Bitlocker - criptează și decriptează hard disk-urile. Cum să deblochezi unitățile criptate BitLocker în Windows? Este posibil să stocați mai multe chei de pornire diferite pe o unitate flash USB?

Puteți debloca unitățile de date amovibile folosind o parolă, un card inteligent sau puteți configura protecția SID pentru a debloca unitatea folosind acreditările de domeniu. Odată ce criptarea discului a început, aceasta poate fi, de asemenea, deblocată automat pe un anumit computer pentru un cont de utilizator. Administratorii de sistem pot configura ce opțiuni sunt disponibile pentru utilizatori, precum și cerințele de complexitate și lungime minimă pentru parole. Pentru a debloca folosind protecția SID, utilizați Manage-bde:

Manage-bde -protectors -add e: -sid domeniu\nume utilizator

Care este diferența dintre o parolă de recuperare, o cheie de recuperare, un PIN, un PIN securizat și o cheie de pornire?

Pentru tabelele care listează și descriu elemente precum parola de recuperare, cheia de recuperare și codul PIN, consultați Instrumente de securitate BitLocker și Metode de autentificare BitLocker.

Unde să stocați parola de recuperare și cheia de recuperare?

Puteți salva parola de recuperare sau cheia de recuperare pentru discul sistemului de operare sau discul de date neamovibil într-un folder, pe unul sau mai multe dispozitive USB, în contul dvs. Microsoft sau le puteți imprima.

Puteți salva parola de recuperare și cheia de recuperare pentru unitățile de date amovibile într-un folder sau cont Microsoft sau le puteți imprima. În mod implicit, cheia de recuperare pentru mediile amovibile nu poate fi stocată pe mediile amovibile.

Un administrator de domeniu poate configura o politică de grup opțională pentru a genera automat parole de recuperare și a le stoca în Active Directory Domain Services (AD DS) pentru toate unitățile protejate de BitLocker.

Este posibil să adăugați o metodă de autentificare suplimentară fără decriptarea discului dacă este activată numai metoda de autentificare TPM?

Puteți utiliza instrumentul de linie de comandă Manage-bde.exe pentru a schimba modul de autentificare numai TPM în modul de autentificare cu mai mulți factori. De exemplu, dacă BitLocker utilizează numai autentificare TPM și doriți să adăugați autentificare PIN, executați următoarele comenzi la un prompt de comandă administrativă, înlocuind PIN numeric de 4-20 de cifre PIN-ul numeric pe care doriți să îl utilizați.

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –adăugați %systemdrive% -tpmandpin PIN numeric de 4-20 de cifre

Când ar trebui să luați în considerare o metodă suplimentară de autentificare?

Cu noul hardware compatibil, PIN-ul nu mai este o caracteristică de securitate critică și, probabil, va fi suficient să aveți un TPM, sub rezerva politicilor precum blocarea dispozitivului. De exemplu, dispozitivele Surface Pro și Surface Book nu au porturi DMA externe, care pot fi folosite pentru atacuri. Dacă aveți un echipament mai vechi care poate necesita un PIN, vă recomandăm să activați funcția PIN îmbunătățite, care vă permite să utilizați caractere nenumerice, cum ar fi literele și semnele de punctuație, și să selectați lungimea PIN-ului pe baza toleranței și a capacității anti-risc ale echipamentului dvs -funcționalitatea de forță brută de parolă disponibilă pentru modulele platformei de încredere de pe computer.

Pot recupera datele protejate de BitLocker dacă am pierdut informațiile necesare pentru recuperare?

BitLocker este conceput astfel încât o unitate criptată să nu poată fi recuperată fără a necesita autentificare. În modul de recuperare, utilizatorul are nevoie de o parolă de recuperare sau o cheie de recuperare pentru a debloca unitatea criptată.

Stocați informațiile de recuperare în Active Directory Domain Services, împreună cu contul dvs. Microsoft sau într-o altă locație sigură.

Este posibil să stocați cheia de recuperare pe aceeași unitate flash USB în care este stocată cheia de pornire?

Stocarea ambelor chei pe aceeași unitate flash USB este posibilă din punct de vedere tehnic, dar nu este recomandată. Dacă unitatea flash USB care conține cheia de pornire este pierdută sau furată, veți pierde și accesul la cheia de recuperare. În plus, atunci când o astfel de cheie este inserată, computerul va porni automat folosind cheia de recuperare, chiar dacă fișierele ai căror indicatori sunt determinați de TPM s-au schimbat, iar verificarea integrității sistemului nu va fi efectuată.

Este posibil să stocați cheia de pornire pe mai multe unități flash USB?

Da, cheia de pornire a computerului poate fi stocată pe mai multe unități flash USB. Faceți clic dreapta pe unitatea protejată de BitLocker și selectați Management BitLocker pentru a deschide opțiuni pentru copierea cheilor de recuperare.

Este posibil să stocați mai multe chei de pornire diferite pe o unitate flash USB?

Da, puteți stoca cheile de pornire BitLocker pentru diferite computere pe o singură unitate flash USB.

Este posibil să creați mai multe chei de pornire diferite pentru un computer?

Folosind scripturi, puteți crea diferite chei de pornire pentru același computer. Dar pentru computerele cu un TPM, crearea de chei de pornire diferite împiedică BitLocker să utilizeze verificarea integrității sistemului pe care o efectuează TPM.

Pot crea mai multe combinații de coduri PIN?

Nu este posibil să creați mai multe combinații de coduri PIN.

Ce chei de criptare folosește BitLocker? Cum lucrează împreună?

Datele brute sunt criptate cu cheia de criptare a volumului complet, care este apoi criptată cu cheia principală a volumului. Cheia principală a volumului, la rândul său, este criptată utilizând una dintre mai multe metode posibile, în funcție de tipul de autentificare (folosind chei protectore sau TPM) și scenariile de recuperare.

Unde sunt stocate cheile de criptare?

Cheia de criptare a volumului complet este criptată cu cheia principală a volumului și stocată pe discul criptat. Cheia principală de volum este criptată cu un dispozitiv de protecție adecvat și stocată pe discul criptat. Dacă protecția BitLocker este suspendată, cheia neprotejată care criptează cheia principală de volum este stocată și pe unitatea criptată împreună cu cheia principală de volum criptată.

Această procedură de stocare asigură că cheia master de volum nu este niciodată stocată fără criptare și este întotdeauna protejată, cu excepția cazului în care criptarea BitLocker este dezactivată. Cheile sunt, de asemenea, stocate în două locații suplimentare de disc pentru redundanță. Managerul de pornire poate citi și procesa cheile.

De ce trebuie să folosesc tastele funcționale pentru a introduce codul PIN sau parola de recuperare de 48 de caractere?

Tastele F1–F10 au coduri de interogare universale disponibile în mediul de prepornire pe toate computerele pentru toate limbile. Tastele numerice de la 0 la 9 nu sunt utilizate în mediul de prepornire pe toate tastaturile.

Dacă se utilizează un PIN îmbunătățit, utilizatorii sunt sfătuiți să efectueze o verificare suplimentară a sistemului în timpul configurării BitLocker pentru a se asigura că poate fi introdus codul PIN corect în mediul de prepornire.

Cum vă protejează BitLocker sistemul dvs. de operare pentru a conduce PIN-ul împotriva atacatorilor?

Un atacator poate obține codul PIN printr-un atac cu forță brută. Un atac cu forță brută este efectuat folosind un instrument automat care testează diferite combinații de coduri PIN până când este găsit codul corect. Pentru computerele protejate cu BitLocker, acest tip de hack, cunoscut și ca atac de dicționar, necesită ca atacatorul să aibă acces fizic la computer.

TPM are capabilități încorporate pentru a detecta și a contracara astfel de atacuri. Deoarece TPM-urile de la diferiți producători au măsuri diferite pentru a contracara atacurile cu forța brută PIN, contactați producătorul modulului pentru a determina modul în care modulul de pe computer contracarează atacurile cu forța brută PIN. Odată ce ați identificat producătorul TPM, contactați producătorul pentru a obține informații despre TPM pe care numai producătorul le poate furniza. Majoritatea producătorilor măresc exponențial timpul de blocare al interfeței PIN pe măsură ce crește numărul de erori PIN. Cu toate acestea, fiecare producător are propriile reguli privind resetarea contorului de erori sau scăderea valorilor acestuia.

Cum pot determina producătorul TPM-ului meu?

Puteți determina TPM-ul de către producător în Centrul de securitate Windows Defender > Securitatea dispozitivului > informații despre securitatea procesorului.

Cum se evaluează mecanismul de atenuare a atacurilor de dicționar utilizat într-un TPM?

Adresați-vă producătorului TPM următoarele întrebări despre mecanismul său de atenuare a atacurilor din dicționar:

Câte încercări eșuate de conectare sunt permise înainte de a fi blocate?
Ce algoritm este utilizat pentru a determina durata blocării, ținând cont de numărul de încercări de autorizare nereușite și de alți parametri semnificativi?
Ce acțiuni pot determina resetarea, scăderea sau blocarea contorului de erori pentru mai mult timp?

Pot modifica lungimea și complexitatea PIN-ului utilizând Politica de grup?

Da și nu. Puteți seta lungimea minimă a PIN-ului într-o setare de politică de grup Această setare de politică vă permite să setați lungimea minimă a PIN-ului pentru pornireși permiteți utilizarea codurilor PIN alfanumerice activând setarea Politicii de grup Această setare de politică vă permite să permiteți utilizarea codurilor PIN îmbunătățite la pornirea computerului. Cu toate acestea, nu este posibil să setați cerințe de complexitate PIN în Politica de grup.

Pentru mai multe informații, consultați Setările politicii de grup BitLocker.

Părere

Am dori să știm părerea dvs. Vă rugăm să indicați despre ce doriți să ne spuneți.

Sistemul nostru de feedback se bazează pe principiile de lucru cu probleme pe GitHub. Pentru mai multe informații, consultați .

Mulți utilizatori cu lansarea sistemului de operare Windows 7 s-au confruntat cu faptul că în el a apărut un serviciu BitLocker de neînțeles. Mulți oameni pot doar ghici ce este BitLocker. Să clarificăm situația cu exemple concrete. Vom lua în considerare și întrebările care se referă la dacă este recomandabil să activați această componentă sau să o dezactivați complet.

Serviciul BitLocker: pentru ce este?

Dacă te uiți cu atenție, poți trage concluzia că BitLocker este un mijloc complet automat, universal de criptare a datelor stocate pe hard disk. Ce este BitLocker pe un hard disk? Acesta este un serviciu obișnuit care, fără intervenția utilizatorului, vă permite să protejați folderele și fișierele prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente. În momentul în care utilizatorul lucrează sub contul său, nici nu realizează că datele sunt criptate. Toate informațiile sunt afișate într-o formă care poate fi citită și accesul la foldere și fișiere nu este blocat pentru utilizator. Cu alte cuvinte, o astfel de măsură de securitate este concepută doar pentru acele situații în care se realizează accesul neautorizat la terminalul computerului din cauza unei încercări de intervenție din exterior.

Probleme cu criptarea și parola

Dacă vorbim despre cum este BitLocker în Windows 7 sau în sistemele de rang superior, este necesar să reținem acest fapt neplăcut: dacă își pierd parola de autentificare, mulți utilizatori nu numai că vor putea să se autentifice în sistem, ci și să efectueze unele acțiuni pentru a vizualiza documente care erau disponibile anterior pentru mutare, copiere și așa mai departe. Dar problemele nu se opresc aici. Dacă înțelegeți corect întrebarea despre ce este BitLocker Windows 8 și 10, atunci nu există diferențe semnificative. Singurul lucru care poate fi remarcat este tehnologia criptografică mai avansată. Problema aici este alta. Chestia este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe hard disk, fie pe o unitate USB detașabilă. Aceasta sugerează o concluzie complet logică: utilizatorul, dacă are o cheie salvată pe hard disk, are acces fără probleme la toate informațiile care sunt stocate pe acesta. Când cheia este stocată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu veți putea citi informațiile. În plus, dacă vorbim despre ce este BitLocker în Windows 10 și sistemele versiunilor anterioare, este necesar să remarcăm faptul că serviciul este integrat în meniuri contextuale de orice tip, care sunt apelate făcând clic dreapta pe mouse. Acest lucru este pur și simplu enervant pentru mulți utilizatori. Să nu trecem înaintea noastră și să luăm în considerare toate aspectele principale care sunt legate de funcționarea acestei componente, precum și oportunitatea dezactivării și utilizării acesteia.

Metodă de criptare a suporturilor și discurilor amovibile

Cel mai ciudat lucru este că pe diverse sisteme și modificările acestora, în mod implicit, serviciul Windows 10 BitLocker poate fi în mod activ sau pasiv. În Windows 7 este activat implicit, în Windows 8 și Windows 10 necesită uneori activarea manuală. În ceea ce privește criptarea, nu s-a inventat nimic nou aici. De obicei, se folosește aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețelele corporative. Prin urmare, dacă terminalul dumneavoastră de calculator cu sistemul de operare corespunzător este conectat la rețeaua locală, puteți fi complet sigur că politica de securitate și protecție a informațiilor utilizată implică activarea acestui serviciu. Chiar dacă aveți drepturi de administrator, nu veți putea schimba nimic.

Activarea serviciului Windows 10 BitLocker dacă a fost dezactivat

Înainte de a începe să rezolvați problema legată de BitLocker Windows 10, trebuie să luați în considerare procesul de activare și configurare. Pașii de dezactivare vor trebui efectuati în ordine inversă. Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea de criptare a discului. Această metodă poate fi utilizată numai dacă cheia nu trebuie salvată pe un suport amovibil. Dacă dispozitivul de stocare neamovibil este blocat, atunci va trebui să căutați o altă întrebare despre serviciul Windows 10 BitLocker: cum să dezactivați această componentă? Acest lucru se face destul de simplu. Cu condiția ca cheia să fie pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, trebuie să o introduceți în portul corespunzător, apoi să mergeți la secțiunea de sistem de securitate din Panoul de control. După aceasta, găsim elementul de criptare BitLocker și apoi luăm în considerare mediile și unitățile pe care este instalată protecția. Mai jos va fi un hyperlink conceput pentru a dezactiva criptarea. Trebuie să faceți clic pe el. Dacă cheia este recunoscută, procesul de decriptare va fi activat. Tot ce trebuie să faci este să aștepți să se finalizeze.

Configurarea componentelor ransomware: probleme

În ceea ce privește problema de configurare, nu va fi fără durere de cap. În primul rând, este de remarcat faptul că sistemul oferă să rezervați cel puțin 1,5 GB pentru nevoile dvs. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, de exemplu, să reduceți dimensiunea volumului. Pentru a face astfel de lucruri, ar trebui să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor nu au nevoie de ea. Chiar și cei care au acest serviciu activat în mod implicit în setările lor nu știu întotdeauna ce să facă cu el sau dacă este necesar. Și degeaba... Pe un computer local, puteți proteja datele cu ajutorul acestuia chiar și în absența completă a software-ului antivirus.

Cum să dezactivați BitLocker: pentru început

În primul rând, trebuie să utilizați elementul specificat anterior în „Panoul de control”. Numele câmpurilor de dezactivare a serviciului se pot modifica în funcție de modificarea sistemului. Unitatea selectată poate fi setată să suspende protecția sau să indice dezactivarea serviciului BitLocker. Dar nu asta este ideea. O atenție deosebită trebuie acordată faptului că este necesară dezactivarea completă a actualizării BIOS-ului și a fișierelor de boot de sistem. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniul contextual

Aceasta este o parte a monedei BitLocker. Ce este acest serviciu ar trebui să fie deja clar. Partea inversă este de a izola meniurile suplimentare de prezența legăturilor către un anumit serviciu în ele. Pentru a face acest lucru, trebuie să aruncați o altă privire la BitLocker. Cum să eliminați toate linkurile către un serviciu din meniul contextual? Da, este foarte simplu... Când selectați fișierul dorit în Explorer, utilizați secțiunea de servicii și editare a meniului contextual, accesați setările, iar după aceea folosiți setările comenzii și organizați-le. Apoi, trebuie să specificați valoarea „Panou de control” și să îl găsiți pe cel de care aveți nevoie în lista de elemente și comenzi corespunzătoare din panou și să îl ștergeți. Apoi, în editorul de registry, trebuie să mergeți la filiala HKCR și să găsiți secțiunea ROOT Directory Shell, să o extindeți și să ștergeți elementul dorit apăsând tasta Del sau folosind comanda de ștergere din meniul de clic dreapta. Acesta este ultimul lucru despre BitLocker. Cum să îl dezactivați ar trebui să vă fie deja clar. Dar nu te amăgi din timp. Acest serviciu va rula în continuare în fundal, indiferent dacă doriți sau nu.

Concluzie

Trebuie adăugat că acest lucru nu este tot ce se poate spune despre componenta sistemului de criptare BitLocker. Ne-am dat deja seama ce este BitLocker. De asemenea, ați învățat cum să dezactivați și să eliminați comenzile din meniu. Întrebarea este: merită să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea corporativă nu ar trebui să dezactivați deloc această componentă. Dar dacă vorbim despre un terminal de computer de acasă, atunci de ce nu.

computerologie.ru

BitLocker: ce este și cum să-l deblochezi?

Odată cu lansarea sistemului de operare Windows 7, mulți utilizatori s-au confruntat cu faptul că în el a apărut un serviciu BitLocker oarecum de neînțeles. Ce este BitLocker, mulți pot doar ghici. Să încercăm să clarificăm situația cu exemple concrete. Pe parcurs, vom lua în considerare întrebările referitoare la cât de potrivit este să activați această componentă sau să o dezactivați complet.

BitLocker: ce este BitLocker, de ce este nevoie de acest serviciu

Dacă te uiți la asta, BitLocker este un mijloc universal și complet automat de a cripta datele stocate pe un hard disk. Ce este BitLocker pe un hard disk? Da, doar un serviciu care protejează fișierele și folderele fără intervenția utilizatorului prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente.

Atunci când un utilizator lucrează în sistem sub propriul său cont, poate nici măcar să nu realizeze că datele sunt criptate, deoarece informațiile sunt afișate într-o formă care poate fi citită, iar accesul la fișiere și foldere nu este blocat. Cu alte cuvinte, un astfel de instrument de protecție este conceput doar pentru acele situații în care se face acces neautorizat la terminalul computerului, de exemplu, când se încearcă intervenția din exterior (atac pe internet).

Parole și probleme de criptare

Totuși, dacă vorbim despre ce este BitLocker în Windows 7 sau sisteme de rang superior, este de remarcat faptul neplăcut că, dacă își pierd parola de autentificare, mulți utilizatori nu numai că nu se pot conecta în sistem, ci și efectuează unele acțiuni de navigare. documente disponibile anterior pentru copiere, mutare etc.

Dar asta nu este tot. Dacă te uiți la întrebarea ce este BitLocker Windows 8 sau 10, atunci nu există diferențe semnificative, cu excepția faptului că au tehnologie de criptare mai avansată. Problema aici este clar diferită. Faptul este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe un hard disk, fie pe o unitate USB detașabilă.

Aceasta sugerează cea mai simplă concluzie: dacă cheia este salvată pe hard disk, utilizatorul are acces fără probleme la toate informațiile stocate pe acesta. Dar când cheia este salvată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu puteți citi informațiile.

În plus, dacă vorbim despre ce este BitLocker în sistemele Windows 10 sau anterioare, nu putem să nu remarcăm faptul că serviciul este integrat în orice tip de meniu contextual cu clic dreapta, ceea ce este pur și simplu enervant pentru mulți utilizatori. Dar să nu trecem înaintea noastră, ci să luăm în considerare toate aspectele principale legate de funcționarea acestei componente și oportunitatea utilizării sau dezactivării acesteia.

Metodă de criptare a discurilor și a suporturilor amovibile

Cel mai ciudat lucru este că pe diferite sisteme și modificările acestora, serviciul BitLocker poate fi implicit atât în modul activ, cât și în modul pasiv. În „șapte” este activat implicit în a opta și a zecea versiune, uneori este necesară activarea manuală.

În ceea ce privește criptarea, aici nu a fost inventat nimic deosebit de nou. De regulă, se utilizează aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețelele corporative. Prin urmare, dacă terminalul dumneavoastră de calculator cu sistemul de operare corespunzător la bord este conectat la rețeaua locală, puteți fi sigur că politica aplicabilă de securitate și protecție a datelor implică activarea acestui serviciu. Fără drepturi de administrator (chiar dacă începi să schimbi setările ca administrator), nu vei putea modifica nimic.

Activați BitLocker dacă serviciul este dezactivat

Înainte de a aborda problema legată de BitLocker (cum să dezactivați serviciul, cum să eliminați comenzile acestuia din meniul contextual), să ne uităm la activare și configurare, mai ales că pașii de dezactivare vor trebui să se facă în ordine inversă.

Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea de criptare a discului. Această metodă este aplicabilă numai dacă cheia nu trebuie salvată pe un suport amovibil.

Dacă dispozitivul blocat este o unitate neamovibilă, va trebui să găsiți răspunsul la o altă întrebare despre serviciul BitLocker: cum să dezactivați această componentă pe o unitate flash? Acest lucru se face destul de simplu.

Cu condiția ca cheia să fie localizată pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, mai întâi trebuie să o introduceți în portul (conector) corespunzător, apoi să mergeți la secțiunea de sistem de securitate a Panoului de control. După aceea, găsim elementul de criptare BitLocker și apoi ne uităm la unitățile și mediile pe care este instalată protecția. În partea de jos veți vedea un hyperlink pentru a dezactiva criptarea, pe care trebuie să faceți clic. Dacă cheia este recunoscută, procesul de decriptare este activat. Rămâne doar să așteptăm finalizarea lui.

Probleme la configurarea componentelor ransomware

În ceea ce privește configurarea, nu te poți lipsi de o durere de cap. În primul rând, sistemul oferă să rezerve cel puțin 1,5 GB pentru nevoile dvs. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, să reduceți dimensiunea volumului etc. Pentru a evita astfel de lucruri, este mai bine să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor pur și simplu nu au nevoie de ea. Chiar și toți cei care au acest serviciu activat în setările lor implicite, de asemenea, nu știu întotdeauna ce să facă cu el sau dacă este necesar. Dar în zadar. Îl puteți folosi pentru a proteja datele de pe computerul local chiar dacă nu aveți software antivirus.

BitLocker: cum se dezactivează. Primul stagiu

Din nou, utilizați elementul specificat anterior în „Panou de control”. În funcție de modificarea sistemului, numele câmpurilor de dezactivare a serviciului se pot schimba. Unitatea selectată poate avea o linie pentru suspendarea protecției sau o indicație directă pentru a dezactiva BitLocker.

Nu asta e ideea. Aici merită să acordați atenție faptului că va trebui să dezactivați complet actualizarea BIOS-ului și a fișierelor de boot ale sistemului informatic. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniul contextual

Aceasta este doar o față a monedei BitLocker. Ce este BitLocker este probabil deja clar. Dar reversul este de a izola meniurile suplimentare de prezența legăturilor către acest serviciu în ele.

Pentru a face acest lucru, să ne uităm din nou la BitLocker. Cum să eliminați toate linkurile către un serviciu din meniul contextual? Elementar! În Explorer, când selectați fișierul sau folderul dorit, utilizați secțiunea de servicii și editați meniul contextual corespunzător, accesați setările, apoi utilizați setările comenzii și organizați-le.

După aceea, în editorul de registry, intrați în ramura HKCR, unde găsim secțiunea ROOTDirectoryShell, extindeți-o și ștergeți elementul dorit apăsând tasta Del sau comanda ștergere din meniul de clic dreapta. De fapt, acesta este ultimul lucru despre componenta BitLocker. Cum să-l dezactivați, cred, este deja clar. Dar nu te amăgi. Cu toate acestea, acest serviciu va funcționa în fundal (doar pentru orice eventualitate), indiferent dacă doriți sau nu.

În loc de o postfață

Rămâne de adăugat că acest lucru nu este tot ce se poate spune despre componenta sistemului de criptare BitLocker. Ce este BitLocker, ne-am dat seama cum să-l dezactivăm și să ștergem și comenzile din meniu. Întrebarea este: ar trebui să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea locală corporativă, nu ar trebui să dezactivați deloc această componentă. Dar dacă este un terminal de computer de acasă, de ce nu?

fb.ru

Criptarea Bitlocker a unităților flash și a discurilor în Windows 10

Mulți dintre noi dețin adesea informații importante și valoroase pe dispozitive externe. Acestea ar putea fi unități ssd sau alte unități externe pentru stocarea datelor. Cel mai popular este probabil o unitate flash obișnuită, pe care o persoană transferă cel mai adesea informațiile necesare. Dar ce să faci dacă ai pierdut unitatea flash? Sau o unitate SSD externă portabilă? Răspuns: criptați dispozitivele externe și puneți o parolă pe unitatea flash, astfel încât, dacă o găsiți, nimeni să nu vă poată folosi informațiile. Există o mulțime de software de la terți pentru protejarea unităților flash, dar de ce este necesar dacă programul care este instalat poate fi șters în timp din cauza neglijenței. În acest articol, vom analiza cum să vă protejați dispozitivele folosind instrumentul încorporat Windows 10.

Notă: vom folosi BitLocker, care este prezent în versiunile Pro sau Enterpris ale Windows 10.

Te sfatuiesc sa te uiti si la:

Cum să protejați cu parolă folderul și fișierele folosind funcția EFS

Pune o parolă într-un folder fără programe

Ce este BitLocker?

BitLocker este o caracteristică de criptare pentru mediile amovibile, inclusiv unități flash USB, carduri SD și hard disk-uri externe. BitLocker acceptă sisteme de fișiere NTFS, FAT32, exFAT. Formatate cu oricare dintre aceste sisteme de fișiere pot fi protejate folosind BitLocker. Spre deosebire de criptarea EFS, care este concepută pentru a cripta foldere și fișiere, BitLocker nu poate funcționa cu fișiere; este destinat pentru medii amovibile.

Cum să puneți o parolă pe o unitate flash și pe discuri în Windows 10

Conectați o unitate flash USB sau un hard disk extern la Windows 10.
Faceți clic dreapta pe unitatea pe care doriți să o protejați și faceți clic pe Activare BitLocker.

Bifați caseta de selectare Utilizați parola pentru a debloca discul.
Creați-vă propria parolă pentru a vă proteja datele.

Selectați arhivarea tastei Salvare fișier.
Salvați fișierul într-o locație convenabilă pentru dvs., veți avea nevoie de el pentru a debloca unitatea flash dacă ați uitat parola.

Recomand criptarea întregului disc.

Selectați modul de criptare Modul de compatibilitate.

Așteptați finalizarea procesului.

Acces la date protejate prin parolă

Introduceți dispozitivul criptat în portul USB al computerului și deschideți-l.

Introduceți parola pe care ați creat-o la începutul criptării.
Dacă ați uitat parola unității flash, faceți clic pe Opțiuni avansate și introduceți codul de recuperare pe care l-ați salvat pe computer.

Dezactivați BitLocker și eliminați parola de pe unitatea flash

Pentru a elimina parola atribuită și a face unitatea flash normală din nou, trebuie să dezactivați Bitlocker. Pentru a face acest lucru, introduceți dispozitivul USB în computer și introduceți parola de deblocare.

Odată deblocat, faceți clic dreapta pe unitatea flash și selectați Gestionați BitLocker.

Găsiți dispozitivul de pe care doriți să eliminați parola și faceți clic pe Dezactivați BitLocker în partea de jos.

Vezi si:

Comentarii realizate de HyperComments Raportează o eroare

mywebpc.ru

Cum să criptați un disc sau o unitate flash cu date secrete folosind Bitlocker

Salutare tuturor! Protejarea datelor personale împotriva accesului neautorizat este un punct important pentru utilizatorii de computere. Acest lucru este valabil mai ales pentru computerele de birou în care sunt stocate informații comerciale sau orice alte informații care ar trebui să fie ascunse pentru vizionarea neautorizată. Astăzi voi aborda subiectul „Criptarea unității Bitlocker în Windows 10”. Acest material va ajuta la securizarea datelor nu numai pe hard disk, ci și pe suporturi amovibile, folosind instrumente standard „zeci”.

Utilitarul BitLocker a apărut pentru prima dată în Windows 7 (versiunea extinsă), apoi a fost implementat în versiunile ulterioare ale sistemului de operare. Disponibil numai în edițiile profesionale și corporative. Configurarea simplificată a criptării dispozitivului este oferită utilizatorilor casnici.

Esența criptării

Ce este? Procesul implică utilizarea unui algoritm special pentru a converti datele într-un format special care poate fi citit doar de proprietar. Chiar dacă cineva încearcă să deschidă fișiere protejate, vor fi afișate o grămadă de litere și numere fără sens.

Activarea BitLocker

Vă interesează cum să activați codificarea? Urmează instrucțiuni detaliate.

În Panoul de control, accesați secțiunea „Sistem și securitate” și selectați fila „Criptare disc”.
A doua cale. Faceți clic dreapta pe unitatea, fișierul sau folderul dorit. Selectați elementul din meniul contextual „Activat”. BitLocker.” Dacă această opțiune nu este în listă, atunci utilizați o versiune neacceptată a sistemului de operare. Facem același lucru pentru criptarea unei unități flash.
Se va deschide o fereastră care vă permite să selectați una dintre cele două opțiuni: „Hard Drives” și „BitLocker To Go”.

Prima metodă este potrivită pentru criptarea HDD totală. În acest caz, atunci când încărcați computerul, va trebui să specificați parola pe care ați setat-o. Abia după aceasta decodorul își va face treaba și sistemul va porni.

A doua metodă este potrivită pentru unitățile externe. Când o astfel de unitate flash este conectată la un computer, puteți deschide conținutul discului după ce ați introdus parola.

În cazurile în care modulul TPM nu este instalat pe computer (acesta este un cip pe chipset care este capabil să stocheze chei de criptare. Mărește nivelul de securitate. Chiar dacă discul este furat, datele vor rămâne închise), atunci va primi următoarea fereastră de eroare. Vă va cere să permiteți BitLocker fără un TPM activat:

Pentru a dezactiva TRM, și cred că puțini oameni îl au, vom folosi utilitarul gpedit.msc (conectați-vă prin consola Win + R) pentru a schimba politicile de grup. Să trecem prin arborele folderelor:

„Configurație PC” - „Șabloane de administrare” - „Componente Windows” - „BitLocker” - „Discuri OS”.

În partea dreaptă a ferestrei, găsiți elementul „Solicită autentificare...” și schimbați starea la „Activat”. De asemenea, permitem utilizarea criptării fără TPM bifând caseta corespunzătoare:

Ai întrebări? Sau totul este extrem de simplu? Dacă apar dificultăți (la urma urmei, chiar și cele mai universale instrucțiuni pot să nu funcționeze în cazuri specifice), atunci adresați întrebări prin formularul de comentarii de după articol.

Metode de deblocare

După ce ați finalizat cu succes toți pașii din instrucțiunile anterioare, va trebui să selectați o metodă prin care puteți debloca discul. Cea mai comună opțiune este setarea unei parole. Dar puteți crea un suport extern special pe care vor fi stocate cheile de decodare. Dacă pe placa de bază există un cip TPM, alegerea opțiunilor se va extinde semnificativ. De exemplu, ar fi realist să specificați decriptarea automată în timpul pornirii computerului sau să setați un PIN pentru decriptare și un cod suplimentar pe discuri.

Alegeți metoda care vă place cel mai mult dintre toate disponibile.

Cheie de rezervă

Ce credeți că se va întâmpla dacă uitați parola sau pierdeți media cu cheia principală? Sau instalați HDD-ul pe alt PC (cu un TPM diferit)? Cum să restabiliți accesul într-o astfel de situație? Windows 10 oferă posibilitatea de a salva cheia de rezervă (pe un disc, unitate flash) sau de a o tipări. Este important să vă asigurați că copia este stocată în siguranță, astfel încât nimeni să nu poată ajunge la ea. În caz contrar, toate eforturile de asigurare a protecției vor fi reduse la zero.

Atenţie! Dacă pierzi toate cheile, îți vei pierde datele pentru totdeauna! Mai exact, nu le vei putea descifra! Este pur și simplu imposibil să dezactivați o astfel de protecție.

Utilitarul BitLocker funcționează offline și criptează fișierele și folderele nou adăugate (create) pe unități. În acest caz, există două căi posibile pe care le puteți lua.

Criptați întregul disc, inclusiv spațiul liber (neutilizat). Metodă fiabilă, dar lentă. Potrivit pentru cazurile în care trebuie să ascundeți toate informațiile (chiar și despre fișierele care au fost șterse cu mult timp în urmă și pot fi restaurate).
Protejați numai spațiul folosit (partiții ocupate). Aceasta este o metodă mai rapidă pe care vă recomand să o alegeți în majoritatea situațiilor.

După acest pas, va începe analiza sistemului. Computerul va reporni și va începe procesul de criptare. Puteți trece cu mouse-ul peste pictograma din zona de notificare pentru a vă monitoriza progresul. Trebuie remarcat faptul că există o ușoară scădere a performanței din cauza consumului de RAM.

Pornirea ulterioară a computerului va fi însoțită de apariția unei ferestre de introducere a codului PIN sau de o solicitare de a introduce o unitate USB cu chei. Totul depinde de metoda pe care o alegeți.

Dacă trebuie să recurgeți la utilizarea unei taste de rezervă, ar trebui să apăsați Esc de pe tastatură și să urmați cerințele expertului de recuperare.

Folosind BitLocker To Go

Configurarea inițială a utilitarului pentru criptarea unităților externe este aceeași cu instrucțiunile de mai sus. Dar nu va trebui să reporniți computerul.

Punct important! Unitatea nu trebuie scoasă până la finalizarea procesului, altfel rezultatele pot fi neașteptate.

De îndată ce conectați unitatea flash „protejată” la laptop, va apărea o fereastră de introducere a parolei:

Schimbați setările BitLocker

Ar fi contraintuitiv dacă utilizatorii nu ar putea schimba parolele și alte setări. Vrei să știi cum să elimini protecția? Acest lucru se face simplu. Faceți clic dreapta pe unitatea dorită și selectați „Gestionați BitLocker”.

În dreapta va fi o listă de posibilități. Ultimul element „Dezactivați...” este responsabil pentru dezactivarea criptării.

Experiență personală de utilizare

Am mereu cu mine o unitate flash criptată cu Bitlocker, deoarece stochez parolele, fotografiile și datele de lucru pe ea. Într-una dintre călătoriile mele de afaceri, mi-am pierdut unitatea flash, dar nu m-am supărat deloc, pentru că am înțeles că toate datele sunt criptate și persoana care le-a găsit nu le va putea folosi. Pentru cei care sunt preocupați de siguranță, aceasta este soluția cea mai optimă.

Așa că ne-am dat seama de acest subiect dificil, dar important. În cele din urmă, aș dori să observ că utilizarea unei astfel de protecție crește sarcina procesorului și consumă resurse RAM. Dar acestea sunt sacrificii minore în comparație cu pierderea informațiilor neprotejate din cauza furtului și accesului neautorizat. Sunteți de acord?

Cu stimă, Victor

it-tehnik.ru

BitLocker. Intrebari si raspunsuri

Se aplică la: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Această secțiune, destinată profesioniștilor IT, răspunde la întrebările frecvente cu privire la cerințele de utilizare, actualizare, implementare și administrare și politicile de gestionare a cheilor pentru BitLocker.

BitLocker lucrează cu unități ale sistemului de operare

BitLocker poate fi folosit pentru a elimina riscul accesului neautorizat la date pe computerele pierdute sau furate prin criptarea tuturor fișierelor utilizator și de sistem de pe unitatea sistemului de operare, inclusiv fișiere de pagină și fișiere de hibernare și prin verificarea integrității componentelor încărcate anterior și a datelor de configurare a pornirii. .

BitLocker funcționează cu unități amovibile și fixe

BitLocker poate fi folosit pentru a cripta întregul conținut al unei unități de date. Folosind politica de grup, puteți solicita ca BitLocker să fie activat pe o unitate înainte ca datele să poată fi scrise pe unitate. BitLocker poate configura diferite metode de deblocare pentru unitățile de date, iar unitatea de date acceptă mai multe metode de deblocare.

Da, BitLocker acceptă autentificarea cu mai mulți factori pentru unitățile sistemului de operare. Dacă activați BitLocker pe un computer care are instalat TPM 1.2 sau 2.0, puteți utiliza forme suplimentare de autentificare care se bazează pe modulul respectiv.

Pentru a utiliza toate funcțiile BitLocker, computerul dvs. trebuie să îndeplinească cerințele hardware și software enumerate în secțiunea Configurații de unitate acceptate de BitLocker din prezentarea tehnică de criptare a unității BitLocker.

Pentru ca BitLocker să funcționeze, este necesar să existe două partiții, deoarece autentificarea înainte de pornire și verificarea integrității sistemului trebuie efectuate pe o partiție separată care nu este aceeași cu unitatea criptată a sistemului de operare. Această configurație ajută la protejarea sistemului de operare și a datelor de pe unitatea criptată.

BitLocker acceptă versiunile TPM enumerate în secțiunea Cerințe din prezentarea tehnică BitLocker Drive Encryption.

Pentru informații despre cum să faceți acest lucru, consultați Găsirea informațiilor despre driverul TPM.

Da, puteți activa BitLocker pe o unitate de sistem de operare care nu are un TPM 1.2 sau 2.0 dacă firmware-ul BIOS sau UEFI acceptă citirea de pe unitatea flash USB în timpul pornirii. Acest lucru este posibil deoarece BitLocker nu deblochează unitatea protejată până când nu obține cheia principală de volum BitLocker de la TPM de pe computer sau de la o unitate flash USB care conține cheia de pornire BitLocker pentru computerul respectiv. Cu toate acestea, computerele fără TPM nu vor putea efectua verificarea integrității sistemului pe care o acceptă BitLocker.

Pentru a verifica dacă dispozitivul USB poate fi citit în timpul procesului de pornire, utilizați testul de sistem BitLocker în timpul instalării BitLocker. Această scanare execută teste pentru a se asigura că dispozitivele USB pot fi citite la momentul corect și că computerul îndeplinește alte cerințe BitLocker.

Pentru informații despre cum să activați BitLocker pe un computer fără un TPM, consultați BitLocker: Cum să activați BitLocker.

Pentru mai multe informații despre sistemele de operare Windows și versiunile TPM necesare, consultați secțiunea Cerințe din prezentarea tehnică BitLocker Drive Encryption.

Solicitați producătorului computerului dumneavoastră firmware-ul BIOS sau UEFI care îndeplinește standardele TCG și respectă următoarele cerințe.

Acesta a fost certificat de siglă, acolo unde este cazul, și este compatibil cu versiunile enumerate în lista de aplicații de la începutul acestei secțiuni.

Respectarea standardelor TCG pentru computerul client.

Un mecanism de actualizare securizat care împiedică instalarea firmware-ului BIOS rău intenționat sau a software-ului de pornire pe computer.

Activarea, dezactivarea și modificarea configurației BitLocker pe unitățile sistemului de operare și unitățile de date fixe necesită apartenența la grupul Administratori local. Utilizatorii obișnuiți pot activa, dezactiva și reconfigura BitLocker pe unitățile de date amovibile.

Pentru mai multe informații, consultați Cerințe în prezentarea tehnică BitLocker Drive Encryption.

Trebuie să configurați setările de pornire ale computerului, astfel încât hard disk-ul să fie primul în ordinea de pornire, înaintea tuturor celorlalte unități, cum ar fi CD-urile/DVD-urile sau unitățile USB. Dacă hard disk-ul nu este primul și în mod normal porniți de pe hard disk, este posibil să puteți detecta sau să vă asumați o schimbare în ordinea de pornire atunci când este detectat un mediu amovibil în timpul pornirii. Ordinea de pornire afectează de obicei măsurarea sistemului pe care o verifică BitLocker, iar modificarea ordinii de pornire vă va cere să solicitați o cheie de recuperare BitLocker. Din același motiv, dacă aveți un laptop andocat, asigurați-vă că hard disk-ul este primul în ordinea de pornire, atât atunci când este andocat, cât și dezaocat.

Pentru mai multe informații, consultați Arhitectura BitLocker în prezentarea generală tehnică BitLocker Drive Encryption.

Da. Pentru a face upgrade de la Windows 7 la Windows 8 sau Windows 8.1 fără a decripta unitatea sistemului de operare, deschideți BitLocker Drive Encryption în Panoul de control din Windows 7, faceți clic pe Manage BitLocker, apoi faceți clic pe Suspend. Întreruperea protecției nu decriptează unitatea, ci mai degrabă dezactivează mecanismele de autentificare utilizate de BitLocker și utilizează o cheie neprotejată pentru a accesa unitatea. Continuați procesul de actualizare folosind DVD-ul Windows 8 sau Windows 8.1 Upgrade. După finalizarea actualizării, deschideți File Explorer, faceți clic dreapta pe unitate și selectați Reluați protecția. Metodele de autentificare BitLocker sunt reactivate și cheia neprotejată este eliminată.

Comanda Decriptare elimină complet protecția BitLocker și decriptează complet unitatea.

Suspendarea lasă datele criptate, dar criptează cheia principală de volum BitLocker cu o cheie neprotejată. O cheie neprotejată este o cheie criptografică care este stocată pe disc fără criptare sau protecție. Stocarea acestei chei fără criptare permite comenzii Suspend să facă modificări și upgrade la computer fără a cheltui timpul și resursele pentru a decripta și recripta întreaga unitate. După ce modificările sunt făcute și reactivate, BitLocker sigilează cheia de criptare cu noile valori ale componentelor care s-au schimbat în timpul upgrade-ului, cheia principală de volum este schimbată, protectorii sunt actualizați și cheia nesecurizată este ștearsă.

Următorul tabel listează pașii pe care trebuie să îi urmați înainte de a efectua o actualizare sau de a instala actualizări.

Tip de actualizare

Acțiune

Windows Anytime Upgrade	Decodare
Faceți upgrade de la Windows 7 la Windows 8	Suspans
Actualizarea software-ului non-Microsoft, cum ar fi: Actualizare firmware furnizată de producătorul computerului dvs.; Actualizare firmware Trusted Platform Module; actualizări ale aplicațiilor non-Microsoft care modifică componentele de boot.	Suspans
Actualizări de software și sisteme de operare de la Microsoft Update	Aceste actualizări nu necesită decriptarea discului sau dezactivarea sau întreruperea BitLocker.

Da, implementarea și configurarea BitLocker și TPM pot fi automatizate folosind instrumente TPM sau scripturi Windows PowerShell. Implementarea scripturilor depinde de mediu. De asemenea, puteți utiliza instrumentul de linie de comandă BitLocker Manage-bde.exe pentru a configura BitLocker local sau de la distanță. Pentru mai multe informații despre scrierea de scripturi care utilizează furnizorii WMI BitLocker, consultați articolul MSDN BitLocker Drive Encryption Provider. Pentru mai multe informații despre utilizarea cmdlet-urilor Windows PowerShell cu BitLocker Drive Encryption, consultați Cmdlet-uri BitLocker în Windows PowerShell.

Da. În Windows Vista, BitLocker a criptat doar unitățile de sistem de operare. Windows Vista SP1 și Windows Server 2008 au adăugat suport pentru criptarea unităților de date fixe. Noile funcții din Windows Server 2008 R2 și Windows 7 permit BitLocker să cripteze și unitățile de date amovibile.

De obicei, pierderea de performanță nu depășește zece procente.

Deși criptarea BitLocker are loc în fundal în timp ce continuați să lucrați și sistemul rămâne disponibil, timpul de criptare depinde de tipul, dimensiunea și viteza de unitate. Este înțelept să programați criptarea discurilor foarte mari într-un moment în care acestea nu sunt utilizate.

Noile funcții din Windows 8 și Windows Server 2012 vă permit să alegeți dacă BitLocker criptează întreaga unitate sau doar spațiul utilizat atunci când activați BitLocker. Pe un hard disk nou, criptarea spațiului folosit este considerabil mai rapidă decât criptarea întregii unități. Odată ce selectați o opțiune de criptare, BitLocker criptează automat datele atunci când sunt stocate și se asigură că nu sunt stocate date fără criptare.

Dacă computerul se oprește sau intră în modul de hibernare, procesul de criptare și decriptare BitLocker se reia de unde s-a oprit data viitoare când porniți Windows. Același lucru se întâmplă și în cazul unei pene de curent.

Nu, BitLocker nu criptează și decriptează întreaga unitate atunci când citește și scrie date. Sectoarele criptate pe o unitate care este protejată de BitLocker sunt decriptate numai atunci când sunt solicitate de operațiunile de citire a sistemului. Blocurile care sunt scrise pe disc sunt criptate înainte ca sistemul să le scrie pe discul fizic. Pe o unitate protejată cu BitLocker, datele nu sunt niciodată lăsate necriptate.

Controalele introduse în Windows 8 vă permit să activați setările politicii de grup care vor necesita activarea protecției BitLocker pe unitățile de date înainte ca un computer protejat cu BitLocker să poată scrie date pe acele unități. Pentru mai multe informații, consultați Preveniți scrierea pe unități amovibile care nu sunt protejate cu BitLocker sau Preveniți scrierea pe unități fixe care nu sunt protejate cu BitLocker în articolul Setări politici de grup BitLocker.

Când aceste setări de politică sunt activate, un sistem de operare protejat de BitLocker va monta unități de date care nu sunt protejate de BitLocker în modul numai citire.

Pentru mai multe informații, inclusiv despre cum să gestionați utilizatorii care pot salva din greșeală date pe unități necriptate atunci când utilizați un computer fără BitLocker activat, consultați BitLocker: Cum să împiedicați utilizatorii online să salveze date pe o unitate necriptată.

Următoarele tipuri de modificări ale sistemului pot duce la eșecul verificării integrității. În acest caz, TPM nu furnizează cheia BitLocker pentru a decripta unitatea protejată a sistemului de operare.

Mutați o unitate protejată cu BitLocker pe un computer nou.

Instalarea unei noi plăci de bază cu un nou TPM.

Dezactivați, dezactivați sau ștergeți TPM.

Modificați setările de configurare de pornire.

Modificarea BIOS-ului, firmware-ului UEFI, master boot record (MBR), sectorul de boot, boot manager, opțiunea ROM a altor componente de pre-pornire sau date de configurare de boot.

Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Deoarece BitLocker este conceput pentru a vă proteja computerul de numeroase atacuri, există multe motive pentru care BitLocker ar putea porni în modul de recuperare. Pentru informații despre aceste motive, consultați scenarii de recuperare în prezentarea tehnică BitLocker Drive Encryption.

Da, puteți schimba hard disk-urile de pe același computer cu criptarea BitLocker activată, atâta timp cât au protecție BitLocker activată pe același computer. Cheile BitLocker sunt unice pentru TPM și unitatea sistemului de operare. Prin urmare, pentru a pregăti un disc de sistem de operare de rezervă sau un disc de date în caz de defecțiune a discului, trebuie să vă asigurați că folosesc același TPM. De asemenea, puteți configura diferite hard disk-uri pentru diferite sisteme de operare și apoi activați BitLocker pe fiecare unitate cu diferite metode de autentificare (de exemplu, o unitate are doar TPM și alta are TPM cu PIN), iar asta nu va duce la conflicte.

Da, vă puteți debloca unitatea de date utilizând BitLocker Drive Encryption în Panoul de control ca de obicei (folosind o parolă sau un smart card). Dacă discul de date este configurat doar pentru a se debloca automat, trebuie să utilizați o cheie de recuperare. Dacă conectați unitatea sistemului de operare la un alt computer care rulează versiunea sistemului de operare listată în lista de utilizare de la începutul acestei secțiuni, puteți debloca hard disk-ul criptat utilizând agentul de recuperare a datelor (dacă este configurat) sau folosind o recuperare. cheie.

Este posibil ca unele unități să nu accepte criptarea BitLocker. De exemplu, dimensiunea discului poate fi prea mică, sistemul de fișiere poate fi incompatibil, discul poate fi dinamic sau desemnat ca o partiție de sistem. În mod implicit, unitatea de sistem (sau partiția de sistem) nu este afișată în fereastra Computer. Cu toate acestea, dacă discul nu a fost creat ca ascuns în timpul instalării personalizate a sistemului de operare, atunci acesta poate fi afișat, dar nu poate fi criptat.

Protecția BitLocker este acceptată pentru orice număr de unități fixe interne. Unele versiuni acceptă dispozitive de stocare ATA și SATA atașate direct. Pentru detalii despre unitățile acceptate, consultați Configurațiile unităților acceptate de BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

BitLocker poate crea și utiliza chei diferite. Unele sunt obligatorii, iar altele sunt sigurante optionale care pot fi folosite in functie de nivelul de siguranta cerut.

Pentru mai multe informații, consultați Înțelegerea BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Puteți să salvați parola de recuperare sau cheia de recuperare pentru discul sistemului de operare sau discul de date neamovibil într-un folder, pe unul sau mai multe dispozitive USB, să o salvați în contul Microsoft sau să o imprimați.

Parola de recuperare și cheia de recuperare pentru unitățile de date amovibile pot fi salvate într-un folder, salvate în contul Microsoft sau tipărite. În mod implicit, cheia de recuperare pentru o unitate amovibilă nu poate fi stocată pe unitatea amovibilă.

Un administrator de domeniu poate configura o politică de grup opțională pentru a genera automat parole de recuperare și a le stoca în Serviciile de domeniu pentru toate unitățile protejate de BitLocker.

Pentru mai multe informații, consultați BitLocker: Cum să stocați parolele și cheile de recuperare.

Puteți utiliza instrumentul de linie de comandă Manage-bde.exe pentru a schimba modul de autentificare numai TPM în modul de autentificare cu mai mulți factori. De exemplu, dacă BitLocker are activată numai autentificarea TPM, pentru a adăuga autentificarea PIN, introduceți următoarele comenzi dintr-un prompt de comandă ridicat, înlocuind PIN-ul numeric dorit:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –adăugați %systemdrive% -tpmandpin

Pentru mai multe informații, consultați Moduri de autentificare a secvenței de pornire în Prezentare generală tehnică a criptării unității BitLocker.

Stocarea ambelor chei pe aceeași unitate flash USB este posibilă din punct de vedere tehnic, dar nu este recomandată. Dacă unitatea flash USB care conține cheia de pornire este pierdută sau furată, veți pierde și accesul la cheia de recuperare. În plus, inserarea unei astfel de chei face ca computerul să pornească automat cu cheia de recuperare, chiar dacă fișierele măsurate de TPM s-au schimbat și verificarea integrității sistemului nu este efectuată.

Da, cheia de pornire a computerului poate fi stocată pe mai multe unități flash USB. Faceți clic dreapta pe unitatea protejată de BitLocker și selectați Gestionați BitLocker pentru a deschide opțiuni pentru copierea cheilor de recuperare.

Da, puteți stoca cheile de pornire BitLocker pentru diferite computere pe o singură unitate flash USB.

Puteți folosi scripturi pentru a crea chei de pornire diferite pentru același computer, dar pentru computerele cu un TPM, crearea de chei de pornire diferite împiedică BitLocker să folosească verificarea integrității sistemului TPM.

Nu este posibil să creați mai multe combinații de coduri PIN.

Datele brute sunt criptate cu cheia de criptare a volumului complet, care este apoi criptată cu cheia principală a volumului. Cheia principală de volum, la rândul său, este criptată utilizând una dintre mai multe metode posibile, în funcție de tipul de autentificare (protector de cheie sau TPM) și de scenariile de recuperare.

Pentru mai multe informații despre cheile de criptare, cum sunt utilizate și unde sunt stocate, consultați Ce este BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Această procedură de stocare asigură că cheia master de volum nu este niciodată stocată fără criptare și este întotdeauna protejată, cu excepția cazului în care criptarea BitLocker este dezactivată. Cheile sunt, de asemenea, stocate în două locații suplimentare de disc pentru redundanță. Cheile pot fi citite și procesate de managerul de boot.

Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Tastele F1–F10 au coduri de interogare universale disponibile în mediul de prepornire pe toate computerele pentru toate limbile. Este posibil ca tastele numerotate de la 0 la 9 să nu poată fi utilizate în mediul de prepornire pe toate tastaturile.

Dacă se utilizează un PIN securizat, utilizatorii sunt sfătuiți să efectueze o verificare suplimentară a sistemului în timpul instalării BitLocker pentru a se asigura că poate fi introdus codul PIN corect în mediul de prepornire. Pentru mai multe informații despre codurile PIN îmbunătățite, consultați Înțelegerea BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Un atacator poate afla codul PIN prin forță brută. Hackerea cu forță brută este efectuată de un atacator folosind un instrument automat care testează diferite combinații de coduri PIN până când este găsit codul corect. Pentru computerele protejate cu BitLocker, acest tip de hack, cunoscut și ca atac de dicționar, necesită ca atacatorul să aibă acces fizic la computer.

TPM are capabilități încorporate pentru a detecta și a contracara astfel de atacuri. Deoarece TPM-urile de la diferiți producători au măsuri anti-modificare diferite, contactați producătorul modulului pentru a determina modul în care TPM-ul de pe computer previne atacurile cu forța brută PIN.

Odată ce ați identificat producătorul TPM, contactați-l pentru a obține informații despre dezvoltarea modulului. Majoritatea producătorilor măresc exponențial timpul de blocare al interfeței PIN pe măsură ce crește numărul de erori PIN. Cu toate acestea, fiecare producător are propriile reguli cu privire la scăderea sau resetarea contorului de erori.

Pentru mai multe informații, consultați Găsirea informațiilor despre driverul TPM.

Pentru a determina producătorul TPM, consultați Găsirea informațiilor despre driverul TPM.

Adresați-vă producătorului TPM următoarele întrebări despre mecanismul său de atenuare a atacurilor din dicționar.

Câte încercări de acces nereușite sunt permise înainte de blocare?

Ce algoritm este utilizat pentru a determina durata blocării, ținând cont de numărul de încercări de acces nereușite și de alți parametri semnificativi?

Ce acțiuni pot reduce sau reseta numărul de erori sau durata blocării?

Da și nu. Puteți seta o lungime minimă a PIN-ului în setarea Politică de grup Configurați lungimea PIN minimă pentru pornire și permiteți utilizarea codurilor PIN alfanumerice activând setarea Politică de grup Permiteți PIN-uri protejate pentru pornire. Cu toate acestea, nu puteți seta cerințe de complexitate a codului PIN în Politica de grup.

BitLocker To Go este criptarea unităților BitLocker pentru unitățile de date amovibile. Unitățile flash USB, cardurile SD, hard disk-urile externe și alte unități cu sistemul de fișiere NTFS, FAT16, FAT32 sau exFAT sunt criptate.

Pentru mai multe informații, inclusiv cum să autentificați sau să deblocați o unitate de date amovibilă și cum să verificați că cititorul BitLocker To Go nu este instalat pe unități formatate FAT, consultați Prezentare generală BitLocker To Go.

Dacă activați criptarea BitLocker pe o unitate înainte de a aplica Politica de grup pentru a forța o copie de rezervă, datele de recuperare nu vor fi copiate automat în Serviciile de domeniu Active Directory atunci când computerul se alătură domeniului sau se aplică Politica de grup. Cu toate acestea, în Windows 8, puteți utiliza setările Politicii de grup Selectați metodele de recuperare a unităților sistemului de operare protejate de BitLocker, Selectați metodele de recuperare a unităților fixe protejate de BitLocker și Selectați metodele de recuperare a unităților amovibile protejate de BitLocker pentru a forța computerul să se alăture un domeniu înainte de a activa BitLocker. Acest lucru va asigura că datele de recuperare pentru unitățile protejate cu BitLocker ale organizației sunt copiate de rezervă în Active Directory Domain Services.

Interfața Windows Management Instrumentation (WMI) pentru BitLocker permite administratorilor să scrie un script pentru a face copii de rezervă sau pentru a sincroniza datele existente pentru a recupera un client online, dar BitLocker nu gestionează automat acest proces. Instrumentul de linie de comandă Manage-bde vă permite, de asemenea, să faceți o copie de rezervă manuală a datelor pentru recuperare în Active Directory Domain Services. De exemplu, pentru a face o copie de rezervă a tuturor datelor de recuperare de pe unitatea C: din Active Directory Domain Services, executați următoarea comandă la un prompt de comandă ridicat: manage-bde -protectors -adbackup C:.

Da, este scrisă o intrare în jurnalul de evenimente de pe computerul client, indicând dacă backup-ul Active Directory a reușit sau nu a reușit. Cu toate acestea, chiar dacă jurnalul de evenimente indică succes, datele de recuperare pot fi șterse din Active Directory Domain Services. În plus, configurația BitLocker se poate modifica, astfel încât informațiile din Active Directory nu sunt suficiente pentru a debloca unitatea (de exemplu, dacă protectorul cheii de recuperare a parolei este eliminat). De asemenea, este posibil să falsificați o intrare de jurnal.

Pentru a vă asigura că AD DS are o copie de rezervă validă, trebuie să interogați AD DS cu acreditările de administrator de domeniu utilizând BitLocker Password Viewer.

Nu. Parolele de recuperare BitLocker nu sunt eliminate din Active Directory Domain Services și, prin urmare, pot apărea mai multe parole pentru fiecare unitate. Pentru a determina cea mai recentă parolă, verificați data obiectului.

Dacă backupul inițial eșuează, cum ar fi atunci când un controler de domeniu devine indisponibil în timpul Expertului de configurare BitLocker, BitLocker nu reîncearcă să facă copii de rezervă ale datelor de recuperare în Active Directory Domain Services.

Dacă administratorul bifează caseta de selectare Solicitare backup BitLocker în AD DS în setarea de politică Stocare informații de recuperare în Active Directory Domain Services (Windows 2008 și Windows Vista) sau (echivalent) selectează Nu activați BitLocker până când datele de recuperare nu sunt stocate în AD DS pentru unitățile sistemului de operare caseta de selectare sistem (unități de date amovibile, unități de date fixe) în oricare dintre setările politicii Selectați metode de recuperare pentru unitățile de sistem de operare protejate cu BitLocker, Selectați metode de recuperare pentru unitățile fixe protejate cu BitLocker, Selectați metode de recuperare pentru unitățile protejate cu BitLocker unități amovibile, atunci utilizatorii nu vor putea activa BitLocker atunci când computerul nu este conectat la un domeniu și datele de recuperare BitLocker nu sunt copiate de rezervă în Active Directory Domain Services. Dacă aceste opțiuni sunt configurate și copia de rezervă eșuează, nu puteți activa BitLocker. Acest lucru asigură că administratorii au capacitatea de a recupera toate unitățile protejate de BitLocker din organizație.

Dacă administratorul debifează aceste casete de selectare, unitatea poate fi protejată de BitLocker fără a face copii de rezervă ale datelor de recuperare în Active Directory Domain Services. Cu toate acestea, BitLocker nu reîncearcă automat backup-ul dacă eșuează. În schimb, administratorii pot crea un script de rezervă, așa cum este descris anterior în întrebarea Ce se întâmplă dacă activați BitLocker pe un computer înainte de a vă alătura unui domeniu?, pentru a colecta date după ce conexiunea este restabilită.

BitLocker folosește un algoritm de criptare AES cu o lungime configurabilă a cheii (128 sau 256 de biți). În mod implicit, criptarea este setată la AES-128, dar puteți configura setările folosind Politica de grup.

Pentru a implementa BitLocker pe o unitate de sistem de operare, vă recomandăm un computer cu versiunea 1.2 sau 2.0 TPM și firmware-ul BIOS sau UEFI compatibil cu TCG și un cod PIN. Solicitarea unui PIN specificat de utilizator pe lângă verificarea TPM împiedică un atacator care obține acces la computer să îl ruleze pur și simplu.

În configurația sa de bază, BitLocker pe unitățile sistemului de operare (cu un TPM, dar fără autentificare suplimentară) oferă protecție suplimentară pentru modul de hibernare. Utilizarea autentificării opționale BitLocker (TPM și PIN, TPM și cheie USB sau TPM, PIN și cheie USB) oferă protecție suplimentară în timpul modului de hibernare. Această metodă este mai sigură deoarece autentificarea BitLocker este necesară pentru a reveni din hibernare. Se recomandă să dezactivați modul de repaus și să utilizați o combinație TPM/PIN pentru autentificare.

Majoritatea sistemelor de operare folosesc spațiu de memorie partajat, iar sistemul de operare este responsabil pentru gestionarea memoriei fizice. Un TPM este o componentă hardware care utilizează propriul firmware și logică internă pentru a procesa instrucțiuni, oferind protecție împotriva vulnerabilităților software externe. Pentru a pirata TPM-ul, aveți nevoie de acces fizic la computer. În plus, securitatea hardware pentru hacking necesită de obicei instrumente și abilități mai scumpe, care nu sunt la fel de comune ca instrumentele de hacking software. Deoarece TPM-ul de pe fiecare computer este unic, ar fi nevoie de mult timp și efort pentru a pirata mai multe computere cu TPM-uri.

Toate versiunile BitLocker incluse în sistemul de operare au trecut certificarea Federal Information Standards și certificarea Common Criteria EAL4+. Aceste certificări au fost finalizate și pentru Windows 8 și Windows Server 2012 și sunt în curs de desfășurare pentru Windows 8.1 și Windows Server 2012 R2.

Deblocarea rețelei BitLocker facilitează gestionarea computerelor și serverelor protejate prin BitLocker TPM+PIN într-un mediu de domeniu. Când reporniți un computer conectat la o rețea corporativă cu fir, deblocarea rețelei vă permite să omiteți solicitarea PIN. Volumele sistemului de operare protejate cu BitLocker sunt deblocate automat folosind o cheie de încredere furnizată de serverul Windows Deployment Services ca metodă suplimentară de autentificare.

Pentru a utiliza blocarea rețelei, trebuie, de asemenea, să configurați un cod PIN pentru computer. Dacă computerul nu este conectat la o rețea, trebuie să introduceți un cod PIN pentru a-l debloca.

BitLocker Network Unlocking are cerințe software și hardware pentru computerele client, Serviciile de implementare Windows și controlerele de domeniu care trebuie îndeplinite înainte de a o putea utiliza. Pentru mai multe informații despre aceste cerințe, consultați Cum funcționează BitLocker Drive Encryption Prezentare generală tehnică.

Deblocarea rețelei utilizează două siguranțe: o siguranță TPM și o siguranță furnizată de rețea sau PIN, în timp ce deblocarea automată utilizează o singură siguranță stocată în TPM. Dacă un computer se conectează la o rețea fără un protector pentru chei, vi se solicită să introduceți un cod PIN. Dacă codul PIN nu este disponibil, veți avea nevoie de o cheie de recuperare pentru a debloca un computer care nu poate fi conectat la rețea. Pentru mai multe informații despre deblocarea automată și de rețea, consultați Cum funcționează BitLocker Drive Encryption Prezentare generală tehnică.

Da, sistemul de fișiere de criptare (EFS) poate fi utilizat pentru a cripta fișierele de pe o unitate protejată cu BitLocker. Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Da. În acest caz, depanatorul trebuie să fie activat înainte ca BitLocker să fie activat. Activarea din timp a depanatorului asigură că starea de etanșare în TPM este calculată corect, permițând computerului să pornească corect. Dacă trebuie să activați sau să dezactivați depanarea în timp ce utilizați BitLocker, mai întâi întrerupeți BitLocker pentru a împiedica computerul să intre în modul de recuperare.

BitLocker conține o stivă de drivere de stocare care oferă criptarea depozitelor de memorie atunci când BitLocker este activat.

BitLocker nu acceptă carduri inteligente pentru autentificarea pre-pornire. Nu există un standard industrial pentru suport pentru firmware-ul smart card și majoritatea computerelor nu au suport firmware pentru smart card sau acceptă doar anumite tipuri de smart card și cititoare. Lipsa standardizării face prea dificilă acceptarea cardurilor inteligente.

Microsoft nu acceptă drivere TPM de la terți și descurajează ferm utilizarea acestora cu BitLocker. Utilizarea unui driver TPM non-Microsoft cu BitLocker poate determina BitLocker să raporteze că TPM nu este prezent pe computer și nu veți putea utiliza modulul cu BitLocker.

Nu vă recomandăm să modificați Master Boot Record (MBR) pe computerele care au unități de sistem de operare protejate cu BitLocker din motive de securitate, fiabilitate și compatibilitate cu produsul. Schimbarea Master Boot Record (MBR) poate schimba mediul de securitate și poate împiedica pornirea normală a computerului și poate face mai dificilă repararea unei Master Boot Record (MBR) deteriorate. Modificările MBR făcute în afara Windows vă pot pune computerul în modul de recuperare sau pot face pornirea complet imposibilă.

O verificare a sistemului verifică dacă firmware-ul computerului (BIOS sau UEFI) este compatibil cu BitLocker și că TPM funcționează corect. Verificarea sistemului poate eșua din următoarele motive.

Firmware-ul computerului (BIOS sau UEFI) nu acceptă citirea dispozitivelor de memorie flash USB.

Firmware-ul computerului (BIOS sau UEFI) sau meniul de pornire nu permit citirea de pe dispozitivele de memorie flash USB.

Există mai multe unități flash USB introduse în computer.

Codul PIN a fost introdus incorect.

Firmware-ul computerului (BIOS sau UEFI) acceptă numai tastele funcționale (F1–F10) pentru introducerea numerelor în mediul de prepornire.

Cheia de pornire a fost eliminată în timp ce computerul nu finalizase încă repornirea.

Din cauza unui TPM defect, cheile nu au putut fi furnizate.

Unele computere nu acceptă citirea unităților flash USB în mediul de prepornire. Mai întâi, verificați firmware-ul BIOS sau UEFI și opțiunile de pornire pentru a vă asigura că stocarea USB este activată. Activați utilizarea stocării USB în BIOS sau UEFI dacă nu este activat și citiți din nou cheia de recuperare de pe unitatea flash USB. Dacă tot nu puteți citi cheia, va trebui să conectați hard disk-ul ca unitate de date la un alt computer care rulează sistemul de operare pentru a citi cheia de recuperare de pe unitatea flash USB. Dacă unitatea flash USB este deteriorată, poate fi necesar să introduceți o parolă de recuperare sau să utilizați datele de recuperare pentru care se face o copie de rezervă în Active Directory Domain Services. De asemenea, dacă cheia de recuperare este utilizată într-un mediu de pre-pornire, asigurați-vă că unitatea este un sistem de fișiere NTFS, FAT16 sau FAT32.

Pentru a debloca automat unitățile de date fixe, unitatea sistemului de operare trebuie, de asemenea, protejată de BitLocker. Dacă utilizați un computer în care unitatea sistemului de operare nu este protejată de BitLocker, unitatea nu poate fi deblocată automat. Pentru unitățile de date amovibile, puteți adăuga deblocare automată făcând clic dreapta pe unitate în File Explorer și selectând Manage BitLocker. Această unitate amovibilă poate fi deblocată pe alte computere prin introducerea parolei sau a acreditărilor smart card pe care le-ați specificat când ați activat BitLocker.

În modul sigur, este disponibilă funcționalitatea limitată BitLocker. Unitățile protejate cu BitLocker pot fi deblocate și decriptate folosind elementul din panoul de control BitLocker Drive Encryption. În modul Safe, nu puteți face clic dreapta pe unitate pentru a deschide opțiunile BitLocker.

Instrumentul de linie de comandă Manage-bde și comanda –lock vă permit să blocați unitățile de date amovibile și neamovibile.

Sintaxa comenzii:

management-bde -lock

Pe lângă utilizarea acestei comenzi, unitățile de date sunt blocate în timpul închiderii sau repornirii sistemului de operare. O unitate de date amovibilă care este scoasă din computer este, de asemenea, blocată automat.

Da. dar copiile umbra create înainte ca BitLocker să fie activat vor fi șterse automat când BitLocker este activat pentru unitățile criptate prin software. Dacă se folosește un disc criptat hardware, copiile umbră sunt păstrate.

BitLocker nu este acceptat pentru VHD-uri de pornire, dar este acceptat pentru volume de date VHD, cum ar fi cele utilizate în clustere, atunci când rulează pe Windows 8, Windows 8.1, Windows Server 2012 sau Windows Server 2012 R2.

Cum se verifică placa de sunet pe Windows 10

Acest articol oferă o prezentare generală la nivel înalt a BitLocker, inclusiv o listă de cerințe de sistem, caracteristici vechi și utilizare practică.

Informații generale despre BitLocker

BitLocker Drive Encryption este o caracteristică de protecție a datelor care este integrată în sistemul de operare și previne amenințările de furt de date sau dezvăluirea informațiilor pe computerele pierdute, furate sau dezafectate în mod necorespunzător.

BitLocker oferă protecție maximă atunci când este utilizat cu Trusted Platform Module (TPM) versiunea 1.2 sau ulterioară. Modulul Trusted Platform este o componentă hardware pe care producătorii o instalează pe multe computere noi. Împreună cu BitLocker, protejează datele utilizatorului și previne accesul neautorizat la computer în timp ce sistemul este offline.

Pe computerele fără TPM versiunea 1.2 sau o versiune ulterioară, puteți încă cripta unitatea sistemului de operare Windows utilizând BitLocker. Dar cu această implementare, utilizatorul trebuie să introducă o unitate USB cu o cheie de pornire pentru a porni computerul sau a-l trezi din modul de hibernare. În Windows 8 și versiuni ulterioare, puteți proteja cu parolă un volum al sistemului de operare pe un computer fără TPM. Niciuna dintre aceste opțiuni nu oferă verificarea integrității sistemului înainte de pornire, care este posibilă atunci când utilizați BitLocker cu un TPM.

Pe lângă capabilitățile TPM, BitLocker vă permite să blocați procesul normal de pornire până când utilizatorul introduce un PIN sau introduce un dispozitiv amovibil (cum ar fi o unitate USB) cu o cheie de pornire. Aceste măsuri de securitate suplimentare asigură autentificarea cu mai mulți factori și împiedică pornirea computerului sau trezirea din hibernare, cu excepția cazului în care este specificat PIN-ul corect sau este furnizată o cheie de pornire.

Uz practic

Datele de pe un computer pierdut sau furat sunt vulnerabile la accesul neautorizat din cauza unui atac software sau a transferului hard disk-ului pe un alt computer. BitLocker ajută la prevenirea accesului neautorizat la date, consolidând protecția fișierelor și a sistemului. În plus, BitLocker face datele inaccesibile atunci când computerele protejate de această componentă sunt dezafectate sau transferate altor utilizatori.

Există alte două instrumente în Instrumentele de administrare a serverului la distanță pe care le puteți utiliza pentru a gestiona BitLocker.

Vizualizator de parole de recuperare BitLocker. Vizualizatorul de parole de recuperare BitLocker vă permite să găsiți și să vizualizați parolele de recuperare pentru BitLocker Drive Encryption, care fac copii de rezervă în Active Directory Domain Services (AD DS). Folosind acest instrument, puteți recupera date de pe o unitate care a fost criptată cu BitLocker. Vizualizatorul de parolă de recuperare BitLocker este un program de completare pentru snap-in-ul Active Directory Users and Computers pentru Microsoft Management Console (MMC). Puteți utiliza acest instrument pentru a explora caseta de dialog Proprietăți obiect computer pentru a vedea parolele de recuperare BitLocker corespunzătoare. Alternativ, puteți face clic dreapta pe containerul de domeniu și apoi căutați parola de recuperare BitLocker pe toate domeniile din pădurea Active Directory. Parolele de recuperare pot fi vizualizate de un administrator de domeniu sau de un utilizator căruia administratorul respectiv i-a delegat permisiuni.

Instrumente de criptare a unității BitLocker. Instrumentele BitLocker Drive Encryption includ instrumentele de linie de comandă manage-bde și repair-bde, precum și cmdleturile Windows PowerShell pentru BitLocker. Atât cmdleturile manage-bde, cât și BitLocker vă permit să îndepliniți orice sarcină care poate fi realizată prin Panoul de control BitLocker. De asemenea, sunt potrivite pentru implementare automată și alte scenarii scriptate. Instrumentul de linie de comandă repair-bde este conceput pentru recuperarea în caz de dezastru în cazurile în care o unitate protejată de BitLocker nu poate fi deblocată în mod normal sau folosind un agent de recuperare.

Caracteristici noi și schimbate

Pentru funcții noi în BitLocker pentru Windows 10, cum ar fi suportul pentru algoritmul de criptare XTS-AES, consultați secțiunea BitLocker din Noutăți în Windows 10.

Cerințe de sistem

Cerințe hardware BitLocker

BitLocker ar putea folosi verificarea integrității sistemului oferită de Trusted Platform Module (TPM), iar computerul trebuie să aibă TPM1.2 sau o versiune ulterioară. Dacă computerul nu are instalat un TPM, trebuie să stocați cheia de pornire pe un dispozitiv amovibil, cum ar fi o unitate flash USB, pentru a activa BitLocker.

Computerul care rulează TPM trebuie să aibă, de asemenea, firmware BIOS sau UEFI care îndeplinește standardele TCG. Firmware-ul BIOS sau UEFI instalează un lanț de certificate înainte ca sistemul de operare să pornească și trebuie să accepte metoda SRTM (Static Root of Trust Measurement) descrisă în specificația TCG. Un computer fără TPM nu necesită firmware care îndeplinește standardele TCG.

BIOS-ul sistemului sau firmware-ul UEFI (pentru computere cu și fără TPM) trebuie să accepte clasa dispozitivelor de stocare în masă USB, precum și citirea fișierelor mici de pe o unitate flash USB într-un mediu pre-OS.

Hard disk-ul trebuie împărțit în cel puțin două discuri.

Un disc de sistem de operare (sau disc de pornire) care conține sistemul de operare și fișierele de suport ale acestuia. Trebuie să fie formatat folosind sistemul de fișiere NTFS.
Unitatea de sistem care conține fișierele necesare pentru a porni Windows după ce firmware-ul a pregătit hardware-ul sistemului. BitLocker nu este activat pe această unitate. Pentru ca BitLocker să funcționeze, unitatea de sistem nu trebuie să fie unitatea sistemului de operare. În plus, trebuie să fie formatat folosind sistemul de fișiere FAT32 pe computerele cu UEFI (sau folosind sistemul de fișiere NTFS pe computerele cu BIOS). Dimensiunea recomandată a discului de sistem este de aproximativ 350 MB. După activarea BitLocker, ar trebui să aveți aproximativ 250 MB de spațiu liber pe disc.

Când instalați Windows pe un computer nou, partițiile necesare pentru BitLocker sunt create automat.

Când instalați caracteristica opțională BitLocker pe serverul dvs., va trebui să instalați și caracteristica de stocare îmbunătățită, care este utilizată pentru a suporta unități criptate hardware.

In aceasta sectiune

Articol	Descriere
Înțelegerea criptării dispozitivelor BitLocker în Windows 10	Acest subiect pentru profesioniștii IT oferă o prezentare generală a modurilor în care BitLocker și criptarea dispozitivelor ajută la protejarea datelor de pe dispozitivele care rulează Windows 10.
Întrebări frecvente despre BitLocker	Acest articol, destinat profesioniștilor IT, răspunde la întrebările frecvente despre utilizarea BitLocker, actualizarea, implementarea și cerințele de administrare și politicile de gestionare a cheilor.
Pregătirea organizației pentru a utiliza BitLocker: planificare și politici	Acest articol este destinat profesioniștilor IT pentru a vă ajuta să vă planificați implementarea BitLocker.
Implementare de bază BitLocker	Acest articol, destinat profesioniștilor IT, explică cum să utilizați funcțiile de criptare a unității BitLocker pentru a vă proteja datele.
BitLocker: Cum se implementează pe Windows Server	Acest subiect pentru profesioniștii IT descrie cum să implementați BitLocker pe Windows Server.
BitLocker: Activați deblocarea rețelei	Acest articol, destinat profesioniștilor IT, explică cum funcționează deblocarea rețelei BitLocker și cum să o configurezi.
BitLocker: utilizați BitLocker Drive Encryption pentru a gestiona BitLocker	Acest articol este destinat profesioniștilor IT pentru a învăța cum să folosească instrumente pentru a gestiona BitLocker.
BitLocker: Utilizarea Vizualizatorului de parole de recuperare BitLocker	Acest articol, destinat profesioniștilor IT, explică cum să utilizați BitLocker Recovery Password Viewer.
Setările politicii de grup BitLocker	Acest articol pentru profesioniștii IT explică funcționalitatea, locația și funcționarea tuturor setărilor politicii de grup utilizate pentru a gestiona BitLocker.
Date de configurare de pornire și opțiuni BitLocker	Acest articol, destinat profesioniștilor IT, descrie setările datelor de configurare a pornirii care sunt utilizate în BitLocker.
Ghid de recuperare BitLocker	Acest articol, destinat profesioniștilor IT, explică cum să recuperați cheile BitLocker din ADDS.
Protecție BitLocker împotriva atacurilor de mediu înainte de pornire	Acest ghid detaliat vă va ajuta să înțelegeți condițiile recomandate pentru a utiliza autentificarea pre-pornire pentru dispozitivele care rulează Windows 10, Windows 8.1, Windows 8 sau Windows 7; și când poate fi exclus în siguranță din configurația dispozitivului.
Protejați volumele și SAN-urile partajate ale clusterelor cu tehnologia BitLocker	Acest articol, destinat profesioniștilor IT, explică cum să protejați volumele partajate în cluster și SAN-urile cu BitLocker.
Activați Secure Boot și BitLocker Device Encryption în Windows 10 IoT Basic	Această secțiune descrie cum să utilizați BitLocker pe Windows 10 IoT Basic

Părere

Am dori să știm părerea dvs. Vă rugăm să indicați despre ce doriți să ne spuneți.

Sistemul nostru de feedback se bazează pe principiile de lucru cu probleme pe GitHub. Pentru mai multe informații, consultați .

Dacă aveți Windows 10 Pro sau Enterprise instalat pe computer, puteți utiliza BitLocker, care criptează datele de pe hard disk. Să aflăm mai detaliat cum să-l configurați.

Una dintre caracteristicile suplimentare pe care le obțineți cu Windows 10 Pro, spre deosebire de Home, este BitLocker. Vă permite să criptați datele de pe hard disk, astfel încât nimeni să nu le poată accesa fără a introduce o parolă.

Dacă cineva elimină unitatea de pe computer și încearcă să o acceseze pe altul, conținutul va fi ilizibil. Acesta este un instrument util pentru a proteja datele personale de privirile indiscrete, dar există dezavantaje și cerințe pe care ar trebui să le cunoașteți înainte de a activa funcția:

BitLocker reduce performanța, mai ales când se utilizează criptarea software.
Dacă vă uitați parola, nu veți putea accesa fișierele dvs.
Pentru o mai bună protecție, este utilizată o cheie de pornire TPM.
De asemenea, trebuie să știți că există o alternativă la BitLocker: SSD cu criptare completă a discului. Conținutul este criptat automat.

De obicei, criptarea nu este activată în mod implicit, așa că poate fi necesar să descărcați software-ul producătorului (de exemplu, Samsung Magician). În timpul instalării, programul vă poate cere să formatați discul, apoi trebuie să salvați datele pe alt mediu, iar dacă aceasta este partiția C a sistemului, atunci reinstalați Windows.

Este necesară o cheie TPM pentru BitLocker?

Nu este necesară o cheie, BitLocker va folosi o metodă software care nu este la fel de sigură.

Modul program reduce performanța de citire și scriere. Cu criptarea hardware, trebuie să conectați un dispozitiv USB cu o cheie și să introduceți parola de fiecare dată când porniți computerul. Când utilizați o cheie, BIOS-ul trebuie să accepte pornirea de pe dispozitive USB.

Pentru a verifica dacă computerul dvs. îndeplinește cerințele BitLocker din Windows 10 versiunea 1803 și versiuni ulterioare, deschideți Centrul de securitate Windows Defender și selectați fila Securitate dispozitiv.

Pentru a activa protecția, deschideți Panoul de control și accesați BitLocker Drive Encryption.

Selectați unitatea din lista în care sunt stocate informațiile personale și faceți clic pe linkul „Activați BitLocker”.

O altă modalitate de a activa criptarea este să deschideți Explorer, să accesați fila „Acest PC” și să faceți clic dreapta pe orice hard disk.

Apoi urmați instrucțiunile de pe ecran pentru a configura protecția discului.

Dacă discul este deja destul de plin, procesul va dura mult timp

După activarea protecției, pe disc va apărea o pictogramă de lacăt în Explorer.

Criptare hardware sau software

Funcția acceptă ambele metode. Dacă activați criptarea hardware TPM, puteți cripta întregul disc.

Când decideți să criptați un volum (adică una sau mai multe partiții), utilizați criptarea software. Puteți utiliza metoda software dacă computerul dvs. nu este compatibil BitLocker.

Ce să fac dacă computerul meu nu este compatibil cu BitLocker

Dacă vedeți o notificare ca cea de mai jos în loc să rulați expertul de instalare, o puteți ocoli.

O notificare nu înseamnă neapărat că echipamentul este incompatibil. Este posibil ca setările corespunzătoare să nu fie activate în BIOS. Deschideți Bios/UEFI, găsiți opțiunea TPM și asigurați-vă că este activată.

Dacă computerul este construit pe o placă de bază AMD, atunci parametrul se află în secțiunea PSP. Aceasta este o platformă de securitate a procesorului integrată în cipul procesorului în sine, cum ar fi Ryzen, care are un modul de securitate în loc de un TPM.

Vă rugăm să rețineți că, în ianuarie 2018, s-a descoperit că AMD PSP are o defecțiune de securitate și, prin urmare, actualizările de microcod (livrate prin Actualizări de securitate Windows) sunt dezactivate. În acest caz, nu veți putea utiliza modul hardware.

Dacă activați un mod software care reduce performanța de citire/scriere, utilizați Editorul de politici de grup local.

Apăsați combinația de taste Windows + R, introduceți comanda gpedit.msc.

În panoul din stânga, urmați calea:

Configurare computer - Șabloane administrative - Componente Windows - Criptare unități BitLocker - Unități ale sistemului de operare.

În partea dreaptă a ferestrei, faceți dublu clic pe „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire”. În fereastra care se deschide, setați valoarea la „Activați” și bifați „Permiteți BitLocker fără un TPM compatibil”.

Tehnologia de criptare BitLocker a apărut pentru prima dată în urmă cu zece ani și s-a schimbat cu fiecare versiune de Windows. Cu toate acestea, nu toate modificările din acesta au fost concepute pentru a crește puterea criptografică. În acest articol, vom arunca o privire mai atentă asupra diferitelor versiuni de BitLocker (inclusiv pe cele preinstalate în cele mai recente versiuni ale Windows 10) și vom arăta cum să ocolim acest mecanism de protecție încorporat.

Atacurile offline

Tehnologia BitLocker a fost răspunsul Microsoft la numărul tot mai mare de atacuri offline, care au fost deosebit de ușor de efectuat împotriva computerelor Windows. Oricine se poate simți ca un hacker. Pur și simplu va opri cel mai apropiat computer și apoi îl va porni din nou - cu sistemul său de operare și un set portabil de utilitare pentru găsirea parolelor, date confidențiale și disecția sistemului.

La sfârșitul zilei de lucru, puteți chiar să organizați o mică cruciadă cu o șurubelniță Phillips - deschideți computerele angajaților decedați și scoateți unitățile din ele. În aceeași seară, într-un mediu de acasă liniștit, conținutul discurilor extrase poate fi analizat (și chiar modificat) în o mie și una de moduri. A doua zi, vino devreme și întoarce totul la locul său.

Cu toate acestea, nu este necesar să deschideți computerele altor persoane chiar la locul de muncă. O mulțime de scurgeri de date confidențiale după reciclarea computerelor vechi și înlocuirea unităților. În practică, ștergerea securizată și formatarea la nivel scăzut a discurilor scoase din funcțiune sunt realizate de foarte puțini oameni. Ce îi poate opri pe tinerii hackeri și colecționari de trupuri digitale?

După cum a cântat Bulat Okudzhava: „Întreaga lume este făcută de restricții, pentru a nu înnebuni de fericire”. Principalele restricții din Windows sunt stabilite la nivelul drepturilor de acces la obiectele NTFS, care nu protejează împotriva atacurilor offline. Windows pur și simplu verifică permisiunile de citire și scriere înainte de a procesa orice comenzi care accesează fișiere sau directoare. Această metodă este destul de eficientă atâta timp cât toți utilizatorii lucrează într-un sistem configurat de administrator cu conturi limitate. Cu toate acestea, de îndată ce porniți într-un alt sistem de operare, nu va rămâne nicio urmă din această protecție. Utilizatorul va reatribui drepturile de acces sau pur și simplu le va ignora prin instalarea unui alt driver de sistem de fișiere.

Există multe metode complementare pentru a contracara atacurile offline, inclusiv securitatea fizică și supravegherea video, dar cele mai eficiente necesită utilizarea unei criptografii puternice. Semnăturile digitale de bootloader împiedică rularea codului străin, iar singura modalitate de a proteja cu adevărat datele de pe hard disk este criptarea acestuia. De ce criptarea completă a discului lipsește din Windows atât de mult timp?

De la Vista la Windows 10

Există o mulțime de oameni diferiți care lucrează la Microsoft și nu toți codifică cu piciorul stâng din spate. Din păcate, deciziile finale în companiile de software au fost luate de mult timp nu de programatori, ci de marketeri și manageri. Singurul lucru pe care îl iau în considerare atunci când dezvoltă un nou produs este volumul vânzărilor. Cu cât este mai ușor pentru o gospodină să înțeleagă software-ul, cu atât mai multe copii ale acestui software va putea vinde.

„Gândește-te, jumătate la sută dintre clienți sunt îngrijorați de siguranța lor! Sistemul de operare este deja un produs complex și aici sperii publicul țintă cu criptare. Ne putem lipsi de el! Ne-am descurcat înainte!” - Managementul de top al Microsoft ar fi putut raționa aproximativ în acest fel până în momentul în care XP a devenit popular în segmentul corporativ. Printre administratori, prea mulți specialiști s-au gândit deja la securitate pentru a-și refuza opinia. Prin urmare, mult așteptata criptare a volumului a apărut în următoarea versiune de Windows, dar numai în edițiile Enterprise și Ultimate, care sunt destinate pieței corporative.

Noua tehnologie se numește BitLocker. Acesta a fost probabil singurul lucru bun despre Vista. BitLocker a criptat întregul volum, făcând ca fișierele utilizator și de sistem să nu fie citite, ocolind sistemul de operare instalat. Documente importante, fotografii cu pisici, registru, SAM și SECURITATE - totul s-a dovedit a fi de necitit atunci când efectuați un atac offline de orice fel. În terminologia Microsoft, un „volum” nu este neapărat un disc ca dispozitiv fizic. Un volum poate fi un disc virtual, o partiție logică sau invers - o combinație de mai multe discuri (un volum întins sau în dungi). Chiar și o simplă unitate flash poate fi considerată un volum conectabil, pentru criptare end-to-end a căruia, începând cu Windows 7, există o implementare separată - BitLocker To Go (pentru mai multe detalii, vezi bara laterală de la sfârșitul articolului ).

Odată cu apariția BitLocker, a devenit mai dificilă pornirea unui sistem de operare terță parte, deoarece toți încărcătoarele au primit semnături digitale. Cu toate acestea, o soluție este încă posibilă datorită modului de compatibilitate. Merită să schimbați modul de pornire din BIOS de la UEFI la Legacy și să dezactivați funcția Secure Boot, iar vechea unitate flash bootabilă va fi din nou utilă.

Cum să utilizați BitLocker

Să ne uităm la partea practică folosind Windows 10 ca exemplu În versiunea 1607, BitLocker poate fi activat prin panoul de control (secțiunea „Sistem și securitate”, subsecțiunea „Criptarea unității BitLocker”).

Cu toate acestea, dacă placa de bază nu are un procesor criptografic TPM versiunea 1.2 sau o versiune ulterioară, atunci BitLocker pur și simplu nu poate fi utilizat. Pentru a-l activa, va trebui să accesați editorul de politici de grup local (gpedit.msc) și să extindeți ramura „Configurare computer -> Șabloane administrative -> Componente Windows -> Criptare unități BitLocker -> Unități ale sistemului de operare” la setarea „ Această setare de politică vă permite să configurați cerințele de autentificare suplimentară la pornire." În el trebuie să găsiți setarea „Permiteți BitLocker fără un TPM compatibil...” și să o activați.

În secțiunile adiacente ale politicilor locale, puteți specifica setări suplimentare BitLocker, inclusiv lungimea cheii și modul de criptare AES.

După aplicarea noilor politici, reveniți la panoul de control și urmați instrucțiunile asistentului de configurare a criptării. Pentru protecție suplimentară, puteți alege să introduceți o parolă sau să conectați o anumită unitate flash USB.

Deși BitLocker este considerat o tehnologie de criptare completă a discului, permite criptarea parțială numai a sectoarelor ocupate. Acest lucru este mai rapid decât criptarea totul, dar această metodă este considerată mai puțin fiabilă. Numai pentru că, în acest caz, fișierele șterse, dar care nu au fost încă suprascrise, rămân disponibile pentru citire directă o perioadă de timp.

Criptare completă și parțială

După setarea tuturor parametrilor, tot ce rămâne este să reporniți. Windows vă va cere să introduceți o parolă (sau să introduceți o unitate flash USB), apoi va porni normal și va începe procesul de fundal de criptare a volumului.

În funcție de setările selectate, dimensiunea discului, frecvența procesorului și suportul acestuia pentru comenzile AES individuale, criptarea poate dura de la câteva minute la câteva ore.

După finalizarea acestui proces, vor apărea elemente noi în meniul contextual Explorer: schimbarea parolei și accesarea rapidă la setările BitLocker.

Vă rugăm să rețineți că toate acțiunile, cu excepția modificării parolei, necesită drepturi de administrator. Logica aici este simplă: deoarece v-ați autentificat cu succes în sistem, înseamnă că știți parola și aveți dreptul să o schimbați. Cât de rezonabil este asta? Vom afla în curând!

Cum funcționează BitLocker

Fiabilitatea BitLocker nu trebuie judecată după reputația AES. Este posibil ca un standard de criptare popular să nu aibă slăbiciuni evidente, dar implementările sale în anumite produse criptografice sunt adesea pline de ele. Microsoft nu dezvăluie codul complet al tehnologiei BitLocker. Se știe doar că în diferite versiuni de Windows s-a bazat pe diferite scheme, iar modificările nu au fost comentate în niciun fel. Mai mult, în versiunea 10586 a Windows 10 a dispărut pur și simplu, iar două versiuni mai târziu a reapărut. Cu toate acestea, primul lucru.

Prima versiune a BitLocker a folosit modul de înlănțuire a blocurilor de text cifrat (CBC). Chiar și atunci, neajunsurile sale erau evidente: ușurința de a ataca un text cunoscut, rezistența slabă la atacuri precum substituția și așa mai departe. Prin urmare, Microsoft a decis imediat să consolideze protecția. Deja în Vista, algoritmul Elephant Diffuser a fost adăugat la schema AES-CBC, ceea ce face dificilă compararea directă a blocurilor de text cifrat. Cu acesta, același conținut a două sectoare a dat rezultate complet diferite după criptarea cu o singură cheie, ceea ce a complicat calculul modelului general. Cu toate acestea, cheia în sine era scurtă în mod implicit - 128 de biți. Prin politicile administrative se poate extinde la 256 de biți, dar merită făcut?

Pentru utilizatori, după schimbarea cheii, nimic nu se va schimba extern - nici lungimea parolelor introduse, nici viteza subiectivă a operațiunilor. La fel ca majoritatea sistemelor de criptare pe disc complet, BitLocker folosește mai multe chei... și niciuna dintre ele nu este vizibilă pentru utilizatori. Iată o diagramă schematică a BitLocker.

Când BitLocker este activat, o secvență de biți master este creată folosind un generator de numere pseudoaleatoare. Aceasta este cheia de criptare a volumului - FVEK (cheie de criptare a volumului complet). Cu aceasta, conținutul fiecărui sector este acum criptat.
La rândul său, FVEK este criptat folosind o altă cheie - VMK (cheie master de volum) - și este stocat în formă criptată printre metadatele de volum.
VMK în sine este, de asemenea, criptat, dar în moduri diferite, la discreția utilizatorului.
Pe plăcile de bază noi, cheia VMK este criptată implicit folosind cheia SRK (cheia rădăcină de stocare), care este stocată într-un procesor cripto separat - modul de platformă de încredere (TPM). Utilizatorul nu are acces la conținutul TPM și este unic pentru fiecare computer.
Dacă nu există un cip TPM separat pe placă, atunci în loc de SRK, se folosește un cod PIN introdus de utilizator sau o unitate flash USB la cerere cu informații despre cheie preînregistrate pe ea pentru a cripta cheia VMK.
Pe lângă TPM sau unitatea flash, puteți proteja cheia VMK cu o parolă.

Acest model general de funcționare BitLocker a continuat prin versiunile ulterioare ale Windows până în prezent. Cu toate acestea, metodele de generare a cheilor și modurile de criptare ale BitLocker s-au schimbat. Deci, în octombrie 2014, Microsoft a eliminat în liniște algoritmul suplimentar Elephant Diffuser, lăsând doar schema AES-CBC cu deficiențele sale cunoscute. La început, nu au fost făcute declarații oficiale în acest sens. Oamenii au primit pur și simplu o tehnologie de criptare slăbită cu același nume sub masca unei actualizări. Au urmat explicații vagi pentru acest pas după ce cercetătorii independenți au observat simplificări în BitLocker.

Formal, abandonarea Elephant Diffuser era necesară pentru a asigura conformitatea Windows cu cerințele standardelor federale de procesare a informațiilor (FIPS) din SUA, dar un argument respinge această versiune: Vista și Windows 7, care foloseau Elephant Diffuser, au fost vândute fără probleme în America. .

Un alt motiv imaginar pentru abandonarea algoritmului suplimentar este lipsa accelerației hardware pentru Elephant Diffuser și pierderea vitezei la utilizarea acestuia. Cu toate acestea, în anii precedenți, când procesoarele erau mai lente, viteza de criptare era oarecum satisfăcătoare. Și același AES a fost utilizat pe scară largă chiar înainte ca seturi de instrucțiuni separate și cipuri specializate să pară să-l accelereze. De-a lungul timpului, a fost posibil să se realizeze accelerare hardware pentru Elephant Diffuser sau cel puțin să le ofere clienților posibilitatea de a alege între viteză și securitate.

O altă versiune, neoficială, pare mai realistă. „Elefantul” a interferat cu angajații NSA care doreau să depună mai puțin efort pentru decriptarea următorului disc, iar Microsoft cooperează de bunăvoie cu autoritățile chiar și în cazurile în care solicitările lor nu sunt în întregime legale. Confirmă indirect teoria conspirației este faptul că înainte de Windows 8, la crearea cheilor de criptare în BitLocker, era folosit generatorul de numere pseudo-aleatoare încorporat în Windows. În multe (dacă nu toate) versiunile Windows, acesta a fost Dual_EC_DRBG - un „PRNG criptografic puternic” dezvoltat de Agenția de Securitate Națională a SUA și care conține o serie de vulnerabilități inerente.

Desigur, slăbirea în secret a criptării încorporate a provocat un val puternic de critici. Sub presiunea ei, Microsoft a rescris BitLocker din nou, înlocuind PRNG cu CTR_DRBG în noile versiuni de Windows. În plus, în Windows 10 (începând cu versiunea 1511), schema de criptare implicită este AES-XTS, care este imună la manipularea blocurilor de text cifrat. În cele mai recente versiuni ale „zecilor”, au fost remediate și alte deficiențe cunoscute ale BitLocker, dar principala problemă a rămas. Este atât de absurd încât face alte inovații lipsite de sens. Vorbim despre principiile managementului cheilor.

Principiul Los Alamos

Sarcina de decriptare a unităților BitLocker este simplificată și de faptul că Microsoft promovează în mod activ o metodă alternativă de restabilire a accesului la date prin Agentul de recuperare a datelor. Ideea „Agentului” este că criptează cheile de criptare ale tuturor unităților din rețeaua întreprinderii cu o singură cheie de acces. Odată ce îl aveți, puteți decripta orice cheie și, prin urmare, orice disc folosit de aceeași companie. Confortabil? Da, mai ales pentru hacking.

Ideea de a folosi o cheie pentru toate încuietorile a fost deja compromisă de multe ori, dar continuă să fie returnată într-o formă sau alta de dragul confortului. Iată cum Ralph Leighton a înregistrat amintirile lui Richard Feynman despre un episod caracteristic al lucrării sale la Proiectul Manhattan la Laboratorul Los Alamos: „...Am deschis trei seifuri - și toate trei cu aceeași combinație.<…>M-am ocupat de toate: am deschis seifurile cu toate secretele bombei atomice - tehnologia de producere a plutoniului, o descriere a procesului de purificare, informații despre cât de mult material este necesar, cum funcționează bomba, cum sunt produși neutronii, cum funcționează bomba, care sunt dimensiunile ei - într-un cuvânt, tot ceea ce știau ei în Los Alamos, întreaga bucătărie!”.

BitLocker amintește oarecum de designul sigur descris într-un alt fragment al cărții You’re Surely Joking, Mr. Feynman! Cel mai impresionant seif dintr-un laborator top-secret avea aceeași vulnerabilitate ca un simplu dulap de dosare. „...Acesta era un colonel și avea un seif mult mai sofisticat, cu două uși, cu mânere mari, care scoteau din cadru patru tije de oțel groase de trei sferturi de inci.<…>Am examinat partea din spate a uneia dintre ușile impunătoare de bronz și am descoperit că cadranul era conectat la o mică broască care arăta exact ca încuietoarea de pe dulapul meu Los Alamos.<…>Era evident că sistemul de pârghii depindea de aceeași tijă mică care încuia dulapurile de dosare.<…>. Prefăcând un fel de activitate, am început să rotesc cadranul la întâmplare.<…>Două minute mai târziu - faceți clic! - seiful s-a deschis.<…>Când ușa seifului sau sertarul superior al unui dulap de dosare este deschisă, este foarte ușor să găsești combinația. Este exact ceea ce am făcut când mi-ați citit raportul, doar pentru a vă demonstra pericolul.”.

Containerele cripto BitLocker în sine sunt destul de sigure. Dacă vă aduc o unitate flash care a venit de nicăieri, criptată cu BitLocker To Go, atunci este puțin probabil să o decriptați într-un timp acceptabil. Cu toate acestea, scenariul real al utilizării unităților criptate și a suporturilor amovibile este plin de vulnerabilități care pot fi exploatate cu ușurință pentru a ocoli BitLocker.

Potențiale vulnerabilități

Probabil ați observat că trebuie să așteptați mult timp când activați BitLocker pentru prima dată. Acest lucru nu este surprinzător - procesul de criptare sector cu sector poate dura câteva ore, deoarece nici măcar citirea tuturor blocurilor unui HDD terabyte nu este posibilă mai rapid. Cu toate acestea, dezactivarea BitLocker este aproape instantanee - cum se poate?

Faptul este că, atunci când este dezactivat, BitLocker nu decriptează datele. Toate sectoarele vor rămâne criptate cu cheia FVEK. Pur și simplu, accesul la această cheie nu va mai fi limitat în niciun fel. Toate verificările vor fi dezactivate, iar VMK-ul va rămâne înregistrat printre metadate în text clar. De fiecare dată când porniți computerul, sistemul de încărcare a sistemului de operare va citi VMK (fără a verifica TPM-ul, a cere o cheie pe o unitate flash sau o parolă), decriptează automat FVEK cu acesta și apoi toate fișierele pe măsură ce sunt accesate. Pentru utilizator, totul va arăta ca o lipsă completă de criptare, dar cei mai atenți pot observa o scădere ușoară a performanței subsistemului de disc. Mai exact, nu există o creștere a vitezei după dezactivarea criptării.

Mai este ceva interesant în această schemă. În ciuda numelui (tehnologia de criptare a discului complet), unele date rămân încă necriptate atunci când se utilizează BitLocker. MBR și BS rămân deschise (cu excepția cazului în care discul a fost inițializat în GPT), sectoarele și metadatele deteriorate. Un bootloader deschis oferă spațiu imaginației. Sectoarele pseudo-defectuoase sunt convenabile pentru ascunderea rootkit-urilor și a altor programe malware, iar metadatele conțin o mulțime de lucruri interesante, inclusiv copii ale cheilor. Dacă BitLocker este activ, ele vor fi criptate (dar mai slab decât FVEK criptează conținutul sectoarelor), iar dacă BitLocker este dezactivat, vor rămâne pur și simplu în clar. Aceștia sunt toți potențiali vectori de atac. Sunt potențiale pentru că, pe lângă ele, există și altele mult mai simple și mai universale.

Cheie de recuperare

Pe lângă FVEK, VMK și SRK, BitLocker folosește un alt tip de cheie care este creată „pentru orice eventualitate”. Acestea sunt cheile de recuperare, care sunt un alt vector de atac popular. Utilizatorilor le este frică să-și uite parola și să nu piardă accesul la sistem, iar Windows însuși le recomandă să facă o autentificare de urgență. Pentru a face acest lucru, expertul de criptare BitLocker vă solicită să creați o cheie de recuperare la ultimul pas. Nu este posibil să refuzi crearea lui. Puteți alege doar una dintre opțiunile cheie de export, fiecare dintre acestea fiind foarte vulnerabilă.

În setările implicite, cheia este exportată ca un simplu fișier text cu un nume ușor de recunoscut: „BitLocker Recovery Key #”, unde ID-ul computerului este scris în loc de # (da, chiar în numele fișierului!). Cheia în sine arată așa.

Dacă ați uitat (sau nu ați știut niciodată) parola pe care ați setat-o în BitLocker, atunci căutați pur și simplu fișierul cu cheia de recuperare. Cu siguranță va fi salvat printre documentele utilizatorului actual sau pe unitatea flash a acestuia. Poate chiar este imprimat pe o bucată de hârtie, așa cum recomandă Microsoft. Așteaptă doar până când colegul tău ia o pauză (uitând să-și blocheze computerul, ca întotdeauna) și începe să cauți.

Conectați-vă cu cheia de recuperare

Pentru a localiza rapid o cheie de recuperare, este convenabil să limitați căutarea după extensie (txt), data creării (dacă vă puteți imagina când ar fi putut fi activat BitLocker) și dimensiunea fișierului (1388 de octeți dacă fișierul nu a fost editat). După ce găsiți cheia de recuperare, copiați-o. Cu acesta, puteți ocoli oricând autorizarea standard în BitLocker. Pentru a face acest lucru, trebuie doar să apăsați Esc și să introduceți cheia de recuperare. Vă veți autentifica fără probleme și vă puteți chiar schimba parola BitLocker cu una personalizată fără a specifica cea veche! Acest lucru amintește deja de trucurile din secțiunea „Construcții de Vest”.

Deschiderea BitLocker

Un sistem criptografic real este un compromis între comoditate, viteză și fiabilitate. Ar trebui să ofere proceduri de criptare transparentă cu decriptare din mers, metode de recuperare a parolelor uitate și lucru convenabil cu cheile. Toate acestea slăbesc orice sistem, indiferent de algoritmii puternici pe care se bazează. Prin urmare, nu este necesar să căutați vulnerabilități direct în algoritmul Rijndael sau în diverse scheme ale standardului AES. Este mult mai ușor să le detectați exact în specificul unei anumite implementări.

În cazul Microsoft, astfel de „specificități” sunt suficiente. De exemplu, copii ale cheilor BitLocker sunt trimise la SkyDrive și depuse în Active Directory în mod implicit. Pentru ce? Ei bine, dacă le pierzi... sau întreabă agentul Smith. Este incomod să aștepți un client, cu atât mai puțin un agent.

Din acest motiv, compararea puterii criptografice a AES-XTS și AES-CBC cu Elephant Diffuser trece în fundal, la fel ca și recomandările pentru a crește lungimea cheii. Indiferent cât de lungă este, un atacator îl poate obține cu ușurință în formă necriptată.

Obținerea cheilor escrowed dintr-un cont Microsoft sau AD este principala metodă de a sparge BitLocker. Dacă utilizatorul nu și-a înregistrat un cont în cloud-ul Microsoft și computerul său nu se află pe un domeniu, atunci vor exista în continuare modalități de extragere a cheilor de criptare. În timpul funcționării normale, copiile lor deschise sunt întotdeauna stocate în RAM (altfel nu ar exista „criptare transparentă”). Aceasta înseamnă că acestea sunt disponibile în fișierul său de descărcare și hibernare.

De ce sunt ținute acolo? Indiferent cât de amuzant ar părea - pentru comoditate. BitLocker a fost conceput pentru a proteja numai împotriva atacurilor offline. Ele sunt întotdeauna însoțite de o repornire și conectarea discului la un alt sistem de operare, ceea ce duce la ștergerea memoriei RAM. Cu toate acestea, în setările implicite, sistemul de operare aruncă memoria RAM atunci când are loc o blocare (care poate fi provocată) și își scrie întregul conținut într-un fișier de hibernare ori de câte ori computerul intră în somn profund. Prin urmare, dacă v-ați conectat recent la Windows cu BitLocker activat, există șanse mari să primiți o copie decriptată a cheii VMK și să o utilizați pentru a decripta FVEK și apoi datele în sine de-a lungul lanțului. Să verificăm?

Toate metodele de hacking BitLocker descrise mai sus sunt colectate într-un singur program - Forensic Disk Decryptor, dezvoltat de compania națională Elcomsoft. Poate prelua automat cheile de criptare și poate monta volume criptate ca discuri virtuale, decriptându-le din mers.

În plus, EFDD implementează o altă metodă non-trivială de obținere a cheilor - un atac prin portul FireWire, care este recomandabil să fie folosit în cazurile în care nu este posibil să rulați software-ul pe computerul atacat. Întotdeauna instalăm programul EFDD propriu-zis pe computerul nostru, iar pe computerul piratat încercăm să facem pașii minimi necesari.

De exemplu, să lansăm pur și simplu un sistem de testare cu BitLocker activ și să facem „în liniște” o descărcare de memorie. Așa că vom simula o situație în care un coleg a ieșit la prânz și nu și-a blocat computerul. Lansăm RAM Capture și în mai puțin de un minut primim un dump complet într-un fișier cu extensia .mem și o dimensiune corespunzătoare cantității de RAM instalată pe computerul victimei.

Efectuarea unei gropi de memorie

În general, nu contează ce faci cu gunoiul. Indiferent de extensie, aceasta va avea ca rezultat un fișier binar, care va fi apoi analizat automat de EFDD în căutarea cheilor.

Scriem dump-ul pe o unitate flash sau îl transferăm prin rețea, după care ne așezăm la computer și lansăm EFDD.

Selectați opțiunea „Extrage chei” și introduceți calea către fișierul de descărcare a memoriei ca sursă a cheilor.

Specificarea sursei cheii

BitLocker este un container cripto tipic, cum ar fi PGP Disk sau TrueCrypt. Aceste containere s-au dovedit a fi destul de fiabile în sine, dar aplicațiile client pentru a lucra cu ele sub Windows așează cheile de criptare din RAM. Prin urmare, EFDD implementează un scenariu de atac universal. Programul găsește instantaneu chei de criptare din toate cele trei tipuri de containere cripto populare. Prin urmare, puteți lăsa toate casetele bifate în cazul în care victima folosește în secret TrueCrypt sau PGP!

După câteva secunde, Elcomsoft Forensic Disk Decryptor arată toate cheile găsite în fereastra sa. Pentru comoditate, le puteți salva într-un fișier - acest lucru va fi util în viitor.

Acum BitLocker nu mai este o problemă! Puteți efectua un atac offline clasic - de exemplu, scoateți hard diskul unui coleg și copiați conținutul acestuia. Pentru a face acest lucru, pur și simplu conectați-l la computer și rulați EFDD în modul „decriptare sau montare disc”.

După ce a specificat calea către fișierele cu cheile salvate, EFDD va efectua, la alegerea dvs., o decriptare completă a volumului sau îl va deschide imediat ca disc virtual. În acest din urmă caz, fișierele sunt decriptate pe măsură ce sunt accesate. În orice caz, nu se fac modificări la volumul inițial, așa că a doua zi îl puteți returna ca și cum nimic nu s-ar fi întâmplat. Lucrul cu EFDD are loc fără urmă și numai cu copii ale datelor și, prin urmare, rămâne invizibil.

BitLocker To Go

Începând cu Windows 7, a devenit posibilă criptarea unităților flash, HDD-urilor USB și a altor medii externe. O tehnologie numită BitLocker To Go criptează unitățile amovibile în același mod ca și unitățile locale. Criptarea este activată folosind elementul corespunzător din meniul contextual Explorer.

Pentru unitățile noi, puteți utiliza criptarea numai a zonei ocupate - oricum, spațiul liber al partiției este umplut cu zerouri și nu există nimic de ascuns acolo. Dacă unitatea a fost deja utilizată, se recomandă să activați criptarea completă pe ea. În caz contrar, locația marcată ca liberă va rămâne necriptată. Poate conține fișiere șterse recent care nu au fost încă suprascrise.

Chiar și criptarea rapidă numai a zonei ocupate durează de la câteva minute la câteva ore. Acest timp depinde de volumul de date, lățimea de bandă a interfeței, caracteristicile unității și viteza calculelor criptografice ale procesorului. Deoarece criptarea este însoțită de compresie, spațiul liber de pe discul criptat crește de obicei ușor.

Data viitoare când conectați o unitate flash criptată la orice computer care rulează Windows 7 sau o versiune ulterioară, expertul BitLocker va fi apelat automat pentru a debloca unitatea. În Explorer, înainte de deblocare, acesta va fi afișat ca un disc blocat.

Aici puteți folosi atât opțiunile deja discutate pentru ocolirea BitLocker (de exemplu, căutarea cheii VMK într-un fișier de memorie sau hibernare), cât și pe cele noi legate de cheile de recuperare.

Dacă nu cunoașteți parola, dar ați reușit să găsiți una dintre chei (manual sau folosind EFDD), atunci există două opțiuni principale pentru accesarea unității flash criptate:

utilizați vrăjitorul BitLocker încorporat pentru a lucra direct cu o unitate flash;
utilizați EFDD pentru a decripta complet unitatea flash și pentru a-i crea imaginea sector cu sector.

Prima opțiune vă permite să accesați imediat fișierele înregistrate pe unitatea flash, să le copiați sau să le modificați și, de asemenea, să le scrieți pe ale dvs. A doua opțiune durează mult mai mult (de la o jumătate de oră), dar are avantajele ei. Imaginea decriptată sector cu sector vă permite să efectuați în continuare o analiză mai rafinată a sistemului de fișiere la nivel de laborator criminalistic. În acest caz, unitatea flash în sine nu mai este necesară și poate fi returnată neschimbată.

Imaginea rezultată poate fi deschisă imediat în orice program care acceptă formatul IMA sau poate fi convertită mai întâi într-un alt format (de exemplu, folosind UltraISO).

Desigur, pe lângă detectarea cheii de recuperare pentru BitLocker2Go, EFDD acceptă și toate celelalte metode de ocolire BitLocker. Doar parcurgeți toate opțiunile disponibile într-un rând până când găsiți o cheie de orice tip. Restul (până la FVEK) va fi decriptat de-a lungul lanțului și veți avea acces complet la disc.

concluzii

Tehnologia de criptare a discului complet BitLocker diferă între versiunile de Windows. După o configurație adecvată, vă permite să creați containere cripto care sunt teoretic comparabile ca putere cu TrueCrypt sau PGP. Cu toate acestea, mecanismul încorporat în Windows pentru lucrul cu taste anulează toate trucurile algoritmice. În special, cheia VMK folosită pentru a decripta cheia principală în BitLocker este recuperată folosind EFDD în câteva secunde dintr-un duplicat escrowed, o descărcare de memorie, un fișier de hibernare sau un atac de port FireWire.

Odată ce aveți cheia, puteți efectua un atac offline clasic, puteți copia în liniște și decripta automat toate datele de pe discul „protejat”. Prin urmare, BitLocker ar trebui utilizat numai împreună cu alte măsuri de securitate: Sistemul de fișiere de criptare (EFS), Serviciul de gestionare a drepturilor (RMS), Controlul lansării programelor, Instalarea dispozitivului și Controlul atașamentelor, precum și politici locale mai stricte și măsuri generale de securitate.

Ultima actualizare până la 28 februarie 2017.