Meniu
AcasăRețelele sociale

Activați sau dezactivați Bitlocker în Windows. Ce ar trebui să fac dacă computerul meu nu este compatibil BitLocker? Dacă computerul nu dorește să pornească în sistem din cauza BitLocker

În Windows 10, vă puteți cripta complet hard disk-ul folosind securitatea BitLocker. Acest program este deja integrat în Windows și este ușor de utilizat – cel puțin dacă placa ta de bază are un modul TPM dedicat. Să vă spunem cum funcționează.

Criptarea unei unități în Windows 10 utilizând BitLocker

Placa de bază poate avea instalată o componentă numită procesor cripto sau chip TPM (Trusted Platform Module). Stochează chei de criptare pentru a proteja informațiile la nivel hardware. Arată cam așa: Dacă există un modul TPM pe placa de bază, criptarea hard diskului în Windows 10 este foarte ușoară: Faceți clic pe butonul Start > Explorer > Acest PC.

În fereastră, faceți clic dreapta pe unitatea pe care doriți să o criptați și selectați Activați BitLocker din meniul derulant. Introduceți o parolă puternică pentru hard disk. De fiecare dată când porniți computerul, Windows vă va cere această parolă pentru a vă decripta datele.

Alegeți cum doriți să faceți o copie de rezervă a cheii de recuperare. Îl puteți salva în contul Microsoft, îl puteți copia pe o unitate USB sau îl puteți imprima.

Alegeți ce parte a discului să criptați: întregul disc sau doar spațiul liber. Dacă ai instalat recent Windows 10, alege-l pe al doilea. Dacă activați criptarea pe un disc care este deja în uz, este mai bine să criptați întregul disc.

Faceți clic pe Continuare pentru a începe criptarea.

Când criptarea este completă, reporniți computerul și introduceți parola. Dacă primiți un mesaj de eroare la Pasul 2 care indică faptul că trebuie să permiteți BitLocker să ruleze fără un TPM compatibil, placa dvs. de bază nu are un TPM compatibil. În acest caz, va trebui să faceți un ocol.

Criptarea unei unități în Windows 10 fără un TPM Pentru a cripta unitatea de disc în Windows 10 fără a utiliza un modul de stocare a cheilor hardware, procedați în felul următor: Reveniți la caseta de căutare Web și Windows și tastați „Politica de grup” (fără ghilimele).

Faceți clic pe intrarea Editați politica de grup. Se va deschide o nouă fereastră.

Navigați la Șabloane administrative > Componente Windows > BitLocker Drive Encryption > Operating System Drives.

Faceți dublu clic pe Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire. În fereastra nouă, selectați Activat, bifați caseta de lângă Permite BitLocker fără un TPM compatibil și faceți clic pe OK.

Deschideți acest computer, selectați unitatea și faceți clic pe Porniți BitLocker.

După aceasta, va fi efectuată o scanare rapidă pe computer. După finalizarea verificării, sistemul vă va întreba dacă doriți să blocați computerul folosind o cheie USB sau o parolă.

Alegeți dacă BitLocker criptează spațiul liber rămas sau întregul hard disk.

BitLocker va rula în fundal, criptându-vă hard disk-ul. Puteți continua să lucrați ca de obicei. După prima repornire a computerului, sistemul dumneavoastră va porni numai dacă introduceți parola corectă în timpul pornirii sau conectați o unitate USB care conține o copie de rezervă a cheii.

Mulți utilizatori cu lansarea sistemului de operare Windows 7 s-au confruntat cu faptul că în el a apărut un serviciu BitLocker de neînțeles. Mulți oameni pot doar ghici ce este BitLocker. Să clarificăm situația cu exemple concrete. Vom lua în considerare și întrebările care se referă la dacă este recomandabil să activați această componentă sau să o dezactivați complet.

Serviciul BitLocker: pentru ce este?

Dacă te uiți cu atenție, poți concluziona că BitLocker este un mijloc complet automatizat, universal de criptare a datelor stocate pe hard disk. Ce este BitLocker pe un hard disk? Acesta este un serviciu obișnuit care, fără intervenția utilizatorului, vă permite să protejați folderele și fișierele prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente. În momentul în care utilizatorul lucrează sub contul său, nici nu realizează că datele sunt criptate. Toate informațiile sunt afișate într-o formă care poate fi citită și accesul la foldere și fișiere nu este blocat pentru utilizator. Cu alte cuvinte, o astfel de măsură de securitate este concepută doar pentru acele situații în care se realizează accesul neautorizat la terminalul computerului din cauza unei încercări de intervenție din exterior.

Probleme cu criptarea și parola

Dacă vorbim despre cum este BitLocker în Windows 7 sau în sistemele de rang superior, este necesar să reținem acest fapt neplăcut: dacă își pierd parola de autentificare, mulți utilizatori nu numai că vor putea să se autentifice în sistem, ci și să efectueze unele acțiuni pentru a vizualiza documente care erau disponibile anterior pentru mutare, copiere și așa mai departe. Dar problemele nu se opresc aici. Dacă înțelegeți corect întrebarea despre ce este BitLocker Windows 8 și 10, atunci nu există diferențe semnificative. Singurul lucru care poate fi remarcat este tehnologia criptografică mai avansată. Problema aici este alta. Chestia este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe hard disk, fie pe o unitate USB detașabilă. Aceasta sugerează o concluzie complet logică: utilizatorul, dacă are o cheie salvată pe hard disk, are acces fără probleme la toate informațiile care sunt stocate pe acesta. Când cheia este stocată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu veți putea citi informațiile. În plus, dacă vorbim despre ce este BitLocker în Windows 10 și sistemele versiunilor anterioare, este necesar să remarcăm faptul că serviciul este integrat în meniuri contextuale de orice tip, care sunt apelate făcând clic dreapta pe mouse. Acest lucru este pur și simplu enervant pentru mulți utilizatori. Să nu trecem înaintea noastră și să luăm în considerare toate aspectele principale care sunt legate de funcționarea acestei componente, precum și oportunitatea dezactivării și utilizării acesteia.

Metodă de criptare a suporturilor și discurilor amovibile

Cel mai ciudat lucru este că pe diverse sisteme și modificările acestora, în mod implicit, serviciul Windows 10 BitLocker poate fi în mod activ sau pasiv. În Windows 7 este activat implicit, în Windows 8 și Windows 10 necesită uneori activarea manuală. În ceea ce privește criptarea, nu s-a inventat nimic nou aici. De obicei, este utilizată aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețelele corporative. Prin urmare, dacă terminalul dumneavoastră de calculator cu sistemul de operare corespunzător este conectat la rețeaua locală, puteți fi complet sigur că politica de securitate și protecție a informațiilor utilizată implică activarea acestui serviciu. Chiar dacă aveți drepturi de administrator, nu veți putea schimba nimic.

Activarea serviciului Windows 10 BitLocker dacă a fost dezactivat

Înainte de a începe să rezolvați problema legată de BitLocker Windows 10, trebuie să luați în considerare procesul de activare și configurare. Pașii de dezactivare vor trebui efectuati în ordine inversă. Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea de criptare a discului. Această metodă poate fi utilizată numai dacă cheia nu trebuie salvată pe un suport amovibil. Dacă mediul neamovibil este blocat, atunci va trebui să căutați o altă întrebare despre serviciul Windows 10 BitLocker: cum să dezactivați această componentă? Acest lucru se face destul de simplu. Cu condiția ca cheia să fie pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, trebuie să o introduceți în portul corespunzător și apoi să mergeți la secțiunea de sistem de securitate a Panoului de control. După aceasta, găsim elementul de criptare BitLocker și apoi luăm în considerare mediile și unitățile pe care este instalată protecția. Mai jos va fi un hyperlink conceput pentru a dezactiva criptarea. Trebuie să faceți clic pe el. Dacă cheia este recunoscută, procesul de decriptare va fi activat. Tot ce trebuie să faci este să aștepți să se finalizeze.

Configurarea componentelor ransomware: probleme

În ceea ce privește problema de configurare, nu va fi fără durere de cap. În primul rând, este de remarcat faptul că sistemul oferă rezervarea a cel puțin 1,5 GB pentru nevoile dumneavoastră. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, de exemplu, să reduceți dimensiunea volumului. Pentru a face astfel de lucruri, ar trebui să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor nu au nevoie de ea. Chiar și cei care au acest serviciu activat în mod implicit în setările lor nu știu întotdeauna ce să facă cu el sau dacă este necesar. Și degeaba... Pe un computer local, puteți proteja datele cu ajutorul acestuia chiar și în absența completă a software-ului antivirus.

Cum să dezactivați BitLocker: pentru început

În primul rând, trebuie să utilizați elementul specificat anterior în „Panoul de control”. Numele câmpurilor de dezactivare a serviciului se pot modifica în funcție de modificarea sistemului. Unitatea selectată poate fi setată să suspende protecția sau să indice dezactivarea serviciului BitLocker. Dar nu asta este ideea. O atenție deosebită trebuie acordată faptului că este necesară dezactivarea completă a actualizării BIOS-ului și a fișierelor de boot de sistem. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniu contextual

Aceasta este o față a monedei BitLocker. Ce este acest serviciu ar trebui să fie deja clar. Partea inversă este de a izola meniurile suplimentare de la care conțin link-uri către un anumit serviciu. Pentru a face acest lucru, trebuie să aruncați o altă privire la BitLocker. Cum să eliminați toate linkurile către un serviciu din meniul contextual? Da, este foarte simplu... Când selectați fișierul dorit în Explorer, utilizați secțiunea de servicii și editare a meniului contextual, accesați setările, iar după aceea folosiți setările comenzii și organizați-le. Apoi, trebuie să specificați valoarea „Panou de control” și să îl găsiți pe cel de care aveți nevoie în lista de elemente și comenzi corespunzătoare din panou și să îl ștergeți. Apoi, în editorul de registry, trebuie să mergeți la filiala HKCR și să găsiți secțiunea ROOT Directory Shell, să o extindeți și să ștergeți elementul dorit apăsând tasta Del sau folosind comanda de ștergere din meniul de clic dreapta. Acesta este ultimul lucru despre BitLocker. Cum să-l dezactivați ar trebui să vă fie deja clar. Dar nu te amăgi din timp. Acest serviciu va rula în continuare în fundal, indiferent dacă doriți sau nu.

Concluzie

Trebuie adăugat că acest lucru nu este tot ce se poate spune despre componenta sistemului de criptare BitLocker. Ne-am dat deja seama ce este BitLocker. De asemenea, ați învățat cum să dezactivați și să eliminați comenzile din meniu. Întrebarea este: merită să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea corporativă nu ar trebui să dezactivați deloc această componentă. Dar dacă vorbim despre un terminal de computer de acasă, atunci de ce nu.

Funcția de criptare a discurilor sau BitLocker a apărut în Windows 7. Cu ajutorul acesteia, puteți cripta SSD-uri, HDD-uri sau medii amovibile. Cu toate acestea, acest proces este însoțit de o serie de dificultăți, principala dintre acestea fiind lipsa unui modul TPM, care poate fi detașabil sau integrat în placa de bază. În consecință, utilizatorul poate întâlni un mesaj că „...dispozitivul nu poate folosi TPM. Administratorul trebuie să seteze parametrul. Permiteți utilizarea BitLocker fără un TPM compatibil.”

Cum să remediați această eroare și să activați BitLocker în Windows 10?

Citește și: Punerea unei parole pe o unitate flash în Windows 8

Activați BitLocker pe Windows 10 fără un TPM compatibil

Pentru a activa criptarea discului fără un TPM compatibil, trebuie să faceți modificări în Editorul de politici de grup local Windows 10. Pentru a face acest lucru, urmați acești pași:

  • Apăsați „Win+R” și introduceți „msc”.

  • Accesați ramura „Configurație computer”, „Șabloane administrative”, „Componente Windows”, „Această setare de politică vă permite să selectați criptarea unității BitLocker”, „Unități ale sistemului de operare”. Găsim opțiunea „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire”.

  • Faceți dublu clic pentru a deschide setările parametrilor. Setăm următoarele valori.

  • După repornirea sistemului, puteți accesa „Panou de control” și selectați „Criptare unitate BitLocker”.

Este de remarcat faptul că înainte de a crea un dispozitiv criptat, merită să faceți o copie de rezervă a datelor.

SoftikBox.com

Cum să activați BitLocker pe Windows 10

2. În fereastra „Parametri”, accesați „Sistem”

3. Apoi, accesați fila „Despre sistem”, mergeți în partea de jos și faceți clic pe „Setări BitLocker”

4. Aici selectăm mediile amovibile pe care dorim să le protejăm și facem clic pe „Activați BitLocker”

5. Așteptați finalizarea acțiunii.

6. În continuare va trebui să selectăm una dintre opțiunile de blocare:

7. Am ales protecția prin parolă! Bifați caseta „Utilizați o parolă pentru a debloca discul”, apoi introduceți parola pe care am creat-o de două ori și faceți clic pe „Următorul”.

8. În fereastra următoare, selectați o opțiune de recuperare în cazul în care uitați parola, de exemplu „Salvare în fișier”

9. Selectați locația pentru a salva fișierul și faceți clic pe „Salvare”

10. Faceți clic pe „Următorul”

11. Setați următorii parametri pentru a se potrivi nevoilor dvs., de exemplu, am ales „Criptați întregul disc”, selectați opțiunea și faceți clic pe „Următorul”

12. În fereastra următoare „Porniți criptarea”

13. Așteptăm sfârșitul criptării dispozitivului de stocare amovibil pe care l-ați ales!

ns1club.ru

Cum să criptați computerul cu Windows 10 folosind BitLocker

Dacă stocați informații confidențiale pe computer, atunci criptarea hard diskului dvs. va fi o opțiune excelentă pentru a asigura siguranța datelor dvs. În acest articol vă vom spune cum să criptați unitatea de sistem a computerului dvs. folosind cel mai popular instrument de criptare de la Microsoft, utilitarul BitLocker, care vine cu toate versiunile profesionale de Windows. De la lansarea Windows Vista, Microsoft a oferit o nouă funcție de protecție a datelor numită BitLocker Drive Encryption. Windows 7 a introdus BitLocker To Go, criptarea pentru dispozitive portabile de stocare, cum ar fi unități flash și carduri SD.

Nu este nevoie să descărcați și să instalați Biltocker, acesta este deja încorporat în sistemul de operare și este disponibil numai în Windows 10 Pro și Enterprise. Puteți vedea ce ediție de Windows este instalată pe computer în Panoul de control din fila Sistem. Dacă aveți instalat Windows 10 Home, care nu acceptă BitLocker, vă recomandăm să acordați atenție unui program precum Vera Crypt.

De ce Microsoft nu face această caracteristică disponibilă public este o întrebare deschisă, având în vedere că criptarea datelor este una dintre cele mai eficiente modalități de a le menține în siguranță. Criptarea este o modalitate de a spori securitatea datelor dvs., asigurându-vă că conținutul acestora poate fi citit numai de proprietarul cheii de criptare corespunzătoare. Windows 10 include diverse tehnologii de criptare. De exemplu, criptarea sistemului de fișiere EFS și BitLocker Drive Encryption, despre care vom vorbi în acest articol.

  • Criptarea hard diskului poate dura mult timp. Înainte de a începe, vă recomandăm să faceți o copie de rezervă a datelor, deoarece o întrerupere neașteptată a curentului în timpul procesului de criptare le poate deteriora.
  • Actualizarea Windows 10 noiembrie include un standard de criptare mai sigur. Vă rugăm să rețineți că noul standard de criptare va fi compatibil numai cu sistemele Windows 10 November Update.
  • Dacă computerul dvs. nu are un Trusted Platform Module (TPM), un cip care oferă computerului caracteristici de securitate suplimentare, cum ar fi capacitatea de a cripta unitățile BitLocker. Când încercați să activați criptarea, este posibil să primiți un mesaj de eroare TPM: „Acest dispozitiv nu poate folosi Trusted Platform Module (TPM)”
Pentru a rezolva această problemă, utilizați fișierul EnableNoTPM.reg.zip. Descărcați, dezarhivați și rulați acest fișier, aceasta va face modificările necesare în registry pentru a permite criptarea fără TPM. Activați BitLocker Drive Encryption în Windows 10. Faceți clic pe Start -> Explorer -> Acest PC. Apoi faceți clic dreapta pe unitatea de sistem Windows (de obicei unitatea C) și selectați „Activați BitLocker” din meniul derulant.

Creați o parolă puternică pentru a vă debloca hard diskul. De fiecare dată când porniți computerul, Windows vă va cere această parolă pentru a vă decripta datele.


Alegeți cum doriți să faceți backup pentru cheia de recuperare. Îl puteți salva în contul Microsoft, îl puteți copia pe o unitate USB sau îl puteți imprima.


Salvat?! Acum trebuie să specificați ce parte a discului doriți să criptați.

Veți avea două opțiuni:

  • Dacă criptați o unitate nouă sau un computer nou, trebuie să criptați doar partea din unitate care este în uz curent. BitLocker va cripta apoi automat datele pe măsură ce sunt adăugate.
  • Dacă activați BitLocker pe un computer sau pe o unitate pe care o utilizați deja, vă recomandăm să criptați întreaga unitate. Acest lucru va asigura că toate datele sunt protejate.
Pentru noi, a doua variantă este mai de preferat. Vă rugăm să rețineți că criptarea va dura ceva timp, mai ales dacă aveți o unitate mare. Asigurați-vă că computerul este conectat la o sursă de alimentare neîntreruptibilă în caz de pană de curent.
Dacă aveți instalate actualizările Windows 10 din noiembrie, atunci vă este disponibil modul mai sigur de criptare XTS-AES. Alegeți această opțiune ori de câte ori este posibil.

Când sunteți gata să începeți criptarea, faceți clic pe butonul „Continuați”.


Reporniți computerul când vi se solicită.

Îți amintești parola pe care ai creat-o mai devreme? Acum este momentul să-l prezentăm.


După ce vă conectați la Windows, veți observa că nimic global nu s-a schimbat.

Pentru a verifica starea criptării, faceți clic pe Start > File Explorer > Acest PC. Acum veți vedea o lacăt desenat pe discul de sistem. Faceți clic dreapta pe unitate și apoi selectați Gestionați BitLocker.

Veți vedea starea curentă a unității C:\ - criptare BitLocker (activată). Puteți continua să utilizați computerul, deoarece criptarea are loc în fundal. Veți fi anunțat când este finalizat.


Dacă doriți să întrerupeți criptarea, puteți face acest lucru în panoul BitLocker Drive Encryption Faceți clic pe linkul „Întrerupeți protecția”. După acest moment, fișierele și folderele nou create nu vor fi criptate. Aici puteți dezactiva complet BitLocker și vă puteți decripta toate datele.

P.S

Sperăm că articolul nostru s-a dovedit a fi util și că ați criptat datele în siguranță, dar nu uitați să aveți grijă de securitatea comunicării - încercați VPN-ul nostru anonim, astăzi în condiții speciale cu un cod promoțional BitLocker.

Citeste si

VeraСrypt - analog al TrueCrypt, revizuire, comparare și instalare

blog.secretvpn.net

Scenariul 1: Activați criptarea unității BitLocker pe unitatea sistemului de operare (Windows 7)

Faceți clic pe Start, faceți clic pe Panou de control, faceți clic pe Sistem și securitate, apoi faceți clic pe Criptare unitate BitLocker.

Faceți clic pe Activați BitLocker pentru unitatea sistemului dvs. de operare. BitLocker vă va verifica computerul pentru a se asigura că îndeplinește cerințele de sistem. Dacă computerul îndeplinește cerințele, BitLocker va furniza informații despre următorii pași necesari pentru a activa BitLocker (pregătirea unității, activarea TPM și criptarea unității).

Dacă unitatea sistemului de operare are o singură partiție, BitLocker pregătește unitatea comprimându-l și creând o nouă partiție de sistem de operare care este utilizată pentru fișierele de sistem care sunt necesare pentru pornirea sau recuperarea sistemului de operare și care nu sunt criptate. Această unitate nu va avea o scrisoare care să împiedice salvarea accidentală a fișierelor pe ea. După pregătirea discului, trebuie să reporniți computerul.

Dacă TPM-ul nu este inițializat, Expertul de configurare BitLocker vă va solicita să eliminați toate unitățile CD, DVD și USB de pe computer și să reporniți computerul pentru a începe activarea TPM. Vi se va solicita să activați TPM-ul înainte de pornirea sistemului, dar în unele cazuri va trebui să accesați setările BIOS și să activați manual TPM-ul. Aceasta depinde de modulul BIOS al computerului. Odată ce confirmați că TPM-ul trebuie să fie activat, sistemul de operare pornește și apare indicatorul Inițializare hardware de securitate pentru Modulul Platformei de încredere.

Dacă computerul nu are un TPM, se poate folosi BitLocker, dar va folosi metoda de autentificare Startup Key Only. Toate informațiile necesare cheii de criptare sunt stocate pe un dispozitiv de memorie flash USB, care trebuie conectat la computer de către utilizator în timpul procesului de pornire a sistemului. Cheia, stocată pe o unitate flash USB, este folosită pentru a debloca computerul. Utilizarea TPM este foarte recomandată deoarece ajută la protejarea împotriva atacurilor asupra procesului critic de pornire a computerului dumneavoastră. Utilizarea metodei Start Key Only oferă doar criptarea discului; nu oferă verificarea timpurie a componentelor de pornire sau protecție împotriva falsificării hardware. Pentru a utiliza această metodă, computerul trebuie să accepte citirea dispozitivelor USB înainte de a încărca sistemul de operare și, de asemenea, trebuie să activați această metodă de autentificare bifând caseta de selectare Permiteți BitLocker fără o politică TPM compatibilă în setarea Necesită autentificare suplimentară la pornire Politica de grup, aflată în următorul panou al politicilor de grup Editor local: Configurare computer\Șabloane administrative\Componente Windows\BitLocker Drive Protection\Operating System Drives.

După inițializarea TPM, Expertul de configurare BitLocker vă va solicita să selectați o metodă de stocare a cheii de recuperare. Sunt posibile următoarele opțiuni:

  • Salvați cheia de recuperare pe o unitate flash USB. Salvează cheia de recuperare pe o unitate flash USB.
  • Salvați cheia de recuperare într-un fișier. Salvează cheia de recuperare pe o unitate de rețea sau în altă locație.
  • Tipăriți cheia de recuperare. Imprimă cheia de recuperare.

Utilizați una sau mai multe opțiuni pentru salvarea cheii de recuperare. Pentru fiecare articol, trebuie să urmați expertul pentru a specifica locația în care să salvați sau să tipăriți cheia de recuperare. Când cheia de recuperare este salvată, faceți clic pe Următorul.

Important
Cheia de recuperare este necesară atunci când mutați un disc criptat pe alt computer sau când faceți modificări la informațiile de pornire a sistemului. Cheia de recuperare este o componentă foarte importantă, așa că este recomandat să faceți copii suplimentare ale acesteia și să le stocați într-un loc sigur, astfel încât să vă puteți referi la ele dacă trebuie să restabiliți accesul la disc. Cheia de recuperare este necesară pentru a debloca datele criptate atunci când BitLocker intră într-o stare de blocare. Cheia de recuperare este unică pentru fiecare disc. Cheia nu este potrivită pentru recuperarea datelor criptate de pe o altă unitate protejată cu BitLocker. Pentru securitate sporită, ar trebui să stocați cheile de recuperare separat de computer.

  • Expertul de configurare BitLocker vă întreabă dacă sunteți gata să criptați unitatea. Asigurați-vă că este bifată caseta de selectare Run BitLocker system scan, apoi faceți clic pe Continuare.

    Confirmați repornirea computerului făcând clic pe butonul Reporniți acum. După aceasta, computerul va reporni și BitLocker va verifica dacă este compatibil cu BitLocker și este gata pentru criptare. Dacă computerul nu este pregătit, veți primi un mesaj de eroare după ce vă conectați.

    Când computerul este gata de criptare, se afișează bara de stare Criptare cu progresul criptării. Pentru a verifica starea criptării unității, treceți mouse-ul peste pictograma BitLocker Drive Encryption din zona de notificare din partea dreaptă a barei de activități. Criptarea discului va dura ceva timp. Puteți lucra pe computer în timp ce criptarea este în curs, dar performanța va fi mai mică decât de obicei. Odată ce criptarea este finalizată, va fi afișat un mesaj de succes.

    technet.microsoft.com

    Cum să criptați un disc în Windows 10, astfel încât nimeni să nu vă fure fișierele?


    Windows 10 și versiunile anterioare de Windows oferă criptarea fișierelor folosind tehnologia BitLocker. Trebuie să-l configurați o singură dată și puteți fi sigur că nimeni nu va avea acces la fișierele dvs. sau nu va putea rula programele dvs., chiar dacă obține acces fizic la unitatea laptopului sau computerului dvs. Cum activez criptarea BitLocker? În primul rând, trebuie să activați politicile de securitate: 1. Apăsați Win+R și rulați comanda gpedit.msc. 2. Accesați Șabloane administrative > Windows Components BitLocker Drive Encryption > Operating System Drives.

    3. Faceți dublu clic pe „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire” și selectați opțiunea „Activat”. Acum puteți trece direct la criptare: 1. Deschideți „Explorer” > „Computerul meu” și selectați unitatea pe care doriți să o criptați. 2. Faceți clic dreapta pe pictograma unității și selectați Activare BitLocker.

    3. Se va deschide o casetă de dialog cu opțiuni pentru accesarea datelor criptate. Urmați instrucțiunile acestuia și reporniți computerul. Discul va fi criptat. Procesul de criptare poate fi lung, durata acestuia depinzând de volumul de date criptate. În timpul procesului de configurare a criptării, va trebui să creați o cheie sau o parolă pentru a decripta datele. Parola trebuie să utilizeze litere și numere mixte. Când unitatea este instalată în computer, datele sunt criptate și decriptate automat, dar dacă eliminați unitatea criptată de pe aceasta și o conectați la un alt dispozitiv, veți avea nevoie de o cheie pentru a accesa fișierele.

    Datele de recuperare a cheilor pot fi stocate pe o unitate flash, într-un cont Microsoft, într-un fișier text sau pe o foaie de hârtie tipărită. Rețineți că aceasta nu este cheia în sine, ci doar informații care vă vor ajuta să o recuperați. Cheia poate fi obținută numai după introducerea numelui de autentificare și a parolei pentru contul dvs. Microsoft, ceea ce face mai dificilă spargerea criptării.

    Dacă ați criptat unitatea logică a sistemului, va trebui să introduceți parola în timpul pornirii la rece a dispozitivului sau după repornirea acestuia.

    V-ați gândit vreodată la întrebarea: cum să protejați informațiile aflate pe HDD? Se pare că nu trebuie să instalați software suplimentar pentru aceasta. Serviciul special BitLocker încorporat în Windows 7 și versiuni ulterioare vă va ajuta. Să aruncăm o privire mai atentă la modul în care funcționează.

    Ce este

    BitLocker este o tehnologie care protejează informațiile prin criptarea partițiilor HDD. Acesta este un serviciu Windows care protejează independent directoarele și fișierele prin criptarea lor prin crearea unei chei TPM text.
    TPM este un criptoprocesor în care se află chei care protejează accesul la informații. Folosit pentru:

    1. Protecția informațiilor, copierea datelor;
    2. Autentificare.

    Cum funcționează

    Se pare că computerul procesează informații criptate care sunt afișate într-o formă care poate fi citită. Accesul la acesta nu este blocat. Protecția va funcționa dacă se încearcă din exterior să obțină acces la informații.
    Tehnologia se bazează pe criptare folosind algoritmul AES 128 și 256. Cel mai simplu mod de a stoca cheile este .

    Particularități

    Puteți cripta orice HDD (cu excepția celui de rețea), informații de pe un card SD sau o unitate flash. Cheia de recuperare a criptării este stocată pe computer, pe un suport amovibil sau pe cip TPM.
    Procesul de criptare durează mult. Depinde de puterea PC-ului și de cantitatea de informații de pe HDD. Când este criptat, sistemul va putea funcționa la performanțe mai scăzute.
    Sistemele de operare moderne suportă această tehnologie. Prin urmare, nu va trebui să descărcați BitLocker pentru Windows 7 și versiuni ulterioare. Este disponibil complet gratuit.

    Criptarea discului Windows 10 dacă pe placă este instalat un modul TPM

    Dacă apare un mesaj de eroare care spune că serviciul poate începe fără un TPM, atunci placa nu are unul. Să ne gândim ce să facem.

    BitLocker Windows 10, cum se activează fără TPM

    Pentru a cripta o unitate BitLocker, urmați acești pași:

    1. Apăsați „Win+R”, apoi scrieți „gpedit.msc”;
    2. Procedăm ca în captura de ecran;
    3. Faceți clic pe „Discuri”;
    4. În continuare, ca în captura de ecran;
    5. Selectați „Activat”;
    6. Închide editorul;
    7. Faceți clic pe „Start” - „Programe” - „Instrumente de sistem” - „Panou de control”;
    8. Faceți clic pe linkul „Criptare”;
    9. Următorul „Activare”;
    10. Așteptați până când scanarea este finalizată;
    11. Dacă vă pierdeți parola, accesul la informații va fi blocat, așa că creați o copie de rezervă;
    12. Procesul de pregătire va începe. Nu opriți computerul, altfel partiția de boot se poate deteriora și Windows nu va porni;
    13. Faceți clic pe „Următorul”;
    14. Notează-l pe cel pe care îl vei folosi pentru a debloca. Vă recomand să o faceți diferit față de modul în care vă conectați;
    15. Stabiliți cum să stocați cheia. Este folosit pentru a accesa unitatea dacă uitați parola. Salvați-l în: Microsoft Record, document text, notați-l pe hârtie;

      Salvați-l separat de computer.

    16. Recomand să alegeți criptarea completă a discului. Este mai de încredere. Faceți clic pe „Următorul”;
    17. Selectați „Mod nou”;
    18. Bifați caseta de lângă „Run scan”;
    19. O pictogramă BitLocker va apărea în bara de sistem și o notificare că trebuie să reporniți computerul;
    20. În continuare, va apărea o fereastră pentru introducerea unei parole. Notați-l pe cel pe care l-ați specificat în timpul criptării;
    21. Criptarea va începe după pornirea sistemului. Faceți clic pe pictograma din bara de sistem pentru a vedea ce procent din lucru este finalizat;

    Cum să dezactivați BitLocker Windows 10

    BitLocker Windows 7 cum se activează

    Mulți utilizatori vor întreba: cum să descărcați BitLocker pentru Windows 7? Se pare că nu trebuie să descărcați nimic. La fel ca și pentru seria a zecea Windows. Serviciul este activat în sistem. Acțiuni similare celor descrise mai sus.

    BitLocker to Go

    Tehnologia este folosită pentru a cripta informațiile de pe medii amovibile: carduri SD, HDD-uri externe, dispozitive USB. Protejează informațiile împotriva furtului media.
    Dispozitivul este detectat automat de către sistem. Pentru a decripta, o persoană trebuie să înregistreze acreditările de deblocare. Tehnologia elimină protecția dacă utilizatorul cunoaște login, parola sau cheia de recuperare. Folosit pentru a proteja toate fișierele aflate pe suportul media. BitLocker poate fi descărcat de pe site-ul oficial Microsoft.
    Pentru criptare, utilizați pașii descriși mai sus. În politicile de grup local, verificați opțiunile ca în captură de ecran.

    BitLocker Windows 10 cum se deblochează

    Pentru a debloca datele, utilizați o parolă sau o cheie de recuperare. La criptare, trebuie creată o parolă. Găsiți cheia de recuperare, apoi urmați acești pași:

    Dacă BitLocker a blocat unitatea și cheia este pierdută, întoarceți sistemul la cel pe care l-ați creat mai devreme. Dacă nu este acolo, întoarceți sistemul la starea inițială. Pentru a face acest lucru, accesați: „Opțiuni” (Win + I) - „Actualizare” - „Recuperare” - „Start”.

    Concluzie

    Am analizat cum să activați BitLocker pe Windows 10. Utilizați metodele descrise mai sus pentru a vă păstra datele în siguranță. Principalul lucru este să vă amintiți parola. Este folosit chiar dacă scoateți HDD-ul de pe un PC și îl conectați la altul.

    Tehnologia de criptare BitLocker a apărut pentru prima dată în urmă cu zece ani și s-a schimbat cu fiecare versiune de Windows. Cu toate acestea, nu toate modificările din acesta au fost concepute pentru a crește puterea criptografică. În acest articol, vom arunca o privire mai atentă asupra diferitelor versiuni de BitLocker (inclusiv pe cele preinstalate în cele mai recente versiuni ale Windows 10) și vom arăta cum să ocolim acest mecanism de protecție încorporat.

    Atacurile offline

    Tehnologia BitLocker a fost răspunsul Microsoft la numărul tot mai mare de atacuri offline care au fost deosebit de ușor de efectuat împotriva computerelor Windows. Oricine se poate simți ca un hacker. Pur și simplu va opri cel mai apropiat computer și apoi îl va porni din nou - cu sistemul său de operare și un set portabil de utilitare pentru găsirea parolelor, date confidențiale și disecția sistemului.

    La sfârșitul zilei de lucru, puteți chiar să organizați o mică cruciadă cu o șurubelniță Phillips - deschideți computerele angajaților decedați și scoateți unitățile din ele. În aceeași seară, într-un mediu de acasă liniștit, conținutul discurilor extrase poate fi analizat (și chiar modificat) în o mie și una de moduri. A doua zi, vino devreme și întoarce totul la locul său.

    Cu toate acestea, nu este necesar să deschideți computerele altor persoane chiar la locul de muncă. O mulțime de scurgeri de date confidențiale după reciclarea computerelor vechi și înlocuirea unităților. În practică, ștergerea securizată și formatarea la nivel scăzut a discurilor scoase din funcțiune sunt realizate de foarte puțini oameni. Ce îi poate opri pe tinerii hackeri și colecționari de trupuri digitale?

    După cum a cântat Bulat Okudzhava: „Întreaga lume este făcută de restricții, pentru a nu înnebuni de fericire”. Principalele restricții din Windows sunt stabilite la nivelul drepturilor de acces la obiectele NTFS, care nu protejează împotriva atacurilor offline. Windows pur și simplu verifică permisiunile de citire și scriere înainte de a procesa orice comenzi care accesează fișiere sau directoare. Această metodă este destul de eficientă atâta timp cât toți utilizatorii lucrează într-un sistem configurat de administrator cu conturi limitate. Cu toate acestea, de îndată ce porniți într-un alt sistem de operare, nu va rămâne nicio urmă din această protecție. Utilizatorul va reatribui drepturile de acces sau pur și simplu le va ignora prin instalarea unui alt driver de sistem de fișiere.

    Există multe metode complementare pentru a contracara atacurile offline, inclusiv securitatea fizică și supravegherea video, dar cele mai eficiente necesită utilizarea unei criptografii puternice. Semnăturile digitale de bootloader împiedică rularea codului străin, iar singura modalitate de a proteja cu adevărat datele de pe hard disk este criptarea acestuia. De ce criptarea completă a discului a lipsit din Windows atât de mult timp?

    De la Vista la Windows 10

    Există o mulțime de oameni diferiți care lucrează la Microsoft și nu toți codifică cu piciorul stâng din spate. Din păcate, deciziile finale în companiile de software au fost luate de mult timp nu de programatori, ci de marketeri și manageri. Singurul lucru pe care îl iau în considerare cu adevărat atunci când dezvoltă un produs nou este volumul vânzărilor. Cu cât este mai ușor pentru o gospodină să înțeleagă software-ul, cu atât va putea vinde mai multe copii ale acestui software.

    „Gândește-te, jumătate la sută dintre clienți sunt îngrijorați de siguranța lor! Sistemul de operare este deja un produs complex și aici sperii publicul țintă cu criptare. Ne putem lipsi de el! Ne-am descurcat înainte!” - Managementul de top al Microsoft ar fi putut raționa aproximativ în acest fel până în momentul în care XP a devenit popular în segmentul corporativ. Dintre administratori, prea mulți specialiști s-au gândit deja la securitate pentru a-și refuza opinia. Prin urmare, mult așteptata criptare a volumului a apărut în următoarea versiune de Windows, dar numai în edițiile Enterprise și Ultimate, care sunt destinate pieței corporative.

    Noua tehnologie se numește BitLocker. Acesta a fost probabil singurul lucru bun despre Vista. BitLocker a criptat întregul volum, făcând ca fișierele utilizator și de sistem să nu fie citite, ocolind sistemul de operare instalat. Documente importante, fotografii cu pisici, registru, SAM și SECURITATE - totul s-a dovedit a fi de necitit atunci când efectuați un atac offline de orice fel. În terminologia Microsoft, un „volum” nu este neapărat un disc ca dispozitiv fizic. Un volum poate fi un disc virtual, o partiție logică sau invers - o combinație de mai multe discuri (un volum întins sau în dungi). Chiar și o simplă unitate flash poate fi considerată un volum conectabil, pentru criptare end-to-end a căruia, începând cu Windows 7, există o implementare separată - BitLocker To Go (pentru mai multe detalii, vezi bara laterală de la sfârșitul articolului ).

    Odată cu apariția BitLocker, a devenit mai dificil să pornești un sistem de operare terță parte, deoarece toți încărcătoarele au primit semnături digitale. Cu toate acestea, o soluție este încă posibilă datorită modului de compatibilitate. Merită să schimbați modul de pornire din BIOS de la UEFI la Legacy și să dezactivați funcția Secure Boot, iar vechea unitate flash bootabilă va fi din nou utilă.

    Cum se utilizează BitLocker

    Să ne uităm la partea practică folosind Windows 10 ca exemplu În versiunea 1607, BitLocker poate fi activat prin panoul de control (secțiunea „Sistem și securitate”, subsecțiunea „Criptarea unității BitLocker”).


    Cu toate acestea, dacă placa de bază nu are un procesor criptografic TPM versiunea 1.2 sau o versiune ulterioară, atunci BitLocker pur și simplu nu poate fi utilizat. Pentru a-l activa, va trebui să accesați editorul de politici de grup local (gpedit.msc) și să extindeți ramura „Configurare computer -> Șabloane administrative -> Componente Windows -> Criptare unități BitLocker -> Unități ale sistemului de operare” la setarea „ Această setare de politică vă permite să configurați cerințele de autentificare suplimentară la pornire." În el trebuie să găsiți setarea „Permiteți BitLocker fără un TPM compatibil...” și să o activați.


    În secțiunile adiacente ale politicilor locale, puteți specifica setări suplimentare BitLocker, inclusiv lungimea cheii și modul de criptare AES.


    După aplicarea noilor politici, reveniți la panoul de control și urmați instrucțiunile asistentului de configurare a criptării. Pentru protecție suplimentară, puteți alege să introduceți o parolă sau să conectați o anumită unitate flash USB.



    Deși BitLocker este considerat o tehnologie de criptare completă a discului, permite criptarea parțială numai a sectoarelor ocupate. Acest lucru este mai rapid decât criptarea tuturor, dar această metodă este considerată mai puțin fiabilă. Numai pentru că, în acest caz, fișierele șterse, dar care nu au fost încă suprascrise, rămân disponibile pentru citire directă o perioadă de timp.


    Criptare completă și parțială

    După setarea tuturor parametrilor, tot ce rămâne este să reporniți. Windows vă va cere să introduceți o parolă (sau să introduceți o unitate flash USB), apoi va porni normal și va începe procesul de fundal de criptare a volumului.


    În funcție de setările selectate, dimensiunea discului, frecvența procesorului și suportul acestuia pentru comenzile AES individuale, criptarea poate dura de la câteva minute la câteva ore.


    După finalizarea acestui proces, vor apărea elemente noi în meniul contextual Explorer: schimbarea parolei și accesarea rapidă la setările BitLocker.


    Vă rugăm să rețineți că toate acțiunile, cu excepția modificării parolei, necesită drepturi de administrator. Logica aici este simplă: deoarece v-ați autentificat cu succes în sistem, înseamnă că știți parola și aveți dreptul să o schimbați. Cât de rezonabil este asta? Vom afla în curând!


    Cum funcționează BitLocker

    Fiabilitatea BitLocker nu trebuie judecată după reputația AES. Este posibil ca un standard de criptare popular să nu aibă slăbiciuni evidente, dar implementările sale în anumite produse criptografice sunt adesea pline de ele. Microsoft nu dezvăluie codul complet al tehnologiei BitLocker. Se știe doar că în diferite versiuni de Windows s-a bazat pe diferite scheme, iar modificările nu au fost comentate în niciun fel. Mai mult, în versiunea 10586 a Windows 10 a dispărut pur și simplu, iar două versiuni mai târziu a reapărut. Cu toate acestea, primul lucru.

    Prima versiune a BitLocker a folosit modul de înlănțuire a blocurilor de text cifrat (CBC). Chiar și atunci, neajunsurile sale erau evidente: ușurința de a ataca un text cunoscut, rezistența slabă la atacuri precum substituția și așa mai departe. Prin urmare, Microsoft a decis imediat să consolideze protecția. Deja în Vista, algoritmul Elephant Diffuser a fost adăugat la schema AES-CBC, ceea ce face dificilă compararea directă a blocurilor de text cifrat. Cu acesta, același conținut a două sectoare a dat rezultate complet diferite după criptarea cu o singură cheie, ceea ce a complicat calculul modelului general. Cu toate acestea, cheia în sine era scurtă în mod implicit - 128 de biți. Prin politicile administrative se poate extinde la 256 de biți, dar merită făcut?

    Pentru utilizatori, după schimbarea cheii, nimic nu se va schimba extern - nici lungimea parolelor introduse, nici viteza subiectivă a operațiunilor. La fel ca majoritatea sistemelor de criptare pe disc complet, BitLocker folosește chei multiple... și niciuna dintre ele nu este vizibilă pentru utilizatori. Iată o diagramă schematică a BitLocker.

    1. Când BitLocker este activat, o secvență de biți master este creată folosind un generator de numere pseudoaleatoare. Aceasta este cheia de criptare a volumului - FVEK (cheie de criptare a volumului complet). Cu aceasta, conținutul fiecărui sector este acum criptat.
    2. La rândul său, FVEK este criptat folosind o altă cheie - VMK (cheie master de volum) - și este stocat în formă criptată printre metadatele de volum.
    3. VMK în sine este, de asemenea, criptat, dar în moduri diferite, la discreția utilizatorului.
    4. Pe plăcile de bază noi, cheia VMK este criptată implicit folosind cheia SRK (cheia rădăcină de stocare), care este stocată într-un procesor cripto separat - modul de platformă de încredere (TPM). Utilizatorul nu are acces la conținutul TPM și este unic pentru fiecare computer.
    5. Dacă nu există un cip TPM separat pe placă, atunci în loc de SRK, se folosește un cod PIN introdus de utilizator sau o unitate flash USB la cerere cu informații despre cheie preînregistrate pe ea pentru a cripta cheia VMK.
    6. Pe lângă TPM sau unitatea flash, puteți proteja cheia VMK cu o parolă.

    Acest model general de funcționare BitLocker a continuat prin versiunile ulterioare ale Windows până în prezent. Cu toate acestea, metodele de generare a cheilor și modurile de criptare ale BitLocker s-au schimbat. Deci, în octombrie 2014, Microsoft a eliminat în liniște algoritmul suplimentar Elephant Diffuser, lăsând doar schema AES-CBC cu deficiențele sale cunoscute. La început, nu au fost făcute declarații oficiale în acest sens. Oamenii au primit pur și simplu o tehnologie de criptare slăbită cu același nume sub masca unei actualizări. Au urmat explicații vagi pentru acest pas după ce cercetătorii independenți au observat simplificări în BitLocker.

    Formal, abandonarea Elephant Diffuser era necesară pentru a asigura conformitatea Windows cu cerințele standardelor federale de procesare a informațiilor (FIPS) din SUA, dar un argument respinge această versiune: Vista și Windows 7, care foloseau Elephant Diffuser, au fost vândute fără probleme în America. .

    Un alt motiv imaginar pentru abandonarea algoritmului suplimentar este lipsa accelerației hardware pentru Elephant Diffuser și pierderea vitezei la utilizarea acestuia. Cu toate acestea, în anii precedenți, când procesoarele erau mai lente, viteza de criptare era oarecum satisfăcătoare. Și același AES a fost utilizat pe scară largă chiar înainte ca seturi de instrucțiuni separate și cipuri specializate să pară să-l accelereze. De-a lungul timpului, a fost posibil să se realizeze accelerare hardware pentru Elephant Diffuser sau cel puțin să le ofere clienților posibilitatea de a alege între viteză și securitate.

    O altă versiune, neoficială, pare mai realistă. „Elefantul” a interferat cu angajații NSA care doreau să depună mai puțin efort pentru decriptarea următorului disc, iar Microsoft cooperează de bunăvoie cu autoritățile chiar și în cazurile în care solicitările lor nu sunt în întregime legale. Confirmă indirect teoria conspirației este faptul că înainte de Windows 8, la crearea cheilor de criptare în BitLocker, era folosit generatorul de numere pseudo-aleatoare încorporat în Windows. În multe (dacă nu toate) versiunile Windows, acesta a fost Dual_EC_DRBG - un „PRNG criptografic puternic” dezvoltat de Agenția de Securitate Națională a SUA și care conține o serie de vulnerabilități inerente.

    Desigur, slăbirea în secret a criptării încorporate a provocat un val puternic de critici. Sub presiunea ei, Microsoft a rescris BitLocker din nou, înlocuind PRNG cu CTR_DRBG în noile versiuni de Windows. În plus, în Windows 10 (începând cu versiunea 1511), schema de criptare implicită este AES-XTS, care este imună la manipularea blocurilor de text cifrat. În cele mai recente versiuni ale „zecilor”, au fost remediate și alte deficiențe cunoscute ale BitLocker, dar principala problemă a rămas. Este atât de absurd încât face alte inovații fără sens. Vorbim despre principiile managementului cheilor.

    Principiul Los Alamos

    Sarcina de decriptare a unităților BitLocker este simplificată și de faptul că Microsoft promovează în mod activ o metodă alternativă de restabilire a accesului la date prin Agentul de recuperare a datelor. Ideea „Agentului” este că criptează cheile de criptare ale tuturor unităților din rețeaua întreprinderii cu o singură cheie de acces. Odată ce îl aveți, puteți decripta orice cheie și, prin urmare, orice disc folosit de aceeași companie. Confortabil? Da, mai ales pentru hacking.

    Ideea de a folosi o cheie pentru toate încuietorile a fost deja compromisă de multe ori, dar continuă să fie returnată într-o formă sau alta de dragul confortului. Iată cum Ralph Leighton a înregistrat amintirile lui Richard Feynman despre un episod caracteristic al lucrării sale la Proiectul Manhattan la Laboratorul Los Alamos: „...Am deschis trei seifuri - și toate trei cu aceeași combinație.<…>M-am ocupat de toate: am deschis seifurile cu toate secretele bombei atomice - tehnologia de producere a plutoniului, o descriere a procesului de purificare, informații despre cât de mult material este necesar, cum funcționează bomba, cum sunt produși neutronii, cum funcționează bomba, care sunt dimensiunile ei - într-un cuvânt, tot ceea ce știau ei în Los Alamos, întreaga bucătărie!”.

    BitLocker amintește oarecum de designul sigur descris într-un alt fragment al cărții You’re Surely Joking, Mr. Feynman! Cel mai impresionant seif dintr-un laborator top-secret avea aceeași vulnerabilitate ca un simplu dulap de dosare. „...Acesta era un colonel și avea un seif mult mai sofisticat, cu două uși, cu mânere mari, care scoteau din cadru patru tije de oțel groase de trei sferturi de inci.<…>Am examinat partea din spate a uneia dintre ușile impunătoare de bronz și am descoperit că cadranul era conectat la o mică broască care arăta exact ca încuietoarea de pe dulapul meu Los Alamos.<…>Era evident că sistemul de pârghie depindea de aceeași tijă mică care încuia dulapurile de dosare.<…>. Prefăcând un fel de activitate, am început să rotesc cadranul la întâmplare.<…>Două minute mai târziu - faceți clic! - seiful s-a deschis.<…>Când ușa seifului sau sertarul superior al unui dulap de dosare este deschisă, este foarte ușor să găsești combinația. Este exact ceea ce am făcut când mi-ați citit raportul, doar pentru a vă demonstra pericolul.”.

    Containerele cripto BitLocker în sine sunt destul de sigure. Dacă vă aduc o unitate flash care a venit de nicăieri, criptată cu BitLocker To Go, atunci este puțin probabil să o decriptați într-un timp acceptabil. Cu toate acestea, scenariul real al utilizării unităților criptate și a suporturilor amovibile este plin de vulnerabilități care pot fi exploatate cu ușurință pentru a ocoli BitLocker.

    Potențiale vulnerabilități

    Probabil ați observat că trebuie să așteptați mult timp când activați BitLocker pentru prima dată. Acest lucru nu este surprinzător - procesul de criptare sector cu sector poate dura câteva ore, deoarece nici măcar citirea tuturor blocurilor unui HDD terabyte nu este posibilă mai rapid. Cu toate acestea, dezactivarea BitLocker este aproape instantanee - cum se poate?

    Faptul este că atunci când este dezactivat, BitLocker nu decriptează datele. Toate sectoarele vor rămâne criptate cu cheia FVEK. Pur și simplu, accesul la această cheie nu va mai fi limitat în niciun fel. Toate verificările vor fi dezactivate, iar VMK-ul va rămâne înregistrat printre metadate în text clar. De fiecare dată când porniți computerul, sistemul de încărcare a sistemului de operare va citi VMK (fără a verifica TPM-ul, a cere o cheie pe o unitate flash sau o parolă), decriptează automat FVEK cu acesta și apoi toate fișierele pe măsură ce sunt accesate. Pentru utilizator, totul va arăta ca o lipsă completă de criptare, dar cei mai atenți pot observa o scădere ușoară a performanței subsistemului de disc. Mai exact, nu există o creștere a vitezei după dezactivarea criptării.

    Mai este ceva interesant în această schemă. În ciuda numelui (tehnologia de criptare a discului complet), unele date rămân încă necriptate atunci când se utilizează BitLocker. MBR și BS rămân deschise (cu excepția cazului în care discul a fost inițializat în GPT), sectoarele și metadatele deteriorate. Un bootloader deschis oferă spațiu imaginației. Sectoarele pseudo-defectuoase sunt convenabile pentru ascunderea rootkit-urilor și a altor programe malware, iar metadatele conțin o mulțime de lucruri interesante, inclusiv copii ale cheilor. Dacă BitLocker este activ, atunci acestea vor fi criptate (dar mai slab decât FVEK criptează conținutul sectoarelor), iar dacă sunt dezactivate, vor rămâne pur și simplu în clar. Aceștia sunt toți potențiali vectori de atac. Sunt potențiale pentru că, pe lângă ele, există și altele mult mai simple și mai universale.

    Cheie de recuperare

    Pe lângă FVEK, VMK și SRK, BitLocker folosește un alt tip de cheie care este creată „pentru orice eventualitate”. Acestea sunt cheile de recuperare, care sunt un alt vector de atac popular. Utilizatorilor le este frică să-și uite parola și să nu piardă accesul la sistem, iar Windows însuși le recomandă să facă o autentificare de urgență. Pentru a face acest lucru, expertul de criptare BitLocker vă solicită să creați o cheie de recuperare în ultima etapă. Nu este posibil să refuzi crearea lui. Puteți alege doar una dintre opțiunile cheie de export, fiecare dintre acestea fiind foarte vulnerabilă.

    În setările implicite, cheia este exportată ca un simplu fișier text cu un nume ușor de recunoscut: „BitLocker Recovery Key #”, unde ID-ul computerului este scris în loc de # (da, chiar în numele fișierului!). Cheia în sine arată așa.


    Dacă ați uitat (sau nu ați știut niciodată) parola pe care ați setat-o ​​în BitLocker, atunci căutați pur și simplu fișierul cu cheia de recuperare. Cu siguranță va fi salvat printre documentele utilizatorului actual sau pe unitatea flash a acestuia. Poate chiar este imprimat pe o bucată de hârtie, așa cum recomandă Microsoft. Așteaptă doar până când colegul tău ia o pauză (uitând să-și blocheze computerul, ca întotdeauna) și începe să cauți.


    Conectați-vă cu cheia de recuperare

    Pentru a localiza rapid o cheie de recuperare, este convenabil să limitați căutarea după extensie (txt), data creării (dacă vă puteți imagina când ar fi putut fi activat BitLocker) și dimensiunea fișierului (1388 de octeți dacă fișierul nu a fost editat). După ce găsiți cheia de recuperare, copiați-o. Cu acesta, puteți ocoli oricând autorizarea standard în BitLocker. Pentru a face acest lucru, trebuie doar să apăsați Esc și să introduceți cheia de recuperare. Te vei autentifica fără probleme și poți chiar să-ți schimbi parola BitLocker cu una personalizată fără a specifica cea veche! Acest lucru amintește deja de trucurile din secțiunea „Construcții de Vest”.


    Deschiderea BitLocker

    Un sistem criptografic real este un compromis între comoditate, viteză și fiabilitate. Ar trebui să ofere proceduri de criptare transparentă cu decriptare din mers, metode de recuperare a parolelor uitate și lucru convenabil cu cheile. Toate acestea slăbesc orice sistem, indiferent de algoritmii puternici pe care se bazează. Prin urmare, nu este necesar să căutați vulnerabilități direct în algoritmul Rijndael sau în diverse scheme ale standardului AES. Este mult mai ușor să le detectați în specificul unei anumite implementări.

    În cazul Microsoft, astfel de „specificități” sunt suficiente. De exemplu, copii ale cheilor BitLocker sunt trimise la SkyDrive și depuse în Active Directory în mod implicit. Pentru ce? Ei bine, dacă le pierzi... sau întreabă agentul Smith. Este incomod să aștepți un client, cu atât mai puțin un agent.

    Din acest motiv, compararea puterii criptografice a AES-XTS și AES-CBC cu Elephant Diffuser trece în fundal, la fel ca și recomandările pentru a crește lungimea cheii. Indiferent cât de lungă este, un atacator îl poate obține cu ușurință în formă necriptată.

    Obținerea cheilor escrowed dintr-un cont Microsoft sau AD este metoda principală de a sparge BitLocker. Dacă utilizatorul nu și-a înregistrat un cont în cloud-ul Microsoft și computerul său nu se află pe un domeniu, atunci vor exista în continuare modalități de extragere a cheilor de criptare. În timpul funcționării normale, copiile lor deschise sunt întotdeauna stocate în RAM (altfel nu ar exista o „criptare transparentă”). Aceasta înseamnă că acestea sunt disponibile în fișierul său de descărcare și hibernare.

    De ce sunt ținute acolo? Indiferent cât de amuzant ar părea - pentru comoditate. BitLocker a fost conceput pentru a proteja numai împotriva atacurilor offline. Ele sunt întotdeauna însoțite de o repornire și conectarea discului la un alt sistem de operare, ceea ce duce la ștergerea memoriei RAM. Cu toate acestea, în setările implicite, sistemul de operare aruncă memoria RAM atunci când are loc o blocare (care poate fi provocată) și își scrie întregul conținut într-un fișier de hibernare ori de câte ori computerul intră în somn profund. Prin urmare, dacă v-ați conectat recent la Windows cu BitLocker activat, există șanse mari să primiți o copie decriptată a cheii VMK și să o utilizați pentru a decripta FVEK și apoi datele în sine de-a lungul lanțului. Să verificăm?

    Toate metodele de hacking BitLocker descrise mai sus sunt colectate într-un singur program - Forensic Disk Decryptor, dezvoltat de compania națională Elcomsoft. Poate prelua automat cheile de criptare și poate monta volume criptate ca discuri virtuale, decriptându-le din mers.

    În plus, EFDD implementează o altă metodă non-trivială de obținere a cheilor - un atac prin portul FireWire, care este recomandabil să fie folosit în cazurile în care nu este posibil să rulați software-ul pe computerul atacat. Întotdeauna instalăm programul EFDD propriu-zis pe computerul nostru, iar pe computerul piratat încercăm să facem pașii minimi necesari.

    De exemplu, să lansăm pur și simplu un sistem de testare cu BitLocker activ și să facem „în liniște” o descărcare de memorie. Așa că vom simula o situație în care un coleg a ieșit la prânz și nu și-a blocat computerul. Lansăm RAM Capture și în mai puțin de un minut primim un dump complet într-un fișier cu extensia .mem și o dimensiune corespunzătoare cantității de RAM instalată pe computerul victimei.


    Efectuarea unei gropi de memorie

    În general, nu contează ce faci cu gunoiul. Indiferent de extensie, aceasta va avea ca rezultat un fișier binar, care va fi apoi analizat automat de EFDD în căutarea cheilor.

    Scriem dump-ul pe o unitate flash sau îl transferăm prin rețea, după care ne așezăm la computer și lansăm EFDD.

    Selectați opțiunea „Extrage chei” și introduceți calea către fișierul de descărcare a memoriei ca sursă a cheilor.

    Specificați sursa cheii

    BitLocker este un container cripto tipic, cum ar fi PGP Disk sau TrueCrypt. Aceste containere s-au dovedit a fi destul de fiabile în sine, dar aplicațiile client pentru a lucra cu ele sub Windows așează cheile de criptare din RAM. Prin urmare, EFDD implementează un scenariu de atac universal. Programul găsește instantaneu chei de criptare din toate cele trei tipuri de containere cripto populare. Prin urmare, puteți lăsa toate casetele bifate în cazul în care victima folosește în secret TrueCrypt sau PGP!

    După câteva secunde, Elcomsoft Forensic Disk Decryptor arată toate cheile găsite în fereastra sa. Pentru comoditate, le puteți salva într-un fișier - acest lucru va fi util în viitor.

    Acum BitLocker nu mai este o problemă! Puteți efectua un atac offline clasic - de exemplu, scoateți hard diskul unui coleg și copiați conținutul acestuia. Pentru a face acest lucru, pur și simplu conectați-l la computer și rulați EFDD în modul „decriptare sau montare disc”.

    După ce a specificat calea către fișierele cu cheile salvate, EFDD va efectua, la alegerea dvs., o decriptare completă a volumului sau îl va deschide imediat ca disc virtual. În acest din urmă caz, fișierele sunt decriptate pe măsură ce sunt accesate. În orice caz, nu se fac modificări la volumul original, așa că a doua zi îl puteți returna ca și cum nimic nu s-ar fi întâmplat. Lucrul cu EFDD are loc fără urmă și numai cu copii ale datelor și, prin urmare, rămâne invizibil.

    BitLocker To Go

    Începând cu Windows 7, a devenit posibil să se cripteze unități flash, USB-HDD-uri și alte medii externe. O tehnologie numită BitLocker To Go criptează unitățile amovibile în același mod ca și unitățile locale. Criptarea este activată utilizând elementul corespunzător din meniul contextual Explorer.


    Pentru unitățile noi, puteți utiliza criptarea numai a zonei ocupate - oricum, spațiul liber al partiției este umplut cu zerouri și nu există nimic de ascuns acolo. Dacă unitatea a fost deja utilizată, se recomandă să activați criptarea completă pe ea. În caz contrar, locația marcată ca liberă va rămâne necriptată. Poate conține fișiere șterse recent care nu au fost încă suprascrise.


    Chiar și criptarea rapidă numai a zonei ocupate durează de la câteva minute la câteva ore. Acest timp depinde de volumul de date, lățimea de bandă a interfeței, caracteristicile unității și viteza calculelor criptografice ale procesorului. Deoarece criptarea este însoțită de compresie, spațiul liber de pe discul criptat crește de obicei ușor.

    Data viitoare când conectați o unitate flash criptată la orice computer care rulează Windows 7 sau o versiune ulterioară, expertul BitLocker va fi apelat automat pentru a debloca unitatea. În Explorer, înainte de deblocare, acesta va fi afișat ca un disc blocat.


    Aici puteți folosi atât opțiunile deja discutate pentru ocolirea BitLocker (de exemplu, căutarea cheii VMK într-un fișier de memorie sau hibernare), cât și pe cele noi legate de cheile de recuperare.

    Dacă nu cunoașteți parola, dar ați reușit să găsiți una dintre chei (manual sau folosind EFDD), atunci există două opțiuni principale pentru accesarea unității flash criptate:

    • utilizați vrăjitorul BitLocker încorporat pentru a lucra direct cu o unitate flash;
    • utilizați EFDD pentru a decripta complet unitatea flash și pentru a-i crea imaginea sector cu sector.

    Prima opțiune vă permite să accesați imediat fișierele înregistrate pe unitatea flash, să le copiați sau să le modificați și, de asemenea, să le scrieți pe ale dvs. A doua opțiune durează mult mai mult (de la o jumătate de oră), dar are avantajele ei. Imaginea decriptată sector cu sector vă permite să efectuați în continuare o analiză mai rafinată a sistemului de fișiere la nivel de laborator criminalistic. În acest caz, unitatea flash în sine nu mai este necesară și poate fi returnată neschimbată.


    Imaginea rezultată poate fi deschisă imediat în orice program care acceptă formatul IMA sau poate fi convertită mai întâi într-un alt format (de exemplu, folosind UltraISO).


    Desigur, pe lângă detectarea cheii de recuperare pentru BitLocker2Go, EFDD acceptă și toate celelalte metode de ocolire BitLocker. Doar parcurgeți toate opțiunile disponibile într-un rând până când găsiți o cheie de orice tip. Restul (până la FVEK) va fi decriptat de-a lungul lanțului și veți avea acces complet la disc.

    Concluzii

    Tehnologia de criptare a discului complet BitLocker diferă între versiunile de Windows. După o configurație adecvată, vă permite să creați containere cripto care sunt teoretic comparabile ca putere cu TrueCrypt sau PGP. Cu toate acestea, mecanismul încorporat în Windows pentru lucrul cu taste anulează toate trucurile algoritmice. În special, cheia VMK folosită pentru a decripta cheia principală în BitLocker este recuperată folosind EFDD în câteva secunde dintr-un duplicat escrowed, o descărcare de memorie, un fișier de hibernare sau un atac de port FireWire.

    Odată ce aveți cheia, puteți efectua un atac offline clasic, puteți copia în liniște și decripta automat toate datele de pe discul „protejat”. Prin urmare, BitLocker ar trebui utilizat numai împreună cu alte măsuri de securitate: Sistemul de fișiere de criptare (EFS), Serviciul de gestionare a drepturilor (RMS), Controlul lansării programelor, Instalarea dispozitivului și Controlul atașamentelor, precum și politici locale mai stricte și măsuri generale de securitate.

    Ultima actualizare până la 28 februarie 2017.