Как да активирате криптирането на Windows 10. Техника за криптиране на устройства и сменяеми носители. Чакаме края на акцията

Технологията за криптиране BitLocker се появи за първи път преди десет години и се променя с всяка версия на Windows. Въпреки това, не всички промени в него са имали за цел да увеличат криптографската сила. В тази статия ще разгледаме по-отблизо устройството с различни версии на BitLocker (включително тези, предварително инсталирани в най-новите версии на Windows 10) и ще ви покажем как да заобиколите този вграден механизъм за защита.

Офлайн атаки

BitLocker беше отговорът на Microsoft на нарастващия брой офлайн атаки, които бяха особено лесни за компютрите с Windows. Всеки с може да се почувства като хакер. Той просто ще изключи най-близкия компютър и след това ще го стартира отново - този път с неговата ОС и преносим набор от помощни програми за намиране на пароли, поверителни данни и дисекция на системата.

В края на работния ден с отвертка Phillips можете дори да организирате малък кръстоносен поход - отворете компютрите на напусналите служители и извадете дисковете от тях. Същата вечер, в спокойна домашна среда, съдържанието на извлечените дискове може да бъде анализирано (и дори модифицирано) по хиляда и един начин. На следващия ден е достатъчно да дойдете по-рано и да върнете всичко на мястото си.

Не е необходимо обаче да отваряте компютрите на други хора точно на работното място. Много поверителни данни изтичат след изхвърляне на стари компютри и подмяна на устройства. На практика сигурното изтриване и форматирането на ниско ниво на изведени от експлоатация дискове правят само единици. Какво може да спре младите хакери и колекционери на дигитален разпад?

Както пееше Булат Окуджава: „Целият свят е направен от ограничения, за да не полудее щастието“. Основните ограничения в Windows са зададени на ниво права за достъп до NTFS обекти, които не защитават от офлайн атаки. Windows просто проверява разрешенията за четене и запис, преди да обработва каквито и да е команди за достъп до файлове или директории. Този метод е доста ефективен, стига всички потребители да работят в система, конфигурирана от администратор с ограничени акаунти. Въпреки това си струва или да стартирате в друга операционна система, тъй като няма да има следа от такава защита. Потребителят ще преотстъпи правата за достъп сам или просто ще ги игнорира, като инсталира друг драйвер на файловата система.

Има много допълнителни методи за противодействие на офлайн атаки, включително физическа сигурност и видеонаблюдение, но най-ефективните от тях изискват силна криптография. Зареждащите устройства са цифрово подписани, за да се предотврати стартирането на външен код и единственият начин наистина да защитите самите данни на вашия твърд диск е да ги криптирате. Защо пълното криптиране на диска отсъства от Windows толкова дълго?

Vista до Windows 10

Има много различни хора, работещи в Microsoft и не всички кодират със задния си ляв крак. Уви, окончателните решения в софтуерните компании отдавна се взимат не от програмисти, а от маркетолози и мениджъри. Единственото нещо, което наистина вземат предвид при разработването на нов продукт, са обемите на продажбите. Колкото по-лесно е за една домакиня да разбере софтуера, толкова повече копия на този софтуер ще може да продаде.

„Само помислете, половин процент от клиентите са загрижени за своята безопасност! Операционната система вече е сложен продукт, а също така плашите целевата аудитория с криптиране. Да минем без него! Някога се разбираха!" - нещо подобно можеше да аргументира висшето ръководство на Microsoft до момента, в който XP стана популярен в корпоративния сегмент. Твърде много експерти сред администраторите вече са помислили за сигурността, за да отхвърлят мнението си. Следователно в следващата версия на Windows се появи дългоочакваното криптиране на обема, но само в изданията Enterprise и Ultimate, които са насочени към корпоративния пазар.

Новата технология се нарича BitLocker. Това вероятно беше единственият добър компонент на Vista. BitLocker криптира целия том, правейки потребителските и системните файлове нечетими, заобикаляйки инсталираната ОС. Важни документи, снимки на котки, регистър, SAM и SECURITY - всичко се оказа нечетливо при извършване на офлайн атака от всякакъв вид. В терминологията на Microsoft „том“ не е непременно диск като физическо устройство. Обемът може да бъде виртуален диск, логически дял или обратното - обединение от няколко диска (обвързан или лентов том). Дори просто флаш устройство може да се счита за включващ том, за който криптиране от край до край, като се започне с Windows 7, има отделна реализация - BitLocker To Go (за повече подробности вижте страничната лента в края на статията) .

С появата на BitLocker стана по-трудно да се стартира операционна система на трета страна, тъй като всички зареждащи устройства са цифрово подписани. Въпреки това, решението все още е възможно благодарение на режима на съвместимост. Струва си да промените режима на зареждане от UEFI на Legacy в BIOS и да изключите функцията Secure Boot и доброто старо стартиращо USB флаш устройство отново ще ви бъде полезно.

Как да използвате BitLocker

Нека разгледаме практическата част, като използваме Windows 10 като пример. В build 1607 BitLocker може да бъде активиран чрез контролния панел (раздел „Система и сигурност“, подраздел „Шифроване на диск на BitLocker“.

Въпреки това, ако дънната платка няма TPM 1.2 или по-нов крипто процесор, тогава BitLocker не може да се използва без причина. За да го активирате, трябва да отидете в редактора на локални групови правила (gpedit.msc) и да разгънете Конфигурация на компютъра -> Административни шаблони -> Компоненти на Windows -> Шифроване на устройство на BitLocker -> Разклонение Дискове на операционната система, преди да конфигурирате "Тази настройка на правилата позволява да конфигурирате изискването за допълнително удостоверяване при стартиране." Там трябва да намерите настройката "Разрешаване на BitLocker без съвместим TPM ..." и да я активирате.

Допълнителни настройки на BitLocker могат да бъдат конфигурирани в съседни локални секции на правилата, включително дължина на ключа и режим на AES криптиране.

След като приложим новите правила, се връщаме към контролния панел и следваме инструкциите на съветника за конфигурация на криптиране. Като допълнителна защита можете да изберете да въведете парола или да свържете определено USB флаш устройство.

Въпреки че BitLocker се счита за технология за пълно криптиране на диск, той позволява само частично криптиране на заети сектори. Това е по-бързо от криптирането на всичко, но този метод се счита за по-малко надежден. Дори само защото в същото време изтритите, но все още незаписани файлове остават достъпни за директно четене за известно време.

Пълно и частично криптиране

След като конфигурирате всички параметри, той ще се рестартира. Windows ще ви помоли да въведете парола (или да поставите USB флаш устройство) и след това ще стартира нормално и ще започне процеса на фоново криптиране на тома.

В зависимост от избраните настройки, размера на диска, честотата на процесора и поддръжката на отделни AES команди, криптирането може да отнеме от няколко минути до няколко часа.

След завършване на този процес, нови елементи ще се появят в контекстното меню на File Explorer: Промяна на паролата и Бърза навигация до настройките на BitLocker.

Моля, имайте предвид, че всички действия, с изключение на промяната на паролата, изискват администраторски права. Логиката тук е проста: тъй като сте влезли успешно в системата, това означава, че знаете паролата и имате право да я промените. Колко разумно е това? Скоро ще разберем!

Как работи BitLocker

Надеждността на BitLocker не трябва да се съди по репутацията на AES. Популярният стандарт за криптиране може да няма очевидни слабости, но внедряването му в специфични криптографски продукти често изобилства от тях. Microsoft не разкрива пълния код на технологията BitLocker. Известно е само, че в различните версии на Windows той се базираше на различни схеми и промените не бяха коментирани по никакъв начин. Освен това в сборка 10586 на Windows 10 той просто изчезна и след две компилации се появи отново. Обаче първо първо.

Първата версия на BitLocker използваше режим на шифроване на блокове (CBC). Дори тогава недостатъците му бяха очевидни: лекотата на атака с помощта на добре познат текст, слаба устойчивост на атаки като спуфинг и т.н. Затова Microsoft незабавно реши да засили защитата. Още във Vista алгоритъмът Elephant Diffuser беше добавен към схемата AES-CBC, което затруднява директното сравняване на блокове от шифрован текст. При него едно и също съдържание на два сектора дава напълно различни резултати след криптиране с един ключ, което усложнява изчисляването на общия модел. Самият ключ обаче по подразбиране беше къс - 128 бита. Може да се удължи до 256 бита чрез административни политики, но заслужава ли си да се направи?

За потребителите, след смяна на ключа, външно нищо няма да се промени - нито дължината на въведените пароли, нито субективната скорост на операциите. Подобно на повечето системи за пълно дисково криптиране, BitLocker използва множество ключове ... и никой от тях не е видим за потребителите. Ето схематична диаграма на BitLocker.

1. Когато BitLocker се активира с помощта на генератор на псевдослучайни числа, се генерира главна битова последователност. Този ключ за шифроване на обема е FVEK (ключ за криптиране на пълен обем). Именно с тях съдържанието на всеки сектор се криптира оттук нататък.
2. От своя страна FVEK се криптира с помощта на друг ключ - VMK (главен ключ на обема) - и се съхранява криптиран сред метаданните на обема.
3. Самият VMK също е криптиран, но по различни начини по избор на потребителя.
4. На по-новите дънни платки VMK се криптира по подразбиране с помощта на основния ключ за съхранение (SRK), който се съхранява в отделен криптопроцесор - модул на надеждна платформа (TPM). Потребителят няма достъп до съдържанието на TPM и е уникален за всеки компютър.
5. Ако няма отделен TPM чип на платката, тогава вместо SRK за криптиране на VMK ключа се използва въведеният от потребителя ПИН код или USB-Flash устройство, свързано при поискване с ключова информация, предварително записана на него.
6. В допълнение към TPM или USB флаш, можете да защитите VMK с парола.

Този общ модел на BitLocker продължава в следващите версии на Windows до момента. Въпреки това, генерирането на ключове и режимите на криптиране на BitLocker са променени. Така през октомври 2014 г. Microsoft тихомълком премахна допълнителния алгоритъм на Elephant Diffuser, оставяйки само схемата AES-CBC с нейните известни недостатъци. Първоначално не бяха направени официални изявления за това. Хората просто получиха отслабена технология за криптиране с предишното име под прикритието на актуализация. Неясни обяснения за този ход дойдоха, след като опростяванията в BitLocker бяха забелязани от независими изследователи.

Формално, изоставянето на Elephant Diffuser беше необходимо, за да се гарантира съответствието на Windows с американските федерални стандарти за обработка на информация (FIPS), но един аргумент опровергава тази версия: Vista и Windows 7, които използваха Elephant Diffuser, бяха продадени в Америка без проблеми.

Друга очевидна причина за изоставяне на допълнителния алгоритъм е липсата на хардуерно ускорение за Elephant Diffuser и загубата на скорост при използването му. Въпреки това, в по-ранни години, когато процесорите бяха по-бавни, скоростта на криптиране беше наред по някаква причина. И същият AES беше широко използван дори преди да има отделни набори от инструкции и специализирани чипове за ускоряването му. С течение на времето беше възможно да се направи хардуерно ускорение за Elephant Diffuser или поне да се даде на клиентите избор между скорост и безопасност.

Друга, неофициална версия изглежда по-реалистична. „Слон“ пречеше на служителите на NSA, които искаха да отделят по-малко усилия за декриптиране на следващия диск, а Microsoft охотно взаимодейства с властите, дори в случаите, когато техните искания не са напълно легитимни. Косвено потвърждава теорията на конспирацията и факта, че преди Windows 8 BitLocker е използвал вградения в Windows генератор на псевдослучайни числа за генериране на ключове за криптиране. В много (ако не всички) издания на Windows това беше Dual_EC_DRBG, „криптографски силен PRNG“, разработен от Агенцията за национална сигурност на САЩ и съдържащ редица присъщи уязвимости.

Разбира се, тайното отслабване на вграденото криптиране предизвика силна вълна от критики. Под нейния натиск Microsoft отново въведе BitLocker, заменяйки PRNG в новите версии на Windows с CTR_DRBG. Освен това, в Windows 10 (започвайки с build 1511), схемата за криптиране по подразбиране е AES-XTS, която е имунизирана срещу манипулиране на блокове на шифрован текст. Последните версии на Топ 10 са адресирани до други известни грешки в BitLocker, но основният проблем все още остава. Толкова е абсурдно, че обезсмисля други иновации. Става дума за принципите на ключово управление.

Принципът на Лос Аламос

Задачата за декриптиране на устройства на BitLocker също е опростена от факта, че Microsoft активно популяризира алтернативен метод за възстановяване на достъп до данни чрез агента за възстановяване на данни. Значението на "Агента" е, че той криптира ключовете за криптиране на всички устройства в корпоративната мрежа с един ключ за достъп. След като го получите, можете да дешифрирате всеки ключ и следователно всеки диск, използван от същата компания. Удобно? Да, особено за хакване.

Идеята за използване на един ключ за всички ключалки вече се е компрометирала много пъти, но те продължават да се връщат към нея под една или друга форма за удобство. Ето как Ралф Лейтън записва спомените на Ричард Файнман за един характерен епизод от работата му по проекта Манхатън в лабораторията в Лос Аламос: “… Отворих три сейфа – и трите с една комбинация.<…>Завърших всички: отворих сейфовете с всички тайни на атомната бомба - технологията за получаване на плутоний, описание на процеса на пречистване, информация за това колко материал е необходим, как работи бомбата, как се получават неутрони, как работи бомбата, какви са нейните размери, с една дума, всичко. какво знаеха в Лос Аламос, цялата кухня!“.

BitLocker донякъде прилича на безопасното устройство, описано в друг откъс от книгата „Вие, разбира се, се шегувате, г-н Файнман!“ Най-впечатляващият сейф на строго секретната лаборатория имаше същата уязвимост като обикновен шкаф за документи. „… Беше полковник и имаше много по-хитър сейф с две врати и големи дръжки, които изваждаха четири стоманени пръта с дебелина три четвърти инча от рамката.<…>Сканирах задната част на една от внушителните бронзови врати и открих, че цифровият циферблат е свързан с малък катинар, който изглеждаше точно като ключалката на гардероба ми в Лос Аламос.<…>Беше очевидно, че лостът зависи от същата малка пръчка, която заключваше шкафовете за документи.<…>... Преструвайки се на някаква активност, започнах да усуквам крайника на случаен принцип.<…>Две минути по-късно - щракнете! - сейфът се отвори.<…>Когато вратата на сейфа или горното чекмедже на шкафа са отворени, е много лесно да намерите комбинацията. Това направих, когато прочетохте доклада ми, само за да ви покажа опасността.".

Крипто контейнерите на BitLocker са доста надеждни сами по себе си. Ако ви донесат флаш устройство, криптирано с BitLocker To Go от нищото, тогава е малко вероятно да го дешифрирате в разумен срок. Въпреки това, в реален сценарий, използващ криптирани устройства и сменяеми носители, има много уязвимости, които могат лесно да бъдат използвани за заобикаляне на BitLocker.

Потенциални уязвимости

Вероятно сте забелязали, че първия път, когато активирате BitLocker, трябва да чакате дълго време. Това не е изненадващо - процесът на криптиране сектор по сектор може да отнеме няколко часа, тъй като дори четенето на всички блокове от терабайтни твърди дискове не е възможно по-бързо. Деактивирането на BitLocker обаче става почти мигновено - как така?

Въпросът е, че когато е деактивиран, BitLocker не декриптира данните. Всички сектори ще останат криптирани с ключа FVEK. Просто достъпът до този ключ вече няма да бъде ограничен по никакъв начин. Всички проверки ще бъдат деактивирани и VMK ще остане записан сред метаданните в чист текст. Всеки път, когато компютърът се включи, зареждането на ОС ще прочете VMK (вече без проверка на TPM, искане за ключ на USB флаш устройство или парола), автоматично декриптира FVEK от него и след това всички файлове при достъп до тях. За потребителя всичко ще изглежда като пълна липса на криптиране, но най-внимателният може да забележи леко намаляване на производителността на дисковата подсистема. По-точно – няма увеличение на скоростта след деактивиране на криптирането.

Интересно в тази схема и още. Въпреки името (технология за пълно криптиране на диска), някои данни все още са некриптирани при използване на BitLocker. MBR и BS (освен ако дискът не е инициализиран в GPT), повредените сектори и метаданните остават ясни. Отвореният буутлоудър ви дава много въображение. Удобно е да скриете руткити и друг зловреден софтуер в псевдо-лоши сектори, а метаданните съдържат много интересни неща, включително копия на ключове. Ако BitLocker е активен, тогава те ще бъдат криптирани (но по-слабо от FVEK криптира съдържанието на секторите), а ако е деактивирано, те просто ще бъдат в чист текст. Всичко това са потенциални вектори на атака. Те са потенциални, защото освен тях има много по-прости и универсални.

Ключ за възстановяване

В допълнение към FVEK, VMK и SRK, BitLocker използва друг тип ключ, който се генерира „за всеки случай“. Това са ключове за възстановяване, свързани с друг популярен вектор на атака. Потребителите се страхуват да забравят паролата си и да загубят достъп до системата, а самият Windows им препоръчва да направят спешно влизане. За да направите това, съветникът за криптиране на BitLocker на последния етап предлага създаване на ключ за възстановяване. Не е предвиден отказ за създаването му. Можете да изберете само една от ключовите опции за експортиране, всяка от които е много уязвима.

В настройките по подразбиране ключът се експортира като обикновен текстов файл с разпознаваемо име: "BitLocker recovery key #", където идентификаторът на компютъра е изписан вместо # (да, точно в името на файла!). Самият ключ изглежда така.

Ако сте забравили (или никога не сте знаели) паролата си за BitLocker, просто потърсете файла с ключ за възстановяване. Със сигурност ще бъде запазен между документите на текущия потребител или на неговото USB флаш устройство. Може би дори е отпечатан на лист хартия, както препоръчва Microsoft. Просто изчакайте, докато вашият колега си вземе почивка (както винаги, забравяйки да заключите компютъра) и започнете да търсите.

Ключ за вход за възстановяване

За да намерите бързо ключа за възстановяване, е удобно да ограничите търсенето по разширение (txt), дата на създаване (ако можете да си представите, кога сте могли да включите BitLocker) и размер на файла (1388 байта, ако файлът не е редактиран). След като намерите ключа за възстановяване, копирайте го. С него можете да заобиколите стандартното оторизиране в BitLocker по всяко време. За да направите това, просто натиснете Esc и въведете ключа за възстановяване. Ще влезете без проблеми и дори можете да промените паролата на BitLocker на произволна, без да посочвате старата! Това вече напомня триковете от рубриката "Западно строителство".

Отваряне на BitLocker

Истинската криптографска система е компромис между удобство, скорост и надеждност. Той трябва да предоставя процедури за прозрачно криптиране с декриптиране в движение, методи за възстановяване на забравени пароли и удобна работа с ключове. Всичко това отслабва всяка система, без значение колко стабилни алгоритми е базирана. Следователно не е необходимо да се търсят уязвимости директно в алгоритъма Rijndael или в различни схеми на стандарта AES. Много по-лесно е да ги намерите точно в спецификата на конкретно изпълнение.

В случая с Microsoft подобни „специфичности“ са достатъчни. Например, копията на ключовете на BitLocker по подразбиране се изпращат до SkyDrive и се депозират в Active Directory. За какво? Е, какво ще стане, ако ги загубите... или пита агент Смит. Неудобно е клиентът да чака, да не говорим за агента.

Поради тази причина сравнението на криптографската сила на AES-XTS и AES-CBC с Elephant Diffuser избледнява на заден план, както и препоръките за увеличаване на дължината на ключа. Колкото и дълго да е, нападателят може лесно да го получи в ясен текст.

Извличането на депонирани ключове от акаунт в Microsoft или AD е основният начин за атака на BitLocker. Ако потребителят не е регистрирал акаунт в облака на Microsoft и компютърът му не е в домейна, тогава все още има начини за извличане на ключовете за криптиране. При нормална работа техните отворени копия винаги се съхраняват в RAM (в противен случай няма да има "прозрачно криптиране"). Това означава, че те са налични в неговия файл за дъмп и хибернация.

Защо изобщо се съхраняват там? Колкото и смешно да изглежда - за удобство. BitLocker е проектиран да защитава само срещу офлайн атаки. Те винаги са придружени от рестартиране и свързване на диск в друга ОС, което води до почистване на RAM паметта. Въпреки това, в настройките по подразбиране, ОС извършва изхвърляне на RAM, когато възникне повреда (която може да бъде провокирана) и записва цялото й съдържание във файла за хибернация всеки път, когато компютърът влезе в дълбок сън. Следователно, ако наскоро сте влезли в Windows с активиран BitLocker, има голям шанс да получите декриптирано копие на VMK и с негова помощ да дешифрирате FVEK и след това самите данни по веригата. Виж това?

Всички горепосочени методи за хакване на BitLocker са събрани в една програма - Forensic Disk Decryptor, разработена от местната компания Elcomsoft. Той може автоматично да извлича ключове за криптиране и да монтира криптирани томове като виртуални дискове, като ги декриптира в движение.

Освен това EFDD прилага друг нетривиален начин за получаване на ключове - атака през порта FireWire, който е препоръчително да използвате, когато няма начин да стартирате софтуера си на атакувания компютър. Винаги инсталираме самата програма EFDD на нашия компютър, а на хакнатия се опитваме да направим с минимално необходими действия.

Като пример просто ще стартираме тестова система с активен BitLocker и безшумно изхвърляме паметта. Така че ще симулираме ситуация, в която колега е излязъл на обяд и не е заключил компютъра си. Стартираме RAM Capture и след по-малко от минута ще получим пълен дъмп във файл с разширение .mem и размер, съответстващ на количеството RAM, инсталирано на компютъра на жертвата.

Създаване на дъмп на паметта

Как да направите сметище - като цяло няма разлика. Независимо от разширението, това ще доведе до двоичен файл, който допълнително ще бъде автоматично анализиран от EFDD при търсене на ключове.

Записваме дъмп на USB флаш устройство или го прехвърляме по мрежата, след което сядаме на компютъра си и стартираме EFDD.

Изберете опцията "Извличане на ключове" и въведете пътя до файла с дъмп на паметта като източник на ключ.

Посочваме източника на ключовете

BitLocker е типичен крипто контейнер като PGP Disk или TrueCrypt. Тези контейнери се оказаха доста надеждни сами по себе си, но клиентските приложения за работа с тях под Windows са затрупани с ключове за криптиране в RAM. Следователно, EFDD прилага общ сценарий за атака. Програмата незабавно намира ключове за криптиране и от трите типа популярни крипто-контейнери. Следователно можете да оставите всички квадратчета отметнати - какво ще стане, ако жертвата тайно използва TrueCrypt или PGP!

След няколко секунди Elcomsoft Forensic Disk Decryptor показва всички намерени ключове в прозореца си. За удобство те могат да бъдат запазени във файл - това ще бъде полезно по-късно.

BitLocker вече не е пречка! Можете да извършите класическа офлайн атака – например да извадите твърдия диск на колега и да копирате съдържанието му. За да направите това, просто го включете в компютъра си и стартирайте EFDD в режим "декриптиране или монтиране на диск".

След като посочите пътя до файловете със запазените ключове, EFDD по ваш избор ще извърши пълно декриптиране на тома или веднага ще го отвори като виртуален диск. В последния случай файловете се декриптират при достъп до тях. Във всеки случай не се правят промени в оригиналния обем, така че на следващия ден можете да го върнете, сякаш нищо не се е случило. Работата с EFDD става безследно и само с копия на данни и следователно остава невидима.

BitLocker To Go

Започвайки със "седемте" в Windows, стана възможно криптирането на флаш памети, USB-HDD и други външни носители. Технология, наречена BitLocker To Go, криптира сменяемите устройства точно както локалните устройства. Шифроването се активира от съответния елемент в контекстното меню на Explorer.

За нови устройства можете да използвате криптиране само на заетата област - все пак свободното пространство на дяла е запълнено с нули и няма какво да се крие там. Ако устройството вече е използвано, тогава се препоръчва да активирате пълно криптиране на него. В противен случай пространството, отбелязано като свободно, ще остане некриптирано. Може да съдържа наскоро изтрити файлове в чист текст, които все още не са презаписани.

Дори бързото криптиране само на натоварена зона отнема от няколко минути до няколко часа. Това време зависи от количеството данни, честотната лента на интерфейса, характеристиките на устройството и скоростта на криптографските изчисления на процесора. Тъй като криптирането е придружено от компресиране, свободното пространство на криптирания диск обикновено се увеличава леко.

Следващият път, когато свържете криптираната флаш памет към който и да е компютър с Windows 7 или по-нова версия, съветникът на BitLocker автоматично ще извика, за да отключи устройството. В Explorer, преди отключване, той ще бъде показан като заключен диск.

Тук можете да използвате както вече обсъжданите опции за заобикаляне на BitLocker (например търсене на VMK ключ в файл за дъмп на паметта или хибернация), така и нови, свързани с ключове за възстановяване.

Ако не знаете паролата, но сте успели да намерите един от ключовете (ръчно или с помощта на EFDD), тогава има две основни опции за достъп до криптираната флаш памет:

• използвайте вградения съветник на BitLocker, за да работите директно с флаш устройството;
• използвайте EFDD, за да дешифрирате напълно флаш устройство и да създадете негово изображение сектор по сектор.

Първата опция ви позволява незабавно да получите достъп до файловете, записани на USB флаш устройството, да ги копирате или промените, както и да напишете свои собствени. Вторият вариант отнема много повече време (от половин час), но има своите предимства. Дешифрираното изображение сектор по сектор позволява по-сложен анализ на файловата система на ниво лаборатория за криминалистика. В този случай самото флаш устройство вече не е необходимо и може да бъде върнато непроменено.

Полученото изображение може да се отвори незабавно във всяка програма, която поддържа IMA формат, или първо да се преобразува в друг формат (например с помощта на UltraISO).

Разбира се, в допълнение към намирането на ключа за възстановяване за BitLocker2Go, всички други методи за заобикаляне на BitLocker се поддържат в EFDD. Просто преминете през всички налични опции подред, докато намерите ключ от всякакъв тип. Останалите (до FVEK) сами ще бъдат декриптирани по веригата и ще получите пълен достъп до диска.

заключения

Технологията за пълно дисково криптиране на BitLocker се различава от версия до версия на Windows. След адекватна конфигурация ви позволява да създавате криптирани контейнери, които теоретично са сравними по сила с TrueCrypt или PGP. Въпреки това, вграденият механизъм за работа с клавиши на Windows отрича всички алгоритмични трикове. По-конкретно, VMK, използван за декриптиране на главния ключ в BitLocker, се възстановява с помощта на EFDD за няколко секунди от депониран дубликат, изхвърляне на паметта, файл за хибернация или атака на порт FireWire.

След като получите ключа, можете да извършите класическа офлайн атака, дискретно да копирате и автоматично дешифрирате всички данни на „сигурния“ диск. Следователно BitLocker трябва да се използва само във връзка с други защити: криптираща файлова система (EFS), услуга за управление на правата (RMS), контрол на стартиране на програми, контрол на инсталирането и връзката на устройството и по-строги местни политики и общи мерки за сигурност.

Последна актуализация от 28 февруари 2017 г.

Добър ден приятели.

Поставили сте парола за определена информация в компютъра и сега искате да я премахнете? Не сте сигурни как да направите това? Тази статия предоставя прости инструкции как да деактивирате Bitlocker - самата програма, която защитава вашите данни от хакване.

Bitlocker е вградена помощна програма в Windows системите, предназначена да гарантира безопасността на важна информация от неоторизиран достъп. След като го инсталира, собственикът на компютъра поставя парола за всички или някои файлове. Приложението ви позволява да го запишете на външен носител или да го отпечатате, за да оставите ПИН кода само в паметта, защото може да го изпомпва.

Шифроването на информацията се състои във факта, че програмата я преобразува в специален формат, който може да се чете само след въвеждане на паролата.

Ако се опитате да отворите файл без него, ще видите несвързани цифри и букви.

Първоначално можете да конфигурирате помощната програма, така че ключалката да бъде премахната, когато се постави USB флаш устройство с ключ. По-добре да имате няколко медии с парола.

Важно! Ако забравите и загубите всички ключове, заедно с тях ще загубите достъп до всички данни на диска (или на флаш устройство) завинаги.

Приложението за първи път започна да работи в подобрена версия на Windows Vista. Вече е достъпна и за други поколения от тази система.

Начини за деактивиране на Bitlocker

Не е нужно да сте хакер или ИТ специалист, за да деблокирате. Всичко се прави просто; разбира се, ако сами зададете паролата и няма да хакнете данните на други хора. Това е вярно? Тогава да преминем към анализа.

Има няколко начина за отключване на файлове. Най-простият от тях изглежда така:

• Щракнете с десния бутон върху необходимия диск и в падащия прозорец кликнете върху "BitLocker Control";

• Ще се отвори ново меню, където трябва да изберете елемента "Изключване".

Когато преинсталирате Windows 10 или друга версия на ОС, трябва да спрете криптирането. За да го завършите, следвайте инструкциите по-долу:

• Отворете Старт - Контролен панел - Система и сигурност - Шифроване на диск с BitLocker;
• Изберете „Пауза на защитата“ или „Управление на BitLocker“ - след това „Деактивиране на BitLocker“ (в Win7).
• Щракнете върху „Да“, за да потвърдите, че умишлено го деактивирате.

Чрез същото меню можете напълно да изключите заключването, като натиснете съответния бутон.

Имайте предвид, че Windows Vista и други версии на системата може да имат различни имена за горните секции. Но във всеки случай ще намерите желаните настройки чрез контролния панел. Например в Windows 8 можете да го отворите по следния начин:

Честно казано, не знам как да деактивирам този рансъмуер, ако паролата е загубена ... Мога само да препоръчам форматиране на устройството - в резултат на което дискът ще бъде наличен за работа. Но в тази ситуация всички данни върху него естествено ще изчезнат.

Е, това е всичко, надявам се да е било полезно.

До скоро приятели!

В Windows 10 можете напълно да шифровате твърдия си диск със сигурността на BitLocker. Тази програма вече е интегрирана в Windows и е лесна за използване - поне ако дънната ви платка има специален TPM. Ето как работи.

Задвижване на криптиране в Windows 10 с BitLocker

Дънната ви платка може да има компонент, наречен крипто процесор или чип Trusted Platform Module (TPM). Той съхранява ключове за криптиране за защита на информацията на хардуерно ниво. Изглежда така: Ако има TPM на дънната платка, криптирането на твърдия диск в Windows 10 е много лесно за организиране: Щракнете върху бутона Старт> Explorer> Този компютър.

В прозореца щракнете с десния бутон върху устройството, което искате да шифровате, и изберете Активиране на BitLocker от падащото меню. Въведете силна парола за вашия твърд диск. Всеки път, когато включите компютъра си, Windows ще поиска тази парола, за да дешифрира данните.

Изберете как искате да архивирате ключа за възстановяване. Може да бъде запазен в акаунт в Microsoft, копиран на USB устройство или отпечатан.

Изберете дали да шифровате цялото или само свободното място на диска. Ако наскоро сте инсталирали Windows 10, изберете последния. Ако активирате криптиране на устройство, което вече се използва, най-добре е да шифровате цялото устройство.

Щракнете върху Продължи, за да започнете криптирането.

Когато криптирането приключи, рестартирайте компютъра си и въведете паролата си. Ако получите съобщение за грешка в стъпка 2, което показва, че трябва да разрешите на BitLocker да работи без съвместим TPM, значи вашата дънна платка няма съвместим TPM. В този случай ще трябва да обикаляте.

Шифроване на диск в Windows 10 без TPM За да шифровате твърдия си диск в Windows 10, без да използвате модул за съхранение на хардуерен ключ, направете следното: Върнете се в полето Търсене в Интернет и Windows и въведете „Групови правила“ (без кавичките).

Щракнете върху записа Промяна на груповата политика. Ще се отвори нов прозорец.

Придвижете се до Административни шаблони> Компоненти на Windows> Шифроване на диск с BitLocker> Дискове на операционната система.

Щракнете двукратно върху Тази настройка на правилата ви позволява да конфигурирате да изисквате допълнително удостоверяване при стартиране. В новия прозорец изберете Разрешено, поставете отметка в квадратчето до Разрешаване на BitLocker без съвместим TPM и щракнете върху OK.

Отворете този компютър, изберете устройството и щракнете върху Включване на BitLocker.

След това ще бъде извършена бърза проверка на вашия компютър. Когато проверката приключи, системата ще попита дали искате да заключите компютъра си с USB ключ или парола.

Изберете дали BitLocker криптира оставащото свободно пространство или целия твърд диск.

BitLocker ще стартира във фонов режим, криптирайки вашия твърд диск. Можете да продължите да работите нормално. След първото рестартиране на компютъра, вашата система ще се стартира само ако въведете правилната парола по време на стартиране или включите USB устройство с резервно копие на ключа.

Много потребители с пускането на операционната система Windows 7 бяха изправени пред факта, че в нея се появи неразбираема услуга BitLocker. Много хора могат само да гадаят какво представлява BitLocker. Нека изясним ситуацията с конкретни примери. Ще разгледаме и въпроси, свързани с това колко целесъобразно е да активирате този компонент или напълно да го деактивирате.

Услуга BitLocker: за какво е

Ако го погледнете правилно, можете да заключите, че BitLocker е напълно автоматизиран универсален инструмент за криптиране на данни, съхранявани на твърд диск. Какво представлява BitLocker на твърд диск? Това е често срещана услуга, която без намеса на потребителя ви позволява да защитавате папки и файлове, като ги криптирате и създавате специален текстов ключ, който осигурява достъп до документи. В момента, когато потребителят работи под своя акаунт, той дори не знае, че данните са криптирани. Цялата информация се показва в четим вид и достъпът до папки и файлове не е блокиран за потребителя. С други думи, такова средство за защита е предназначено само за онези ситуации, при които се осъществява неоторизиран достъп до компютърния терминал, когато се прави опит за намеса отвън.

Проблеми с криптографията и паролата

Ако говорим за това какво представлява BitLocker Windows 7 или в системи от по-висок ранг, е необходимо да се отбележи такъв неприятен факт: в случай на загуба на паролата за вход, много потребители няма да могат не само да влязат в системата , но и за извършване на някои действия за преглед на документи, които преди са били налични, чрез преместване, копиране и т.н. Но проблемите не свършват дотук. Ако разбирате правилно въпроса какво е BitLocker Windows 8 и 10, тогава няма специални разлики. Може да се отбележи само по-напредналата криптографска технология. Проблемът тук е различен. Работата е там, че самата услуга може да работи в два режима, съхранявайки ключове за декриптиране или на твърд диск, или на сменяемо USB устройство. Оттук се налага едно напълно логично заключение: потребителят, ако има запазен ключ на твърдия диск, лесно получава достъп до цялата информация, която се съхранява на него. Когато ключът се съхранява на флаш устройство, проблемът е много по-сериозен. По принцип можете да видите криптиран диск или дял, но няма да можете да прочетете информацията. Освен това, ако говорим за това какво представлява BitLocker в Windows 10 и системи от по-ранни версии, тогава трябва да се отбележи, че услугата е интегрирана в контекстни менюта от всякакъв тип, които се извикват чрез щракване с десен бутон. Това е просто досадно за много потребители. Нека не се изпреварваме и да разгледаме всички основни аспекти, които са свързани с работата на този компонент, както и с препоръчителността на неговото деактивиране и използване.

Преносим носител и техника за криптиране на дискове

Най-странното е, че в различни системи и техните модификации по подразбиране услугата Windows 10 BitLocker може да бъде както в активен, така и в пасивен режим. В Windows 7 е активиран по подразбиране, в Windows 8 и Windows 10 понякога трябва да бъде активиран ръчно. Що се отнася до криптирането, тук не е измислено нищо ново. Обикновено се използва същата AES технология с публичен ключ, която се използва най-често в корпоративните мрежи. Следователно, ако вашият компютърен терминал със съответната операционна система е свързан към локалната мрежа, можете да сте напълно сигурни, че използваната политика за сигурност и защита на информацията предполага активиране на тази услуга. Дори и да имате администраторски права, не можете да промените нищо.

Активиране на услугата Windows 10 BitLocker, ако е деактивирана

Преди да започнете да решавате проблем с Windows 10 BitLocker, трябва да обмислите процеса на активиране и конфигуриране. Стъпките за деактивиране ще трябва да се извършат в обратен ред. Активирането на криптиране по най-простия начин става от "Контролен панел", като изберете секцията за криптиране на диска. Този метод може да се използва само ако ключът не трябва да се запазва на сменяем носител. Ако несменяемият носител е заключен, тогава трябва да потърсите друг въпрос относно услугата Windows 10 BitLocker: как да деактивирате този компонент? Това е достатъчно лесно. При условие, че ключът е на сменяем носител, за дешифриране на дискове и дискови дялове го поставете в съответния порт и след това отидете в секцията "Контролен панел" на системата за сигурност. След това намираме елемента за криптиране на BitLocker и след това разглеждаме носителя и устройствата, на които е инсталирана защита. В долната част ще има хипервръзка за деактивиране на криптирането. Трябва да кликнете върху него. Ако ключът бъде разпознат, процесът на декриптиране ще бъде активиран. Просто трябва да изчакате завършването на неговото изпълнение.

Конфигуриране на компоненти за рансъмуер: проблеми

Що се отнася до въпроса за персонализирането, няма да мине без главоболие. Преди всичко трябва да се отбележи, че системата предлага резервиране на поне 1,5 GB за вашите нужди. Второ, трябва да коригирате разрешенията на файловата система NTFS, като например свиване на силата на звука. За да направите такива неща, трябва незабавно да деактивирате този компонент, тъй като повечето потребители не се нуждаят от него. Дори тези, които имат активирана тази услуга по подразбиране в настройките, не винаги знаят какво да правят с нея и дали изобщо е необходима. И напразно ... На локален компютър можете да защитите данните с негова помощ, дори ако изобщо няма антивирусен софтуер.

Как да деактивирате BitLocker: Първи стъпки

На първо място, трябва да използвате гореспоменатия елемент в "Контролен панел". Имената на полетата за деактивиране на услугата може да се променят в зависимост от системната модификация. Избраното устройство може да има защитна линия за пауза или индикация за деактивиране на услугата BitLocker. Но не това е въпросът. Трябва да обърнете специално внимание на това, че трябва напълно да деактивирате актуализирането на BIOS и файловете за зареждане на системата. В противен случай процесът на декриптиране може да отнеме доста дълго време.

Контекстно меню

Това е едната страна на монетата, която е свързана с услугата BitLocker. Какво представлява тази услуга, вече трябва да е ясно. Недостатъкът е да се изолират допълнителни менюта от наличието на връзки към тази услуга. За да направите това, трябва да погледнете отново BitLocker. Как да премахнете всички връзки към услуга от контекстното меню? Много е просто ... Когато изберете желания файл в "Explorer", използвайте секцията за услуги и редактирайте контекстното меню, отидете на настройките и след това използвайте настройките на командата и ги организирайте. След това трябва да посочите стойността на "Контролен панел" и да намерите желания в списъка със съответните елементи на панели и команди и да го изтриете. След това в редактора на системния регистър трябва да отидете в клона HKCR и да намерите секцията ROOT Directory Shell, да я разширите и да изтриете желания елемент, като натиснете клавиша Del или използвате командата за изтриване от менюто с десния бутон. Това е последното нещо за BitLocker. Как да го деактивирате, вече трябва да ви е ясно. Но не се ласкайте преди време. Тази услуга ще продължи да работи във фонов режим, независимо дали ви харесва или не.

Заключение

Трябва да се добави, че това далеч не е всичко, което може да се каже за компонента на системата за криптиране на BitLocker. Вече разбрахме какво е BitLocker. Освен това научихте как да деактивирате и премахвате командите от менюто. Въпросът е различен: струва ли си да изключите BitLocker. Тук може да се даде един съвет: в корпоративна мрежа изобщо не трябва да деактивирате този компонент. Но ако говорим за терминал за домашен компютър, тогава защо не.

computerologia.ru

BitLocker: Какво представлява и как да го отключите?

С пускането на операционната система Windows 7 много потребители бяха изправени пред факта, че в нея се появи малко неразбираема услуга BitLocker. Какво е BitLocker, мнозина могат само да гадаят. Нека се опитаме да изясним ситуацията с конкретни примери. По пътя ще разгледаме въпросите доколко е целесъобразно да активирате този компонент или да го деактивирате напълно.

BitLocker: какво е BitLocker, защо е необходим

Накратко, BitLocker е универсален и напълно автоматизиран инструмент за криптиране на данни, съхранявани на твърд диск. Какво представлява BitLocker на твърд диск? Това е просто услуга, която без намеса на потребителя защитава файлове и папки, като ги криптира и създава специален текстов ключ, който осигурява достъп до документи.

Когато потребител работи в системата под собствения си акаунт, той може дори да не предположи, че данните са криптирани, тъй като информацията се показва в четим вид и достъпът до файлове и папки не е блокиран. С други думи, такова средство за защита е предназначено само за онези ситуации, когато се извършва неоторизиран достъп до компютърния терминал, например когато се прави опит за намеса отвън (интернет атаки).

Проблеми с парола и криптография

Независимо от това, ако говорим за това какво представлява BitLocker Windows 7 или системи от по-висок ранг, заслужава да се отбележи неприятния факт, че ако паролата за вход бъде загубена, много потребители не само не могат да влязат в системата, но и да извършат някои действия за преглед на документи, налични по-рано за копиране, преместване и т.н.

Но това не е всичко. Ако се занимавате с въпроса какво е BitLocker Windows 8 или 10, тогава няма специални разлики, освен че имат по-напреднала технология за криптография. Тук проблемът е явно различен. Факт е, че самата услуга може да работи в два режима, съхранявайки ключове за декриптиране или на твърд диск, или на сменяемо USB устройство.

Оттук се налага най-простият извод: ако на твърдия диск има запазен ключ, потребителят получава достъп до цялата информация, съхранявана на него, без никакви проблеми. Но когато ключът е запазен на флаш устройство, проблемът е много по-сериозен. По принцип можете да видите криптиран диск или дял, но не можете да прочетете информацията.

Освен това, ако говорим за това какво представлява BitLocker за Windows 10 или системи от по-ранни версии, не може да не се отбележи фактът, че услугата е интегрирана в контекстни менюта от всякакъв тип, извиквани чрез щракване с десен бутон, което просто е досадно за мнозина потребители. Но нека не се изпреварваме, а да разгледаме всички основни аспекти, свързани с работата на този компонент и целесъобразността от неговото използване или деактивиране.

Техника за криптиране на дискове и сменяеми носители

Най-странното е, че на различни системи и техните модификации услугата BitLocker може да бъде както в активен, така и в пасивен режим по подразбиране. В "седем" той е активиран по подразбиране, в осмата и десетата версия, понякога се изисква ръчно активиране.

Що се отнася до криптирането, нищо особено ново не е измислено. Като правило се използва същата технология за публичен ключ на AES, която най-често се използва в корпоративните мрежи. Следователно, ако вашият компютърен терминал със съответната операционна система на борда е свързан към локалната мрежа, можете да сте сигурни, че приложената политика за сигурност и защита на данните предполага активиране на тази услуга. Без администраторски права (дори ако стартирате промяната на настройките като администратор), няма да можете да промените нищо.

Включете BitLocker, ако услугата е деактивирана

Преди да решим проблема, свързан с BitLocker (как да деактивирате услугата, как да премахнете нейните команди от контекстното меню), нека разгледаме активирането и конфигурирането, особено след като стъпките за деактивиране ще трябва да се извършат в обратен ред.

Активирането на криптиране по най-простия начин става от "Контролен панел", като изберете секцията за криптиране на диска. Този метод е приложим само ако ключът не трябва да се запазва на сменяем носител.

В случай, че несменяемият носител е заключен, ще трябва да намерите отговор на друг въпрос относно услугата BitLocker: как да деактивирате този компонент на USB флаш устройство? Това се прави съвсем просто.

При условие, че ключът се намира точно на сменяем носител, за да декриптирате дискове и дискови дялове, първо трябва да го поставите в съответния порт (конектор) и след това да отидете в секцията "Контролен панел" на системата за сигурност. След това намираме елемента за криптиране на BitLocker и след това разглеждаме устройствата и носителите, на които е инсталирана защита. Най-отдолу ще се покаже хипервръзка за деактивиране на криптирането, върху която трябва да кликнете. Ако ключът бъде разпознат, процесът на декриптиране се активира. Остава само да изчакаме до края на неговото изпълнение.

Проблеми с конфигурирането на компоненти за рансъмуер

Когато става въпрос за персонализиране, главоболието е незаменимо. Първо, системата предлага да резервирате поне 1,5 GB за вашите нужди. Второ, трябва да коригирате разрешенията на файловата система NTFS, да намалите размера на обема и т.н. За да не правите такива неща, по-добре е незабавно да деактивирате този компонент, защото повечето потребители просто не се нуждаят от него. Дори всички, които имат активирана тази услуга в настройките по подразбиране, също не винаги знаят какво да правят с нея, дали изобщо е необходима. Но напразно. Може да се използва за защита на данни на локален компютър, дори ако няма антивирусен софтуер.

BitLocker: как да деактивирате. Първи етап

Отново използваме посочения по-рано елемент в "Контролен панел". В зависимост от модификацията на системата, имената на полетата за деактивиране на услугата може да се променят. Избраното устройство може да има низ за защита на пауза или директна индикация за деактивиране на BitLocker.

Това не е смисълът. Тук си струва да се обърне внимание на факта, че ще трябва напълно да деактивирате актуализирането на BIOS и файловете за зареждане на компютърната система. В противен случай процесът на декриптиране може да отнеме много време.

Контекстно меню

Това е само едната страна на монетата с услугата BitLocker. Какво е BitLocker вероятно вече е ясно. Но недостатъкът е и изолирането на допълнителни менюта от наличието на връзки към тази услуга.

За да направите това, нека да разгледаме отново BitLocker. Как да премахнете всички връзки към услуга от контекстното меню? Елементарно! В "Explorer", когато е избран необходимият файл или папка, използваме секцията за услуги и редактираме съответното контекстно меню, отиваме в настройките, след което използваме настройките на командите и ги подреждаме.

След това в редактора на системния регистър отидете в клона HKCR, където намираме секцията ROOTDirectoryShell, разгънете я и изтрийте желания елемент, като натиснете клавиша Del или командата delete от менюто с десния бутон. Всъщност, ето последното нещо по отношение на компонента BitLocker. Как да го деактивирате, мисля, вече е ясно. Но не се ласкайте. Тази услуга ще продължи да работи във фонов режим (за всеки случай), независимо дали ви харесва или не.

Вместо послеслов

Остава да добавим, че това не е всичко, което може да се каже за компонента на системата за криптиране на BitLocker. Какво е BitLocker, разбрах как да го деактивирате и да премахнете командите от менюто - също. Въпросът е дали си струва да изключите BitLocker? Тук можете да дадете само един съвет: в корпоративна локална мрежа изобщо не трябва да деактивирате този компонент. Но ако това е терминал за домашен компютър, защо не?

fb.ru

Bitlocker криптиране на флаш устройства и устройства в Windows 10

Много от нас често прехвърлят важна, ценна информация на външни устройства. Това могат да бъдат ssd устройства, други външни устройства за съхранение на данни. Най-популярната е може би обикновена флаш памет, на която човек най-често прехвърля необходимата информация. Но какво ще стане, ако загубите USB флаш устройството си? Или преносим външен ssd диск? Отговор: криптирайте външните си устройства и поставете парола на USB флаш устройството, така че никой да не може да използва вашата информация, когато я намери. Има много софтуер на трети страни за защита на флаш устройства, но защо е необходим, ако програмата, която се инсталира, може да бъде деинсталирана с течение на времето по небрежност. В тази статия ще разгледаме как да защитите устройствата си с вградения инструмент за Windows 10.

Забележка: Ще използваме BitLocker, който присъства в Pro или Enterpris версии на Windows 10.

Съветвам ви да видите повече:

Как да защитите с парола папка и файлове с помощта на функцията EFS

Поставете парола в папка без програми

Какво е BitLocker?

BitLocker е функция за криптиране за сменяеми носители, включително USB флаш устройства, SD карти и външни твърди дискове. BitLocker поддържа файлови системи NTFS, FAT32, exFAT. Форматиран с някоя от тези файлови системи, той може да бъде защитен с BitLocker. За разлика от EFS криптирането, което е предназначено за криптиране на папки и файлове, BitLocker не може да работи с файлове; той е предназначен за сменяеми носители.

Как да поставите парола на USB флаш устройство и дискове в Windows 10

• Свържете USB флаш или външен твърд диск към Windows 10.
• Щракнете с десния бутон върху устройството, което искате да защитите, и щракнете върху Включване на BitLocker.

• Поставете отметка в квадратчето Използване на парола, за да отключите диска.
• Създайте своя собствена парола, за да защитите данните си.

• Изберете архивиране на ключ Запиши файл.
• Запазете файла на удобно за вас място, той ще ви е необходим, за да отключите флашката, ако сте забравили паролата си.

• Препоръчайте Шифроване на целия диск.

• Изберете режим на криптиране Режим на съвместимост.

• Изчакайте края на процеса.

Достъп до защитени с парола данни

• Поставете вашето криптирано устройство в USB порт на вашия компютър и отворете.

• Въведете вашата парола, която сте измислили в началото на криптирането.
• Ако сте забравили паролата си за USB флаш устройство, щракнете върху Разширени опции и въведете кода за възстановяване, който сте запазили на компютъра си.

Деактивирайте BitLocker и премахнете паролата от флаш устройството

За да изтриете зададената парола и отново да направите USB флаш устройството нормално, трябва да изключите "Bitlocker". За да направите това, поставете вашето USB устройство в компютъра и въведете паролата си за отключване.

• След отключване щракнете с десния бутон върху флаш устройството и изберете Manage BitLocker.

• Намерете вашето устройство, от което искате да премахнете паролата, и в долната част щракнете върху Деактивиране на BitLocker.

Вижте също:

Коментари, задвижвани от HyperComments Докладвайте за грешка

mywebpc.ru

Как да криптирате диск или флаш устройство със секретни данни с помощта на Bitlocker

Здравейте всички! Защитата на личните данни от неоторизиран достъп е важен момент за потребителите на компютри. Това е особено вярно за офис компютри, където се съхранява търговска или друга информация, която трябва да бъде скрита от неоторизиран преглед. Днес ще разгледам темата "Битлокер криптиране на диск в Windows 10". Този материал ще помогне да се защитят данните не само на твърдия диск, но и на сменяеми носители, като се използват стандартни средства от "десетки".

BitLocker е въведен за първи път в Windows 7 (разширен) и е внедрен в следващите версии на операционната система. Предлага се само в професионални и корпоративни издания. За домашни потребители е осигурена опростена конфигурация за криптиране на устройство.

Същността на криптирането

Какво е? Процесът е използването на специален алгоритъм за преобразуване на данни в специален формат, който може да бъде прочетен само от собственика. Дори ако някой се опита да отвори защитени файлове, ще се покажат куп безсмислени букви и цифри.

Активиране на BitLocker

Интересувате ли се как да активирате кодирането? Подробни инструкции - по-долу.

1. В контролния панел отидете на секцията „Система и сигурност“ и изберете раздела „Шифроване на диска“.
2. Втори начин. Щракнете с десния бутон върху желания диск, файл или папка. Избираме елемента от контекстното меню „Вкл. BitLoker“. Ако тази опция не е в списъка, значи използвате неподдържана версия на операционната система. Правим същото за криптиране на флаш устройство.
3. Ще се отвори прозорец, който ви представя две опции, от които да избирате: твърди дискове и BitLocker To Go.

Първият метод е подходящ за пълно криптиране на твърдия диск. В този случай, по време на стартиране на компютъра, ще трябва да посочите паролата, която сте задали. Едва след това декодерът ще свърши своята работа и системата ще стартира.

Вторият метод е подходящ за външни устройства. Когато такова флаш устройство е свързано към компютър, можете да отворите съдържанието на диска, след като въведете паролата.

• В случаите, когато модулът TPM не е инсталиран на компютъра (това е чип на чипсет, който може да съхранява ключове за криптиране. Повишава нивото на сигурност. Дори ако дискът бъде откраднат, данните ще останат затворени), вие ще получавате следния прозорец с грешка. Той ви подканва да разрешите BitLocker без участието на TPM:

• За да деактивираме TRM, а мисля, че много малко хора го имат, ще използваме помощната програма gpedit.msc (влизаме през конзолата Win + R), за да променим груповите правила. Преминете през дървото на папките:

Конфигурация на компютъра - Административни шаблони - Компоненти на Windows - BitLocker - Операционни устройства.

• В дясната част на прозореца намираме елемента „Изисква се удостоверяване ...“ и променяме състоянието на „Включено“. Освен това позволяваме използването на криптиране без TPM, като отметка съответния елемент:

Имате въпроси? Или всичко е изключително просто? Ако възникнат трудности (в края на краищата, дори и най-универсалната инструкция може да не работи в конкретни случаи), задайте въпроси чрез формуляра за коментари след статията.

Начини за отключване

След като сте изпълнили успешно всички стъпки от предишните инструкции, ще трябва да изберете метод, с който можете да отключите диска. Най-често срещаният вариант е да зададете парола. Но можете да създадете специален външен носител, който ще съхранява ключовете за декодиране. С TPM чип на дънната платка изборът от опции ще се разшири значително. Например, наистина ще бъде възможно да зададете автоматично декриптиране по време на стартиране на компютъра или да зададете ПИН за декодиране и допълнителен код на дискове.

Изберете метода, който ви харесва най-добре от всички налични.

Резервен ключ

Какво мислите, че ще се случи, ако забравите паролата си или загубите носителя на главния ключ? Или да инсталирате твърдия диск на друг компютър (с различен TPM)? Как да възстановим достъпа в такава ситуация? Windows 10 предоставя възможност за запазване на резервен ключ (на диск, флаш устройство) или за отпечатване. Важно е копието да се съхранява сигурно, така че никой да не може да стигне до него. В противен случай всички усилия за осигуряване на защита ще бъдат анулирани.

Внимание! Ако загубите всички ключове, ще загубите данните си завинаги! По-точно няма да можете да ги дешифрирате! Просто е невъзможно да деактивирате такава защита.

BitLocker работи офлайн и кодира новодобавени (създадени) файлове и папки на устройства. В този случай има два възможни начина, по които можете да отидете.

1. Шифровайте целия диск, включително свободното пространство (неизползвано). Надежден, но бавен начин. Подходящ за случаи, когато трябва да скриете цялата информация (дори за онези файлове, които са били изтрити преди много време и могат да бъдат възстановени).
2. Защитете само използваното пространство (заети дялове). Това е по-бързият метод и препоръчвам да го изберете в повечето ситуации.

След тази стъпка ще започне системният анализ. Компютърът ще се рестартира и процесът на криптиране ще започне директно. Можете да задържите курсора на мишката върху иконата в областта за уведомяване, за да проследите напредъка си. Трябва да се отбележи лек спад в производителността поради консумацията на RAM.

Следващото стартиране на компютъра ще бъде придружено от появата на прозорец за въвеждане на ПИН кода или предложение за поставяне на USB устройство с ключове. Всичко зависи от избрания от вас метод.

Ако трябва да използвате резервен ключ, натиснете Esc на клавиатурата и следвайте изискванията на съветника за възстановяване.

Използване на BitLocker To Go

Първоначалната настройка на помощната програма за криптиране на външни устройства е същата като по-горе. Но не е необходимо рестартиране на компютъра.

Важен момент! До края на процеса не изваждайте устройството, в противен случай резултатите могат да бъдат неочаквани.

Веднага след като свържете "защитеното" флаш устройство към лаптопа, ще се появи прозорец за въвеждане на парола:

Променете настройките на BitLocker

Би било нелогично, ако потребителите не могат да променят паролата си и други настройки. Искате ли да знаете как да премахнете защитата? Това се прави просто. Щракнете с десния бутон върху желания диск и изберете "BitLoker Management".

Вдясно ще има списък с възможности. Последният елемент "Изключване ..." е отговорен за изключване на криптирането.

Личен опит от употреба

Винаги имам със себе си USB флаш устройство, криптирано с Bitlocker, тъй като съхранявам както пароли, така и снимки и работни данни на него. При едно от командировките си загубих флашката, но изобщо не се разстроих, защото разбрах, че всички данни са криптирани и човекът, който ги е намерил, няма да може да ги използва. За тези, които се притесняват за безопасността, това е най-оптималното решение.

Така че разбрахме тази трудна, но важна тема. И накрая, бих искал да отбележа, че използването на такава защита влияе върху увеличеното натоварване на процесора и консумира RAM ресурси. Но това са незначителни жертви в сравнение със загубата на незащитена информация в резултат на кражба и неоторизиран достъп. Съгласен ли си?

С уважение Виктор

it-tehnik.ru

BitLocker. Въпроси и отговори

Отнася се за: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

За ИТ специалистите този раздел предоставя отговори на често задавани въпроси относно изискванията за използване, актуализиране, внедряване и администриране, както и правила за управление на ключове за BitLocker.

BitLocker обработва дискове на операционната система

BitLocker може да се използва за намаляване на риска от неоторизиран достъп до данни на изгубени или откраднати компютри чрез криптиране на всички потребителски и системни файлове на устройството на операционната система, включително файлове за пейджинг и хибернация, и чрез проверка на целостта на по-рано заредени компоненти и данни за конфигурацията на зареждане .

BitLocker обработва сменяеми и фиксирани устройства

BitLocker може да се използва за криптиране на цялото съдържание на устройство с данни. С групови правила можете да изисквате BitLocker да бъде активиран на устройство, преди да записвате данни на устройството. BitLocker ви позволява да конфигурирате различни методи за отключване за устройства с данни, а устройството с данни поддържа няколко метода за отключване.

Да, BitLocker поддържа многофакторно удостоверяване за устройства с операционна система. Ако активирате BitLocker на TPM 1.2 или 2.0 компютър, можете да използвате допълнителни форми на удостоверяване въз основа на този модул.

За да използвате всички функции на BitLocker, вашият компютър трябва да отговаря на хардуерните и софтуерните изисквания, изброени в раздела Конфигурации на устройства, поддържани от BitLocker в Бялата книга за шифроване на устройства на BitLocker.

Необходими са два дяла, за да функционира BitLocker, тъй като удостоверяването преди стартиране и проверките за целостта на системата трябва да се извършват на отделен дял, който не е същият като шифрованото устройство на операционната система. Тази конфигурация помага за защита на операционната система и данните на криптирания диск.

BitLocker поддържа версиите на TPM, които са изброени в раздела Изисквания на Бялата книга за шифроване на устройства на BitLocker.

За информация как да направите това, вижте Намиране на информация за TPM драйвер.

За информация как да направите това, вижте Намиране на информация за TPM драйвер.

Да, можете да активирате BitLocker на устройство с операционна система без TPM 1.2 или 2.0, ако фърмуерът на BIOS или UEFI поддържа четене от USB флаш устройство при стартиране. Това е възможно, защото BitLocker не освобождава заключването на Secure Drive, докато главният ключ за силата на звука на BitLocker не бъде получен от TPM на компютъра или от USB флаш устройство, което съдържа стартовия ключ на BitLocker за този компютър. Компютрите без TPM обаче няма да могат да извършват проверки на целостта на системата, които BitLocker поддържа.

За да тествате четливостта на USB устройство по време на зареждане, използвайте проверката на системата BitLocker по време на настройката на BitLocker. Тази проверка изпълнява тестове, за да се гарантира, че USB устройствата могат да четат в точното време и че компютърът отговаря на други изисквания на BitLocker.

За информация как да активирате BitLocker на компютър, който не е TPM, вижте BitLocker: Как да активирате BitLocker.

За повече информация относно необходимите операционни системи Windows и версиите на TPM вижте Изисквания в Бялата книга за шифроване на устройства на BitLocker.

Попитайте производителя на вашия компютър за BIOS или UEFI фърмуер, който отговаря на стандартите TCG и отговаря на следните изисквания.

Той е получил сертификат за лого, където е приложимо, и е съвместим с версиите, изброени в списъка с приложения в началото на този раздел.

Съответствие със стандартите TCG за клиентския компютър.

Сигурен механизъм за актуализиране, който предотвратява инсталирането на злонамерен фърмуер на BIOS или стартиращ софтуер на вашия компютър.

Членството в локалната група администратори е необходимо, за да активирате, деактивирате и конфигурирате BitLocker на устройства с операционна система и фиксирани устройства с данни. Стандартните потребители могат да активират, деактивират и променят конфигурацията на BitLocker на сменяеми устройства с данни.

За повече информация вижте Изисквания в Бялата книга за шифроване на устройства на BitLocker.

Трябва да конфигурирате настройките за стартиране на компютъра си, така че твърдият диск да е първи при стартиране, преди всички други устройства, като например CD/DVD устройства или USB устройства. Ако твърдият диск не е първият и обикновено зареждате от твърдия диск, тогава е възможно да се открие или подозира промяна в реда на зареждане при откриване на сменяеми носители по време на зареждане. Редът за зареждане обикновено засяга системното измерение, което BitLocker проверява, и промяната на реда за зареждане ще подкани ключа за възстановяване на BitLocker. По същата причина, ако имате лаптоп с докинг станция, уверете се, че твърдият диск е на първо място в реда на зареждане както при докинг, така и при разкачване.

За повече информация вижте Архитектура на BitLocker в Бялата книга за шифроване на устройства на BitLocker.

да. За да надстроите от Windows 7 до Windows 8 или Windows 8.1, без да декриптирате устройството на операционната система, отворете BitLocker Drive Encryption в контролния панел на Windows 7, щракнете върху връзката Управление на BitLocker и след това щракнете върху бутона Пауза. Поставянето на пауза на защитата не декриптира устройството, но деактивира механизмите за удостоверяване, използвани от BitLocker, и използва незащитен ключ за достъп до устройството. Продължете с процеса на надстройка, като използвате Windows 8 DVD или надстройка на Windows 8.1. След като актуализацията приключи, отворете File Explorer, щракнете с десния бутон върху устройството и след това изберете Възобновяване на защитата. Методите за удостоверяване на BitLocker се активират повторно и незащитеният ключ се премахва.

Командата Decrypt напълно премахва защитата на BitLocker и напълно декриптира устройството.

Спирането оставя данните криптирани, но криптира главния ключ за обем на BitLocker с незащитен ключ. Unprotected е криптографски ключ, който се съхранява на диск без криптиране и без защита. Поддържането на този ключ нешифрован позволява на командата Pause да модифицира и актуализира компютъра, без да губи време и ресурси за декриптиране и повторно криптиране на цялото устройство. Когато направите промените и го активирате отново, BitLocker запечатва ключа за криптиране с новите стойности на компонента, които са променени по време на надстройката, главният ключ за силата на звука се променя, протекторите се актуализират и незащитеният ключ се премахва.

Следващата таблица изброява стъпките, които трябва да предприемете, преди да извършите актуализация или да инсталирате актуализации.

Тип актуализация

Действие

Надстройка на Windows по всяко време	Декриптиране
Надстройка от Windows 7 до Windows 8	Съспенс
Актуализации на софтуер, който не е разработен от Microsoft, като например: актуализация на фърмуера, предоставена от производителя на компютъра; Актуализация на фърмуера на TPM; Актуализации на приложения, различни от Microsoft, които променят стартиращи компоненти.	Съспенс
Актуализации на софтуер и операционна система от Microsoft Update	Тези актуализации не изискват декриптиране на устройство, нито деактивиране или спиране на BitLocker.

Да, внедряването и конфигурирането на BitLocker и TPM могат да бъдат автоматизирани с помощта на TPM инструментариум или скриптове на Windows PowerShell. Изпълнението на скриптове зависи от средата. Можете също да използвате инструмента от командния ред на BitLocker Manage-bde.exe, за да конфигурирате BitLocker локално или отдалечено. За повече информация относно скриптовете, които използват доставчиците на BitLocker WMI, вижте статията на MSDN Доставчик на криптиране на устройства за BitLocker. За повече информация относно използването на командни команди на Windows PowerShell с BitLocker Drive Encryption, вижте BitLocker команди в Windows PowerShell.

да. В Windows Vista BitLocker криптира само дискове на операционната система. Windows Vista Service Pack 1 (SP1) и Windows Server 2008 добавят поддръжка за криптиране на фиксирани устройства с данни. Ново в Windows Server 2008 R2 и Windows 7, BitLocker може също да шифрова сменяеми устройства с данни.

Обикновено влошаването на производителността не надвишава десет процента.

Въпреки че криптирането на BitLocker работи на заден план, докато продължавате да работите и системата остава достъпна, времето за криптиране зависи от типа, размера и скоростта на устройството. Разумно е да планирате криптиране на много големи дискове, когато те не се използват.

Ново в Windows 8 и Windows Server 2012, когато активирате BitLocker, можете да изберете дали BitLocker криптира цялото устройство или само заетото пространство. Криптирането на заетото пространство на нов твърд диск е забележимо по-бързо от криптирането на цялото устройство. След като изберете опция за криптиране, BitLocker автоматично криптира данните в мястото на съхранение и гарантира, че няма данни да се съхраняват без криптиране.

Ако компютърът се изключи или премине в хибернация, процесът на криптиране и декриптиране на BitLocker се възобновява там, където е спрял следващия път, когато Windows стартира. Същото се случва и в случай на прекъсване на захранването.

Не, BitLocker не криптира и декриптира цялото устройство, когато чете и записва данни. Секторите, криптирани на защитено с BitLocker устройство, се дешифрират само когато са поискани от системното четене. Блоковете, които се записват на диск, се криптират, преди системата да ги запише на физическия диск. Данните никога не се оставят некриптирани на защитено с BitLocker устройство.

Контролите, въведени в Windows 8, ви позволяват да активирате настройките на груповите правила, които ще изискват защита на BitLocker за устройства с данни, преди защитен с BitLocker компютър да може да записва данни на тези устройства. За повече информация вижте Предотвратяване на запис в незащитени от BitLocker сменяеми устройства или Предотвратяване на запис в незащитени от BitLocker фиксирани устройства в статията Настройки на груповите правила на BitLocker.

Когато тези настройки на правилата са активирани, операционната система, защитена с BitLocker, ще монтира устройства с данни, които не са защитени с BitLocker в режим само за четене.

За повече информация, включително как да управлявате потребители, които могат случайно да запишат данни на нешифровани устройства, когато използвате компютър без активиран BitLocker, вижте BitLocker: Предотвратете на потребителите в мрежата да записват данни на незащитено устройство.

Следните типове системни промени могат да причинят грешка при проверка на целостта. В този сценарий TPM не предоставя ключа BitLocker за декриптиране на защитено устройство на операционната система.

Преместване на защитено с BitLocker устройство на нов компютър.

Инсталиране на нова системна платка с нов TPM.

Деактивирайте, деактивирайте или изчистете TPM.

Променете конфигурационните параметри на зареждане.

Променете BIOS, UEFI фърмуер, главен запис за стартиране (MBR), сектор за стартиране, диспечер на зареждане, опция ROM, други компоненти за предварително зареждане или данни за конфигурация на стартиране.

За повече информация вижте Как работи в Бялата книга за шифроване на устройства на BitLocker.

Тъй като BitLocker е проектиран да защитава компютъра ви от множество атаки, има много причини, поради които BitLocker може да стартира в режим на възстановяване. Поради тези причини вижте Сценарии за възстановяване в Бялата книга за шифроване на устройства на BitLocker.

Да, твърдите дискове могат да се разменят на един и същ компютър с активиран BitLocker, при условие че имат активирана защита на BitLocker на същия компютър. Ключовете на BitLocker са уникални за TPM и устройството на операционната система. Следователно, за да подготвите резервен диск с операционна система или диск с данни в случай на повреда на диска, трябва да се уверите, че те използват един и същ TPM. Можете също да конфигурирате различни твърди дискове за различни операционни системи и след това да активирате BitLocker на всяко устройство с различни методи за удостоверяване (например, едното устройство има само TPM, а другото има TPM с ПИН) и това няма да доведе до конфликти.

Да, устройството с данни може да бъде отключено чрез използване на BitLocker Drive Encryption в контролния панел по обичайния начин (с помощта на парола или смарт карта). Ако за диска с данни е конфигурирано само автоматично отключване, трябва да използвате ключ за възстановяване. Ако устройството на операционната система е свързано към друг компютър, работещ с версията на операционната система, посочена в списъка Използване в началото на този раздел, криптираният твърд диск може да бъде отключен с помощта на агент за възстановяване на данни (ако е конфигуриран) или с помощта на ключ за възстановяване .

Шифроването на BitLocker не е налично за някои устройства. Например размерът на диска може да е твърде малък, файловата система може да е несъвместима, дискът може да е динамичен или обозначен като системен дял. По подразбиране системното устройство (или системния дял) не се показва в прозореца на компютъра. Въпреки това, ако дискът не е създаден като скрит по време на персонализираната инсталация на операционната система, тогава той може да бъде показан, но не и криптиран.

Защитата на BitLocker се поддържа за произволен брой вътрешни фиксирани устройства. Някои версии поддържат ATA и SATA директно свързани устройства за съхранение на данни. За подробности относно поддържаните устройства вижте Конфигурации на поддържани устройства с BitLocker в Бялата книга за шифроване на устройства на BitLocker.

BitLocker може да създава и използва различни ключове. Някои са задължителни, а други са опционални предпазители, които могат да се използват в зависимост от необходимото ниво на безопасност.

За повече информация вижте Какво е BitLocker в Бялата книга за шифроване на устройства на BitLocker.

Паролата за възстановяване или ключът за възстановяване на устройството с операционна система или несменяемото устройство с данни могат да бъдат запазени в папка, на едно или повече USB устройства, записани във вашия акаунт в Microsoft или отпечатани.

Паролата за възстановяване и ключът за възстановяване за сменяеми устройства с данни могат да бъдат запазени в папка, записани във вашия акаунт в Microsoft или отпечатани. По подразбиране ключът за възстановяване на преносим диск не може да се съхранява на преносим диск.

Администраторът на домейна може да конфигурира допълнителна групова политика, за да генерира автоматично пароли за възстановяване и да ги съхранява в домейн услуги за всички защитени с BitLocker устройства.

За повече информация вижте BitLocker: Как да съхранявате пароли и ключове за възстановяване.

Можете да използвате инструмента от командния ред Manage-bde.exe, за да замените удостоверяването само за TPM с многофакторно удостоверяване. Например, ако в BitLocker е активирано само удостоверяване на TPM, тогава, за да добавите удостоверяване с ПИН, въведете следните команди от команден ред с повишени стойности, замествайки желания цифров ПИН:

manage-bde –protectors –delete% systemdrive% -type tpm

manage-bde –protectors –add% systemdrive% -tpmandpin

За повече информация вижте Режими за удостоверяване на последователността на зареждане в Бялата книга за шифроване на устройства на BitLocker.

BitLocker е проектиран така, че криптирано устройство не може да бъде възстановено без задължително удостоверяване. В режим на възстановяване потребителят се нуждае от парола за възстановяване или ключ за възстановяване, за да отключи криптираното устройство.

Съхраняването на двата ключа на едно и също USB флаш устройство е технически възможно, но не се препоръчва. Ако вашето USB флаш устройство с ключа за стартиране е изгубено или откраднато, вие също ще загубите достъп до ключа за възстановяване. В допълнение, поставянето на такъв ключ кара компютъра да се стартира автоматично с помощта на ключа за възстановяване, дори ако файловете, измерени от TPM, са се променили и проверката на целостта на системата не се извършва.

Да, ключът за стартиране на компютъра може да се съхранява на няколко USB флаш устройства. Щракнете с десния бутон върху защитеното с BitLocker устройство и щракнете върху Управление на BitLocker, за да отворите опциите за копиране на ключове за възстановяване.

Да, можете да съхранявате ключове за стартиране на BitLocker за различни компютри на едно и също USB флаш устройство.

Можете да използвате скриптове за генериране на различни ключове за стартиране за един и същ компютър, но за TPM компютри, генерирането на различни ключове за стартиране не позволява на BitLocker да използва проверката за целостта на TPM системата.

Не е възможно да се създават множество ПИН комбинации.

Необработените данни се криптират с ключа за криптиране на пълен обем, който след това се криптира с главния ключ за обем. Главният ключ за обем от своя страна е криптиран по един от няколкото възможни метода, в зависимост от типа на удостоверяване (защита на ключове или TPM) и сценариите за възстановяване.

За повече информация относно ключовете за криптиране, как се използват и къде се съхраняват, вижте Какво е BitLocker в Бялата книга за шифроване на устройства на BitLocker.

Ключът за криптиране на пълен обем се криптира с главния ключ за обем и се съхранява на криптирания диск. Главният ключ за обем е криптиран с подходящ протектор за ключ и се съхранява на криптирания диск. Когато защитата на BitLocker е спряна, незащитеният ключ, който криптира главния ключ за обем, също се съхранява на криптираното устройство заедно с криптирания главен ключ за обем.

Тази процедура за съхранение гарантира, че главният ключ за обем никога не се съхранява нешифрован и винаги е защитен, освен ако BitLocker не е деактивиран. Ключовете също се съхраняват на две допълнителни места на диска за резервиране. Ключовете могат да се четат и обработват от мениджъра за изтегляне.

За повече информация вижте Как работи в Бялата книга за шифроване на устройства на BitLocker.

Клавишите F1 – F10 имат универсални кодове за избиране, налични в средата преди стартиране на всички компютри за всички езици. Цифровите клавиши от 0 до 9 може да не се използват на всички клавиатури в средата преди зареждане.

Ако използвате защитен ПИН, потребителите се съветват да извършат допълнителна проверка на системата по време на инсталацията на BitLocker, за да гарантират, че правилният ПИН може да бъде въведен в средата преди стартиране. За повече информация относно подобрените ПИН кодове вижте Какво е BitLocker в Бялата книга за шифроване на устройства на BitLocker.

Нападателят може да разбере ПИН кода чрез груба сила. Атаката с груба сила се извършва от нападател с помощта на автоматизиран инструмент, който проверява различни ПИН комбинации, докато бъде намерен правилният код. За компютри, защитени с BitLocker, този тип атака, известна още като речникова груба атака, изисква нападател да има физически достъп до компютъра.

Модулът Trusted Platform има вградени възможности за откриване и противодействие на тези атаки. Тъй като TPM от различни производители имат различни мерки срещу подправяне, консултирайте се с производителя на TPM, за да определите как TPM на вашия компютър може да предотврати атака с ПИН чрез груба сила.

След като идентифицирате производителя на TPM, свържете се с него за подробности за разработката на модула. Повечето производители ще увеличат експоненциално времето, необходимо за заключване на ПИН интерфейс с нарастващ брой ПИН грешки. Всеки производител обаче има свои собствени правила за намаляване или нулиране на брояча на грешки.

За повече информация вижте Намиране на информация за TPM драйвер.

За да определите производителя на вашия TPM, вижте Намиране на информация за TPM драйвер.

Задайте на производителя на TPM следните въпроси относно механизма за смекчаване на атаката на речника.

Колко неуспешни опита за достъп са разрешени преди блокиране?

Какъв алгоритъм се използва за определяне на продължителността на заключването, като се вземе предвид броят на неуспешните опити за достъп и други значими параметри?

Какви действия могат да намалят или нулират броя на грешките или продължителността на блока?

Да и не. Можете да зададете минималната дължина на ПИН кода в настройката Конфигуриране на минимална дължина на ПИН за стартиране на груповите правила и да разрешите използването на буквено-цифрови ПИН кодове, като активирате настройката на груповите правила Разрешаване на стартиране на защитени ПИН кодове. Не можете обаче да задавате изисквания за сложността на ПИН кода в групови правила.

BitLocker To Go е BitLocker Drive Encryption за сменяеми устройства с данни. USB флаш памети, SD карти, външни твърди дискове и други устройства с файлова система NTFS, FAT16, FAT32 или exFAT са криптирани.

За повече информация, включително как да удостоверите или отключите преносимо устройство с данни и как да проверите дали четец на BitLocker To Go не е инсталиран на FAT устройства, вижте Преглед на BitLocker To Go.

Ако BitLocker е активиран на устройство, преди груповата политика да бъде приложена за принудително архивиране, данните за възстановяване няма да бъдат автоматично архивирани в Active Directory Domain Services, когато компютърът е присъединен към домейн или се прилага групова политика. Въпреки това, в Windows 8 можете да използвате настройките на груповите правила Изберете методи за възстановяване за защитени с BitLocker дискове на операционна система, Изберете методи за възстановяване за защитени с BitLocker несменяеми устройства и Изберете методи за възстановяване за преносими устройства, защитени с BitLocker, за да го направите задължително за вашия компютър да се присъедини към домейна, преди да активирате BitLocker. Това ще архивира данните за възстановяване на устройства, защитени с BitLocker, в Active Directory Domain Services.

Инструментацията за управление на Windows (WMI) за BitLocker позволява на администраторите да напишат скрипт за архивиране или синхронизиране на съществуващи данни за възстановяване на онлайн клиент, но BitLocker не управлява автоматично този процес. Инструментът на командния ред Manage-bde също ви позволява ръчно да архивирате данни за възстановяване в Active Directory Domain Services. Например, за да архивирате всички данни за възстановяване за C: устройството в Active Directory Domain Services, изпълнете следната команда в команден ред с повишени стойности: manage-bde -protectors -adbackup C :.

Да, запис се записва в регистъра на събитията на клиентския компютър, показващ успешно или неуспешно архивиране на Active Directory. Въпреки това, дори ако успешното завършване е посочено в регистъра на събитията, данните за възстановяване може да бъдат изтрити от Active Directory Domain Services. Освен това конфигурацията на BitLocker може да се промени, така че да няма достатъчно данни от Active Directory за отключване на устройството (например, ако защитникът на ключа за паролата за възстановяване е премахнат). Възможно е също така запис в дневника да бъде подправен.

За да гарантирате, че домейн услугите на Active Directory имат валидно резервно копие, трябва да заявите Active Directory Domain Services с идентификационни данни на администратор на домейна, като използвате BitLocker Password Viewer.

Не. Паролите за възстановяване на BitLocker не се премахват от Active Directory Domain Services и следователно може да се появят множество пароли за всяко устройство. За да определите последната парола, проверете датата на обекта.

Ако първоначалното архивиране е неуспешно, например когато контролерът на домейн стане недостъпен, докато работи съветникът за настройка на BitLocker, BitLocker не се опитва повторно да архивира данните за възстановяване в Active Directory Domain Services.

Ако администратор избере квадратчето за отметка Изисквайте резервно копие на BitLocker в AD DS в настройката на правилата за съхранение на информация за възстановяване в Active Directory Domain Services (Windows 2008 и Windows Vista) или (еквивалентно) избере Не разрешавайте BitLocker, докато данните за възстановяване не бъдат записани в AD DS за дискове с операционна система система за отметка (преносими устройства с данни, фиксирани устройства с данни) в някоя от настройките на правилата Изберете методи за възстановяване за устройства, защитени с BitLocker операционна система, Изберете методи за възстановяване за сменяеми устройства, защитени с BitLocker, Изберете методи за възстановяване за BitLocker- защитени сменяеми устройства, тогава потребителите няма да могат да активират BitLocker, когато компютърът не е присъединен към домейна и данните за възстановяване на BitLocker не са архивирани в Active Directory Domain Services. Ако тези опции са посочени и архивирането е неуспешно, BitLocker не може да бъде активиран. Това гарантира, че администраторите могат да възстановят всички защитени с BitLocker дискове в организацията.

Ако администраторът изчисти тези квадратчета за отметка, устройството може да бъде защитено с BitLocker, без успешно архивиране на данните за възстановяване в Active Directory Domain Services. Въпреки това, BitLocker не повтаря автоматичното архивиране, ако не успее. Вместо това администраторите могат да създадат скрипт за архивиране, както е описано по-рано в Какво се случва, ако BitLocker е активиран на моя компютър, преди да се присъединят към домейна? За събиране на данни след възстановяване на връзката.

BitLocker използва AES криптиране с конфигурируема дължина на ключа (128 или 256 бита). По подразбиране криптирането е AES-128, но можете да конфигурирате настройките чрез групови правила.

За да внедрите BitLocker на устройство с операционна система, се препоръчва компютър с TPM 1.2 или 2.0 и TCG-съвместим BIOS или UEFI фърмуер и се препоръчва ПИН код. Изискването на предоставен от потребителя ПИН, в допълнение към проверката на TPM, не позволява на нападател, който получи достъп до компютър, просто да го стартира.

В основна конфигурация BitLocker на дискове на операционната система (TPM, но без допълнително удостоверяване) осигурява допълнителна защита за хибернация. Използването на опционално удостоверяване на BitLocker (TPM и PIN, TPM и USB ключ или TPM, PIN и USB ключ) осигурява допълнителна защита при хибернация. Този метод е по-сигурен, тъй като за връщане от хибернация се изисква удостоверяване на BitLocker. Препоръчваме ви да деактивирате хибернацията и да използвате комбинация TPM / PIN за удостоверяване.

Повечето операционни системи използват споделено пространство на паметта и операционната система е отговорна за управлението на физическата памет. TPM е хардуерен компонент, който използва собствен фърмуер и вътрешна логика за обработка на инструкции, като защитава от уязвимости във външния софтуер. Хакването на TPM изисква физически достъп до компютъра. Освен това хардуерната защита от кракване обикновено изисква по-скъпи инструменти и умения, които не са толкова често срещани, колкото софтуера за кракване. Тъй като TPM на всеки компютър е уникален, ще отнеме много време и усилия, за да се компрометира множество TPM компютри.

Всички версии на BitLocker, включени в операционната система, са сертифицирани по FIS и Common Criteria EAL4 +. Тези сертификати също са завършени за Windows 8 и Windows Server 2012 и са в ход за Windows 8.1 и Windows Server 2012 R2.

BitLocker Network Unlock улеснява управлението на BitLocker TPM + защитени с PIN компютри и сървъри в среда на домейн. Когато рестартирате компютър, свързан към кабелна корпоративна мрежа, Network Unlock ви позволява да заобиколите подкана за PIN. Томовете на операционната система, защитени с BitLocker, се отключват автоматично с помощта на доверен ключ, който се предоставя от сървъра на Windows Deployment Services като допълнителен метод за удостоверяване.

За да използвате заключване на мрежата, трябва също да настроите ПИН за вашия компютър. Ако компютърът ви не е свързан към мрежа, трябва да въведете ПИН, за да го отключите.

BitLocker Network Unlock има хардуерни и софтуерни изисквания за клиентски компютри, услуги за внедряване на Windows и контролери на домейни, които трябва да бъдат изпълнени, преди да можете да го използвате. За повече информация относно тези изисквания вижте Как работи BitLocker Drive Encryption.

Отключването на мрежата използва два предпазителя, предпазителя на TPM и предпазителя, предоставен от мрежата или PIN, докато автоматичното отключване използва един предпазител, съхранен в TPM. Ако компютърът се присъедини към мрежа без защита на ключ, той се подканва да въведете ПИН код. Ако ПИН кодът не е наличен, имате нужда от ключ за възстановяване, за да отключите компютър, който не може да бъде свързан към мрежата. За повече информация относно автоматичното и мрежово отключване вижте Как работи BitLocker Drive Encryption.

Да, криптиращата файлова система (EFS) може да се използва за криптиране на файлове на защитено с BitLocker устройство. За повече информация вижте Как работи в Бялата книга за шифроване на устройства на BitLocker.

да. Въпреки това, инструментът за отстраняване на грешки трябва да бъде активиран, преди да бъде активиран BitLocker. Предварителното активиране на инструмента за отстраняване на грешки гарантира, че показателите за здравето се изчисляват правилно, когато са запечатани към TPM, което позволява на компютъра да стартира правилно. Ако трябва да включите или изключите отстраняването на грешки, докато използвате BitLocker, първо спрете BitLocker, за да предотвратите преминаването на компютъра в режим на възстановяване.

BitLocker съдържа стек от драйвери за масово съхранение, който криптира изхвърлянията на паметта, когато BitLocker е активиран.

BitLocker не поддържа смарт карти за удостоверяване преди стартиране. Няма индустриален стандарт за поддръжка на смарт карти във фърмуера и повечето компютри не поддържат смарт карти във фърмуера или се прилагат само за определени видове смарт карти и четци. Липсата на стандартизация прави твърде трудно поддържането на смарт карти.

Microsoft не поддържа TPM драйвери на трети страни и категорично не препоръчва използването им с BitLocker. Използването на TPM драйвер, който не е на Microsoft с BitLocker, може да накара BitLocker да докладва, че няма TPM на компютъра и модулът не може да се използва с BitLocker.

Промяната на главния запис за зареждане (MBR) на компютри, където устройствата на операционната система са защитени от BitLocker, не се препоръчва от съображения за сигурност, надеждност и поддръжка на продукти. Промяната на главния запис за зареждане (MBR) може да промени средата за сигурност и да попречи на компютъра да стартира нормално, както и да усложни задачата за поправяне на повреден главен запис за зареждане (MBR). Промените в MBR, които не са направени с Windows, могат да поставят компютъра в режим на възстановяване или да направят напълно невъзможно зареждането.

Проверката на системата може да потвърди, че фърмуерът на вашия компютър (BIOS или UEFI) е съвместим с BitLocker и че TPM работи правилно. Проверката на системата може да не успее поради следните причини.

Фърмуерът на компютъра (BIOS или UEFI) не поддържа четене от USB флаш устройства.

Фърмуерът на компютъра (BIOS или UEFI) или менюто за стартиране не позволяват четене от USB флаш устройства.

В компютъра са поставени няколко USB флаш устройства.

ПИН кодът е въведен неправилно.

Фърмуерът на компютъра (BIOS или UEFI) поддържа само функционалните клавиши (F1-F10) за въвеждане на числа в средата преди зареждане.

Стартовият ключ беше премахнат, докато компютърът все още не е завършил рестартирането.

Поради неправилно функциониращ TPM ключовете не могат да бъдат предоставени.

Някои компютри не поддържат четене от USB флаш устройства в средата преди зареждане. Първо проверете опциите на фърмуера на BIOS или UEFI и опциите за стартиране, за да се уверите, че използването на USB устройства е активирано. Активирайте USB съхранение в BIOS или UEFI, ако не е активирано, и прочетете отново ключа за възстановяване от USB флаш устройство. Ако все още не можете да прочетете ключа, трябва да свържете твърдия диск като диск с данни към друг компютър с операционна система, за да прочетете ключа за възстановяване от USB флаш устройството. Ако USB флаш устройството е повредено, може да се наложи да въведете парола за възстановяване или да използвате данни за възстановяване, архивирани в Active Directory Domain Services. Освен това, ако ключът за възстановяване се използва в среда преди зареждане, уверете се, че дискът е NTFS, FAT16 или FAT32.

Автоматичното отключване на фиксирани устройства с данни изисква устройството на операционната система също да е защитено с BitLocker. Ако използвате компютър, на който устройството на операционната система не е защитено от BitLocker, устройството не може да бъде отключено автоматично. За сменяеми устройства с данни можете да добавите автоматично отключване, като щракнете с десния бутон върху устройството в Explorer и изберете Управление на BitLocker. Това сменяемо устройство може да бъде отключено на други компютри чрез въвеждане на парола или идентификационни данни за смарт карта, които са били посочени, когато BitLocker е бил включен.

Ограничените функции на BitLocker са налични в безопасен режим. Защитените с BitLocker устройства могат да бъдат отключени и декриптирани с помощта на елемента от контролния панел за шифроване на устройства BitLocker. В безопасен режим не можете да щракнете с десния бутон върху устройство, за да отворите опциите на BitLocker.

Инструментът за команден ред Manage-bde и командата –lock ви позволяват да заключвате сменяеми и несменяеми устройства с данни.

Синтаксис на командата:

управление-bde -lock

В допълнение към използването на тази команда, дисковете с данни се заключват по време на изключване или рестартиране на операционната система. Подвижните дискове с данни, които са изтрити от компютъра, също се заключват автоматично.

да. обаче сенчестите копия, създадени преди активиране на BitLocker, ще бъдат автоматично премахнати, когато BitLocker е активиран за софтуерно криптирани устройства. Ако се използва хардуерно криптиран диск, сенчестите копия се запазват.

BitLocker не се поддържа за VHD дискове за зареждане, но се поддържа за обеми на VHD данни, като тези, използвани в клъстери, когато работи под Windows 8, Windows 8.1, Windows Server 2012 или Windows Server 2012 R2.

Как да проверите звуковата карта на windows 10

Шифроването е включено по подразбиране, понякога не - като цяло всичко е сложно. В тази статия ще ви покажем как да проверите дали данните на диска са криптирани и ако не, как да активирате криптирането. Имайте предвид, че това е необходимо не само за защита от наблюдение от световните специални служби. Шифроването помага за защита на чувствителни данни в случай, че компютърът ви бъде откраднат.

За разлика от други съвременни операционни системи - Mac OS X, Chrome OS, iOS и Android - все още няма универсален инструмент за криптиране в Windows 10 за всички потребители. Трябва да закупите или използвате софтуер за криптиране на трети страни.

Криптиране на устройството

Много нови компютри с Windows 10 имат включено шифроване на устройството по подразбиране. Тази функция датира от Windows 8.1 и се използва само на устройства със специфични хардуерни конфигурации.

Освен това криптирането работи само ако сте влезли в Windows с акаунт в Microsoft. В този случай ключът за възстановяване на данни се качва на сървърите на Microsoft, което дава възможност за възстановяване на достъпа до файлове, ако не можете да влезете по някаква причина. (И това вероятно е причината ФБР да не е много загрижена за такова криптиране. Но във всеки случай тук говорим за криптиране за защита срещу кражба на лаптоп. Ако сте загрижени за наблюдението на NSA, по-добре потърсете по-добри начини за защита.)

За да проверите дали криптирането на устройството е активирано, отворете интерфейса за настройки, отидете на Система> Информация и вижте дали има опция за шифроване на устройството в най-долната част на прозореца. Ако не, значи тази функция не се поддържа на този компютър.

BitLocker

Ако криптирането на устройството не е активирано или ако имате нужда от по-функционално решение за криптиране на данни, включително сменяеми USB устройства, ще се оправите. Помощната програма BitLocker е включена в Windows в няколко последователни версии и има добра репутация. Въпреки това, той е достъпен само в Windows 10 Professional издание.

Ако имате това издание, потърсете в менюто "Старт" за BitLocker и използвайте контролния панел на BitLocker, за да активирате криптирането. Ако сте надстроили до Windows 10 безплатно от Windows 7 Professional или Windows 8.1 Professional, тогава трябва да имате Windows 10 Professional издание.

Ако имате, можете да надстроите до Windows 10 Professional за $99. За да направите това, просто отворете интерфейса за настройки, отидете на Актуализация и сигурност> Активиране и щракнете върху бутона Отидете в магазин. След надграждане до Windows 10 Professional ще имате достъп до BitLocker и други разширени функции.

TrueCrypt и производни

Плащането на $99 само за възможността за криптиране на твърд диск не е лесно решение, като се има предвид, че самите компютри с Windows днес често струват само няколкостотин долара. Но харченето на пари не е необходимо, защото BitLocker не е единственото решение. Да, BitLocker има най-пълната интеграция и поддръжка, но има и други инструменти за криптиране.

Това е помощна програма за пълно криптиране на диск с отворен код, която работи на Windows 10 и е жизнеспособна опция. Има и други помощни програми, изградени върху TrueCrypt. Всички те са безплатни и могат да бъдат инсталирани на Windows 10 Home и предишни версии на Windows, за да криптират твърдия ви диск, ако нямате достъп до BitLocker. За съжаление на съвременните компютри настройката на TrueCrypt е малко трудна. Но ако системата е купена още в дните на Windows 7 и сега е актуализирана за Windows 10, всичко ще върви гладко.

Да, създателите на TrueCrypt тържествено спряха разработката преди време, като обявиха създаването си за уязвимо и опасно, но много експерти по сигурността все още не са съгласни дали това е така. И най-важното е, че дискусията е основно за защита от НСА и други специални служби. Ако се интересувате от криптиране за защита на личните ви файлове от крадци в случай на кражба на вашия лаптоп, тези подробности не трябва да ви интересуват. За тези цели е достатъчно TrueCrypt криптиране.