Приховані можливості Windows. Як BitLocker допоможе захистити дані?

Зміст

• 1 Як захистити себе та свою компанію?
• 2 Що таке Bitlocker?
• 3 Як працює BitLocker?
• 4 Як увімкнути шифрування на жорсткому диску?
• 5 Як відновити зашифровані дані BitLocker, якщо жетони втратили?
• 6 Підсумуйте
• 7 Заключний диск у Windows 10 за допомогою BitLocker
• 8 Заключний диск у Windows 10 без модуля TPM

• Підручник

На думку експертів, саме крадіжка ноутбука є однією з головних проблем у галузі інформаційної безпеки (IB).

На відміну від інших загроз ІБ, характер проблем "викрадений ноутбук" або "викрадений флеш" є досить примітивною. І якщо вартість зниклих пристроїв рідко перевищує позначку в декількох тисячах американських доларів, то вартість збереженої інформації на них часто вимірюється в мільйонах.

За даними Інституту Dell та Ponemon, лише 637 тисяч ноутбуків щорічно зникають в американських аеропортах. І уявіть, скільки флеш -накопичувачів зникає, тому що вони набагато менші, а скинути флеш -накопичувач випадково простіше.

Коли ноутбук, що належить до верхнього менеджера великої компанії, зникає, шкода від одного такого крадіжки може бути десятками мільйонів доларів.

Як захистити себе та свою компанію?

Ми продовжуємо цикл статей про безпеку домену Windows. У першій статті з циклу ми говорили про налаштування безпечного входу в домен, а в другому - про встановлення безпечної передачі даних у поштовому клієнті:

1. Як зробити маркер, щоб зробити домен Windows безпечнішим? Частина 1.
2. Як зробити маркер, щоб зробити домен Windows безпечнішим? Частина 2.

У цій статті ми поговоримо про налаштування шифрування інформації, що зберігається на жорсткому диску. Ви зрозумієте, як переконатися, що ніхто, крім того, ви не зможете прочитати інформацію, що зберігається на вашому комп’ютері.

Мало хто знає, що Windows створили інструменти, які допомагають безпечно зберігати інформацію. Розглянемо один із них.

Звичайно, один із вас чув слово "bitlocker". Давайте розберемося, що це таке.

Що таке Bitlocker?

Bitlocker (точна назва шифрування накопичувача Bitlocker) - це технологія для шифрування вмісту комп'ютерних дисків, розроблених Microsoft. Вона вперше з'явилася в Windows Vista.

• Bitlocker Windows 10, як розблокувати?

За допомогою Bitlocker можна було зашифрувати обсяги жорстких дисків, але пізніше, у Windows 7, було схоже на технологію Bitlocker, яка призначена для шифрування знімних дисків та флеш -накопичувачів.

BitLocker - це стандартна професійна та серверна версія Windows, а це означає, що в більшості випадків корпоративного використання він уже доступний. В іншому випадку вам потрібно буде оновити ліцензію Windows професіонал.

Як працює BitLocker?

Ця технологія заснована на повному шифруванні обсягу, виконаного за допомогою алгоритму AES (розширене стандарт шифрування). Клавіші шифрування повинні зберігатися безпечно, і для цього є кілька механізмів у Bitlocker.

Найпростіший, але в той же час найбільш небезпечним методом є пароль. Ключ отримується з пароля щоразу однаково, і відповідно, якщо хтось розпізнає ваш пароль, то ключ шифрування стане відомим.

Для того, щоб не зберігати ключ у відкритому вигляді, його можна зашифрувати або в TPM (довірений модуль платформи), або на криптографічному маркері або смарт -картці, що підтримує алгоритм RSA 2048.

TPM - Мікроцирк, призначений для реалізації основних функцій, пов'язаних із забезпеченням безпеки, головним чином за допомогою клавіш шифрування.

Модуль TPM зазвичай встановлюється на комп'ютерній материнській платі, однак, дуже важко придбати комп'ютер у Росії з вбудованим модулем TPM, оскільки імпорт пристроїв без повідомлення FSB в нашу країну заборонено.

Використання смарт -картки або маркера для видалення блокування диска - це один із найбезпечніших способів контролю, хто завершив цей процес і коли. У цьому випадку для видалення блокування необхідні і смарт -карта, і PIN -код для неї.

Робоча схема Bitlocker:

• Відключіть BitLocker - Чіфтер у Windows

1. Під час активації Bitlocker основна послідовність бітів створюється за допомогою генератора псевдо -random Number. Це ключ шифрування гучності - FVEK (ключ шифрування повного гучності). Він шифрується вмістом кожного сектору. FVEK Key зберігається в найсуворішій таємниці.
2. FVEK зашифровано за допомогою клавіші VMK (головний ключ тома). FVEK KEY (зашифровано ключем VMK) зберігається на диску серед обсягу метаданих. Більше того, він ніколи не повинен потрапити на диск у розшифрованому.
3. Сам VMK також зашифровано. Метод шифрування вибирається користувачем.

Починаючи з зашифрованого завантажувального диска, система описує всі можливі ключі до клавіш - перевіряє наявність TPM, перевіряє USB -порти або, якщо необхідно, вимагає користувача (називається відновлення). Виявлення зберігання ключів дозволяє Windows розшифрувати клавішу VMK, який розшифрував клавішу FVEK, який вже розшифрований на даних дисків.

Кожен об'ємний сектор шифрується окремо, тоді як частина ключа шифрування визначається кількістю цього сектору. Як результат, два сектори, що містять однакові незашифровані дані, будуть виглядати по-різному у зашиковуваній формі, що значно ускладнить процес визначення клавіш шифрування, записуючи та розшифровуючи попередньо відомі дані.

Окрім FVEK, VMK та SRK, Bitlocker використовує інший тип клавіш «на всякий випадок». Це ключі відновлення.

Для аварійних випадків (користувач втратив жетон, забув свій PIN -код тощо.D.) BitLocker на останньому кроці пропонує створити ключ відновлення. Відмова у створенні її в системі не надається.

Як увімкнути шифрування на жорсткому диску?

Перш ніж продовжувати процес шифрування обсягів на жорсткому диску, важливо врахувати, що ця процедура займе певний час. Його тривалість буде залежати від кількості інформації на жорсткому диску.

Якщо під час шифрування або розшифровки комп'ютер вимикається або переходить у режим гібернації, то ці процеси відносяться з місця, де Windows - наступний раз.

Навіть у процесі шифрування система Windows може використовуватися, але навряд чи вона може порадувати вас за своєю продуктивністю. Як результат, після шифрування продуктивність дисків знижується приблизно на 10%.

Якщо BitLocker доступний у вашій системі, то, натиснувши на праву кнопку на імені диска, який повинен бути зашифрований, елемент відображатиметься в меню, яке відкривається Увімкніть BitLocker.

• Установка шифрування BitLocker та налаштування Windows10

На серверних версіях Windows потрібно додати роль Шифрування приводу BitLocker.

Ми почнемо налаштувати шифрування несистемного обсягу та захистить ключ шифрування за допомогою криптографічного маркера.

Ми будемо використовувати виробничу токену компанію "актив". Зокрема, Token Rutoken EDP PKI.

Я. Підготуйте редакцію PKI Rutoken Eds.

У більшості звичайних налаштованих систем Windows після першого з'єднання PKI EDS Routen автоматично завантажується і встановлена ​​спеціальна бібліотека для роботи з виробничими жетонами активного - Aktiv Rutoken Minidriver.

Процес встановлення такої бібліотеки наступний.

Наявність бібліотеки Aktiv Rutoken Minidriver можна перевірити Диспетчер пристроїв.

Якщо бібліотека з якихось причин завантажується, то для Windows слід встановити драйвери Rutecene.

II. Ми шифруємо дані на диску за допомогою BitLocker.

Клацніть на ім'я диска та виберіть елемент Увімкніть BitLocker.

Якщо ви використовуєте послугу авторитету сертифікатів у домені Windows, то сертифікат сертифіката "шифрування дисків" (докладніше про конфігурацію авторитету сертифікатів у першій частині нашого циклу про безпеку вікон домену) у сертифікаті.

Якщо у вас немає домену або ви не можете змінити політику видачі сертифікатів, то ви можете скористатися запасним маршрутом, використовуючи самооцінений сертифікат, детально про те, як написати собі сертифікат, описаний тут. Тепер встановіть відповідний прапор.

На наступному кроці ми виберемо спосіб зберегти ключ відновлення (ми рекомендуємо вибрати Роздрукуйте ключ відновлення).

Аркуш паперу з друкованим ключем відновлення повинен зберігатися в безпечному місці, бажано в безпеці.

Далі ми виберемо, який режим шифрування буде використовуватися для дисків, що вже містять деякі цінні дані (рекомендується вибрати другий варіант).

На наступному етапі ми запустимо процес шифрування диска. Після завершення цього процесу може знадобитися перезапустити систему.

Коли шифрування увімкнено, значок зашифрованого диска зміниться.

А тепер, коли ми спробуємо відкрити цей диск, система попросить вставити маркер і ввести свій PIN -код.

Модуль розгортання та конфігурації BitLocker та модуль надійної платформи можна автоматизувати за допомогою інструментів сценаріїв WMI або Windows PowerShell. Метод впровадження сценаріїв буде залежати від навколишнього середовища. Команди BitLocker у Windows PowerShell описані у статті.

Як відновити зашифровані дані BitLocker, якщо жетони втратили?

Якщо ви хочете відкрити зашифровані дані в Windows

Для цього вам знадобиться ключ відновлення, який ми надрукували раніше. Просто введіть його у відповідне поле, і зашифрований розділ відкриється.

Якщо ви хочете відкрити зашифровані дані в системах GNU/Linux та Mac OS X

Це вимагає корисності не доводу та ключа відновлення.

Утиліта "Захист" працює у двох режимах:

• Файл - весь розділ, зашифрований BitLocker, розшифровано у файл.
• Запобіжник - лише блок, до якого адресує система.

Наприклад, ми будемо використовувати операційну систему Linux та режим утиліти запобіжників.

В останніх версіях поширених розподілів Linux пакет "Небезлокер" вже є частиною розподілу, наприклад, в Ubuntu, починаючи з версії 16.10.

Якщо пакет "Небезлокер" з якихось причин не був, вам потрібно завантажити утиліту "Небезлокер" та зібрати його:

Tar -xvjf нещасний.Дьогте.GZ 

Відкрийте файл встановлення.Txt і перевірте, які пакети нам потрібно допомогти.

У нашому випадку нам потрібно отримати пакет libfuse-dev:

Sudo apt-get встановити libfuse-dev 

Почнемо збирати пакет. Давайте перейдемо до папки SRC і використовуємо команди Make та Make Install:

CD SRC/ Зробити встановлення 

Коли все було складено (або ви встановили пакет).

Перейди до папки MNT і створимо в ній дві папки:

• Зашифрована парація- для зашифрованого розділу;
• Розшифровано -partition - для розшифрованого розділу.

CD /MNT MKDIR зашифрована парація MKDIR розшифрована частина 

Знайдіть зашифрований розділ. Ми розшифруємо його за допомогою утиліти та переміщуємо її до папки зашифрованої частини:

Gondlocker -r -v /dev /sda5 -p recovery_key /mt 

Ми відображаємо список файлів у папці зашифрованої частини:

LS Encrypted-Partition/ 

Давайте введемо команду для монтажу розділу:

Mount -O Loop DriveQ/Ficker-file Dechrypted-Partition/ 

Щоб переглянути розшифрований розділ, перейдемо до папки із зашифрованою частиною.

Ми підсумуємо

Увімкнути шифрування гучності за допомогою BitLocker дуже просто. Все це робиться без особливих зусиль і безкоштовно (з урахуванням наявності професійної або серверної версії Windows, звичайно).

Щоб захистити ключ шифрування, до якого шифрується диск, ви можете використовувати криптографічний маркер або смарт -карту, що значно підвищує рівень безпеки.

Новини.Детально: Ajax-Tape !!! -> MicrosoftWindows 10 Інструкції ->

Windows 10 та більш ранні версії Windows забезпечують шифрування файлів за допомогою технології BitLocker. Досить налаштувати його один раз, і ви можете бути впевнені, що ніхто не отримає доступ до ваших файлів і не зможе запустити ваші програми, навіть якщо ви отримаєте фізичний доступ до приводу ноутбука чи комп'ютера. Як увімкнути шифрування Bitlocker? Перш за все, вам потрібно активувати політику безпеки: 1. Натисніть Win+R і виконайте команду gpedit.MSC. 2. Перейдіть до розділу "Адміністративні шаблони"> "Компоненти Windows" "Криштація диска BitLocker>" диски операційної системи ". 3. Двічі натисніть кнопку лівої миші на "Цей параметр політики дозволяє налаштувати вимогу додаткової перевірки автентичності під час запуску" та вибрати опцію "включно". Тепер ви можете перейти безпосередньо до шифрування: 1. Відкрийте "провідник"> "Мій комп'ютер" і виберіть накопичувач, який ви хочете шифрувати. 2. Натисніть піктограму приводу правою кнопкою миші та виберіть "Увімкніть BitLocker". 3. Почнеться діалогове вікно з параметрами доступу для зашифрованих даних. Дотримуйтесь його інструкцій та перезавантажте комп'ютер. Диск буде зашифрований. Процес шифрування може бути довгим, його тривалість залежить від обсягу зашифрованих даних. У процесі конфігурації шифрування потрібно створити ключ або пароль для розшифровки даних. У паролі потрібно використовувати листи різних регістрів та цифр. Коли диск встановлений на вашому комп’ютері, шифрування та дешифрування даних здійснюються автоматично, але якщо ви виймаєте з нього зашифрований диск і підключіть його до іншого пристрою, вам знадобиться ключ для доступу до файлів. Дані для відновлення ключа можуть зберігатися на флеш -накопичувачі, в обліковому записі Microsoft, у текстовому файлі або на друкованому аркуші паперу. Майте на увазі, що це не сам ключ, а лише інформація, яка допоможе відновити його. Ключ можна отримати лише після введення входу та пароля з облікового запису Microsoft, що ускладнює злому. Якщо ви зашифровували системний логічний диск, то пароль повинен бути введений на холодний початок пристрою або після його перезавантаження.

Посилання на тему:

Sberbank збирає біометричні дані протягом 50 років. І немає можливості відмовитись

Samsung Galaxy S9 і S9+ отримали нічний режим камери S10 з останнім оновленням

Таке буде дешева міні-версія Nintendo Switch

Windows 10 дозволяє надійно зашифрувати жорсткий диск за допомогою пароля або клавіші USB за допомогою інструменту BitLocker. Як налаштувати шифрування дисків у Windows 10, прочитайте в цій статті.

У Windows 10 ви можете повністю зашифрувати свій жорсткий диск за допомогою інструменту безпеки BitLocker. Ця програма вже інтегрована в Windows і проста у використанні- принаймні, якщо ваша система є спеціальним модулем TPM. Давайте скажемо, як це працює.

Шифрування дисків у Windows 10 за допомогою BitLocker

Вашу материнську плату можна встановити компонентом під назвою Cryptocusier або Chip Trusted Platform Module (TPM). Він зберігає клавіші шифрування для захисту інформації на апаратному рівні. Це виглядає приблизно так:

Довірений модуль платформи на материнській платі ASUS

Якщо модуль TPM присутній на материнській платі, не важко організувати шифрування жорсткого диска в Windows 10:

1. Натисніть кнопку Почати > Провідник > Цей комп'ютер.
2. У вікні натисніть на праву кнопку на диску, який ви хочете зашифрувати, і в меню Drop -Down виберіть Увімкніть BitLocker. Включення Bitlocker

3. Введіть надійний пароль для жорсткого диска. Кожен раз, коли ви вмикаєте комп'ютер, Windows вимагає цього пароля розшифрувати дані.
4. Виберіть, як створити резервну копію ключа відновлення. Його можна зберегти в обліковому записі Microsoft, скопіюйте на USB -накопичувачі або друку.
5. Виберіть, яка частина диска зашифрована: весь або просто вільний простір. Якщо ви нещодавно встановили Windows 10, виберіть другий. Якщо увімкнути шифрування на вже використаному диску, краще шифрувати весь диск.
6. Клацати Продовжувати, Почати шифрування.
7. Коли шифрування завершено, перезавантажте комп'ютер і введіть пароль.

Стаття триватиме після реклами

Якщо на кроці 2 з’являється на кроці 2, що вказує на те, що вам потрібно дозволити запуск BitLocker без сумісного модуля TPM, це означає, що ваша материнська плата не має відповідного модуля. У цьому випадку вам доведеться обійти.

Шифрування дисків у Windows 10 без модуля TPM

Для того, щоб зашифрувати жорсткий диск у Windows 10 без допомоги апаратного модуля зберігання клавіш, зробіть наступне:

1. Повернутися на поле Шукайте в Інтернеті та Windows І ввести "Групова політика" (без цитат).
2. Клацніть на запис Зміна групової політики. Відкриється нове вікно.
3. Перейдіть до підкаталога Адміністративні шаблони > Компоненти Windows > Шифрування приводу BitLocker > Диски операційної системи.
4. Клацніть двічі Цей параметр політики дозволяє налаштувати вимогу додаткової аутентифікації при запуску. Увімкніть шифрування дисків без TPM

5. У новому вікні виберіть елемент Включений, Покладіть галочку навпроти Дозволити використання BitLocker без сумісного модуля платформи довіреної платформи та натисніть добре.
6. ВІДЧИНЕНО Цей комп'ютер, Виберіть диск і натисніть кнопку Увімкніть BitLocker.
7. Після цього на вашому комп’ютері буде виконано швидку перевірку. Коли перевірка буде завершена, система запитає, чи хочете ви заблокувати комп'ютер за допомогою ключа USB або пароля.
8. Виберіть, чи повинен BitLocker шифрувати решту вільного місця або весь жорсткий диск.
9. Bitlocker почнеться на задньому плані, шифруючи ваш жорсткий диск. Ви можете продовжувати працювати в звичайному режимі.

Після першого перезавантаження ПК, ваша система буде завантажена лише у тому випадку, якщо ви введете правильний пароль під час запуску або підключити USB -накопичувач із резервною копією ключа.

Читайте також:

Фото: Авторські права, Wikimedia Commons, Pxhere.Com

Безкоштовна карта пам'яті та повний заряд акумулятора: як завжди залишайтеся готовими до зйомки? Ми використовуємо вбудовані зображення