดภัยในตัวในระบบปฏิบัติการสมัยใหม่ ซึ่งให้การป้องกันที่เชื่อถือได้สำหรับระบบปฏิบัติการเอง ข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ของผู้ใช้ตลอดจนส่วนบุคคล โวลุ่มและสื่อแบบถอดได้ซึ่งช่วยให้คุณสามารถทิ้งข้อมูลผู้ใช้ไว้ได้ในระหว่างการโจมตีที่รุนแรง เช่นเดียวกับการถอดฮาร์ดไดรฟ์ทางกายภาพออกเพื่อการแฮ็กข้อมูลแบบอัตโนมัติเพิ่มเติม ฉันมักจะได้ยินว่าฟังก์ชันดังกล่าวจะไม่เป็นที่ต้องการเลย และการใช้งานจะทำให้ซับซ้อนเท่านั้น ชีวิตของผู้ใช้ เป็นไปไม่ได้ที่จะเห็นด้วยกับข้อความดังกล่าว เนื่องจากข้อมูลจะต้องมีความปลอดภัย คุณไม่ทิ้งกุญแจบ้านหรือรหัสไว้ที่ระบบล็อคอิเล็กทรอนิกส์ขององค์กรของคุณให้กับทุกคนที่คุณพบใช่ไหม?

ผู้ใช้ตามบ้านมักจะพิสูจน์ให้เห็นถึงความไม่เต็มใจที่จะใช้เทคโนโลยีนี้โดยข้อเท็จจริงที่ว่าไม่มีข้อมูล "สำคัญ" บนคอมพิวเตอร์ของตนและแม้ว่าพวกเขาจะถูกแฮ็ก แต่ก็ไม่มีอะไรเลวร้ายเกิดขึ้นยกเว้นว่ามีคนดูโปรไฟล์ของพวกเขาบนโซเชียลเน็ตเวิร์ก Odnoklassniki และ " ติดต่อกับ". เจ้าของแล็ปท็อปและเน็ตบุ๊กเชื่อว่าหากอุปกรณ์ของตนถูกขโมย สิ่งสุดท้ายที่พวกเขาต้องกังวลก็คือข้อมูลสูญหาย ผู้ดูแลระบบในบางบริษัทอ้างว่าพวกเขาไม่มีโครงการลับใดๆ และพนักงานบริษัททุกคนสามารถเชื่อถือได้ และพวกเขานำเอกสารและผลิตภัณฑ์ของงานทางปัญญากลับบ้านเท่านั้นเพื่อทำงานให้เสร็จโดยมีเวลาทำงานไม่เพียงพอ และคอมพิวเตอร์ขององค์กรได้รับการปกป้องโดยซอฟต์แวร์ป้องกันไวรัสและการตั้งค่าไฟร์วอลล์ตามค่าเริ่มต้น เหตุใดคุณจึงต้องปกป้องไดรฟ์ภายนอกหากเพียงแต่จัดเก็บไฟล์เพลงและวิดีโอ และเป็นเรื่องปกติที่อุปกรณ์ต่างๆ เช่น แฟลชไดรฟ์ สามารถเผยแพร่ได้ทั้งภายในองค์กรและในหมู่เพื่อนของคุณ

แต่เราไม่สามารถเห็นด้วยกับเหตุผลใดๆ ข้างต้นได้ ในระหว่างการโจมตี ผู้ใช้ตามบ้านไม่เพียงแต่สามารถคัดลอกคอลเลกชันไฟล์เพลงและวิดีโอทั้งหมดเท่านั้น แต่ยังยึดรหัสผ่านทั้งหมดไปยังบัญชีธนาคารและข้อมูลประจำตัวของไซต์ที่เยี่ยมชมโดยใช้คุกกี้ หรือพระเจ้าห้าม ไฟล์ข้อความที่มีการเข้าสู่ระบบและรหัสผ่านที่ไม่ค่อยได้วางไว้ บนเดสก์ท็อป นอกจากนี้ยังมีโอกาสสูงที่จะมีการดูจดหมายโต้ตอบทั้งหมด ฯลฯ แล็ปท็อปที่ถูกขโมยอาจมีข้อมูลที่ละเอียดอ่อน การโจรกรรมอาจส่งผลเสียต่อธุรกิจของบริษัทของคุณ และการถูกไล่ออกพร้อมกับ "โปรโมชัน" ที่เกี่ยวข้องในเรซูเม่ของคุณอาจส่งผลเสียอย่างมากต่ออาชีพการงานของคุณในอนาคต และท้ายที่สุด ในยุคของเรา องค์กรใดก็ตามมีข้อมูลลับที่ไม่แนะนำให้แสดงต่อคู่แข่ง และหากคอมพิวเตอร์ในองค์กรของคุณอย่างน้อยหนึ่งเครื่องถูกโจมตีได้สำเร็จ ก็มีโอกาสอย่างมากที่คอมพิวเตอร์ทั้งเครื่องของคุณจะติดไวรัสในไม่ช้า ซึ่งจะนำมาซึ่งความพยายามของ Herculean ในการทำให้คอมพิวเตอร์ในองค์กรของคุณกลับสู่สถานะดั้งเดิม อาจมีผู้ประสงค์ร้ายแม้แต่ในองค์กรของคุณ แม้ว่าการรักษาความปลอดภัยจะตรวจสอบกระเป๋าของคุณเมื่อคุณออกจากอาคาร พวกเขาจะไม่ตรวจสอบอุปกรณ์จัดเก็บข้อมูลภายนอกของพนักงานทุกคน แต่อาจมีข้อมูลจำนวนมากที่คู่แข่งของคุณไม่ควรรู้ในอีกไม่กี่เดือนข้างหน้า

ด้วยเหตุนี้ คุณเพียงแค่ต้องพยายามรักษาความปลอดภัยข้อมูลของคุณด้วยวิธีที่ถูกต้องที่เป็นไปได้ นี่คือสิ่งที่ส่วนประกอบของระบบปฏิบัติการ Microsoft สมัยใหม่นี้ได้รับการออกแบบมาโดยเฉพาะ BitLocker ช่วยให้คุณสามารถป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตแม้ในคอมพิวเตอร์ที่สูญหายหรือถูกขโมย ซึ่งจะช่วยปรับปรุงประสิทธิภาพของระบบปฏิบัติการของคุณ เพื่อปรับปรุงการปกป้องข้อมูลของคุณ Windows BitLocker จะใช้ Trusted Platform Module (TPM) ซึ่งเป็นข้อกำหนดที่ให้รายละเอียดเกี่ยวกับตัวประมวลผลการเข้ารหัสลับที่จัดเก็บคีย์การเข้ารหัสลับไว้เพื่อปกป้องข้อมูล ตลอดจนชื่อทั่วไปสำหรับการใช้งานตามข้อกำหนดที่ระบุ เป็นต้น ในรูปแบบของ "ชิป TPM" ซึ่งรับประกันความสมบูรณ์ของส่วนประกอบที่ใช้แม้ในขั้นตอนแรกของการโหลด

เทคโนโลยีเหล่านี้ให้ประโยชน์แก่ทั้งผู้ใช้ตามบ้านและผู้ดูแลระบบในองค์กร สำหรับผู้ใช้ตามบ้านข้อได้เปรียบหลักของเทคโนโลยีเหล่านี้คือใช้งานง่ายเนื่องจากสำหรับการใช้งานฟังก์ชัน BitLocker หรือ BitLocker To Go ทุกวันการปกป้องคอมพิวเตอร์และการกู้คืนจะโปร่งใสสำหรับผู้ใช้ ผู้ดูแลระบบจะประทับใจกับความง่ายในการจัดการการปกป้องข้อมูลอย่างแน่นอน หากต้องการจัดการการเข้ารหัส BitLocker จากระยะไกล คุณสามารถใช้โครงสร้างพื้นฐาน Active Directory Domain Services พร้อมการจัดการขั้นสูงผ่านนโยบายกลุ่มและสคริปต์

ส่วนประกอบเหล่านี้ของระบบปฏิบัติการจะกล่าวถึงในบทความชุดนี้ คุณสามารถพบข้อมูลที่เป็นประโยชน์มากมายเกี่ยวกับส่วนประกอบเหล่านี้และฟังก์ชันการทำงานบนอินเทอร์เน็ตรวมถึงรายงานวิดีโอที่ยอดเยี่ยมซึ่งคุณสามารถดูหลักการทำงานของส่วนประกอบเหล่านี้ได้ ดังนั้นในบทความของซีรี่ส์นี้ ฉันจะพยายามพิจารณารายละเอียดเพิ่มเติมเกี่ยวกับฟังก์ชันการทำงานส่วนใหญ่สำหรับทั้งผู้ใช้ตามบ้านและองค์กร เพื่อที่คุณจะได้ไม่ต้องใช้เวลานานในการมองหาวิธีใช้สถานการณ์นี้หรือสถานการณ์นั้นเพื่อนำไปใช้บางอย่าง การกระทำ

สถาปัตยกรรมของเทคโนโลยีนี้

ดังที่คุณทราบแล้วว่าเมื่อระบบปฏิบัติการทำงาน ระบบปฏิบัติการสามารถป้องกันได้โดยใช้นโยบายความปลอดภัยในเครื่อง ซอฟต์แวร์ป้องกันไวรัส และไฟร์วอลล์ แต่คุณสามารถปกป้องไดรฟ์ข้อมูลระบบปฏิบัติการบนฮาร์ดไดรฟ์ด้วยการเข้ารหัสด้วย BitLocker เพื่อใช้ประโยชน์จากการเข้ารหัสด้วย BitLocker และการรับรองความถูกต้องของระบบ คอมพิวเตอร์ของคุณจะต้องเป็นไปตามข้อกำหนด เช่น การติดตั้ง TPM เวอร์ชัน 1.2 ซึ่งเมื่อเปิดใช้งานการเข้ารหัส จะช่วยให้คุณสามารถจัดเก็บคีย์การเริ่มต้นระบบเฉพาะภายใน Trusted Platform Module ได้ นอกเหนือจาก TPM แล้ว ระบบอินพุต/เอาท์พุต (BIOS) พื้นฐานจะต้องมีการติดตั้งข้อกำหนด Trusted Computing Group (TCG) ซึ่งสร้างห่วงโซ่แห่งความไว้วางใจสำหรับการดำเนินการก่อนที่ระบบปฏิบัติการจะบู๊ต และรวมถึงการรองรับสำหรับอ็อบเจ็กต์การเปลี่ยนแปลงความน่าเชื่อถือรูทแบบคงที่ . น่าเสียดายที่เมนบอร์ดบางรุ่นไม่ได้ติดตั้งโมดูลเช่น TPM แต่ถึงแม้จะไม่มีโมดูลนี้ ระบบปฏิบัติการก็ช่วยให้คุณใช้ประโยชน์จากเทคโนโลยีการเข้ารหัสนี้ได้ หากคุณมีอุปกรณ์จัดเก็บข้อมูล USB ที่รองรับคำสั่ง UFI และหากฮาร์ดไดรฟ์ของคุณ แบ่งออกเป็นสองและมากกว่าปริมาตร ตัวอย่างเช่น ในโวลุ่มหนึ่ง คุณจะมีระบบปฏิบัติการของตัวเองซึ่งจะเปิดใช้งานการเข้ารหัส และโวลุ่มระบบที่สองซึ่งมีความจุอย่างน้อย 1.5 GB จะมีไฟล์ที่จำเป็นในการโหลดระบบปฏิบัติการหลังจาก BIOS โหลดแพลตฟอร์ม วอลุ่มทั้งหมดของคุณจะต้องฟอร์แมตด้วยระบบไฟล์ NTFS

สถาปัตยกรรมการเข้ารหัส BitLocker มอบกลไกที่สามารถจัดการและทำงานได้ทั้งในโหมดเคอร์เนลและโหมดผู้ใช้ ในระดับสูง ส่วนประกอบหลักของ BitLocker ได้แก่:

• ไดร์เวอร์โมดูลแพลตฟอร์มที่เชื่อถือได้(%SystemRoot%System32DriversTpm.sys) – ไดรเวอร์ที่เข้าถึงชิป TPM ในโหมดเคอร์เนล
• บริการ TPM หลักซึ่งรวมถึงบริการแบบกำหนดเองที่ให้การเข้าถึงโหมดผู้ใช้ไปยัง TPM (%SystemRoot%System32tbssvc.dll) ผู้ให้บริการ WMI และสแน็ปอิน MMC (%SystemRoot%System32Tpm.msc)
• รหัส BitLocker ที่เกี่ยวข้องใน Boot Manager (BootMgr)ซึ่งตรวจสอบสิทธิ์การเข้าถึงฮาร์ดไดรฟ์และยังช่วยให้คุณสามารถซ่อมแซมและปลดล็อค bootloader ได้
• ไดร์เวอร์ตัวกรอง BitLocker(%SystemRoot%System32DriversFvevol.sys) ซึ่งช่วยให้คุณสามารถเข้ารหัสและถอดรหัสโวลุ่มได้ทันทีในโหมดเคอร์เนล
• ผู้ให้บริการ WMI BitLocker และการจัดการสคริปต์ซึ่งช่วยให้คุณสามารถกำหนดค่าและจัดการสคริปต์อินเทอร์เฟซ BitLocker

ภาพประกอบต่อไปนี้แสดงส่วนประกอบและบริการต่างๆ ที่ทำให้เทคโนโลยีการเข้ารหัส BitLocker ทำงานได้อย่างถูกต้อง:

ข้าว. 1. สถาปัตยกรรม BitLocker

คีย์การเข้ารหัส

BitLocker เข้ารหัสเนื้อหาของโวลุ่มโดยใช้ คีย์เข้ารหัสโวลุ่มทั้งหมด(FVEK - คีย์การเข้ารหัสโวลุ่มแบบเต็ม) ที่ได้รับมอบหมายเมื่อเริ่มแรกได้รับการกำหนดค่าให้ใช้ BitLocker โดยใช้อัลกอริธึมคีย์ AES 128 หรือ 256 บิต AES128-CBC และ AES256-CBC พร้อมส่วนขยายของ Microsoft ที่เรียกว่า diffusers คีย์ FVEK ถูกเข้ารหัสโดยใช้ ปุ่มปรับระดับเสียง(VMK - Volume Master Key) และจัดเก็บไว้ในไดรฟ์ข้อมูลในพื้นที่ที่กำหนดไว้เป็นพิเศษสำหรับข้อมูลเมตา การปกป้องคีย์หลักของไดรฟ์ข้อมูลเป็นวิธีทางอ้อมในการปกป้องข้อมูลไดรฟ์ข้อมูล: การเติมคีย์หลักของไดรฟ์ข้อมูลช่วยให้ระบบสามารถสร้างคีย์ใหม่ได้หลังจากที่คีย์สูญหายหรือถูกบุกรุก

เมื่อคุณตั้งค่าการเข้ารหัส BitLocker คุณสามารถใช้วิธีใดวิธีหนึ่งเพื่อปกป้องคอมพิวเตอร์ของคุณด้วย VMK ขึ้นอยู่กับการกำหนดค่าฮาร์ดแวร์ของคุณ การเข้ารหัส BitLocker รองรับโหมดการรับรองความถูกต้องห้าโหมด ขึ้นอยู่กับความสามารถของฮาร์ดแวร์ของคอมพิวเตอร์และระดับความปลอดภัยที่คุณต้องการ หากการกำหนดค่าฮาร์ดแวร์ของคุณรองรับเทคโนโลยี Trusted Platform Module (TPM) คุณสามารถบันทึก VMK ทั้งใน TMP และ TPM และบนอุปกรณ์ USB หรือบันทึกคีย์ VMK ใน TPM และป้อน PIN เมื่อระบบบู๊ต นอกจากนี้คุณยังมีโอกาสที่จะรวมสองวิธีก่อนหน้านี้เข้าด้วยกัน และสำหรับแพลตฟอร์มที่ไม่รองรับเทคโนโลยี TPM คุณสามารถจัดเก็บคีย์ไว้ในอุปกรณ์ USB ภายนอกได้

ควรให้ความสนใจกับความจริงที่ว่าเมื่อโหลดระบบปฏิบัติการที่เปิดใช้งานการเข้ารหัสด้วย BitLocker จะมีการดำเนินการตามลำดับซึ่งขึ้นอยู่กับชุดเครื่องมือป้องกันระดับเสียง ขั้นตอนเหล่านี้รวมถึงการตรวจสอบความสมบูรณ์ของระบบตลอดจนขั้นตอนการรับรองความถูกต้องอื่นๆ ที่ต้องดำเนินการให้เสร็จสิ้นก่อนที่จะปลดล็อคจากโวลุ่มที่ได้รับการป้องกัน ตารางต่อไปนี้สรุปวิธีการต่างๆ ที่คุณสามารถใช้เพื่อเข้ารหัสไดรฟ์ข้อมูล:

แหล่งที่มา	ความปลอดภัย	การกระทำของผู้ใช้
ทีพีเอ็มเท่านั้น	ป้องกันการโจมตีซอฟต์แวร์ แต่เสี่ยงต่อการโจมตีด้วยฮาร์ดแวร์	ไม่มี
ทีพีเอ็ม+พิน	เพิ่มการป้องกันการโจมตีด้วยฮาร์ดแวร์	ผู้ใช้จะต้องป้อน PIN ทุกครั้งที่ระบบปฏิบัติการเริ่มทำงาน
ปุ่ม TPM + USB	ป้องกันการโจมตีด้วยฮาร์ดแวร์เต็มรูปแบบ แต่เสี่ยงต่อการสูญเสียคีย์ USB
TPM + ปุ่ม USB + PIN	ระดับการป้องกันสูงสุด	แต่ละครั้งที่ OS เริ่มทำงาน ผู้ใช้จะต้องป้อนรหัส PIN และใช้คีย์ USB
คีย์ USB เท่านั้น	ระดับการป้องกันขั้นต่ำสำหรับคอมพิวเตอร์ที่ไม่ได้ติดตั้ง TPM + มีความเสี่ยงที่จะสูญเสียกุญแจ	ผู้ใช้ต้องใช้คีย์ USB ทุกครั้งที่ระบบปฏิบัติการเริ่มทำงาน

ตารางที่ 1. แหล่งที่มา VMK

ภาพประกอบต่อไปนี้แสดงวิธีการเข้ารหัสไดรฟ์ข้อมูล:

ข้าว. 2. วิธีการเข้ารหัสโวลุ่มโดยใช้เทคโนโลยี BitLocker

ก่อนที่ BitLocker จะให้สิทธิ์การเข้าถึง FEVK และถอดรหัสโวลุ่ม คุณต้องจัดเตรียมคีย์ของผู้ใช้หรือคอมพิวเตอร์ที่ได้รับอนุญาต ตามที่ระบุไว้ข้างต้น หากคอมพิวเตอร์ของคุณมี TPM คุณสามารถใช้วิธีการรับรองความถูกต้องที่แตกต่างกันได้ ในส่วนย่อยต่อไปนี้ เราจะพิจารณาแต่ละวิธีโดยละเอียดยิ่งขึ้น

ใช้ TPM เท่านั้น

กระบวนการบูตระบบปฏิบัติการใช้ TPM เพื่อให้แน่ใจว่าฮาร์ดไดรฟ์เชื่อมต่อกับคอมพิวเตอร์ที่ถูกต้อง และไฟล์ระบบที่สำคัญไม่ได้รับความเสียหาย และยังป้องกันการเข้าถึงฮาร์ดไดรฟ์หากมัลแวร์หรือรูทคิททำให้ความสมบูรณ์ของระบบลดลง ในขณะที่คอมพิวเตอร์กำลังได้รับการตรวจสอบ TPM จะปลดล็อก VMK และระบบปฏิบัติการของคุณจะเริ่มทำงานโดยไม่ต้องโต้ตอบกับผู้ใช้ ดังที่คุณเห็นในภาพประกอบต่อไปนี้

ข้าว. 3. การรับรองความถูกต้องโดยใช้เทคโนโลยี TPM

การใช้ TPM ด้วยคีย์ USB

นอกเหนือจากความปลอดภัยทางกายภาพที่อธิบายไว้ในส่วนย่อยก่อนหน้านี้ ในกรณีนี้ TPM ต้องใช้คีย์นอกที่อยู่ในอุปกรณ์ USB ในกรณีนี้ ผู้ใช้จำเป็นต้องเสียบไดรฟ์ USB ที่เก็บคีย์ต่างประเทศที่ออกแบบมาเพื่อตรวจสอบสิทธิ์ผู้ใช้และความสมบูรณ์ของคอมพิวเตอร์ ในกรณีนี้ คุณสามารถป้องกันคอมพิวเตอร์ของคุณจากการโจรกรรมได้เมื่อคุณเปิดคอมพิวเตอร์ รวมถึงเมื่อคุณตื่นจากโหมดไฮเบอร์เนต น่าเสียดายที่วิธีนี้ไม่สามารถป้องกันคุณจากการปลุกคอมพิวเตอร์ออกจากโหมดสลีปได้ เมื่อใช้วิธีนี้ เพื่อลดความเสี่ยงที่คอมพิวเตอร์ของคุณจะถูกขโมย คุณจะต้องจัดเก็บคีย์ต่างประเทศแยกต่างหากจากคอมพิวเตอร์ของคุณ ในภาพประกอบต่อไปนี้ คุณจะเห็นการใช้ TPM ร่วมกับคีย์ USB ภายนอก:

ข้าว. 4. การรับรองความถูกต้องโดยใช้คีย์ TPM และ USB

การใช้ TPM ร่วมกับรหัส PIN

วิธีนี้จะป้องกันไม่ให้คอมพิวเตอร์เริ่มทำงานจนกว่าผู้ใช้จะป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) วิธีนี้ช่วยให้คุณสามารถปกป้องคอมพิวเตอร์ของคุณได้ในกรณีที่คอมพิวเตอร์ที่คุณปิดอยู่ถูกขโมย ขออภัย คุณไม่ควรใช้วิธีนี้หากคอมพิวเตอร์จำเป็นต้องเริ่มทำงานโดยอัตโนมัติโดยไม่มีการแทรกแซงของมนุษย์ ซึ่งโดยปกติจะทำหน้าที่เป็นเซิร์ฟเวอร์ เมื่อมีการร้องขอ PIN TPM ฮาร์ดแวร์ของคอมพิวเตอร์จะแจ้งให้คุณป้อน PIN สี่หลักโดยมีความล่าช้าพิเศษที่กำหนดโดยผู้ผลิตเมนบอร์ดและ TPM เอง ในภาพประกอบต่อไปนี้ คุณจะเห็นวิธีการรับรองความถูกต้องนี้:

ข้าว. 5. การตรวจสอบสิทธิ์ TPM และ PIN

โดยใช้วิธีการรวม (คีย์ TPM+PIN+USB)

ในระบบปฏิบัติการ Windows 7 และ Windows Vista คุณสามารถใช้วิธีการรับรองความถูกต้องแบบรวมเพื่อการปกป้องคอมพิวเตอร์ของคุณในระดับสูงสุด ในกรณีนี้ การรับรองความถูกต้องด้วยฮาร์ดแวร์ TPM จะเสริมด้วยการป้อนรหัส PIN และใช้รหัสต่างประเทศที่อยู่ในไดรฟ์ USB เครื่องมือทั้งหมดนี้ให้การป้องกันด้วย BitLocker ระดับสูงสุด ซึ่งต้องใช้ข้อมูลที่ผู้ใช้ "รู้" และ "ใช้" เพื่อให้ผู้โจมตีเข้าครอบครองข้อมูลของคุณซึ่งอยู่บนโวลุ่มที่ได้รับการปกป้องโดยใช้เทคโนโลยี BitLocker เขาจำเป็นต้องขโมยคอมพิวเตอร์ของคุณ มีไดรฟ์ USB พร้อมกุญแจของคุณ และต้องรู้รหัส PIN ซึ่งแทบจะเป็นไปไม่ได้เลย ภาพประกอบต่อไปนี้แสดงวิธีการรับรองความถูกต้องนี้:

ข้าว. 6. การรับรองความถูกต้องโดยใช้ TPM, ปุ่ม USB และรหัส PIN

การรับรองความถูกต้องด้วยคีย์เริ่มต้น USB เท่านั้น

ในกรณีนี้ ผู้ใช้จัดเตรียม VMK บนดิสก์ ไดรฟ์ USB หรืออุปกรณ์จัดเก็บข้อมูลภายนอกใดๆ เพื่อถอดรหัสโวลุ่มที่เข้ารหัส FEVK และ BitLocker บนคอมพิวเตอร์ที่ไม่ได้ติดตั้ง TPM การใช้คีย์เปิดใช้โดยไม่มี TPM ช่วยให้คุณสามารถเข้ารหัสข้อมูลได้โดยไม่ต้องอัปเกรดฮาร์ดแวร์ วิธีนี้ถือว่ามีช่องโหว่มากที่สุดเนื่องจากในกรณีนี้ไม่ได้ตรวจสอบความสมบูรณ์ของการบูตและเมื่อถ่ายโอนฮาร์ดไดรฟ์ไปยังคอมพิวเตอร์เครื่องอื่นคุณสามารถใช้ข้อมูลจากไดรฟ์ที่เข้ารหัสได้

บทสรุป

BitLocker Drive Encryption เป็นคุณลักษณะด้านความปลอดภัยในระบบปฏิบัติการ Windows สมัยใหม่ที่ช่วยปกป้องระบบปฏิบัติการและข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ของคุณ ด้วยการผสมผสานที่ลงตัว BitLocker ได้รับการกำหนดค่าให้ใช้ Trusted Platform Module (TPM) ซึ่งช่วยให้มั่นใจถึงความสมบูรณ์ของการบูตและส่วนประกอบการล็อคระดับเสียงได้รับการปกป้องแม้ว่าระบบปฏิบัติการจะยังไม่ได้ทำงานก็ตาม ในบทความชุดเกี่ยวกับการเข้ารหัสข้อมูลนี้ คุณได้เรียนรู้เกี่ยวกับสถาปัตยกรรมของเครื่องมือนี้แล้ว ในบทความต่อไปนี้ คุณจะได้เรียนรู้เกี่ยวกับการใช้การเข้ารหัสดิสก์โดยใช้เทคโนโลยี Windows BitLocker