Багато хто використовує функцію шифрування Windows, але не всі замислюються про безпеку такого способу захисту даних. Сьогодні ми поговоримо про шифрування Bitlocker і спробуємо розібратися, наскільки добре реалізований захист дисків Windows.

До речі, про те, як налаштувати Бітлокер, ви можете прочитати у статті ««.

• Передмова
• Як працює Bitlocker
• Вразливості
• Ключі відновлення
• Розкриваємо BitLocker
• BitLocker To Go
• Висновок

Стаття написана у дослідницьких цілях. Вся інформація в ній має ознайомлювальний характер. Вона адресована фахівцям з безпеки та тим, хто хоче ними стати.

Як працює Bitlocker

Що таке Bitlocker?

BitLocker - це рідна функція шифрування дисків в операційних системах Windows 7, 8, 8.1, 10. Ця функція дозволяє надійно зашифрувати конфіденційні дані на комп'ютері як на HDD і SSD, так і на носіях, що знімаються.

Як влаштований BitLocker?

Про надійність BitLocker не слід судити з репутації AES. Популярний стандарт шифрування може і не мати відверто слабких місць, а його реалізації в конкретних криптографічних продуктах ними часто рясніють. Повний код технології BitLocker компанія Microsoft не розкриває. Відомо лише, що в різних версіях Windows вона базувалася на різних схемах, а зміни не коментувалися. Більше того, у збірці 10586 Windows 10 він просто зник, а через два білди з'явився знову. Проте про все по порядку.

Перша версія BitLocker використала режим зчеплення блоків шифртексту (CBC). Вже тоді були очевидні його недоліки: легкість атаки за відомим текстом, слабка стійкість до атак на кшталт підміни тощо. Тому в Microsoft одразу вирішили посилити захист. Вже до Vista до схеми AES-CBC було додано алгоритм Elephant Diffuser, що утрудняє пряме порівняння блоків шифртексту. З ним однакові вміст двох секторів давало після шифрування одним ключем зовсім різний результат, що ускладнювало обчислення загального патерну. Однак сам ключ за умовчанням використовувався короткий – 128 біт. Через адміністративні політики його можна подовжити до 256 біт, але чи це варто робити?

Для користувачів після зміни ключа зовні нічого не зміниться - ні довжина паролів, що вводяться, ні суб'єктивна швидкість виконання операцій. Як і більшість систем повнодискового шифрування, BitLocker використовує кілька ключів... і жоден користувач не бачать. Ось важлива схема BitLocker.

• При активації BitLocker за допомогою генератора псевдовипадкових чисел створюється основна бітова послідовність. Це ключ шифрування тому - FVEK (full volume encryption key). Саме їм відтепер шифрується вміст кожного сектора.
• У свою чергу, FVEK шифрується за допомогою іншого ключа – VMK (volume master key) – і зберігається у зашифрованому вигляді серед метаданих томів.
• Сам VMK теж шифрується, але вже різними способами на вибір користувача.
• На нових материнських платах ключ VMK за умовчанням шифрується за допомогою ключа SRK (storage root key), який зберігається в окремому криптопроцесорі – довіреному модулі (TPM, trusted platform module). Користувач не має доступу до вмісту TPM і унікальний для кожного комп'ютера.
• Якщо окремого чіпа TPM на платі немає, то замість SRK для шифрування ключа VMK використовується введений користувачем пін-код або USB-Flash-накопичувач, що підключається за запитом, з попередньо записаною на ньому ключовою інформацією.
• Додатково до TPM або флешки можна захистити VMK ключем паролем.

Така загальна схема роботи BitLocker зберігалася і в наступних випусках Windows аж до теперішнього часу. Однак способи генерації ключів та режими шифрування в BitLocker змінювалися. Так, у жовтні 2014 року Microsoft по-тихому прибрала додатковий алгоритм Elephant Diffuser, залишивши лише схему AES-CBC із її відомими недоліками. Спочатку про це не було зроблено жодних офіційних заяв. Людям просто видали ослаблену технологію шифрування з колишньою назвою під виглядом поновлення. Туманні пояснення цього кроку були вже після того, як спрощення в BitLocker помітили незалежні дослідники.

Формально відмова від Elephant Diffuser була потрібна для забезпечення відповідності Windows вимогам федеральних стандартів обробки інформації США (FIPS), проте один аргумент спростовує цю версію: Vista та Windows 7, в яких використовувався Elephant Diffuser, без проблем продавалися в Америці.

Ще одна уявна причина відмови від додаткового алгоритму - відсутність апаратного прискорення для Elephant Diffuser і втрата в швидкості при його використанні. Однак у колишні роки, коли процесори були повільнішими, швидкість шифрування чомусь влаштовувала. Та й той самий AES широко застосовувався ще до того, як з'явилися окремі набори команд та спеціалізовані чіпи для його прискорення. Згодом можна було зробити апаратне прискорення і для Elephant Diffuser або хоча б надати клієнтам вибір між швидкістю та безпекою.

Реалістичнішою виглядає інша, неофіційна версія. "Слон" заважав співробітникам, яким хотілося витрачати менше зусиль при розшифровці чергового диска, а Microsoft охоче взаємодіє з органами влади навіть у тих випадках, коли їхні запити не цілком законні. Побічно підтверджує теорію змови і те що, що до Windows 8 під час створення ключів шифрування в BitLocker застосовувався вбудований у Windows генератор псевдовипадкових чисел. У багатьох (якщо не в усіх) випусках Windows це був Dual_EC_DRBG - «криптографічний стійкий ГПСЧ», розроблений Агентством національної безпеки США і що містить ряд закладених у нього вразливостей.

Зрозуміло, таємне ослаблення вбудованого шифрування викликало сильну хвилю критики. Під її тиском Microsoft знову переписала BitLocker, замінивши нові випуски Windows ГПСЧ на CTR_DRBG. Додатково у Windows 10 (починаючи зі складання 1511) схемою шифрування за умовчанням стала AES-XTS, імунна до маніпуляцій із блоками шифртексту. В останніх збірках "десятки" були усунені й інші відомі недоліки BitLocker, але головна проблема, як і раніше, залишилася. Вона настільки абсурдна, що робить безглуздими решту нововведень. Йдеться принципи управління ключами.

Завдання дешифрування дисків BitLocker спрощує ще й те, що Microsoft активно просувають альтернативний метод відновлення доступу до даних через Data Recovery Agent. Сенс «Агента» у цьому, що він шифрує ключі шифрування всіх накопичувачів межах мережі підприємства єдиним ключем доступу. Отримавши його, можна розшифрувати будь-який ключ, а значить, і будь-який диск, який використовується в тій же компанії. Зручно? Так, особливо для злому.

Ідея використовувати один ключ для всіх замків вже скомпрометувала себе багаторазово, проте до неї продовжують повертатися в тій чи іншій формі задля зручності. Ось як записав Ральф Лейтон спогади Річарда Фейнмана про один характерний епізод його роботи над проектом «Манхеттен» у Лос-Аламоській лабораторії: «…я відкрив три сейфи – і всі три однією комбінацією. Я приділив усіх їх: відкрив сейфи з усіма секретами атомної бомби - технологією отримання плутонію, описом процесу очищення, відомостями про те, скільки потрібно матеріалу, як працює бомба, як виходять нейтрони, як влаштована бомба, які її розміри, - словом, все, про що знали у Лос-Аламосі, всю кухню!».

BitLocker чимось нагадує пристрій сейфів, описаний в іншому фрагменті книги «Ви, звичайно, жартуєте, містере Фейнман!». Найбільший сейф надсекретної лабораторії мав ту саму вразливість, що й проста шафка для документів. «…Це був полковник, і в нього був набагато хитріший, дводверніший сейф з великими ручками, які витягували з рами чотири сталеві стрижні товщиною три чверті дюйми. Я оглянув задню сторону однієї з значних бронзових дверей і виявив, що цифровий лімб з'єднаний з маленьким замочком, який виглядав так само, як і замок моєї шафи в Лос-Аламосі. Було очевидно, що система важелів залежить від того самого маленького стрижня, який замикав шафи для документів. Зображуючи якусь діяльність, я почав навмання крутити лімб. Через дві хвилини – клац! – сейф відкрився. Коли дверцята сейфа або верхній ящик шафи для документів відчинені, дуже легко знайти комбінацію. Саме це я зробив, коли Ви читали мій звіт лише для того, щоб продемонструвати Вам небезпеку».

Криптоконтейнери BitLocker власними силами досить надійні. Якщо вам принесуть невідомо звідки флешку, зашифровану BitLocker To Go, то ви навряд чи розшифруєте її за прийнятний час. Однак у реальному сценарії використання зашифрованих дисків та знімних носіїв повно вразливостей, які легко використовуватиме обхід BitLocker.

Вразливості BitLocker

Напевно, ви помітили, що при першій активації Бітлокер доводиться довго чекати. Це не дивно – процес посекторного шифрування може зайняти кілька годин, адже навіть прочитати всі терабайтні блоки HDD швидше не вдається. Однак відключення BitLocker відбувається практично миттєво – як же так?

Справа в тому, що при відключенні Бітлокер не розшифровує дані. Всі сектори залишаться зашифрованими ключем FVEK. Просто доступ до цього ключа більше не обмежуватиметься. Усі перевірки відключаться, а VMK залишиться записаним серед метаданих у відкритому вигляді. При кожному включенні комп'ютера завантажувач ОС зчитуватиме VMK (вже без перевірки TPM, запиту ключа на флешці або пароля), автоматично розшифровуватиме ним FVEK, а потім і всі файли в міру звернення до них. Для користувача все буде виглядати як повна відсутність шифрування, але уважні можуть помітити незначне зниження швидкодії дискової підсистеми. Точніше - відсутність збільшення швидкості після відключення шифрування.

Цікаво у цій схемі та інше. Незважаючи на назву (технологія повнодискового шифрування), частина даних при використанні BitLocker все одно залишається незашифрованою. У відкритому вигляді залишаються MBR і BS (якщо диск не був проініціалізований в GPT), пошкоджені сектори і метадані. Відкритий завантажувач дає простір фантазії. У псевдозбійних секторах зручно ховати й іншу малечу, а метадані містять багато всього цікавого, у тому числі копії ключів. Якщо бітлокер активний, то вони будуть зашифровані (але слабше, ніж FVEK шифрує вміст секторів), а якщо деактивований, то просто будуть лежати у відкритому вигляді. Це все потенційні вектори атаки. Потенційні вони тому, що, крім них, є набагато простіші й універсальніші.

Ключ відновлення Bitlocker

Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення, із якими пов'язаний ще один популярний вектор атаки. Користувачі бояться забути свій пароль та втратити доступ до системи, а Windows сама рекомендує їм зробити аварійний вхід. Для цього майстер шифрування BitLocker на останньому етапі пропонує створити ключ відновлення. Відмову від його створення не передбачено. Можна тільки вибрати один з варіантів експорту ключа, кожен з яких дуже вразливий.

У налаштуваннях за замовчуванням ключ експортується як простий текстовий файл із впізнаваним ім'ям: "Ключ відновлення BitLocker #", де замість # пишеться ідентифікатор комп'ютера (так, прямо в імені файлу!). Сам ключ має такий вигляд.

Якщо ви забули (або ніколи не знали) заданий у BitLocker пароль, просто пошукайте файл з ключем відновлення. Напевно, він буде збережений серед документів поточного користувача або на його флешці. Можливо, він навіть надрукований на листку, як це рекомендує зробити Microsoft.

Для швидкого виявлення ключа відновлення зручно обмежити пошук розширення (txt), дату створення (якщо знаєте, коли приблизно могли включити BitLocker) і розмір файлу (1388 байт, якщо файл не редагували). Знайшовши ключ відновлення, скопіюйте його. З ним ви зможете будь-якої миті обійти стандартну авторизацію в BitLocker. Для цього достатньо натиснути Esc та ввести ключ відновлення. Ви затримаєтеся без проблем і навіть зможете змінити пароль у BitLocker на довільний, не вказуючи старий!

Розкриваємо BitLocker

Реальна криптографічнасистема - це компроміс між зручністю, швидкістю та надійністю. У ній треба передбачити процедури прозорого шифрування з дешифруванням на льоту, методи відновлення забутих паролів та зручної роботи з ключами. Все це послаблює будь-яку систему, на яких би стійких алгоритмах вона не базувалася. Тому необов'язково шукати вразливості безпосередньов алгоритмі Rijndael або у різних схемах стандарту AES. Набагато простіше їх знайти саме у специфіці конкретної реалізації.

У випадку Microsoft такої "специфіки" вистачає. Наприклад, копії ключів BitLocker за замовчуванням надсилаються до SkyDrive і депонуються в Active Directory.

Ну, раптом ви їх втратите... або агент Сміт спитає. Клієнта незручно змушувати чекати, а вже агента – тим більше. З цієї причини порівняння криптостійкості AES-XTS і AES-CBC з Elephant Diffuser відходить на другий план, як і рекомендації збільшити довжину ключа. Яким би довгим він не був, атакуючий легко отримає його в незашифрованомувигляді.

Отримання депонованих ключів з облікового запису Microsoft або AD - основний спосіб відкриття BitLocker . Якщо користувач не реєстрував облік у хмарі Microsoft, а його комп'ютер не знаходиться в домені, то все одно знайдуться способи витягти ключі шифрування. Під час звичайної роботи їх відкриті копії завжди зберігаються в оперативній пам'яті (інакше не було б «прозорого шифрування»). Це означає, що вони доступні в її дампі та файлі глибокого сну.

Чому вони взагалі там зберігаються?

Як це не смішно - для зручності. BitLocker розроблявся для захисту лише від офлайнових атак. Вони завжди супроводжуються перезавантаженням та підключенням диска до іншої ОС, що призводить до очищення оперативної пам'яті. Однак у налаштуваннях за замовчуванням ОС виконує дамп оперативної пам'яті при виникненні збою (який можна спровокувати) і записує весь її вміст у файл глибокого сну при кожному переході комп'ютера в глибокий сон. Тому, якщо у Windows з активованим BitLocker нещодавно виконувався вхід, є хороший шанс отримати копію ключа VMK у розшифрованому вигляді, а з його допомогою розшифрувати FVEK і потім самі дані по ланцюжку.

Перевіримо? Всі описані вище методи злому BitLocker зібрані в одній програмі – Forensic Disk Decryptor, розробленій у вітчизняній компанії «Елкомсофт». Вона вміє автоматично витягувати ключі шифрування та монтувати зашифровані томи як віртуальні диски, виконуючи їх розшифровку на льоту.

Додатково в EFDD реалізований ще один нетривіальний спосіб отримання ключів-атакою через порт FireWire, яку доцільно використовувати в тому випадку, коли немає можливості запускати свій софт на комп'ютері, що атакується. Саму програму EFDD ми завжди встановлюємо на свій комп'ютер, а на намагаємося обійтися мінімально необхідними діями.

Наприклад просто запустимо тестову систему з активним BitLocker і «непомітно» зробимо дамп пам'яті. Так ми змоделюємо ситуацію, коли колега вийшов на обід і не заблокував свій комп'ютер. Запускаємо RAM Capture і менше ніж за хвилину отримуємо повний дамп у файлі з розширенням.mem та розміром, що відповідає обсягу оперативної пам'яті, встановленої на комп'ютері жертви.

Чим робити дамп - за великим рахунком, без різниці. Незалежно від розширення це вийде бінарний файл, який буде автоматично проаналізований EFDD у пошуках ключів.

Записуємо дамп на флешку або передаємо його по мережі, після чого сідаємо за свій комп'ютер та запускаємо EFDD.

Вибираємо опцію «Вилучити ключі» і як джерело ключів вводимо шлях до файлу з дампом пам'яті.

BitLocker - типовий кріптоконтейнер, на зразок PGP Disk або TrueCrypt. Ці контейнери вийшли досить надійними самі по собі, але клієнтські програми для роботи з ними під Windows смітять ключами шифрування в оперативній пам'яті. Тому в EFDD реалізовано сценарій універсальної атаки. Програма миттєво шукає ключі шифрування від усіх трьох видів популярних криптоконтейнерів. Тому можна залишити зазначеними всі пункти - раптом жертва потай використовує або PGP!

За кілька секунд Elcomsoft Forensic Disk Decryptor показує всі знайдені ключі у своєму вікні. Для зручності їх можна зберегти у файл - це знадобиться надалі.

Тепер BitLocker більше не завада! Можна провести класичну офлайнову атаку – наприклад, витягнути жорсткий диск та скопіювати його вміст. Для цього просто підключіть його до свого комп'ютера та запустіть EFDD у режимі "розшифрувати або змонтувати диск".

Після вказівки шляху до файлів із збереженими ключами EFDD на ваш вибір виконає повне розшифрування тома або відразу відкриє його як віртуальний диск. У разі файли розшифровуються у міру звернення до них. У будь-якому варіанті жодних змін до оригінального тому не вноситься, так що наступного дня можеш повернути його як ні в чому не бувало. Робота з EFDD відбувається безвісти і тільки з копіями даних, а тому залишається непомітною.

BitLocker To Go

Починаючи з "сімки" у Windows з'явилася можливість шифрувати флешки, USB-HDD та інші зовнішні носії. Технологія під назвою BitLocker To Go шифрує знімні накопичувачі так само, як і локальні диски. Шифрування включається відповідним пунктом у контекстному меню "Провідника".

Для нових накопичувачів можна використовувати шифрування тільки зайнятої області - все одно вільне місце поділу забите нулями і приховувати там нічого. Якщо накопичувач вже використовувався, то рекомендується включити на ньому повне шифрування. Інакше місце, позначене як вільне, залишиться незашифрованим. Воно може містити у відкритому вигляді недавно видалені файли, які ще не були перезаписані.

Навіть швидке шифрування тільки зайнятої області займає від кількох хвилин до кількох годин. Цей час залежить від обсягу даних, пропускної спроможності інтерфейсу, характеристик накопичувача та швидкості криптографічних обчислень процесора. Оскільки шифрування супроводжується стисненням, вільне місце на зашифрованому диску зазвичай дещо збільшується.

При наступному підключенні зашифрованої флешки до будь-якого комп'ютера з Windows 7 і вище, автоматично викличеться майстер BitLocker для розблокування диска. У «Провіднику» до розблокування вона буде відображатися як диск, закритий на замок.

Тут можна використовувати як вже розглянуті варіанти обходу BitLocker (наприклад, пошук ключа VMK у дампі пам'яті або файлі глибокого сну), так і нові, пов'язані з ключами відновлення.

Якщо ви не знаєте пароль, але вам вдалося знайти один із ключів (вручну або за допомогою EFDD), то для доступу до зашифрованої флешки є два основні варіанти:

• використовувати вбудований майстер BitLocker для безпосередньої роботи з флешкою;
• використовувати EFDD для повної розшифровки флешки та створення її посекторного образу.

Перший варіант дозволяє отримати доступ до записаних на флешці файлів, скопіювати або змінити їх, а також записати свої. Другий варіант виконується набагато довше (від півгодини), проте має переваги. Розшифрований посекторний образ дозволяє надалі виконувати більш тонкий аналіз файлової системи лише на рівні криміналістичної лабораторії. При цьому сама флешка вже не потрібна і може бути повернена без змін.

Отриманий образ можна відкрити відразу в будь-якій програмі, що підтримує формат IMA, або спочатку конвертувати в інший формат (наприклад, UltraISO).

Зрозуміло, крім виявлення ключа відновлення для BitLocker2Go, в EFDD підтримуються й інші методи обходу BitLocker. Просто перебирайте всі доступні варіанти поспіль, доки не знайдете ключ будь-якого типу. Інші (аж до FVEK) самі будуть розшифровані по ланцюжку, і ви отримаєте повний доступ до диска.

Висновок

Технологія повнодискового шифрування BitLocker відрізняється різними версіями Windows. Після адекватного налаштування вона дозволяє створювати криптоконтейнери, які теоретично можна порівняти за стійкістю з TrueCrypt або PGP. Однак вбудований у Windows механізм роботи з ключами зводить нанівець усі алгоритмічні хитрощі. Зокрема, ключ VMK, який використовується для дешифрування основного ключа BitLocker, відновлюється за допомогою EFDD за кілька секунд з депонованого дубліката, дампа пам'яті, файлу гібернації або атакою на порт FireWire.

Отримавши ключ, можна виконати класичну офлайнову атаку, непомітно скопіювати та автоматично розшифрувати всі дані на «захищеному» диску. Тому BitLocker доцільно використовувати лише разом з іншими засобами захисту: шифрованою файловою системою (EFS), службою управління правами (RMS), контролем запуску програм, контролем встановлення та підключення пристроїв, а також жорсткішими локальними політиками та загальними заходами безпеки.

У статті використано матеріали сайту:

Багато користувачів з виходом операційної системи Windows 7 зіткнулися з тим, що з'явилася незрозуміла служба BitLocker. Багатьом залишається лише здогадуватися, що таке BitLocker. Давайте на конкретних прикладах прояснимо ситуацію. Також ми розглянемо питання, які стосуються того, наскільки доцільним є задіяння даного компонента або його повне відключення.

Служба BitLocker: навіщо вона потрібна

Якщо розібратися як слід, то можна зробити висновок, що BitLocker є повністю автоматизованим універсальним засобом шифрування даних, які зберігаються на жорсткому диску. Що таке BitLocker на жорсткому диску? Це звичайна служба, яка без участі користувача дозволяє захистити папки та файли шляхом їх шифрування та створення спеціального текстового ключа, що забезпечує доступ до документів. У той момент, коли користувач працює під своїм обліковим записом, він навіть не здогадується, що дані є зашифрованими. Вся інформація відображається в читальному вигляді і доступ до папок та файлів для користувача не заблоковано. Інакше кажучи, такий засіб захисту розрахований лише на ті ситуації, за яких до комп'ютерного терміналу здійснюється несанкціонований доступ під час спроби втручання ззовні.

Питання криптографії та паролів

Якщо говорити про те, що являє собою BitLocker Windows 7 або в системах вищого рангу, необхідно відзначити такий неприємний факт: у разі втрати пароля на вхід багато користувачів не зможуть не тільки зайти в систему, але й виконати деякі дії з перегляду документів, які раніше були доступні, переміщення, копіювання і так далі. Але на цьому проблеми не закінчуються. Якщо добре розібратися з питанням, що являє собою BitLocker Windows 8 і 10, то особливих відмінностей тут немає. Можна відзначити лише більш вдосконалену технологію криптографії. Проблема тут полягає в іншому. Справа в тому, що сама по собі служба здатна працювати в двох режимах, зберігаючи ключі дешифрації або на жорсткому диску, або на знімному USB-носії. Звідси напрошується логічний висновок: користувач за наявності збереженого ключа на вінчестері без проблем отримує доступ до всієї інформації, яка на ньому зберігається. Коли ключ зберігається на флеш-накопичувачі, проблема набагато серйозніша. В принципі можна побачити зашифрований диск чи розділ, а ось рахувати інформацію ніяк не вийде. До того ж, якщо вже говорити про те, що є BitLocker Windows 10 і систем більш ранніх версій, то необхідно відзначити той факт, що служба інтегрується в контекстні меню будь-якого типу, які викликаються шляхом правого кліку миші. Багато користувачів це просто дратує. Не будемо забігати вперед і розглянемо всі основні аспекти, пов'язані з роботою даного компонента, а також з доцільністю його деактивації та використання.

Методика шифрування знімних носіїв та дисків

Найдивніше те, що в різних системах та їх модифікаціях за замовчуванням служба BitLocker Windows 10 може перебувати як в активному, так і в пасивному режимі. У Windows 7 вона за замовчуванням увімкнена, у Windows 8 і Windows 10 іноді потрібне ручне включення. Що ж до шифрування, то тут нічого нового не винайшли. Зазвичай використовується та сама технологія AES на основі відкритого ключа, що найчастіше застосовується в корпоративних мережах. Тому якщо ваш комп'ютерний термінал з відповідною операційною системою підключений до локальної мережі, ви можете бути повністю впевнені в тому, що політика безпеки та захисту інформації передбачає активацію цієї служби. Навіть маючи права адміністратора, нічого змінити ви не зможете.

Увімкнення служби BitLocker Windows 10, якщо вона була деактивована

Перш ніж приступати до вирішення питання, пов'язаного з BitLocker Windows 10, необхідно розглянути процес її увімкнення та налаштування. Кроки деактивації необхідно буде здійснювати у зворотному порядку. Увімкнення шифрування найпростішим способом здійснюється з панелі керування шляхом вибору розділу шифрування диска. Цей спосіб може використовуватися тільки в тому випадку, якщо збереження ключа не повинно виконуватися на носій, що знімається. Якщо заблоковано незнімний носій, доведеться шукати інше питання про службу BitLocker Windows 10: як відключити даний компонент? Це робиться досить легко. За умови, що ключ знаходиться на знімному носії, для розшифрування дисків та дискових розділів необхідно вставити його у відповідний порт, а потім перейти до розділу системи безпеки панелі керування. Після цього знаходимо пункт шифрування BitLocker, а потім розглядаємо носії та диски, на яких встановлений захист. Внизу буде гіперпосилання, призначене для відключення шифрування. Потрібно натиснути на неї. За умови розпізнавання ключа активується процес дешифрування. Вам залишиться лише дочекатися завершення його виконання.

Налаштування компонентів шифрувальників: проблеми

Що ж до питання налаштування, то тут не обійдеться без головного болю. Насамперед, варто зазначити, що система пропонує зарезервувати під свої потреби щонайменше 1,5 Гб. По-друге, необхідно налаштовувати роздільну здатність файлової системи NTFS, наприклад, зменшувати розмір тома. Для того, щоб займатися такими речами, слід відразу відключити цей компонент, оскільки більшості користувачів він не потрібний. Навіть ті, у кого ця служба за умовчанням задіяна в налаштуваннях, не завжди знають, що з нею потрібно робити, і чи потрібна вона взагалі. І дарма… На локальному комп'ютері можна захистити з її допомогою дані навіть за умови повної відсутності антивірусного програмного забезпечення.

Як вимкнути BitLocker: початковий етап

Насамперед необхідно використовувати в «Панелі управління» зазначений раніше пункт. Назви полів відключення служби можуть змінюватися залежно від модифікації системи. На вибраному накопичувачі може бути вибраний рядок припинення захисту або вказівка ​​на вимкнення служби BitLocker. Але суть не в цьому. Слід звернути особливу увагу на той момент, що необхідно повністю відключити оновлення BIOS та завантажувальних файлів системи. Інакше процес дешифрування може зайняти досить тривалий час.

Контекстне меню

Це одна сторона медалі, яка пов'язана із службою BitLocker. Що являє собою дана служба, має бути вже зрозуміло. Зворотний бік полягає в тому, щоб ізолювати додаткові меню від присутності в них посилань на цю службу. Для цього потрібно ще раз подивитись на BitLocker. Як видалити посилання на службу з контекстного меню? Так дуже просто… При виділенні потрібного файлу в «Провіднику» використовуємо розділ сервісу та редагування контекстного меню, переходимо до налаштувань, а потім використовуємо налаштування команд та впорядковуємо їх. Далі необхідно вказати значення «Панелі управління» та знайти у списку відповідних елементів панелей та команд потрібну та видалити її. Потім у редакторі реєстру необхідно зайти на гілку HKCR і знайти розділ ROOT Directory Shell, розгорнути його та видалити потрібний елемент шляхом натискання клавіші Del або за допомогою команди видалення з меню правого кліка. Це останнє, що стосується BitLocker. Як його вимкнути, вам має бути вже зрозуміло. Але не варто тішитись раніше часу. Ця служба все одно працюватиме у фоновому режимі, хочете ви цього чи ні.

Висновок

Потрібно додати, що це далеко не все, що можна сказати про системний компонент шифрування BitLocker. Ми вже розібралися, що являє собою BitLocker. Також ви дізналися, як можна вимкнути та видалити команди меню. Питання полягає в іншому: чи варто відключати BitLocker. Тут можна дати одну пораду: у корпоративній мережі взагалі не варто деактивувати цей компонент. Але якщо йдеться про домашній комп'ютерний термінал, то чому б і ні.

computerologia.ru

BitLocker: що таке та як його розблокувати?

З виходом операційної системи Windows 7 багато користувачів зіткнулися з тим, що в ній з'явилася дещо незрозуміла служба BitLocker. Що таке BitLocker, багатьом залишається лише здогадуватись. Спробуймо прояснити ситуацію на конкретних прикладах. Принагідно розглянемо питання щодо того, наскільки доцільним є задіяння цього компонента або його повне відключення.

BitLocker: що таке BitLocker, навіщо потрібна ця служба

Якщо розібратися, BitLocker є універсальним і повністю автоматизованим засобом шифрування даних, що зберігаються на вінчестері. Що таке BitLocker на жорсткому диску? Так просто служба, яка без участі користувача захищає файли та папки шляхом їх шифрування та створення спеціального текстового ключа, що забезпечує доступ до документів.

Коли користувач працює в системі під своїм обліковим записом, він може навіть не здогадуватися про те, що дані зашифровані, адже інформація відображається в читальному вигляді, і доступ до файлів та папок не заблоковано. Іншими словами, такий засіб захисту розрахований лише на ті ситуації, коли до комп'ютерного терміналу здійснюється несанкціонований доступ, наприклад, при спробі втручання ззовні (інтернет-атаки).

Питання паролів та криптографії

Тим не менш, якщо говорити про те, що таке BitLocker Windows 7 або систем рангом вище, варто відзначити і той неприємний факт, що при втраті пароля на вхід багато користувачів не те, що не можуть увійти в систему, а й виконати деякі дії з перегляду документів, раніше доступних, з копіювання, переміщення тощо.

Але це ще не все. Якщо розуміти питання, що таке BitLocker Windows 8 або 10, то особливих відмінностей немає, хіба що в них більш вдосконалена технологія криптографії. Тут проблема очевидно в іншому. Справа в тому, що сама служба здатна працювати в двох режимах, зберігаючи ключі дешифрації або на жорсткому диску, або на знімному носії USB.

Звідси напрошується найпростіший висновок: за наявності збереженого ключа на вінчестері користувач отримує доступ до всієї інформації, що зберігається, без проблем. А ось коли ключ зберігається на флешці, проблема куди серйозніша. Зашифрований диск чи розділ побачити, в принципі, можна, але рахувати інформацію – ніяк.

Крім того, якщо вже й говорити про те, що таке BitLocker Windows 10 або систем більш ранніх версій, не можна не відзначити той факт, що служба інтегрується в контекстні меню будь-якого типу, викликані правим кліком, що багатьох користувачів просто дратує. Але не забігатимемо вперед, а розглянемо всі основні аспекти, пов'язані з роботою цього компонента та доцільністю його застосування чи деактивації.

Методика шифрування дисків та знімних носіїв

Найдивніше в тому, що в різних системах та їх модифікаціях служба BitLocker може бути за замовчуванням і в активному, і в пасивному режимі. У «сімці» вона включена за замовчуванням, у восьмій та десятій версіях іноді потрібне ручне включення.

Що стосується шифрування, тут нічого особливо нового не винайдено. Як правило, використовується та сама технологія AES на основі відкритого ключа, що найчастіше застосовується в корпоративних мережах. Тому, якщо ваш комп'ютерний термінал з відповідною операційною системою на борту підключений до локальної мережі, можете бути впевнені, що політика безпеки та захисту даних, що застосовується, передбачає активацію цієї служби. Не маючи права адміна (навіть за умови запуску зміни налаштувань від імені адміністратора), ви нічого не зможете змінити.

Увімкнення BitLocker, якщо служба деактивована

Перш ніж вирішувати питання, пов'язане з BitLocker (як відключити службу, як прибрати її команди з контекстного меню), подивимося на включення та налаштування, тим більше, що кроки по деактивації потрібно буде робити у зворотному порядку.

Увімкнення шифрування найпростішим способом здійснюється з панелі керування шляхом вибору розділу шифрування диска. Цей спосіб застосовується тільки в тому випадку, якщо збереження ключа не повинно бути знімним носієм.

У тому випадку, якщо заблокованим є незнімний носій, доведеться знайти відповідь на інше питання про службу BitLocker: як відключити на флешку цей компонент? Робиться це досить просто.

За умови, що ключ знаходиться саме на знімному носії, для розшифровування дисків та дискових розділів спочатку потрібно вставити його у відповідний порт (роз'єм), а потім перейти до розділу системи безпеки панелі керування. Після цього знаходимо пункт шифрування BitLocker, а потім дивимося на диски та носії, на яких встановлений захист. У самому низу буде показано гіперпосилання відключення шифрування, яку і потрібно натиснути. За умови розпізнавання ключа активується дешифрування. Залишається лише дочекатися закінчення його виконання.

Проблеми налаштування компонентів шифрувальника

Щодо налаштування, тут без головного болю не обійтися. По-перше, система пропонує резервувати щонайменше 1,5 Гб під свої потреби. По-друге, потрібно налаштовувати дозволи файлової системи NTFS, зменшувати розмір тома і т.д. Щоб не займатися такими речами, краще відразу відключити цей компонент, адже більшості користувачів просто не потрібний. Навіть усі ті, у кого ця служба задіяна в налаштуваннях за замовчуванням, теж не завжди знають, що з нею робити, чи вона потрібна взагалі. А даремно. Захистити дані на локальному комп'ютері за допомогою її можна навіть за умови відсутності антивірусного ПЗ.

BitLocker: як вимкнути. Початковий етап

Знову ж таки використовуємо раніше вказаний пункт у «Панелі управління». Залежно від модифікації системи назви полів відключення служби можуть змінюватися. На вибраному диску може стояти рядок припинення захисту або пряма вказівка ​​на вимкнення BitLocker.

Суть не в тому. Тут варто звернути увагу і на те, що потрібно повністю відключити оновлення BIOS та файлів завантаження комп'ютерної системи. В іншому випадку процес дешифрування може зайняти чимало часу.

Контекстне меню

Це лише одна сторона медалі, пов'язана із службою BitLocker. Що таке BitLocker, мабуть, вже зрозуміло. Але оборотна сторона полягає ще й у тому, щоб ізолювати додаткові меню від присутності в них посилань на цю службу.

Для цього подивимось ще раз на BitLocker. Як усунути з контекстного меню всі посилання на службу? Елементарно! У "Провіднику" при виділенні потрібного файлу або папки використовуємо розділ сервісу та редагування відповідного контекстного меню, переходимо до налаштувань, потім використовуємо налаштування команд та впорядковуємо їх.

Після цього в редакторі реєстру входимо у гілку HKCR, де знаходимо розділ ROOTDirectoryShell, розвертаємо його та видаляємо потрібний елемент натисканням клавіші Del або командою видалення з меню правого кліка. Власне, ось і останнє, що стосується компонента BitLocker. Як відключити його, здається, вже зрозуміло. Але не варто тішитися. Все одно ця служба працюватиме у фоновому режимі (так, про всяк випадок), хочете ви цього чи ні.

Замість післямови

Залишається додати, що це далеко не все, що можна сказати про системний компонент шифрування BitLocker. Що таке BitLocker, розібралися, як його вимкнути та видалити команди меню – теж. Питання в іншому: чи варто вимкнути BitLocker? Тут можна дати тільки одну пораду: у корпоративній локальній мережі деактивувати цей компонент взагалі не варто. Але якщо це домашній комп'ютерний термінал, то чому б і ні?

fb.ru

Bitlocker шифрування флешок та дисків у Windows 10

Багато хто з нас часто переносить важливу, цінну інформацію на зовнішніх пристроях. Це можуть бути диски ssd, інші зовнішні накопичувачі для зберігання даних. Найпопулярнішим, напевно, є звичайна флешка, на якій людина найчастіше переносить потрібну інформацію. Але що робити, якщо ви втратили флешку? Чи переносний зовнішній ssd диск? Відповідь: зашифрувати свої зовнішні пристрої та поставити пароль на флешку, щоб під час знахідки ніхто не зміг скористатися вашою інформацією. Є багато стороннього софту для захисту флешок, але навіщо він потрібен, якщо програма, яка встановлюється, може з часом вийти з необережності. У статті розглянемо, як вбудованим засобом windows 10 захистити свої пристрої.

Примітка: Будемо користуватися BitLocker, який є у версіях Pro або Enterpris Windows 10.

Раджу подивитись ще:

Як запаролити папку та файли за допомогою функції EFS

Поставити пароль на папку без програм

Що таке BitLocker?

BitLocker – функція шифрування для знімних носіїв, включаючи USB флеш-накопичувачі, SD карт та зовнішніх жорстких дисків. BitLocker підтримує файлові системи NTFS, FAT32, exFAT. Відформатований з будь-якої з цих файлових систем може бути захищений за допомогою BitLocker. На відміну від EFS шифрування, яке призначене для шифрування папок та файлів, BitLocker не може працювати з файлами, він призначений для знімних носіїв.

Як поставити пароль на флешку та диски у Windows 10

• Підключіть флешку USB або зовнішній жорсткий диск до Windows 10.
• Натисніть правою кнопкою миші на диску, який потрібно захистити, і натисніть Увімкнути BitLocker.

• Поставте галочку Використовувати пароль, щоб зняти блокування диска.
• Придумайте пароль для захисту даних.

• Виберіть архівування ключа Зберегти файл.
• Збережіть файл у зручне місце, він знадобиться для розблокування флешки, якщо забули пароль.

• Рекомендую шифрувати весь диск.

• Виберіть режим шифрування Режим сумісності.

• Дочекайтеся закінчення процесу.

Доступ до захищених паролем даних

• Вставте зашифрований пристрій у порт USB комп'ютера і відкрийте його.

• Введіть пароль, який вигадували на початку шифрування.
• Якщо ви забули пароль флешки, натисніть Додаткові параметри та введіть код відновлення, який ви зберігали на комп'ютері.

Вимкнути BitLocker та видалити пароль з флешки

Щоб видалити поставлений пароль і зробити флешку знову нормальними, потрібно вимкнути "Бітлокер". Для цього вставте USB-пристрій у комп'ютер і введіть пароль для розблокування.

• Після розблокування, натисніть правою кнопкою на флешці та виберіть Керування BitLocker.

• Знайдіть пристрій, з якого потрібно зняти пароль, і внизу натисніть Вимкнути BitLocker.

Дивіться ще:

Comments powered by HyperComments Повідом про помилку

mywebpc.ru

Як зашифрувати диск або флешку із секретними даними за допомогою Bitlocker

Привіт всім! Захист даних від стороннього доступу є важливим моментом для користувачів ПК. Особливо це стосується офісних комп'ютерів, де зберігається комерційна чи інша інформація, яку варто приховувати від несанкціонованого перегляду. Сьогодні я розкрию тему "Шифрування диска Bitlocker у Windows 10". Цей матеріал допоможе убезпечити дані не тільки на жорсткому диску, але й на носіях, що знімаються, за допомогою штатних засобів «десятки».

Утиліта BitLocker вперше з'явилася у Windows 7 (розширена версія), потім була реалізована у наступних випусках ОС. Доступна лише у професійній та корпоративній редакціях. Для домашніх користувачів надається спрощене налаштування Device Encryption.

Суть шифрування

Що це таке? Процес є використання особливого алгоритму для перетворення даних у спеціальний формат, який може бути прочитаний лише власником. Навіть якщо хтось спробує відкрити захищені файли, відобразиться набір безглуздих букв і цифр.

Увімкнення BitLocker

Цікавить, як увімкнути кодування? Детальна інструкція – далі.

1. У панелі керування потрібно перейти до розділу «Система та безпека» та вибрати вкладку «Шифрування диска».
2. Другий спосіб. Клацаємо правою кнопкою миші по потрібному диску, файлу чи папці. Вибираємо пункт контекстного меню «Увімк. БітЛокер». Якщо цієї опції немає в переліку, то Ви використовуєте непідтримувану версію операційної системи. Аналогічно надаємо для шифрування флешки.
3. Відкриється вікно, яке представляє можливість вибору одного з двох варіантів: "Жорсткі диски" та "BitLocker To Go".

Перший спосіб підходить для тотального зашифрування HDD. При цьому під час завантаження ПК потрібно буде вказати встановлений пароль. Тільки після цього дешифратор виконає свою роботу і система запуститься.

Другий спосіб підходить для зовнішніх накопичувачів. Коли така флешка буде підключена до ПК, відкрити вміст диска можна буде після введення пароля.

• У випадку, коли на комп'ютері не встановлено модуль TPM (це мікросхема на чіпсеті, яка здатна зберігати шифрувальні ключі. Підвищує рівень безпеки. Навіть при крадіжці диска дані залишаться закритими), то Ви отримаєте наступне вікно з помилкою. У ньому буде запропоновано дозволити застосування BitLocker без задіяного TPM:

• Для відключення TRM, а він думаю мало у кого є, скористаємося утилітою gpedit.msc (входимо через консоль Win+R) для зміни групових політик. Переходимо по дереву папок:

"Конфігурація ПК" - "Шаблони адміністрування" - "Windows компоненти" - "BitLocker" - "Диски ОС".

• У правій частині вікна знаходимо пункт «Вимагати автентифікації…» і змінюємо стан на «Вкл.». Також дозволяємо використання шифрування без TPM, встановивши галочку у відповідному пункті:

Є питання? Або все дуже просто? Якщо труднощі виникають (адже навіть найуніверсальніша інструкція може не працювати у конкретних випадках), то ставте запитання через форму коментування після статті.

Способи зняття блокування

Після того, як успішно пройшли всі кроки попередньої інструкції, потрібно буде вибрати метод за допомогою якого можна розблокувати диск. Найпоширеніший варіант – це встановлення пароля. Але можна створити спеціальний зовнішній носій, на якому зберігатимуться ключі для розкодування. За наявності на материнській платі чіпа TPM вибір опцій істотно розшириться. Наприклад, реально буде вказати автоматичне дешифрування під час запуску ПК або встановити PIN на розкодування та додатковий код на диски.

Вибирайте той метод із усіх доступних, який подобається найбільше.

Резервний ключ

Як думаєте, що станеться, якщо ви забудете пароль або втратите носій з основним ключем? Або ж встановіть HDD на інший ПК (з іншим TPM)? Як відновити доступ у такій ситуації? Windows 10 надає можливість збереження резервного ключа (на диск, флешку) чи його роздруківки. Важливо забезпечити надійне зберігання копії, щоб ніхто не міг дістатися до неї. Інакше всі зусилля щодо забезпечення захисту будуть зведені до нуля.

Увага! При втраті всіх ключів Ви назавжди втратите свої дані! Точніше, не можете їх дешифрувати! Вимкнути такий захист просто неможливо.

Утиліта BitLocker працює в автономному режимі і кодує новостворені (створені) файли та папки на дисках. При цьому можливі два шляхи, якими Ви можете піти.

1. Шифрувати весь диск повністю, включаючи вільне місце (незадіяне). Надійний, але повільний метод. Підійде для випадків, коли потрібно приховати всю інформацію (навіть про ті файли, які давно видалені і можуть бути відновлені).
2. Захищати тільки простір, що використовується (зайняті розділи). Це більш швидкісний метод, який я рекомендую вибирати у більшості ситуацій.

Після цього кроку розпочнеться аналіз системи. Комп'ютер перезавантажиться і розпочнеться безпосередньо процес шифрування. Щоб стежити за прогресом, можна вказати курсор на піктограму в області сповіщення. Слід зазначити незначне падіння продуктивності з допомогою споживання оперативної пам'яті.

Наступний запуск ПК буде супроводжуватися появою вікна введення PIN-коду або пропозицією вставити USB носій з ключами. Все залежить від обраного Вами способу.

Якщо необхідно вдатися до використання резервного ключа, слід натиснути на клавіатурі Esc і виконати вимоги майстра відновлення.

Використання BitLocker To Go

Початкове налаштування утиліти для шифрування зовнішніх дисків збігається з наведеною вище інструкцією. Але перезавантаження ПК не буде потрібно.

Важливий момент! До закінчення процесу не можна витягувати накопичувач, інакше результати можуть бути непередбаченими.

Як тільки Ви підключите «захищену» флешку до ноутбука, з'явиться вікно введення пароля:

Зміна параметрів BitLocker

Було б нелогічно, якби користувачі не могли змінювати пароль та інші налаштування. Хочете дізнатися, як усунути захист? Робиться це просто. Клацаємо правою кнопкою на потрібному диску та вибираємо «Управління БітЛокером».

Праворуч буде перелік можливостей. Останній пункт «Turn off…» відповідає за вимкнення шифрування.

Особистий досвід використання

Я завжди з собою маю флешку зашифровану бітлокером, тому що на ній зберігаю і паролі, і фото та дані по роботі. В одному з відряджень, я втратив свою флешку, але зовсім не засмутився, тому що розумів, що всі дані зашифровані і людина, яка її знайшла, не зможе скористатися ними. Для тих, хто турбується про безпеку – це найоптимальніше рішення.

Ось і розібралися із цією непростою, але важливою темою. Насамкінець хочу зазначити, що використання такого захисту позначається на підвищенні навантаження на процесор і споживає ресурси ОЗУ. Але це незначні жертви порівняно із втратою незахищеної інформації внаслідок крадіжки та несанкціонованого доступу. Чи згодні?

З повагою, Віктор

it-tehnik.ru

BitLocker. Питання та відповіді

Застосовується до: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

У цьому розділі, призначеному для ІТ-фахівців, даються відповіді на питання, що часто ставляться, що стосуються вимог для використання, оновлення, розгортання та адміністрування, а також політик управління ключами для BitLocker.

Робота BitLocker з дисками операційної системи

BitLocker можна використовувати для усунення ризиків несанкціонованого доступу до даних на втрачених або вкрадених комп'ютерах шляхом шифрування всіх користувацьких і системних файлів на диску операційної системи, включаючи файли підкачки та файли глибокого сну, а також шляхом перевірки цілісності раніше завантажених компонентів і даних конфігурації завантажень.

Робота BitLocker зі знімними та незнімними дисками

BitLocker можна використовувати для шифрування всього вмісту з даними. За допомогою групової політики ви можете вимагати включення BitLocker на диск перед записом даних на диск. У BitLocker можна налаштувати різні методи зняття блокування для дисків із даними, і диск із даними підтримує кілька методів зняття блокування.

Так, BitLocker підтримує багатофакторну автентифікацію для дисків операційної системи. Якщо увімкнути BitLocker на комп'ютері з довіреним платформним модулем версії 1.2 або 2.0, можна використовувати додаткові форми автентифікації на основі цього модуля.

Для використання всіх функцій BitLocker комп'ютер повинен відповідати апаратним та програмним вимогам, переліченим у розділі Конфігурації дисків, які підтримує BitLocker у технічному огляді шифрування диска BitLocker.

Наявність двох розділів обов'язково для роботи BitLocker, оскільки автентифікація перед запуском і перевірка цілісності системи повинні виконуватися на окремому розділі, що не співпадає із зашифрованим диском операційної системи. Така конфігурація сприяє захисту операційної системи та даних на зашифрованому диску.

BitLocker підтримує версії довіреного платформного модуля, перелічені у розділі Вимоги у технічному огляді шифрування диска BitLocker.

Відомості про те, як це зробити, див. у розділі Пошук інформації про драйвер довіреного платформного модуля.

Відомості про те, як це зробити, див. у розділі Пошук інформації про драйвер довіреного платформного модуля.

Так, можна увімкнути BitLocker на диску операційної системи без довіреного платформного модуля версії 1.2 або 2.0, якщо вбудоване ПЗ BIOS або UEFI підтримує читання з USB флеш-пам'яті під час завантаження. Це можливо, оскільки BitLocker не знімає блокування захищеного диска, поки не буде отримано основний ключ тому BitLocker від довіреного платформного модуля на комп'ютері або з USB флеш-пам'яті, що містить ключ запуску BitLocker для цього комп'ютера. Однак комп'ютери без довіреного платформного модуля не зможуть перевірити цілісність системи, яку підтримує BitLocker.

Щоб перевірити можливість читання з пристрою USB під час завантаження, використовуйте перевірку системи BitLocker під час встановлення BitLocker. Під час цієї перевірки виконуються тести, що підтверджують можливість читання з USB-пристроїв у потрібний час, а також відповідність комп'ютера іншим вимогам BitLocker.

Щоб дізнатися, як увімкнути BitLocker на комп'ютері без довіреного платформного модуля, див. BitLocker: як увімкнути BitLocker.

Щоб отримати додаткові відомості про необхідні операційні системи Windows та версії довіреного платформного модуля, див. Вимоги в технічному огляді шифрування диска BitLocker.

Запитайте у виробника комп'ютера вбудоване програмне забезпечення BIOS або UEFI, яке відповідає стандартам організації TCG та таким вимогам.

Воно пройшло сертифікацію емблеми, де це застосовується, та сумісне з версіями, зазначеними у списку Застосування на початку цього розділу.

Відповідність стандартам TCG для клієнтського комп'ютера.

Захищений механізм оновлення, що запобігає установці шкідливого вбудованого програмного забезпечення BIOS або завантажувального програмного забезпечення на комп'ютер.

Для включення, вимкнення та зміни конфігурації BitLocker на дисках операційної системи та незнімних дисках з даними потрібне членство в локальній групі Адміністратори. Звичайні користувачі можуть включати, вимикати та змінювати конфігурацію BitLocker на знімних дисках із даними.

Щоб отримати додаткові відомості, див. Вимоги в технічному огляді шифрування диска BitLocker.

Ви повинні налаштувати параметри запуску комп'ютера таким чином, щоб жорсткий диск в порядку завантаження йшов першим, перед іншими дисками, такими як CD/DVD-диски або USB-накопичувачі. Якщо жорсткий диск не є першим і ви зазвичай завантажуєтеся з жорсткого диска, можливе визначення або припущення зміни порядку завантаження при виявленні знімного носія під час завантаження. Порядок завантаження зазвичай впливає на вимірювання системи, яку перевіряє BitLocker, і зміна порядку завантаження призведе до запиту ключа відновлення BitLocker. З цієї ж причини, якщо у вас є ноутбук зі стикувальним вузлом, переконайтеся, що жорсткий диск йде першим у порядку завантаження як при стиковці, так і відстиковці.

Щоб отримати додаткові відомості, див. Архітектура BitLocker у технічному огляді шифрування диска BitLocker.

Так. Щоб виконати оновлення від Windows 7 до Windows 8 або Windows 8.1 без розшифровування диска з операційною системою, відкрийте елемент Шифрування диска BitLocker на панелі керування Windows 7, клацніть посилання Керування BitLocker і натисніть кнопку Зупинити. Призупинення захисту не розшифровує диск, а вимикає механізми автентифікації, що використовуються BitLocker, і використовує незахищений ключ для доступу до диска. Продовжуйте процес оновлення за допомогою DVD-диска Windows 8 або Windows 8.1. Після завершення оновлення відкрийте провідник, клацніть правою кнопкою миші диск і виберіть команду Відновити захист. Методи автентифікації BitLocker знову активуються, а незахищений ключ видаляється.

Команда Розшифрувати повністю видаляє захист BitLocker та повністю розшифровує диск.

Призупинення залишає дані зашифрованими, але шифрує основний ключ тому BitLocker незахищеним ключем. Незахищеним називається криптографічний ключ, який зберігається на диску без шифрування та захисту. Зберігання цього ключа без шифрування дозволяє команді Призупинити зміну та оновлення комп'ютера, не витрачаючи час і ресурси на розшифровку та повторне шифрування всього диска. Після внесення змін та повторного ввімкнення BitLocker запечатує ключ шифрування з новими значеннями компонентів, які змінилися під час оновлення, основний ключ тома змінюється, запобіжники оновлюються, а незахищений ключ видаляється.

У наступній таблиці перелічені дії, які потрібно виконати перед виконанням оновлення або інсталяції оновлень.

Тип оновлення

Дія

Windows Anytime Upgrade	Розшифровка
Оновлення з Windows 7 до Windows 8	Призупинення
Оновлення програмного забезпечення, не розробленого Майкрософт, наприклад: оновлення вбудованого ПЗ, що надається виробником комп'ютера; оновлення вбудованого ПЗ довіреного платформного модуля; оновлення програм, розроблених не Майкрософт і змінюють завантажувальні компоненти.	Призупинення
Оновлення програмного забезпечення та операційної системи з Центру оновлення Майкрософт	Для цих оновлень не потрібно розшифровувати диск, а також вимкнення або призупинення BitLocker.

Так, розгортання та налаштування BitLocker та довіреного платформного модуля можна автоматизувати за допомогою інструментарію TPM або скриптів Windows PowerShell. Реалізація скриптів залежить від середовища. Також можна використовувати командний рядок BitLocker Manage-bde.exe для локального або віддаленого налаштування BitLocker. Щоб отримати додаткові відомості про написання скриптів, які використовують постачальники WMI BitLocker, див. статтю MSDN Постачальник шифрування диска BitLocker. Щоб отримати додаткові відомості про використання командлетів Windows PowerShell із шифруванням диска BitLocker, див. Командлети BitLocker у Windows PowerShell.

Так. У Windows Vista BitLocker шифрував лише диски операційної системи. У Windows Vista з пакетом оновлень 1 (SP1) та Windows Server 2008 додано підтримку шифрування незнімних дисків з даними. Можливості, що з'явилися в Windows Server 2008 R2 і Windows 7, дозволяють BitLocker шифрувати також знімні диски з даними.

Зазвичай зниження продуктивності вбирається у десяти відсотків.

Хоча шифрування BitLocker виконується у фоновому режимі, поки ви продовжуєте роботу, і система залишається доступною, час шифрування залежить від типу диска, його розміру та швидкості. Шифрування дисків дуже великого розміру розумно призначити на час, коли вони не використовуються.

Можливості, що з'явилися в Windows 8 і Windows Server 2012, дозволяють при включенні BitLocker вибрати, чи BitLocker повинен шифрувати весь диск або зайнятий простір. На жорсткому диску шифрування зайнятого простору виконується помітно швидше, ніж шифрування всього диска. Після вибору варіанта шифрування BitLocker автоматично шифрує дані в момент збереження та гарантує, що жодні дані не зберігатимуться без шифрування.

Якщо комп'ютер вимикається або переходить у режим глибокого сну, процес шифрування та розшифровування BitLocker відновлюється з місця зупинки при наступному запуску Windows. Те саме відбувається у разі збою подачі електроживлення.

Ні, BitLocker не виконує шифрування та розшифрування всього диска під час читання та запису даних. Сектори, зашифровані на диску, захищеному BitLocker, розшифровуються лише за запитом системних операцій читання. Блоки, які записуються на диск, шифруються перед тим, як система записує їх на фізичний диск. На диску, що захищається BitLocker, дані ніколи не залишаються незашифрованими.

Елементи керування, що з'явилися в Windows 8, дозволяють включити параметри групової політики, які вимагатимуть, щоб для дисків з даними включався захист BitLocker, перед тим як комп'ютер, що захищається BitLocker, зможе записувати дані на ці диски. Щоб отримати додаткові відомості, див. Заборонити запис на знімні диски, які не захищені BitLocker або Заборонити запис на фіксовані диски, не захищені BitLocker у статті, присвяченій параметрам групової політики BitLocker.

Якщо ці параметри політики включені, то операційна система, захищена BitLocker, підключатиме диски з даними, не захищені BitLocker, у режимі лише для читання.

Щоб отримати додаткові відомості, включаючи способи керування користувачами, які можуть випадково зберегти дані на незашифрованих дисках під час використання комп'ютера без увімкненого BitLocker, див. розділ BitLocker: як заборонити користувачам зберігати дані на незахищеному диску.

Наступні типи змін системи можуть викликати помилку під час перевірки цілісності. У цьому випадку довірений платформний модуль не надає ключа BitLocker для розшифровування захищеного диска операційної системи.

Переміщення диска, захищеного шифруванням BitLocker, на новий комп'ютер.

Встановлює нову системну плату з новим довіреним платформним модулем.

Вимкнення, вимкнення або очищення довіреного платформного модуля.

Зміна параметрів конфігурації завантаження.

Зміна BIOS, вбудованого UEFI, основного завантажувального запису (MBR), завантажувального сектора, диспетчера завантаження, додаткового ПЗУ інших передзавантажувальних компонентів або даних конфігурації завантаження.

Щоб отримати додаткові відомості, див. Принцип роботи в технічному огляді шифрування диска BitLocker.

Оскільки BitLocker призначений для захисту комп'ютера від численних атак, існує безліч причин, чому BitLocker може запускатись у режимі відновлення. Щоб дізнатися про ці причини, див. Сценарії відновлення в технічному огляді шифрування дисків BitLocker.

Так, на одному комп'ютері з увімкненим шифруванням BitLocker можна змінювати жорсткі диски, але за умови, що для них увімкнувся захист BitLocker на цьому ж комп'ютері. Ключі BitLocker є унікальними для довіреного платформного модуля та диска операційної системи. Тому, щоб підготувати резервний диск з операційною системою або диск з даними на випадок відмови диска, необхідно переконатися, що для них використовується той же платформний довірений модуль. Можна також налаштувати різні жорсткі диски для різних операційних систем, а потім увімкнути на кожному диску BitLocker з різними методами автентифікації (наприклад, на одному диску тільки довірений платформний модуль, а на іншому - довірений платформний модуль з введенням PIN-коду), і це не призведе до конфліктів.

Так, диск можна розблокувати за допомогою елемента Шифрування диска BitLocker на панелі керування звичайним чином (за допомогою пароля або смарт-карти). Якщо для диска з даними налаштовано лише автоматичне зняття блокування, необхідно використовувати ключ відновлення. Якщо диск з операційною системою підключається до іншого комп'ютера під керуванням версії операційної системи, зазначеної в списку Застосування на початку цього розділу, зашифрований жорсткий диск можна розблокувати за допомогою агента відновлення даних (якщо він налаштований) або за допомогою ключа відновлення.

Деякі диски не можуть шифрувати BitLocker. Наприклад, розмір диска може бути занадто малий, файлова система може бути несумісною, диск може бути динамічним або призначеним як системний розділ. За промовчанням системний диск (або системний розділ) не відображається у вікні "Комп'ютер". Однак якщо диск не створений як прихований у процесі вибіркової установки операційної системи, його можна відображати, але не можна шифрувати.

Захист BitLocker підтримується для будь-яких внутрішніх незнімних дисків. У деяких версіях підтримуються пристрої прямого підключення з інтерфейсом ATA і SATA. Докладніші відомості про підтримувані диски див. у розділі Конфігурації дисків, які підтримує BitLocker у технічному огляді шифрування диска BitLocker.

BitLocker може створювати та використовувати різні ключі. Деякі є обов'язковими, а деякі – додатковими запобіжниками, які можна застосовувати залежно від необхідного рівня безпеки.

Щоб отримати додаткові відомості, див. Що таке BitLocker у технічному огляді шифрування диска BitLocker.

Пароль відновлення або ключ відновлення для диска операційної системи або незнімного диска з даними можна зберегти в папці, на одному або декількох USB-пристроях, зберегти обліковий запис Майкрософт або роздрукувати.

Пароль відновлення та ключ відновлення для знімних дисків з даними можна зберегти в папку, зберегти обліковий запис Майкрософт або друкувати. За промовчанням ключ відновлення знімного диска не можна зберігати на знімному диску.

Адміністратор домену може настроїти додаткову групову політику для автоматичного створення паролів відновлення та збереження їх у доменних службах для всіх дисків, захищених BitLocker.

Для отримання додаткових відомостей див. BitLocker: як зберігати паролі та ключі відновлення.

За допомогою програми командного рядка Manage-bde.exe можна замінити режим автентифікації, що використовує тільки довірений платформний модуль, на багатофакторний режим автентифікації. Наприклад, якщо в BitLocker включена лише автентифікація довіреного платформного модуля, то для додавання автентифікації за допомогою PIN-коду введіть наступні команди з командного рядка з підвищеними привілеями, замінивши на потрібний числовий PIN-код:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin

Щоб отримати додаткові відомості, див. Режими автентифікації в послідовності завантаження в технічному огляді шифрування диска BitLocker.

BitLocker розроблений так, що зашифрований диск неможливо відновити, минаючи обов'язкову автентифікацію. У режимі відновлення для розблокування зашифрованого диска користувачу необхідний пароль або ключ відновлення.

Зберігання обох ключів на одному USB флеш-пам'яті технічно можливе, але не рекомендується. У разі втрати або крадіжки USB флеш-пам'яті з ключем запуску також втрачається доступ до ключа відновлення. Крім того, вставка такого ключа викликає автоматичне завантаження комп'ютера за ключом відновлення, навіть якщо змінилися файли, які вимірюються довіреним платформним модулем, і перевірка цілісності системи не виконується.

Так, ключ запуску комп'ютера можна зберігати на кількох USB-пристроях флеш-пам'яті. Клацніть правою кнопкою миші диск, захищений BitLocker, і виберіть команду Керування BitLocker, щоб відкрити параметри копіювання ключів відновлення.

Так, на одному USB флеш-пам'яті можна зберігати ключі запуску BitLocker для різних комп'ютерів.

За допомогою скриптів можна створити різні ключі запуску для одного комп'ютера, проте для комп'ютерів з довіреним платформним модулем створення різних ключів запуску не дозволяє BitLocker використовувати перевірку цілісності системи, яку виконує довірений платформний модуль.

Створювати кілька поєднань PIN-коду неможливо.

Необроблені дані шифруються повним ключем шифрування тому, який потім шифрується основним ключем тома. Основний ключ тому, в свою чергу, шифрується одним з декількох можливих методів залежно від типу автентифікації (запобіжники ключа або довірений платформний модуль) і сценаріїв відновлення.

Щоб отримати додаткові відомості про ключі шифрування, як вони використовуються і де зберігаються, див. Що таке BitLocker у технічному огляді шифрування диска BitLocker.

Повний ключ шифрування тому шифрується основним ключем тома і зберігається на зашифрованому диску. Основний ключ тому шифрується відповідним запобіжником ключа і зберігається на зашифрованому диску. Якщо захист BitLocker припиняється, незахищений ключ, яким шифрується основний ключ тома, також зберігається на зашифрованому диску разом із зашифрованим основним ключем тома.

Така процедура зберігання гарантує, що основний ключ тому ніколи не зберігається без шифрування і завжди захищений, якщо не вимкнено шифрування BitLocker. Ключі також зберігаються у двох додаткових місцях на диску для забезпечення резервування. Ключі можуть зчитуватися та оброблятися диспетчером завантаження.

Щоб отримати додаткові відомості, див. Принцип роботи в технічному огляді шифрування диска BitLocker.

Клавіші F1–F10 мають універсальні коди опитування, доступні в передзавантажувальному середовищі на всіх комп'ютерах для всіх мов. Клавіші з цифрами від 0 до 9 можуть використовуватися в середовищі завантаження не на всіх клавіатурах.

Якщо використовується захищений PIN-код, користувачам рекомендується виконати додаткову перевірку системи під час встановлення BitLocker, щоб переконатися, що в передзавантажувальному середовищі можна ввести правильний PIN-код. Додаткові відомості про покращені PIN-коди див. у розділі Що таке BitLocker у технічному огляді шифрування диска BitLocker.

Зловмисник може дізнатися PIN-код шляхом підбору. Злам методом підбору виконується зловмисником за допомогою автоматичного засобу, який перевіряє різні поєднання PIN-коду, доки не буде знайдено правильний код. Для комп'ютерів, захищених BitLocker, такий тип злому, також відомий як атака перебором за словником, вимагає фізичного доступу зловмисника до комп'ютера.

Довірений платформний модуль має вбудовані можливості щодо виявлення таких атак та протидії їм. Оскільки у довірених платформних модулях різних виробників застосовуються різні заходи протидії злому, зверніться до виробника модуля, щоб визначити, яким чином довірений платформний модуль на комп'ютері протидіє злому PIN-коду методом підбору.

Після визначення виробника платформного модуля довіреного зв'яжіться з ним, щоб отримати дані про розробку модуля. Більшість виробників експонентно збільшує час блокування інтерфейсу для введення PIN-коду зі зростанням кількості помилок PIN-коду. Однак, кожен виробник має власні правила щодо зменшення або скидання лічильника помилок.

Щоб отримати додаткові відомості, див. Пошук відомостей про драйвер довіреного платформного модуля.

Щоб визначити виробника довіреного платформного модуля, див. Пошук відомостей про драйвер довіреного платформного модуля.

Задайте виробнику довіреного платформного модуля такі питання щодо механізму протидії атакам перебором за словником.

Скільки невдалих спроб доступу до блокування?

За яким алгоритмом визначається тривалість блокування з урахуванням числа невдалих спроб доступу та інших параметрів?

Які дії можуть призвести до зменшення чи скидання числа помилок чи тривалості блокування?

Так і ні. Можна встановити мінімальну довжину PIN-коду у груповій політиці Налаштування мінімальної довжини PIN-коду для запуску та дозволити використання літерно-цифрових PIN-кодів, увімкнувши параметр групової політики Дозволити захищені PIN-коди для запуску. При цьому в груповій політиці не можна вказати вимоги до складності PIN-коду.

BitLocker To Go – це шифрування диска BitLocker для знімних дисків із даними. Шифруються пристрої USB флеш-пам'яті, карти SD, зовнішні жорсткі диски та інші диски з файловою системою NTFS, FAT16, FAT32 або exFAT.

Додаткові відомості, в тому числі спосіб автентифікації або розблокування знімного диска з даними та методи перевірки, що пристрій читання BitLocker To Go не встановлений на дисках у форматі FAT, див. у розділі Огляд BitLocker To Go.

Якщо на диску вмикається шифрування BitLocker до застосування групової політики для примусового резервного копіювання, дані для відновлення не будуть проходити автоматичне резервне копіювання до доменів Active Directory, коли комп'ютер приєднується до домену або застосовується групова політика. Однак у Windows 8 можна використовувати параметри групової політики Вибір методів відновлення дисків операційної системи, захищених за допомогою BitLocker, Вибір методів відновлення незнімних дисків, захищених за допомогою BitLocker, та Вибір методів відновлення знімних дисків, захищених за допомогою BitLocker, щоб зробити обов'язковим підключення комп'ютера до домену перед увімкненням BitLocker. Це забезпечить резервне копіювання даних для відновлення дисків, захищених BitLocker в організації, до доменів Active Directory.

Інтерфейс інструментарію керування Windows (WMI) для BitLocker дозволяє адміністраторам написати скрипт для резервного копіювання або синхронізації існуючих даних для відновлення клієнта в мережі, але BitLocker не керує цим процесом автоматично. Програма командного рядка Manage-bde також дозволяє створити резервну копію даних для відновлення в доменних службах Active Directory вручну. Наприклад, щоб створити резервну копію всіх даних для відновлення диска C: у доменних службах Active Directory, виконайте наступну команду в командному рядку з підвищеними привілеями: manage-bde -protectors -adbackup C:.

Так, на клієнтському комп'ютері в журнал подій заноситься запис, який показує успішний або не успішний результат резервного копіювання Active Directory. Однак, навіть якщо у журналі подій вказано успішне завершення, дані про відновлення можуть бути видалені з доменних служб Active Directory. Крім того, конфігурація BitLocker може змінитися так, що даних з Active Directory буде недостатньо для розблокування диска (наприклад, якщо видалено запобіжник ключа пароля відновлення). Також можливе підроблення запису журналу.

Щоб гарантовано визначити наявність достовірної резервної копії в доменних службах Active Directory, необхідно запитати доменні служби Active Directory з обліковими даними адміністратора домену за допомогою програми перегляду паролів BitLocker.

Ні. Паролі відновлення BitLocker не видаляються з доменних служб Active Directory, тому для кожного диска можуть відображатися кілька паролів. Щоб визначити останній пароль, перевірте дату об'єкта.

Якщо початкове резервне копіювання завершується помилкою, наприклад, коли контролер домену недоступний під час роботи майстра установки BitLocker, то BitLocker не виконує повторних спроб резервного копіювання даних для відновлення доменних служб Active Directory.

Якщо адміністратор встановить прапорець Вимагати резервного копіювання BitLocker в AD DS у полі політики Зберігати відомості про відновлення в доменних службах Active Directory (Windows 2008 і Windows Vista) або (що рівносильно) встановить прапорець Не вмикати BitLocker до збереження даних відновлення в AD DS для операційних дисків системи (знімних дисків з даними, незнімних дисків з даними) в будь-якому з параметрів політики Вибір методів відновлення дисків операційної системи, захищених за допомогою BitLocker , то користувачі не зможуть увімкнути BitLocker, коли комп'ютер не підключений до домену і не створено резервну копію даних для відновлення BitLocker у доменних службах Active Directory. Якщо задані ці параметри та резервне копіювання завершується помилкою, то увімкнути BitLocker неможливо. Це гарантує, що адміністратори матимуть можливість відновити всі диски, що захищаються BitLocker, в організації.

Якщо адміністратор знімає ці прапорці, диск можна захищати за допомогою BitLocker без успішного створення резервної копії даних для відновлення доменних служб Active Directory. BitLocker не повторює автоматичне створення резервної копії, якщо воно завершується помилкою. Натомість адміністратори можуть створити скрипт для резервного копіювання, як описано раніше у питанні Що буде, якщо увімкнути BitLocker на комп'ютері перед приєднанням до домену?, щоб зібрати дані після відновлення підключення.

У BitLocker застосовується алгоритм шифрування AES з довжиною ключа, що настроюється (128 або 256 біт). За замовчуванням встановлено шифрування AES-128, але можна настроїти параметри за допомогою групової політики.

Для реалізації BitLocker на диску з операційною системою рекомендується комп'ютер з довіреним платформним модулем версії 1.2 або 2.0 і вбудованим BIOS або UEFI, що відповідає стандартам організації TCG, а також використання PIN-коду. Вимога введення PIN-коду, що задається користувачем, на додаток до перевірки довіреного платформного модуля, не дозволяє зловмиснику, який отримав доступ до комп'ютера, просто запустити його.

У базовій конфігурації BitLocker на дисках операційної системи (з довіреним платформним модулем, але без додаткової автентифікації) забезпечує додатковий захист для режиму глибокого сну. Використання додаткової автентифікації BitLocker (довірений платформний модуль та введення PIN-коду, довірений платформний модуль та USB-ключ або довірений платформний модуль, введення PIN-коду та USB-ключ) забезпечує додатковий захист у режимі глибокого сну. Цей метод краще захищений, оскільки для повернення з режиму глибокого сну потрібна перевірка автентичності BitLocker. Рекомендується вимкнути режим сну та використовувати для перевірки автентичності поєднання довіреного платформного модуля та PIN-коду.

У більшості операційних систем використовується загальне місце пам'яті, і операційна система відповідає за управління фізичною пам'яттю. Довірений платформний модуль - це апаратний компонент, який використовує власне вбудоване ПЗ та внутрішні логічні схеми для обробки інструкцій, забезпечуючи захист від уразливостей зовнішнього ПЗ. Для зламу довіреного платформного модуля потрібен фізичний доступ до комп'ютера. Крім того, для злому апаратного захисту зазвичай потрібні більш дорогі засоби та навички, які не настільки поширені, як засоби злому програм. Оскільки довірений платформний модуль кожному комп'ютері унікальний, то зламу кількох комп'ютерів з довіреними платформними модулями знадобиться багато часу й сил.

Усі версії BitLocker, включені до операційної системи, пройшли сертифікацію за федеральним стандартом обробки інформації та сертифікацію Common Criteria EAL4+. Ці сертифікації також були виконані для Windows 8 та Windows Server 2012, а для Windows 8.1 та Windows Server 2012 R2 знаходяться у процесі.

Мережеве розблокування BitLocker спрощує керування комп'ютерами та серверами, захищеними BitLocker за методом TPM+СІН у середовищі домену. При перезавантаженні комп'ютера, з'єднаного з провідною корпоративною мережею, мережне розблокування дозволяє пропустити запит на введення ПІН-коду. Блокування томів операційної системи, захищених BitLocker, автоматично знімається за допомогою довіреного ключа, який надається сервером служб розгортання Windows як додатковий спосіб автентифікації.

Для використання мережного блокування також потрібно настроїти PIN-код для комп'ютера. Якщо комп'ютер не підключено до мережі, необхідно ввести PIN-код для його розблокування.

Мережеве розблокування BitLocker має програмні та апаратні вимоги для клієнтських комп'ютерів, служб розгортання Windows та контролерів домену, які мають бути виконані, перш ніж ви зможете його використовувати. Щоб отримати додаткові відомості про ці вимоги, див. Принцип роботи технічного огляду шифрування диска BitLocker.

Мережеве розблокування використовує два запобіжники: запобіжник довіреного платформного модуля та запобіжник, що надається мережею або PIN-кодом, тоді як автоматичне розблокування використовує один запобіжник, що зберігається у довіреному платформному модулі. Якщо комп'ютер приєднується до мережі без запобіжника ключа, пропонується ввести PIN-код. Якщо PIN-код недоступний, для розблокування комп'ютера, який не можна підключити до мережі, буде потрібно ключ відновлення. Щоб отримати додаткові відомості про автоматичне та мережеве розблокування, див. Принцип роботи технічного огляду шифрування диска BitLocker.

Так, шифрована файлова система (EFS) може використовуватися для шифрування файлів на диску, захищеному за допомогою BitLocker. Щоб отримати додаткові відомості, див. Принцип роботи в технічному огляді шифрування диска BitLocker.

Так. При цьому налаштовувач потрібно включати до включення BitLocker. Завчасне включення налагоджувача забезпечує правильність обчислення показників стану при запечатуванні в довіреному платформному модулі, що дозволяє комп'ютеру коректно запускатися. Якщо потрібно увімкнути або вимкнути налагодження під час використання BitLocker, спочатку призупиніть BitLocker, щоб уникнути переходу комп'ютера в режим відновлення.

BitLocker містить стек драйверів пам'яті, що забезпечує шифрування дампів пам'яті при включенні BitLocker.

BitLocker не підтримує смарт-картки для попередньої автентифікації. Для підтримки смарт-карт у вбудованому програмному забезпечення немає єдиного галузевого стандарту, і в більшості комп'ютерів підтримка смарт-карток у вбудованому програмному забезпеченні не реалізована або поширюється тільки на певні типи смарт-карток і пристроїв читання. Відсутність стандартизації робить надто складним завдання підтримки смарт-карток.

Корпорація Майкрософт не підтримує драйвери довіреного платформного модуля сторонніх розробників і не рекомендує використовувати їх з BitLocker. Використання драйвера довіреного платформного модуля, розробленого не Майкрософт, разом з BitLocker може викликати ситуацію, в якій BitLocker повідомлятиме про відсутність довіреного платформного модуля на комп'ютері, і використання модуля з BitLocker буде неможливим.

Не рекомендується змінювати основний завантажувальний запис (MBR) на комп'ютерах, де диски з операційною системою захищаються BitLocker, з міркувань безпеки, надійності та можливості підтримки продукту. Зміна основного завантажувального запису (MBR) може змінити середовище безпеки та перешкодити звичайному запуску комп'ютера, а також ускладнити завдання відновлення пошкодженого основного завантажувального запису MBR. Зміни MBR, внесені не за допомогою Windows, можуть перевести комп'ютер у режим відновлення або зробити завантаження абсолютно неможливим.

Перевірка системи дозволяє переконатися, що вбудоване програмне забезпечення комп'ютера (BIOS або UEFI) сумісне з BitLocker, а довірений платформний модуль працює правильно. Перевірка системи може завершуватися помилкою з таких причин.

Вбудоване програмне забезпечення комп'ютера (BIOS або UEFI) не підтримує читання з USB-пристроїв флеш-пам'яті.

У вбудованому програмному забезпеченні комп'ютера (BIOS або UEFI) або в меню завантаження не ввімкнено читання з USB-пристроїв флеш-пам'яті.

У комп'ютер вставлено кілька USB-пристроїв флеш-пам'яті.

Неправильно введено PIN-код.

Вбудоване програмне забезпечення комп'ютера (BIOS або UEFI) підтримує лише функціональні клавіші (F1–F10) для введення чисел у передзавантажувальному середовищі.

Ключ запуску видалено, поки комп'ютер ще не завершив перезавантаження.

Через несправність довіреного платформного модуля не вдалося надати ключі.

Деякі комп'ютери не підтримують читання з USB-пристроїв флеш-пам'яті у передзавантажувальному середовищі. Спочатку перевірте параметри вбудованого програмного забезпечення BIOS або UEFI та параметри завантаження, щоб переконатися, що увімкнено використання USB-накопичувачів. Увімкніть використання USB-накопичувачів у BIOS або UEFI, якщо воно не увімкнено, і повторіть читання ключа відновлення з USB флеш-пам'яті. Якщо досі не вдається рахувати ключ, необхідно підключити жорсткий диск як диск з даними до іншого комп'ютера з операційною системою, щоб вважати ключ відновлення з USB флеш-пам'яті. Якщо USB флеш-пам'ять пошкоджена, може знадобитися ввести пароль відновлення або використовувати дані для відновлення, резервна копія яких зберігається в доменних службах Active Directory. Крім того, якщо ключ відновлення використовується в передзавантажувальному середовищі, переконайтеся, що диск має файлову систему NTFS, FAT16 або FAT32.

Для автоматичного розблокування незнімних дисків із даними необхідно, щоб диск із операційною системою також був захищений BitLocker. Якщо використовується комп'ютер, де диск із операційною системою не захищається BitLocker, диск не можна автоматично розблокувати. Для знімних дисків із даними можна додати автоматичне розблокування, якщо клацнути диск правою кнопкою миші у провіднику та вибрати команду Керування BitLocker. Цей знімний диск можна розблокувати на інших комп'ютерах, якщо ввести пароль або облікові дані смарт-картки, зазначені під час увімкнення BitLocker.

У безпечному режимі доступні обмежені можливості BitLocker. Диски, захищені BitLocker, можна розблокувати та розшифровувати за допомогою елемента панелі керування Шифрування диска BitLocker. У безпечному режимі не можна клацнути диск правою кнопкою миші, щоб відкрити параметри BitLocker.

Програма командного рядка Manage-bde та команда –lock дозволяють блокувати знімні та незнімні диски з даними.

Синтаксис команди:

manage-bde -lock

Крім використання цієї команди диски з даними блокуються під час завершення роботи або перезавантаження операційної системи. Знімний диск з даними, що видаляється з комп'ютера, також автоматично блокується.

Так. але тіньові копії, створені до включення BitLocker, будуть автоматично видалені, коли BitLocker вмикається для дисків із програмним шифруванням. Якщо використовується диск із апаратним шифруванням, то тіньові копії зберігаються.

BitLocker не підтримується для завантажувальних VHD, але підтримується для VHD томів даних, таких як використовуються в кластерах, під час роботи у Windows 8, Windows 8.1, Windows Server 2012 або Windows Server 2012 R2.

Як перевірити звукову карту на windows 10

Привіт, друзі! У цій статті ми продовжимо вивчати вбудовані у windows системи покликані підвищити безпеку наших даних. Сьогодні це система шифрування дисків Bitlocker. Шифрування даних потрібно для того, щоб вашою інформацією не скористалися чужі люди. Як вона до них потрапить, це вже інше питання.

Шифрування - це процес перетворення даних таким чином, щоб отримати доступ до них могли тільки потрібні люди. Для отримання доступу зазвичай використовують ключі чи паролі.

Шифрування всього диска дозволяє виключити доступ до даних при підключенні жорсткого диска до іншого комп'ютера. На системі зловмисника може бути встановлена ​​інша операційна система для обходу захисту, але це не допоможе, якщо ви використовуєте BitLocker.

Технологія BitLocker з'явилася з виходом операційної системи windows Vista і була вдосконалена в windows 7. Bitlocker доступний у версіях windows 7 Максимальна і Корпоративна windows 8 Pro. Власникам інших версій доведеться шукати альтернативу.

Як працює шифрування диска BitLocker

Не вдаючись до подробиць, це виглядає так. Система шифрує весь диск та дає вам ключі від нього. Якщо ви шифруєте системний диск, то без вашого ключа комп'ютер не завантажиться. Теж саме як ключі від квартири. У вас вони є, ви в неї потрапите. Втратили, потрібно скористатися запасними (кодом відновлення (видається під час шифрування)) і змінювати замок (зробити шифрування заново з іншими ключами)

Для надійного захисту бажано наявність у комп'ютері довіреного платформного модуля TPM (Trusted Platform Module). Якщо він є і його версія 1.2 або вище, то він керуватиме процесом і у вас з'являться сильніші методи захисту. Якщо ж його немає, то можна буде скористатися тільки ключем на USB-накопичувачі.

Працює BitLocker в такий спосіб. Кожен сектор диска шифрується окремо з допомогою ключа (full-volume encryption key, FVEK). Використовується алгоритм AES зі 128 бітним ключем та дифузором. Ключ можна поміняти на 256 біт у групових політиках безпеки.

Для цього скористаємося пошуком у Windows 7. Відкриваємо меню Пуск і в полі пошуку пишемо «політики» і вибираємо Зміна групової політики

У віконці, що відкрилося, в лівій частині переходимо по дорозі

Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Шифрування дисків BitLocker

У правій частині двічі клацаємо на Виберіть метод шифрування диска та стійкість шифру

У вікні, що відкрилося, натискаємо Включити політику. У розділі Вибрати метод шифрування з списку вибираємо потрібний

Найнадійніший це AES з 256-бітним ключем із дифузором. При цьому швидше за все навантаження на центральний процесор трохи вище, але не на багато і на сучасних комп'ютерах ви різниці не помітите. Проте дані будуть надійніше захищені.

Використання дифузора ще більше підвищує надійність, оскільки призводить до значної зміни зашифрованої інформації при незначній зміні вихідних даних. Тобто, при шифруванні двох секторів із практично однаковими даними результат значно відрізнятиметься.

Сам ключ FVEK розташовується серед метаданих жорсткого диска і шифрується за допомогою основного ключа тому (volume master key, VMK). VMK також шифрується за допомогою TPM модуля. Якщо останній відсутній, за допомогою ключа на USB накопичувачі.

Якщо USB накопичувач з ключем буде недоступний, необхідно скористатися 48-значним кодом відновлення. Після цього система зможе розшифрувати основний ключ тому, за допомогою якого розшифрує ключ FVEK, за допомогою якого буде розблоковано диск і піде завантаження операційної системи.

Удосконалення BitLocker у windows 7

При установці windows 7 з флешки або диска пропонується розмітити або налаштувати диск. При налаштуванні диска створюється додатковий розділ завантаження розміром 100 МБ. Напевно, не в мене одного виникали питання з приводу його призначення. Саме цей розділ і потрібен для роботи технології Bitlocker.

Цей розділ є прихованим і завантажувальним і він не шифрується інакше неможливо було б завантажити операційну систему.

У Windows Vista цей розділ або том повинен бути об'ємом 1.5 ГБ. У windows 7 його зробили 100 МБ.

Якщо ж ви при встановленні операційної системи зробили розбивку сторонніми програмами, тобто не створили завантажувальний розділ, то windows 7 BitLocker сам підготує потрібний розділ. У windows Vista вам довелося б його створювати за допомогою додаткового софту, що йде в комплекті з операційною системою.

Також у windows 7 з'явилася технологія BitLocker To Go для шифрування флешок та зовнішніх жорстких дисків. Розглянемо її згодом.

Як увімкнути шифрування диска BitLocker

За замовчуванням BitLocker налаштований на запуск із модулем TPM і за його відсутності не захоче запускатися. (Спочатку просто спробуйте увімкнути шифрування і якщо запуститися, то не потрібно нічого відключати в групових політиках)

Для запуску шифрування заходимо до Панелі керування\Система та безпека\Шифрування диска BitLocker

Вибираємо потрібний диск (у нашому прикладі це системний розділ) та натискаємо Увімкнути BitLocker

Якщо ж ви бачите подібну картинку нижче

Необхідно правити групові політики.

За допомогою пошуку з меню Пуск викликаємо Редактор локальної групової політики

Йдемо шляхом

Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Шифрування диска BitLocker > Диски операційної системи

Праворуч вибираємо Обов'язкова додаткова автентифікація

У вікні, що відкриється, натискаємо Увімкнути, потім необхідно проконтролювати наявність галочки Дозволити використання BitLocker без сумісного TPM і натиснути ОК

Після цього BitLocker можна буде запустити. Вас попросять вибрати єдиний варіант захисту – Запитувати ключ запуску під час запуску. Це і вибираємо

Вставляємо флешку на яку буде записано ключ запуску та натискаємо Зберегти

Тепер необхідно зберегти ключ відновлення, на той випадок, якщо флешка з ключем запуску буде не в зоні доступу. Можна зберегти ключ на флешці (бажано інший), зберегти ключ у файлі для подальшого перенесення на інший комп'ютер або відразу надрукувати.

Ключ відновлення потрібно природно зберігати у надійному місці. Збережу ключ у файл

Ключ відновлення це простий текстовий документ із самим ключем

Потім у вас відкриється останнє віконце, в якому вам рекомендують Запустити перевірку системи BitLocker до шифрування диска. Натискаємо Продовжити

Зберігаєте всі відкриті документи та натискаєте Перезавантажити зараз

Ось що побачите якщо щось піде не так

Якщо все працює, то після перезавантаження комп'ютера запуститься шифрування.

Час залежить від потужності вашого процесора, ємності розділу або тому, що ви шифруєте, і швидкості обміну даними з накопичувачем (SSD або HDD). Твердотільний диск на 60 Гб заповнені майже під зав'язку шифруються хвилин за 30, при цьому ще працюють Добровільні розподілені обчислення.

Коли шифрування буде завершено, побачите наступну картинку

Закриваєте віконце і перевіряєте, чи в надійних місцях знаходяться ключ запуску і ключ відновлення.

Шифрування флешки - BitLocker To Go

З появою у windows 7 технології BitLocker To Go стало можливим шифрувати флешки, карти пам'яті та зовнішні жорсткі диски. Це дуже зручно, оскільки флешку втратити набагато легше ніж ноутбук і нетбук.

Через пошук або пройшовши шляхом

Пуск > Панель керування > Система та безпека > Шифрування диска BitLocker

відкриваємо віконце управління. Вставляєте флешку, яку потрібно зашифрувати і в розділі BitLocker To Go включаємо шифрування для потрібного USB накопичувача

Необхідно вибрати спосіб зняття блокування диска. Вибір не великий або пароль або сім-карта з PIN-кодом. Сім-карти випускаються спеціальними відділами у великих корпораціях. Скористайтеся простим паролем.

Встановлюємо галочку використовувати пароль для зняття блокування диска та двічі вводимо пароль. За замовчуванням мінімальна довжина пароля становить 8 символів (можна змінити групових політиках). Натискаємо Далі

Вибираємо як зберігатимемо ключ відновлення. Надійно, мабуть, надрукуватиме його. Зберігаємо та натискаємо Далі

Натискаємо Почати шифрування та захищаємо свої дані

Час шифрування залежить від ємності флешки, заповненості її інформацією, потужності вашого процесора та швидкості обміну даними з комп'ютером.

На ємних флешках або зовнішніх жорстких дисках ця процедура може затягнутися на довго. За ідеєю, процес можна закінчити на іншому комп'ютері. Для цього ставите шифрування на паузу і правильно виймаєте накопичувач. Вставляєте її в інший комп'ютер, розблокуєте ввівши пароль і шифрування продовжиться автоматично.

Тепер під час встановлення флешки в комп'ютер з'явиться віконце нижче з проханням ввести пароль

Якщо ви довіряєте цьому комп'ютеру і не хочете постійно вводити пароль встановлюєте галочку Надалі автоматично зніматиме блокування з цього комп'ютера і натискаєте Розблокувати. На цьому комп'ютері вам не доведеться вводити пароль для цієї флешки.

Для того щоб інформацією на зашифрованому USB-накопичувачі можна було скористатися на комп'ютерах під керуванням ОС windows Vista або windows XP флешку потрібно відформатувати у файлову систему FAT32. У цих операційних системах можна буде розблокувати флешку тільки ввівши пароль і інформація буде доступна тільки для читання. Запис інформації недоступний.

Управління зашифрованим розділом

Керування здійснюється з вікна Шифрування диска BitLocker. Можна знайти це віконце за допомогою пошуку, а можна зайти на адресу

Панель керування > Система та безпека > Шифрування диска BitLocker

Ви можете вимкнути шифрування, натиснувши на «Вимкнути BitLocker». У цьому випадку диск або том дешифрується. Це займе якийсь час і не потрібно жодних ключів.

Також тут можна призупинити захист

Рекомендовано використовувати цю функцію під час оновлення BIOS або редагування завантажувального диска. (того обсягом 100 МБ). Призупинити захист можна лише на системному диску (той розділ або том, на якому встановлено windows).

Чому потрібно припиняти шифрування? Щоб BitLocker не заблокував ваш диск і не вдаватися до процедури відновлення. Параметри системи (BIOS та вміст завантажувального розділу) під час шифрування фіксуються для додаткового захисту. При їх зміні може статися блокування комп'ютера.

Якщо ви оберете Керування BitLocker, то можна буде Зберегти або надрукувати ключ відновлення та Дублювати ключ запуску

Якщо один із ключів (ключ запуску або ключ відновлення) втрачено, можна їх відновити.

Управління шифруванням зовнішніх накопичувачів

Для керування параметрами шифрування флешки доступні такі функції

Можна змінити пароль, щоб зняти блокування. Видалити пароль можна лише якщо для зняття блокування використовується смарт-картка. Також можна зберегти або надрукувати ключ відновлення та увімкнути зняття блокування диска для цього комп'ютера автоматично.

Відновлення доступу до диска

Відновлення доступу до системного диска

Якщо флешка з ключем поза зоною доступу, то справа вступає ключ відновлення. Під час завантаження комп'ютера ви побачите приблизно таку картину

Для відновлення доступу та завантаження windows натискаємо Enter

Побачимо екран із проханням ввести ключ відновлення

З введенням останньої цифри за умови правильного ключа відновлення автоматично піде завантажуватись операційна система.

Відновлення доступу до знімних накопичувачів

Для відновлення доступу до інформації на флешці або зовнішньому HDD натискаємо Забули пароль?

Вибираємо Ввести ключ відновлення

і вводимо цей страшний 48-значний код. Тиснемо Далі

Якщо ключ відновлення підходить, то диск буде розблоковано

З'являється посилання на Керування BitLocker, де можна змінити пароль для розблокування накопичувача.

Висновок

У цій статті ми дізналися, як можна захистити нашу інформацію зашифрувавши її за допомогою вбудованого засобу BitLocker. Засмучує, що ця технологія доступна лише у старших або просунутих версіях ОС Windows. Так само стало ясно для чого створюється цей прихований і завантажувальний розділ розміром 100 МБ при налаштуванні диска засобами windows.

Можливо користуватимуся шифруванням флешок або зовнішніх жорстких дисків. Але, це малоймовірно, оскільки є хороші замінники у вигляді хмарних сервісів зберігання даних таких як DropBox, Google Диск, Яндекс Диск і подібні.

З повагою, Антон Дяченко

YouPK.ru

Увімкнення або відключення Bitlocker у windows

Нікого зовсім не дивує той факт, що на персональному комп'ютері може зберігатися суто особиста інформація або корпоративні дані, що становлять підвищену цінність. Небажано, якщо такі відомості потраплять до рук сторонніх осіб, які можуть скористатися ними, провокуючи серйозні проблеми у колишнього власника ПК.

Залежно від обставин Bitlocker можна активувати та деактивувати.

Саме з цієї причини багато користувачів висловлюють бажання зробити якісь дії, орієнтовані на обмежений доступ до всіх файлів, що зберігаються на комп'ютері. Така процедура справді існує. Виконавши певні маніпуляції, ніхто зі сторонніх, не знаючи пароль або ключ до його відновлення, не зможе отримати доступ до документів.

Захистити важливу інформацію від ознайомлення сторонніми особами вдається, якщо шифрувати диск Bitlocker. Такі дії допомагають забезпечити повну конфіденційність документам не тільки на конкретному ПК, а й у тому випадку, коли кимось жорсткий диск вилучено та вставлено до іншого персонального комп'ютера.

Алгоритм включення та вимкнення функції

Шифрування диска Bitlocker здійснюється на Windows 7, 8 і 10, але тільки не всіх версій. Передбачається, що на материнській платі, якою оснащений конкретний комп'ютер, на якому користувач бажає провести шифрування, має бути модуль TPM.

ПОРАДА. Не засмучуйтесь, якщо ви точно знаєте, що такого спеціального модуля на вашій материнці немає. Існують деякі хитрощі, що дозволяють «ігнорувати» таку вимогу, відповідно встановлювати і без такого модуля.

Перш ніж розпочати процес шифрування всіх файлів, важливо врахувати, що ця процедура досить тривала. Точну кількість часу назвати заздалегідь важко. Все залежить від того, який обсяг інформації є на жорсткому диску. У процесі шифрування windows 10 продовжуватиме працювати, але навряд чи своєю працездатністю зможе порадувати вас, оскільки показник продуктивності буде суттєво знижений.

Увімкнення функції

Якщо на вашому комп'ютері встановлений windows 10, при цьому ви відчуваєте активне бажання включити шифрування даних, скористайтеся нашими порадами, щоб вам не тільки все вдалося, але і шлях реалізації такого бажання не був скрутним. Спочатку знайдіть на своїй клавіатурі клавішу Win, іноді вона супроводжується піктограмою windows, затисніть її, одночасно з нею затисніть клавішу R. Затискання цих двох клавіш одночасно викликає відкриття вікна "Виконати".

У вікні, ви відкриєте порожній рядок, в який вам потрібно ввести «gpedit.msc». Після натискання на кнопку «Ok» відкриється нове вікно «Редактор локальної групової політики». У цьому вікні нам доведеться пройти невеликий шлях.

З лівого боку вікна знайдіть і відразу ж клацніть по рядку «Конфігурація комп'ютера», у підменю, що відкрилося, знайдіть «Адміністративні шаблони», а потім в черговому підменю, що відкрилося, перейдіть на параметр, розташований на першому місці в списку і іменований «Компоненти windows».

Тепер переведіть свій погляд на правий бік вікна, в ньому знайдіть "Шифрування диска Bitlocker", подвійним клацанням клавіші миші активуйте його. Тепер відкриється новий список, у якому вашою черговою метою має стати рядок «Диски операційної системи». Клікніть також і по цьому рядку, вам залишається зробити ще один перехід, щоб наблизитися до вікна, де буде здійснюватися безпосереднє налаштування Bitlocker, що дозволяє його включити, чого вам так хочеться.

Знайдіть рядок «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації при запуску», розкрийте цей параметр подвійним клацанням. У відкритому вікні ви знайдете бажане слово "Увімкнути", біля якого поруч виявите чекбокс, у ньому вам потрібно поставити специфічну позначку у вигляді галочки своєї згоди.

Трохи нижче у цьому вікні знаходиться підрозділ «Платформи», в ньому вам потрібно встановити галочку в чекбоксі біля використання BitLocker без спеціального модуля. Це дуже важливо, особливо якщо у вашому windows 10 немає модуля TPM.

Налаштування бажаної функції у цьому вікні завершується, тому його можна закрити. Тепер наведіть курсор мишки на значок «windows», лише клацніть правою клавішею, що дозволить з'явитися додатковому підменю. У ньому ви знайдете рядок "Панель управління", перейдіть на нього, а потім на наступний рядок "Шифрування диска Bitlocker".

Не забудьте позначити, де ви хочете здійснити шифрування. Це можна зробити і на жорсткому, і на знімному диску. Після вибору бажаного об'єкта натисніть клавішу Включити Bitlocker.

Тепер windows 10 запустить автоматичний процес, зрідка привертаючи вашу увагу, пропонуючи конкретизувати ваші бажання. Безперечно, найкраще перед виконанням такого процесу зробити резервну копію. В іншому випадку при втраті пароля та ключа до нього навіть власник ПК не зможе відновити інформацію.

Далі розпочнеться процес підготовки диска до подальшого шифрування. Під час виконання цього процесу не дозволяється вимикати комп'ютер, оскільки такою дією можна завдати серйозної шкоди операційній системі. Після такого збою ви просто не зможете запустити ваш windows 10, відповідно замість шифрування вам доведеться встановити нову операційну систему, витративши зайвий час.

Як тільки підготовка диска успішно завершується, починається саме налаштування диска до шифрування. Вам буде запропоновано ввести пароль, який згодом забезпечує доступ до зашифрованих файлів. Також буде запропоновано придумати та ввести ключ відновлення. Обидва ці важливі компоненти найкраще зберегти в надійному місці, найкраще роздрукувати. Дуже безглуздо зберігати пароль та ключ до відновлення на самому ПК.

У процесі шифрування система може поцікавитися у вас, яку частину саме ви хочете зашифрувати. Найкраще такій процедурі повністю піддати весь простір диска, хоча є варіант зашифрувати тільки зайнятий простір.

Залишається вибрати такий варіант дій, як Новий режим шифрування, а після цього запустити автоматичну перевірку операційної системи BitLocker. Далі система продовжить процес, після чого до вас надійде пропозиція перезавантажити ваш ПК. Безумовно, виконайте цю вимогу, здійсніть перезавантаження.

Після чергового запуску windows 10 ви переконаєтеся, що доступ до документів без введення пароля буде неможливим. Процес шифрування буде продовжуватися, контролювати його можна при натисканні на значок BitLocker, що знаходиться на панелі повідомлень.

Вимкнення функції

Якщо з якихось причин файли на вашому комп'ютері перестали представляти підвищену важливість, а вам не дуже подобається щоразу вводити пароль, щоб отримати доступ до них, тоді пропонуємо вам просто вимкнути функцію шифрування.

Щоб виконати такі дії, перейдіть до панелі повідомлень, знайдіть там значок BitLocker, клацніть по ньому. У нижній частині відкритого вікна ви знайдете рядок «Керування BitLocker», натисніть на нього.

Тепер система запропонує вам вибрати, яка дія для вас є кращою:

• провести архівацію ключа відновлення;
• змінити пароль доступу до зашифрованих файлів;
• видалити раніше встановлений пароль;
• вимкнути BitLocker.

Безумовно, якщо ви вирішили відключити BitLocker, вам слід вибрати останній варіант. На екрані відразу виникне нове вікно, в якому система забажає переконатися, що ви дійсно бажаєте вимкнути функцію шифрування.

УВАГА. Як тільки ви натиснете кнопку «Вимкнути BitLocker», відразу почнеться процес дешифрування. На жаль, і цей процес не характеризується високою стрімкістю, тому вам однозначно доведеться налаштуватися на деякий час, в ході якого вам просто доведеться чекати.

Звичайно, якщо вам потрібно користуватися комп'ютером, ви можете собі це дозволити, ніякої категоричної заборони на це немає. Однак слід налаштувати себе на те, що продуктивність ПК в цей момент може бути вкрай низькою. Зрозуміти причину такої повільності нескладно, адже операційній системі доводиться розблокувати величезний обсяг інформації.

Отже, маючи бажання зашифрувати або дешифрувати файли на комп'ютері, достатньо ознайомитися з нашими рекомендаціями, після цього без поспішності виконувати кожен крок позначеного алгоритму, а після завершення порадіти досягнутому результату.

NastroyVse.ru

Налаштування Bitlocker

Bitlocker- інструментальний засіб забезпечує шифрування даних на рівні томів (тому може займати частину диска, а може включати масив з декількох дисків.) Bitlocker служить для захисту ваших даних у разі втрати або крадіжки ноутбука \ комп'ютера. У початковій версії BitLocker забезпечував захист лише одного тому - диска з операційною системою. Засіб BitLocker входить до комплекту постачання всіх редакцій Server 2008 R2 і Server 2008 (за винятком редакції для Itanium), крім того, windows 7 Ultimate та Enterprise, а також windows Vista. У версіях Windows Server 2008 і Vista SP1 Microsoft реалізувала засоби захисту різних томів, у тому числі томів локальних даних. У версіях windows Server 2008 R2 і windows 7 розробниками було додано підтримку знімних накопичувачів даних (USB-пристроїв флеш-пам'яті та зовнішніх жорстких дисків). Ця функція називається BitLocker To Go. У технології BitLocker використовується алгоритм AES шифрування, ключ може зберігатися в TMP (Trusted Platform Module - спеціальна схема встановлена ​​в комп'ютер під час його виробництва, що забезпечує зберігання ключів шифрування) або в USB-пристрої. Доступні такі комбінації:

TPM - TPM + PIN - TPM + PIN + USB-ключ - TPM + USB-ключ - USB-ключОскільки часто в комп'ютерах немає TMP, хочу покроково описати налаштування BitLocker з USB-накопичувачем.

Заходимо в «Комп'ютер» та правою кнопкою миші натискаємо на локальному диску, який ми хочемо зашифрувати (в даному прикладі шифруватимемо локальний диск С) і вибираємо «Включити BitLocker».

Після цих кроків ми побачимо помилку.

Воно і зрозуміло, як я вже писав - на цьому комп'ютері немає модуля TMP і ось результат, але це все легко виправляється, достатньо зайти в локальні політики комп'ютера і змінити там налаштування, для цього необхідно зайти в редактор локальних політик - пишемо в полі пошуку gpedit .msc та натискаємо «Enter».

В результаті відкриється вікно локальних політик, заходимо по шляху «Конфігурація комп'ютера - Адміністративні шаблони - Компоненти windows - Шифрування диска BitLocker - Диски операційної системи» (Computer Configuration - Administrative Templates политике Обов'язкова додаткова автентифікація при запуску ставимо Включити, необхідно так само звернути увагу що б стояла галочка Дозволити використання BitLocker без сумісного TPM Натискаємо «Ок».

Тепер якщо повторити перші кроки по включенню BitLocker на локальному диску, відкриється вікно налаштування шифрування диска, вибираємо «Запитувати ключ запуску» при запуску (втім вибору у нас і не було, пов'язано це з відсутністю TPM).

У наступному вікні вибираємо той USB пристрій, на якому буде зберігатися ключ.

Потім вибираємо куди збережемо ключ відновлення (це ключ який вводиться вручну у разі втрати носія з основним ключем), рекомендую зробити це інший на USB-носій, або на інший комп'ютер або ж роздрукуйте його, якщо ви збережете ключ відновлення на цьому ж На комп'ютері або на цьому ж USB-носії ви не зможете запустити windows втративши USB на якому збережено ключ. У цьому прикладі я зберіг інший USB-носій.

У наступному вікні запускаємо перевірку системи Bitlocker за допомогою натискання кнопки "Продовжити", після чого комп'ютер буде перезавантажено.

Після завантаження комп'ютера з'явиться вікно шифрування. Найчастіше це тривала процедура, що вимагає кількох годин.

В результаті ми маємо зашифрований диск С, який без USB-накопичувача з ключем або ключем відновлення не запуститься.

pk-help.com

Як настроїти шифрування даних BitLocker для windows

Для захисту від несанкціонованого доступу до файлів, що зберігаються на жорсткому диску, а також на знімних дисках (зовнішні диски або USB флеш-пам'яті), користувачі ОС windows мають можливість зашифровувати їх, використовуючи вбудовану програму для шифрування BitLocker і BitLocker To Go.

Програма шифрування BitLocker і BitLocker To Go встановлені в Proffessional і Enterprise версіях ОС windows 8/8.1, а також в Ultimate версії windows 7. Але так само користувачам базової версії windows 8.1 доступна така опція як «Device Encryption» у більш розвинених версіях операційної системи.

Увімкнення програми шифрування BitLocker

Щоб увімкнути програму шифрування BitLocker, відкрийте Панель керування, а потім перейдіть по пунктах - Система та безпека > Шифрування диска BitLocker. Також ви можете відкрити Провідник windows («Комп'ютер»), натиснути на вибраному диску правою клавішею миші та у меню вибрати пункт «Увімкнути BitLocker». Якщо вищезазначеного рядка в меню немає, значить у вас невідповідна версія OC windows.

Щоб увімкнути BitLocker для системного диска, диска з даними або знімного диска, необхідно вибрати пункт «Увімкнути BitLocker».

У цьому вікні доступні 2 типи шифрування диска BitLocker:

• "Шифрування диска BitLocker - жорсткі диски": Ця функція дозволяє зашифрувати весь диск повністю. При завантаженні комп'ютера, стартовий завантажувач windows підвантажуватиме дані з області жорсткого диска, зарезервованого системою, і вам буде запропоновано вами тип розблокування, наприклад - ввести пароль. Потім BitLocker виконає процес дешифрування даних та процес завантаження windows продовжиться. Іншими словами, шифрування можна як процес, виконання якого відбувається непомітно для користувача. Ви зазвичай працюєте з файлами і даними, які в свою чергу знаходяться в зашифрованому вигляді на диску. Крім цього, ви можете застосовувати шифрування не тільки для системних дисків.
• "Шифрування диска BitLocker - BitLocker To Go": Зовнішні накопичувачі, такі як USB флеш-пам'ять або зовнішні жорсткі диски можуть бути зашифровані за допомогою утиліти BitLocker To Go. При підключенні зашифрованого пристрою до комп'ютера Вам буде запропоновано ввести пароль, що захистить ваші дані від сторонніх.

Використання BitLocker без модуля TPM

При спробі шифрування за допомогою BitLocker на ПК без встановленого апаратного модуля TPM (Trusted Platform Module), відкриється нижченаведене вікно з повідомленням про необхідність увімкнення опції “Дозволити використання BitLocker без сумісного TPM” (Allow BitLocker without a compatible TPM).

Програма шифрування BitLocker вимагає нормальної роботи ПК з апаратним модулем TPM для захисту системного диска. Модуль TPM є невеликим чіпом, встановленим на материнській платі. BitLocker може зберігати ключі шифрування в ньому, що є більш надійним варіантом, ніж зберігання на звичайному диску з даними. Модуль TPM надає ключі лише після запуску та перевірки стану системи, що виключає можливість розшифрування даних у разі крадіжки вашого жорсткого диска або створення образу зашифрованого диска з метою злому на іншому ПК.

Для включення вищеописаної опції необхідно мати права адміністратора. Вам лише потрібно буде відкрити «Редактор локальної групової політики» і задіяти наступну опцію.

Натисніть клавіші Win + R, щоб запустити діалог «Виконати», введіть gpedit.msc. Далі пройдіть по наступним пунктам - Конфігурація комп'ютера (Computer Configuration) > Адміністративні шаблони (Administrative Templates) > Компоненти windows (windows Components) > Шифрування диска BitLocker (BitLocker Drive Encryption) > Диски операційної системи (Operating System Drive) Подвійне натискання мишею на пункті «Вимагати додаткову автентифікацію при запуску комп'ютера» (Require additional authentication at startup), вибираємо опцію «Увімкнути» (Enabled) і ставимо галочку в пункті «Дозволити використання BitLocker без сумісного TPM» (Allow BitLocker with ). Натисніть «Застосувати», щоб зберегти налаштування.

Вибір способу зняття блокування диска

При успішному виконанні вищезазначених дій, вам буде запропоновано вікно "Вибір способу розблокування диска під час запуску" (Choose how to unlock your drive at startup). Якщо у вашого ПК немає модуля TPM, то ви можете вибрати два варіанти: ввести пароль або використовувати спеціальний USB флеш-накопичувач (смарт-карту) як ключ для розблокування.

Якщо модуль TPM присутній на материнській платі, вам буде доступно більше опцій. Наприклад, можна настроїти автоматичне розблокування під час завантаження комп'ютера - всі ключі будуть збережені в модулі TPM і автоматично будуть використані для розшифровування даних на диску. Також ви можете поставити на початковий завантажувач PIN пароль, який далі розблокує ключі для дешифрування, збережені в TPM, а далі і весь диск.

Виберіть спосіб найбільш підходящий і дотримуйтесь вказівок установника.

Створення резервного ключа

BitLocker також надає можливість створення резервного ключа. Цей ключ буде використаний для доступу до зашифрованих даних у випадку, якщо ви забули або втратили ваш основний ключ, наприклад, забули пароль доступу до ключа або переставили жорсткий диск на новий ПК з новим модулем TPM тощо.

Ви можете зберегти ключ у файл, роздрукувати його, помістити на зовнішній USB-накопичувач або зберегти у вашому обліковому записі Microsoft (для користувачів windows 8 and 8.1). Головне бути впевненим у тому що цей резервний ключ зберігається в надійному місці, в іншому випадку зловмисник зможе легко обійти BitLocker і отримати доступ до всіх даних, що його цікавлять. Але незважаючи на це обов'язково необхідно створити резервний ключ, оскільки втративши основний ключ без резервного, ви втратите всі свої дані.

Шифрування та дешифрування диска

BitLocker буде автоматично шифрувати нові файли, в міру їх появи, однак ви повинні вибрати, як ви хочете зашифрувати ваш решта простір на диску. Ви можете зашифрувати весь диск повністю (включаючи вільний простір) – другий варіант на скріншоті нижче, або ж лише файли – перший варіант, що прискорить процес шифрування.

При використанні BitLocker на новому ПК (мається на увазі з нещодавно встановленою ОС) краще використовувати шифрування зайнятого файлами простору, оскільки це займе трохи часу. Однак, якщо ви включаєте шифрування для диска який знаходиться тривалий час у використанні, краще використовувати метод в якому шифрується повністю весь диск, навіть з вільним простором. Такий метод унеможливить відновлення не зашифрованих раніше віддалених файлів. Таким чином перший метод швидше, другий надійніший.

При подальшому налаштуванні шифрування BitLocker проведе аналіз системи та перезавантажить комп'ютер. Після перезавантаження ПК процес шифрування буде запущено. Він буде відображатися у треї у вигляді іконки, за допомогою якої Ви бачитимете відсотковий прогрес процесу. Ви й надалі зможете користуватися комп'ютером, але при цьому спостерігатиметься невелике пригальмовування системи через шифрування файлів, що паралельно працює.

Після завершення шифрування та при наступному запуску ПК BitLocker надасть вам вікно, в якому потрібно ввести пароль, PIN або вставити USB накопичувач як ключ (залежить від того, яким чином ви до цього налаштували доступ до ключа).

Натискання клавіші Escape в цьому вікні призведе вас до вікна введення резервного ключа, якщо був втрачений доступ до основного ключа.

При виборі способу шифрування BitLocker To Go для зовнішніх пристроїв на вас чекає схожий майстер налаштування, однак, перезавантаження комп'ютера в цьому випадку не потрібно. Не вимикайте зовнішній накопичувач до завершення процесу шифрування.

При подальшому підключенні зашифрованого пристрою до ПК буде запрошено пароль або смарт-картку для розблокування. Пристрій захищений за допомогою BitLocker відображатиметься з відповідною іконкою в диспетчері файлів або windows Explorer.

Ви можете керувати зашифрованим диском (змінювати пароль, вимикати шифрування, створювати резервні копії ключа та ін.), використовуючи вікно панелі керування BitLocker. Праве клацання мишею на зашифрованому диску та вибір пункту «Керування BitLocker» приведе вас за призначенням.

Як і будь-які інші засоби захисту інформації, шифрування на ходу в реальному часі за допомогою BitLocker звичайно ж буде забирати на себе частину ресурсів вашого комп'ютера. Це виразиться в основному в підвищеному навантаженні на ЦП через безперервне шифрування даних з диска на диск. Але з іншого боку, для людей, інформація яких має бути надійно захищена від сторонніх поглядів, інформація, яка може надати зловмисникам згубні козирі в руки, ця втрата продуктивності – це найкомпромісніше рішення.

osmaster.org.ua

Шифрування у windows 7 за допомогою BitLocker

Володимир Безмалий

7 січня 2009 року компанія Microsoft представила для тестування чергову версію операційної системи для робочих станцій – windows 7. У цій операційній системі, як вже стало звичним, широко представлені технології безпеки, у тому числі й раніше представлені у Windows Vista. Сьогодні мова піде про технологію шифрування windows BitLocker, яка зазнала значних змін після своєї появи у windows Vista. Здається, сьогодні вже нікого не потрібно переконувати у необхідності шифрування даних на жорстких дисках та змінних носіях, проте наведемо аргументи на користь даного рішення.

Втрата конфіденційних даних через розкрадання або втрату мобільних пристроїв

Сьогодні вартість апаратних засобів набагато менше, ніж вартість інформації, що міститься на пристрої. Втрачені дані можуть призвести до втрати репутації, втрати конкурентоспроможності та потенційних судових позовів.

У всьому світі вже давно питання шифрування даних регулюються відповідними законодавчими актами. Так, наприклад, США, U.S. Government Information Security Reform Act (GISRA) вимагає шифрування даних захисту конфіденційної інформації, що належить урядовим органам. У країнах ЄС прийнята директива European Union Data Privacy Directive. Канада та Японія мають свої відповідні інструкції.

Усі ці закони передбачають серйозні штрафи за втрату персональної чи корпоративної інформації. Як тільки пристрій викрадено (втрачено) – ваші дані можуть бути втрачені разом з ним. Для заборони несанкціонованого доступу до даних можна шифрувати дані. Крім того, не варто забувати про таку небезпеку, як несанкціонований доступ до даних під час ремонту (у тому числі гарантійного), або продаж пристроїв, що були у використанні.

А те, що це не порожні слова, на жаль, неодноразово підтверджено фактами. Позаштатний співробітник міністерства внутрішніх справ Великої Британії втратив карту пам'яті з особистими даними більш ніж сотні тисяч злочинців, у тому числі й у тюремному терміні. Про це йдеться у повідомленні відомства. На носії зберігалися імена, адреси та, в деяких випадках, деталі звинувачень 84 тисяч ув'язнених, які тримаються у в'язницях Сполученого Королівства. Також на карті пам'яті знаходяться адреси 30 тисяч осіб із кількістю судимостей від шести та вище. Як уточнили в міністерстві, інформація з картки пам'яті використовувалася дослідником із компанії РА Consulting. «Нам стало відомо про порушення правил безпеки, що спричинило втрату співробітником, що перебуває на договорі, особисту інформацію про порушників закону з Англії та Уельсу. Наразі проводиться ретельне розслідування», – сказав представник МВС.

З коментарем із цього приводу вже встиг виступити міністр внутрішніх справ «тіньового» уряду Домінік Грив. Він зазначив, що британські платники податків будуть «у шоку» від того, як британський уряд ставиться до секретної інформації.

Це далеко не перший у Великій Британії випадок втрати конфіденційної інформації різними організаціями та відомствами, нагадав Грив.

У квітні великий британський банк HSBC зізнався у втраті диску, на якому зберігалися особисті дані 370 тисяч його клієнтів. У середині лютого стало відомо про крадіжку з британської лікарні Russels Hall Hospital у місті Дадлі (графство Вест-Мідландс) ноутбука з медичними даними 5 тисяч 123 пацієнти. Наприкінці січня з'явилося повідомлення, що у британської мережі супермаркетів Marks and Spencer вкрадено ноутбук із особистими даними 26 тисяч співробітників. Глава Міноборони Великобританії Дес Браун 21 січня оголосив, що у відомства було вкрадено три ноутбуки з особистими даними тисяч людей.

У грудні минулого року стало відомо про те, що приватна американська компанія втратила відомості про три мільйони кандидатів на отримання британських прав водія. Вони утримувалися на жорсткому диску комп'ютера. Серед втрачених даних – відомості про імена, адреси та телефонні номери претендентів на отримання прав водія в період з вересня 2004 по квітень 2007 року.

Наприкінці жовтня 2007 року два диски, на яких містилася інформація про 25 мільйонів отримувачів дитячої допомоги та їх банківські рахунки, зникли дорогою між двома державними установами. Масштабна операція з пошуку дисків, яка обійшлася платникам податків у 500 тисяч фунтів, не дала результатів.

Також у червні цього року в одному з поїздів, що прямували до Лондона, було виявлено пакет із секретними документами (http://korrespondent.net/world/493585), в яких міститься інформація про боротьбу з фінансуванням терористів, контрабандою наркотиків та відмиванням грошей. Раніше пакет із секретними документами, які стосуються останньої інформації про терористичну мережу Аль-Каїда, було виявлено (http://korrespondent.net/world/490374) на сидінні поїзда в Лондоні. Постає питання, чим думали користувачі, що допустили це?

А ось ще один факт, який має змусити замислитися власників мобільних пристроїв

Згідно з звітом Ponemon Institute (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute) щорічно у великих та середніх аеропортах США втрачається близько 637 000 ноутбуків Згідно з оглядом, ноутбуки, як правило, губляться у контрольних точках безпеки.

Близько 10 278 ноутбуків губляться щотижня у 36 великих американських аеропортах, і 65% із них не повертаються власникам. В аеропортах середнього розміру реєструється втрата близько 2 000 ноутбуків, і 69% їх не повернуто власникам. Інститут провів опитування у 106 аеропортах 46 держав та опитав 864 особи.

Найчастіше ноутбуки втрачають у наступних п'яти аеропортах:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O"Hare
• Newark Liberty International.

Мандрівники не впевнені, що їм повернуть втрачені ноутбуки.

Приблизно 77% опитаних розповіли, що вони не мають жодної надії на повернення втраченого ноутбука, 16% кажуть, що вони нічого не робили б, якби втратили свій ноутбук. Приблизно 53% заявили, що ноутбуки містять конфіденційну інформацію компанії, а 65% не зробили нічого для захисту інформації.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Що цьому протиставити? Лише шифрування даних.

І тут шифрування виступає у ролі останньої лінії фізичної оборони вашого ПК. Технологій шифрування жорсткого диска сьогодні – безліч. Природно, що після успішної прем'єри своєї технології BitLocker у складі Windows Vista Enterprise і Windows Vista Ultimate компанія Microsoft не могла не включити цю технологію в Windows 7. Втім, заради справедливості, варто відзначити, що в новій ОС ми побачимо значно перероблену технологію шифрування.

Шифрування у windows 7

Отже, наше знайомство починається з встановлення Windows 7 на ваш ПК. У Windows Vista для використання шифрування вам було необхідно зробити одне з двох: або спочатку з використанням командного рядка підготувати ваш жорсткий диск, розмітивши його відповідним способом, або зробити це пізніше, використовуючи спеціальне програмне забезпечення від Microsoft (BitLocker Disk Preparation Tool). У Windows 7 проблема вирішується спочатку, при розмітці жорсткого диска. Так, при установці, я поставив системний розділ ємністю 39 гігабайт, а отримав... 2 розділи! Один - розміром 200Мб, а другий - 38 гігабайт з невеликим. Причому у стандартному вікні провідника ви бачите наступне зображення (рис.1).

Рис. 1. Вікно провідника

Однак, відкривши Start – All Programs – Administrative Tools – Computer Management – ​​Disk Management, ви побачите (Рис. 2) наступне:

Рис. 2. Computer Management

Як бачите, перший розділ розміром 200Мб просто прихований. Він же за умовчанням є системним, активним та первинним розділом. Для тих, хто вже знайомий із шифруванням у Windows Vista особливо нового на даному етапі немає, крім того, що розбивка таким чином проводиться за умовчанням і жорсткий диск вже на етапі установки готується до наступного шифрування. Єдина відмінність, що кидає в очі, це його розмір в 200 Мб проти 1,5 Гб у windows Vista.

Безумовно, така розбивка диска на розділи значно зручніша, адже найчастіше користувач, встановлюючи ОС, не замислюється відразу про те, чи буде він шифрувати жорсткий диск чи ні.

Одразу після установки ОС ми в Control Panel у розділі System and Security можемо вибрати (рис. 3) BitLocker Drive Encryption

Рис. 3. System and Security

Вибравши Protect your computer by encrypting data on your disk випадаєтеокно (рис 4)

Рис. 4. BitLocker Drive Encryption

Зверніть увагу (на малюнку виділено червоним кольором) на опції, які у Windows Vista відсутні або організовані інакше. Так, у Windows Vista змінні носії можна було шифрувати тільки в тому випадку, якщо вони використовували файлову систему NTFS, причому шифрування проводилося за тими самими правилами, що і для жорстких дисків. А шифрувати другий розділ жорсткого диска (у цьому випадку диск D:) можна було лише після того, як зашифровано системний розділ (диск C:).

Однак не варто думати, що як тільки ви оберете Turn on BitLocker, ось вам і все гаразд. Не тут то було! При включенні BitLocker без додаткових параметрів все, що ви отримаєте, це шифрування жорсткого диска на цьому ПК без застосування ТРМ, що, як я вже вказував у своїх статтях, не є добрим прикладом. Втім, користувачі в деяких країнах, наприклад, Російська Федерація або Україна просто не мають іншого виходу, оскільки в цих країнах заборонено ввезення комп'ютерів з ТРМ. У такому випадку ви вибираєте Turn on BitLocker і потрапляєте на рис.5.

Рис. 5. BitLocker Drive Encryption

Якщо ви хочете використовувати ТРМ, щоб скористатися всією потужністю шифрування, вам необхідно скористатися редактором групових політик. Для цього необхідно запустити режим командного рядка (cmd.exe) і наберіть у командному рядку gpedit.msc (рис.6), запустивши редактор групової політики (рис 7).

Рис. 6. Запуск редактора групової політики

Рис. 7. Редактор групової політики

Розглянемо докладніше опції групової політики, за допомогою яких можна керувати шифруванням BitLocker.

Опції групової політики BitLocker Drive Encryption

Store BitLocker Recovery Information в Active Directory Domain Services (Windows Server 2008 and Windows Vista)

За допомогою цієї опції групової політики можна керувати Active Directory Domain Services (AD DS) для резервування інформації для подальшого відновлення BitLocker Drive Encryption. Ця опція застосовується лише до комп'ютерів, які працюють під керуванням windows Server 2008 або windows Vista.

Коли ця опція буде встановлена, при включенні BitLocker його інформація відновлення буде автоматично скопійована в AD DS.

Якщо ви вимкнете цю опцію політики або залишите її за промовчанням, то інформація відновлення BitLocker не буде скопійована в AD DS.

Choose default folder for recovery password

Ця опція політики дозволить вам визначити місце розташування папки, що використовується за замовчуванням, для збереження пароля відновлення, яке відображається майстром BitLocker Drive Encryption при запиті. Ця опція застосовується, коли ви включаєте шифрування BitLocker. Разом з тим, необхідно відзначити, що користувач може зберегти пароль відновлення в будь-якій іншій папці.

Choose how users can recover BitLocker-protected drives (windows Server 2008 і windows Vista)

Ця опція дозволить вам керувати опціями відновлення BitLocker, що відображаються майстром установки. Ця політика застосовна до комп'ютерів, які працюють під керуванням Windows Server 2008 і Windows Vista. Ця опція застосовується при включенні BitLocker.

Для відновлення зашифрованих даних користувач може скористатися 48-значним цифровим паролем або USB-диском, що містить 256-розрядний ключ відновлення.

За допомогою цієї опції ви можете дозволити збереження на USB-диск 256-розрядного ключа пароля як невидимий файл і текстовий файл, в якому буде містити 48 цифр пароля відновлення.

У випадку, якщо ви відключите або не конфігуруватимете це правило групової політики, майстер установки BitLocker дозволить користувачеві вибрати опції відновлення.

Якщо ви вимкнете або не конфігуруєте цей параметр політики, майстер установки BitLocker надасть користувачам інші способи зберегти опції відновлення.

Choose drive encryption method and cipher strength

За допомогою цього правила ви можете вибрати алгоритм шифрування і довжину ключа, що використовується. Якщо диск вже зашифрований, а потім ви вирішили змінити довжину ключа, нічого не станеться. За умовчанням для шифрування використовується метод AES зі 128-розрядним ключем та дифузором.

Використовуйте unique identifiers для вашої організації

Дане правило політики дозволить вам створювати унікальні ідентифікатори для кожного нового диска, що належить організації та захищається за допомогою BitLocker. Дані ідентифікатори зберігаються як перше та друге поля ідентифікатора. Перше поле ідентифікатора дозволить встановити унікальний ідентифікатор організації дисків, захищених BitLocker. Цей ідентифікатор буде автоматично додаватися до нових дисків, що захищаються BitLocker, і він може бути оновлений для існуючих дисків, зашифрованих за допомогою BitLocker, за допомогою програмного забезпечення командного рядка Manage-BDE.

Друге поле ідентифікатора використовується в комбінації з правилом політики "Заборона доступу на змінні носії, не захищені BitLocker" і може використовуватися для керування змінними дисками у вашій компанії.

Комбінація цих полів може використовуватися для визначення, чи належить диск вашої організації чи ні.

Якщо значення цього правила не визначено або вимкнено, поля ідентифікації не потрібні.

Поле ідентифікації може мати довжину 260 символів.

Prevent memory overwrite on restart

Це правило дозволить збільшити продуктивність комп'ютера за рахунок запобігання перезапису пам'яті, проте варто розуміти, що ключі BitLocker не будуть видалені з пам'яті.

Якщо це правило вимкнено або не конфігуровано, ключі BitLocker будуть видалені з пам'яті під час перезавантаження комп'ютера.

Для посилення захищеності це правило варто залишити за замовчуванням.

Configure smart card certificate object identifier

Це правило дозволить зв'язати ідентифікатор об'єкта сертифіката смарт-карти з диском, зашифрованим BitLocker.

Стаціонарні жорсткі диски

У цьому розділі описуються правила групової політики, які застосовуватимуться до дисків даних (не системних розділів).

Configure use of smart cards на fixed data drives

Це правило дозволить визначити, чи можна використовувати смарт-картки для дозволу доступу до даних на жорсткому диску ПК.

Якщо ви відключаєте це правило, смарт-картки не можна використовувати.

За умовчанням смарт-картки можна використовувати.

Deny write access to fixed drives not protected by BitLocker

Це правило визначає дозвіл або заборону запису на диски, які не захищені BitLocker. Якщо це правило визначено, всі диски, не захищені BitLocker, будуть доступні тільки для читання. Якщо диск зашифрований за допомогою BitLocker, то він буде доступний для читання і запису. Якщо це правило вимкнено або не визначено, всі жорсткі диски комп'ютера будуть доступні для читання та запису.

Allow access to BitLocker-захищений fixed data drives from earlier versions of windows

Дане правило політики встановлює, чи можуть диски з файловою системою FAT бути розблоковані та прочитані на комп'ютерах під керуванням Windows Server 2008, Windows Vista, Windows XP SP3 і Windows XP SP2.

Якщо це правило увімкнено або не конфігуровано, диски даних, відформатовані під файловою системою FAT, можуть бути доступні для читання на комп'ютерах з переліченими вище ОС.

Якщо це правило вимкнено, відповідні диски не можуть бути розблоковані на комп'ютерах під керуванням Windows Server 2008, Windows Vista, Windows XP SP3 і Windows XP SP2.

Увага! Це правило не стосується дисків, форматованих під NTFS.

Це правило визначає необхідність пароля для розблокування дисків, захищених BitLocker. Якщо ви хочете використовувати пароль, можете встановити вимоги складності пароля і його мінімальну довжину. Варто врахувати, що для встановлення вимог складності необхідно встановити вимогу до складності пароля в розділі Політики паролів групової політики.

Якщо це правило визначено, користувачі можуть конфігурувати паролі, які відповідають вибраним вимогам.

Довжина пароля має бути не менше 8 символів (за замовчуванням).

Choose how BitLocker-protected fixed drives can be recovered

Це правило дозволить вам керувати відновленням зашифрованих дисків.

Якщо це правило не налаштовано або заблоковано, доступні параметри відновлення за промовчанням.

Operation System Drives

У цьому розділі описуються правила групової політики, які застосовуються для розділів операційної системи (зазвичай диск C:).

Require additional authentication at startup

Це правило групової політики дозволить встановити, чи ви використовуєте для ідентифікації Trusted Platform Module (ТМР).

Увага! Варто врахувати, що під час запуску може бути задана лише одна з опцій, інакше ви отримаєте помилку політики.

Якщо це правило увімкнено, користувачі зможуть конфігурувати розширені опції запуску в майстрі установки BitLocker

Якщо політику вимкнено або не налаштовано, основні опції можна конфігурувати лише на комп'ютерах з ТРМ.

Увага! Якщо ви хочете використовувати PIN та USB-диск, то повинні налаштувати BitLocker, використовуючи командний рядок bde замість майстра BitLocker Drive Encryption.

Require additional authentication at startup (windows Server 2008 and windows Vista)

Це правило політики застосовується лише до комп'ютерів, які працюють під керуванням windows 2008 або windows Vista.

На комп'ютерах, обладнаних TPM, можна встановити додатковий параметр безпеки – PIN-код (від 4 до 20 цифр).

На комп'ютерах, не обладнаних ТРМ, використовуватиметься USB-диск із ключовою інформацією.

Якщо цей параметр увімкнено, майстер відобразить вікно, в якому користувач зможе налаштувати додаткові параметри запуску BitLocker.

Якщо ж цей параметр вимкнено або не налаштовано, майстер установки відобразить основні кроки для запуску BitLocker на комп'ютерах з ТРМ.

Configure minimum PIN length for startup

За допомогою цього параметра виконується налаштування мінімальної довжини PIN-коду для запуску комп'ютера.

PIN-код може мати довжину від 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered

За допомогою цього правила групової політики ви зможете визначити, як відновлюватимуться диски, зашифровані за допомогою BitLocker, за відсутності ключа шифрування.

Configure TPM platform validation profile

За допомогою цього правила можна конфігурувати модель ТРМ. Якщо відповідного модуля немає, це правило не застосовується.

Якщо ви дозволяєте це правило, зможете конфігурувати, які компоненти початкового завантаження будуть перевірені за допомогою ТРМ, перш ніж розблокувати доступ до зашифрованого диска.

Знімні носії

Control use of BitLocker on removable drives

За допомогою цього правила групової політики ви зможете керувати шифруванням BitLocker на змінних дисках.

Ви можете вибрати, за допомогою яких налаштувань користувачі зможуть конфігурувати BitLocker.

Зокрема, для дозволу виконання майстра установки шифрування BitLocker на змінному диску ви повинні вибрати "Allow users to apply BitLocker protection on removable data drives".

Якщо ви виберете "Allow users to suspend and decrypt BitLocker on removable data drives", користувач зможе розшифрувати ваш змінний диск або призупинити шифрування.

Якщо це правило не налаштовано, користувачі можуть використовувати BitLocker на знімних носіях.

Якщо це правило вимкнено, користувачі не зможуть використовувати BitLocker на знімних дисках.

Налаштування використання smart cards removable data drives

За допомогою цієї установки політики ви зможете визначити, чи можна використовувати смарт-картки для автентифікації користувача та доступу до змінних дисків на даному ПК.

Deny write access to removable drives not protected BitLocker

За допомогою цього правила політики можна заборонити запис на змінні диски, не захищені BitLocker. У такому разі всі змінні диски, не захищені BitLocker, будуть доступні тільки для читання.

Якщо буде вибрано опцію "Deny write access to devices configured in another organization", запис буде доступний тільки на змінні диски, що належать вашій організації. Перевірка проводиться за двома полями ідентифікації, визначеними згідно з правилом групової політики «Provide the unique identifiers for your organization».

Якщо ви відключили це правило або воно не налаштоване, всі змінні диски будуть доступні і по читанню і по запису.

Увага! Це правило можна скасувати параметрами налаштування політики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Якщо правило «Removable Disks: Deny write access» дозволено, це правило буде проігноровано.

Allow access to BitLocker-захищений віддалені data drives from earlier versions of windows

Це правило визначає, чи можуть бути змінені диски, відформатовані під FAT, бути розблоковані та переглянуті на комп'ютерах під керуванням windows 2008, windows Vista, windows XP SP3 та windows XP SP2.

Якщо це правило дозволене або не налаштоване, змінні диски з файловою системою FAT можуть бути розблоковані та переглянуті на комп'ютерах під керуванням windows 2008, windows Vista, windows XP SP3 та windows XP SP2. Ці диски будуть доступні лише для читання.

Якщо це правило заблоковано, відповідні змінні диски не можуть бути розблоковані та переглянуті на комп'ютерах під керуванням windows 2008, windows Vista, windows XP SP3 та windows XP SP2.

Це правило не стосується дисків, відформатованих під NTFS.

Configure password complexity requirements and minimum length

Дане правило політики визначає, чи мають бути змінені диски, заблоковані за допомогою BitLocker, бути розблоковані за допомогою пароля. Якщо ж ви дозволите використовувати пароль, ви зможете встановити вимоги до його складності та мінімальну довжину пароля. Варто врахувати, що в цьому випадку вимоги складності повинні співпадати з вимогами політики паролів.

Choose how BitLocker-protected removable drives can be recovered

Це правило дозволяє вибрати спосіб відновлення змінних дисків, захищених BitLocker.

Однак продовжимо шифрування жорсткого диска. Так як ви вже переконалися, що зміни групової політики дозволять значно ширше використовувати можливості шифрування BitLocker, то перейдемо до виправлення групової політики. Для цього сформулюємо цілі та умови використання нашого шифрування.

1. Досліджуваний комп'ютер має встановлений модуль ТРМ

2. Ми будемо шифрувати:

• системний диск
• диск даних
• змінні носії як під NTFS, так і під FAT.

Причому ми повинні перевірити, чи будуть доступні наші змінні носії, відформатовані під FAT, на комп'ютері, який працює як під керуванням windows XP SP2, так і під керуванням windows Vista SP1.

Переходимо до процесу шифрування.

Для початку в групових політиках BitLocker оберемо алгоритм шифрування та довжину ключа (рис. 8)

Рис. 8. Вибір алгоритму шифрування та довжини ключа

Потім у розділі Operation System Drive вибираємо правило Require additional authentication at startup (рис.9)

Рис. 9. Правило "Require additional authentication at startup"

Після цього встановимо мінімальну довжину PIN-коду рівну 6 символам за допомогою правила Configure minimum PIN length for startup.

Для шифрування розділу даних встановимо вимоги до складності та мінімальної довжини пароля у 8 символів (рис 10).

Рис. 10. Встановлення вимог до мінімальної довжини та складності пароля

При цьому необхідно пам'ятати, що необхідно виставити вимоги до парольного захисту (рис. 11).

Рис. 11. Вимоги до парольного захисту

Для змінних дисків виберіть наступні настройки:

• Не дозволяти читати змінні диски із файловою системою FAT під молодшими версіями windows;
• Паролі повинні відповідати вимогам складності;
• Мінімальна довжина пароля 8 символів.

Після цього командою gpupdate.exe /force у вікні командного рядка оновити політику (рис. 12).

Рис. 12. Оновлення налаштувань групової політики

Оскільки ми вирішили використовувати PIN-код при кожному перезавантаженні, то вибираємо (рис.13) Require a PIN at every startup.

Рис. 13. Вводити PIN під час кожного завантаження

Рис. 14. Введення PIN-коду

Введемо PIN-код довжиною 4 символи (рис.15)

Рис. 15. PIN-код не відповідає вимогам мінімальної довжини

Мінімальна довжина PIN-коду, задана в політиці – 6 цифр, після введення нового PIN-коду отримуємо запрошення на збереження ключа на USB-диску та у вигляді текстового файлу.

Рис. 16. Збереження резервного ключа шифрування

Після цього перевантажуємо систему, і починається процес шифрування диска С:.

Після цього ми з вами шифруємо другий розділ нашого жорсткого диска – D: (рис. 17)

Рис. 17. Шифрування диска D:

Перед шифруванням диска D: слід вести пароль для цього диска. При цьому пароль повинен відповідати нашим вимогам до мінімальної довжини пароля та вимог складності пароля. Варто врахувати, що можна автоматично відкривати цей диск на цьому ПК.

Відповідно, аналогічно збережемо пароль відновлення USB-диск.

Варто врахувати, що при першому збереженні пароля він одночасно зберігається і в текстовому файлі на цьому USB-диску!

Необхідно мати на увазі, що при шифруванні розділу даних розміром 120 Гб (з них 100 вільно), windows Explorer постійно видає повідомлення про нестачу місця на розділі (рис. 18).

Рис. 18. Вікно windows Explorer

Спробуємо зашифрувати USB-диск, відформатований файловою системою FAT.

Шифрування диска USB починається з того, що нам пропонують ввести пароль для майбутнього зашифрованого диска. Згідно з певними правилами політики, мінімальна довжина пароля – 8 символів. При цьому пароль має відповідати вимогам складності (рис. 19).

Рис. 19. Введення пароля для шифрування змінного диска USB

Після закінчення шифрування я спробував переглянути цей USB-диск на іншому комп'ютері, що працює під windows Vista Home Premium SP1. Результат – на рис. 21.

Рис. 21. Спроба прочитати зашифрований USB-диск на комп'ютері з ОС Windows Vista SP1

Як бачите, у разі втрати вашого диска інформація не буде прочитана, більш того, швидше за все диск буде просто відформатований.

При спробі підключити цей USB-диск до комп'ютера під керуванням windows 7 Beta1 можна побачити наступне (рис.22).

Висновок

Таким чином, ми з вами побачили, як проводитиметься шифрування у windows 7. Що можна сказати – в порівнянні з windows Vista в ній з'явилося набагато більше правил у групових політиках, відповідно зростає відповідальність ІТ-персоналу за їх правильне застосування та правильне побудова взаємопов'язаних відносин .

Як видалити точки відновлення системи у Windows 7

З виходом операційної системи Windows 7 багато користувачів зіткнулися з тим, що в ній з'явилася дещо незрозуміла служба BitLocker. Що таке BitLocker, багатьом залишається лише здогадуватись. Спробуймо прояснити ситуацію на конкретних прикладах. Принагідно розглянемо питання щодо того, наскільки доцільним є задіяння цього компонента або його повне відключення.

BitLocker: що таке BitLocker, навіщо потрібна ця служба

Якщо розібратися, BitLocker є універсальним і повністю автоматизованим засобом, що зберігаються на вінчестері. Що таке BitLocker на жорсткому диску? Так просто служба, яка без участі користувача захищає файли та папки шляхом їх шифрування та створення спеціального текстового ключа, що забезпечує доступ до документів.

Коли користувач працює в системі під своїм обліковим записом, він може навіть не здогадуватися про те, що дані зашифровані, адже інформація відображається в читальному вигляді, і доступ до файлів та папок не заблоковано. Іншими словами, такий засіб захисту розрахований тільки на ті ситуації, коли до комп'ютерного терміналу проводиться наприклад, при спробі втручання ззовні (інтернет-атаки).

Питання паролів та криптографії

Тим не менш, якщо говорити про те, що таке BitLocker Windows 7 або систем рангом вище, варто відзначити і той неприємний факт, що при втраті пароля на вхід багато користувачів не те, що не можуть увійти в систему, а й виконати деякі дії з перегляду документів, раніше доступних, з копіювання, переміщення тощо.

Але це ще не все. Якщо розуміти питання, що таке BitLocker Windows 8 або 10, то особливих відмінностей немає, хіба що в них більш вдосконалена технологія криптографії. Тут проблема очевидно в іншому. Справа в тому, що сама служба здатна працювати в двох режимах, зберігаючи ключі дешифрації або на жорсткому диску, або на знімному носії USB.

Звідси напрошується найпростіший висновок: за наявності збереженого ключа на вінчестері користувач отримує доступ до всієї інформації, що зберігається, без проблем. А ось коли ключ зберігається на флешці, проблема куди серйозніша. Зашифрований диск чи розділ побачити, в принципі, можна, але рахувати інформацію - ніяк.

Крім того, якщо вже й говорити про те, що таке BitLocker Windows 10 або систем більш ранніх версій, не можна не відзначити той факт, що служба інтегрується в контекстні меню будь-якого типу, викликані правим кліком, що багатьох користувачів просто дратує. Але не забігатимемо вперед, а розглянемо всі основні аспекти, пов'язані з роботою цього компонента та доцільністю його застосування чи деактивації.

Методика шифрування дисків та знімних носіїв

Найдивніше в тому, що в різних системах та їх модифікаціях служба BitLocker може бути за замовчуванням і в активному, і в пасивному режимі. У «сімці» вона включена за замовчуванням, у восьмій та десятій версіях іноді потрібне ручне включення.

Що стосується шифрування, тут нічого особливо нового не винайдено. Як правило, використовується та сама технологія AES на основі відкритого ключа, що найчастіше застосовується в корпоративних мережах. Тому, якщо ваш комп'ютерний термінал з відповідною операційною системою на борту підключений до локальної мережі, можете бути впевнені, що політика безпеки та захисту даних, що застосовується, передбачає активацію цієї служби. Не маючи права адміна (навіть за умови запуску зміни налаштувань від імені адміністратора), ви нічого не зможете змінити.

Увімкнення BitLocker, якщо служба деактивована

Перш ніж вирішувати питання, пов'язане з BitLocker (як відключити службу, як прибрати її команди з контекстного меню), подивимося на включення та налаштування, тим більше, що кроки по деактивації потрібно буде робити у зворотному порядку.

Увімкнення шифрування найпростішим способом здійснюється з «Панелі управління» шляхом вибору розділу Цей спосіб застосовується тільки в тому випадку, якщо збереження ключа не повинно бути знімним носієм.

У тому випадку, якщо заблокованим є незнімний носій, доведеться знайти відповідь на інше питання про службу BitLocker: як відключити на флешку цей компонент? Робиться це досить просто.

За умови, що ключ знаходиться саме на знімному носії, для розшифровування дисків та дискових розділів спочатку потрібно вставити його у відповідний порт (роз'єм), а потім перейти до розділу системи безпеки панелі керування. Після цього знаходимо пункт шифрування BitLocker, а потім дивимося на диски та носії, на яких встановлений захист. У самому низу буде показано гіперпосилання відключення шифрування, яку і потрібно натиснути. За умови розпізнавання ключа активується дешифрування. Залишається лише дочекатися закінчення його виконання.

Проблеми налаштування компонентів шифрувальника

Щодо налаштування, тут без головного болю не обійтися. По-перше, система пропонує резервувати щонайменше 1,5 Гб під свої потреби. По-друге, потрібно налаштовувати дозволи файлової системи NTFS, зменшувати розмір тома і т.д. Щоб не займатися такими речами, краще відразу відключити цей компонент, адже більшості користувачів просто не потрібний. Навіть усі ті, у кого ця служба задіяна в налаштуваннях за замовчуванням, теж не завжди знають, що з нею робити, чи вона потрібна взагалі. А даремно. Захистити дані на локальному комп'ютері за допомогою її можна навіть за умови відсутності антивірусного ПЗ.

BitLocker: як вимкнути. Початковий етап

Знову ж таки використовуємо раніше вказаний пункт у «Панелі управління». Залежно від модифікації системи назви полів відключення служби можуть змінюватися. На вибраному диску може стояти рядок припинення захисту або пряма вказівка ​​на вимкнення BitLocker.

Суть не в тому. Тут варто звернути увагу і на те, що потрібно повністю відключити завантажувальні файли комп'ютерної системи. В іншому випадку процес дешифрування може зайняти чимало часу.

Контекстне меню

Це лише одна сторона медалі, пов'язана із службою BitLocker. Що таке BitLocker, мабуть, вже зрозуміло. Але оборотна сторона полягає ще й у тому, щоб ізолювати додаткові меню від присутності в них посилань на цю службу.

Для цього подивимось ще раз на BitLocker. Як прибрати з усіх посилань на службу? Елементарно! У "Провіднику" при виділенні потрібного файлу або папки використовуємо розділ сервісу та редагування відповідного контекстного меню, переходимо до налаштувань, потім використовуємо налаштування команд та впорядковуємо їх.

Після цього в редакторі реєстру входимо у гілку HKCR, де знаходимо розділ ROOTDirectoryShell, розвертаємо його та видаляємо потрібний елемент натисканням клавіші Del або командою видалення з меню правого кліка. Власне, ось і останнє, що стосується компонента BitLocker. Як відключити його, здається, вже зрозуміло. Але не варто тішитися. Все одно ця служба буде працювати в (так, про всяк випадок), хочете ви цього чи ні.

Замість післямови

Залишається додати, що це далеко не все, що можна сказати про системний компонент шифрування BitLocker. Що таке BitLocker, розібралися, як його відключити та видалити команди меню – теж. Питання в іншому: чи варто вимкнути BitLocker? Тут можна дати тільки одну пораду: у корпоративній локальній мережі деактивувати цей компонент взагалі не варто. Але якщо це домашній комп'ютерний термінал, то чому б і ні?