Bitlocker — шифрование и расшифровка жестких дисков. Как разблокировать зашифрованные BitLocker диски в Windows? Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти

Разблокировать съемных дисков с данными можно с помощью пароля, смарт-карты, или можно настроить защиты идентификатор безопасности для разблокировки диска, используя учетные данные домена. После начала шифрования диска также можно разблокировать автоматически на определенном компьютере для учетной записи пользователя. Системные администраторы могут настроить, какие параметры доступны для пользователей, а также сложность и Минимальная длина требований к паролям. Чтобы разблокировать с помощью защиты ИД безопасности, используйте Manage-bde:

Manage-bde -protectors -add e: -sid domain\username

В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?

Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker .

Где хранить пароль восстановления и ключ восстановления?

Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.

Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.

Администратор домена может настроить дополнительную групповую политику для автоматического создания паролей восстановления и сохранения их в доменных службах Active Directory (AD DS) для всех дисков, защищенных BitLocker.

Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?

С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если для BitLocker используется только проверка подлинности с помощью доверенного платформенного модуля, и вы хотите добавить проверку подлинности с помощью ПИН-кода, выполните указанные ниже команды в командной строке с правами администратора, заменив 4–20-значный числовой ПИН-код числовым ПИН-кодом, который вы хотите использовать.

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin 4-20 digit numeric PIN

Когда следует рассматривать дополнительные метод проверки подлинности?

Благодаря использованию нового оборудования, соответствующего требованиям , PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, в устройствах Surface Pro и Surface Book отсутствуют внешние порты DMA, через которые возможны атаки. Если используется более старое оборудование, для которого может потребоваться PIN-код, рекомендуем включать функцию улучшенные ПИН-коды , которая позволяет применять нецифровые символы, например буквы и знаки препинания, а также выбирать длину PIN-кода в зависимости от допустимого риска и способности вашего оборудования противодействовать подбору паролей, доступной для доверенных платформенных модулей на вашем компьютере.

Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Хранение сведений о восстановлении в Доменных службах Active Directory, вместе с учетной записи Майкрософт, или в другом месте безопасных.

Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?

Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.

Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?

Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker , чтобы открыть параметры для копирования ключей восстановления.

Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?

Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.

Можно ли создать несколько различных ключей запуска для одного компьютера?

С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Можно ли создавать несколько сочетаний ПИН-кода?

Создавать несколько сочетаний ПИН-кода невозможно.

Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.

Где хранятся ключи шифрования?

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?

Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора. После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Как определить производителя своего доверенного платформенного модуля?

Вы можете определить производителем TPM в Центре обеспечения безопасности Защитник Windows > Безопасности устройства > сведения о безопасности процессора .

Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?

Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:

• Сколько неудачных попыток авторизации разрешается до блокировки?
• По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?
• Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?

И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера . При этом в групповой политике невозможно задать требования к сложности ПИН-кода.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker .

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .

Многие пользователи с выходом операционной системы Windows 7 столкнулись с тем, что в ней появилась непонятная служба BitLocker. Многим остается только догадываться, что такое BitLocker. Давайте на конкретных примерах проясним ситуацию. Также мы рассмотрим вопросы, которые касаются того, насколько целесообразно задействование данного компонента или его полное отключение.

Служба BitLocker: для чего она нужна

Если разобраться как следует, то можно сделать вывод, что BitLocker представляет собой полностью автоматизированное универсальное средство шифрования данных, которые хранятся на жестком диске. Что представляет собой BitLocker на жестком диске? Это обычная служба, которая без участия пользователя позволяет защитить папки и файлы путем их шифрования и создания специального текстового ключа, который обеспечивает доступ к документам. В тот момент, когда пользователь работает под своей учетной записью, он даже не догадывается о том, что данные являются зашифрованными. Вся информация отображается в читабельном виде и доступ к папкам и файлам для пользователя не заблокирован. Иначе говоря, такое средство защиты рассчитано только на те ситуации, при которых к компьютерному терминалу осуществляется несанкционированный доступ при попытке вмешательства извне.

Вопросы криптографии и паролей

Если говорить о том, что собой представляет BitLocker Windows 7 или в системах более высокого ранга, необходимо отметить такой неприятный факт: в случае утери пароля на вход многие пользователи не смогут не только зайти в систему, но и выполнить некоторые действия по просмотру документов, которые ранее были доступны, по перемещению, копированию и так далее. Но на этом проблемы не заканчиваются. Если как следует разобраться с вопросом, что собой представляет BitLocker Windows 8 и 10, то особых различий здесь нет. Можно отметить только более усовершенствованную технологию криптографии. Проблема здесь заключается в другом. Все дело в том, что сама по себе служба способна работать в двух режимах, сохраняя ключи дешифрации или на жестком диске, или на съемном USB-носителе. Отсюда напрашивается вполне логичный вывод: пользователь при наличии сохраненного ключа на винчестере без проблем получает доступ ко всей информации, которая на нем хранится. Когда ключ сохраняется на флэш-накопителе, проблема намного серьезнее. В принципе можно увидеть зашифрованный диск или раздел, а вот считать информацию никак не получится. К тому же, если уж говорить о том, что собой представляет BitLocker Windows 10 и систем более ранних версий, то необходимо отметить тот факт, что служба интегрируется в контекстные меню любого типа, которые вызываются путем правого клика мыши. Многих пользователей это просто раздражает. Не будем раньше времени забегать вперед и рассмотрим все основные аспекты, которые связаны с работой данного компонента, а также с целесообразностью его деактивации и использования.

Методика шифрования съемных носителей и дисков

Самое странное заключается в том, что в различных системах и их модификациях по умолчанию служба BitLocker Windows 10 может находиться как в активном, так и в пассивном режиме. В Windows 7 она по умолчанию включена, в Windows 8 и Windows 10 иногда требуется ручное включение. Что же касается шифрования, то здесь ничего нового не изобрели. Обычно используется та же самая технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому если ваш компьютерный терминал с соответствующей операционной системой подключен к локальной сети, вы можете быть полностью уверены в том, что используемая политика безопасности и защиты информации подразумевает активацию данной службы. Даже обладая правами администратора, ничего изменить вы не сможете.

Включение службы BitLocker Windows 10, в том случае, если она была деактивирована

Прежде чем приступать к решению вопроса, связанного с BitLocker Windows 10, необходимо рассмотреть процесс ее включения и настройки. Шаги по деактивации необходимо будет осуществлять в обратном порядке. Включение шифрования простейшим способом осуществляется из «Панели управления» путем выбора раздела шифрования диска. Данный способ может использоваться только в том случае, если сохранение ключа не должно выполняться на съемный носитель. Если заблокирован несъемный носитель, то придется искать другой вопрос о службе BitLocker Windows 10: как отключить данный компонент? Это делается достаточно просто. При условии, что ключ находится на съемном носителе, для расшифровки дисков и дисковых разделов необходимо вставить его в соответствующий порт, а после этого перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем рассматриваем носители и диски, на которых установлена защита. Внизу будет находиться гиперссылка, предназначенная для отключения шифрования. Необходимо нажать на нее. При условии распознавания ключа будет активирован процесс дешифрования. Вам останется только дождаться завершения его выполнения.

Настройка компонентов шифровальщиков: проблемы

Что же касается вопроса настройки, то здесь не обойдется без головной боли. Прежде всего, стоит отметить, что система предлагает зарезервировать под свои нужды не менее 1,5 Гб. Во-вторых, необходимо настраивать разрешения файловой системы NTFS, например, уменьшать размер тома. Для того чтобы заниматься такими вещами, следует сразу отключить данный компонент, поскольку большинству пользователей он не нужен. Даже те, у кого данная служба по умолчанию задействована в настройках, не всегда знают, что с ней нужно делать, и нужна ли она вообще. И зря… На локальном компьютере можно защитить с ее помощью данные даже при условии полного отсутствия антивирусного программного обеспечения.

Как отключить BitLocker: начальный этап

Прежде всего, необходимо использовать в «Панели управления» указанный ранее пункт. Названия полей отключения службы в зависимости от модификации системы могут изменяться. На выбранном накопителе может быть выбрана строка приостановки защиты или указание на отключение службы BitLocker. Но суть не в этом. Следует обратить особое внимание на тот момент, что необходимо полностью отключить обновление BIOS и загрузочных файлов системы. Иначе процесс дешифровки может занять довольно продолжительное время.

Контекстное меню

Это одна сторона медали, которая связана со службой BitLocker. Что собой представляет данная служба, должно быть уже понятно. Оборотная сторона состоит в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на данную службу. Для этого необходимо еще раз взглянуть на BitLocker. Как убрать все ссылки на службу из контекстного меню? Да очень просто… При выделении нужного файла в «Проводнике» используем раздел сервиса и редактирования контекстного меню, переходим к настройкам, а после этого используем настройки команд и упорядочиваем их. Далее необходимо указать значение «Панели управления» и найти в списке соответствующих элементов панелей и команд нужную и удалить ее. Затем в редакторе реестра необходимо зайти на ветку HKCR и найти раздел ROOT Directory Shell, развернуть его и удалить нужный элемент путем нажатия на клавишу Del или при помощи команды удаления из меню правого клика. Это последнее, что касается BitLocker. Как его отключить, вам должно быть уже понятно. Но не стоит обольщаться раньше времени. Эта служба все равно будет работать в фоновом режиме, хотите вы этого или нет.

Заключение

Необходимо добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Мы уже разобрались, что собой представляет BitLocker. Также вы узнали, как можно отключить и удалить команды меню. Вопрос заключается в другом: стоит ли отключать BitLocker. Здесь можно дать один совет: в корпоративной сети вообще не стоит деактивировать данный компонент. Но если речь идет о домашнем компьютерном терминале, то почему бы и нет.

computerologia.ru

BitLocker: что такое и как его разблокировать?

С выходом операционной системы Windows 7 многие юзеры столкнулись с тем, что в ней появилась несколько непонятная служба BitLocker. Что такое BitLocker, многим остается только догадываться. Попробуем прояснить ситуацию на конкретных примерах. Попутно рассмотрим вопросы, касающиеся того, насколько целесообразным является задействование этого компонента или его полное отключение.

BitLocker: что такое BitLocker, зачем нужна эта служба

Если разобраться, BitLocker представляет собой универсальное и полностью автоматизированное средство шифрования данных, хранящихся на винчестере. Что такое BitLocker на жестком диске? Да просто служба, которая без участия пользователя защищает файлы и папки путем их шифрования и создания специального текстового ключа, обеспечивающего доступ к документам.

Когда пользователь работает в системе под своей учетной записью, он может даже не догадываться о том, что данные зашифрованы, ведь информация отображается в читабельном виде, и доступ к файлам и папкам не заблокирован. Иными словами, такое средство защиты рассчитано только на те ситуации, когда к компьютерному терминалу производится несанкционированный доступ, например, при попытке вмешательства извне (интернет-атаки).

Вопросы паролей и криптографии

Тем не менее, если говорить о том, что такое BitLocker Windows 7 или систем рангом выше, стоит отметить и тот неприятный факт, что при утере пароля на вход многие юзеры не то что не могут войти в систему, а и выполнить некоторые действия по просмотру документов, ранее доступных, по копированию, перемещению и т. д.

Но и это еще не все. Если разбираться с вопросом, что такое BitLocker Windows 8 или 10, то особых различий нет, разве что в них более усовершенствованная технология криптографии. Тут проблема явно в другом. Дело в том, что сама служба способна работать в двух режимах, сохраняя ключи дешифрации либо на жестком диске, либо на съемном USB-носителе.

Отсюда напрашивается простейший вывод: при наличии сохраненного ключа на винчестере пользователь получает доступ ко всей информации, на нем хранящейся, без проблем. А вот когда ключ сохраняется на флэшке, проблема куда серьезнее. Зашифрованный диск или раздел увидеть, в принципе, можно, но считать информацию – никак.

Кроме того, если уж и говорить том, что такое BitLocker Windows 10 или систем более ранних версий, нельзя не отметить тот факт, что служба интегрируется в контекстные меню любого типа, вызываемые правым кликом, что многих пользователей просто раздражает. Но не будем забегать вперед, а рассмотрим все основные аспекты, связанные с работой этого компонента и целесообразностью его применения или деактивации.

Методика шифрования дисков и съемных носителей

Самое странное состоит в том, что в разных системах и их модификациях служба BitLocker может находиться по умолчанию и в активном, и в пассивном режиме. В «семерке» она включена по умолчанию, в восьмой и десятой версиях иногда требуется ручное включение.

Что касается шифрования, тут ничего особо нового не изобретено. Как правило, используется все та же технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому, если ваш компьютерный терминал с соответствующей операционной системой на борту подключен к локальной сети, можете быть уверены, что применяемая политика безопасности и защиты данных подразумевает активацию этой службы. Не обладая правами админа (даже при условии запуска изменения настроек от имени администратора), вы ничего не сможете изменить.

Включение BitLocker, если служба деактивирована

Прежде чем решать вопрос, связанный с BitLocker (как отключить службу, как убрать ее команды из контекстного меню), посмотрим на включение и настройку, тем более что шаги по деактивации нужно будет производить в обратном порядке.

Включение шифрования простейшим способом производится из «Панели управления» путем выбора раздела шифрования диска. Этот способ применим только в том случае, если сохранение ключа не должно быть произведено на съемный носитель.

В том случае, если заблокированным является несъемный носитель, придется найти ответ на другой вопрос о службе BitLocker: как отключить на флешку данный компонент? Делается это достаточно просто.

При условии, что ключ находится именно на съемном носителе, для расшифровки дисков и дисковых разделов сначала нужно вставить его в соответствующий порт (разъем), а затем перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем смотрим на диски и носители, на которых установлена защита. В самом низу будет показана гиперссылка отключения шифрования, на которую и нужно нажать. При условии распознавания ключа активируется процесс дешифрования. Остается только дождаться окончания его выполнения.

Проблемы настройки компонентов шифровальщика

Что касается настройки, тут без головной боли не обойтись. Во-первых, система предлагает резервировать не менее 1,5 Гб под свои нужды. Во-вторых, нужно настраивать разрешения файловой системы NTFS, уменьшать размер тома и т. д. Чтобы не заниматься такими вещами, лучше сразу отключить данный компонент, ведь большинству пользователей он просто не нужен. Даже все те, у кого эта служба задейстована в настройках по умолчанию, тоже не всегда знают, что с ней делать, нужна ли она вообще. А зря. Защитить данные на локальном компьютере с ее помощью можно даже при условии отсутствия антивирусного ПО.

BitLocker: как отключить. Начальный этап

Опять же используем ранее указанный пункт в «Панели управления». В зависимости от модификации системы названия полей отключения службы могут изменяться. На выбранном диске может стоять строка приостановки защиты или прямое указание на отключение BitLocker.

Суть не в том. Тут стоит обратить внимание и на то, что потребуется полностью отключить обновление BIOS и загрузочных файлов компьютерной системы. В противном случае процесс дешифровки может занять достаточно много времени.

Контекстное меню

Это только одна сторона медали, связанная со службой BitLocker. Что такое BitLocker, наверное, уже понятно. Но оборотная сторона состоит еще и в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на эту службу.

Для этого посмотрим еще раз на BitLocker. Как убрать из контекстного меню все ссылки на службу? Элементарно! В «Проводнике» при выделении нужного файла или папки используем раздел сервиса и редактирование соответствующего контекстного меню, переходим к настройкам, затем используем настройки команд и упорядочиваем их.

После этого в редакторе реестра входим в ветку HKCR, где находим раздел ROOTDirectoryShell, разворачиваем его и удаляем нужный элемент нажатием клавиши Del или командой удаления из меню правого клика. Собственно, вот и последнее, что касается компонента BitLocker. Как отключить его, думается, уже понятно. Но не стоит обольщаться. Все равно эта служба будет работать в фоновом режиме (так, на всякий случай), хотите вы этого или нет.

Вместо послесловия

Остается добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Что такое BitLocker, разобрались, как его отключить и удалить команды меню – тоже. Вопрос в другом: стоит ли отключать BitLocker? Тут можно дать только один совет: в корпоративной локальной сети деактивировать этот компонент не стоит вообще. Но если это домашний компьютерный терминал, почему бы и нет?

fb.ru

Bitlocker шифрование флешек и дисков в Windows 10

Многие из нас часто переносят важную, ценную информацию на внешних устройствах. Это могут быть ssd диски, другие внешние накопители для хранения данных. Самым популярным наверное является обычная флешка, на которой человек чаще всего переносит нужную информацию. Но что делать, если вы потеряли флешку? Или переносной внешний ssd диск? Ответ: зашифровать свои внешние устройства и поставить пароль на флешку, чтобы при находке никто не смог воспользоваться вашей информацией. Есть много стороннего софта для защиты флешек, но зачем он нужен, если программа которая устанавливается может со временем удалиться по неосторожности. В этой статье рассмотрим, как встроенным средством windows 10 защитить свои устройства.

Примечание: Будем пользоваться BitLocker, который присутствует в версиях Pro или Enterpris Windows 10.

Советую посмотреть еще:

Как запаролить папку и файлы с помощью функции EFS

Поставить пароль на папку без программ

Что такое BitLocker?

BitLocker - функция шифрования для съемных носителей, включая USB флеш-накопители, SD карт и внешних жестких дисков. BitLocker поддерживает файловые системы NTFS, FAT32, exFAT. Отформатированный с любой из этих файловых систем, может быть защищен с помощью BitLocker. В отличие от EFS шифрование, которое предназначено для шифрование папок и файлов, BitLocker не может работать с файлами он предназначен для сьемных носитилей.

Как поставить пароль на флешку и диски в Windows 10

• Подключите USB флешку или внешний жесткий диск к Windows 10.
• Нажмите правой кнопкой мыши на диске, который хотите защитить и нажмите Включить BitLocker.

• Поставьте галочку Использовать пароль для снятия блокировки диска.
• Придумайте свой пароль для защиты данных.

• Выберите архивирование ключа Сохранить файл.
• Сохраните файл в удобное для вас место, он понадобится для разблокировки флешки, если забыли пароль.

• Рекомендую Шифровать весь диск.

• Выберите режим шифрования Режим совместимости.

• Дождитесь окончание процесса.

Доступ к защищенным паролем данным

• Вставьте ваше зашифрованное устройства в USB порт компьютера и откройте.

• Введите свой пароль, который придумывали в начале шифрования.
• Если забыли пароль флешки, нажмите Дополнительные параметры и введите код восстановления, который вы сохраняли на компьютер.

Отключить BitLocker и удалить пароль с флешки

Чтобы удалить поставленный пароль и сделать флешку опять нормальными, нужно отключить «Битлокер». Для этого вставьте ваше usb устройство в компьютер и введите ваш пароль для разблокировки.

• После разблокировки, нажмите правой кнопкой на флешке и выберите Управление BitLocker.

• Найдите ваше устройство, с которой нужно снять пароль, и внизу нажмите Отключить BitLocker.

Смотрите еще:

Comments powered by HyperComments Сообщи об ошибке

mywebpc.ru

Как зашифровать диск или флешку с секретными данными с помощью Bitlocker

Привет всем! Защита личных данных от постороннего доступа является важным моментом для пользователей ПК. Особенно это касается офисных компьютеров, где хранится коммерческая или любая другая информация, которую стоит скрывать от несанкционированного просмотра. Сегодня я раскрою тему «Шифрование диска Bitlocker в Windows 10». Этот материал поможет обезопасить данные не только на жестком диске, но и на съемных носителях, с помощью штатных средств «десятки».

Утилита BitLocker впервые появилась в Windows 7 (расширенная версия), затем была реализована в последующих выпусках ОС. Доступна только в профессиональной и корпоративной редакциях. Для «домашних» пользователей предоставляется упрощенная настройка Device Encryption.

Суть шифрования

Что это такое? Процесс представляет собой использование особого алгоритма для преобразования данных в специальный формат, который может быть прочтен только владельцем. Даже если кто-то попытается открыть защищенные файлы, то отобразится набор бессмысленных букв и цифр.

Включение BitLocker

Интересует, как включить кодирование? Подробная инструкция – далее.

1. В панели управления нужно перейти к разделу «Система и безопасность» и выбрать вкладку «Шифрование диска».
2. Второй способ. Кликаем правой кнопкой мыши по нужному диску, файлу или папке. Выбираем пункт контекстного меню «Вкл. БитЛокер». Если данной опции нет в перечне, значит Вы используете неподдерживаемую версию операционной системы. Аналогично поступаем для шифрования флешки.
3. Откроется окно, которое представляет возможность выбора одного из двух вариантов: «Жесткие диски» и «BitLocker To Go».

Первый способ подходит для тотальной зашифровки HDD. При этом, во время загрузки ПК нужно будет указать установленный Вами пароль. Только после этого дешифратор выполнит свою работу, и система запустится.

Второй метод подходит для внешних накопителей. Когда такая флешка будет подключена к ПК, то открыть содержимое диска можно будет после ввода пароля.

• В случаях, когда на компьютере не установлен модуль TPM (это микросхема на чипсете, которая способна хранить шифровальные ключи. Повышает уровень безопасности. Даже при краже диска данные останутся закрытыми), то Вы получите следующее окно с ошибкой. В нем будет предложено разрешить применение BitLocker без задействованного TPM:

• Для отключения TRM, а он думаю мало у кого есть, воспользуемся утилитой gpedit.msc (входим через консоль Win + R) для изменения групповых политик. Переходим по дереву папок:

«Конфигурация ПК» - «Шаблоны администрирования» - «Windows компоненты» - «BitLocker» - «Диски ОС».

• В правой части окна находим пункт «Требовать проверку подлинности…» и меняем состояние на «Вкл.». Также, разрешаем использование шифрования без TPM, установив галочку в соответствующем пункте:

Есть вопросы? Или всё предельно просто? Если трудности возникают (ведь даже самая универсальная инструкция может не работать в конкретных случаях), то задавайте вопросы через форму комментирования после статьи.

Способы снятия блокировки

После того, как успешно прошли все шаги предыдущей инструкции, нужно будет выбрать метод, с помощью которого можно разблокировать диск. Самый распространенный вариант – это установка пароля. Но можно создать специальный внешний носитель, на котором будут храниться ключи для раскодирования. При наличии на материнской плате чипа TPM, выбор опций существенно расширится. Например, реально будет указать автоматическое дешифрование во время запуска ПК, или установить PIN на раскодирование и дополнительный код на диски.

Выбирайте тот метод из всех доступных, который нравится больше всего.

Резервный ключ

Как думаете, что случится, если Вы забудете пароль или потеряете носитель с основным ключом? Или же установите HDD в другой ПК (с иным TPM)? Как восстановить доступ в такой ситуации? Windows 10 предоставляет возможность сохранения резервного ключа (на диск, флешку) или его распечатывания. Важно обеспечить надежное хранение копии, чтобы никто не мог добраться до нее. Иначе, все усилия по обеспечению защиты будут сведены к нулю.

Внимание! При утрате всех ключей, Вы навсегда потеряете свои данные! Точнее, не сможете их дешифровать! Отключить подобную защиту просто невозможно.

Утилита BitLocker работает в автономном режиме и кодирует вновь добавленные (созданные) файлы и папки на дисках. При этом возможны два пути, по которым Вы можете пойти.

1. Шифровать весь диск целиком, включая свободное место (незадействованное). Надежный, но медленный способ. Подойдет для случаев, когда нужно скрыть всю информацию (даже о тех файлах, которые были давно удалены и могут быть восстановлены).
2. Защищать только используемое пространство (занятые разделы). Это более скоростной метод, который я рекомендую выбирать в большинстве ситуаций.

После этого шага начнется анализ системы. Компьютер перезагрузится и стартует непосредственно процесс шифрования. Чтобы следить за прогрессом, можно наводить курсор на значок в области уведомления. Следует отметить незначительное падение производительности за счет потребления оперативной памяти.

Последующий запуск ПК будет сопровождаться появлением окна ввода PIN кода или предложением вставить USB носитель с ключами. Всё зависит от выбранного Вами способа.

Если необходимо прибегнуть к использованию резервного ключа, то следует нажать на клавиатуре Esc и выполнить требования мастера восстановления.

Использование BitLocker To Go

Начальная настройка утилиты для шифрования внешних дисков совпадает с вышеприведенной инструкцией. Но перезагрузка ПК не потребуется.

Важный момент! До окончания процесса нельзя извлекать накопитель, иначе результаты могут быть непредвиденными.

Как только Вы подсоедините «защищенную» флешку к ноутбуку, то появится окно ввода пароля:

Изменение параметров BitLocker

Было бы нелогично, если бы пользователи не могли изменять пароль и прочие настройки. Хотите узнать, как убрать защиту? Делается это просто. Кликаем правой кнопкой на нужном диске и выбираем «Управление БитЛокером».

Справа будет перечень возможностей. Самый последний пункт «Turn off…» отвечает за выключение шифрования.

Личный опыт использования

Я всегда с собой имею флешку зашифрованную битлокером, так как на ней храню и пароли и фото и данные по работе. В одной из командировок, я потерял свою флешку, но совершенно не расстроился, так как понимал, что все данные зашифрованны и человек нашедший ее, не сможет воспользоваться ими. Для тех, кто беспокоится о безопастности - это самое оптимальное решение.

Вот и разобрались с этой непростой, но важной темой. Напоследок хочу отметить, что использование подобной защиты сказывается на повышении нагрузки на процессор и потребляет ресурсы ОЗУ. Но это незначительные жертвы по сравнению с потерей незащищенной информации в результате кражи и несанкционированного доступа. Согласны?

С уважением, Виктор

it-tehnik.ru

BitLocker. Вопросы и ответы

Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

В этом разделе, предназначенном для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований для использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.

Работа BitLocker с дисками операционной системы

BitLocker можно использовать для устранения рисков несанкционированного доступа к данным на утерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также путем проверки целостности ранее загруженных компонентов и данных конфигурации загрузки.

Работа BitLocker со съемными и несъемными дисками

BitLocker можно использовать для шифрования всего содержимого диска с данными. С помощью групповой политики вы можете требовать включения BitLocker на диске перед записью данных на диск. В BitLocker можно настроить различные методы снятия блокировки для дисков с данными, и диск с данными поддерживает несколько методов снятия блокировки.

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если включить BitLocker на компьютере с доверенным платформенным модулем версии 1.2 или 2.0, то можно использовать дополнительные формы проверки подлинности на основе этого модуля.

Для использования всех функций BitLocker компьютер должен соответствовать аппаратным и программным требованиям, перечисленным в разделе Конфигурации дисков, поддерживаемые BitLocker в техническом обзоре шифрования диска BitLocker.

Наличие двух разделов обязательно для работы BitLocker, поскольку проверка подлинности перед запуском и проверка целостности системы должны выполняться на отдельном разделе, не совпадающем с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

BitLocker поддерживает версии доверенного платформенного модуля, перечисленные в разделе Требования в техническом обзоре шифрования диска BitLocker.

Сведения том, как это сделать, см. в разделе Поиск сведений о драйвере доверенного платформенного модуля.

Сведения о том, как это сделать, см. в разделе Поиск сведений о драйвере доверенного платформенного модуля.

Да, можно включить BitLocker на диске операционной системы без доверенного платформенного модуля версии 1.2 или 2.0, если встроенное ПО BIOS или UEFI поддерживает чтение с USB-устройства флэш-памяти во время загрузки. Это возможно, поскольку BitLocker не снимает блокировку защищенного диска, пока не будет получен основной ключ тома BitLocker от доверенного платформенного модуля на компьютере или с USB-устройства флэш-памяти, содержащего ключ запуска BitLocker для этого компьютера. Однако компьютеры без доверенного платформенного модуля не смогут выполнять проверку целостности системы, которую поддерживает BitLocker.

Чтобы проверить возможность чтения с устройства USB в процессе загрузки, используйте проверку системы BitLocker во время установки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность чтения с устройств USB в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Сведения о том, как включить BitLocker на компьютере без доверенного платформенного модуля, см. в разделе BitLocker: как включить BitLocker.

Дополнительные сведения о необходимых операционных системах Windows и версиях доверенного платформенного модуля см. в разделе Требования в техническом обзоре шифрования диска BitLocker.

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям.

Оно прошло сертификацию эмблемы, где это применимо, и совместимо с версиями, указанными в списке Применение в начале этого раздела.

Соответствие стандартам TCG для клиентского компьютера.

Защищенный механизм обновления, предотвращающий установку вредоносного встроенного ПО BIOS или загрузочного ПО на компьютер.

Для включения, выключения и изменения конфигурации BitLocker на дисках операционной системы и несъемных дисках с данными требуется членство в локальной группе Администраторы. Обычные пользователи могут включать, выключать и изменять конфигурацию BitLocker на съемных дисках с данными.

Дополнительные сведения см. в разделе Требования в техническом обзоре шифрования диска BitLocker.

Вы должны настроить параметры запуска компьютера таким образом, чтобы жесткий диск в порядке загрузки шел первым, перед всеми остальными дисками, такими как CD/DVD-диски или USB-накопители. Если жесткий диск не является первым и вы обычно загружаетесь с жесткого диска, то возможно определение или предположение изменения порядка загрузки при обнаружении съемного носителя во время загрузки. Порядок загрузки обычно влияет на измерение системы, проверяемое BitLocker, и изменение порядка загрузки приведет к запросу ключа восстановления BitLocker. По этой же причине, если у вас есть ноутбук со стыковочным узлом, убедитесь, что жесткий диск идет первым в порядке загрузки как при стыковке, так и при отстыковке.

Дополнительные сведения см. в разделе Архитектура BitLocker в техническом обзоре шифрования диска BitLocker.

Да. Чтобы выполнить обновление от Windows 7 до Windows 8 или Windows 8.1 без расшифровки диска с операционной системой, откройте элемент Шифрование диска BitLocker в панели управления в Windows 7, щелкните ссылку Управление BitLocker и нажмите кнопку Приостановить. Приостановка защиты не расшифровывает диск, а отключает механизмы проверки подлинности, используемые BitLocker, и использует незащищенный ключ для доступа к диску. Продолжайте процесс обновления с помощью DVD-диска Windows 8 или обновления Windows 8.1. После завершения обновления откройте проводник, щелкните диск правой кнопкой мыши и выберите команду Возобновить защиту. Методы проверки подлинности BitLocker снова активируются, а незащищенный ключ удаляется.

Команда Расшифровать полностью удаляет защиту BitLocker и полностью расшифровывает диск.

Приостановка оставляет данные зашифрованными, но шифрует основной ключ тома BitLocker незащищенным ключом. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и без защиты. Хранение этого ключа без шифрования позволяет команде Приостановить выполнять изменение и обновление компьютера, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После внесения изменений и повторного включения BitLocker запечатывает ключ шифрования с новыми значениями компонентов, которые изменились в ходе обновления, основной ключ тома меняется, предохранители обновляются, а незащищенный ключ удаляется.

В следующей таблице перечислены действия, которые необходимо выполнить перед выполнением обновления или установки обновлений.

Тип обновления

Действие

Windows Anytime Upgrade	Расшифровка
Обновление с Windows 7 до Windows 8	Приостановка
Обновление ПО, не разработанного Майкрософт, например: обновление встроенного ПО, предоставляемое изготовителем компьютера; обновление встроенного ПО доверенного платформенного модуля; обновления приложений, разработанных не Майкрософт и изменяющих загрузочные компоненты.	Приостановка
Обновления программного обеспечения и операционной системы из Центра обновления Майкрософт	Для этих обновлений не требуется расшифровка диска, а также отключение или приостановка BitLocker.

Да, развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструментария TPM или скриптов Windows PowerShell. Реализация скриптов зависит от среды. Можно также использовать программу командной строки BitLocker Manage-bde.exe для локальной или удаленной настройки BitLocker. Дополнительные сведения о написании скриптов, использующих поставщики WMI BitLocker, см. в статье MSDN Поставщик шифрования диска BitLocker. Дополнительные сведения об использовании командлетов Windows PowerShell с шифрованием диска BitLocker см. в разделе Командлеты BitLocker в Windows PowerShell.

Да. В Windows Vista BitLocker шифровал только диски операционной системы. В Windows Vista с пакетом обновления 1 (SP1) и Windows Server 2008 добавлена поддержка шифрования несъемных дисков с данными. Возможности, появившиеся в Windows Server 2008 R2 и Windows 7, позволяют BitLocker шифровать также и съемные диски с данными.

Обычно снижение производительности не превышает десяти процентов.

Хотя шифрование BitLocker выполняется в фоновом режиме, пока вы продолжаете работу, и система остается доступной, время шифрования зависит от типа диска, его размера и скорости. Шифрование дисков очень большого размера разумно назначить на время, когда они не используются.

Возможности, появившиеся в Windows 8 и Windows Server 2012, позволяют при включении BitLocker выбрать, должен ли BitLocker шифровать весь диск или только занятое пространство. На новом жестком диске шифрование занятого пространства выполняется заметно быстрее, чем шифрование всего диска. После выбора варианта шифрования BitLocker автоматически шифрует данные в момент сохранения и гарантирует, что никакие данные не будут храниться без шифрования.

Если компьютер выключается или переходит в режим гибернации, то процесс шифрования и расшифровки BitLocker возобновляется с места остановки при следующем запуске Windows. То же происходит в случае сбоя подачи электропитания.

Нет, BitLocker не выполняет шифрование и расшифровку всего диска при чтении и записи данных. Секторы, зашифрованные на диске, который защищен BitLocker, расшифровываются только по запросу системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске, защищаемом BitLocker, данные никогда не остаются незашифрованными.

Элементы управления, появившиеся в Windows 8, позволяют включить параметры групповой политики, которые будут требовать, чтобы для дисков с данными включалась защита BitLocker, перед тем как защищаемый BitLocker компьютер сможет записывать данные на эти диски. Дополнительные сведения см. в разделе Запретить запись на съемные диски, не защищенные BitLocker или Запретить запись на фиксированные диски, не защищенные BitLocker в статье, посвященной параметрам групповой политики BitLocker.

Если эти параметры политики включены, то операционная система, защищенная BitLocker, будет подключать диски с данными, не защищенные BitLocker, в режиме только для чтения.

Дополнительные сведения, включая способы управления пользователями, которые могут случайно сохранить данные на незашифрованных дисках при использовании компьютера без включенного BitLocker, см. в разделе BitLocker: как запретить пользователям в сети сохранять данные на незащищенном диске.

Следующие типы изменений системы могут вызывать ошибку при проверке целостности. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

Перемещение диска, защищенного шифрованием BitLocker, в новый компьютер.

Установка новой системной платы с новым доверенным платформенным модулем.

Выключение, отключение или очистка доверенного платформенного модуля.

Изменение параметров конфигурации загрузки.

Изменение BIOS, встроенного ПО UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ других предзагрузочных компонентов или данных конфигурации загрузки.

Дополнительные сведения см. в разделе Принцип работы в техническом обзоре шифрования диска BitLocker.

Поскольку BitLocker предназначен для защиты компьютера от многочисленных атак, существует множество причин, почему BitLocker может запускаться в режиме восстановления. Сведения об этих причинах см. в разделе Сценарии восстановления в техническом обзоре шифрования дисков BitLocker.

Да, на одном компьютере с включенным шифрованием BitLocker можно менять жесткие диски, но при условии, что для них включалась защита BitLocker на этом же компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Поэтому, чтобы подготовить резервный диск с операционной системой или диск с данными на случай отказа диска, необходимо убедиться, что для них используется тот же доверенный платформенный модуль. Можно также настроить разные жесткие диски для разных операционных систем, а затем включить на каждом диске BitLocker с разными методами проверки подлинности (например, на одном диске только доверенный платформенный модуль, а на другом - доверенный платформенный модуль с вводом PIN-кода), и это не приведет к конфликтам.

Да, диск с данными можно разблокировать с помощью элемента Шифрование диска BitLocker на панели управления обычным образом (с помощью пароля или смарт-карты). Если для диска с данными настроено только автоматическое снятие блокировки, то необходимо использовать ключ восстановления. Если диск с операционной системой подключается к другому компьютеру под управлением версии операционной системы, указанной в списке Применение в начале этого раздела, то зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Для некоторых дисков невозможно шифрование BitLocker. Например, размер диска может быть слишком мал, файловая система может быть несовместимой, диск может быть динамическим либо назначенным в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается в окне "Компьютер". Однако если диск не создан в качестве скрытого в процессе выборочной установки операционной системы, то его можно отображать, но нельзя шифровать.

Защита BitLocker поддерживается для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA. Подробные сведения о поддерживаемых дисках см. в разделе Конфигурации дисков, поддерживаемые BitLocker в техническом обзоре шифрования диска BitLocker.

BitLocker может создавать и использовать различные ключи. Некоторые являются обязательными, а некоторые - дополнительными предохранителями, которые можно применять в зависимости от требуемого уровня безопасности.

Дополнительные сведения см. в разделе Что такое BitLocker в техническом обзоре шифрования диска BitLocker.

Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких устройствах USB, сохранить в вашу учетную запись Майкрософт или распечатать.

Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папку, сохранить в вашу учетную запись Майкрософт или распечатать. По умолчанию ключ восстановления для съемного диска нельзя хранить на съемном диске.

Администратор домена может настроить дополнительную групповую политику для автоматического создания паролей восстановления и сохранения их в доменных службах для всех дисков, защищенных BitLocker.

Дополнительные сведения см. в разделе BitLocker: как хранить пароли и ключи восстановления.

С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, использующий только доверенный платформенный модуль, на многофакторный режим проверки подлинности. Например, если в BitLocker включена только проверка подлинности доверенного платформенного модуля, то для добавления проверки подлинности с использованием PIN-кода введите следующие команды из командной строки с повышенными привилегиями, заменив на нужный числовой PIN-код:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin

Дополнительные сведения см. в разделе Режимы проверки подлинности в последовательности загрузки в техническом обзоре шифрования диска BitLocker.

BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокирования зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, вставка такого ключа вызывает автоматическую загрузку компьютера по ключу восстановления, даже если изменились файлы, измеряемые доверенным платформенным модулем, и проверка целостности системы не выполняется.

Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker, чтобы открыть параметры для копирования ключей восстановления.

Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.

С помощью скриптов можно создать разные ключи запуска для одного компьютера, однако для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, выполняемую доверенным платформенным модулем.

Создавать несколько сочетаний PIN-кода невозможно.

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от типа проверки подлинности (предохранители ключа или доверенный платформенный модуль) и сценариев восстановления.

Дополнительные сведения о ключах шифрования, о том, как они используются и где хранятся, см. в разделе Что такое BitLocker в техническом обзоре шифрования диска BitLocker.

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения резервирования. Ключи могут считываться и обрабатываться диспетчером загрузки.

Дополнительные сведения см. в разделе Принцип работы в техническом обзоре шифрования диска BitLocker.

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 могут использоваться в предзагрузочной среде не на всех клавиатурах.

Если используется защищенный PIN-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе установки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный PIN-код. Дополнительные сведения об улучшенных PIN-кодах см. в разделе Что такое BitLocker в техническом обзоре шифрования диска BitLocker.

Злоумышленник может узнать PIN-код методом подбора. Взлом методом подбора выполняется злоумышленником с помощью автоматического средства, которое проверяет различные сочетания PIN-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Поскольку в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому, обратитесь к изготовителю модуля, чтобы определить, каким образом доверенный платформенный модуль на компьютере противодействует взлому PIN-кода методом подбора.

После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о разработке модуля. Большинство изготовителей экспоненциально увеличивает время блокировки интерфейса для ввода PIN-кода с ростом числа ошибок PIN-кода. Однако каждый изготовитель имеет собственные правила в отношении уменьшения или сброса счетчика ошибок.

Дополнительные сведения см. в разделе Поиск сведений о драйвере доверенного платформенного модуля.

Чтобы определить изготовителя доверенного платформенного модуля, см. раздел Поиск сведений о драйвере доверенного платформенного модуля.

Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю.

Сколько неудачных попыток доступа разрешается до блокировки?

По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток доступа и других значимых параметров?

Какие действия могут привести к уменьшению или сбросу числа ошибок или продолжительности блокировки?

Да и нет. Можно задать минимальную длину PIN-кода в параметре групповой политики Настройка минимальной длины PIN-кода для запуска и разрешить использование буквенно-цифровых PIN-кодов, включив параметр групповой политики Разрешить защищенные PIN-коды для запуска. При этом в групповой политике нельзя задать требования к сложности PIN-кода.

BitLocker To Go - это шифрование диска BitLocker для съемных дисков с данными. Шифруются USB-устройства флэш-памяти, карты SD, внешние жесткие диски и другие диски с файловой системой NTFS, FAT16, FAT32 или exFAT.

Дополнительные сведения, в том числе способ проверки подлинности или разблокирования съемного диска с данными и методы проверки, что устройство чтения BitLocker To Go не установлено на дисках в формате FAT, см. в разделе Обзор BitLocker To Go.

Если на диске включается шифрование BitLocker до применения групповой политики для принудительного резервного копирования, то данные для восстановления не будут проходить автоматическое резервное копирование в доменные службы Active Directory, когда компьютер присоединяется к домену или применяется групповая политика. Однако в Windows 8 можно использовать параметры групповой политики Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker, Выбор методов восстановления несъемных дисков, защищенных с помощью BitLocker и Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker, чтобы сделать обязательным подключение компьютера к домену перед включением BitLocker. Это обеспечит резервное копирование данных для восстановления дисков, защищенных BitLocker в организации, в доменные службы Active Directory.

Интерфейс инструментария управления Windows (WMI) для BitLocker разрешает администраторам написать скрипт для резервного копирования или синхронизации существующих данных для восстановления клиента, находящегося в сети, но BitLocker не управляет этим процессом автоматически. Программа командной строки Manage-bde также позволяет вручную создать резервную копию данных для восстановления в доменных службах Active Directory. Например, чтобы создать резервную копию всех данных для восстановления диска C: в доменных службах Active Directory, выполните следующую команду в командной строке с повышенными привилегиями: manage-bde -protectors -adbackup C:.

Да, на клиентском компьютере в журнал событий заносится запись, показывающая успешный или не успешный результат резервного копирования Active Directory. Однако даже в случае, если в журнале событий указано успешное завершение, данные о восстановлении могут быть удалены из доменных служб Active Directory. Кроме того, конфигурация BitLocker может измениться так, что данных из Active Directory будет недостаточно для разблокировки диска (например, если удален предохранитель ключа для пароля восстановления). Также возможна подделка записи журнала.

Чтобы гарантированно определить наличие достоверной резервной копии в доменных службах Active Directory, необходимо запросить доменные службы Active Directory с учетными данными администратора домена с помощью программы просмотра паролей BitLocker.

Нет. Пароли восстановления BitLocker не удаляются из доменных служб Active Directory, и поэтому для каждого диска могут отображаться несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Если первоначальное резервное копирование завершается ошибкой, например когда контроллер домена оказывается недоступным во время работы мастера установки BitLocker, то BitLocker не выполняет повторных попыток резервного копирования данных для восстановления в доменные службы Active Directory.

Если администратор установит флажок Требовать резервного копирования BitLocker в AD DS в параметре политики Хранить сведения о восстановлении в доменных службах Active Directory (Windows 2008 и Windows Vista) или (что равносильно) установит флажок Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы (съемных дисков с данными, несъемных дисков с данными) в любом из параметров политики Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker, Выбор методов восстановления несъемных дисков, защищенных с помощью BitLocker, Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker, то пользователи не смогут включать BitLocker, когда компьютер не подключен к домену и не создана резервная копия данных для восстановления BitLocker в доменных службах Active Directory. Если заданы эти параметры и резервное копирование завершается ошибкой, то включить BitLocker невозможно. Это гарантирует, что администраторы будут иметь возможность восстановить все диски, защищаемые BitLocker, в организации.

Если администратор снимает эти флажки, то диск можно защищать с помощью BitLocker без успешного создания резервной копии данных для восстановления в доменных службах Active Directory. При этом BitLocker не повторяет автоматическое создание резервной копии, если оно завершается ошибкой. Вместо этого администраторы могут создать скрипт для резервного копирования, как описано ранее в вопросе Что будет, если включить BitLocker на компьютере перед присоединением к домену?, чтобы собрать данные после восстановления подключения.

В BitLocker применяется алгоритм шифрования AES с настраиваемой длиной ключа (128 или 256 бит). По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.

Для реализации BitLocker на диске с операционной системой рекомендуется компьютер с доверенным платформенным модулем версии 1.2 или 2.0 и встроенным ПО BIOS или UEFI, отвечающим стандартам организации TCG, а также использование PIN-кода. Требование ввода PIN-кода, задаваемого пользователем, в дополнение к проверке доверенного платформенного модуля, не позволяет злоумышленнику, получившему доступ к компьютеру, просто запустить его.

В базовой конфигурации BitLocker на дисках операционной системы (с доверенным платформенным модулем, но без дополнительной проверки подлинности) обеспечивает дополнительную защиту для режима гибернации. Использование дополнительной проверки подлинности BitLocker (доверенный платформенный модуль и ввод PIN-кода, доверенный платформенный модуль и USB-ключ или доверенный платформенный модуль, ввод PIN-кода и USB-ключ) обеспечивает дополнительную защиту в режиме гибернации. Этот метод лучше защищен, поскольку для возврата из режима гибернации требуется проверка подлинности BitLocker. Рекомендуется отключить спящий режим и использовать для проверки подлинности сочетание доверенного платформенного модуля и PIN-кода.

В большинстве операционных систем используется общее пространство памяти, и операционная система отвечает за управление физической памятью. Доверенный платформенный модуль - это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимостей внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, для взлома аппаратной защиты обычно требуются более дорогостоящие средства и навыки, которые не столь распространены, как средства взлома программ. Поскольку доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Все версии BitLocker, включенные в операционную систему, прошли сертификацию по федеральному стандарту обработки информации и сертификацию Common Criteria EAL4+. Эти сертификации также были выполнены для Windows 8 и Windows Server 2012, а для Windows 8.1 и Windows Server 2012 R2 находятся в процессе.

Сетевая разблокировка BitLocker упрощает управление компьютерами и серверами, защищенными BitLocker по методу TPM+ПИН в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Для использования сетевой блокировки также требуется настроить PIN-код для компьютера. Если компьютер не подключен к сети, то для его разблокировки необходимо ввести PIN-код.

Сетевая разблокировка BitLocker имеет программные и аппаратные требования для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем вы сможете ее использовать. Дополнительные сведения об этих требованиях см. в разделе Принцип работы технического обзора шифрования диска BitLocker.

Сетевая разблокировка использует два предохранителя: предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или PIN-кодом, тогда как автоматическая разблокировка использует один предохранитель, хранящийся в доверенном платформенном модуле. Если компьютер присоединяется к сети без предохранителя ключа, то предлагается ввести PIN-код. Если PIN-код недоступен, то для разблокировки компьютера, который нельзя подключить к сети, потребуется ключ восстановления. Дополнительные сведения об автоматический и сетевой разблокировке см. в разделе Принцип работы технического обзора шифрования диска BitLocker.

Да, шифрованная файловая система (EFS) может использоваться для шифрования файлов на диске, защищенном с помощью BitLocker. Дополнительные сведения см. в разделе Принцип работы в техническом обзоре шифрования диска BitLocker.

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если нужно включить или выключить отладку при использовании BitLocker, сначала приостановите BitLocker, чтобы избежать перехода компьютера в режим восстановления.

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

BitLocker не поддерживает смарт-карты для предзагрузочной проверки подлинности. Для поддержки смарт-карт во встроенном ПО отсутствует единый отраслевой стандарт, и в большинстве компьютеров поддержка смарт-карт во встроенном ПО не реализована либо распространяется только на определенные типы смарт-карт и устройств чтения. Отсутствие стандартизации делает слишком сложной задачу поддержки смарт-карт.

Корпорация Майкрософт не поддерживает драйверы доверенного платформенного модуля сторонних разработчиков и настоятельно не рекомендует использовать их с BitLocker. Использование драйвера доверенного платформенного модуля, разработанного не Майкрософт, вместе с BitLocker может вызвать ситуацию, в которой BitLocker будет сообщать об отсутствии доверенного платформенного модуля на компьютере, и использование модуля с BitLocker будет невозможным.

Не рекомендуется изменять основную загрузочную запись (MBR) на компьютерах, где диски с операционной системой защищаются BitLocker, по соображениям безопасности, надежности и возможности поддержки продукта. Изменение основной загрузочной записи (MBR) может изменить среду безопасности и помешать обычному запуску компьютера, а также усложнить задачу по восстановлению поврежденной основной загрузочной записи MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Проверка системы позволяет убедиться, что встроенное ПО компьютера (BIOS или UEFI) совместимо с BitLocker, а доверенный платформенный модуль работает правильно. Проверка системы может завершаться ошибкой по следующим причинам.

Встроенное ПО компьютера (BIOS или UEFI) не поддерживает чтение с USB-устройств флэш-памяти.

Во встроенном ПО компьютера (BIOS или UEFI) или в меню загрузки не включено чтение с USB-устройств флэш-памяти.

В компьютер вставлено несколько USB-устройств флэш-памяти.

Неправильно введен PIN-код.

Встроенное ПО компьютера (BIOS или UEFI) поддерживает только функциональные клавиши (F1–F10) для ввода чисел в предзагрузочной среде.

Ключ запуска удален, пока компьютер еще не завершил перезагрузку.

Из-за неисправности доверенного платформенного модуля не удалось предоставить ключи.

Некоторые компьютеры не поддерживают чтение с USB-устройств флэш-памяти в предзагрузочной среде. Сначала проверьте параметры встроенного ПО BIOS или UEFI и параметры загрузки, чтобы убедиться, что включено использование USB-накопителей. Включите использование USB-накопителей в BIOS или UEFI, если оно не включено, и повторите чтение ключа восстановления с USB-устройства флэш-памяти. Если по-прежнему не удается считать ключ, то необходимо подключить жесткий диск в качестве диска с данными к другом компьютеру с операционной системой, чтобы считать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено, то может понадобиться ввести пароль восстановления или использовать данные для восстановления, резервная копия которых хранится в доменных службах Active Directory. Кроме того, если ключ восстановления используется в предзагрузочной среде, то убедитесь, что диск имеет файловую систему NTFS, FAT16 или FAT32.

Для автоматической разблокировки несъемных дисков с данными необходимо, чтобы диск с операционной системой также был защищен BitLocker. Если используется компьютер, где диск с операционной системой не защищается BitLocker, то диск нельзя автоматически разблокировать. Для съемных дисков с данными можно добавить автоматическую разблокировку, если щелкнуть диск правой кнопкой мыши в проводнике и выбрать команду Управление BitLocker. Этот съемный диск можно разблокировать на других компьютерах, если ввести пароль или учетные данные смарт-карты, указанные при включении BitLocker.

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать с помощью элемента панели управления Шифрование диска BitLocker. В безопасном режиме нельзя щелкнуть диск правой кнопкой мыши, чтобы открыть параметры BitLocker.

Программа командной строки Manage-bde и команда –lock позволяют блокировать съемные и несъемные диски с данными.

Синтаксис команды:

manage-bde -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезагрузки операционной системы. Съемный диск с данными, который удаляется из компьютера, также автоматически блокируется.

Да. но теневые копии, созданные до включения BitLocker, будут автоматически удалены, когда BitLocker включается для дисков с программным шифрованием. Если используется диск с аппаратным шифрованием, то теневые копии сохраняются.

BitLocker не поддерживается для загрузочных VHD, но поддерживается для VHD томов данных, таких как используемые в кластерах, при работе в Windows 8, Windows 8.1, Windows Server 2012 или Windows Server 2012 R2.

Как проверить звуковую карту на windows 10

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.

Общие сведения о BitLocker

Шифрование диска BitLocker - это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. Доверенный платформенный модуль - это аппаратный компонент, который производители устанавливают на многих новых компьютерах. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.

Средство просмотра паролей восстановления BitLocker . Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker - дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC). С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.

Средства шифрования диска BitLocker . В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.

Новые и измененные функции

Новые возможности в BitLocker для Windows10, такие как поддержка алгоритма шифрования XTS-AES, см. в разделе BitLocker в «Что нового в Windows 10.»

Системные требования

Требования BitLocker к аппаратному обеспечению

Компонент BitLocker мог использовать проверку целостности системы, предоставленные по доверенного платформенного модуля (TPM), на компьютере должен быть TPM1.2 или более поздней версии. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.

Жесткий диск должен быть разбит как минимум на два диска.

• Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с использованием файловой системы NTFS.
• Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. На этом диске не включается BitLocker. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска - около 350 МБ. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.

При установке необязательного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.

В этом разделе

Статья	Описание
Общие сведения о функции шифровании устройств BitLocker в Windows 10	В этом разделе для ИТ-специалистов представлен обзор способов, которыми BitLocker и шифрование устройств помогают защитить данные на устройствах под управлением Windows 10.
Вопросы и ответы по BitLocker	В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.
Подготовка организации к использованию BitLocker: планирование и политики	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как планировать развертывание BitLocker.
Базовое развертывание BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать функции шифрования диска BitLocker для защиты данных.
BitLocker: Как развертывание в Windows Server	В этом разделе для ИТ-специалистов описывается развертывание BitLocker в Windows Server.
BitLocker: включение сетевой разблокировки	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как работает сетевая разблокировка BitLocker и как ее настроить.
BitLocker: использование средств шифрования диска BitLocker для управления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средства для управления BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Параметры групповой политики BitLocker	В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления BitLocker.
Параметры данных конфигурации загрузки и BitLocker	В этой статье, предназначенной для ИТ-специалистов, описаны параметры данных конфигурации загрузки, которые используются в BitLocker.
Руководство по восстановлению BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.
Защита BitLocker от атак с использованием предзагрузочной среды	Это подробное руководство поможет вам понять условиях, которые рекомендуется использовать проверку подлинности в предзагрузочной для устройств под управлением Windows10, Windows 8.1, Windows 8 или Windows 7; и при его можно безопасно исключить из конфигурации устройства.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как защитить общие тома кластеров и сети хранения данных с помощью BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows 10 IoT Базовая	В этом разделе описывается, как использовать BitLocker в Windows 10 IoT Базовая

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .

Если на компьютере установлен Windows 10 Pro или Enterprise, то сможете использовать функцию BitLocker, которая шифрует данные на жестком диске. Узнаем подробнее, как ее настроить.

Одной из дополнительных функций, которые получаете с установкой версии Windows 10 Pro, в отличие от Home, является BitLocker. Она позволяет шифровать данные на жестком диске так, чтобы никто не смог получить к ним доступ без ввода пароля.

Если кто-то извлечет диск из вашего компьютера и попытается получить доступ к нему на другом, содержимое будет нечитаемым. Это полезный инструмент, чтобы уберечь личные данные от сторонних глаз, но есть недостатки и требования, которые должны знать перед активацией функции:

1. BitLocker снижает производительность, особенно при использовании программного шифрования.
2. Если забудете пароль, то не сможете получить доступ к своим файлам.
3. Для лучшей защиты используется ключ запуска TPM.
4. Следует также знать, что существует альтернатива BitLocker: SSD с полным шифрованием диска. Содержимое шифруется автоматически.

Как правило, шифрование не активировано по умолчанию, поэтому может потребоваться скачать программное обеспечение производителя (например, Samsung Magician). При установке программа может запросить форматирование диска, тогда нужно сохранить на другой носитель данные, а если этот системный раздел С, то и переустановить Windows.

Нужен ли ключ TPM для BitLocker?

Ключ не обязателен, BitLocker будет использовать программный метод, который не так безопасен.

Программный режим снижает производительность чтения и записи. При аппаратном шифровании нужно подключать USB устройство с ключом и вводить пароль при каждой загрузке компьютера. При использовании ключа нужно, чтобы BIOS поддерживал загрузку с USB устройств.

Чтобы проверить соответствует ли ваш компьютер требованиям BitLocker в Windows 10 версии 1803 и выше – откройте Центр безопасности Защитника Windows, выберите вкладку Безопасность устройства.

Чтоб включить защиту откройте Панель управления и перейдите в раздел Шифрование диска BitLocker.

Выберите диск из списка, на котором хранится личная информация и кликните на ссылку «Включить BitLocker».

Еще способ включить шифрование – открыть Проводник, перейти на вкладку «Этот компьютер» и кликнуть правой кнопкой мыши на любом жестком диске.

После следуйте инструкциям на экране, чтобы настроить дисковую защиту.

Если диск уже достаточно заполнен, процесс займет много времени

После активации защиты появится значок замка на диске в Проводнике.

Аппаратное или программное шифрование

Функция поддерживает оба метода. Если включить аппаратное шифрование TPM, то можно зашифровать весь диск.

Когда решили зашифровать том (то есть один или несколько разделов), воспользуйтесь программным шифрованием. Можно использовать программный метод, если компьютер не соответствует требованиям BitLocker.

Что делать, если мой компьютер несовместим с BitLocker

Если вместо запуска мастера установки на экране видите уведомление, подобное приведенному ниже, то его можно обойти.

Уведомление не обязательно означает, что оборудование несовместимо. Может быть не включены соответствующие параметры в BIOS. Откройте Bios / UEFI найдите параметр TPM, и убедитесь, что включен.

Если компьютер собран на материнской плате AMD, то параметр находится в разделе PSP. Это Платформа Безопасности Процессора, интегрированная в сам процессорный чип, например, Ryzen, который имеет модуль безопасности вместо TPM.

Обратите внимание, в январе 2018 было обнаружено, что AMD PSP имеет брешь в безопасности, поэтому обновления микрокода (доставляются через обновления безопасности Windows) отключены. В этом случае не сможете использовать аппаратный режим.

При активации программного режима, при котором снижается производительность чтения / записи, воспользуйтесь редактором локальных групповых политик.

Нажмите сочетание клавиш Windows+R, введите команду gpedit.msc.

В левой панели перейдите по пути:

Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы.

В правой части окна кликните дважды на пункте «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В открывшемся окне установите значение «Включить» и отметьте «Разрешить использование BitLocker без совместимого TPM».

Теxнология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным нaбором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и зaмены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлaйновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодoполняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домoхозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озабoтились своей безопасностью! Операционная система и так слoжный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без нeго! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориeнтированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединeние нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через пaнель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютеpа -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM…» и включить ее.

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

После применения новых политик возвpащаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой спoсоб считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезaписанные файлы какое-то время остаются доступными для прямого чтения.

Полное и частичное шифрование

После настройки всех параметров оcтанется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нeскольких часов.

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

Как устроен BitLocker

О нaдежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, зaтрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий - 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится - ни длина вводимых паролей, ни субъективная скороcть выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей… и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
2. В свою очередь, FVEK шифруется при помощи другого ключа - VMK (volume master key) - и сохраняется в зашифрованном виде среди метаданных тома.
3. Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
4. На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопpоцессоре - доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
5. Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
6. Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технолoгию шифрования с прежним названием под видом обновления. Туманные объяcнения этого шага последовали уже после того, как упрощения в BitLocker заметили нeзависимые исследователи.

Формально отказ от Elephant Diffuser потребoвался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма - это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости пpи его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, котоpым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG - «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь пeреписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управлeния ключами.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспoминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа - и все три одной комбинацией. <…> Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы - технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, - словом, все, о чем знали в Лос-Аламосе, всю кухню!» .

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо болeе хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <…> Я оcмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединeн с маленьким замочком, который выглядел точно так же, как и замoк моего шкафа в Лос-Аламосе. <…> Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <…>. Изображая некую деятельность, я принялся наугад крутить лимб. <…> Через две минуты - щелк! - сейф открылся. <…> Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продeмонстрировать Вам опасность» .

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно - процесс посекторного шифрования можeт занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно - как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дискoвой подсистемы. Точнее - отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), пoврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользовaтели боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождиcь, пока коллега уйдет на перерыв (как всегда, забыв заблoкировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удoбно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь смeнить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Вскрываем BitLocker

Реальная криптографическая система - это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной рабoты с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.

В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь… или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента - тем более.

По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.

Получение депонированных ключей из учетной записи Microsoft или AD - основной способ вскpытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.

Почему они вообще там хранятся? Как это ни смешно - для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются пeрезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?

Все описанные выше методы взлома BitLocker собраны в одной программе - Forensic Disk Decryptor , разpаботанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей - атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллeга вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту пoлучаем полный дамп в файле с расширением.mem и размером, соответствующим объему оперативки, устанoвленной на компьютере жертвы.

Делаем дамп пaмяти

Чем делать дамп - по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

Укaзываем источник ключей

BitLocker - типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты - вдруг жертва тайком использует TrueCrypt или PGP!

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл - это пригодится в дальнeйшем.

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку - например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».

После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому оcтается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Для новых накопителей мoжно использовать шифрование только занятой области - все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время завиcит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстанoвления.

Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зaшифрованной флешке есть два основных варианта:

• использoвать встроенный мастер BitLocker для непосредственной работы с флeшкой;
• использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гoраздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или снaчала конвертировать в другой формат (например, с помощью UltraISO).

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.

Выводы

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроeнный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать вcе данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

Last updated by at Февраль 28, 2017 .