Меню
ГлавнаяПрограммы

Шифрование папок windows 7. Как с помощью VeraCrypt зашифровать весь жесткий диск. Использование TPM совместно с USB-ключом

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker . Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7 . Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу .

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки — BitLocker To Go

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки Windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков . Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск , Яндекс Диск и подобные.

В Windows Vista, Windows 7 и Windows 8 версий Pro и выше разработчики создали специальную технологию для шифрования содержимого логических разделов на всех видов, внешних дисках и USB-флешках - BitLocker .
Для чего она нужна? Если запустить BitLocker, то все файлы, находящиеся на диске, будут шифроваться. Шифрование происходит прозрачно, то есть вам не нужно каждый раз вводить пароль при сохранении файла - система все делает автоматически и незаметно. Однако как только вы отключите этот диск, то при следующем его включении потребуется специальный ключ (специальная смарт-карта, флешка или пароль) для доступа к нему. То есть если вы случайно потеряете ноутбук, то прочитать содержимое зашифрованного диска на нем не получится, даже если вы вытащите этот жесткий диск из этого ноутбука и попробуете его прочитать на другом компьютере. Ключ шифрования имеет такую длину, что время на перебор всех возможных комбинаций для подбора правильного варианта на самых мощных компьютерах будет исчисляться десятилетиями. Конечно, пароль можно выведать под пытками либо украсть заранее, но если флешка была потеряна случайно, либо ее украли, не зная, что она зашифрована, то прочесть ее будет невозможно.

Настройка шифрования BitLocker на примере Windows 8: шифрование системного диск и шифрование флешек и внешних USB-дисков.
Шифрование системного диска
Требованием для работы BitLocker для шифрования логического диска, на котором установлена операционная система Windows, является наличие незашифрованного загрузочного раздела: система должна все же откуда-то запускаться. Если правильно устанавливать Windows 8/7, то при установке создаются два раздела - невидимый раздел для загрузочного сектора и файлов инициализации и основной раздел, на котором хранятся все файлы. Первый как раз и является таким разделом, который шифровать не нужно. А вот второй раздел, в котором находятся все файлы, подвергается шифрованию.

Чтобы проверить, есть ли у вас эти разделы, откройте Управление компьютером

перейдите в раздел Запоминающие устройства - Управление дисками .


На скриншоте раздел, созданный для загрузки системы, помечен как SYSTEM RESERVED . Если он есть, то вы смело можете использовать систему BitLocker для шифрования логического диска, на котором установлена Windows.
Для этого зайдите в Windows с правами администратора, откройте Панель управления

перейдите в раздел Система и безопасность


и войдите в раздел Шифрование диска BitLocker .
Вы увидите в нем все диски, которые можно зашифровать. Кликните по ссылке Включить BitLocker .


Настройка шаблонов политики безопасности
В этом месте вы можете получить сообщение о том, что шифрование диска невозможно до тех пор, пока будут настроены шаблоны политики безопасности.


Дело в том, что для запуска BitLocker нужно системе разрешить эту операцию - это может сделать только администратор и только собственными руками. Сделать это намного проще, чем кажется после прочтения непонятных сообщений.

Откройте Проводник , нажмите Win + R - откроется строка ввода.


Введите в нее и выполните:

gpedit.msc

Откроется Редактор локальной групповой политики . Перейдите в раздел

Административные шаблоны
- Компоненты Windows
-- Этот параметр политики позволяет выбрать шифрование диска BitLocker
--- Диски операционной системы
---- Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.



Установите значение параметра Включено .


После этого сохраните все значения и вернитесь в Панель управления - можете запускать шифрование диска BitLocker.

Создание ключа и его сохранение

Вам на выбор система предложит два варианта ключа: пароль и флешка.


При использовании флешки вы сможете воспользоваться жестким диском только в том случае, если вставите эту флешку - на ней будет записан в зашифрованном виде ключ. При использовании пароля вам нужно будет его вводить каждый раз, когда будет происходить обращение к зашифрованному разделу на этом диске. В случае с системным логическим диском компьютера пароль будет нужен при холодной (с нуля) загрузке или полном рестарте, либо при попытке прочитать содержимое логического диска на другом компьютере. Во избежание каких-то подводных камней пароль придумывать, используя английские буквы и цифры.

После создания ключа вам будет предложено сохранить информацию для восстановления доступа в случае его утери: вы можете сохранить специальный код в текстовом файле, сохранить его на флешке, сохранить его в учетной записи Microsoft, или распечатать.


Обратите внимание, что сохраняется не сам ключ, а специальный код, необходимый для процедуры восстановления доступа.


Шифрование USB-дисков и флешек
Вы так же можете шифровать и внешние USB-диски и флешки - эта возможность впервые появилась в Windows 7 под названием BitLocker To Go . Процедура такая же: вы придумываете пароль и сохраняет код восстановления.


Когда вы будете монтировать USB-диск (присоединять к компьютеру), либо попробуете его разблокировать, система запросит у вас пароль.


Если вы не хотите каждый раз вводить пароль, так как уверены в безопасности при работе на этом компьютере, то можете в дополнительных параметрах при разблокировке указать, что доверяете этому компьютеру - в этом случае пароль будет вводиться всегда автоматически, до тех пор, пока вы не отмените настройку доверия. Обратите внимание, что на другом компьютере система у вас попросит ввести пароль, так как настройка доверия на каждом компьютере действует независимо.


После того, как вы поработали с USB-диском, размонтируйте его, либо просто просто отсоединив, либо через меню безопасного извлечения, и зашифрованный диск будет защищен от несанкционированного доступа.

Два способа шифрования

BitLocker при шифровании предлагает два способа, имеющих одинаковый результат, но разное время выполнения: вы можете зашифровать только занятое информацией место, пропустив обработку пустого пространства, либо пройтись по диску полностью, защифровав все пространство логического раздела, включая и не занятое. Первое происходит быстрее, однако остается возможность восстановления информации с пустого места. Дело в том, что с помощью специальных программ можно восстанавливать информацию, даже если она была удалена из Корзины, и даже если диск был отформатирован. Конечно, практически это выполнить трудно, но теоретическая возможность все равно есть, если вы не используете для удаления специальные утилиты, удаляющие информацию безвозвратно. При шифровании всего логического диска будет шифроваться и место, помеченное как пустое, и возможности восстановления информации с него даже с помощью специальных утилит уже не будет. Этот способ абсолютно надежный, но более медленный.

При шифровании диска желательно не выключать компьютер. На шифрование 300 гигабайт у меня ушло примерно 40 минут. Что будет, если внезапно отключилось питание? Не знаю, не проверял, но в интернете пишут, что ничего страшного не произойдет - нужно будет просто начать шифрование заново.

Вывод

Таким образом, если вы постоянно пользуетесь флешкой, на которой храните важную информацию, то с помощью BitLocker можете защитить себя от попадания важной информации в чужие руки. Так же можно защитить информацию и на жестких дисках компьютера, включая и системные - достаточно полностью выключить компьютер, и информация на дисках станет недоступной для посторонних. Использование BitLocker после настройки шаблонов политики безопасности не вызывает никаких затруднений даже у неподготовленных пользователей, какого либо торможения при работе с зашифрованными дисками я не заметил.

В последние годы на различных форумах, в письмах и при встречах все чаще пользователи начинают задавать вопросы о том, что собой представляет сравнительно новый функционал операционных систем Windows Vista, Windows 7 и Windows Server 2008 / 2008 R2 – Windows BitLocker (с выходом последних операционных систем данная технология приобрела некие изменения и теперь называется BitLoker To Go). Но после того как большинство пользователей и начинающих системных администраторов слышат ответ, что данный компонент – это «всего-то» встроенное средство безопасности в современных операционных системах, которое обеспечивает надежную защиту самой операционной системы, данных, которые хранятся на компьютере пользователя, а также отдельных томов и съемных носителей, что позволяет оставить пользовательские данные нетронутыми при серьезных атаках, а также физическим изыманием жестких дисков, для дальнейшего автономного взлома данных, я часто слышу о том, что такой функционал вовсе не будет востребованным и его использование только усложнит жизнь пользователям. С таким утверждением невозможно согласиться, так как данные должны находиться в безопасности. Вы ведь не оставляете ключи от своего дома или код к электронному замку вашей организации каждому встречному?

Домашние пользователи обычно аргументируют свое нежелание пользоваться данной технологией тем, что на их компьютерах нет никаких «жизненно важных» данных и даже если их взломают, то ничего страшного не произойдет, кроме того что кто-то посмотрит их профили в социальных сетях «Одноклассники» и «Вконтакте». Владельцы ноутбуков и нетбуков считают, что если их техника будет украдена, то о пропавших данных им нужно беспокоиться меньше всего. Системные администраторы в некоторых компаниях утверждают, что у них нет никаких секретных проектов и абсолютно всем сотрудникам компании можно доверять, а домой документацию и продукты интеллектуального труда они берут лишь в целях окончания работы, на которую не хватило рабочего времени. А компьютеры их организации защищены антивирусным программным обеспечением и настройками брандмауэров по умолчанию. А зачем нужно защищать внешние накопители, если на них просто хранятся музыкальные и видео файлы? И ничего, что такие устройства как флэщки могут ходить как по организациям, так и по всем вашим знакомым.

Но ни с одной из вышеперечисленных причин нельзя согласиться. У домашних пользователей при атаке могут не только скопировать себе всю коллекцию музыкальных и видео файлов, а изъять все пароли к банковским счетам и учетные данные на посещаемых сайтах при помощи cookie-файлов или, не дай бог, текстовых файлах с логинами и паролями, которые не редко располагаются на рабочем столе. Также есть большой шанс, что будет просмотрена вся почтовая переписка и т.п. На украденных ноутбуках могут находиться конфиденциальные данные, хищение которых может отрицательно сказаться на бизнесе вашей компании, а увольнение с соответствующим «поощрением» в вашем резюме в будущем может сказаться на вашей карьере крайней негативно. И наконец, в наше время в любой организации присутствуют секретные данные, которые не желательно показывать своим конкурентам. И если будет успешно атакован, по крайней мере, один из компьютеров вашей организации, есть огромный шанс, что вскоре у вас будет заражен весь ваш парк компьютеров, что повлечет за собой титанические усилия для приведения компьютеров вашей организации в первоначальное состояние. Недоброжелатели могут найтись даже в вашей организации. Даже если при выходе из здания охраной проверяются ваши сумки, они не будут проверять внешние накопители каждого сотрудника. А на них ведь можно вынести немало данных, о которых еще несколько месяцев не должны узнать ваши конкуренты.

По этой причине вам просто необходимо постараться обезопасить ваши данные любым возможным действующим способом. Именно для этого и предназначен данный компонент современных операционных систем компании Microsoft. Именно BitLocker позволяет предотвратить несанкционированный доступ к данным даже на потерянных или украденных компьютерах, тем самым улучшая работу вашей операционной системы. Для улучшения защиты ваших данных Windows BitLocker использует доверенный платформенный модуль (Trusted Platform Module — TPM) — спецификация, детализирующая криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM», что гарантирует целостность компонентов, используемых даже на самой ранней стадии загрузки.

В этих технологиях можно найти преимущества, как для домашних пользователей, так и для системных администраторов в организациях. Для домашнего пользователя к основному преимуществу данных технологий можно отнести простоту использования, так как для ежедневного использования функционала BitLocker или BitLocker To Go, защита компьютера и его восстановление для пользователя является совершенно прозрачным. Системные администраторы наверняка оценят удобства управления защитой данных. Для удаленного управления шифрованием BitLocker, вы можете использовать инфраструктуру доменных служб Active Directory, причем расширенное управление будет осуществлено средствами групповых политик и скриптов.

Именно об этих компонентах операционных систем пойдет речь в данном цикле статей. О данных компонентах и их функционале в Интернете уже можно найти довольно много полезной информации, включая замечательные видео доклады, в которых вы можете вживую увидеть принцип их работы. Посему я в статьях данного цикла постараюсь наиболее подробно рассмотреть большинство функциональных возможностей как для домашних пользователей, так и для организаций для того чтобы вам не приходилось проводить длительное время в поисках того, как можно реализовать тот или иной сценарий для применения определенных действий.

Архитектура данной технологии

Как вы уже знаете, когда операционная система находится в активном состоянии, ее можно защитить при помощи локальных политик безопасности, антивирусного программного обеспечения и брандмауэров с межсетевыми экранами, а вот защитить том операционной системы на жестком диске вы можете средствами шифрования BitLocker. Для того чтобы воспользоваться всеми преимуществами шифрования BitLocker и проверки подлинности системы, ваш компьютер должен соответствовать таким требованиям, как наличие установленного модуля TPM версии 1.2, который при включении шифрования позволяет сохранять определенный ключ для запуска системы внутри самого доверенного платформенного модуля. Помимо модуля TPM, в базовой системе ввода-вывода (BIOS) должна быть установлена спецификация группы Trusted Computing Group (TCG), которая перед загрузкой операционной системы создает цепочку доверий для действий и включает поддержку статического корневого объекта изменения уровня доверия. К сожалению, не все материнские платы оснащены таким модулем как TPM, но даже без этого модуля операционная система позволяет вам воспользоваться данной технологией шифрования при наличии запоминающих устройств USB с поддержкой команд UFI, а также в том случае, если ваш жесткий диск разбит на два и более тома. Например, на одном томе у вас будет находиться непосредственно операционная система для которой и будет включено шифрование, а второй, системный том, емкостью не менее 1,5Гб, содержит файлы, которые нужны для загрузки операционной системы после того как BIOS загрузит платформу. Все ваши томы должны быть отформатированы в файловой системе NTFS.

Архитектура шифрования BitLocker обеспечивает управляемые и функциональные механизмы, как в режиме ядра, так и в пользовательском режиме. На высоком уровне, к основным компонентам BitLocker можно отнести:

  • Драйвер Trusted Platform Module (%SystemRoot%System32DriversTpm.sys) – драйвер, который обращается к чипу TPM в режиме ядра;
  • Основные службы TPM , которые включают пользовательские службы, предоставляющие доступ к TPM в пользовательском режиме (%SystemRoot%System32tbssvc.dll), поставщика WMI, а также оснастку MMC (%SystemRoot%System32Tpm.msc);
  • Связанный код BitLocker в диспетчере загрузки (BootMgr) , который аутентифицирует доступ к жесткому диску, а также позволяет восстанавливать и разблокировать загрузчик;
  • Драйвер фильтра BitLocker (%SystemRoot%System32DriversFvevol.sys), который позволяет шифровать и расшифровывать тома на лету в режиме ядра;
  • Поставщик WMI BitLocker и управление сценариями , которые позволяют настраивать и управлять сценариями интерфейса BitLocker.

На следующей иллюстрации изображены различные компоненты и службы, которые обеспечивают корректную работу технологии шифрования BitLocker:



Рис. 1. Архитектура BitLocker

Ключи шифрования

BitLocker зашифровывает содержимое тома, используя ключ шифрования всего тома (FVEK - Full Volume Encryption Key), назначенного ему во время его первоначальной настройки для использования компонента BitLocker, с использованием алгоритмов 128- или 256-разрядного ключа AES AES128-CBC и AES256-CBC с расширениями Microsoft, которые называются диффузорами. Ключ FVEK шифруется с помощью главного ключа тома (VMK - Volume Master Key) и хранится на томе в области, специально отведенной для метаданных. Защита главного ключа тома является косвенным способом защиты данных тома: дополнение главного ключа тома позволяет системе пересоздать ключ после того как ключи были утеряны или скомпрометированы.

Когда вы настраиваете шифрование BitLocker, для защиты вашего компьютера при помощи VMK, в зависимости от вашей аппаратной конфигурации, вы можете использовать один из нескольких методов. Шифрование BitLocker поддерживает пять режимов проверки подлинности в зависимости от аппаратных возможностей компьютера и требуемого уровня безопасности. Если ваша аппаратная конфигурация поддерживает технологию доверенного платформенного модуля (TPM), то вы можете сохранять VMK как только в TMP, так и в TPM и на устройстве USB или сохранять ключ VMK в TPM и при загрузке системы вводить PIN. Помимо этого у вас есть возможность скомбинировать два предыдущих метода. А для платформ, которые не совместимы с технологией TPM, вы можете хранить ключ на внешнем USB устройстве.

Стоит обратить внимание на то, что при загрузке операционной системы с включенным шифрованием BitLocker, выполняется последовательность действий, которая зависит от набора средств защиты тома. Эти действия включают в себя проверку целостности системы, а также другие шаги по проверке подлинности, которые должны быть выполнены перед снятием блокировки с защищённого тома. В следующей таблице обобщены различные способы, которые вы можете использовать для шифрования тома:

Источник Безопасность Действия пользователя
Только TPM Защищает от программных атак, но уязвим к аппаратным атакам Никаких
TPM + PIN Добавляет защиту от аппаратных атак Пользователь должен вводить PIN-код при каждом запуске ОС
TPM + ключ USB Полная защита от аппаратных атак, но уязвима к потере ключа USB
TPM + ключ USB + PIN Максимальный уровень защиты При каждом запуске ОС пользователь должен вводить PIN-код и использовать ключ USB
Только ключ USB Минимальный уровень защиты для компьютеров, не оснащенных TPM + есть риск потери ключа Пользователь должен использовать ключ USB при каждом запуске ОС

Таблица 1. Источники VMK

На следующей иллюстрации показаны способы шифрования томов:


Рис. 2. Способы шифрования томов, используя технологию BitLocker

Перед тем как BitLocker предоставит доступ к FEVK и расшифрует том, вам нужно предоставить ключи авторизированного пользователя или компьютера. Как было указано выше, если в вашем компьютере присутствует модуль TPM, вы можете использовать разные методы проверки аутентификации. В следующих подразделах, рассмотрим каждый из этих методов подробнее.

Использование только TPM

Процесс загрузки операционной системы использует TPM для того чтобы убедиться, что жесткий диск подключен к соответствующему компьютеру и важные системные файлы не были повреждены, а также предотвращает доступ к жесткому диску, если вредоносная программа или руткит поставил под угрозу целостность системы. В то время, когда компьютер проходит валидацию, TPM разблокирует VMK и ваша операционная система запускается без участия пользователя, как вы можете увидеть на следующей иллюстрации.

Рис. 3. Проверка подлинности с помощью технологии TPM

Использование TPM совместно с USB-ключом

В дополнение к физической защите, которая была описана в предыдущем подразделе, в этом случае TPM требует внешний ключ, который находится на USB-устройстве. В этом случае пользователю нужно вставить USB-накопитель, на котором хранится внешний ключ, предназначенный для аутентификации пользователя и целостности компьютера. В этом случае, вы можете защитить свой компьютер от кражи, при включении компьютера, а также при выводе из режима гибернации. К сожалению, этот способ не защитит вас от вывода компьютера из спящего режима. При использовании этого способа, для уменьшения риска при краже компьютера, вам нужно хранить внешний ключ отдельно от своего компьютера. На следующей иллюстрации вы можете ознакомиться с использованием TPM совместно с внешним USB-ключом:



Рис. 4. Проверка подлинности с помощью модуля TPM и USB-ключа

Использование TPM совместно с PIN-кодом

Этот способ препятствует запуску компьютера до тех пор, пока пользователь не введет персональный идентификационный номер (PIN-код). Этот способ позволяет защитить ваш компьютер в том случае, если у вас был украден выключенный компьютер. К сожалению, вам не стоит использовать данный метод в том случае, если компьютер должен запускаться автоматически без участия человека, которые обычно выступают в качестве серверов. Когда запрашивается PIN, аппаратный модуль TPM компьютера отображает запрос для ввода четырехзначного PIN-кода со специальной задержкой, которая устанавливается производителями материнской платы и самого модуля TPM. На следующей иллюстрации вы можете увидеть данный способ проверки подлинности:



Рис. 5. Проверка подлинности с помощью TPM и PIN-кода

Использование комбинированного метода (TPM+PIN-код+USB-ключ)

В операционных системах Windows 7 и Windows Vista вы можете использовать комбинированный метод проверки подлинности для максимального уровня защиты вашего компьютера. В этом случае, к аппаратной проверке подлинности TPM добавляется ввод PIN-кода и использование внешнего ключа, который находится на USB-накопителе. Все эти средства обеспечивают максимальный уровень защиты BitLocker, которые требуют данные, которые «знает» и «использует» пользователь. Для того чтобы злоумышленник завладел вашими данными, которые расположены на защищённом при помощи технологии BitLocker томе, ему нужно украсть ваш компьютер, иметь в наличии USB-накопитель с вашим ключом, а также знать PIN-код, что практически невозможно. На следующей иллюстрации изображен данный метод проверки подлинности:



Рис. 6. Проверки подлинности с использованием TPM, USB-ключа, а также PIN-кода

Проверка подлинности только с USB-ключом запуска

В этом случае пользователь предоставляет VMK на диске, USB-накопителе или на любых внешних устройствах хранения данных для расшифровки FEVK и тома, зашифрованных при помощи технологии BitLocker на компьютере, в котором не установлен модуль TPM. Использование ключа запуска без TPM позволяет вам шифровать данные без обновления вашего аппаратного оборудования. Этот способ считается наиболее уязвимым, так как в этом случае не выполняется проверка целостности загрузки и при переносе жесткого диска на другой компьютер, данными из зашифрованного диска можно будет воспользоваться.

Заключение

Шифрование диска BitLocker – это средство безопасности в современных операционных системах Windows, которое позволяет защитить операционную систему и данные, которые хранятся на ваших компьютерах. В идеальном сочетании, BitLocker настраивается на использование доверенного платформенного модуля TPM, что обеспечивает целостность компонентов начальной загрузки и блокировки томов, которые защищаются даже в том случае, если операционная система еще не запущена. В этой статье цикла, посвященного шифрованию данных, вы узнали об архитектуре данного средства. В следующей статье вы узнаете о реализации шифрования диска с помощью технологии Windows BitLocker.

BitLocker - новые возможности шифрования дисков

Потеря конфиденциальных данных часто происходит после того, как злоумышленник получил доступ к информации на жестком диске. Например, если мошенник каким-то образом получил возможность прочитать системные файлы, он может попробовать с их помощью найти пользовательские пароли, извлечь персональную информацию и т.д.

В Windows 7 присутствует инструмент BitLocker, который позволяет шифровать весь диск, благодаря чему данные на нем остаются защищенными от сторонних глаз. Технология шифрования BitLocker была представлена Windows Vista, а в новой операционной системе она была доработана. Перечислим наиболее интересные нововведения:

  • включение BitLocker из контекстного меню "Проводника";
  • автоматическое создание скрытого загрузочного раздела диска;
  • поддержка агента восстановления данных (DRA) для всех защищенных томов.

Напомним, что данный инструмент реализован не во всех редакциях Windows, а только в версиях "Расширенная", "Корпоративная" и "Профессиональная".

Защита дисков с помощью технологии BitLocker сохранит конфиденциальные данные пользователя практически при любых форс-мажорных обстоятельствах - в случае потери съемного носителя, кражи, несанкционированного доступа к диску и т.д. Технология шифрования данных BitLocker может быть применена к любым файлам системного диска, а также к любым дополнительно подключаемым носителям. Если данные, которые содержатся на зашифрованном диске, скопировать на другой носитель, то информация будет перенесена без шифрования.

Для обеспечения большей безопасности, BitLocker может использовать многоуровневое шифрование - одновременное задействование нескольких видов защиты, включая аппаратный и программный метод. Комбинации способов защиты данных позволяют получить несколько различных режимов работы системы шифрования BitLocker. Каждый из них имеет свои преимущества, а также обеспечивает свой уровень безопасности:

  • режим с использованием доверенного платформенного модуля;
  • режим с использованием доверенного платформенного модуля и USB-устройства;
  • режим с использованием доверенного платформенного модуля и персонального идентификационного номера (ПИН-кода);
  • режим с использованием USB-устройства, содержащего ключ.

Прежде чем мы рассмотрим подробнее принцип использования BitLocker, необходимо сделать некоторые пояснения. Прежде всего, важно разобраться с терминологией. Доверенный платформенный модуль - это специальный криптографический чип, который позволяет выполнять идентификацию. Такая микросхема может быть интегрирована, например, в некоторых моделях ноутбуков, настольных ПК, различных мобильных устройствах и пр.

Этот чип хранит уникальный "корневой ключ доступа". Такая "прошитая" микросхема - это еще одна дополнительная надежная защита от взлома ключей шифрования. Если эти данные хранились бы на любом другом носителе, будь то жесткий диск или карта памяти, риск потери информации был бы несоизмеримо выше, поскольку доступ к этим устройствам получить легче. С помощью "корневого ключа доступа" чип может генерировать собственные ключи шифрования, которые могут быть расшифрованы только с помощью доверенного платформенного модуля. Пароль владельца создается при первой инициализации доверенного платформенного модуля. Windows 7 поддерживает работу с доверенным платформенным модулем версии 1.2, а также требует наличия совместимой BIOS.

Когда защита выполняется исключительно с помощью доверенного платформенного модуля, в процессе включения компьютера, на аппаратном уровне происходит сбор данных, включая данные про BIOS, а также другие данные, совокупность которых свидетельствует о подлинности аппаратного обеспечения. Такой режим работы называется "прозрачным" и не требует от пользователя никаких действий - происходит проверка и, в случае успешного прохождения, выполняется загрузка в штатном режиме.

Любопытно, что компьютеры, содержащие доверенный платформенный модуль, - это пока лишь теория для наших пользователей, поскольку ввоз и продажа подобных устройств на территории России и Украины запрещены законодательством из-за проблем с прохождением сертификации. Таким образом, для нас остается актуальным только вариант защиты системного диска с помощью USB-накопителя, на который записан ключ доступа.

Технология BitLocker дает возможность применять алгоритм шифрования к дискам с данными, на которых используются файловые системы exFAT, FAT16, FAT32 или NTFS. Если же шифрование применяется к диску с операционной системой, то для использования технологии BitLocker данные на этом диске должны быть записаны в формате NTFS. Метод шифрования, который использует технология BitLocker, основан на стойком алгоритме AES с 128-битным ключом.

Одно из отличий функции Bitlocker в Windows 7 от аналогичного инструмента в Windows Vista состоит в том, что в новой операционной системе не нужно выполнять специальную разметку дисков. Ранее пользователь должен был для этого использовать утилиту Microsoft BitLocker Disk Preparation Tool, сейчас же достаточно просто указать, какой именно диск должен быть защищен, и система автоматически создаст на диске скрытый загрузочный раздел, используемый Bitlocker. Этот загрузочный раздел будет использоваться для запуска компьютера, он хранится в незашифрованном виде (в противном случае загрузка была бы невозможна), раздел же с операционной системой будет зашифрован. По сравнению с Windows Vista, размер загрузочного раздела занимает примерно в десять раз меньше дискового пространства. Дополнительному разделу не присваивается отдельная буква, и он не отображается в списке разделов файлового менеджера.

Для управления шифрованием удобно использовать инструмент в панели управления под названием "Шифрование диска BitLocker" (BitLocker Drive Encryption). Этот инструмент представляет собой менеджер дисков, с помощью которого можно быстро шифровать и отпирать диски, а также работать с доверенным платформенным модулем. В этом окне функцию шифрования BitLocker можно в любой момент отменить или приостановить.

⇡ BitLocker To Go - шифрование внешних устройств

В Windows 7 появился новый инструмент - BitLocker To Go, предназначенный для шифрования любых съемных накопителей - USB-дисков, карт памяти и пр. Для того чтобы включить шифрование съемного диска, необходимо открыть "Проводник", щелкнуть правой кнопкой мыши по нужному носителю и в контекстном меню выбрать команду "Включить BitLocker" (Turn on BitLocker).

После этого будет запущен мастер шифрования выбранного диска.

Пользователь может выбрать один из двух методов разблокировки зашифрованного диска: при помощи пароля - в этом случае пользователю понадобится ввести комбинацию из набора символов, а также при помощи смарт-карты - в этом случае необходимо будет указать специальный ПИН-код смарт-карты. Вся процедура шифрования диска занимает довольно много времени - от нескольких минут до получаса, в зависимости от объема шифруемого накопителя, а также от скорости его работы.

Если подключить зашифрованный съемный носитель, доступ к накопителям обычным способом будет невозможен, а при попытке обратиться к диску, пользователь увидит сообщение:

В "Проводнике" изменится также иконка диска, к которому применена система шифрования.

Чтобы разблокировать носитель, необходимо еще раз щелкнуть правой кнопкой мыши по букве носителя в контекстном меню файлового менеджера и выбрать соответствующую команду в контекстном меню. После того как в новом окне будет верно введен пароль, доступ к содержимому диска откроется, и далее можно будет работать с ним, как и с незашифрованным носителем.

Для предотвращения несанкционированного доступа к системе и данным в Windows 7/10 предусмотрена возможность установки пароля, в том числе графического, однако такой способ защиты не может считаться сколь либо надежным. Пароль от локальной учетной записи легко может быть сброшен сторонними утилитами, а самое главное, ничто не мешает получить доступ к файловой системе, загрузившись с любого LiveCD со встроенным файловым менеджером.

Чтобы защитить свои данные по-настоящему, необходимо использовать шифрование. Для этого сгодится и встроенная функция BitLocker, но лучше воспользоваться сторонними программами. Долгое время наиболее предпочтительным приложением для шифрования данных был TrueCrypt, однако в 2014 году его разработчики свернули проект, заявив, что программа не является более безопасной. Вскоре, однако, работа над ним была возобновлена, но уже новой командой, да и сам проект получил новое имя. Так на свет появился VeraCrypt.

По сути, VeraCrypt это усовершенствованная версия TrueCrypt и именно эту программу мы предлагаем использовать для защиты вашей информации. В приведенном примере мы задействуем VeraCrypt «по максимуму», зашифровав с ее помощью весь жесткий диск с системным и пользовательским разделами. Такой способ шифрования имеет определенные риски – есть доля вероятности, пусть и очень небольшая, что система не сможет загрузиться, поэтому прибегать к нему советуем только тогда, когда это действительно вам нужно.

Установка и базовая настройка VeraCrypt

Процедура установки VeraCrypt ничем не отличается от инсталляции других программ, за одним лишь исключением. В самом начале вам будет предложено выбрать между режимами установки Install или Extract .

В первом случае программа будет внедрена в ОС, что позволит вам подключать зашифрованные контейнеры и шифровать сам системный раздел. Режим Extract просто распаковывает исполняемые файлы VeraCrypt, позволяя использовать его как портативное приложение. Часть функций, в том числе шифрование диска с Windows 7/10, при этом становится недоступной.

Сразу после запуска зайдите в меню Settings – Language , так как по умолчанию программа устанавливается на английском языке.

Шифрование диска

Несмотря на кажущуюся сложность задачи, все очень просто. Выберите в меню «Система» опцию «Зашифровать системный раздел/диск».

В открывшемся окне мастера в качестве метода выберите «Обычный» (этого достаточно), область шифрования – весь диск.

По завершении поиска скрытых секторов (процедура может занять продолжительное время), укажите число операционных систем и…

алгоритм шифрования (здесь все лучше оставить по умолчанию).

Примечание: если во время поиска скрытых секторов Windows перестанет отвечать, перезагрузите ПК принудительно и в следующий раз пропустите этот этап, выбрав «Нет».

Придумайте и введите в поля пароль.

Хаотично перемещая мышь, сгенерируйте ключ и нажмите «Далее».

На этом этапе программа предложит создать VRD – диск восстановления и записать его на флеш- или оптический носитель.

Когда на экране появится запрос на выполнение пре-теста шифрования системы, нажмите «Тест».

Потребуется перезагрузка компьютера. После включения ПК появится экран загрузчика VeraCrypt. Здесь вам нужно будет ввести придуманный пароль и PIM – количество итераций шифрования. Если вы раньше нигде не вводили PIM, просто нажмите ввод, значение опции будет установлено по умолчанию.

Спустя несколько минут Windows загрузится в обычном режиме, но при этом на рабочем столе появится окошко Pretest Completed – предварительное тестирование выполнено. Это означает, что можно приступать к шифрованию. Нажмите кнопку «Encrypt» и подтвердите действие.

Процедура шифрования будет запущена. Она может занять длительное время, все зависит от размера диска и его заполненности данными, так что наберитесь терпения и ждите.

Примечание: если на диске имеется шифрованный раздел EFI, что характерно для последних версий ПК, в начале шифрования вы можете получить уведомление «Похоже, Windows не установлена на диске…». Это означает, что зашифровать такой диск с помощью VeraCrypt не получится.

После того как все содержимое диска будет зашифровано, окно загрузчика VeraCrypt станет появляться каждый раз при включении компьютера и каждый раз вам нужно будет вводить пароль, другим способом получить доступ к зашифрованным данным нельзя. С расшифровкой диска все намного проще. Все, что вам нужно будет сделать, это запустить программу, выбрать в меню «Система» опцию «Перманентно расшифровать системный раздел/диск» и проследовать указаниям мастера.