Інструкція

У Windows версії XP служба шифрування за промовчанням не підлягає спеціальному включенню, оскільки вона запускається одночасно із завантаженням самої OC. Для здійснення процедури шифрування вибраної папки або файлу викличте контекстне меню вибраного файлу кліком правої кнопки миші та вкажіть пункт «Властивості». Перейдіть на вкладку «Загальні» діалогового вікна, що відкрилося, і скористайтеся кнопкою «Інші». Використовуйте прапорець на полі «Шифрувати вміст для захисту даних» і авторизуйте застосування змін, натиснувши кнопку OK (для Windows XP).

Викличте головне системне меню OS Windows версії 7 для виконання операції увімкнення шифрування диска операційної системи із застосуванням утиліти n, перейдіть до «Панель управління». Розкрийте розділ «Система та безпека» та розгорніть вузол «Шифрування диска BitLocker».

Скористайтеся командою "Увімкнути BitLocker" у новому діалоговому вікні для диска, що містить системні файли, і дочекайтеся завершення сканування тома для визначення необхідності ініціалізації модуля TMP. Виконайте рекомендації майстра конфігурації шифрування даних щодо підключення необхідного модуля та дочекайтеся закінчення перезавантаження системи та появи повідомлення про ініціалізацію служби безпеки для довіреного платформного модуля.

Вкажіть бажаний метод збереження ключа безпеки в наступному діалоговому вікні майстра: - на знімному USB-носії; - у вибраному файлі;

Застосуйте прапорець у рядку «Запустити перевірку системи BitLocker» у черговому діалоговому вікні майстра та авторизуйте виконання дії, натиснувши кнопку «Продовжити». Підтвердьте застосування змін, натиснувши кнопку «Перезавантажити зараз» і проконтролюйте здійснення операції шифрування в рядку стану (для Windows 7).

Джерела:

• Увімкнення шифрування диска BitLocker на диску операційної системи (Windows 7)

У складі ОС Windows 7 є системний додаток BitLocker, який призначений для шифрування дисків загалом. На жаль, доступне воно лише у «старших» версіях цієї системи – «Максимальна» та «Корпоративна». Але і в інших варіантах ОС можна шифрувати окремі файли і папки. Вона реалізована за допомогою шифруючої надбудови EFS над основною файловою системою NTFS.

Вам знадобиться

• Windows 7.

Інструкція

Включити опцію шифрування окремого файлу чи всіх об'єктів у якомусь каталозі найпростіше через стандартний менеджер файлів Windows - «Провідник». Відкрийте його подвійним клацанням по ярлику «Комп'ютер» на робочому столі або вибором у головному меню ОС пункту з такою самою назвою.

У вікні цієї програми перейдіть до каталогу, що містить файл, шифруванняякого потрібно увімкнути. Клацніть по ньому правою кнопкою миші та у спливаючому меню активуйте пункт «Властивості».

Вкладка «Загальні» вікна властивостей файлу у нижній частині містить кнопку «Інші» - натисніть її. У новому вікні, яке в результаті відкриється, є секція "Атрибути стиснення та шифрування" з чекбоксом "Шифрувати вміст для захисту даних". Поставте позначку в цьому полі та натисніть кнопку OK.

З виходом операційної системи Windows 7 багато користувачів зіткнулися з тим, що в ній з'явилася дещо незрозуміла служба BitLocker. Що таке BitLocker, багатьом залишається лише здогадуватись. Спробуймо прояснити ситуацію на конкретних прикладах. Принагідно розглянемо питання щодо того, наскільки доцільним є задіяння цього компонента або його повне відключення.

BitLocker: що таке BitLocker, навіщо потрібна ця служба

Якщо розібратися, BitLocker є універсальним і повністю автоматизованим засобом, що зберігаються на вінчестері. Що таке BitLocker на жорсткому диску? Так просто служба, яка без участі користувача захищає файли та папки шляхом їх шифрування та створення спеціального текстового ключа, що забезпечує доступ до документів.

Коли користувач працює в системі під своїм обліковим записом, він може навіть не здогадуватися про те, що дані зашифровані, адже інформація відображається в читальному вигляді, і доступ до файлів та папок не заблоковано. Іншими словами, такий засіб захисту розрахований тільки на ті ситуації, коли до комп'ютерного терміналу проводиться наприклад, при спробі втручання ззовні (інтернет-атаки).

Питання паролів та криптографії

Тим не менш, якщо говорити про те, що таке BitLocker Windows 7 або систем рангом вище, варто відзначити і той неприємний факт, що при втраті пароля на вхід багато користувачів не те, що не можуть увійти в систему, а й виконати деякі дії з перегляду документів, раніше доступних, з копіювання, переміщення тощо.

Але це ще не все. Якщо розуміти питання, що таке BitLocker Windows 8 або 10, то особливих відмінностей немає, хіба що в них більш вдосконалена технологія криптографії. Тут проблема очевидно в іншому. Справа в тому, що сама служба здатна працювати в двох режимах, зберігаючи ключі дешифрації або на жорсткому диску, або на знімному носії USB.

Звідси напрошується найпростіший висновок: за наявності збереженого ключа на вінчестері користувач отримує доступ до всієї інформації, що зберігається, без проблем. А ось коли ключ зберігається на флешці, проблема куди серйозніша. Зашифрований диск чи розділ побачити, в принципі, можна, але рахувати інформацію - ніяк.

Крім того, якщо вже й говорити про те, що таке BitLocker Windows 10 або систем більш ранніх версій, не можна не відзначити той факт, що служба інтегрується в контекстні меню будь-якого типу, викликані правим кліком, що багатьох користувачів просто дратує. Але не забігатимемо вперед, а розглянемо всі основні аспекти, пов'язані з роботою цього компонента та доцільністю його застосування чи деактивації.

Методика шифрування дисків та знімних носіїв

Найдивніше в тому, що в різних системах та їх модифікаціях служба BitLocker може бути за замовчуванням і в активному, і в пасивному режимі. У «сімці» вона включена за замовчуванням, у восьмій та десятій версіях іноді потрібне ручне включення.

Що стосується шифрування, тут нічого особливо нового не винайдено. Як правило, використовується та сама технологія AES на основі відкритого ключа, що найчастіше застосовується в корпоративних мережах. Тому, якщо ваш комп'ютерний термінал з відповідною операційною системою на борту підключений до локальної мережі, можете бути впевнені, що політика безпеки та захисту даних, що застосовується, передбачає активацію цієї служби. Не маючи права адміна (навіть за умови запуску зміни налаштувань від імені адміністратора), ви нічого не зможете змінити.

Увімкнення BitLocker, якщо служба деактивована

Перш ніж вирішувати питання, пов'язане з BitLocker (як відключити службу, як прибрати її команди з контекстного меню), подивимося на включення та налаштування, тим більше, що кроки по деактивації потрібно буде робити у зворотному порядку.

Увімкнення шифрування найпростішим способом здійснюється з «Панелі управління» шляхом вибору розділу Цей спосіб застосовується тільки в тому випадку, якщо збереження ключа не повинно бути знімним носієм.

У тому випадку, якщо заблокованим є незнімний носій, доведеться знайти відповідь на інше питання про службу BitLocker: як відключити на флешку цей компонент? Робиться це досить легко.

За умови, що ключ знаходиться саме на знімному носії, для розшифровування дисків та дискових розділів спочатку потрібно вставити його у відповідний порт (роз'єм), а потім перейти до розділу системи безпеки панелі керування. Після цього знаходимо пункт шифрування BitLocker, а потім дивимося на диски та носії, на яких встановлений захист. У самому низу буде показано гіперпосилання відключення шифрування, яку і потрібно натиснути. За умови розпізнавання ключа активується дешифрування. Залишається лише дочекатися закінчення його виконання.

Проблеми налаштування компонентів шифрувальника

Щодо налаштування, тут без головного болю не обійтися. По-перше, система пропонує резервувати щонайменше 1,5 Гб під свої потреби. По-друге, потрібно налаштовувати дозволи файлової системи NTFS, зменшувати розмір тома і т.д. Щоб не займатися такими речами, краще відразу відключити цей компонент, адже більшості користувачів просто не потрібний. Навіть усі ті, у кого ця служба задіяна в налаштуваннях за замовчуванням, теж не завжди знають, що з нею робити, чи потрібна вона взагалі. А даремно. Захистити дані на локальному комп'ютері за допомогою неї можна навіть за умови відсутності антивірусного ПЗ.

BitLocker: як вимкнути. Початковий етап

Знову ж таки використовуємо раніше вказаний пункт у «Панелі управління». Залежно від модифікації системи назви полів відключення служби можуть змінюватися. На вибраному диску може стояти рядок припинення захисту або пряма вказівка ​​на вимкнення BitLocker.

Суть не в тому. Тут варто звернути увагу і на те, що потрібно повністю відключити завантажувальні файли комп'ютерної системи. В іншому випадку процес дешифрування може зайняти чимало часу.

Контекстне меню

Це лише одна сторона медалі, пов'язана із службою BitLocker. Що таке BitLocker, мабуть, вже зрозуміло. Але оборотна сторона полягає ще й у тому, щоб ізолювати додаткові меню від присутності в них посилань на цю службу.

Для цього подивимось ще раз на BitLocker. Як прибрати з усіх посилань на службу? Елементарно! У "Провіднику" при виділенні потрібного файлу або папки використовуємо розділ сервісу та редагування відповідного контекстного меню, переходимо до налаштувань, потім використовуємо налаштування команд та впорядковуємо їх.

Після цього в редакторі реєстру входимо у гілку HKCR, де знаходимо розділ ROOTDirectoryShell, розвертаємо його та видаляємо потрібний елемент натисканням клавіші Del або командою видалення з меню правого кліка. Власне, ось і останнє, що стосується компонента BitLocker. Як відключити його, здається, вже зрозуміло. Але не варто тішитися. Все одно ця служба буде працювати в (так, про всяк випадок), хочете ви цього чи ні.

Замість післямови

Залишається додати, що це далеко не все, що можна сказати про системний компонент шифрування BitLocker. Що таке BitLocker, розібралися, як його відключити та видалити команди меню – теж. Питання в іншому: чи варто вимкнути BitLocker? Тут можна дати тільки одну пораду: у корпоративній локальній мережі деактивувати цей компонент взагалі не варто. Але якщо це домашній комп'ютерний термінал, то чому б і ні?

У Windows Vista, Windows 7 та Windows 8 версій Pro та вище розробники створили спеціальну технологію для шифрування вмісту логічних розділів на всіх видів, зовнішніх дисках та USB-флешках - BitLocker.
Навіщо вона потрібна? Якщо запустити BitLocker, всі файли, що знаходяться на диску, будуть шифруватися. Шифрування відбувається прозоро, тобто вам не потрібно щоразу вводити пароль при збереженні файлу – система все робить автоматично та непомітно. Однак, як тільки ви вимкнете цей диск, при наступному його увімкненні буде потрібно спеціальний ключ (спеціальна смарт-картка, флешка або пароль) для доступу до нього. Тобто якщо ви випадково втратите ноутбук, прочитати вміст зашифрованого диска на ньому не вийде, навіть якщо ви витягнете цей жорсткий диск з цього ноутбука і спробуєте його прочитати на іншому комп'ютері. Ключ шифрування має таку довжину, що час на перебір всіх можливих комбінацій для підбору правильного варіанта на найпотужніших комп'ютерах обчислюватиметься десятиліттями. Звичайно, пароль можна вивідати під тортурами або вкрасти заздалегідь, але якщо флешка була втрачена випадково, або її вкрали, не знаючи, що вона зашифрована, то прочитати її буде неможливо.

Налаштування шифрування BitLocker на прикладі Windows 8: шифрування системного диска та шифрування флешок та зовнішніх USB-дисків.
Шифрування системного диска
Вимогою для роботи BitLocker для шифрування логічного диска, на якому встановлена ​​операційна система Windows, є наявність незашифрованого завантажувального розділу: система повинна все ж таки звідкись запускатися. Якщо правильно встановлювати Windows 8/7, то при встановленні створюються два розділи - невидимий розділ для завантажувального сектора та файлів ініціалізації та основний розділ, на якому зберігаються всі файли. Перший і є таким розділом, який шифрувати не потрібно. А ось другий розділ, в якому знаходяться всі файли, шифрується.

Щоб перевірити, чи є у вас ці розділи, відкрийте Керування комп'ютером

перейдіть до розділу Пристрої, що запам'ятовують - Управління дисками.

На скріншоті розділ, створений для завантаження системи, позначений як SYSTEM RESERVED. Якщо він є, то ви можете використовувати систему BitLocker для шифрування логічного диска, на якому встановлена ​​Windows.
Для цього зайдіть у Windows із правами адміністратора, відкрийте Панель управління

перейдіть до розділу Система та безпека

і увійдіть до розділу Шифрування диска BitLocker.
Ви побачите у ньому всі диски, які можна зашифрувати. Клацніть на посилання Увімкнути BitLocker.

Налаштування шаблонів політики безпеки
У цьому місці ви можете отримати повідомлення про те, що шифрування диска неможливе, доки будуть налаштовані шаблони політики безпеки.

Справа в тому, що для запуску BitLocker потрібно системі дозволити цю операцію - це може зробити тільки адміністратор і лише власноруч. Зробити це набагато простіше, ніж здається після прочитання незрозумілих повідомлень.

Відкрийте Провідник, натисніть Win + R- Відкриється рядок введення.

Введіть до неї та виконайте:

gpedit.msc

Відкриється Редактор локальної групової політики. Перейдіть до розділу

Адміністративні шаблони
- Компоненти Windows
-- Цей параметр політики дозволяє вибрати шифрування диска BitLocker
--- Диски операційної системи
---- Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску.

Встановіть значення параметра Увімкнено.

Після цього збережіть всі значення та поверніться до Панель управління- Ви можете запускати шифрування диска BitLocker.

Створення ключа та його збереження

Вам на вибір система запропонує два варіанти ключа: пароль та флешка.

При використанні флешки ви зможете скористатися жорстким диском тільки в тому випадку, якщо вставите флешку - на ній буде записаний у зашифрованому вигляді ключ. При використанні пароля вам потрібно буде його вводити щоразу, коли відбуватиметься звернення до зашифрованого розділу на цьому диску. У випадку з системним логічним диском комп'ютера пароль буде потрібен при холодному (з нуля) завантаженні або повному рестарті або при спробі прочитати вміст логічного диска на іншому комп'ютері. Щоб уникнути якогось підводного каміння, пароль вигадувати, використовуючи англійські літери та цифри.

Після створення ключа вам буде запропоновано зберегти інформацію для відновлення доступу у разі втрати: ви можете зберегти спеціальний код у текстовому файлі, зберегти його на флешці, зберегти його в обліковому записі Microsoft, або роздрукувати.

Зверніть увагу, що зберігається не сам ключ, а спеціальний код, необхідний для відновлення доступу.

Шифрування USB-дисків та флешок
Ви також можете шифрувати і зовнішні USB-диски і флешки - ця можливість вперше з'явилася в Windows 7 під назвою BitLocker To Go. Процедура така сама: ви вигадуєте пароль і зберігає код відновлення.

Коли ви монтуватимете USB-диск (приєднуватимете до комп'ютера), або спробуєте його розблокувати, система запросить у вас пароль.

Якщо ви не хочете щоразу вводити пароль, тому що впевнені в безпеці при роботі на цьому комп'ютері, то можете в додаткових параметрах при розблокуванні вказати, що довіряєте цьому комп'ютеру - у цьому випадку пароль буде вводитися завжди автоматично, доки ви не скасуйте налаштування довіри. Зверніть увагу, що на іншому комп'ютері система у вас попросить ввести пароль, оскільки налаштування довіри на кожному комп'ютері діє незалежно.

Після того, як ви попрацювали з USB-диском, розмонтуйте його або просто просто від'єднавши, або через меню безпечного вилучення, і зашифрований диск буде захищений від несанкціонованого доступу.

Два способи шифрування

BitLocker при шифруванні пропонує два способи, що мають однаковий результат, але різний час виконання: ви можете зашифрувати тільки зайняте інформацією місце, пропустивши обробку порожнього простору, або пройтися по диску повністю, зашифрувавши весь простір логічного розділу, включаючи і не зайнятий. Перше відбувається швидше, проте залишається можливість поновлення інформації з порожнього місця. Справа в тому, що за допомогою спеціальних програм можна відновлювати інформацію, навіть якщо її було видалено з Кошика, і навіть якщо диск було відформатовано. Звичайно, практично це виконати важко, але теоретична можливість все одно є, якщо ви не використовуєте для видалення спеціальні утиліти, які безповоротно видаляють інформацію. При шифруванні всього логічного диска шифруватиметься і місце, позначене як порожнє, і можливості відновлення інформації з нього навіть за допомогою спеціальних утиліт вже не буде. Цей спосіб абсолютно надійний, але повільніший.

При шифруванні диска бажано не вимикати комп'ютер. На шифрування 300 гігабайт у мене пішло приблизно 40 хвилин. Що буде, якщо раптово вимкнулося харчування? Не знаю, не перевіряв, але в інтернеті пишуть, що нічого страшного не станеться – потрібно буде просто розпочати шифрування заново.

Висновок

Таким чином, якщо ви постійно користуєтеся флешкою, на якій зберігаєте важливу інформацію, то за допомогою BitLocker можете захистити себе від попадання важливої ​​інформації в чужі руки. Також можна захистити інформацію і на жорстких дисках комп'ютера, включаючи і системні - досить повністю вимкнути комп'ютер, і інформація на дисках стане недоступною для сторонніх. Використання BitLocker після налаштування шаблонів політики безпеки не викликає жодних труднощів навіть у непідготовлених користувачів, якогось гальмування при роботі із зашифрованими дисками я не помітив.

BitLocker – нові можливості шифрування дисків

Втрата конфіденційних даних часто відбувається після того, як зловмисник отримав доступ до інформації на жорсткому диску. Наприклад, якщо шахрай якимось чином отримав можливість прочитати системні файли, він може спробувати з їх допомогою знайти паролі користувача, витягти персональну інформацію і т.д.

У Windows 7 є інструмент BitLocker, який дозволяє шифрувати весь диск, завдяки чому дані на ньому залишаються захищеними від сторонніх очей. Технологія шифрування BitLocker була представлена ​​Windows Vista, а в новій операційній системі вона була доопрацьована. Перерахуємо найцікавіші нововведення:

• включення BitLocker із контекстного меню "Провідника";
• автоматичне створення прихованого завантажувального розділу диска;
• підтримка агента відновлення даних (DRA) всім захищених томів.

Нагадаємо, що цей інструмент реалізований не у всіх редакціях Windows, а лише у версіях "Розширена", "Корпоративна" та "Професійна".

Захист дисків за допомогою технології BitLocker збереже конфіденційні дані користувача практично за будь-яких форс-мажорних обставин – у разі втрати знімного носія, крадіжки, несанкціонованого доступу до диска тощо. Технологія шифрування даних BitLocker може бути застосована до будь-яких файлів системного диска, а також до будь-яких носіїв, що додатково підключаються. Якщо дані, які містяться на зашифрованому диску, скопіювати на інший носій, інформацію буде перенесено без шифрування.

Для забезпечення більшої безпеки BitLocker може використовувати багаторівневе шифрування - одночасне залучення декількох видів захисту, включаючи апаратний та програмний метод. Комбінації засобів захисту даних дозволяють отримати кілька різних режимів роботи системи шифрування BitLocker. Кожен із них має свої переваги, а також забезпечує свій рівень безпеки:

• режим із використанням довіреного платформного модуля;
• режим з використанням довіреного платформного модуля та USB-пристрою;
• режим з використанням довіреного платформного модуля та персонального ідентифікаційного номера (ПІН-коду);
• режим із використанням USB-пристрою, що містить ключ.

Перш ніж ми розглянемо докладніше принцип використання BitLocker, потрібно зробити деякі пояснення. Насамперед важливо розібратися з термінологією. Довірений платформний модуль – це спеціальний криптографічний чіп, який дозволяє виконувати ідентифікацію. Така мікросхема може бути інтегрована, наприклад, у деяких моделях ноутбуків, настільних ПК, різних мобільних пристроях та ін.

Цей чіп зберігає унікальний "кореневий ключ доступу". Така "прошита" мікросхема - це ще один додатковий надійний захист від злому ключів шифрування. Якщо ці дані зберігалися б на будь-якому іншому носії, будь то жорсткий диск або карта пам'яті, ризик втрати інформації був би незрівнянно вищим, оскільки доступ до цих пристроїв отримати легше. За допомогою кореневого ключа доступу чіп може генерувати власні ключі шифрування, які можуть бути розшифровані тільки за допомогою довіреного платформного модуля. Пароль власника створюється за першої ініціалізації довіреного платформного модуля. Windows 7 підтримує роботу з довіреним платформним модулем версії 1.2, а також потребує сумісної BIOS.

Коли захист виконується виключно за допомогою довіреного платформного модуля, в процесі включення комп'ютера на апаратному рівні відбувається збір даних, включаючи дані про BIOS, а також інші дані, сукупність яких свідчить про справжність апаратного забезпечення. Такий режим роботи називається "прозорим" і не вимагає від користувача жодних дій - відбувається перевірка та, у разі успішного проходження, виконується завантаження у штатному режимі.

Цікаво, що комп'ютери, що містять довірений платформний модуль, - це поки що лише теорія для наших користувачів, оскільки ввезення та продаж подібних пристроїв на території Росії та України заборонено законодавством через проблеми з проходженням сертифікації. Таким чином, для нас залишається актуальним лише варіант захисту системного диска за допомогою USB-накопичувача, на який записано ключ доступу.

Технологія BitLocker дозволяє застосовувати алгоритм шифрування до дисків з даними, на яких використовуються файлові системи exFAT, FAT16, FAT32 або NTFS. Якщо шифрування застосовується до диска з операційною системою, то для використання технології BitLocker дані на цьому диску мають бути записані у форматі NTFS. Метод шифрування, який використовує технологія BitLocker, базується на стійкому алгоритмі AES зі 128-бітним ключем.

Одна з відмінностей функції Bitlocker у Windows 7 від аналогічного інструменту Windows Vista полягає в тому, що в новій операційній системі не потрібно виконувати спеціальну розмітку дисків. Раніше користувач повинен був для цього використовувати утиліту Microsoft BitLocker Disk Preparation Tool, зараз досить просто вказати, який саме диск повинен бути захищений, і система автоматично створить на диску прихований завантажувальний розділ, що використовується Bitlocker. Цей завантажувальний розділ буде використовуватися для запуску комп'ютера, він зберігається в незашифрованому вигляді (або завантаження було б неможливе), розділ же з операційною системою буде зашифрований. У порівнянні з Windows Vista розмір завантажувального розділу займає приблизно в десять разів менше дискового простору. Додатковому розділу не надається окрема літера, і він не відображається у списку розділів файлового менеджера.

Для керування шифруванням зручно використовувати інструмент у панелі керування під назвою "Шифрування диска BitLocker" (BitLocker Drive Encryption). Цей інструмент є менеджером дисків, за допомогою якого можна швидко шифрувати і відмикати диски, а також працювати з довіреним платформним модулем. У цьому вікні функцію шифрування BitLocker можна у будь-який момент скасувати або призупинити.

⇡ BitLocker To Go - шифрування зовнішніх пристроїв

У Windows 7 з'явився новий інструмент - BitLocker To Go, призначений для шифрування будь-яких знімних накопичувачів - USB-дисків, карт пам'яті та ін. в контекстному меню вибрати команду "Увімкнути BitLocker" (Turn on BitLocker).

Після цього буде запущено майстер шифрування вибраного диска.

Користувач може вибрати один із двох методів розблокування зашифрованого диска: за допомогою пароля - у цьому випадку користувачеві знадобиться ввести комбінацію з набору символів, а також за допомогою смарт-картки - у цьому випадку необхідно буде вказати спеціальний ПІН-код смарт-картки. Вся процедура шифрування диска займає досить багато часу - від декількох хвилин до півгодини, залежно від обсягу накопичувача, що шифрується, а також від швидкості його роботи.

Якщо підключити зашифрований знімний носій, доступ до накопичувачів звичайним способом буде неможливим, а при спробі звернутися до диска користувач побачить повідомлення:

У "Провіднику" зміниться також іконка диска, до якого застосовано систему шифрування.

Щоб розблокувати носій, потрібно ще раз клацнути правою кнопкою миші на літері носія в контекстному меню файлового менеджера і вибрати відповідну команду в контекстному меню. Після того, як у новому вікні буде правильно введено пароль, доступ до вмісту диска відкриється, і далі можна буде працювати з ним, як і з незашифрованим носієм.

В останні роки на різних форумах, у листах і при зустрічах все частіше користувачі починають ставити питання про те, що собою є порівняно новий функціонал операційних систем Windows Vista, Windows 7 і Windows Server 2008 / 2008 R2 – Windows BitLocker(З виходом останніх операційних систем дана технологія набула деяких змін і тепер називається BitLoker To Go). Але після того, як більшість користувачів і системних адміністраторів почують відповідь, що даний компонент – це «всього-то» вбудований засіб безпеки в сучасних операційних системах, який забезпечує надійний захист самої операційної системи, даних, які зберігаються на комп'ютері користувача, а також окремих томів і знімних носіїв, що дозволяє залишити дані користувача недоторканими при серйозних атаках, а також фізичним вилученням жорстких дисків, для подальшого автономного злому даних, я часто чую про те, що такий функціонал зовсім не буде затребуваним і його використання тільки ускладнить життя користувачам. З таким твердженням неможливо погодитися, оскільки дані мають бути у безпеці. Адже ви не залишаєте ключі від свого будинку чи код до електронного замку вашої організації кожному зустрічному?

Домашні користувачі зазвичай аргументують своє небажання користуватися даною технологією тим, що на їх комп'ютерах немає жодних «життєво важливих» даних і навіть якщо їх зламають, то нічого страшного не станеться, крім того, що хтось подивиться їхні профілі в соціальних мережах «Однокласники» і "Вконтакті". Власники ноутбуків і нетбуків вважають, що якщо їх техніка буде вкрадена, то про зниклі дані їм потрібно турбуватися найменше. Системні адміністратори в деяких компаніях стверджують, що вони не мають жодних секретних проектів і абсолютно всім співробітникам компанії можна довіряти, а додому документацію та продукти інтелектуальної праці вони беруть лише з метою закінчення роботи, на яку не вистачило робочого часу. А комп'ютери їх організації захищені антивірусним програмним забезпеченням та налаштуваннями брандмауерів за промовчанням. А навіщо потрібно захищати зовнішні накопичувачі, якщо на них просто зберігаються музичні та відео файли? І нічого, що такі пристрої, як флешки, можуть ходити як по організаціях, так і по всіх ваших знайомих.

Але з жодної з перерахованих вище причин не можна погодитися. У домашніх користувачів при атаці можуть не тільки скопіювати собі всю колекцію музичних та відео файлів, а вилучити всі паролі до банківських рахунків та облікові дані на відвідуваних сайтах за допомогою cookie-файлів або, не дай Боже, текстових файлах з логінами та паролями, які не рідко розташовуються робочому столі. Також є великий шанс, що буде переглянуто все поштове листування тощо. На вкрадених ноутбуках можуть бути конфіденційні дані, розкрадання яких може негативно позначитися на бізнесі вашої компанії, а звільнення з відповідним «заохоченням» у вашому резюме в майбутньому може позначитися на вашій крайній кар'єрі. І нарешті, в наш час у будь-якій організації є секретні дані, які не бажано показувати своїм конкурентам. І якщо буде успішно атакований, принаймні, один з комп'ютерів вашої організації, є величезний шанс, що незабаром у вас буде заражений весь ваш парк комп'ютерів, що спричинить титанічні зусилля для приведення комп'ютерів вашої організації в початковий стан. Недоброзичливці можуть знайтись навіть у вашій організації. Навіть якщо при виході з будівлі охороною перевіряються ваші сумки, вони не перевірятимуть зовнішні накопичувачі кожного працівника. А на них можна винести чимало даних, про які ще кілька місяців не повинні дізнатися ваші конкуренти.

З цієї причини вам просто необхідно постаратися убезпечити ваші дані будь-яким можливим дієвим способом. Саме для цього і призначений цей компонент сучасних операційних систем компанії Microsoft. Саме BitLocker дозволяє запобігти несанкціонованому доступу до даних навіть на втрачених або вкрадених комп'ютерах, тим самим покращуючи роботу вашої операційної системи. Для покращення захисту ваших даних Windows BitLocker використовує довірений платформний модуль (Trusted Platform Module - TPM) - специфікація, що деталізує криптопроцесор, в якому зберігаються криптографічні ключі для захисту інформації, а також узагальнене найменування реалізацій зазначеної специфікації, наприклад у вигляді "чіпа TPM", що гарантує цілісність компонентів, що використовуються навіть на ранній стадії завантаження.

У цих технологіях можна знайти переваги як для домашніх користувачів, так і для системних адміністраторів в організаціях. Для домашнього користувача до основної переваги даних технологій можна віднести простоту використання, оскільки для щоденного використання функціоналу BitLocker або BitLocker To Go захист комп'ютера та його відновлення для користувача є абсолютно прозорим. Системні адміністратори, напевно, оцінять зручності управління захистом даних. Для віддаленого керування шифруванням BitLocker, ви можете використовувати інфраструктуру доменних служб Active Directory, причому розширене керування буде здійснено засобами групових політик та скриптів.

Саме про ці компоненти операційних систем йтиметься у цьому циклі статей. Про дані компоненти та їх функціонал в Інтернеті вже можна знайти досить багато корисної інформації, включаючи чудові відео доповіді, в яких ви можете побачити принцип їх роботи. Тому я в статтях даного циклу постараюся докладніше розглянути більшість функціональних можливостей як для домашніх користувачів, так і для організацій для того, щоб вам не доводилося проводити тривалий час у пошуках того, як можна реалізувати той чи інший сценарій для застосування певних дій.

Архітектура даної технології

Як ви вже знаєте, коли операційна система перебуває в активному стані, її можна захистити за допомогою локальних політик безпеки, антивірусного програмного забезпечення та брандмауерів з міжмережевими екранами, а захистити том операційної системи на жорсткому диску ви можете засобами шифрування BitLocker. Для того, щоб скористатися всіма перевагами шифрування BitLocker і автентифікації системи, ваш комп'ютер повинен відповідати таким вимогам, як наявність встановленого модуля TPM версії 1.2, який при включенні шифрування дозволяє зберігати певний ключ для запуску системи всередині довіреного платформного модуля. Крім модуля TPM, у базовій системі вводу-виводу (BIOS) має бути встановлена ​​специфікація групи Trusted Computing Group (TCG), яка перед завантаженням операційної системи створює ланцюжок довіри для дій і включає підтримку статичного кореневого об'єкта зміни рівня довіри. На жаль, не всі материнські плати оснащені таким модулем як TPM, але навіть без цього модуля операційна система дозволяє вам скористатися даною технологією шифрування за наявності пристроїв USB з підтримкою команд UFI, а також у тому випадку, якщо ваш жорсткий диск розбитий на два і більше тому. Наприклад, на одному томі у вас буде знаходитись безпосередньо операційна система для якої і буде включено шифрування, а другий, системний том, ємністю не менше 1,5 Гб, містить файли, які потрібні для завантаження операційної системи після того, як BIOS завантажить платформу. Усі ваші томи мають бути відформатовані у файловій системі NTFS.

Архітектура шифрування BitLocker забезпечує керовані та функціональні механізми, як в режимі ядра, так і в режимі користувача. На високому рівні, до основних компонентів BitLocker можна віднести:

• Драйвер Trusted Platform Module(%SystemRoot%System32DriversTpm.sys) – драйвер, який звертається до чіпа TPM у режимі ядра;
• Основні служби TPM, які включають користувальницькі служби, що надають доступ до TPM в режимі користувача (%SystemRoot%System32tbssvc.dll), постачальника WMI, а також оснащення MMC (%SystemRoot%System32Tpm.msc);
• Пов'язаний код BitLocker у диспетчері завантаження (BootMgr), що аутентифікує доступ до жорсткого диска, а також дозволяє відновлювати та розблокувати завантажувач;
• Драйвер фільтра BitLocker(%SystemRoot%System32DriversFvevol.sys), який дозволяє шифрувати та розшифровувати томи на льоту в режимі ядра;
• Постачальник WMI BitLocker та управління сценаріями, які дозволяють настроювати та керувати сценаріями інтерфейсу BitLocker.

На наступній ілюстрації зображено різні компоненти та служби, які забезпечують коректну роботу технології шифрування BitLocker:

Мал. 1. Архітектура BitLocker

Ключі шифрування

BitLocker зашифровує вміст тома, використовуючи ключ шифрування всього тому(FVEK - Full Volume Encryption Key), призначеного йому під час його початкового налаштування для використання компонента BitLocker, з використанням алгоритмів 128 або 256-розрядного ключа AES AES128-CBC і AES256-CBC з розширеннями Microsoft, які називаються дифузорами. Ключ FVEK шифрується за допомогою головного ключа тому(VMK - Volume Master Key) та зберігається на томі в області, спеціально відведеній для метаданих. Захист головного ключа тому є непрямим способом захисту даних тому: доповнення головного ключа тому дозволяє системі перестворити ключ після того, як ключі були втрачені або скомпрометовані.

Коли ви налаштовуєте шифрування BitLocker, для захисту вашого комп'ютера за допомогою VMK, залежно від апаратної конфігурації, ви можете використовувати один з декількох методів. Шифрування BitLocker підтримує п'ять режимів автентифікації в залежності від апаратних можливостей комп'ютера та необхідного рівня безпеки. Якщо ваша апаратна конфігурація підтримує технологію довіреного платформного модуля (TPM), то ви можете зберігати VMK як в TMP, так і в TPM і на пристрої USB або зберігати ключ VMK в TPM і завантажувати систему вводити PIN. Крім цього, у вас є можливість скомбінувати два попередні методи. А для платформ, які не сумісні з технологією TPM, можна зберігати ключ на зовнішньому USB пристрої.

Варто звернути увагу на те, що при завантаженні операційної системи з увімкненим шифруванням BitLocker виконується послідовність дій, яка залежить від набору засобів захисту тому. Ці дії включають перевірку цілісності системи, а також інші кроки по автентичності, які повинні бути виконані перед зняттям блокування із захищеного тома. У наступній таблиці узагальнено різні способи, які можна використовувати для шифрування тома:

Джерело	Безпека	Дії користувача
Тільки TPM	Захищає від програмних атак, але вразливий до апаратних атак	Жодних
TPM + PIN	Додає захист від апаратних атак	Користувач повинен вводити PIN-код під час кожного запуску ОС
TPM + ключ USB	Повний захист від апаратних атак, але вразливий до втрати ключа USB
TPM + ключ USB + PIN	Максимальний рівень захисту	При кожному запуску ОС користувач повинен вводити PIN-код та використовувати ключ USB
Тільки ключ USB	Мінімальний рівень захисту для комп'ютерів, не оснащених TPM+, є ризик втрати ключа.	Користувач повинен використовувати USB ключ при кожному запуску ОС

Таблиця 1. Джерела VMK

На наступній ілюстрації показано способи шифрування томів:

Мал. 2. Способи шифрування томів за допомогою технології BitLocker

Перед тим, як BitLocker надасть доступ до FEVK і розшифрує те, вам потрібно надати ключі авторизованого користувача або комп'ютера. Як було зазначено вище, якщо у вашому комп'ютері є модуль TPM, ви можете використовувати різні методи перевірки аутентифікації. У наступних підрозділах розглянемо кожен із цих методів докладніше.

Використання тільки TPM

Процес завантаження операційної системи використовує TPM для того, щоб переконатися, що жорсткий диск підключений до відповідного комп'ютера і важливі системні файли не були пошкоджені, а також запобігає доступу жорсткого диска, якщо шкідлива програма або руткіт поставив під загрозу цілісність системи. Коли комп'ютер проходить валідацію, TPM розблокує VMK і ваша операційна система запускається без участі користувача, як ви можете побачити на наступній ілюстрації.

Мал. 3. Перевірка автентичності за допомогою технології TPM

Використання TPM разом із USB-ключом

На додаток до фізичного захисту, описаного в попередньому підрозділі, у цьому випадку TPM вимагає зовнішній ключ, який знаходиться на USB-пристрої. У цьому випадку користувачеві потрібно вставити USB-накопичувач, на якому зберігається зовнішній ключ, призначений для автентифікації користувача та цілісності комп'ютера. У цьому випадку, ви можете захистити свій комп'ютер від крадіжки, увімкнення комп'ютера, а також виведення з режиму глибокого сну. На жаль, цей спосіб не захистить вас від виведення комп'ютера зі сплячого режиму. При використанні цього способу, щоб зменшити ризик при крадіжці комп'ютера, вам потрібно зберігати зовнішній ключ окремо від комп'ютера. На наступній ілюстрації ви можете ознайомитися з використанням TPM разом із зовнішнім USB-ключом:

Мал. 4. Перевірка справжності за допомогою модуля TPM та USB-ключа

Використання TPM разом із PIN-кодом

Цей спосіб перешкоджає запуску комп'ютера, доки користувач не введе персональний ідентифікаційний номер (PIN-код). Цей спосіб дозволяє захистити ваш комп'ютер у тому випадку, якщо ви вкрали вимкнений комп'ютер. На жаль, вам не варто використовувати цей метод у тому випадку, якщо комп'ютер повинен запускатися автоматично без участі людини, яка зазвичай виступає як сервер. Коли запитується PIN, апаратний модуль TPM комп'ютера відображає запит для введення чотиризначного PIN-коду зі спеціальною затримкою, яка встановлюється виробниками материнської плати та самого модуля TPM. На наступній ілюстрації ви можете побачити цей спосіб автентифікації:

Мал. 5. Перевірка автентичності за допомогою TPM та PIN-коду

Використання комбінованого методу (TPM+PIN-код+USB-ключ)

У операційних системах Windows 7 і Windows Vista ви можете використовувати комбінований метод автентифікації для максимального рівня захисту комп'ютера. У цьому випадку до апаратної автентифікації TPM додається введення PIN-коду та використання зовнішнього ключа, який знаходиться на USB-накопичувачі. Всі ці засоби забезпечують максимальний рівень захисту BitLocker, які вимагають дані, які знає і використовує користувач. Для того щоб зловмисник заволодів вашими даними, які розташовані на захищеному за допомогою технології BitLocker томі, йому потрібно вкрасти ваш комп'ютер, мати USB-накопичувач з вашим ключем, а також знати PIN-код, що практично неможливо. На наступній ілюстрації зображено цей метод автентифікації:

Мал. 6. Перевірки автентичності з використанням TPM, USB-ключа, а також PIN-коду

Перевірка автентичності тільки з USB-ключом запуску

У цьому випадку користувач надає VMK на диску, USB-накопичувачі або на будь-яких зовнішніх пристроях зберігання даних для розшифровки FEVK та тома, зашифрованих за допомогою технології BitLocker на комп'ютері, в якому не встановлено модуль TPM. Використання ключа запуску без TPM дозволяє шифрувати дані без оновлення апаратного обладнання. Цей спосіб вважається найбільш уразливим, так як у цьому випадку не виконується перевірка цілісності завантаження і при перенесенні жорсткого диска на інший комп'ютер, даними із зашифрованого диска можна буде скористатися.

Висновок

Шифрування диска BitLocker – це засіб безпеки у сучасних операційних системах Windows, який дозволяє захистити операційну систему та дані, що зберігаються на ваших комп'ютерах. В ідеальному поєднанні BitLocker налаштовується на використання довіреного платформного модуля TPM, що забезпечує цілісність компонентів початкового завантаження та блокування томів, які захищаються навіть у тому випадку, якщо операційна система ще не запущена. У цій статті циклу, присвяченого шифруванню даних, ви дізналися про архітектуру цього засобу. У наступній статті ви дізнаєтеся про реалізацію шифрування диска за допомогою технології Windows BitLocker.