Versleuteling van Windows 10 inschakelen Techniek voor het versleutelen van schijven en verwisselbare media. We wachten op het einde van de actie

BitLocker-coderingstechnologie verscheen tien jaar geleden voor het eerst en is met elke versie van Windows veranderd. Niet alle wijzigingen erin waren echter bedoeld om de cryptografische kracht te vergroten. In dit artikel gaan we dieper in op het apparaat van verschillende versies van BitLocker (inclusief de versies die vooraf zijn geïnstalleerd in de nieuwste builds van Windows 10) en laten we zien hoe u dit ingebouwde beveiligingsmechanisme kunt omzeilen.

Offline aanvallen

BitLocker was het antwoord van Microsoft op het groeiende aantal offline aanvallen die bijzonder eenvoudig waren op Windows-computers. Iedereen met kan zich een hacker voelen. Hij zet gewoon de dichtstbijzijnde computer uit en start hem weer op - dit keer met zijn besturingssysteem en een draagbare set hulpprogramma's voor het vinden van wachtwoorden, vertrouwelijke gegevens en het ontleden van het systeem.

Aan het einde van de werkdag kun je met een kruiskopschroevendraaier zelfs een kleine kruistocht organiseren - open de computers van de overleden werknemers en verwijder de schijven ervan. Die avond kan in een ontspannen thuisomgeving de inhoud van de uitgepakte schijven op duizend-en-een manieren worden geanalyseerd (en zelfs aangepast). De volgende dag is het voldoende om vroeg te komen en alles op zijn plaats terug te brengen.

Het is echter niet nodig om de computers van anderen direct op de werkplek te openen. Veel vertrouwelijke datalekken na het weggooien van oude computers en het vervangen van schijven. In de praktijk maken veilig wissen en formatteren op laag niveau van ontmantelde schijven alleen eenheden. Wat houdt jonge hackers en verzamelaars van digitaal verval tegen?

Zoals Bulat Okudzhava zong: "De hele wereld is gemaakt van beperkingen, zodat geluk niet gek wordt." De belangrijkste beperkingen in Windows zijn ingesteld op het niveau van toegangsrechten tot NTFS-objecten, die niet beschermen tegen offline aanvallen. Windows controleert eenvoudig de lees- en schrijfrechten voordat het opdrachten verwerkt die toegang hebben tot bestanden of mappen. Deze methode is behoorlijk effectief zolang alle gebruikers werken in een systeem dat is geconfigureerd door een beheerder met beperkte accounts. Het is echter de moeite waard om ofwel in een ander besturingssysteem op te starten, omdat er geen spoor van dergelijke bescherming zal zijn. De gebruiker zal de toegangsrechten zelf opnieuw toewijzen of ze gewoon negeren door een ander stuurprogramma voor het bestandssysteem te installeren.

Er zijn veel complementaire methoden om offline aanvallen tegen te gaan, waaronder fysieke beveiliging en videobewaking, maar de meest effectieve hiervan vereisen sterke cryptografie. Bootloaders zijn digitaal ondertekend om te voorkomen dat externe code wordt uitgevoerd, en de enige manier om de gegevens zelf op uw harde schijf echt te beschermen, is door deze te versleutelen. Waarom is volledige schijfversleuteling al zo lang afwezig in Windows?

Vista naar Windows 10

Er werken veel verschillende mensen bij Microsoft, en ze coderen niet allemaal met hun linkervoet. Helaas worden de uiteindelijke beslissingen in softwarebedrijven al lang niet door programmeurs, maar door marketeers en managers genomen. Het enige waar ze echt rekening mee houden bij het ontwikkelen van een nieuw product, zijn verkoopvolumes. Hoe gemakkelijker het is voor een huisvrouw om de software te begrijpen, hoe meer exemplaren van deze software kunnen worden verkocht.

“Denk eens aan, een half procent van de klanten maakt zich zorgen over hun veiligheid! Het besturingssysteem is al een complex product en je schrikt ook de doelgroep af met encryptie. Laten we het zonder doen! Ze konden het goed met elkaar vinden!” - zoiets zou het topmanagement van Microsoft kunnen redeneren tot het moment dat XP populair werd in het zakelijke segment. Te veel experts onder beheerders hebben al over beveiliging nagedacht om hun mening te negeren. Daarom verscheen in de volgende versie van Windows de langverwachte volumeversleuteling, maar alleen in de Enterprise- en Ultimate-edities, die gericht zijn op de zakelijke markt.

De nieuwe technologie heet BitLocker. Dit was waarschijnlijk de enige goede Vista-component. BitLocker versleutelde het volledige volume, waardoor gebruikers- en systeembestanden onleesbaar werden zonder het geïnstalleerde besturingssysteem te omzeilen. Belangrijke documenten, foto's van katten, register, SAM en SECURITY - alles bleek onleesbaar bij het uitvoeren van een offline aanval van welke aard dan ook. In Microsoft-terminologie is een "volume" niet noodzakelijk een schijf als een fysiek apparaat. Een volume kan een virtuele schijf zijn, een logische partitie of omgekeerd - een unie van meerdere schijven (spanned of striped volume). Zelfs een eenvoudige flashdrive kan worden beschouwd als een pluggable volume, waarvoor end-to-end-codering, te beginnen met Windows 7, een afzonderlijke implementatie is - BitLocker To Go (zie de zijbalk aan het einde van het artikel voor meer details) .

Met de komst van BitLocker is het moeilijker geworden om een ​​besturingssysteem van derden op te starten, aangezien alle bootloaders digitaal zijn ondertekend. Een tijdelijke oplossing is echter nog steeds mogelijk dankzij de compatibiliteitsmodus. Het is de moeite waard om de opstartmodus van UEFI naar Legacy in het BIOS te wijzigen en de Secure Boot-functie uit te schakelen, en de goede oude opstartbare USB-flashdrive zal weer van pas komen.

BitLocker gebruiken

Laten we eens kijken naar het praktische gedeelte met als voorbeeld Windows 10. In build 1607 kan BitLocker worden ingeschakeld via het Configuratiescherm (sectie Systeem en beveiliging, subsectie BitLocker-stationsversleuteling).

Als het moederbord echter geen TPM 1.2 of nieuwere cryptoprocessor heeft, kan BitLocker niet zonder reden worden gebruikt. Om het te activeren, moet u naar de Editor voor lokaal groepsbeleid (gpedit.msc) gaan en de tak Computerconfiguratie -> Beheersjablonen -> Windows-componenten -> BitLocker-stationsversleuteling -> Besturingssysteemstations uitvouwen voordat u "Deze beleidsinstelling staat u om de vereiste aanvullende authenticatie bij het opstarten te configureren. " Daar moet je de instelling "Allow BitLocker without a compatible TPM ..." vinden en inschakelen.

Extra BitLocker-instellingen kunnen worden geconfigureerd in aangrenzende lokale beleidssecties, inclusief sleutellengte en AES-coderingsmodus.

Nadat we het nieuwe beleid hebben toegepast, keren we terug naar het configuratiescherm en volgen we de instructies van de encryptie-configuratiewizard. Als extra beveiliging kunt u ervoor kiezen om een ​​wachtwoord in te voeren of een specifieke USB-stick aan te sluiten.

Hoewel BitLocker wordt beschouwd als een technologie voor volledige schijfcodering, staat het alleen gedeeltelijke codering van bezette sectoren toe. Dit is sneller dan alles versleutelen, maar deze methode wordt als minder betrouwbaar beschouwd. Al was het maar omdat tegelijkertijd verwijderde, maar nog niet overschreven bestanden nog enige tijd beschikbaar blijven voor directe uitlezing.

Volledige en gedeeltelijke codering

Na het configureren van alle parameters, zal het opnieuw opstarten. Windows zal u vragen om een ​​wachtwoord in te voeren (of een USB-flashstation in te voeren) en zal dan normaal starten en het achtergrondcoderingsproces op het volume starten.

Afhankelijk van de geselecteerde instellingen, schijfgrootte, processorfrequentie en ondersteuning voor individuele AES-commando's, kan de versleuteling enkele minuten tot enkele uren duren.

Nadat dit proces is voltooid, verschijnen er nieuwe items in het contextmenu van de Verkenner: Wachtwoord wijzigen en Snelle navigatie naar BitLocker-instellingen.

Houd er rekening mee dat alle acties, behalve het wijzigen van het wachtwoord, beheerdersrechten vereisen. De logica hier is eenvoudig: aangezien u succesvol bent ingelogd op het systeem, betekent dit dat u het wachtwoord kent en het recht hebt om het te wijzigen. Hoe redelijk is dit? We zullen het snel weten!

Hoe BitLocker werkt

De betrouwbaarheid van BitLocker mag niet worden beoordeeld aan de hand van de reputatie van AES. Een populaire coderingsstandaard heeft misschien geen duidelijke zwakheden, maar de implementaties ervan in specifieke cryptografische producten zijn er vaak in overvloed. Microsoft maakt de volledige code van BitLocker-technologie niet bekend. Het is alleen bekend dat het in verschillende versies van Windows gebaseerd was op verschillende schema's en dat er op geen enkele manier commentaar werd gegeven op de wijzigingen. Bovendien verdween het in build 10586 van Windows 10 gewoon en verscheen het na twee builds weer. Echter, de eerste dingen eerst.

De eerste versie van BitLocker gebruikte de modus Ciphertext Block Chaining (CBC). Zelfs toen waren de tekortkomingen duidelijk: het gemak van aanvallen met een bekende tekst, slechte weerstand tegen aanvallen zoals spoofing, enzovoort. Daarom besloot Microsoft meteen de bescherming te versterken. Al in Vista werd het Elephant Diffuser-algoritme toegevoegd aan het AES-CBC-schema, waardoor het moeilijk werd om cijfertekstblokken direct te vergelijken. Hiermee gaf dezelfde inhoud van twee sectoren totaal verschillende resultaten na versleuteling met één sleutel, wat de berekening van het algemene patroon bemoeilijkte. De sleutel zelf was echter standaard kort - 128 bits. Het kan worden verlengd tot 256 bits via administratief beleid, maar is het de moeite waard om te doen?

Voor gebruikers verandert er uiterlijk na het wijzigen van de sleutel niets - noch de lengte van de ingevoerde wachtwoorden, noch de subjectieve snelheid van bewerkingen. Zoals de meeste versleutelingssystemen met volledige schijf, gebruikt BitLocker meerdere sleutels ... en geen van hen is zichtbaar voor gebruikers. Hier is een schematisch diagram van BitLocker.

1. Wanneer BitLocker wordt geactiveerd met behulp van een pseudo-willekeurige nummergenerator, wordt een masterbitreeks gegenereerd. Deze volume-encryptiesleutel is FVEK (full volume-encryptiesleutel). Met hen wordt de inhoud van elke sector vanaf nu versleuteld.
2. FVEK wordt op zijn beurt versleuteld met een andere sleutel - VMK (volume master key) - en versleuteld opgeslagen tussen de volumemetadata.
3. De VMK zelf is ook versleuteld, maar op verschillende manieren naar keuze van de gebruiker.
4. Op nieuwere moederborden wordt de VMK standaard versleuteld met behulp van de storage root key (SRK), die is opgeslagen in een aparte cryptoprocessor - een Trusted Platform Module (TPM). De gebruiker heeft geen toegang tot de TPM-inhoud en is uniek voor elke computer.
5. Als er geen aparte TPM-chip op het bord zit, wordt in plaats van SRK om de VMK-sleutel te versleutelen, de pincode gebruikt die door de gebruiker is ingevoerd of een op verzoek aangesloten USB-flashstation waarop de sleutelinformatie vooraf is vastgelegd.
6. Naast TPM of USB-stick kunt u de VMK beveiligen met een wachtwoord.

Dit algemene patroon van BitLocker is tot op heden voortgezet in volgende versies van Windows. Het genereren van BitLocker-sleutels en de coderingsmodi zijn echter gewijzigd. Dus in oktober 2014 verwijderde Microsoft stilletjes het extra Elephant Diffuser-algoritme, waardoor alleen het AES-CBC-schema met zijn bekende tekortkomingen overbleef. Hierover werden in eerste instantie geen officiële uitspraken gedaan. Mensen kregen onder het mom van een update simpelweg een verzwakte encryptietechnologie met de oude naam. Vage verklaringen voor deze stap kwamen nadat de vereenvoudigingen in BitLocker werden opgemerkt door onafhankelijke onderzoekers.

Formeel was de stopzetting van Elephant Diffuser vereist om ervoor te zorgen dat Windows voldeed aan de Amerikaanse Federal Information Processing Standards (FIPS), maar één argument weerlegt deze versie: Vista en Windows 7, die de Elephant Diffuser gebruikten, werden zonder problemen in Amerika verkocht.

Een andere voor de hand liggende reden om het aanvullende algoritme af te schaffen is het gebrek aan hardwareversnelling voor de Elephant Diffuser en het snelheidsverlies bij het gebruik ervan. In eerdere jaren, toen de processors langzamer waren, was de coderingssnelheid om de een of andere reden echter goed. En dezelfde AES werd veel gebruikt, zelfs voordat er aparte instructiesets en gespecialiseerde chips waren om het te versnellen. Na verloop van tijd was het mogelijk om hardwareversnelling voor de Elephant Diffuser te maken, of in ieder geval klanten de keuze te geven tussen snelheid en veiligheid.

Een andere, onofficiële versie ziet er realistischer uit. "Elephant" bemoeide zich met de NSA-medewerkers, die minder moeite wilden doen om de volgende schijf te ontsleutelen, en Microsoft communiceert gewillig met de autoriteiten, zelfs in gevallen waarin hun verzoeken niet helemaal legitiem zijn. Bevestigt indirect de complottheorie en het feit dat BitLocker vóór Windows 8 de ingebouwde pseudo-willekeurige nummergenerator van Windows gebruikte om coderingssleutels te genereren. In veel (zo niet alle) edities van Windows was dit Dual_EC_DRBG, een "cryptografisch sterke PRNG", ontwikkeld door de Amerikaanse National Security Agency en die een aantal inherente kwetsbaarheden bevat.

Natuurlijk zorgde de geheime verzwakking van de ingebouwde codering voor een sterke golf van kritiek. Onder haar druk voerde Microsoft BitLocker opnieuw uit en verving de PRNG in nieuwe releases van Windows door CTR_DRBG. Bovendien is in Windows 10 (vanaf build 1511) het standaardcoderingsschema AES-XTS, dat immuun is voor manipulatie van cijfertekstblokken. De nieuwste builds van de Top 10 hebben andere bekende BitLocker-bugs aangepakt, maar het grootste probleem blijft bestaan. Het is zo absurd dat het andere innovaties zinloos maakt. Het gaat om de principes van sleutelbeheer.

Los Alamos-principe

De taak van het decoderen van BitLocker-schijven wordt ook vereenvoudigd door het feit dat Microsoft actief een alternatieve methode promoot om de toegang tot gegevens te herstellen via de Data Recovery Agent. De betekenis van de "Agent" is dat deze de coderingssleutels van alle schijven binnen het bedrijfsnetwerk versleutelt met een enkele toegangssleutel. Nadat u het hebt verkregen, kunt u elke sleutel decoderen, en dus elke schijf die door hetzelfde bedrijf wordt gebruikt. Handig? Ja, vooral voor hacken.

Het idee om één sleutel voor alle sloten te gebruiken is al vele malen in het gedrang gekomen, maar voor het gemak blijven ze er in een of andere vorm op terugkomen. Hier is hoe Ralph Leighton Richard Feynman's herinneringen opschreef van een karakteristieke aflevering van zijn werk aan het Manhattan Project in het Los Alamos Laboratory: “… Ik heb drie kluizen geopend - en alle drie met één combinatie.<…>Ik heb ze allemaal afgemaakt: ik opende de kluizen met alle geheimen van de atoombom - de technologie om plutonium te verkrijgen, een beschrijving van het zuiveringsproces, informatie over hoeveel materiaal nodig is, hoe de bom werkt, hoe neutronen worden verkregen, hoe de bom werkt, wat de afmetingen zijn, kortom alles. wat ze wisten in Los Alamos, de hele keuken! ".

BitLocker lijkt enigszins op het veilige apparaat dat wordt beschreven in een ander fragment uit het boek "U maakt natuurlijk een grapje, meneer Feynman!" De meest indrukwekkende kluis van het topgeheime lab had dezelfde kwetsbaarheid als een eenvoudige archiefkast. '... Het was een kolonel, en hij had een veel sluwere tweedeurs kluis met grote handgrepen die vier stalen staven van driekwart inch dik uit het frame trok.<…>Ik scande de achterkant van een van de imposante bronzen deuren en ontdekte dat de digitale wijzerplaat was verbonden met een klein hangslot dat er precies hetzelfde uitzag als het slot op mijn Los Alamos-kast.<…>Het was duidelijk dat de hefboomwerking afhing van hetzelfde staafje dat de archiefkasten op slot deed.<…>... Ik veinsde enige activiteit en begon de ledemaat willekeurig te draaien.<…>Twee minuten later - klik! - de kluis is geopend.<…>Wanneer de kluisdeur of de bovenste lade van de archiefkast open is, is het heel gemakkelijk om de combinatie te vinden. Dit is wat ik deed toen je mijn rapport las, gewoon om je het gevaar te laten zien.".

BitLocker-cryptocontainers zijn op zichzelf behoorlijk betrouwbaar. Als ze u vanuit het niets een met BitLocker To Go versleutelde flashdrive bezorgen, is het onwaarschijnlijk dat u deze binnen een redelijke tijd zult ontsleutelen. In een realistisch scenario met versleutelde schijven en verwisselbare media zijn er echter veel kwetsbaarheden die gemakkelijk kunnen worden misbruikt om BitLocker te omzeilen.

Potentiële kwetsbaarheden

Je hebt waarschijnlijk gemerkt dat de eerste keer dat je BitLocker activeert, je lang moet wachten. Dit is niet verwonderlijk - het versleutelingsproces per sector kan enkele uren duren, omdat zelfs het lezen van alle blokken terabyte HDD's niet sneller mogelijk is. Het uitschakelen van BitLocker is echter bijna onmiddellijk - hoe komt dat?

Het punt is dat wanneer uitgeschakeld, BitLocker de gegevens niet ontsleutelt. Alle sectoren blijven versleuteld met de FVEK-sleutel. Alleen wordt de toegang tot deze sleutel op geen enkele manier meer beperkt. Alle controles worden uitgeschakeld en de VMK blijft in leesbare tekst tussen de metadata staan. Elke keer dat de computer wordt ingeschakeld, leest de OS-lader de VMK (al zonder TPM-controle, vraagt ​​om een ​​sleutel op een USB-flashstation of een wachtwoord), FVEK automatisch ontsleuteld en vervolgens alle bestanden wanneer ze worden geopend. Voor de gebruiker zal alles eruit zien als een compleet gebrek aan codering, maar de meest oplettende kan een lichte afname van de prestaties van het schijfsubsysteem opmerken. Om precies te zijn: geen verhoging van de snelheid na het uitschakelen van de codering.

Interessant in dit schema en meer. Ondanks de naam (volledige schijfcoderingstechnologie), zijn sommige gegevens nog steeds niet-versleuteld bij gebruik van BitLocker. MBR en BS (tenzij de schijf is geïnitialiseerd in GPT), beschadigde sectoren en metagegevens blijven vrij. De open bootloader geeft je veel fantasie. Het is handig om rootkits en andere malware in pseudo-slechte sectoren te verbergen, en de metadata bevatten veel interessante dingen, waaronder kopieën van sleutels. Als BitLocker actief is, worden ze versleuteld (maar zwakker dan FVEK de inhoud van sectoren versleutelt), en als ze zijn uitgeschakeld, zijn ze gewoon in leesbare tekst. Dit zijn allemaal potentiële aanvalsvectoren. Ze zijn potentieel omdat er naast hen veel eenvoudigere en universelere zijn.

Herstelsleutel

Naast de FVEK, VMK en SRK gebruikt BitLocker een ander type sleutel dat 'voor het geval dat' wordt gegenereerd. Dit zijn herstelsleutels die zijn gekoppeld aan een andere populaire aanvalsvector. Gebruikers zijn bang om hun wachtwoord te vergeten en de toegang tot het systeem te verliezen, en Windows zelf raadt hen aan om een ​​noodlogin te maken. Om dit te doen, stelt de BitLocker Encryption Wizard in de laatste fase voor om een ​​herstelsleutel te maken. Er is geen weigering om het te maken. U kunt slechts één van de belangrijkste exportopties kiezen, die elk erg kwetsbaar zijn.

In de standaardinstellingen wordt de sleutel geëxporteerd als een eenvoudig tekstbestand met een herkenbare naam: "BitLocker-herstelsleutel #", waarbij de computer-ID wordt geschreven in plaats van # (ja, midden in de bestandsnaam!). De sleutel zelf ziet er zo uit.

Als u uw BitLocker-wachtwoord bent vergeten (of nooit hebt geweten), zoekt u gewoon naar het herstelsleutelbestand. Het zal zeker worden opgeslagen tussen de documenten van de huidige gebruiker of op zijn USB-stick. Misschien is het zelfs op een stuk papier afgedrukt, zoals Microsoft aanbeveelt. Wacht maar tot je collega een pauze neemt (zoals altijd, vergeet je computer te vergrendelen) en begin te zoeken.

Herstelsleutel login

Om snel de herstelsleutel te vinden, is het handig om het zoeken te beperken op extensie (txt), aanmaakdatum (als je je kunt voorstellen, wanneer je BitLocker had kunnen inschakelen) en bestandsgrootte (1388 bytes als het bestand niet was bewerkt). Nadat u de herstelsleutel hebt gevonden, kopieert u deze. Hiermee kunt u op elk moment de standaardautorisatie in BitLocker omzeilen. Om dit te doen, drukt u gewoon op Esc en voert u de herstelsleutel in. U logt probleemloos in en u kunt zelfs het BitLocker-wachtwoord wijzigen in een willekeurig wachtwoord zonder het oude op te geven! Dit doet al denken aan de trucs uit het kopje "Westerse Bouw".

BitLocker openen

Een echt cryptografisch systeem is een afweging tussen gemak, snelheid en betrouwbaarheid. Het moet procedures bieden voor transparante codering met decodering on-the-fly, methoden voor het herstellen van vergeten wachtwoorden en handig werken met sleutels. Dit alles verzwakt elk systeem, ongeacht de robuuste algoritmen waarop het is gebaseerd. Het is daarom niet nodig om kwetsbaarheden direct in het Rijndael-algoritme of in verschillende schema's van de AES-standaard te zoeken. Het is veel gemakkelijker om ze precies in de details van een bepaalde implementatie te vinden.

In het geval van Microsoft zijn dergelijke "specificaties" voldoende. Kopieën van BitLocker-sleutels worden bijvoorbeeld standaard naar SkyDrive verzonden en in Active Directory gedeponeerd. Waarvoor? Nou, wat als je ze verliest... of Agent Smith vraagt. Het is onhandig om de klant te laten wachten, laat staan ​​de agent.

Om deze reden verdwijnt de vergelijking van de cryptografische kracht van AES-XTS en AES-CBC met de Elephant Diffuser naar de achtergrond, evenals de aanbevelingen om de sleutellengte te vergroten. Hoe lang het ook is, de aanvaller kan het gemakkelijk in duidelijke tekst krijgen.

Het ophalen van geblokkeerde sleutels van een Microsoft- of AD-account is de belangrijkste manier om BitLocker aan te vallen. Als de gebruiker geen account heeft geregistreerd in de Microsoft-cloud en zijn computer zich niet in het domein bevindt, zijn er nog steeds manieren om de coderingssleutels te extraheren. Tijdens de normale werking worden hun geopende kopieën altijd in het RAM opgeslagen (anders zou er geen "transparante versleuteling" zijn). Dit betekent dat ze beschikbaar zijn in het dump- en slaapstandbestand.

Waarom worden ze daar eigenlijk opgeslagen? Hoe grappig het ook mag lijken - voor het gemak. BitLocker is alleen ontworpen om te beschermen tegen offline aanvallen. Ze gaan altijd gepaard met het opnieuw opstarten en aansluiten van een schijf in een ander besturingssysteem, wat leidt tot het opschonen van RAM. In de standaardinstellingen voert het besturingssysteem echter een dump van het RAM-geheugen uit wanneer er een fout optreedt (die kan worden veroorzaakt) en schrijft het alle inhoud naar het slaapstandbestand telkens wanneer de computer in diepe slaap gaat. Als u zich onlangs bij Windows hebt aangemeld met BitLocker geactiveerd, is er een goede kans om een ​​gedecodeerde kopie van de VMK te krijgen en met zijn hulp de FVEK en vervolgens de gegevens zelf langs de keten te decoderen. Bekijken?

Alle bovenstaande methoden voor het hacken van BitLocker zijn verzameld in één programma - Forensic Disk Decryptor, ontwikkeld door het binnenlandse bedrijf Elcomsoft. Het kan automatisch versleutelingssleutels extraheren en versleutelde volumes koppelen als virtuele schijven, en ze on-the-fly ontsleutelen.

Bovendien implementeert EFDD een andere niet-triviale manier om sleutels te verkrijgen - een aanval via de FireWire-poort, die aangeraden wordt te gebruiken wanneer er geen manier is om uw software op de aangevallen computer uit te voeren. We installeren het EFDD-programma altijd zelf op onze computer en op de gehackte computer proberen we zo min mogelijk handelingen uit te voeren.

Als voorbeeld zullen we eenvoudig een testsysteem uitvoeren met BitLocker actief en het geheugen stil dumpen. We gaan dus een situatie simuleren waarin een collega uit eten ging en zijn computer niet op slot deed. We starten RAM Capture en in minder dan een minuut ontvangen we een volledige dump in een bestand met de .mem-extensie en een grootte die overeenkomt met de hoeveelheid RAM die op de computer van het slachtoffer is geïnstalleerd.

Een geheugendump maken

Hoe maak je een stortplaats - over het algemeen maakt het geen verschil. Ongeacht de extensie resulteert dit in een binair bestand, dat verder automatisch door EFDD wordt geanalyseerd op zoek naar sleutels.

We schrijven een dump naar een USB-stick of zetten deze over het netwerk, waarna we achter onze computer gaan zitten en EFDD starten.

Selecteer de optie "Sleutels uitpakken" en voer het pad naar het bestand in met de geheugendump als sleutelbron.

We geven de bron van de sleutels aan

BitLocker is een typische crypto-container zoals PGP Disk of TrueCrypt. Deze containers bleken op zichzelf behoorlijk betrouwbaar, maar client-applicaties om ermee te werken onder Windows zijn bezaaid met coderingssleutels in het RAM. Daarom implementeert EFDD een generiek aanvalsscenario. Het programma vindt onmiddellijk coderingssleutels van alle drie de soorten populaire crypto-containers. Daarom kunt u alle vakjes aangevinkt laten - wat als het slachtoffer in het geheim TrueCrypt of PGP gebruikt!

Na een paar seconden toont Elcomsoft Forensic Disk Decryptor alle gevonden sleutels in zijn venster. Voor het gemak kunnen ze in een bestand worden opgeslagen - dit komt later van pas.

BitLocker is niet langer een belemmering! U kunt een klassieke offline aanval uitvoeren - bijvoorbeeld de harde schijf van een collega eruit halen en de inhoud kopiëren. Om dit te doen, sluit u het gewoon aan op uw computer en voert u EFDD uit in de modus "decoderen of koppelen van schijf".

Na het specificeren van het pad naar de bestanden met de opgeslagen sleutels, zal de EFDD van uw keuze een volledige decodering van het volume uitvoeren of het onmiddellijk openen als een virtuele schijf. In het laatste geval worden de bestanden gedecodeerd wanneer ze worden geopend. In ieder geval worden er geen wijzigingen aangebracht aan het oorspronkelijke volume, dus de volgende dag kunt u het retourneren alsof er niets is gebeurd. Werken met EFDD gebeurt spoorloos en alleen met kopieën van data, en blijft daardoor onzichtbaar.

BitLocker To Go

Beginnend met de "zeven" in Windows, werd het mogelijk om flashdrives, USB-HDD en andere externe media te versleutelen. Een technologie genaamd BitLocker To Go versleutelt verwisselbare schijven net als lokale schijven. Versleuteling wordt ingeschakeld door het overeenkomstige item in het contextmenu van de Verkenner.

Voor nieuwe schijven kunt u alleen codering van het bezette gebied gebruiken - toch is de vrije ruimte van de partitie gevuld met nullen en is er niets te verbergen. Als de schijf al is gebruikt, wordt aanbevolen om volledige codering erop in te schakelen. Anders blijft de als vrij gemarkeerde ruimte onversleuteld. Het kan recentelijk verwijderde bestanden in leesbare tekst bevatten die nog niet zijn overschreven.

Zelfs snelle versleuteling van alleen een druk gebied duurt enkele minuten tot enkele uren. Deze tijd hangt af van de hoeveelheid gegevens, de bandbreedte van de interface, de kenmerken van de schijf en de snelheid van cryptografische berekeningen van de processor. Omdat codering gepaard gaat met compressie, neemt de vrije ruimte op de gecodeerde schijf meestal iets toe.

De volgende keer dat u de gecodeerde flashdrive op een computer met Windows 7 of hoger aansluit, wordt de BitLocker-wizard automatisch aangeroepen om de drive te ontgrendelen. In Explorer wordt het, voordat het wordt ontgrendeld, weergegeven als een vergrendelde schijf.

Hier kunt u zowel de reeds overwogen BitLocker-bypass-opties gebruiken (bijvoorbeeld zoeken naar een VMK-sleutel in een geheugendump- of slaapstandbestand), als nieuwe met betrekking tot herstelsleutels.

Als u het wachtwoord niet weet, maar u bent erin geslaagd een van de sleutels te vinden (handmatig of met EFDD), dan zijn er twee hoofdopties om toegang te krijgen tot de gecodeerde flashdrive:

• gebruik de ingebouwde BitLocker-wizard om rechtstreeks met de flashdrive te werken;
• gebruik EFDD om een ​​flashstation volledig te decoderen en er een sector-voor-sectorafbeelding van te maken.

Met de eerste optie kunt u onmiddellijk toegang krijgen tot de bestanden die zijn opgenomen op de USB-flashdrive, deze kopiëren of wijzigen, en uw eigen bestanden schrijven. De tweede optie duurt veel langer (vanaf een half uur), maar heeft zijn eigen voordelen. Het gedecodeerde sector-voor-sectorbeeld zorgt voor een meer geavanceerde analyse van het bestandssysteem op forensisch laboratoriumniveau. In dit geval is de flashdrive zelf niet meer nodig en kan deze ongewijzigd worden geretourneerd.

De resulterende afbeelding kan onmiddellijk worden geopend in elk programma dat het IMA-formaat ondersteunt, of eerst worden geconverteerd naar een ander formaat (bijvoorbeeld met UltraISO).

Naast het lokaliseren van de herstelsleutel voor BitLocker2Go, worden natuurlijk alle andere BitLocker-bypassmethoden ondersteund in EFDD. Doorloop gewoon alle beschikbare opties op een rij totdat u een sleutel van welk type dan ook vindt. De rest (tot FVEK) zal zelf langs de keten worden gedecodeerd en u krijgt volledige toegang tot de schijf.

conclusies

BitLocker-technologie voor volledige schijfcodering verschilt van versie tot versie van Windows. Na een adequate configuratie kunt u versleutelde containers maken die in theorie vergelijkbaar zijn met TrueCrypt of PGP. Het ingebouwde Windows-sleutelverwerkingsmechanisme maakt echter alle algoritmische trucs teniet. Met name de VMK die wordt gebruikt om de hoofdsleutel in BitLocker te ontsleutelen, wordt met EFDD binnen enkele seconden hersteld van een geblokkeerd duplicaat, geheugendump, slaapstandbestand of FireWire-poortaanval.

Nadat u de sleutel hebt ontvangen, kunt u een klassieke offline aanval uitvoeren, discreet alle gegevens op de "beveiligde" schijf kopiëren en automatisch decoderen. Daarom mag BitLocker alleen worden gebruikt in combinatie met andere beveiligingen: Encrypting File System (EFS), Rights Management Service (RMS), programmastartcontrole, apparaatinstallatie en verbindingscontrole, en strenger lokaal beleid en algemene beveiligingsmaatregelen.

Laatst bijgewerkt op 28 februari 2017.

Dag vrienden.

U heeft een wachtwoord op bepaalde informatie op de computer gezet en wilt u deze nu verwijderen? Weet u niet zeker hoe u dit moet doen? Dit artikel biedt eenvoudige instructies voor het uitschakelen van Bitlocker - het programma dat uw gegevens beschermt tegen hacking.

Bitlocker is een ingebouwd hulpprogramma in Windows-systemen dat is ontworpen om de veiligheid van belangrijke informatie tegen ongeautoriseerde toegang te waarborgen. Nadat het is geïnstalleerd, plaatst de eigenaar van de computer een wachtwoord op alle of sommige bestanden. De applicatie stelt u in staat om het op een extern medium op te slaan of af te drukken om de pincode alleen in het geheugen te laten, omdat het deze kan oppompen.

Versleuteling van informatie bestaat uit het feit dat het programma het omzet in een speciaal formaat dat alleen kan worden gelezen na het invoeren van het wachtwoord.

Als u een bestand zonder dit probeert te openen, ziet u niet-gerelateerde cijfers en letters.

In eerste instantie kunt u het hulpprogramma zo configureren dat het slot wordt verwijderd wanneer een USB-flashstation met een sleutel wordt geplaatst. Het is beter om meerdere media met een wachtwoord te hebben.

Belangrijk! Als u alle sleutels vergeet en verliest, verliest u samen met hen voor altijd de toegang tot alle gegevens op de schijf (of op een flashstation).

De applicatie begon te werken in een verbeterde versie van Windows Vista. Het is nu ook beschikbaar voor andere generaties van dit systeem.

Manieren om Bitlocker uit te schakelen

U hoeft geen hacker of IT-professional te zijn om de blokkering op te heffen. Alles wordt eenvoudig gedaan; natuurlijk, als u het wachtwoord zelf instelt en de gegevens van anderen niet gaat hacken. En daar is? Laten we dan overgaan tot de analyse.

Er zijn verschillende manieren om bestanden te ontgrendelen. De eenvoudigste ziet er als volgt uit:

• Klik met de rechtermuisknop op de gewenste schijf en klik in het vervolgkeuzevenster op "BitLocker Control";

• Er wordt een nieuw menu geopend waarin u het item "Uitschakelen" moet selecteren.

Wanneer u Windows 10 of een andere versie van het besturingssysteem opnieuw installeert, moet u de codering opschorten. Volg de onderstaande instructies om het te voltooien:

• Open Start - Configuratiescherm - Systeem en beveiliging - BitLocker-stationsversleuteling;
• Selecteer "Beveiliging pauzeren" of "BitLocker beheren" en vervolgens "BitLocker uitschakelen" (in Win7).
• Klik op "Ja" om te bevestigen dat u het opzettelijk uitschakelt.

Via hetzelfde menu kunt u het slot volledig uitschakelen door op de bijbehorende knop te drukken.

Merk op dat Windows Vista en andere versies van het systeem verschillende namen kunnen hebben voor de bovenstaande secties. Maar via het bedieningspaneel vind je in ieder geval de gewenste instellingen. Op Windows 8 kunt u het bijvoorbeeld als volgt openen:

Eerlijk gezegd weet ik niet hoe ik deze ransomware moet uitschakelen als het wachtwoord verloren is gegaan ... Ik kan alleen maar aanraden om het apparaat te formatteren - waardoor de schijf beschikbaar zal zijn voor werk. Maar in deze situatie zullen alle gegevens erop natuurlijk verdwijnen.

Dat is alles, ik hoop dat het nuttig was.

Tot snel vrienden!

Op Windows 10 kunt u uw harde schijf volledig versleutelen met BitLocker-beveiliging. Dit programma is al geïntegreerd in Windows en is gemakkelijk te gebruiken - tenminste als je moederbord een speciale TPM heeft. Dit is hoe het werkt.

Schijfversleuteling in Windows 10 met BitLocker

Uw moederbord heeft mogelijk een onderdeel dat een cryptoprocessor of een Trusted Platform Module (TPM)-chip wordt genoemd. Het slaat coderingssleutels op om informatie op hardwareniveau te beschermen. Het ziet er als volgt uit: Als er een TPM op het moederbord zit, is de encryptie van de harde schijf in Windows 10 heel eenvoudig te organiseren: Klik op de Start-knop> Verkenner> Deze pc.

Klik in het venster met de rechtermuisknop op de schijf die u wilt versleutelen en selecteer BitLocker inschakelen in het vervolgkeuzemenu. Voer een sterk wachtwoord in voor uw harde schijf. Elke keer dat u uw computer aanzet, zal Windows om dit wachtwoord vragen om de gegevens te decoderen.

Kies hoe u een back-up van de herstelsleutel wilt maken. Het kan worden opgeslagen op een Microsoft-account, gekopieerd naar een USB-station of worden afgedrukt.

Kies of u alle of alleen vrije ruimte op de schijf wilt versleutelen. Als u onlangs Windows 10 hebt geïnstalleerd, kiest u voor het laatste. Als u versleuteling inschakelt op een schijf die al in gebruik is, kunt u het beste de hele schijf versleutelen.

Klik op Doorgaan om de versleuteling te starten.

Wanneer de codering is voltooid, start u uw computer opnieuw op en voert u uw wachtwoord in. Als u in stap 2 een foutmelding krijgt die aangeeft dat u BitLocker moet laten werken zonder een compatibele TPM, heeft uw moederbord geen compatibele TPM. In dit geval zul je om moeten gaan.

Schijfversleuteling in Windows 10 zonder TPM Om uw harde schijf in Windows 10 te versleutelen zonder een hardwaresleutelopslagmodule te gebruiken, doet u het volgende: Ga terug naar het veld Zoeken op internet en Windows en voer "Groepsbeleid" in (zonder de aanhalingstekens).

Klik op het item Groepsbeleid wijzigen. Er wordt een nieuw venster geopend.

Navigeer naar Beheersjablonen> Windows-componenten> BitLocker-stationsversleuteling> Besturingssysteemstations.

Dubbelklik op Met deze beleidsinstelling kunt u configureren dat aanvullende verificatie bij het opstarten vereist is. Selecteer in het nieuwe venster Ingeschakeld, vink het vakje aan naast BitLocker toestaan ​​zonder een compatibele TPM en klik op OK.

Open Deze pc, selecteer het station en klik op BitLocker inschakelen.

Er wordt dan een snelle controle op uw computer uitgevoerd. Wanneer de verificatie is voltooid, zal het systeem vragen of u uw computer wilt vergrendelen met een USB-sleutel of wachtwoord.

Kies of BitLocker de resterende vrije ruimte of de hele harde schijf versleutelt.

BitLocker start op de achtergrond en versleutelt uw harde schijf. U kunt normaal blijven werken. Na de eerste herstart van de pc start uw systeem alleen op als u het juiste wachtwoord invoert tijdens het opstarten of een USB-station aansluit met een back-up van de sleutel.

Veel gebruikers met de release van het Windows 7-besturingssysteem werden geconfronteerd met het feit dat er een onbegrijpelijke BitLocker-service in verscheen. Veel mensen kunnen alleen maar raden wat BitLocker is. Laten we de situatie verduidelijken met specifieke voorbeelden. We zullen ook vragen behandelen die betrekking hebben op hoe handig het is om dit onderdeel te activeren of volledig uit te schakelen.

BitLocker-service: waar is het voor?

Als je het goed bekijkt, kun je concluderen dat BitLocker een volledig geautomatiseerde universele versleutelingstool is voor gegevens die op een harde schijf zijn opgeslagen. Wat is BitLocker op een harde schijf? Dit is een algemene service waarmee u, zonder tussenkomst van de gebruiker, mappen en bestanden kunt beschermen door ze te versleutelen en een speciale tekstsleutel te maken die toegang geeft tot documenten. Op het moment dat de gebruiker onder zijn account werkt, weet hij niet eens dat de gegevens versleuteld zijn. Alle informatie wordt in een leesbare vorm weergegeven en de toegang tot mappen en bestanden wordt voor de gebruiker niet geblokkeerd. Met andere woorden, een dergelijk beveiligingsmiddel is alleen bedoeld voor die situaties waarin onbevoegde toegang tot de computerterminal wordt uitgevoerd wanneer wordt geprobeerd om van buitenaf in te grijpen.

Problemen met cryptografie en wachtwoorden

Als we het hebben over wat BitLocker is Windows 7 of in systemen met een hogere rangorde, is het noodzakelijk om zo'n onaangenaam feit op te merken: in het geval van verlies van het inlogwachtwoord, kunnen veel gebruikers niet alleen inloggen op het systeem , maar ook om enkele acties uit te voeren om documenten te bekijken die eerder beschikbaar waren, door te verplaatsen, te kopiëren, enzovoort. Maar daar houden de problemen niet op. Als u de vraag wat BitLocker Windows 8 en 10 is goed begrijpt, dan zijn er geen speciale verschillen. Alleen de meer geavanceerde cryptografietechnologie kan worden opgemerkt. Het probleem is hier anders. Het punt is dat de service zelf in twee modi kan werken, waarbij decoderingssleutels op een harde schijf of op een verwijderbare USB-drive worden opgeslagen. Er doet zich dus een volkomen logische conclusie voor: de gebruiker krijgt, als er een sleutel op de harde schijf is opgeslagen, gemakkelijk toegang tot alle informatie die erop is opgeslagen. Wanneer de sleutel op een flashstation is opgeslagen, is het probleem veel ernstiger. In principe kunt u een versleutelde schijf of partitie zien, maar u kunt de informatie niet lezen. Als we het bovendien hebben over wat BitLocker is in Windows 10 en systemen van eerdere versies, moet worden opgemerkt dat de service is geïntegreerd in contextmenu's van elk type die worden aangeroepen door met de rechtermuisknop te klikken. Dit is gewoon vervelend voor veel gebruikers. Laten we niet op de zaken vooruitlopen en alle belangrijke aspecten overwegen die verband houden met de werking van dit onderdeel, evenals met de wenselijkheid van deactivering en gebruik ervan.

Verwisselbare media en schijfversleutelingstechniek

Het vreemdste is dat in verschillende systemen en hun aanpassingen standaard de Windows 10 BitLocker-service in zowel actieve als passieve modus kan staan. In Windows 7 is het standaard ingeschakeld, in Windows 8 en Windows 10 moet het soms handmatig worden ingeschakeld. Wat betreft encryptie is hier niets nieuws uitgevonden. Meestal wordt dezelfde AES-technologie met openbare sleutels gebruikt die het meest wordt gebruikt in bedrijfsnetwerken. Daarom, als uw computerterminal met het juiste besturingssysteem is aangesloten op het lokale netwerk, kunt u er volledig zeker van zijn dat het gebruikte beveiligings- en informatiebeschermingsbeleid de activering van deze service impliceert. Zelfs als u beheerdersrechten heeft, kunt u niets wijzigen.

De Windows 10 BitLocker-service inschakelen als deze is gedeactiveerd

Voordat u begint met het oplossen van een probleem met Windows 10 BitLocker, moet u nadenken over het proces om het in te schakelen en te configureren. De deactiveringsstappen moeten in omgekeerde volgorde worden uitgevoerd. Het inschakelen van codering op de eenvoudigste manier wordt gedaan vanuit het "Configuratiescherm" door het gedeelte Schijfcodering te selecteren. Deze methode kan alleen worden gebruikt als de sleutel niet op verwisselbare media moet worden opgeslagen. Als het niet-verwijderbare medium is vergrendeld, moet u op zoek naar een andere vraag over de Windows 10 BitLocker-service: hoe kunt u dit onderdeel uitschakelen? Dit is gemakkelijk genoeg. Op voorwaarde dat de sleutel zich op verwisselbare media bevindt, kunt u schijven en schijfpartities decoderen door deze in de juiste poort te plaatsen en vervolgens naar het gedeelte "Configuratiescherm" van het beveiligingssysteem te gaan. Daarna vinden we het BitLocker-coderingsitem en kijken we naar de media en stations waarop de beveiliging is geïnstalleerd. Onderaan staat een hyperlink om codering uit te schakelen. Je moet erop klikken. Als de sleutel wordt herkend, wordt het decoderingsproces geactiveerd. U hoeft alleen maar te wachten op de voltooiing van de uitvoering ervan.

Ransomwarecomponenten configureren: problemen

Wat betreft de kwestie van maatwerk, het zal niet zonder hoofdpijn zijn. Allereerst moet worden opgemerkt dat het systeem aanbiedt om minimaal 1,5 GB te reserveren voor uw behoeften. Ten tweede moet u de machtigingen voor het NTFS-bestandssysteem aanpassen, zoals het verkleinen van het volume. Om dergelijke dingen te doen, moet u dit onderdeel onmiddellijk uitschakelen, aangezien de meeste gebruikers het niet nodig hebben. Zelfs degenen die deze service standaard hebben ingeschakeld in de instellingen, weten niet altijd wat ze ermee moeten doen en of het überhaupt nodig is. En tevergeefs ... Op een lokale computer kunt u met zijn hulp gegevens beschermen, zelfs als er helemaal geen antivirussoftware is.

BitLocker uitschakelen: aan de slag

Allereerst moet u het eerder genoemde item in het "Configuratiescherm" gebruiken. Veldnamen voor het uitschakelen van services kunnen veranderen afhankelijk van de systeemwijziging. De geselecteerde schijf kan een pauzebeveiligingslijn hebben of een indicatie om de BitLocker-service uit te schakelen. Maar daar gaat het niet om. U moet speciale aandacht besteden aan het punt dat u het bijwerken van de BIOS en systeemopstartbestanden volledig moet uitschakelen. Anders kan het decoderingsproces behoorlijk lang duren.

Contextmenu

Dit is een kant van de medaille die te maken heeft met de BitLocker-service. Wat deze service is, moet al duidelijk zijn. Het nadeel is om extra menu's te isoleren van de aanwezigheid van links naar deze service. Om dit te doen, moet je nog een keer naar BitLocker kijken. Hoe verwijder je alle links naar een dienst uit het contextmenu? Het is heel eenvoudig ... Wanneer u het gewenste bestand selecteert in de "Verkenner", gebruikt u de servicesectie en bewerkt u het contextmenu, gaat u naar de instellingen en gebruikt u vervolgens de opdrachtinstellingen en organiseert u ze. Vervolgens moet u de waarde van "Configuratieschermen" specificeren en de gewenste vinden in de lijst met overeenkomstige elementen van panelen en opdrachten en deze verwijderen. Vervolgens moet u in de register-editor naar de HKCR-tak gaan en de sectie ROOT Directory Shell zoeken, deze uitvouwen en het gewenste item verwijderen door op de Del-toets te drukken of door de opdracht delete uit het rechtsklikmenu te gebruiken. Dit is het laatste over BitLocker. Hoe u het uitschakelt, zou u al duidelijk moeten zijn. Maar vlei jezelf niet van tevoren. Deze service wordt nog steeds op de achtergrond uitgevoerd, of je het nu leuk vindt of niet.

Gevolgtrekking

Hieraan moet worden toegevoegd dat dit lang niet alles is wat kan worden gezegd over de component van het BitLocker-coderingssysteem. We zijn er al achter wat BitLocker is. U hebt ook geleerd hoe u menuopdrachten kunt uitschakelen en verwijderen. De vraag is anders: is het de moeite waard om BitLocker uit te schakelen. Eén advies kan hier worden gegeven: in een bedrijfsnetwerk moet u dit onderdeel helemaal niet deactiveren. Maar als we het hebben over een terminal voor een thuiscomputer, waarom niet.

computerologia.ru

BitLocker: wat is en hoe ontgrendel je het?

Met de release van het Windows 7-besturingssysteem werden veel gebruikers geconfronteerd met het feit dat er een enigszins onbegrijpelijke BitLocker-service in verscheen. Wat BitLocker is, kunnen velen alleen maar raden. Laten we proberen de situatie te verduidelijken met specifieke voorbeelden. Onderweg zullen we de vragen overwegen over hoe handig het is om dit onderdeel te activeren of volledig uit te schakelen.

BitLocker: wat is BitLocker, waarom is het nodig?

Kortom, BitLocker is een veelzijdige en volledig geautomatiseerde versleutelingstool voor gegevens die op een harde schijf zijn opgeslagen. Wat is BitLocker op een harde schijf? Het is gewoon een service die, zonder tussenkomst van de gebruiker, bestanden en mappen beveiligt door ze te versleutelen en een speciale tekstsleutel te maken die toegang geeft tot documenten.

Wanneer een gebruiker onder zijn eigen account in het systeem werkt, kan hij niet eens raden dat de gegevens versleuteld zijn, omdat de informatie in een leesbare vorm wordt weergegeven en de toegang tot bestanden en mappen niet wordt geblokkeerd. Met andere woorden, een dergelijk beveiligingsmiddel is alleen bedoeld voor die situaties waarin ongeautoriseerde toegang tot de computerterminal wordt gedaan, bijvoorbeeld wanneer wordt geprobeerd in te grijpen van buitenaf (internetaanvallen).

Wachtwoord- en cryptografieproblemen

Desalniettemin, als we het hebben over wat BitLocker is Windows 7 of systemen van een hogere rang, is het de moeite waard om het onaangename feit op te merken dat als het inlogwachtwoord verloren gaat, veel gebruikers niet alleen niet kunnen inloggen op het systeem, maar ook enkele acties uitvoeren om documenten bekijken die eerder beschikbaar waren om te kopiëren, te verplaatsen, enz.

Maar dat is niet alles. Als u zich bezighoudt met de vraag wat BitLocker Windows 8 of 10 is, dan zijn er geen speciale verschillen, behalve dat ze meer geavanceerde cryptografietechnologie hebben. Hier is het probleem duidelijk anders. Het feit is dat de service zelf in twee modi kan werken, waarbij decoderingssleutels op een harde schijf of op een verwijderbare USB-drive worden opgeslagen.

Vandaar dat de eenvoudigste conclusie zich voordoet: als er een opgeslagen sleutel op de harde schijf staat, krijgt de gebruiker zonder problemen toegang tot alle informatie die erop is opgeslagen. Maar wanneer de sleutel op een flashstation wordt opgeslagen, is het probleem veel ernstiger. In principe kunt u een versleutelde schijf of partitie zien, maar u kunt de informatie niet lezen.

Als we het bovendien hebben over wat BitLocker is voor Windows 10 of systemen van eerdere versies, valt het op dat de service is geïntegreerd in contextmenu's van elk type, aangeroepen door een rechtermuisknop, wat voor velen gewoon vervelend is gebruikers. Maar laten we niet op de zaken vooruitlopen, maar alle belangrijke aspecten overwegen met betrekking tot de werking van dit onderdeel en de wenselijkheid van het gebruik of deactivering ervan.

Versleutelingstechniek voor schijven en verwisselbare media

Het vreemdste is dat op verschillende systemen en hun aanpassingen de BitLocker-service standaard in zowel actieve als passieve modus kan staan. In de "zeven" is het standaard ingeschakeld, in de achtste en tiende versie is soms handmatige activering vereist.

Wat codering betreft, is er niets bijzonders uitgevonden. In de regel wordt dezelfde AES-public key-technologie gebruikt, die het meest wordt gebruikt in bedrijfsnetwerken. Als uw computerterminal met het juiste besturingssysteem aan boord is aangesloten op een lokaal netwerk, kunt u er dus zeker van zijn dat het toegepaste beveiligings- en gegevensbeschermingsbeleid de activering van deze service impliceert. Zonder beheerdersrechten (zelfs als u de instellingenwijziging als beheerder uitvoert), kunt u niets wijzigen.

Schakel BitLocker in als de service is gedeactiveerd

Voordat we beslissen over het probleem met betrekking tot BitLocker (hoe de service uit te schakelen, hoe de opdrachten uit het contextmenu te verwijderen), laten we kijken naar inschakelen en configureren, vooral omdat de deactiveringsstappen in omgekeerde volgorde moeten worden uitgevoerd.

Het inschakelen van codering op de eenvoudigste manier wordt gedaan vanuit het "Configuratiescherm" door het gedeelte Schijfcodering te selecteren. Deze methode is alleen van toepassing als de sleutel niet op verwisselbare media moet worden opgeslagen.

In het geval dat niet-verwijderbare media zijn vergrendeld, moet u een antwoord vinden op een andere vraag over de BitLocker-service: hoe kunt u dit onderdeel op een USB-flashstation uitschakelen? Dit gebeurt heel eenvoudig.

Op voorwaarde dat de sleutel zich precies op verwisselbare media bevindt, moet u om schijven en schijfpartities te decoderen eerst deze in de juiste poort (connector) steken en vervolgens naar het gedeelte "Configuratiescherm" van het beveiligingssysteem gaan. Daarna vinden we het BitLocker-coderingsitem en kijken we naar de schijven en media waarop de beveiliging is geïnstalleerd. Helemaal onderaan wordt een hyperlink weergegeven voor het uitschakelen van codering, waarop u moet klikken. Als de sleutel wordt herkend, wordt het decoderingsproces geactiveerd. Het blijft alleen wachten tot het einde van de uitvoering ervan.

Problemen met het configureren van ransomware-componenten

Als het om maatwerk gaat, is hoofdpijn onmisbaar. Ten eerste biedt het systeem aan om minimaal 1,5 GB te reserveren voor uw behoeften. Ten tweede moet u de machtigingen van het NTFS-bestandssysteem aanpassen, het volume verkleinen, enz. Om dergelijke dingen niet te doen, is het beter om dit onderdeel onmiddellijk uit te schakelen, omdat de meeste gebruikers het gewoon niet nodig hebben. Zelfs al degenen die deze service in de standaardinstellingen hebben ingeschakeld, weten ook niet altijd wat ze ermee moeten doen, of het überhaupt nodig is. Maar tevergeefs. Het kan worden gebruikt om gegevens op een lokale computer te beschermen, zelfs als er geen antivirussoftware is.

BitLocker: hoe uit te schakelen. eerste fase

Nogmaals, we gebruiken het eerder aangegeven item in het "Configuratiescherm". Afhankelijk van de wijziging van het systeem, kunnen de namen van de velden voor het uitschakelen van de service veranderen. Het geselecteerde station heeft mogelijk een tekenreeks voor pauzebeveiliging of een directe indicatie om BitLocker uit te schakelen.

Dat is niet het punt. Hier is het de moeite waard om op te letten dat u het bijwerken van het BIOS en de opstartbestanden van het computersysteem volledig moet uitschakelen. Anders kan het decoderingsproces lang duren.

Contextmenu

Dit is slechts één kant van de medaille met de BitLocker-service. Wat BitLocker is, is waarschijnlijk al duidelijk. Maar het nadeel is ook om extra menu's te isoleren van de aanwezigheid van links naar deze service.

Laten we hiervoor nog eens naar BitLocker kijken. Hoe verwijder je alle links naar een dienst uit het contextmenu? Elementair! In de "Verkenner", wanneer het vereiste bestand of de gewenste map is geselecteerd, gebruiken we de servicesectie en bewerken we het bijbehorende contextmenu, gaan naar de instellingen, gebruiken vervolgens de opdrachtinstellingen en rangschikken ze.

Ga daarna in de register-editor naar de HKCR-tak, waar we de ROOTDirectoryShell-sectie vinden, vouw deze uit en verwijder het gewenste item door op de Del-toets of de delete-opdracht uit het rechtsklikmenu te drukken. Eigenlijk is dit het laatste met betrekking tot de BitLocker-component. Hoe het uit te schakelen, denk ik, is al duidelijk. Maar vlei jezelf niet. Deze service wordt nog steeds op de achtergrond uitgevoerd (voor het geval dat), of je het nu leuk vindt of niet.

In plaats van een nawoord

Hier moet nog aan worden toegevoegd dat dit niet alles is wat kan worden gezegd over de component van het BitLocker-coderingssysteem. Wat is BitLocker, bedacht hoe het uit te schakelen en menuopdrachten te verwijderen - ook. De vraag is, is het de moeite waard om BitLocker uit te schakelen? Hier kunt u slechts één advies geven: in een bedrijfs-LAN moet u dit onderdeel helemaal niet deactiveren. Maar als dit een terminal voor thuiscomputers is, waarom niet?

fb.ru

Bitlocker-versleuteling van flashdrives en schijven in Windows 10

Velen van ons dragen vaak belangrijke, waardevolle informatie over naar externe apparaten. Dit kunnen ssd-schijven zijn, andere externe schijven voor het opslaan van gegevens. De meest populaire is waarschijnlijk een gewone flashdrive, waarop een persoon meestal de nodige informatie overdraagt. Maar wat als u uw USB-stick kwijt bent? Of een draagbare externe SSD-schijf? Antwoord: versleutel uw externe apparaten en zet een wachtwoord op de USB-stick zodat niemand uw informatie kan gebruiken wanneer ze deze vinden. Er is veel software van derden om flashdrives te beschermen, maar waarom is dit nodig als het programma dat wordt geïnstalleerd na verloop van tijd door nalatigheid kan worden verwijderd. In dit artikel bekijken we hoe u uw apparaten kunt beschermen met de ingebouwde Windows 10-tool.

Opmerking: we zullen BitLocker gebruiken, dat aanwezig is in Pro- of Enterprise-versies van Windows 10.

Ik raad je aan om meer te zien:

Een map en bestanden met een wachtwoord beveiligen met de EFS-functie

Zet een wachtwoord op een map zonder programma's

Wat is BitLocker?

BitLocker is een coderingsfunctie voor verwisselbare media, waaronder USB-flashstations, SD-kaarten en externe harde schijven. BitLocker ondersteunt NTFS-, FAT32-, exFAT-bestandssystemen. Het is geformatteerd met een van deze bestandssystemen en kan worden beveiligd met BitLocker. In tegenstelling tot EFS-codering, die is ontworpen om mappen en bestanden te coderen, kan BitLocker niet met bestanden werken; het is ontworpen voor verwisselbare media.

Een wachtwoord op een USB-flashstation en schijven zetten in Windows 10

• Sluit een USB-stick of externe harde schijf aan op Windows 10.
• Klik met de rechtermuisknop op het station dat u wilt beveiligen en klik op BitLocker inschakelen.

• Vink het vakje Wachtwoord gebruiken aan om de schijf te ontgrendelen.
• Maak uw eigen wachtwoord om uw gegevens te beschermen.

• Selecteer de sleutelarchivering Bestand opslaan.
• Sla het bestand op een voor u geschikte plaats op. U heeft het nodig om de flashdrive te ontgrendelen als u uw wachtwoord bent vergeten.

• Aanraden Versleutel de hele schijf.

• Selecteer de coderingsmodus Compatibiliteitsmodus.

• Wacht tot het einde van het proces.

Toegang tot met een wachtwoord beveiligde gegevens

• Steek uw versleutelde apparaat in een USB-poort op uw computer en open.

• Voer je wachtwoord in dat je aan het begin van de codering hebt bedacht.
• Als u het wachtwoord van uw USB-flashstation bent vergeten, klikt u op Geavanceerde opties en voert u de herstelcode in die u op uw computer hebt opgeslagen.

Schakel BitLocker uit en verwijder het wachtwoord van de flashdrive

Om het ingestelde wachtwoord te verwijderen en de USB-stick weer normaal te maken, moet u de "Bitlocker" uitschakelen. Om dit te doen, plaatst u uw USB-apparaat in uw computer en voert u uw ontgrendelingswachtwoord in.

• Klik na het ontgrendelen met de rechtermuisknop op de flashdrive en selecteer BitLocker beheren.

• Zoek uw apparaat waarvan u het wachtwoord wilt verwijderen en klik onderaan op BitLocker uitschakelen.

Zie ook:

Opmerkingen mogelijk gemaakt door HyperComments Een bug melden

mijnwebpc.ru

Hoe een schijf of flashstation met geheime gegevens te versleutelen met Bitlocker

Hallo allemaal! Het beschermen van persoonlijke gegevens tegen ongeoorloofde toegang is een belangrijk punt voor pc-gebruikers. Dit geldt met name voor kantoorcomputers waarop commerciële of andere informatie is opgeslagen die moet worden verborgen voor onbevoegde weergave. Vandaag zal ik het onderwerp "Bitlocker-stationsversleuteling in Windows 10" behandelen. Dit materiaal helpt bij het beveiligen van gegevens, niet alleen op de harde schijf, maar ook op verwisselbare media, met behulp van standaard "tientallen".

BitLocker werd voor het eerst geïntroduceerd in Windows 7 (Advanced) en is geïmplementeerd in volgende versies van het besturingssysteem. Alleen beschikbaar in professionele en zakelijke edities. Voor 'thuis'-gebruikers is er een vereenvoudigde configuratie voor apparaatcodering.

De essentie van encryptie

Wat het is? Het proces is het gebruik van een speciaal algoritme om gegevens om te zetten in een speciaal formaat dat alleen door de eigenaar kan worden gelezen. Zelfs als iemand beveiligde bestanden probeert te openen, worden er een heleboel nietszeggende letters en cijfers weergegeven.

BitLocker inschakelen

Geïnteresseerd in het inschakelen van codering? Gedetailleerde instructies - hieronder.

1. Ga in het configuratiescherm naar het gedeelte "Systeem en beveiliging" en selecteer het tabblad "Schijfversleuteling".
2. Tweede manier. Klik met de rechtermuisknop op de gewenste schijf, bestand of map. We selecteren het item van het contextmenu "Aan. BitLoker". Als deze optie niet in de lijst staat, gebruikt u een niet-ondersteunde versie van het besturingssysteem. We doen hetzelfde voor het versleutelen van een flashstation.
3. Er wordt een venster geopend met twee opties waaruit u kunt kiezen: harde schijven en BitLocker To Go.

De eerste methode is geschikt voor totale HDD-codering. In dit geval moet u tijdens het opstarten van de pc het wachtwoord opgeven dat u hebt ingesteld. Pas daarna doet de decoder zijn werk en start het systeem.

De tweede methode is geschikt voor externe schijven. Wanneer zo'n flashstation is aangesloten op een pc, kunt u de inhoud van de schijf openen na het invoeren van het wachtwoord.

• In gevallen waarin de TPM-module niet op de computer is geïnstalleerd (dit is een chip op een chipset die coderingssleutels kan opslaan. Verhoogt het beveiligingsniveau. Zelfs als de schijf wordt gestolen, blijven de gegevens gesloten), ontvang het volgende foutvenster. U wordt gevraagd BitLocker toe te staan ​​zonder dat TPM erbij betrokken is:

• Om TRM uit te schakelen, en ik denk dat maar heel weinig mensen het hebben, zullen we het hulpprogramma gpedit.msc gebruiken (we komen binnen via de Win + R-console) om het groepsbeleid te wijzigen. Doorloop de mappenboom:

Pc-configuratie - Beheersjablonen - Windows-componenten - BitLocker - OS-stations.

• In het rechterdeel van het venster vinden we het item "Verificatie vereist ..." en wijzigen de status in "Aan". We staan ​​ook het gebruik van codering zonder TPM toe door het bijbehorende item aan te vinken:

Vragen hebben? Of is alles heel eenvoudig? Als er zich moeilijkheden voordoen (zelfs de meest universele instructie werkt misschien niet in specifieke gevallen), stel dan vragen via het opmerkingenformulier na het artikel.

Manieren om te ontgrendelen

Nadat u alle stappen van de vorige instructies met succes hebt voltooid, moet u een methode kiezen waarmee u de schijf kunt ontgrendelen. De meest gebruikelijke optie is om een ​​wachtwoord in te stellen. Maar u kunt een speciaal extern medium maken, waarin de sleutels voor decodering worden opgeslagen. Met een TPM-chip op het moederbord wordt de keuze aan opties flink uitgebreid. Het zal bijvoorbeeld echt mogelijk zijn om automatische decodering te specificeren tijdens het opstarten van de pc, of een pincode in te stellen voor decodering en een extra code op schijven.

Kies de methode die u het beste bevalt uit alle beschikbare methoden.

Back-upsleutel

Wat denkt u dat er gebeurt als u uw wachtwoord vergeet of uw hoofdsleutelmedia verliest? Of de HDD in een andere pc installeren (met een andere TPM)? Hoe de toegang in een dergelijke situatie te herstellen? Windows 10 biedt de mogelijkheid om een ​​back-upsleutel op te slaan (op schijf, flashstation) of af te drukken. Het is belangrijk om de kopie veilig op te bergen, zodat niemand er bij kan. Anders worden alle inspanningen om bescherming te waarborgen teniet gedaan.

Aandacht! Als u alle sleutels verliest, verliest u uw gegevens voor altijd! Om precies te zijn, je zult ze niet kunnen ontcijferen! Het is gewoon onmogelijk om een ​​dergelijke beveiliging uit te schakelen.

BitLocker werkt offline en codeert nieuw toegevoegde (aangemaakte) bestanden en mappen op stations. In dit geval zijn er twee mogelijke manieren waarop u kunt gaan.

1. Versleutel de hele schijf, inclusief vrije ruimte (ongebruikt). Betrouwbare maar trage manier. Geschikt voor gevallen waarin u alle informatie moet verbergen (zelfs over die bestanden die lang geleden zijn verwijderd en kunnen worden hersteld).
2. Bescherm alleen gebruikte ruimte (bezette partities). Dit is de snellere methode en ik raad aan deze in de meeste situaties te kiezen.

Na deze stap begint de systeemanalyse. De computer wordt opnieuw opgestart en het coderingsproces start direct. U kunt uw cursor over het pictogram in het systeemvak bewegen om uw voortgang bij te houden. Er moet worden opgemerkt dat de prestaties enigszins zijn gedaald als gevolg van het verbruik van RAM.

De daaropvolgende start van de pc gaat gepaard met het verschijnen van een venster voor het invoeren van de pincode of een voorstel om een ​​USB-drive met sleutels in te voeren. Het hangt allemaal af van de methode die je kiest.

Als u een back-upsleutel moet gebruiken, drukt u op Esc op het toetsenbord en volgt u de vereisten van de herstelwizard.

BitLocker To Go gebruiken

De initiële instelling van het hulpprogramma voor het versleutelen van externe schijven is hetzelfde als hierboven. Maar een pc-reboot is niet vereist.

Een belangrijk punt! Verwijder de schijf niet tot het einde van het proces, anders kunnen de resultaten onverwacht zijn.

Zodra u de "beveiligde" flashdrive op de laptop aansluit, verschijnt een wachtwoordinvoervenster:

BitLocker-instellingen wijzigen

Het zou onlogisch zijn als gebruikers hun wachtwoord en andere instellingen niet zouden kunnen wijzigen. Wilt u weten hoe u de beveiliging verwijdert? Dit gebeurt eenvoudig. Klik met de rechtermuisknop op de gewenste schijf en selecteer "BitLoker Management".

Rechts ziet u een lijst met mogelijkheden. Het allerlaatste item "Uitschakelen ..." is verantwoordelijk voor het uitschakelen van codering.

Persoonlijke gebruikservaring

Ik heb altijd een USB-stick versleuteld met een Bitlocker bij me, aangezien ik zowel wachtwoorden als foto's en werkgegevens erop bewaar. Tijdens een van mijn zakenreizen verloor ik mijn flashdrive, maar ik was helemaal niet boos, omdat ik begreep dat alle gegevens versleuteld waren en de persoon die deze vond, deze niet zou kunnen gebruiken. Voor wie zich zorgen maakt over de veiligheid is dit de meest optimale oplossing.

Dus we hebben dit moeilijke, maar belangrijke onderwerp bedacht. Ten slotte zou ik willen opmerken dat het gebruik van een dergelijke bescherming de verhoogde belasting van de processor beïnvloedt en RAM-bronnen verbruikt. Maar dit zijn onbeduidende opofferingen in vergelijking met het verlies van onbeschermde informatie als gevolg van diefstal en ongeautoriseerde toegang. Bent u het eens?

Met vriendelijke groet, Victor

it-tehnik.ru

BitLocker. Vragen en antwoorden

Geldt voor: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Voor IT-professionals biedt dit gedeelte antwoorden op veelgestelde vragen over de vereisten voor gebruik, update, implementatie en beheer, en het beleid voor sleutelbeheer voor BitLocker.

BitLocker verwerkt schijven van besturingssystemen

BitLocker kan worden gebruikt om het risico van ongeautoriseerde toegang tot gegevens op verloren of gestolen computers te verkleinen door alle gebruikers- en systeembestanden op de schijf van het besturingssysteem te coderen, inclusief paging- en slaapstandbestanden, en door de integriteit van eerder geladen componenten en opstartconfiguratiegegevens te verifiëren .

BitLocker-verwerking van verwisselbare en vaste schijven

BitLocker kan worden gebruikt om de volledige inhoud van een gegevensschijf te versleutelen. Met Groepsbeleid kunt u vereisen dat BitLocker op een schijf is ingeschakeld voordat gegevens naar de schijf worden geschreven. Met BitLocker kunt u verschillende ontgrendelingsmethoden voor gegevensstations configureren, en gegevensstations ondersteunen verschillende methoden voor ontgrendeling.

Ja, BitLocker ondersteunt multi-factor authenticatie voor schijven van besturingssystemen. Als je BitLocker inschakelt op een TPM 1.2- of 2.0-computer, kun je op basis van deze module aanvullende vormen van authenticatie gebruiken.

Om alle BitLocker-functies te gebruiken, moet uw computer voldoen aan de hardware- en softwarevereisten die worden vermeld in het gedeelte BitLocker Supported Drive Configurations van de BitLocker Drive Encryption Whitepaper.

BitLocker heeft twee partities nodig om te kunnen functioneren, omdat pre-opstartverificatie en systeemintegriteitscontroles moeten worden uitgevoerd op een aparte partitie die niet overeenkomt met de versleutelde schijf van het besturingssysteem. Deze configuratie helpt het besturingssysteem en de gegevens op de versleutelde schijf te beschermen.

BitLocker ondersteunt de TPM-versies die worden vermeld in het gedeelte Vereisten van de BitLocker Drive Encryption Whitepaper.

Zie Informatie over TPM-stuurprogramma's zoeken voor informatie over hoe u dit doet.

Zie Informatie over TPM-stuurprogramma's zoeken voor informatie over hoe u dit doet.

Ja, u kunt BitLocker inschakelen op een besturingssysteemstation zonder TPM 1.2 of 2.0 als de BIOS- of UEFI-firmware het lezen vanaf een USB-flashstation ondersteunt tijdens het opstarten. Dit is mogelijk omdat BitLocker de Secure Drive-vergrendeling pas vrijgeeft als de hoofdsleutel van het BitLocker-volume is verkregen van de TPM op de computer of van een USB-flashstation dat de BitLocker-opstartsleutel voor die computer bevat. Computers zonder TPM kunnen echter geen systeemintegriteitscontroles uitvoeren die door BitLocker worden ondersteund.

Gebruik de BitLocker-systeemcontrole tijdens de installatie van BitLocker om de leesbaarheid van een USB-apparaat tijdens het opstarten te testen. Deze validatie voert tests uit om ervoor te zorgen dat de USB-apparaten op het juiste moment kunnen lezen en dat de computer voldoet aan andere BitLocker-vereisten.

Zie BitLocker: BitLocker inschakelen voor informatie over het inschakelen van BitLocker op een niet-TPM-computer.

Zie Vereisten in de BitLocker Drive Encryption Whitepaper voor meer informatie over vereiste Windows-besturingssystemen en TPM-versies.

Vraag uw computerfabrikant naar BIOS- of UEFI-firmware die voldoet aan de TCG-normen en aan de volgende vereisten.

Het heeft waar van toepassing een logo-certificering ontvangen en is compatibel met de versies die worden vermeld in de lijst met toepassingen aan het begin van dit gedeelte.

Naleving van TCG-normen voor de clientcomputer.

Een veilig updatemechanisme dat voorkomt dat schadelijke BIOS-firmware of opstartsoftware op uw computer wordt geïnstalleerd.

Lidmaatschap van de lokale groep Administrators is vereist om BitLocker in te schakelen, uit te schakelen en te configureren op stations met besturingssystemen en vaste gegevensstations. Standaardgebruikers kunnen de BitLocker-configuratie op verwisselbare gegevensstations inschakelen, uitschakelen en wijzigen.

Zie Vereisten in de BitLocker Drive Encryption Whitepaper voor meer informatie.

U moet de opstartinstellingen van uw computer zo configureren dat de harde schijf als eerste in opstartvolgorde komt, vóór alle andere stations, zoals cd-/dvd-stations of USB-stations. Als de harde schijf niet de eerste is en u gewoonlijk opstart vanaf de harde schijf, dan is het mogelijk om een ​​verandering in de opstartvolgorde te detecteren of te vermoeden bij het detecteren van verwisselbare media tijdens het opstarten. De opstartvolgorde is meestal van invloed op de systeemdimensie die BitLocker controleert, en als u de opstartvolgorde wijzigt, wordt de BitLocker-herstelsleutel gevraagd. Om dezelfde reden, als je een laptop met een dockingstation hebt, zorg er dan voor dat de harde schijf als eerste in de opstartvolgorde komt bij het docken en loskoppelen.

Zie BitLocker-architectuur in het witboek BitLocker-stationsversleuteling voor meer informatie.

Ja. Als u wilt upgraden van Windows 7 naar Windows 8 of Windows 8.1 zonder de schijf van het besturingssysteem te decoderen, opent u BitLocker-stationsversleuteling in het Configuratiescherm in Windows 7, klikt u op de koppeling BitLocker beheren en klikt u vervolgens op de knop Pauzeren. Als u de beveiliging pauzeert, wordt de schijf niet gedecodeerd, maar worden de authenticatiemechanismen die door BitLocker worden gebruikt, uitgeschakeld en wordt een onbeveiligde sleutel gebruikt om toegang te krijgen tot de schijf. Ga verder met het upgradeproces met behulp van de Windows 8 dvd- of Windows 8.1-upgrade. Nadat de update is voltooid, opent u Verkenner, klikt u met de rechtermuisknop op het station en selecteert u vervolgens Bescherming hervatten. BitLocker-verificatiemethoden worden opnieuw geactiveerd en de onbeveiligde sleutel wordt verwijderd.

De opdracht Decrypt verwijdert de BitLocker-beveiliging volledig en decodeert de schijf volledig.

Als u de gegevens opschort, blijven de gegevens versleuteld, maar wordt de hoofdsleutel van het BitLocker-volume versleuteld met een onbeveiligde sleutel. Onbeveiligd is een cryptografische sleutel die zonder codering en zonder bescherming op schijf wordt opgeslagen. Door deze sleutel ongecodeerd te houden, kan de opdracht Pause de computer wijzigen en bijwerken zonder tijd en middelen te verspillen aan het decoderen en opnieuw coderen van de hele schijf. Nadat u de wijziging hebt aangebracht en opnieuw hebt ingeschakeld, verzegelt BitLocker de coderingssleutel met de nieuwe componentwaarden die tijdens de upgrade zijn gewijzigd, verandert de hoofdsleutel van het volume, worden de beschermers bijgewerkt en wordt de onbeveiligde sleutel verwijderd.

De volgende tabel bevat de stappen die u moet nemen voordat u een update uitvoert of updates installeert.

Updatetype

Actie

Windows Anytime-upgrade	decodering
Upgraden van Windows 7 naar Windows 8	Spanning
Updates voor software die niet door Microsoft is ontwikkeld, zoals: een firmware-update geleverd door de computerfabrikant; TPM-firmware-update; Updates voor niet-Microsoft-toepassingen die opstartbare componenten wijzigen.	Spanning
Software- en besturingssysteemupdates van Microsoft Update	Deze updates vereisen geen decodering van de schijven en hoeven BitLocker niet uit te schakelen of op te schorten.

Ja, de implementatie en configuratie van BitLocker en TPM kan worden geautomatiseerd met behulp van TPM-instrumentatie of Windows PowerShell-scripts. De implementatie van scripts is afhankelijk van de omgeving. U kunt ook het BitLocker-opdrachtregelprogramma Manage-bde.exe gebruiken om BitLocker lokaal of op afstand te configureren. Zie het MSDN-artikel BitLocker Drive Encryption Provider voor meer informatie over scripts die gebruikmaken van de BitLocker WMI-providers. Zie BitLocker-cmdlets in Windows PowerShell voor meer informatie over het gebruik van Windows PowerShell-cmdlets met BitLocker-stationsversleuteling.

Ja. In Windows Vista versleutelde BitLocker alleen de schijven van het besturingssysteem. Windows Vista Service Pack 1 (SP1) en Windows Server 2008 voegen ondersteuning toe voor het versleutelen van vaste gegevensstations. Nieuw in Windows Server 2008 R2 en Windows 7, BitLocker kan ook verwisselbare gegevensstations versleutelen.

Gewoonlijk is de prestatievermindering niet meer dan tien procent.

Hoewel BitLocker-versleuteling op de achtergrond wordt uitgevoerd terwijl u doorgaat met werken en het systeem beschikbaar blijft, is de versleutelingstijd afhankelijk van het schijftype, de grootte en de snelheid. Het is redelijk om versleuteling van zeer grote schijven in te plannen wanneer ze niet in gebruik zijn.

Nieuw in Windows 8 en Windows Server 2012, wanneer u BitLocker inschakelt, kunt u kiezen of BitLocker de hele schijf versleutelt of alleen de bezette ruimte. Het versleutelen van de bezette ruimte op een nieuwe harde schijf is merkbaar sneller dan het versleutelen van de hele schijf. Zodra u een versleutelingsoptie selecteert, versleutelt BitLocker automatisch de gegevens op het opslagpunt en zorgt ervoor dat er geen gegevens worden opgeslagen zonder versleuteling.

Als de computer wordt afgesloten of in de slaapstand gaat, gaat het BitLocker-coderings- en decoderingsproces verder waar het was gebleven de volgende keer dat Windows wordt gestart. Hetzelfde gebeurt bij een stroomstoring.

Nee, BitLocker versleutelt en ontsleutelt niet de hele schijf bij het lezen en schrijven van gegevens. Sectoren die zijn versleuteld op een met BitLocker beveiligde schijf, worden alleen ontsleuteld als het systeem daarom vraagt. Blokken die naar schijf worden geschreven, worden versleuteld voordat het systeem ze naar de fysieke schijf schrijft. Gegevens worden nooit onversleuteld achtergelaten op een met BitLocker beveiligde schijf.

Met nieuwe besturingselementen in Windows 8 kunt u instellingen voor Groepsbeleid inschakelen waarvoor BitLocker-beveiliging voor gegevensstations vereist is voordat een met BitLocker beveiligde computer gegevens naar die stations kan schrijven. Zie Schrijven naar niet-BitLocker-beveiligde verwisselbare schijven of Voorkomen schrijven naar niet-BitLocker-beveiligde vaste schijven in het artikel Instellingen voor BitLocker-groepsbeleid voor meer informatie.

Wanneer deze beleidsinstellingen zijn ingeschakeld, koppelt het met BitLocker beveiligde besturingssysteem gegevensstations aan die niet door BitLocker zijn beveiligd in de alleen-lezen modus.

Zie BitLocker: voorkomen dat gebruikers op het netwerk gegevens opslaan op een onbeveiligde schijf voor meer informatie, waaronder het beheren van gebruikers die per ongeluk gegevens kunnen opslaan op niet-versleutelde stations wanneer ze een computer gebruiken zonder BitLocker ingeschakeld.

De volgende typen systeemwijzigingen kunnen een integriteitscontrolefout veroorzaken. In dit scenario levert de TPM niet de BitLocker-sleutel om de Secure Drive van het besturingssysteem te decoderen.

Een met BitLocker beveiligd station verplaatsen naar een nieuwe computer.

Een nieuw moederbord installeren met een nieuwe TPM.

Schakel de TPM uit, uit of wis deze.

Wijzig opstartconfiguratieparameters.

Wijzig BIOS, UEFI-firmware, Master Boot Record (MBR), Boot Sector, Boot Manager, Option ROM, andere pre-boot-componenten of opstartconfiguratiegegevens.

Zie voor meer informatie Hoe het werkt in de Whitepaper BitLocker-stationsversleuteling.

Omdat BitLocker is ontworpen om uw computer tegen meerdere aanvallen te beschermen, zijn er veel redenen waarom BitLocker in de herstelmodus zou kunnen starten. Zie om deze redenen Herstelscenario's in de BitLocker Drive Encryption Whitepaper.

Ja, harde schijven kunnen op dezelfde computer worden verwisseld met BitLocker ingeschakeld, op voorwaarde dat BitLocker-beveiliging op dezelfde computer is ingeschakeld. BitLocker-sleutels zijn uniek voor de TPM en het besturingssysteemstation. Daarom moet u ervoor zorgen dat ze dezelfde TPM gebruiken om een ​​reserveschijf van het besturingssysteem of gegevensschijf voor te bereiden in het geval van een schijfstoring. U kunt ook verschillende harde schijven configureren voor verschillende besturingssystemen en vervolgens BitLocker op elke schijf inschakelen met verschillende authenticatiemethoden (de ene schijf heeft bijvoorbeeld alleen TPM en de andere heeft TPM met een pincode), en dit leidt niet tot conflicten.

Ja, de gegevensschijf kan op de gebruikelijke manier worden ontgrendeld door BitLocker-stationsversleuteling in het Configuratiescherm te gebruiken (met een wachtwoord of smartcard). Als alleen automatische ontgrendeling is geconfigureerd voor de gegevensschijf, moet u een herstelsleutel gebruiken. Als de schijf van het besturingssysteem is aangesloten op een andere computer met de versie van het besturingssysteem die is opgegeven in de lijst Gebruiken aan het begin van dit gedeelte, kan de gecodeerde harde schijf worden ontgrendeld met een gegevensherstelagent (indien geconfigureerd) of met een herstelsleutel.

BitLocker-codering is niet beschikbaar voor sommige schijven. De grootte van de schijf kan bijvoorbeeld te klein zijn, het bestandssysteem kan incompatibel zijn, de schijf kan dynamisch zijn of is aangewezen als een systeempartitie. Standaard wordt het systeemstation (of systeempartitie) niet weergegeven in het computervenster. Als de schijf echter niet als verborgen is gemaakt tijdens de aangepaste installatie van het besturingssysteem, kan deze worden weergegeven, maar niet versleuteld.

BitLocker-beveiliging wordt ondersteund voor een willekeurig aantal interne vaste schijven. Sommige versies ondersteunen ATA en SATA direct aangesloten massaopslagapparaten. Zie BitLocker-ondersteunde stationsconfiguraties in de BitLocker Drive Encryption Whitepaper voor meer informatie over ondersteunde stations.

BitLocker kan verschillende sleutels maken en gebruiken. Sommige zijn verplicht en andere zijn optionele zekeringen die kunnen worden gebruikt, afhankelijk van het vereiste veiligheidsniveau.

Zie Wat is BitLocker in de Whitepaper BitLocker-stationsversleuteling voor meer informatie.

Het herstelwachtwoord of de herstelsleutel voor de schijf van het besturingssysteem of de niet-verwijderbare gegevensschijf kan worden opgeslagen in een map, op een of meer USB-apparaten, worden opgeslagen in uw Microsoft-account of worden afgedrukt.

Het herstelwachtwoord en de herstelsleutel voor verwisselbare gegevensstations kunnen worden opgeslagen in een map, worden opgeslagen in uw Microsoft-account of worden afgedrukt. De herstelsleutel voor een verwisselbare schijf kan standaard niet op een verwisselbare schijf worden opgeslagen.

Een domeinbeheerder kan een extra groepsbeleid configureren om automatisch herstelwachtwoorden te genereren en deze op te slaan in Domain Services voor alle met BitLocker beveiligde schijven.

Zie BitLocker: wachtwoorden en herstelsleutels opslaan voor meer informatie.

U kunt het opdrachtregelprogramma Manage-bde.exe gebruiken om alleen TPM-verificatie te vervangen door meervoudige verificatie. Als bijvoorbeeld alleen TPM-verificatie is ingeschakeld in BitLocker en om PIN-verificatie toe te voegen, voert u de volgende opdrachten in vanaf een verhoogde opdrachtprompt, waarbij u de gewenste numerieke pincode vervangt:

manage-bde –protectors –delete% systemdrive% -type tpm

manage-bde –protectors –add% systemdrive% -tpmandpin

Zie voor meer informatie Verificatiemodi voor opstartvolgorde in de whitepaper BitLocker-stationsversleuteling.

BitLocker is zo ontworpen dat een versleutelde schijf niet kan worden hersteld zonder verplichte authenticatie. In de herstelmodus heeft de gebruiker een herstelwachtwoord of herstelsleutel nodig om de versleutelde schijf te ontgrendelen.

Het is technisch mogelijk om beide sleutels op dezelfde USB-stick op te slaan, maar wordt niet aanbevolen. Als uw USB-flashstation met de opstartsleutel zoekraakt of wordt gestolen, verliest u ook de toegang tot de herstelsleutel. Bovendien zorgt het invoegen van een dergelijke sleutel ervoor dat de computer automatisch opstart met de herstelsleutel, zelfs als de bestanden die door de TPM worden gemeten, zijn gewijzigd en de systeemintegriteitscontrole niet wordt uitgevoerd.

Ja, de opstartsleutel van de computer kan op meerdere USB-flashstations worden opgeslagen. Klik met de rechtermuisknop op de met BitLocker beveiligde schijf en klik op BitLocker beheren om de opties voor het kopiëren van herstelsleutels te openen.

Ja, u kunt BitLocker-opstartsleutels voor verschillende computers op hetzelfde USB-flashstation opslaan.

U kunt scripts gebruiken om verschillende opstartsleutels voor dezelfde computer te genereren, maar voor TPM-computers zorgt het genereren van verschillende opstartsleutels ervoor dat BitLocker de TPM-systeemintegriteitscontrole niet kan gebruiken.

Het is niet mogelijk om meerdere pincombinaties aan te maken.

De onbewerkte gegevens worden versleuteld met de versleutelingssleutel voor het volledige volume, die vervolgens wordt versleuteld met de hoofdsleutel van het volume. De hoofdsleutel van het volume wordt op zijn beurt versleuteld in een van de verschillende mogelijke methoden, afhankelijk van het type authenticatie (sleutelbeschermers of TPM) en herstelscenario's.

Zie Wat is BitLocker in de BitLocker Drive Encryption Whitepaper voor meer informatie over coderingssleutels, hoe ze worden gebruikt en waar ze worden opgeslagen.

De versleutelingssleutel voor het volledige volume wordt versleuteld met de hoofdsleutel van het volume en opgeslagen op de versleutelde schijf. De hoofdsleutel van het volume wordt versleuteld met een geschikte sleutelbeschermer en opgeslagen op de versleutelde schijf. Wanneer BitLocker-beveiliging is opgeschort, wordt de onbeveiligde sleutel die de hoofdsleutel van het volume versleutelt ook opgeslagen op de versleutelde schijf samen met de versleutelde hoofdsleutel van het volume.

Deze opslagprocedure zorgt ervoor dat de hoofdsleutel van het volume nooit onversleuteld wordt opgeslagen en altijd wordt beschermd, tenzij BitLocker is uitgeschakeld. Sleutels worden ook opgeslagen op twee extra locaties op schijf voor redundantie. Sleutels kunnen worden gelezen en verwerkt door de downloadmanager.

Zie voor meer informatie Hoe het werkt in de Whitepaper BitLocker-stationsversleuteling.

De toetsen F1 – F10 hebben universele pollingcodes die beschikbaar zijn in de pre-bootomgeving op alle computers voor alle talen. De cijfertoetsen 0 t/m 9 worden mogelijk niet op alle toetsenborden in de pre-bootomgeving gebruikt.

Bij gebruik van een veilige pincode wordt gebruikers geadviseerd om een ​​extra systeemcontrole uit te voeren tijdens de installatie van BitLocker om er zeker van te zijn dat de juiste pincode kan worden ingevoerd in de pre-bootomgeving. Zie Wat is BitLocker in de BitLocker Drive Encryption Whitepaper voor meer informatie over verbeterde pincodes.

Een aanvaller kan de pincode met brute kracht achterhalen. Een brute-force aanval wordt uitgevoerd door een aanvaller met behulp van een geautomatiseerde tool die verschillende pincombinaties controleert totdat de juiste code is gevonden. Voor met BitLocker beveiligde computers vereist dit type aanval, ook wel bekend als een bruteforce-aanval uit het woordenboek, dat een aanvaller fysiek toegang krijgt tot de computer.

De Trusted Platform Module heeft ingebouwde mogelijkheden om deze aanvallen te detecteren en tegen te gaan. Omdat TPM's van verschillende fabrikanten verschillende anti-manipulatiemaatregelen hebben, moet u bij de TPM-fabrikant nagaan hoe de TPM op uw computer een brute-force PIN-aanval kan voorkomen.

Zodra u een TPM-fabrikant hebt geïdentificeerd, neemt u contact met hen op voor details over de ontwikkeling van de module. De meeste fabrikanten zullen de tijd die nodig is om een ​​PIN-interface te vergrendelen exponentieel verlengen met een toenemend aantal PIN-fouten. Elke fabrikant heeft echter zijn eigen regels voor het verlagen of resetten van de foutenteller.

Zie Informatie over TPM-stuurprogramma's zoeken voor meer informatie.

Zie Informatie over TPM-stuurprogramma's zoeken om uw TPM-fabrikant te bepalen.

Stel de TPM-fabrikant de volgende vragen over het mechanisme voor het beperken van woordenboekaanvallen.

Hoeveel mislukte toegangspogingen zijn toegestaan ​​voordat er wordt geblokkeerd?

Welk algoritme wordt gebruikt om de duur van de vergrendeling te bepalen, rekening houdend met het aantal mislukte toegangspogingen en andere belangrijke parameters?

Welke acties kunnen het aantal fouten of de duur van de blokkering verminderen of resetten?

Ja en nee. U kunt de minimale lengte van de pincode instellen in de instelling Minimale pincode configureren om Groepsbeleid te starten en toestaan ​​dat alfanumerieke pincodes worden gebruikt door de instelling Groepsbeleid toestaan ​​Veilige pincodes te starten in te schakelen. U kunt in Groepsbeleid echter geen eisen stellen aan de complexiteit van de pincode.

BitLocker To Go is BitLocker-stationsversleuteling voor verwisselbare gegevensstations. USB-flashstations, SD-kaarten, externe harde schijven en andere schijven met het NTFS-, FAT16-, FAT32- of exFAT-bestandssysteem zijn versleuteld.

Zie BitLocker To Go-overzicht voor meer informatie, waaronder hoe u een verwisselbaar gegevensstation kunt verifiëren of ontgrendelen en hoe u kunt controleren of een BitLocker To Go-lezer niet is geïnstalleerd op FAT-schijven.

Als BitLocker is ingeschakeld op een schijf voordat Groepsbeleid wordt toegepast om back-ups af te dwingen, wordt er niet automatisch een back-up van de herstelgegevens gemaakt naar Active Directory Domain Services wanneer de computer wordt toegevoegd aan een domein of Groepsbeleid wordt toegepast. In Windows 8 kunt u echter Groepsbeleid-instellingen gebruiken Herstelmethoden selecteren voor met BitLocker beveiligde schijven van het besturingssysteem, Herstelmethoden selecteren voor niet-verwisselbare met BitLocker beveiligde schijven en Herstelmethoden selecteren voor met BitLocker beveiligde verwisselbare schijven om het verplicht te maken voor uw computer om lid te worden van het domein voordat u BitLocker inschakelt. Hiermee wordt een back-up gemaakt van de met BitLocker beveiligde schijfherstelgegevens van uw organisatie naar Active Directory Domain Services.

Met de Windows Management Instrumentation (WMI) voor BitLocker kunnen beheerders een script schrijven om een ​​back-up te maken van bestaande gegevens of deze te synchroniseren om een ​​online client te herstellen, maar BitLocker beheert dit proces niet automatisch. Met het opdrachtregelprogramma Manage-bde kunt u ook handmatig een back-up maken van herstelgegevens naar Active Directory Domain Services. Als u bijvoorbeeld een back-up wilt maken van alle herstelgegevens voor de C:-schijf in Active Directory Domain Services, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid: manage-bde -protectors -adbackup C :.

Ja, er wordt een vermelding naar het gebeurtenislogboek op de clientcomputer geschreven om een ​​geslaagde of mislukte Active Directory-back-up aan te geven. Maar zelfs als een succesvolle voltooiing wordt aangegeven in het gebeurtenislogboek, kunnen de herstelgegevens worden verwijderd uit Active Directory Domain Services. Bovendien kan de BitLocker-configuratie veranderen, zodat er niet genoeg gegevens uit Active Directory zijn om de schijf te ontgrendelen (bijvoorbeeld als de sleutelbeschermer voor het herstelwachtwoord is verwijderd). Het is ook mogelijk dat er met een journaalboeking wordt geknoeid.

Om ervoor te zorgen dat Active Directory Domain Services een geldige back-up heeft, moet u Active Directory Domain Services opvragen met domeinbeheerdersreferenties met behulp van BitLocker Password Viewer.

Nee. BitLocker-herstelwachtwoorden worden niet verwijderd uit Active Directory Domain Services en daarom kunnen er voor elke schijf meerdere wachtwoorden verschijnen. Controleer de datum van het object om het laatste wachtwoord te bepalen.

Als de eerste back-up mislukt, bijvoorbeeld wanneer een domeincontroller niet meer beschikbaar is terwijl de BitLocker-installatiewizard wordt uitgevoerd, probeert BitLocker niet opnieuw een back-up van de herstelgegevens te maken naar Active Directory Domain Services.

Als een beheerder het selectievakje BitLocker-back-up vereisen in AD DS selecteert in de beleidsinstelling Herstelgegevens opslaan in Active Directory Domain Services (Windows 2008 en Windows Vista), of (equivalent) BitLocker pas inschakelen als herstelgegevens zijn opgeslagen in AD DS voor schijven met besturingssysteem selectievakje systeem (verwisselbare gegevensstations, vaste gegevensstations) in een van de beleidsinstellingen Selecteer herstelmethoden voor BitLocker-beveiligde besturingssysteemschijven, Selecteer herstelmethoden voor BitLocker-beveiligde verwisselbare schijven, Selecteer herstelmethoden voor BitLocker- beveiligde verwisselbare schijven, kunnen gebruikers BitLocker niet inschakelen wanneer de computer geen lid is van het domein en er geen back-up is gemaakt van de BitLocker-herstelgegevens in Active Directory Domain Services. Als deze opties zijn opgegeven en de back-up mislukt, kan BitLocker niet worden ingeschakeld. Dit zorgt ervoor dat beheerders alle met BitLocker beveiligde schijven in de organisatie kunnen herstellen.

Als de beheerder deze selectievakjes uitschakelt, kan de schijf BitLocker-beveiligd zijn zonder een succesvolle back-up van de herstelgegevens naar Active Directory Domain Services. BitLocker herhaalt de automatische back-up echter niet als deze mislukt. In plaats daarvan kunnen beheerders een back-upscript maken zoals eerder beschreven in Wat gebeurt er als BitLocker is ingeschakeld op mijn computer voordat ik lid wordt van het domein? Om gegevens te verzamelen nadat de verbinding is hersteld.

BitLocker gebruikt AES-codering met een configureerbare sleutellengte (128 of 256 bits). Standaard is codering AES-128, maar u kunt de instellingen configureren met Groepsbeleid.

Om BitLocker op een schijf van een besturingssysteem te implementeren, wordt een computer met TPM 1.2 of 2.0 en TCG-compatibele BIOS of UEFI-firmware aanbevolen en wordt een pincode aanbevolen. Het vereisen van een door de gebruiker verstrekte pincode, naast TPM-verificatie, voorkomt dat een aanvaller die toegang krijgt tot een computer deze eenvoudigweg kan starten.

In een basisconfiguratie biedt BitLocker op schijven van het besturingssysteem (TPM maar geen extra authenticatie) extra bescherming voor de slaapstand. Het gebruik van optionele BitLocker-authenticatie (TPM en pincode, TPM en USB-sleutel of TPM, pincode en USB-sleutel) biedt extra slaapstandbeveiliging. Deze methode is veiliger omdat BitLocker-verificatie vereist is om uit de slaapstand te komen. We raden u aan de slaapstand uit te schakelen en een TPM/PIN-combinatie te gebruiken voor verificatie.

De meeste besturingssystemen gebruiken gedeelde geheugenruimte en het besturingssysteem is verantwoordelijk voor het beheer van het fysieke geheugen. Een TPM is een hardwarecomponent die zijn eigen firmware en interne logica gebruikt om instructies te verwerken en beschermt tegen kwetsbaarheden in externe software. Voor het hacken van een TPM is fysieke toegang tot de computer vereist. Bovendien vereist het kraken van hardwareverdediging meestal duurdere tools en vaardigheden die niet zo gewoon zijn als het kraken van software. Omdat de TPM op elke computer uniek is, zal het veel tijd en moeite kosten om meerdere TPM-computers in gevaar te brengen.

Alle versies van BitLocker die in het besturingssysteem zijn opgenomen, zijn FIS- en Common Criteria EAL4+-gecertificeerd. Deze certificeringen zijn ook afgerond voor Windows 8 en Windows Server 2012 en worden momenteel uitgevoerd voor Windows 8.1 en Windows Server 2012 R2.

BitLocker Network Unlock maakt het gemakkelijk om BitLocker TPM + PIN-beveiligde computers en servers in een domeinomgeving te beheren. Wanneer u een computer opnieuw opstart die is aangesloten op een bekabeld bedrijfsnetwerk, kunt u met Network Unlock de PIN-prompt omzeilen. Met BitLocker beveiligde besturingssysteemvolumes worden automatisch ontgrendeld met een vertrouwde sleutel die door de Windows Deployment Services-server wordt geleverd als extra verificatiemethode.

Om netwerkvergrendeling te gebruiken, moet u ook een pincode voor uw computer instellen. Als uw computer niet is verbonden met een netwerk, moet u een pincode invoeren om deze te ontgrendelen.

BitLocker Network Unlock heeft hardware- en softwarevereisten voor clientcomputers, Windows Deployment Services en domeincontrollers waaraan moet worden voldaan voordat u het kunt gebruiken. Zie Hoe BitLocker-stationsversleuteling werkt voor meer informatie over deze vereisten.

Voor netwerkontgrendeling worden twee zekeringen gebruikt, de zekering van de TPM en de door het netwerk of de pincode geleverde zekering, terwijl voor automatisch ontgrendelen een enkele zekering wordt gebruikt die in de TPM is opgeslagen. Als de computer verbinding maakt met een netwerk zonder sleutelbeveiliging, wordt gevraagd om een ​​pincode in te voeren. Als er geen pincode beschikbaar is, hebt u een herstelsleutel nodig om een ​​computer te ontgrendelen die niet met het netwerk kan worden verbonden. Zie Hoe BitLocker-stationsversleuteling werkt voor meer informatie over automatische ontgrendeling en netwerkontgrendeling.

Ja, het Encrypting File System (EFS) kan worden gebruikt om bestanden op een met BitLocker beveiligde schijf te versleutelen. Zie voor meer informatie Hoe het werkt in de Whitepaper BitLocker-stationsversleuteling.

Ja. De foutopsporing moet echter zijn ingeschakeld voordat BitLocker wordt ingeschakeld. Door de debugger van tevoren in te schakelen, worden gezondheidsstatistieken correct berekend wanneer ze zijn verzegeld met de TPM, waardoor de computer correct kan opstarten. Als u foutopsporing moet in- of uitschakelen terwijl u BitLocker gebruikt, moet u eerst BitLocker onderbreken om te voorkomen dat de computer naar de herstelmodus gaat.

BitLocker bevat een stuurprogrammastapel voor massaopslag die geheugendumps versleutelt wanneer BitLocker is ingeschakeld.

BitLocker ondersteunt geen smartcards voor pre-boot authenticatie. Er is geen industriestandaard voor smartcardondersteuning in firmware, en de meeste computers ondersteunen geen smartcards in firmware of zijn alleen van toepassing op bepaalde typen smartcards en lezers. Het gebrek aan standaardisatie maakt het te moeilijk om smartcards te ondersteunen.

Microsoft ondersteunt geen TPM-stuurprogramma's van derden en raadt het gebruik ervan met BitLocker ten zeerste af. Het gebruik van een niet-Microsoft TPM-stuurprogramma met BitLocker kan ertoe leiden dat BitLocker meldt dat er geen TPM op de computer is en dat de module niet kan worden gebruikt met BitLocker.

Het wijzigen van de Master Boot Record (MBR) op computers waarop schijven van het besturingssysteem worden beschermd door BitLocker, wordt niet aanbevolen om redenen van beveiliging, betrouwbaarheid en productondersteuning. Het wijzigen van het Master Boot Record (MBR) kan de beveiligingsomgeving wijzigen en voorkomen dat de computer normaal opstart, en het repareren van een beschadigd Master Boot Record (MBR) bemoeilijken. Wijzigingen aan de MBR die niet met Windows zijn aangebracht, kunnen de computer in de herstelmodus zetten of het helemaal onmogelijk maken om op te starten.

Een systeemcontrole kan verifiëren dat de firmware van uw computer (BIOS of UEFI) BitLocker-compatibel is en dat de TPM correct werkt. De systeemcontrole kan om de volgende redenen mislukken.

Computerfirmware (BIOS of UEFI) ondersteunt het lezen van USB-flashstations niet.

Computerfirmware (BIOS of UEFI) of opstartmenu maakt lezen vanaf USB-flashstations niet mogelijk.

Er zijn meerdere USB-flashstations in de computer gestoken.

De pincode is verkeerd ingevoerd.

De firmware van de computer (BIOS of UEFI) ondersteunt alleen de functietoetsen (F1-F10) voor het invoeren van cijfers in de pre-boot-omgeving.

De opstartsleutel is verwijderd terwijl de computer nog niet opnieuw is opgestart.

Door een defecte TPM konden de sleutels niet worden verstrekt.

Sommige computers ondersteunen het lezen van USB-flashstations in de pre-bootomgeving niet. Controleer eerst uw BIOS- of UEFI-firmware-opties en opstartopties om er zeker van te zijn dat het gebruik van USB-drives is ingeschakeld. Schakel USB-opslag in BIOS of UEFI in als deze niet is ingeschakeld, en lees de herstelsleutel opnieuw vanaf de USB-flashdrive. Als u de sleutel nog steeds niet kunt lezen, moet u de harde schijf als gegevensschijf aansluiten op een andere computer met besturingssysteem om de herstelsleutel van de USB-flashdrive te kunnen lezen. Als het USB-flashstation is beschadigd, moet u mogelijk een herstelwachtwoord invoeren of herstelgegevens gebruiken waarvan een back-up is gemaakt in Active Directory Domain Services. Als de herstelsleutel wordt gebruikt in een pre-bootomgeving, zorg er dan voor dat de schijf NTFS, FAT16 of FAT32 is.

Automatische ontgrendeling van vaste gegevensschijven vereist dat de besturingssysteemschijf ook BitLocker-beveiligd is. Als u een computer gebruikt waarop het station van het besturingssysteem niet wordt beschermd door BitLocker, kan het station niet automatisch worden ontgrendeld. Voor verwisselbare gegevensstations kunt u automatische ontgrendeling toevoegen door met de rechtermuisknop op het station in Verkenner te klikken en BitLocker beheren te kiezen. Deze verwisselbare schijf kan op andere computers worden ontgrendeld door het wachtwoord of de smartcardgegevens in te voeren die zijn opgegeven toen BitLocker werd ingeschakeld.

Beperkte BitLocker-functies zijn beschikbaar in de veilige modus. Met BitLocker beveiligde schijven kunnen worden ontgrendeld en ontsleuteld met behulp van het item BitLocker-stationsversleuteling in het configuratiescherm. In de veilige modus kunt u niet met de rechtermuisknop op een schijf klikken om BitLocker-opties te openen.

Met de opdrachtregeltool Manage-bde en de opdracht –lock kunt u verwisselbare en niet-verwijderbare gegevensstations vergrendelen.

Opdrachtsyntaxis:

beheren-bde -lock

Naast het gebruik van deze opdracht worden gegevensschijven vergrendeld tijdens het afsluiten of opnieuw opstarten van het besturingssysteem. Verwisselbare gegevensschijven die van de computer worden verwijderd, worden ook automatisch vergrendeld.

Ja. schaduwkopieën die zijn gemaakt voordat BitLocker werd ingeschakeld, worden echter automatisch verwijderd wanneer BitLocker is ingeschakeld voor met software versleutelde schijven. Als een hardware-gecodeerde schijf wordt gebruikt, blijven schaduwkopieën behouden.

BitLocker wordt niet ondersteund voor opstart-VHD's, maar wel voor VHD-gegevensvolumes, zoals die worden gebruikt in clusters, wanneer het wordt uitgevoerd op Windows 8, Windows 8.1, Windows Server 2012 of Windows Server 2012 R2.

Hoe de geluidskaart te controleren op Windows 10

Versleuteling is standaard ingeschakeld, soms niet - over het algemeen is alles ingewikkeld. In dit artikel laten we u zien hoe u kunt controleren of gegevens op een schijf zijn versleuteld, en zo niet, hoe u versleuteling inschakelt. Merk op dat dit niet alleen nodig is voor bescherming tegen toezicht door de speciale werelddiensten. Versleuteling helpt gevoelige gegevens te beschermen in het geval dat uw computer wordt gestolen.

In tegenstelling tot andere moderne besturingssystemen - Mac OS X, Chrome OS, iOS en Android - is er nog steeds geen universele coderingstool in Windows 10 voor alle gebruikers. U moet coderingssoftware van derden kopen of gebruiken.

Apparaatversleuteling

Op veel nieuwe Windows 10-computers is apparaatversleuteling standaard ingeschakeld. Deze functie dateert uit Windows 8.1 en wordt alleen gebruikt op apparaten met specifieke hardwareconfiguraties.

Encryptie werkt ook alleen als u bent aangemeld bij Windows met een Microsoft-account. In dit geval wordt de gegevensherstelsleutel geüpload naar Microsoft-servers, wat een kans geeft om de toegang tot bestanden te herstellen als u om de een of andere reden niet kunt inloggen. (En dit is waarschijnlijk de reden waarom de FBI zich niet zo druk maakt over deze encryptie. Maar we hebben het in ieder geval over encryptie om te beschermen in geval van laptopdiefstal.

Om te controleren of apparaatcodering is ingeschakeld, opent u de interface Instellingen, gaat u naar Systeem> Info en kijkt u of er een optie Apparaatcodering helemaal onderaan het venster is. Zo niet, dan wordt deze functie niet ondersteund op deze computer.

BitLocker

Als apparaatcodering niet is ingeschakeld, of als u een meer functionele oplossing nodig hebt voor het coderen van gegevens, inclusief verwisselbare USB-drives, komt alles goed. Het hulpprogramma BitLocker is al meerdere versies op rij bij Windows geleverd en heeft een goede reputatie. Het is echter alleen beschikbaar in de Windows 10 Professional-editie.

Als u deze editie hebt, zoekt u in het menu Start naar BitLocker en gebruikt u het BitLocker-configuratiescherm om codering in te schakelen. Als u gratis een upgrade naar Windows 10 hebt uitgevoerd van Windows 7 Professional of Windows 8.1 Professional, moet u de Windows 10 Professional-editie hebben.

Als je dat hebt gedaan, kun je upgraden naar Windows 10 Professional voor $ 99. Om dit te doen, opent u eenvoudig de interface Instellingen, navigeert u naar Update en beveiliging> Activering en klikt u op de knop Ga naar winkel. Na het upgraden naar Windows 10 Professional heb je toegang tot BitLocker en andere geavanceerde functies.

TrueCrypt en afgeleiden

99 dollar betalen alleen voor de mogelijkheid om een ​​harde schijf te versleutelen is geen gemakkelijke beslissing, aangezien Windows-computers zelf tegenwoordig vaak maar een paar honderd dollar kosten. Maar geld uitgeven is niet nodig, want BitLocker is niet de enige oplossing. Ja, BitLocker heeft de meest complete integratie en ondersteuning, maar er zijn andere versleutelingstools.

Is een open source hulpprogramma voor volledige schijfcodering dat op Windows 10 draait en een haalbare optie is. Er zijn andere hulpprogramma's gebouwd bovenop TrueCrypt. Ze zijn allemaal gratis en kunnen allemaal worden geïnstalleerd op Windows 10 Home en eerdere versies van Windows om uw harde schijf te coderen als u geen toegang hebt tot BitLocker. Helaas is het instellen van TrueCrypt op moderne computers een beetje lastig. Maar als het systeem in de dagen van Windows 7 is teruggekocht en nu is bijgewerkt voor Windows 10, dan zal alles soepel verlopen.

Ja, de makers van TrueCrypt zijn enige tijd geleden plechtig gestopt met de ontwikkeling en verklaarden hun creatie kwetsbaar en onveilig, maar tal van beveiligingsexperts zijn het er nog steeds niet over eens of dit zo is. En het belangrijkste is dat de discussie vooral gaat over bescherming tegen de NSA en andere speciale diensten. Als u geïnteresseerd bent in encryptie om uw persoonlijke bestanden te beschermen tegen dieven in het geval van diefstal van uw laptop, zouden deze details u niet moeten interesseren. Voor deze doeleinden is TrueCrypt-codering voldoende.