Slik aktiverer du kryptering av Windows 10. Teknikk for kryptering av stasjoner og flyttbare medier. Vi venter på slutten av handlingen

BitLocker-krypteringsteknologien dukket opp for første gang for ti år siden og har endret seg med hver versjon av Windows. Imidlertid var ikke alle endringene i den ment å øke den kryptografiske styrken. I denne artikkelen skal vi se nærmere på enheten til forskjellige versjoner av BitLocker (inkludert de som er forhåndsinstallert i de siste versjonene av Windows 10) og vise deg hvordan du kan omgå denne innebygde beskyttelsesmekanismen.

Offline angrep

BitLocker var Microsofts svar på det økende antallet offline-angrep som var spesielt enkle på Windows-datamaskiner. Alle med kan føle seg som en hacker. Han vil ganske enkelt slå av den nærmeste datamaskinen, og deretter starte den opp igjen - denne gangen med operativsystemet og et bærbart sett med verktøy for å finne passord, konfidensielle data og dissekere systemet.

På slutten av arbeidsdagen, med en Phillips-skrutrekker, kan du til og med arrangere et lite korstog - åpne datamaskinene til de avdøde ansatte og fjern stasjonene fra dem. Den kvelden, i et avslappet hjemmemiljø, kan innholdet på de utpakkede platene analyseres (og til og med modifiseres) på tusen og én måter. Dagen etter er det nok å komme tidlig og returnere alt til sin plass.

Det er imidlertid ikke nødvendig å åpne andres datamaskiner rett på arbeidsplassen. Mye konfidensiell data lekker etter avhending av gamle datamaskiner og utskifting av stasjoner. I praksis utgjør sikker sletting og lavnivåformatering av utrangerte disker bare enheter. Hva kan stoppe unge hackere og samlere av digitalt forfall?

Som Bulat Okudzhava sang: "Hele verden er laget av begrensninger, slik at lykke ikke blir gal." Hovedbegrensningene i Windows er satt på nivået for tilgangsrettigheter til NTFS-objekter, som ikke beskytter mot offline angrep. Windows kontrollerer rett og slett lese- og skrivetillatelsene før de behandler kommandoer som får tilgang til filer eller kataloger. Denne metoden er ganske effektiv så lenge alle brukere jobber i et system konfigurert av en administrator med begrensede kontoer. Det er imidlertid verdt å enten starte opp i et annet operativsystem, siden det ikke vil være spor etter slik beskyttelse. Brukeren vil tildele tilgangsrettighetene på nytt selv eller bare ignorere dem ved å installere en annen filsystemdriver.

Det finnes mange komplementære metoder for å motvirke offline-angrep, inkludert fysisk sikkerhet og videoovervåking, men de mest effektive av disse krever sterk kryptografi. Oppstartslastere er digitalt signert for å forhindre ekstern kode fra å kjøre, og den eneste måten å virkelig beskytte selve dataene på harddisken din er å kryptere den. Hvorfor har full diskkryptering vært fraværende fra Windows så lenge?

Vista til Windows 10

Det er mange forskjellige personer som jobber hos Microsoft, og ikke alle koder med bakre venstre fot. Akk, de endelige avgjørelsene i programvareselskaper har lenge ikke blitt tatt av programmerere, men av markedsførere og ledere. Det eneste de virkelig vurderer når de utvikler et nytt produkt er salgsvolumer. Jo lettere det er for en husmor å forstå programvaren, jo flere kopier av denne programvaren vil kunne selges.

"Bare tenk, en halv prosent av klientene er bekymret for sikkerheten deres! Operativsystemet er allerede et komplekst produkt, og du skremmer også målgruppen med kryptering. La oss klare oss uten! De pleide å komme overens!" – Noe slikt kan føre til at toppledelsen i Microsoft frem til øyeblikket da XP ble populært i bedriftssegmentet. For mange eksperter blant administratorer har allerede tenkt på sikkerhet for å avslå deres mening. Derfor dukket den etterlengtede volumkrypteringen opp i neste versjon av Windows, men bare i Enterprise- og Ultimate-utgavene, som er rettet mot bedriftsmarkedet.

Den nye teknologien heter BitLocker. Dette var sannsynligvis den eneste gode Vista-komponenten. BitLocker krypterte hele volumet, noe som gjorde bruker- og systemfiler uleselige utenom det installerte operativsystemet. Viktige dokumenter, bilder av katter, register, SAM og SIKKERHET - alt viste seg å være uleselig når du utførte et offline angrep av noe slag. I Microsoft-terminologi er et "volum" ikke nødvendigvis en disk som en fysisk enhet. Et volum kan være en virtuell disk, en logisk partisjon eller omvendt - en forening av flere disker (spennede eller stripete volum). Selv en enkel flash-stasjon kan betraktes som et pluggbart volum, for hvilket ende-til-ende-kryptering, fra og med Windows 7, er en egen implementering - BitLocker To Go (for flere detaljer, se sidefeltet på slutten av artikkelen) .

Med bruken av BitLocker har det blitt vanskeligere å starte opp et tredjeparts OS siden alle oppstartslastere har blitt digitalt signert. En løsning er imidlertid fortsatt mulig takket være kompatibilitetsmodus. Det er verdt å endre oppstartsmodusen fra UEFI til Legacy i BIOS og slå av Secure Boot-funksjonen, og den gode gamle oppstartbare USB-flash-stasjonen kommer godt med igjen.

Slik bruker du BitLocker

La oss analysere den praktiske delen av eksempelet med Windows 10. I build 1607 kan BitLocker aktiveres gjennom kontrollpanelet (seksjon "System og sikkerhet", underseksjon "BitLocker Drive Encryption").

Men hvis hovedkortet ikke har en TPM 1.2 eller nyere kryptoprosessor, kan BitLocker ikke brukes uten grunn. For å aktivere den, må du gå til redigeringsprogrammet for lokal gruppepolicy (gpedit.msc) og utvide avdelingen Datamaskinkonfigurasjon -> Administrative maler -> Windows-komponenter -> BitLocker-stasjonskryptering -> Operativsystemstasjoner før du konfigurerer "Denne policyinnstillingen tillater du å konfigurere kravet ekstra autentisering ved oppstart." Der må du finne innstillingen "Tillat BitLocker uten en kompatibel TPM ..." og aktivere den.

Ytterligere BitLocker-innstillinger kan konfigureres i tilstøtende lokale policyseksjoner, inkludert nøkkellengde og AES-krypteringsmodus.

Etter å ha tatt i bruk de nye retningslinjene, går vi tilbake til kontrollpanelet og følger instruksjonene tilren. Som ekstra beskyttelse kan du velge å angi et passord eller koble til en bestemt USB-flash-stasjon.

Mens BitLocker regnes som en full diskkrypteringsteknologi, tillater den bare delvis kryptering av okkuperte sektorer. Dette er raskere enn å kryptere alt, men denne metoden anses som mindre sikker. Om bare fordi samtidig slettede, men ikke overskrevne filer forblir tilgjengelige for direkte lesing i noen tid.

Full og delvis kryptering

Etter å ha konfigurert alle parameterne, starter den på nytt. Windows vil be deg om å angi et passord (eller sette inn en USB-flash-stasjon) og vil deretter starte normalt og starte bakgrunnskrypteringsprosessen på volumet.

Avhengig av valgte innstillinger, diskstørrelse, prosessorfrekvens og støtte for individuelle AES-kommandoer, kan kryptering ta fra et par minutter til flere timer.

Etter å ha fullført denne prosessen, vil nye elementer vises i kontekstmenyen for Filutforsker: Passordendring og hurtignavigering til BitLocker-innstillinger.

Vær oppmerksom på at alle handlinger, bortsett fra endring av passord, krever administratorrettigheter. Logikken her er enkel: siden du har logget på systemet, betyr det at du kjenner passordet og har rett til å endre det. Hvor rimelig er dette? Det finner vi ut snart!

Hvordan BitLocker fungerer

BitLocker-pålitelighet bør ikke bedømmes ut fra omdømmet til AES. En populær krypteringsstandard har kanskje ikke åpenbare svakheter, men implementeringen i spesifikke kryptografiske produkter florerer ofte av dem. Microsoft avslører ikke hele koden for BitLocker-teknologi. Det er bare kjent at i forskjellige versjoner av Windows var det basert på forskjellige ordninger, og endringene ble ikke kommentert på noen måte. Dessuten, i build 10586 av Windows 10, forsvant den ganske enkelt, og etter to bygg dukket den opp igjen. Men først ting først.

Den første versjonen av BitLocker brukte Ciphertext Block Chaining (CBC)-modus. Selv da var manglene åpenbare: Angrepsvennligheten ved å bruke en velkjent tekst, dårlig motstand mot angrep som forfalskning, og så videre. Derfor bestemte Microsoft seg umiddelbart for å styrke beskyttelsen. Allerede i Vista ble Elephant Diffuser-algoritmen lagt til AES-CBC-skjemaet, noe som gjorde det vanskelig å direkte sammenligne chiffertekstblokker. Med det ga samme innhold av to sektorer helt forskjellige resultater etter kryptering med én nøkkel, noe som kompliserte beregningen av det generelle mønsteret. Imidlertid var selve nøkkelen som standard kort - 128 biter. Den kan forlenges til 256 biter gjennom administrative retningslinjer, men er det verdt å gjøre det?

For brukere, etter å ha endret nøkkelen, vil ingenting utad endres - verken lengden på de angitte passordene eller den subjektive hastigheten på operasjoner. Som de fleste fulldiskkrypteringssystemer, bruker BitLocker flere nøkler ... og ingen av dem er synlige for brukere. Her er et skjematisk diagram av BitLocker.

1. Når BitLocker aktiveres ved hjelp av en pseudo-tilfeldig tallgenerator, genereres en masterbitsekvens. Denne volumkrypteringsnøkkelen er FVEK (full volumkrypteringsnøkkel). Det er hos dem at innholdet i hver sektor er kryptert fra nå av.
2. På sin side blir FVEK kryptert med en annen nøkkel - VMK (volumhovednøkkel) - og lagret kryptert blant volummetadataene.
3. Selve VMK er også kryptert, men på forskjellige måter etter brukerens valg.
4. På nyere hovedkort er VMK kryptert som standard ved hjelp av en SRK (lagringsrotnøkkel), som lagres i en egen kryptoprosessor - en betrodd plattformmodul (TPM). Brukeren har ikke tilgang til TPM-innholdet og er unik for hver datamaskin.
5. Hvis det ikke er en egen TPM-brikke på brettet, brukes i stedet for SRK, for å kryptere VMK-nøkkelen, PIN-koden angitt av brukeren eller en USB-Flash-stasjon koblet til på forespørsel med nøkkelinformasjon forhåndsinnspilt på den.
6. I tillegg til TPM eller USB-pinne kan du beskytte VMK med et passord.

Dette generelle mønsteret til BitLocker har fortsatt i påfølgende utgivelser av Windows frem til i dag. Imidlertid har BitLocker-nøkkelgenerering og krypteringsmodus endret seg. Så i oktober 2014 fjernet Microsoft stille den ekstra Elephant Diffuser-algoritmen, og etterlot bare AES-CBC-ordningen med sine kjente mangler. Til å begynne med ble det ikke gitt noen offisielle uttalelser om dette. Folk ble rett og slett gitt en svekket krypteringsteknologi med det tidligere navnet under dekke av en oppdatering. Vage forklaringer på dette trekket kom etter at forenklingene i BitLocker ble lagt merke til av uavhengige forskere.

Formelt var det nødvendig å forlate Elephant Diffuser for å sikre Windows-samsvar med US Federal Information Processing Standards (FIPS), men ett argument tilbakeviser denne versjonen: Vista og Windows 7, som brukte Elephant Diffuser, ble solgt i Amerika uten problemer.

En annen åpenbar grunn til å forlate tilleggsalgoritmen er mangelen på maskinvareakselerasjon for Elephant Diffuser og tapet i hastighet når du bruker den. I tidligere år, da prosessorene var tregere, var krypteringshastigheten av en eller annen grunn ok. Og den samme AES ble mye brukt selv før det var separate instruksjonssett og spesialiserte brikker for å akselerere den. Over tid var det mulig å lage maskinvareakselerasjon for Elephant Diffuser, eller i det minste gi kundene valget mellom hastighet og sikkerhet.

En annen, uoffisiell versjon ser mer realistisk ut. "Elephant" forstyrret NSA-ansatte som ønsket å bruke mindre krefter på å dekryptere neste disk, og Microsoft samhandler villig med myndighetene selv i tilfeller der forespørslene deres ikke er helt legitime. Indirekte bekrefter konspirasjonsteorien og det faktum at før Windows 8 brukte BitLocker den innebygde pseudo-tilfeldige tallgeneratoren i Windows for å generere krypteringsnøkler. I mange (om ikke alle) Windows-utgaver var dette Dual_EC_DRBG, en "kryptografisk sterk PRNG" utviklet av US National Security Agency og inneholder en rekke sårbarheter som ligger i den.

Selvfølgelig trakk den hemmelige svekkelsen av den innebygde krypteringen en sterk bølge av kritikk. Under hennes press, gjeninnførte Microsoft BitLocker, og erstattet PRNG i nye utgivelser av Windows med CTR_DRBG. I tillegg, i Windows 10 (starter med build 1511), er standard krypteringsskjema AES-XTS, som er immun mot manipulering av chiffertekstblokker. De siste versjonene av Topp 10 har adressert andre kjente BitLocker-feil, men hovedproblemet gjenstår fortsatt. Det er så absurd at det gjør andre innovasjoner meningsløse. Det handler om prinsippene for nøkkelstyring.

Los Alamos-prinsippet

Oppgaven med å dekryptere BitLocker-stasjoner forenkles også av det faktum at Microsoft aktivt fremmer en alternativ metode for å gjenopprette tilgang til data gjennom Data Recovery Agent. Betydningen av "Agenten" er at den krypterer krypteringsnøklene til alle stasjoner i bedriftsnettverket med en enkelt tilgangsnøkkel. Etter å ha fått det, kan du dekryptere hvilken som helst nøkkel, og derfor enhver disk som brukes av samme selskap. Komfortabel? Ja, spesielt for hacking.

Ideen om å bruke en nøkkel for alle låser har allerede kompromittert seg selv mange ganger, men de fortsetter å gå tilbake til den i en eller annen form for enkelhets skyld. Her er hvordan Ralph Leighton skrev ned Richard Feynmans erindringer om en karakteristisk episode av arbeidet hans på Manhattan-prosjektet ved Los Alamos Laboratory: "... jeg åpnet tre safer - og alle tre med én kombinasjon.<…>Jeg fullførte dem alle: Jeg åpnet safene med alle atombombens hemmeligheter - teknologien for å skaffe plutonium, en beskrivelse av renseprosessen, informasjon om hvor mye materiale som trengs, hvordan bomben fungerer, hvordan nøytroner oppnås, hvordan bomben fungerer, hva dens dimensjoner er, med et ord, alt. hva de visste i Los Alamos, hele kjøkkenet!».

BitLocker ligner noe på den sikre enheten beskrevet i et annet utdrag fra boken "Du tuller selvfølgelig, Mr. Feynman!" Det topphemmelige laboratoriets mest imponerende safe hadde samme sårbarhet som et enkelt arkivskap. «... Det var en oberst, og han hadde en mye mer utspekulert, todørs safe med store håndtak som trakk fire stålstenger som var tre kvart tomme tykke fra rammen.<…>Jeg skannet baksiden av en av de imponerende bronsedørene og fant ut at den digitale urskiven var koblet til en liten hengelås som så ut akkurat som låsen på Los Alamos-skapet mitt.<…>Det var åpenbart at innflytelsen var avhengig av den samme lille stangen som låste arkivskapene.<…>... Jeg lot til en viss aktivitet og begynte å vri lemmet tilfeldig.<…>To minutter senere - klikk! - safen har åpnet seg.<…>Når safedøren eller den øverste arkivskapsskuffen er åpen, er det veldig enkelt å finne kombinasjonen. Dette er hva jeg gjorde da du leste rapporten min, bare for å vise deg faren.".

BitLocker kryptobeholdere er ganske pålitelige i seg selv. Hvis de gir deg en flash-stasjon kryptert med BitLocker To Go fra ingensteds, vil du neppe dekryptere den innen rimelig tid. Men i et virkelighetsscenario som bruker krypterte stasjoner og flyttbare medier, er det mange sårbarheter som enkelt kan utnyttes til å omgå BitLocker.

Potensielle sårbarheter

Du har sikkert lagt merke til at første gang du aktiverer BitLocker, må du vente lenge. Dette er ikke overraskende - sektor-for-sektor-krypteringsprosessen kan ta flere timer, fordi selv å lese alle blokker med terabyte HDD-er er ikke mulig raskere. Imidlertid er deaktivering av BitLocker nesten øyeblikkelig - hvordan kommer det?

Poenget er at når de er deaktivert, dekrypterer ikke BitLocker dataene. Alle sektorer vil forbli kryptert med FVEK-nøkkelen. Det er bare det at tilgangen til denne nøkkelen ikke lenger vil være begrenset på noen måte. Alle sjekker vil bli deaktivert, og VMK vil forbli registrert blant metadataene i klartekst. Hver gang datamaskinen slås på, vil OS-lasteren lese VMK (allerede uten TPM-kontroll, be om en nøkkel på en USB-flash-stasjon eller et passord), automatisk dekryptere FVEK av den, og deretter alle filer etter hvert som de blir åpnet. For brukeren vil alt se ut som en fullstendig mangel på kryptering, men de mest oppmerksomme kan merke en liten reduksjon i ytelsen til diskundersystemet. Mer presist - ingen økning i hastighet etter deaktivering av kryptering.

Interessant i dette opplegget og mer. Til tross for navnet (full diskkrypteringsteknologi), er enkelte data fortsatt ukrypterte når du bruker BitLocker. MBR og BS (med mindre disken ble initialisert i GPT), forblir ødelagte sektorer og metadata i det fri. Den åpne bootloaderen gir deg mye fantasi. Det er praktisk å skjule rootkits og annen skadelig programvare i pseudo-dårlige sektorer, og metadataene inneholder mange interessante ting, inkludert kopier av nøkler. Hvis BitLocker er aktiv, vil de være kryptert (men svakere enn FVEK krypterer innholdet i sektorer), og hvis de er deaktivert, vil de ganske enkelt være i klartekst. Disse er alle potensielle angrepsvektorer. De er potensielle fordi det i tillegg til dem er mye enklere og mer universelle.

Gjenopprettingsnøkkel

I tillegg til FVEK, VMK og SRK, bruker BitLocker en annen type nøkkel som genereres "i tilfelle." Dette er gjenopprettingsnøkler assosiert med en annen populær angrepsvektor. Brukere er redde for å glemme passordet og miste tilgangen til systemet, og Windows anbefaler dem selv å foreta en nødpålogging. For å gjøre dette foreslår BitLocker-krypteringsveiviseren på siste trinn å opprette en gjenopprettingsnøkkel. Det gis ikke avslag på å opprette den. Du kan bare velge ett av de viktigste eksportalternativene, som hver er svært sårbare.

I standardinnstillingene eksporteres nøkkelen som en enkel tekstfil med et gjenkjennelig navn: "BitLocker gjenopprettingsnøkkel #", hvor datamaskinidentifikatoren skrives i stedet for # (ja, rett i filnavnet!). Selve nøkkelen ser slik ut.

Hvis du har glemt (eller aldri kjent) BitLocker-passordet, er det bare å se etter gjenopprettingsnøkkelfilen. Det vil sikkert bli lagret blant dokumentene til den nåværende brukeren eller på USB-flashstasjonen hans. Kanskje er det til og med skrevet ut på et stykke papir, slik Microsoft anbefaler. Bare vent til kollegaen din tar en pause (som alltid, glemmer å låse datamaskinen) og begynn å lete.

Pålogging for gjenopprettingsnøkkel

For raskt å finne gjenopprettingsnøkkelen er det praktisk å begrense søket etter utvidelse (txt), opprettelsesdato (hvis du kan forestille deg, når du kunne ha slått på BitLocker) og filstørrelse (1388 byte hvis filen ikke ble redigert). Etter å ha funnet gjenopprettingsnøkkelen, kopier den. Med den kan du omgå standardautorisasjonen i BitLocker når som helst. For å gjøre dette, trykk bare på Esc og skriv inn gjenopprettingsnøkkelen. Du vil logge på uten problemer, og du kan til og med endre BitLocker-passordet til et vilkårlig uten å spesifisere det gamle! Dette minner allerede om triksene fra overskriften «Western Construction».

Åpner BitLocker

Et ekte kryptografisk system er en avveining mellom bekvemmelighet, hastighet og pålitelighet. Det skal gi prosedyrer for transparent kryptering med dekryptering i farten, metoder for å gjenopprette glemte passord og praktisk arbeid med nøkler. Alt dette svekker ethvert system, uansett hvor robuste algoritmer det er basert på. Derfor er det ikke nødvendig å lete etter sårbarheter direkte i Rijndael-algoritmen eller i forskjellige skjemaer av AES-standarden. Det er mye lettere å finne dem nøyaktig i detaljene for en spesifikk implementering.

Når det gjelder Microsoft er slike "spesifikke detaljer" nok. For eksempel sendes kopier av BitLocker-nøkler som standard til SkyDrive og deponeres i Active Directory. Til hva? Vel, hva om du mister dem ... eller agent Smith spør. Det er upraktisk å la klienten vente, enn si agenten.

Av denne grunn faller sammenligningen av den kryptografiske styrken til AES-XTS og AES-CBC med Elephant Diffuser i bakgrunnen, samt anbefalingene for å øke nøkkellengden. Hvor lenge den er, kan angriperen enkelt få den i klartekst.

Å hente deponerte nøkler fra en Microsoft- eller AD-konto er den primære måten å angripe BitLocker på. Hvis brukeren ikke har registrert en konto i Microsoft-skyen, og datamaskinen hans ikke er i domenet, er det fortsatt måter å trekke ut krypteringsnøklene på. Under normal drift lagres deres åpne kopier alltid i RAM (ellers ville det ikke vært noen "transparent kryptering"). Dette betyr at de er tilgjengelige i dump- og dvalefilen.

Hvorfor er de i det hele tatt lagret der? Morsomt som det kan virke - for enkelhets skyld. BitLocker ble designet for kun å beskytte mot offline angrep. De er alltid ledsaget av omstart og tilkobling av en disk i et annet OS, noe som fører til rensing av RAM. Men i standardinnstillingene utfører operativsystemet en dump av RAM når det oppstår en feil (som kan provoseres) og skriver alt innholdet til dvalefilen hver gang datamaskinen går i dyp dvale. Derfor, hvis du nylig logget på Windows med BitLocker aktivert, er det en god sjanse til å få en dekryptert kopi av VMK, og med dens hjelp dekryptere FVEK og deretter selve dataene langs kjeden. Sjekk det ut?

Alle de ovennevnte metodene for å hacke BitLocker er samlet i ett program - Forensic Disk Decryptor, utviklet av det innenlandske selskapet Elcomsoft. Den kan automatisk trekke ut krypteringsnøkler og montere krypterte volumer som virtuelle disker, og dekryptere dem i farten.

I tillegg implementerer EFDD en annen ikke-triviell måte å skaffe nøkler på - et angrep gjennom FireWire-porten, som er tilrådelig å bruke når det ikke er mulig å kjøre programvaren din på den angrepne datamaskinen. Vi installerer alltid selve EFDD-programmet på datamaskinen vår, og på den hackede prøver vi å gjøre med minimum nødvendige handlinger.

Som et eksempel vil vi ganske enkelt kjøre et testsystem med BitLocker aktiv og stille dumping av minnet. Så vi vil simulere en situasjon der en kollega gikk ut for å spise lunsj og ikke låste datamaskinen sin. Vi lanserer RAM Capture og i løpet av mindre enn ett minutt vil vi motta en fullstendig dump i en fil med .mem-utvidelsen og en størrelse som tilsvarer mengden RAM installert på offerets datamaskin.

Lage en minnedump

Hvordan lage en dump – stort sett spiller det ingen rolle. Uavhengig av utvidelse vil dette resultere i en binær fil, som vil bli ytterligere automatisk analysert av EFDD på jakt etter nøkler.

Vi skriver en dump til en USB-flash-stasjon eller overfører den over nettverket, hvoretter vi setter oss ned ved datamaskinen og starter EFDD.

Velg alternativet "Pakk ut nøkler" og skriv inn banen til filen med minnedumpen som nøkkelkilde.

Vi angir kilden til nøklene

BitLocker er en typisk kryptobeholder som PGP Disk eller TrueCrypt. Disse beholderne viste seg å være ganske pålitelige i seg selv, men klientapplikasjoner for å jobbe med dem under Windows er fulle av krypteringsnøkler i RAM. Derfor implementerer EFDD et generisk angrepsscenario. Programmet finner øyeblikkelig krypteringsnøkler fra alle tre typer populære krypto-beholdere. Derfor kan du la alle boksene være merket - hva om offeret i all hemmelighet bruker TrueCrypt eller PGP!

Etter noen sekunder viser Elcomsoft Forensic Disk Decryptor alle funnet nøkler i vinduet. For enkelhets skyld kan de lagres i en fil - dette kommer godt med senere.

BitLocker er ikke lenger en hindring! Du kan utføre et klassisk offline-angrep – for eksempel trekke ut en kollegas harddisk og kopiere innholdet. For å gjøre dette, koble den til datamaskinen og kjør EFDD i "dekrypter eller monter disk"-modus.

Etter å ha spesifisert banen til filene med de lagrede nøklene, vil EFDD etter eget valg utføre en fullstendig dekryptering av volumet eller umiddelbart åpne det som en virtuell disk. I sistnevnte tilfelle dekrypteres filene etter hvert som de åpnes. Det gjøres i alle fall ingen endringer i det opprinnelige volumet, så dagen etter kan du returnere det som om ingenting hadde skjedd. Arbeid med EFDD skjer uten spor og kun med kopier av data, og forblir derfor usynlig.

BitLocker å gå

Fra og med "syv" i Windows ble det mulig å kryptere flash-stasjoner, USB-HDD og andre eksterne medier. En teknologi kalt BitLocker To Go krypterer flyttbare stasjoner akkurat som lokale stasjoner. Kryptering aktiveres av det tilsvarende elementet i Utforsker-kontekstmenyen.

For nye stasjoner kan du bruke kryptering av bare det okkuperte området - likevel er den ledige plassen til partisjonen fylt med nuller og det er ingenting å skjule der. Hvis stasjonen allerede er brukt, anbefales det å aktivere full kryptering på den. Ellers vil plassen merket som ledig forbli ukryptert. Den kan inneholde nylig slettede filer i klartekst som ennå ikke er overskrevet.

Selv rask kryptering av bare et travelt område tar fra noen få minutter til flere timer. Denne tiden avhenger av mengden data, båndbredden til grensesnittet, egenskapene til stasjonen og hastigheten på kryptografiske beregninger til prosessoren. Siden kryptering er ledsaget av komprimering, øker den ledige plassen på den krypterte disken vanligvis litt.

Neste gang du kobler den krypterte flash-stasjonen til en datamaskin med Windows 7 eller nyere, vil BitLocker-veiviseren automatisk starte for å låse opp stasjonen. I Utforsker, før opplåsing, vil den vises som en låst disk.

Her kan du bruke både de allerede vurderte BitLocker-bypass-alternativene (for eksempel lete etter en VMK-nøkkel i en minnedump- eller dvalefil), og nye relatert til gjenopprettingsnøkler.

Hvis du ikke kjenner passordet, men du klarte å finne en av nøklene (manuelt eller ved hjelp av EFDD), er det to hovedalternativer for å få tilgang til den krypterte flash-stasjonen:

• bruk den innebygde BitLocker-veiviseren til å jobbe direkte med flash-stasjonen;
• bruk EFDD til å dekryptere en flash-stasjon fullstendig og lage et sektor-for-sektor-bilde av den.

Det første alternativet lar deg umiddelbart få tilgang til filene som er registrert på USB-flashstasjonen, kopiere eller endre dem, samt skrive dine egne. Det andre alternativet tar mye lengre tid (fra en halv time), men det har sine egne fordeler. Det dekrypterte sektor-for-sektor-bildet muliggjør mer sofistikert analyse av filsystemet på rettsmedisinsk laboratorienivå. I dette tilfellet er selve flash-stasjonen ikke lenger nødvendig og kan returneres uendret.

Det resulterende bildet kan åpnes umiddelbart i et hvilket som helst program som støtter IMA-formatet, eller først konverteres til et annet format (for eksempel ved hjelp av UltraISO).

Selvfølgelig, i tillegg til å finne gjenopprettingsnøkkelen for BitLocker2Go, støttes alle andre BitLocker-bypass-metoder i EFDD. Bare gå gjennom alle tilgjengelige alternativer på rad til du finner en nøkkel av hvilken som helst type. Resten (opp til FVEK) vil selv bli dekryptert langs kjeden, og du vil få full tilgang til disken.

konklusjoner

BitLocker full disk krypteringsteknologi varierer fra versjon til versjon av Windows. Etter tilstrekkelig konfigurasjon lar den deg lage krypterte beholdere som er teoretisk sammenlignbare i styrke med TrueCrypt eller PGP. Imidlertid opphever den innebygde Windows-nøkkelhåndteringsmekanismen alle algoritmiske triks. Nærmere bestemt blir VMK-en som brukes til å dekryptere hovednøkkelen i BitLocker, gjenopprettet ved hjelp av EFDD i løpet av noen få sekunder fra et deponert duplikat, minnedump, dvalefil eller FireWire-portangrep.

Etter å ha mottatt nøkkelen, kan du utføre et klassisk offline-angrep, diskret kopiere og automatisk dekryptere alle data på den "sikre" disken. Derfor bør BitLocker bare brukes sammen med andre beskyttelser: Kryptering av filsystem (EFS), Rights Management Service (RMS), programstartkontroll, enhetsinstallasjon og tilkoblingskontroll, og strengere lokale retningslinjer og generelle sikkerhetstiltak.

Sist oppdatert av 28. februar 2017.

God dag venner.

Du har satt et passord på visse opplysninger på datamaskinen, og nå vil du fjerne det? Ikke sikker på hvordan du gjør dette? Denne artikkelen gir enkle instruksjoner om hvordan du deaktiverer Bitlocker – selve programmet som beskytter dataene dine mot hacking.

Bitlocker er et innebygd verktøy i Windows-systemer designet for å sikre sikkerheten til viktig informasjon fra uautorisert tilgang. Etter å ha installert den, legger eieren av datamaskinen et passord på alle eller noen filer. Applikasjonen lar deg lagre den på et eksternt medium eller skrive den ut for å la PIN-koden være i minnet, fordi den kan pumpe den opp.

Kryptering av informasjon består i det faktum at programmet konverterer den til et spesielt format som kun kan leses etter å ha skrevet inn passordet.

Hvis du prøver å åpne en fil uten den, vil du se urelaterte tall og bokstaver.

Til å begynne med kan du konfigurere verktøyet slik at låsen fjernes når en USB-flash-stasjon med nøkkel settes inn. Bedre å ha flere medier med passord.

Viktig! Hvis du glemmer og mister alle nøklene, vil du sammen med dem miste tilgangen til alle data på disken (eller på en flash-stasjon) for alltid.

Programmet begynte først å fungere i en forbedret versjon av Windows Vista. Det er nå tilgjengelig for andre generasjoner av dette systemet også.

Måter å deaktivere Bitlocker

Du trenger ikke være hacker eller IT-profesjonell for å fjerne blokkeringen. Alt gjøres enkelt; selvfølgelig, hvis du setter passordet selv, og ikke skal hacke andres data. Dette er sant? Så la oss komme ned til analysen.

Det er flere måter å låse opp filer på. Den enkleste av dem ser slik ut:

• Høyreklikk på ønsket disk og klikk på "BitLocker Control" i rullegardinvinduet;

• En ny meny åpnes der du skal velge "Slå av"-elementet.

Når du installerer Windows 10 eller en annen OS-versjon på nytt, må du suspendere kryptering. For å fullføre det, følg instruksjonene nedenfor:

• Åpne Start - Kontrollpanel - System og sikkerhet - BitLocker Drive Encryption;
• Velg "Pause beskyttelse" eller "Administrer BitLocker" - deretter "Deaktiver BitLocker" (i Win7).
• Klikk "Ja" for å bekrefte at du med vilje deaktiverer den.

Gjennom samme meny kan du skru helt av låsen ved å trykke på tilsvarende knapp.

Merk at Windows Vista og andre versjoner av systemet kan ha andre navn for delene ovenfor. Men uansett finner du de ønskede innstillingene gjennom kontrollpanelet. For eksempel, på Windows 8, kan du åpne den slik:

Ærlig talt, jeg vet ikke hvordan jeg deaktiverer denne løsepengevaren hvis passordet går tapt ... Jeg kan bare anbefale å formatere enheten - som et resultat av dette vil disken være tilgjengelig for arbeid. Men i denne situasjonen vil alle dataene på den naturlig forsvinne.

Vel, det er alt, jeg håper det var nyttig.

Vi sees snart venner!

På Windows 10 kan du kryptere harddisken din fullstendig med BitLocker-sikkerhet. Dette programmet er allerede integrert i Windows og er enkelt å bruke - i hvert fall hvis hovedkortet ditt har en dedikert TPM. Slik fungerer det.

Drive-kryptering i Windows 10 med BitLocker

Hovedkortet ditt kan ha en komponent som kalles en kryptoprosessor eller Trusted Platform Module (TPM)-brikke. Den lagrer krypteringsnøkler for å beskytte informasjon på maskinvarenivå. Det ser slik ut: Hvis det er en TPM på hovedkortet, er kryptering av harddisken i Windows 10 veldig enkelt å organisere: Klikk på Start-knappen> Utforsker> Denne PC-en.

I vinduet høyreklikker du på stasjonen du vil kryptere og velger Aktiver BitLocker fra rullegardinmenyen. Skriv inn et sterkt passord for harddisken. Hver gang du slår på datamaskinen, vil Windows be om dette passordet for å dekryptere dataene.

Velg hvordan du vil sikkerhetskopiere gjenopprettingsnøkkelen. Den kan lagres til en Microsoft-konto, kopieres til en USB-stasjon eller skrives ut.

Velg om du vil kryptere all eller bare ledig plass på disken. Hvis du nylig har installert Windows 10, velg sistnevnte. Hvis du aktiverer kryptering på en stasjon som allerede er i bruk, er det best å kryptere hele stasjonen.

Klikk på Fortsett for å starte kryptering.

Når krypteringen er fullført, start datamaskinen på nytt og skriv inn passordet. Hvis du mottar en feilmelding i trinn 2 som indikerer at du må tillate BitLocker å kjøre uten en kompatibel TPM, så har ikke hovedkortet ditt en kompatibel TPM. I dette tilfellet må du gå rundt.

Diskkryptering i Windows 10 uten TPM For å kryptere en harddisk i Windows 10 uten å bruke en maskinvarenøkkellagringsmodul, gjør følgende: Gå tilbake til feltet Søk på Internett og Windows og skriv inn "Gruppepolicy" (uten anførselstegn).

Klikk på Endre gruppepolicy-oppføringen. Et nytt vindu åpnes.

Naviger til Administrative maler> Windows-komponenter> BitLocker-stasjonskryptering> Operativsystemstasjoner.

Dobbeltklikk Denne policyinnstillingen lar deg konfigurere til å kreve ytterligere autentisering ved oppstart. I det nye vinduet velger du Aktivert, merk av i boksen ved siden av Tillat BitLocker uten en kompatibel TPM, og klikk OK.

Åpne denne PC-en, velg stasjonen og klikk Slå på BitLocker.

En rask sjekk vil da bli utført på datamaskinen din. Når verifiseringen er fullført, vil systemet spørre om du vil låse datamaskinen med en USB-nøkkel eller passord.

Velg om BitLocker krypterer den gjenværende ledige plassen eller hele harddisken.

BitLocker starter i bakgrunnen og krypterer harddisken din. Du kan fortsette å jobbe normalt. Etter den første omstarten av PC-en, vil systemet bare starte opp hvis du skriver inn riktig passord under oppstart eller kobler til en USB-stasjon med en sikkerhetskopi av nøkkelen.

Mange brukere med utgivelsen av Windows 7-operativsystemet ble møtt med det faktum at en uforståelig BitLocker-tjeneste dukket opp i den. Mange mennesker kan bare gjette hva BitLocker er. La oss avklare situasjonen med konkrete eksempler. Vi vil også vurdere spørsmål som er knyttet til hvor hensiktsmessig det er å aktivere denne komponenten eller helt deaktivere den.

BitLocker-tjenesten: hva den er til for

Hvis du ser ordentlig på det, kan du konkludere med at BitLocker er et helautomatisert universelt krypteringsverktøy for data lagret på en harddisk. Hva er BitLocker på en harddisk? Dette er en vanlig tjeneste som, uten brukerintervensjon, lar deg beskytte mapper og filer ved å kryptere dem og lage en spesiell tekstnøkkel som gir tilgang til dokumenter. I det øyeblikket brukeren jobber under kontoen sin, vet han ikke engang at dataene er kryptert. All informasjon vises i en lesbar form og tilgang til mapper og filer er ikke blokkert for brukeren. Med andre ord er et slikt beskyttelsesmiddel kun utformet for de situasjoner der uautorisert tilgang til dataterminalen utføres når det gjøres et forsøk på å forstyrre fra utsiden.

Problemer med kryptografi og passord

Hvis vi snakker om hva BitLocker er Windows 7 eller i systemer med høyere rangering, er det nødvendig å merke seg et så ubehagelig faktum: i tilfelle tap av påloggingspassordet, vil mange brukere ikke bare kunne logge på systemet , men også for å utføre noen handlinger for å vise dokumenter som tidligere var tilgjengelige, ved å flytte, kopiere og så videre. Men problemene slutter ikke der. Hvis du forstår spørsmålet om hva som er BitLocker Windows 8 og 10, er det ingen spesielle forskjeller. Bare den mer avanserte kryptografiteknologien kan noteres. Problemet her er et annet. Saken er at selve tjenesten er i stand til å operere i to moduser, og lagre dekrypteringsnøkler enten på en harddisk eller på en flyttbar USB-stasjon. Derfor antyder en helt logisk konklusjon seg selv: brukeren, hvis det er en lagret nøkkel på harddisken, får enkelt tilgang til all informasjonen som er lagret på den. Når nøkkelen er lagret på en flash-stasjon, er problemet mye mer alvorlig. I prinsippet kan du se en kryptert disk eller partisjon, men du vil ikke kunne lese informasjonen. I tillegg, hvis vi snakker om hva BitLocker er i Windows 10 og systemer fra tidligere versjoner, bør det bemerkes at tjenesten er integrert i kontekstmenyer av enhver type som påkalles ved å høyreklikke. Dette er bare irriterende for mange brukere. La oss ikke gå foran oss selv og vurdere alle hovedaspektene som er forbundet med driften av denne komponenten, samt tilrådeligheten av dens deaktivering og bruk.

Flyttbare medier og diskkrypteringsteknikk

Det merkeligste er at i forskjellige systemer og deres modifikasjoner som standard, kan Windows 10 BitLocker-tjenesten være i både aktiv og passiv modus. I Windows 7 er det aktivert som standard, i Windows 8 og Windows 10 må det noen ganger aktiveres manuelt. Når det gjelder kryptering, er det ikke funnet opp noe nytt her. Vanligvis brukes den samme offentlige nøkkel AES-teknologien som er mest brukt i bedriftsnettverk. Derfor, hvis datamaskinterminalen din med riktig operativsystem er koblet til det lokale nettverket, kan du være helt sikker på at den brukte sikkerhets- og innebærer aktivering av denne tjenesten. Selv om du har administratorrettigheter, kan du ikke endre noe.

Aktiverer Windows 10 BitLocker-tjenesten hvis den har blitt deaktivert

Før du begynner å løse et problem med Windows 10 BitLocker, må du vurdere prosessen med å aktivere og konfigurere den. Deaktiveringstrinnene må utføres i omvendt rekkefølge. Aktivering av kryptering på den enkleste måten gjøres fra "Kontrollpanel" ved å velge delen for diskkryptering. Denne metoden kan bare brukes hvis nøkkelen ikke skal lagres på flyttbare medier. Hvis det ikke-flyttbare mediet er låst, må du se etter et annet spørsmål om Windows 10 BitLocker-tjenesten: hvordan deaktiverer du denne komponenten? Dette er lett nok. Forutsatt at nøkkelen er på flyttbare medier, for å dekryptere disker og diskpartisjoner, sett den inn i riktig port, og gå deretter til "Kontrollpanel"-delen av sikkerhetssystemet. Etter det finner vi BitLocker-krypteringselementet, og så ser vi på media og stasjoner som beskyttelse er installert på. Nederst vil det være en hyperkobling for å deaktivere kryptering. Du må klikke på den. Hvis nøkkelen gjenkjennes, aktiveres dekrypteringsprosessen. Du må bare vente på at den er fullført.

Konfigurering av løsepengevarekomponenter: problemer

Når det gjelder spørsmålet om tilpasning, vil det ikke klare seg uten hodepine. Først av alt bør det bemerkes at systemet tilbyr å reservere minst 1,5 GB for dine behov. For det andre må du justere NTFS-filsystemtillatelser, for eksempel å krympe volumet. For å gjøre slike ting, bør du umiddelbart deaktivere denne komponenten, siden de fleste brukere ikke trenger den. Selv de som har denne tjenesten aktivert som standard i innstillingene vet ikke alltid hva de skal gjøre med den, og om den er nødvendig i det hele tatt. Og forgjeves ... På en lokal datamaskin kan du beskytte data med dens hjelp, selv om det ikke er noen antivirusprogramvare i det hele tatt.

Slik deaktiverer du BitLocker: Komme i gang

Først av alt må du bruke det tidligere nevnte elementet i "Kontrollpanel". Tjenestedeaktiveringsfeltnavn kan endres avhengig av systemendring. Den valgte stasjonen kan ha en pausebeskyttelseslinje eller en indikasjon for å deaktivere BitLocker-tjenesten. Men det er ikke poenget. Du bør være spesielt oppmerksom på at du må deaktivere oppdatering av BIOS og systemoppstartsfiler fullstendig. Ellers kan dekrypteringsprosessen ta ganske lang tid.

Kontekstmenyen

Dette er den ene siden av mynten som har med BitLocker-tjenesten å gjøre. Hva denne tjenesten er bør allerede være klart. Ulempen er å isolere flere menyer fra tilstedeværelsen av lenker til denne tjenesten. For å gjøre dette, må du ta en ny titt på BitLocker. Hvordan fjerne alle lenker til en tjeneste fra kontekstmenyen? Det er veldig enkelt ... Når du velger ønsket fil i "Utforskeren", bruk tjenestedelen og rediger kontekstmenyen, gå til innstillingene, og bruk deretter kommandoinnstillingene og organiser dem. Deretter må du spesifisere verdien av "Kontrollpaneler" og finne den ønskede i listen over tilsvarende elementer i paneler og kommandoer og slette den. Deretter, i registerredigering, må du gå til HKCR-grenen og finne ROOT Directory Shell-delen, utvide den og slette ønsket element ved å trykke på Del-tasten eller bruke delete-kommandoen fra høyreklikkmenyen. Dette er det siste med BitLocker. Hvordan du deaktiverer det, bør du allerede være klar over. Men ikke smigr deg selv på forhånd. Denne tjenesten vil fortsatt kjøre i bakgrunnen enten du liker det eller ikke.

Konklusjon

Det skal legges til at dette er langt fra alt som kan sies om BitLocker-krypteringssystemkomponenten. Vi har allerede funnet ut hva BitLocker er. Du har også lært hvordan du deaktiverer og fjerner menykommandoer. Spørsmålet er annerledes: er det verdt å slå av BitLocker. Ett råd kan gis her: i et bedriftsnettverk bør du ikke deaktivere denne komponenten i det hele tatt. Men hvis vi snakker om en hjemmedatamaskin, hvorfor ikke.

computerologia.ru

BitLocker: Hva er og hvordan låse det opp?

Med utgivelsen av Windows 7-operativsystemet ble mange brukere møtt med det faktum at en noe uforståelig BitLocker-tjeneste dukket opp i den. Hva er BitLocker, kan mange bare gjette. La oss prøve å avklare situasjonen med spesifikke eksempler. Underveis vil vi vurdere spørsmålene om hvor hensiktsmessig det er å aktivere denne komponenten eller deaktivere den fullstendig.

BitLocker: hva er BitLocker, hvorfor er det nødvendig

I et nøtteskall er BitLocker et allsidig og helautomatisert krypteringsverktøy for data lagret på en harddisk. Hva er BitLocker på en harddisk? Det er bare en tjeneste som, uten brukerintervensjon, beskytter filer og mapper ved å kryptere dem og lage en spesiell tekstnøkkel som gir tilgang til dokumenter.

Når en bruker jobber i systemet under sin egen konto, vet han kanskje ikke engang at dataene er kryptert, fordi informasjonen vises i en lesbar form, og tilgang til filer og mapper er ikke blokkert. Med andre ord, et slikt beskyttelsesmiddel er kun utformet for de situasjoner der uautorisert tilgang gjøres til dataterminalen, for eksempel når det gjøres et forsøk på å forstyrre fra utsiden (internettangrep).

Problemer med passord og kryptografi

Ikke desto mindre, hvis vi snakker om hva BitLocker er Windows 7 eller systemer med høyere rangering, er det verdt å merke seg det ubehagelige faktum at hvis de mister påloggingspassordet, kan mange brukere ikke bare logge på systemet, men også utføre noen handlinger for å se dokumenter som tidligere var tilgjengelige for kopiering, flytting osv.

Men det er ikke alt. Hvis du tar for deg spørsmålet om hva som er BitLocker Windows 8 eller 10, er det ingen spesielle forskjeller, bortsett fra at de har mer avansert kryptografiteknologi. Her er problemet helt klart annerledes. Faktum er at selve tjenesten er i stand til å operere i to moduser, og lagre dekrypteringsnøkler enten på en harddisk eller på en flyttbar USB-stasjon.

Derfor foreslår den enkleste konklusjonen seg selv: hvis det er en lagret nøkkel på harddisken, får brukeren tilgang til all informasjon som er lagret på den uten problemer. Men når nøkkelen er lagret på en flash-stasjon, er problemet mye mer alvorlig. I prinsippet kan du se en kryptert disk eller partisjon, men du kan ikke lese informasjonen.

I tillegg, hvis vi snakker om hva BitLocker er for Windows 10 eller systemer av tidligere versjoner, kan man ikke unngå å legge merke til det faktum at tjenesten er integrert i kontekstmenyer av enhver type, påkallet av et høyreklikk, noe som rett og slett er irriterende for mange brukere. Men la oss ikke komme i forkant av oss selv, men vurdere alle hovedaspektene knyttet til driften av denne komponenten og tilrådelig bruk eller deaktivering.

Krypteringsteknikk for disker og flyttbare medier

Det merkeligste er at på forskjellige systemer og deres modifikasjoner kan BitLocker-tjenesten være i både aktiv og passiv modus som standard. I "syv" er det aktivert som standard, i den åttende og tiende versjonen er det noen ganger nødvendig med manuell aktivering.

Når det gjelder kryptering, er det ikke oppfunnet noe spesielt nytt. Som regel brukes den samme offentlige nøkkelteknologien AES, som oftest brukes i bedriftsnettverk. Derfor, hvis datamaskinterminalen din med riktig operativsystem om bord er koblet til et lokalt nettverk, kan du være sikker på at den anvendte sikkerhets- og databeskyttelsespolicyen innebærer aktivering av denne tjenesten. Uten administratorrettigheter (selv om du kjører innstillingsendringen som administrator), vil du ikke kunne endre noe.

Slå på BitLocker hvis tjenesten er deaktivert

Før du bestemmer deg for problemet knyttet til BitLocker (hvordan du deaktiverer tjenesten, hvordan du fjerner kommandoene fra kontekstmenyen), la oss se på aktivering og konfigurering, spesielt siden deaktiveringstrinnene må utføres i motsatt rekkefølge.

Aktivering av kryptering på den enkleste måten gjøres fra "Kontrollpanel" ved å velge delen for diskkryptering. Denne metoden gjelder bare hvis nøkkelen ikke skal lagres på flyttbare medier.

I tilfelle at ikke-flyttbare medier er låst, må du finne svar på et annet spørsmål om BitLocker-tjenesten: hvordan deaktiverer du denne komponenten på en USB-flashstasjon? Dette gjøres ganske enkelt.

Forutsatt at nøkkelen er plassert nøyaktig på flyttbare medier, for å dekryptere disker og diskpartisjoner, må du først sette den inn i riktig port (kontakt), og deretter gå til "Kontrollpanel"-delen av sikkerhetssystemet. Etter det finner vi BitLocker-krypteringselementet, og så ser vi på stasjonene og media som beskyttelse er installert på. Helt nederst vil det vises en hyperkobling for å deaktivere kryptering, som du må klikke på. Hvis nøkkelen gjenkjennes, aktiveres dekrypteringsprosessen. Det gjenstår bare å vente til slutten av utførelsen.

Problemer med å konfigurere løsepengevarekomponenter

Når det kommer til tilpasning er hodepine uunnværlig. For det første tilbyr systemet å reservere minst 1,5 GB for dine behov. For det andre må du justere tillatelsene til NTFS-filsystemet, redusere størrelsen på volumet, etc. For ikke å gjøre slike ting, er det bedre å umiddelbart deaktivere denne komponenten, fordi de fleste brukere rett og slett ikke trenger det. Selv alle de som har denne tjenesten aktivert i standardinnstillingene vet heller ikke alltid hva de skal gjøre med den, om den er nødvendig i det hele tatt. Men til ingen nytte. Den kan brukes til å beskytte data på en lokal datamaskin selv om det ikke finnes antivirusprogramvare.

BitLocker: hvordan deaktivere. Første etappe

Igjen bruker vi det tidligere angitte elementet i "Kontrollpanel". Avhengig av modifikasjonen av systemet, kan navnene på feltene for å deaktivere tjenesten endres. Den valgte stasjonen kan ha en pausebeskyttelsesstreng eller en direkte indikasjon for å deaktivere BitLocker.

Det er ikke poenget. Her er det verdt å ta hensyn til det faktum at du må deaktivere oppdatering av BIOS og oppstartsfiler til datasystemet fullstendig. Ellers kan dekrypteringsprosessen ta lang tid.

Kontekstmenyen

Dette er bare én side av mynten med BitLocker-tjenesten. Hva som er BitLocker er sannsynligvis allerede klart. Men ulempen er også å isolere flere menyer fra tilstedeværelsen av lenker til denne tjenesten.

For å gjøre dette, la oss ta en ny titt på BitLocker. Hvordan fjerne alle lenker til en tjeneste fra kontekstmenyen? Elementært! I "Utforsker", når den nødvendige filen eller mappen er valgt, bruker vi tjenestedelen og redigerer den tilsvarende kontekstmenyen, går til innstillingene, bruker deretter kommandoinnstillingene og ordner dem.

Etter det, i registerredigering, går du til HKCR-grenen, hvor vi finner ROOTDirectoryShell-delen, utvider den og sletter ønsket element ved å trykke på Del-tasten eller delete-kommandoen fra høyreklikkmenyen. Faktisk, her er den siste tingen med hensyn til BitLocker-komponenten. Hvordan du deaktiverer det, tror jeg, er allerede klart. Men ikke smigr deg selv. Denne tjenesten vil fortsatt kjøre i bakgrunnen (i tilfelle), enten du liker det eller ikke.

I stedet for et etterord

Det gjenstår å legge til at dette ikke er alt som kan sies om BitLocker-krypteringssystemkomponenten. Hva er BitLocker, fant ut hvordan du deaktiverer det og fjerner menykommandoer - også. Spørsmålet er, er det verdt å slå av BitLocker? Her kan du bare gi ett råd: i et bedrifts-LAN bør du ikke deaktivere denne komponenten i det hele tatt. Men hvis dette er en hjemmedatamaskin, hvorfor ikke?

fb.ru

Bitlocker-kryptering av flash-stasjoner og stasjoner i Windows 10

Mange av oss overfører ofte viktig, verdifull informasjon til eksterne enheter. Dette kan være ssd-stasjoner, andre eksterne stasjoner for lagring av data. Den mest populære er sannsynligvis en vanlig flash-stasjon, som en person oftest overfører nødvendig informasjon på. Men hva om du mistet USB-flashstasjonen? Eller en bærbar ekstern ssd-stasjon? Svar: krypter de eksterne enhetene dine og legg inn et passord på USB-flashstasjonen slik at ingen kan bruke informasjonen din når de finner den. Det er mange tredjepartsprogramvare for å beskytte flash-stasjoner, men hvorfor er det nødvendig hvis programmet som blir installert kan avinstalleres over tid ved uaktsomhet. I denne artikkelen skal vi ta en titt på hvordan du kan beskytte enhetene dine med det innebygde Windows 10-verktøyet.

Merk: Vi vil bruke BitLocker, som finnes i Pro- eller Enterprise-versjoner av Windows 10.

Jeg anbefaler deg å se mer:

Hvordan passordbeskytte en mappe og filer ved hjelp av EFS-funksjonen

Sett et passord på en mappe uten programmer

Hva er BitLocker?

BitLocker er en krypteringsfunksjon for flyttbare medier, inkludert USB-flash-stasjoner, SD-kort og eksterne harddisker. BitLocker støtter NTFS, FAT32, exFAT filsystemer. Formatert med hvilket som helst av disse filsystemene, kan det beskyttes med BitLocker. I motsetning til EFS-kryptering, som er designet for å kryptere mapper og filer, kan ikke BitLocker fungere med filer; den er designet for flyttbare medier.

Hvordan sette et passord på en USB-flash-stasjon og disker i Windows 10

• Koble en USB-pinne eller ekstern harddisk til Windows 10.
• Høyreklikk stasjonen du vil beskytte og klikk Slå på BitLocker.

• Merk av for Bruk passord for å låse opp disken.
• Lag ditt eget passord for å beskytte dataene dine.

• Velg nøkkelarkiveringsfilen.
• Lagre filen på et sted som passer deg, du trenger den for å låse opp flash-stasjonen hvis du har glemt passordet ditt.

• Anbefaler Krypter hele disken.

• Velg krypteringsmodus Kompatibilitetsmodus.

• Vent på slutten av prosessen.

Tilgang til passordbeskyttet data

• Sett den krypterte enheten inn i en USB-port på datamaskinen og åpne.

• Skriv inn passordet du kom opp med i begynnelsen av krypteringen.
• Hvis du har glemt passordet for USB-flashstasjonen, klikker du på Avanserte alternativer og skriver inn gjenopprettingskoden du lagret på datamaskinen.

Deaktiver BitLocker og fjern passordet fra flash-stasjonen

For å slette det angitte passordet og gjøre USB-flashstasjonen normal igjen, må du slå av "Bitlocker". For å gjøre dette, sett inn usb-enheten i datamaskinen og skriv inn opplåsingspassordet.

• Etter å ha låst opp, høyreklikker du på flash-stasjonen og velger Administrer BitLocker.

• Finn enheten du vil fjerne passordet fra, og klikk på Deaktiver BitLocker nederst.

Se også:

Kommentarer drevet av HyperComments Rapporter en feil

mywebpc.ru

Hvordan kryptere en disk eller flash-stasjon med hemmelige data ved hjelp av Bitlocker

Hei alle sammen! Å beskytte personopplysninger mot uautorisert tilgang er et viktig poeng for PC-brukere. Dette gjelder spesielt for kontordatamaskiner hvor kommersiell eller annen informasjon er lagret som bør være skjult for uautorisert visning. I dag skal jeg dekke emnet "Bitlocker Drive Encryption in Windows 10". Dette materialet vil bidra til å sikre data ikke bare på harddisken, men også på flyttbare medier, ved å bruke standardmidler på "dusinvis".

BitLocker ble først introdusert i Windows 7 (avansert) og har blitt implementert i påfølgende versjoner av operativsystemet. Kun tilgjengelig i profesjonelle og bedriftsutgaver. For "hjemmebrukere" tilbys en forenklet enhetskrypteringskonfigurasjon.

Essensen av kryptering

Hva det er? Prosessen er bruk av en spesiell algoritme for å konvertere data til et spesielt format som kun kan leses av eieren. Selv om noen prøver å åpne beskyttede filer, vil en haug med meningsløse bokstaver og tall vises.

Aktiverer BitLocker

Interessert i hvordan du aktiverer koding? Detaljerte instruksjoner - nedenfor.

1. I kontrollpanelet går du til delen "System og sikkerhet" og velger kategorien "Diskkryptering".
2. Andre vei. Høyreklikk på ønsket disk, fil eller mappe. Vi velger elementet i kontekstmenyen "På. BitLoker ". Hvis dette alternativet ikke er på listen, bruker du en versjon av operativsystemet som ikke støttes. Vi gjør det samme for kryptering av en flash-stasjon.
3. Et vindu åpnes som gir deg to alternativer å velge mellom: Harddisker og BitLocker To Go.

Den første metoden er egnet for total HDD-kryptering. I dette tilfellet, under PC-oppstart, må du spesifisere passordet du har angitt. Først etter det vil dekoderen gjøre jobben sin og systemet starter.

Den andre metoden er egnet for eksterne stasjoner. Når en slik flash-stasjon er koblet til en PC, kan du åpne innholdet på disken etter å ha skrevet inn passordet.

• I tilfeller hvor TPM-modulen ikke er installert på datamaskinen (dette er en brikke på et brikkesett som er i stand til å lagre krypteringsnøkler. Øker sikkerhetsnivået. Selv om disken blir stjålet, vil dataene forbli lukket), vil du motta følgende vindu med en feil. Den ber deg om å tillate BitLocker uten TPM involvert:

• For å deaktivere TRM, og jeg tror svært få mennesker har det, vil vi bruke gpedit.msc-verktøyet (vi går inn gjennom Win + R-konsollen) for å endre gruppepolicyer. Gå gjennom mappetreet:

PC-konfigurasjon - Administrative maler - Windows-komponenter - BitLocker - OS-stasjoner.

• I høyre del av vinduet finner vi elementet "Krev autentisering ..." og endrer tilstanden til "På". Vi tillater også bruk av kryptering uten TPM ved å krysse av for det tilsvarende elementet:

Har du spørsmål? Eller er alt ekstremt enkelt? Hvis det oppstår vanskeligheter (tross alt, selv den mest universelle instruksjonen fungerer kanskje ikke i spesifikke tilfeller), så still spørsmål gjennom kommentarskjemaet etter artikkelen.

Måter å låse opp

Etter at du har fullført alle trinnene i de forrige instruksjonene, må du velge en metode som du kan låse opp disken med. Det vanligste alternativet er å angi et passord. Men du kan lage et spesielt eksternt medium, som vil lagre nøklene for dekoding. Med en TPM-brikke på hovedkortet vil valget av alternativer utvides betydelig. For eksempel vil det virkelig være mulig å spesifisere automatisk dekryptering under PC-oppstart, eller sette en PIN-kode for dekoding og en tilleggskode på disker.

Velg metoden du liker best blant alle tilgjengelige.

Sikkerhetskopieringsnøkkel

Hva tror du skjer hvis du glemmer passordet ditt eller mister hovednøkkelmediet ditt? Eller installere HDD i en annen PC (med en annen TPM)? Hvordan gjenopprette tilgang i en slik situasjon? Windows 10 gir muligheten til å lagre en sikkerhetskopinøkkel (på disk, flash-stasjon) eller skrive den ut. Det er viktig å oppbevare kopien trygt slik at ingen kan komme til den. Ellers vil alle anstrengelser for å sikre beskyttelse bli ugyldig.

Merk følgende! Hvis du mister alle nøklene, vil du miste dataene dine for alltid! Mer presist, du vil ikke være i stand til å tyde dem! Det er rett og slett umulig å deaktivere slik beskyttelse.

BitLocker fungerer offline og koder nylig lagt til (opprettet) filer og mapper på stasjoner. I dette tilfellet er det to mulige måter du kan gå.

1. Krypter hele disken, inkludert ledig plass (ubrukt). Pålitelig, men treg måte. Egnet for tilfeller der du trenger å skjule all informasjon (selv om de filene som ble slettet for lenge siden og kan gjenopprettes).
2. Beskytt kun brukt plass (opptatte partisjoner). Dette er den raskere metoden, og jeg anbefaler å velge den i de fleste situasjoner.

Etter dette trinnet vil systemanalysen begynne. Datamaskinen starter på nytt og krypteringsprosessen starter direkte. Du kan holde markøren over ikonet i varslingsområdet for å spore fremgangen din. Det bør bemerkes et lite fall i ytelse på grunn av forbruket av RAM.

Den påfølgende starten av PC-en vil bli ledsaget av utseendet til et vindu for å angi PIN-koden eller et forslag om å sette inn en USB-stasjon med nøkler. Alt avhenger av metoden du velger.

Hvis du trenger å bruke en sikkerhetskopinøkkel, trykk Esc på tastaturet og følg gjenopprettingsveiviserens krav.

Bruker BitLocker To Go

Det første oppsettet av verktøyet for kryptering av eksterne stasjoner er det samme som ovenfor. Men en omstart av PCen er ikke nødvendig.

Et viktig poeng! Før slutten av prosessen, ikke fjern stasjonen, ellers kan resultatene være uventede.

Så snart du kobler den "beskyttede" flash-stasjonen til den bærbare datamaskinen, vil et passordinntastingsvindu vises:

Endre BitLocker-innstillinger

Det ville være ulogisk om brukere ikke kunne endre passordet og andre innstillinger. Vil du vite hvordan du fjerner beskyttelsen? Dette gjøres enkelt. Høyreklikk på ønsket disk og velg "BitLoker Management".

Det vil være en liste over muligheter til høyre. Det aller siste elementet "Slå av ..." er ansvarlig for å slå av kryptering.

Personlig erfaring med bruk

Jeg har alltid med meg en USB-flash-stasjon kryptert med en Bitlocker, siden jeg lagrer både passord og bilder og arbeidsdata på den. På en av forretningsreisene mine mistet jeg flash-stasjonen, men jeg var ikke opprørt i det hele tatt, fordi jeg forsto at all data var kryptert og personen som fant den, ville ikke kunne bruke den. For de som er bekymret for sikkerheten er dette den mest optimale løsningen.

Så vi fant ut dette vanskelige, men viktige temaet. Til slutt vil jeg merke meg at bruken av slik beskyttelse påvirker den økte belastningen på prosessoren og bruker RAM-ressurser. Men dette er ubetydelige ofre sammenlignet med tap av ubeskyttet informasjon som følge av tyveri og uautorisert tilgang. Er du enig?

Med vennlig hilsen Victor

it-tehnik.ru

BitLocker. Spørsmål og svar

Gjelder for: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

For IT-fagfolk gir denne delen svar på vanlige spørsmål om kravene til bruk, oppdatering, distribusjon og administrasjon, og nøkkeladministrasjonspolicyer for BitLocker.

BitLocker-håndtering av operativsystemstasjoner

BitLocker kan brukes til å redusere risikoen for uautorisert tilgang til data på tapte eller stjålne datamaskiner ved å kryptere alle bruker- og systemfiler på operativsystemstasjonen, inkludert personsøkings- og dvalefiler, og ved å verifisere integriteten til tidligere lastede komponenter og oppstartskonfigurasjonsdata .

BitLocker håndterer flyttbare og faste stasjoner

BitLocker kan brukes til å kryptere hele innholdet på en datastasjon. Med gruppepolicy kan du kreve at BitLocker er aktivert på en stasjon før du skriver data til stasjonen. BitLocker lar deg konfigurere ulike opplåsingsmetoder for datastasjoner, og datastasjoner støtter flere metoder for opplåsing.

Ja, BitLocker støtter multifaktorautentisering for operativsystemstasjoner. Hvis du aktiverer BitLocker på en TPM 1.2- eller 2.0-datamaskin, kan du bruke flere former for autentisering basert på denne modulen.

For å bruke alle BitLocker-funksjoner, må datamaskinen oppfylle maskinvare- og programvarekravene som er oppført i delen BitLocker Supported Drive Configurations i BitLocker Drive Encryption Whitepaper.

BitLocker krever to partisjoner for å fungere fordi autentisering før oppstart og kontroll av systemintegritet må utføres på en separat partisjon som ikke samsvarer med den krypterte stasjonen til operativsystemet. Denne konfigurasjonen bidrar til å beskytte operativsystemet og data på den krypterte disken.

BitLocker støtter TPM-versjonene som er oppført i Krav-delen av BitLocker Drive Encryption Whitepaper.

For informasjon om hvordan du gjør dette, se Finn TPM-driverinformasjon.

For informasjon om hvordan du gjør dette, se Finn TPM-driverinformasjon.

Ja, du kan aktivere BitLocker på en operativsystemstasjon uten TPM 1.2 eller 2.0 hvis BIOS- eller UEFI-fastvaren støtter lesing fra en USB-flashstasjon ved oppstart. Dette er mulig fordi BitLocker ikke frigjør Secure Drive-låsen før BitLocker-volumhovednøkkelen er hentet fra TPM-en på datamaskinen eller fra en USB-flash-stasjon som inneholder BitLocker-oppstartsnøkkelen for den datamaskinen. Datamaskiner uten TPM vil imidlertid ikke kunne utføre systemintegritetskontroller som BitLocker støtter.

For å teste lesbarheten til en USB-enhet under oppstart, bruk BitLocker-systemsjekken under BitLocker-oppsettet. Denne valideringen kjører tester for å sikre at USB-enhetene kan lese på riktig tidspunkt og at datamaskinen oppfyller andre BitLocker-krav.

For informasjon om hvordan du aktiverer BitLocker på en ikke-TPM-datamaskin, se BitLocker: Slik aktiverer du BitLocker.

For mer informasjon om nødvendige Windows-operativsystemer og TPM-versjoner, se Krav i BitLocker Drive Encryption Whitepaper.

Spør datamaskinprodusenten om BIOS- eller UEFI-fastvare som oppfyller TCG-standarder og oppfyller følgende krav.

Den har mottatt logosertifisering der det er aktuelt og er kompatibel med versjonene som er oppført i applikasjonslisten i begynnelsen av denne delen.

Samsvar med TCG-standarder for klientdatamaskinen.

En sikker oppdateringsmekanisme som hindrer skadelig BIOS-fastvare eller oppstartbar programvare fra å bli installert på datamaskinen.

Medlemskap i den lokale administratorgruppen kreves for å aktivere, deaktivere og konfigurere BitLocker på operativsystemstasjoner og faste datastasjoner. Standardbrukere kan aktivere, deaktivere og endre BitLocker-konfigurasjonen på flyttbare datastasjoner.

For mer informasjon, se Krav i BitLocker Drive Encryption Whitepaper.

Du må konfigurere datamaskinens oppstartsinnstillinger slik at harddisken kommer først i oppstartsrekkefølge, før alle andre stasjoner som CD/DVD-stasjoner eller USB-stasjoner. Hvis harddisken ikke er den første og du vanligvis starter opp fra harddisken, er det mulig å oppdage eller mistenke en endring i oppstartsrekkefølgen når du oppdager flyttbare medier under oppstart. Oppstartsrekkefølgen påvirker vanligvis systemdimensjonen som BitLocker sjekker, og endring av oppstartsrekkefølgen vil be om BitLocker-gjenopprettingsnøkkelen. Av samme grunn, hvis du har en bærbar PC med dokkingstasjon, sørg for at harddisken kommer først i oppstartsrekkefølgen både ved dokking og fradokking.

For mer informasjon, se BitLocker Architecture i BitLocker Drive Encryption White Paper.

Ja. For å oppgradere fra Windows 7 til Windows 8 eller Windows 8.1 uten å dekryptere operativsystemstasjonen, åpne BitLocker Drive Encryption i Kontrollpanel i Windows 7, klikk på Administrer BitLocker-koblingen og klikk deretter Pause-knappen. Å sette beskyttelsen på pause dekrypterer ikke stasjonen, men deaktiverer autentiseringsmekanismene som brukes av BitLocker og bruker en ubeskyttet nøkkel for å få tilgang til stasjonen. Fortsett med oppgraderingsprosessen ved å bruke Windows 8 DVD- eller Windows 8.1-oppgraderingen. Etter at oppdateringen er fullført, åpner du Filutforsker, høyreklikker stasjonen og velger deretter Gjenoppta beskyttelse. BitLocker-autentiseringsmetoder aktiveres på nytt og den usikrede nøkkelen fjernes.

Kommandoen Dekrypter fjerner BitLocker-beskyttelsen fullstendig og dekrypterer stasjonen fullstendig.

Suspendering etterlater dataene kryptert, men krypterer BitLocker-volumhovednøkkelen med en ubeskyttet nøkkel. Ubeskyttet er en kryptografisk nøkkel som lagres på disk uten kryptering og uten beskyttelse. Ved å holde denne nøkkelen ukryptert kan Pause-kommandoen modifisere og oppdatere datamaskinen uten å kaste bort tid og ressurser på å dekryptere og omkryptere hele stasjonen. Etter at du har gjort endringen og reaktivert, forsegler BitLocker krypteringsnøkkelen med de nye komponentverdiene som ble endret under oppgraderingen, volumhovednøkkelen endres, beskytterne oppdateres og den usikrede nøkkelen fjernes.

Tabellen nedenfor viser trinnene du må ta før du utfører en oppdatering eller installerer oppdateringer.

Oppdateringstype

Handling

Windows Anytime Upgrade	Dekryptering
Oppgradering fra Windows 7 til Windows 8	Spenning
Oppdateringer til programvare som ikke er utviklet av Microsoft, for eksempel: en fastvareoppdatering levert av datamaskinprodusenten; TPM-fastvareoppdatering; Oppdateringer til ikke-Microsoft-applikasjoner som endrer oppstartbare komponenter.	Spenning
Programvare- og operativsystemoppdateringer fra Microsoft Update	Disse oppdateringene krever ikke stasjonsdekryptering, eller deaktiverer eller suspenderer BitLocker.

Ja, distribusjon og konfigurasjon av BitLocker og TPM kan automatiseres ved hjelp av TPM-instrumentering eller Windows PowerShell-skript. Implementeringen av skript avhenger av miljøet. Du kan også bruke BitLocker-kommandolinjeverktøyet Manage-bde.exe til å konfigurere BitLocker lokalt eller eksternt. For mer informasjon om skripting som bruker BitLocker WMI-leverandører, se MSDN-artikkelen BitLocker Drive Encryption Provider. For mer informasjon om bruk av Windows PowerShell-cmdlets med BitLocker Drive Encryption, se BitLocker Cmdlets i Windows PowerShell.

Ja. I Windows Vista krypterte BitLocker kun operativsystemstasjoner. Windows Vista Service Pack 1 (SP1) og Windows Server 2008 legger til støtte for kryptering av faste datastasjoner. Nytt i Windows Server 2008 R2 og Windows 7, BitLocker kan også kryptere flyttbare datastasjoner.

Vanligvis overstiger ikke ytelsesdegraderingen ti prosent.

Selv om BitLocker-kryptering kjører i bakgrunnen mens du fortsetter å jobbe og systemet forblir tilgjengelig, avhenger krypteringstiden av stasjonstype, størrelse og hastighet. Det er rimelig å planlegge kryptering av svært store stasjoner når de ikke er i bruk.

Nytt i Windows 8 og Windows Server 2012, når du aktiverer BitLocker, kan du velge om BitLocker krypterer hele stasjonen eller bare den okkuperte plassen. Å kryptere den okkuperte plassen på en ny harddisk er merkbart raskere enn å kryptere hele stasjonen. Når du velger et krypteringsalternativ, krypterer BitLocker automatisk dataene ved lagringspunktet og sikrer at ingen data lagres uten kryptering.

Hvis datamaskinen slår seg av eller går i dvalemodus, fortsetter BitLocker-krypterings- og dekrypteringsprosessen der den slapp neste gang Windows starter. Det samme skjer ved strømbrudd.

Nei, BitLocker krypterer og dekrypterer ikke hele stasjonen når du leser og skriver data. Sektorer som er kryptert på en BitLocker-beskyttet stasjon, dekrypteres bare når de blir bedt om av systemlesninger. Blokker som er skrevet til disk krypteres før systemet skriver dem til den fysiske disken. Data etterlates aldri ukryptert på en BitLocker-beskyttet stasjon.

Nye kontroller i Windows 8 lar deg aktivere gruppepolicyinnstillinger som krever BitLocker-beskyttelse for datastasjoner før en BitLocker-beskyttet datamaskin kan skrive data til disse stasjonene. For mer informasjon, se Hindre skriving til ikke-BitLocker-beskyttede flyttbare stasjoner eller Hindre skriving til ikke-BitLocker-beskyttede faste stasjoner i artikkelen BitLocker Group Policy Settings.

Når disse policyinnstillingene er aktivert, vil det BitLocker-beskyttede operativsystemet montere datastasjoner som ikke er BitLocker-beskyttet i skrivebeskyttet modus.

For mer informasjon, inkludert hvordan du administrerer brukere som ved et uhell kan lagre data til ukrypterte stasjoner når du bruker en datamaskin uten BitLocker aktivert, se BitLocker: Hindre brukere på nettverket fra å lagre data til en usikret stasjon.

Følgende typer systemendringer kan forårsake en feil i integritetssjekken. I dette scenariet gir ikke TPM BitLocker-nøkkelen for å dekryptere operativsystemet Secure Drive.

Flytte en BitLocker-beskyttet stasjon til en ny datamaskin.

Installere et nytt hovedkort med en ny TPM.

Deaktiver, deaktiver eller fjern TPM.

Endree.

Endre BIOS, UEFI-fastvare, Master Boot Record (MBR), Boot Sector, Boot Manager, Option ROM, andre pre-boot-komponenter eller oppstartskonfigurasjonsdata.

For mer informasjon, se Hvordan det fungerer i BitLocker Drive Encryption Whitepaper.

Fordi BitLocker er designet for å beskytte datamaskinen mot flere angrep, er det mange grunner til at BitLocker kan starte i gjenopprettingsmodus. Av disse grunnene, se gjenopprettingsscenarioer i BitLocker Drive Encryption Whitepaper.

Ja, harddisker kan byttes på samme datamaskin med BitLocker aktivert, forutsatt at de har BitLocker-beskyttelse aktivert på samme datamaskin. BitLocker-nøkler er unike for TPM- og operativsystemstasjonen. Derfor, for å klargjøre en ekstra operativsystemdisk eller datadisk i tilfelle en diskfeil, må du sørge for at de bruker samme TPM. Du kan også konfigurere forskjellige harddisker for forskjellige operativsystemer og deretter aktivere BitLocker på hver stasjon med forskjellige autentiseringsmetoder (for eksempel har en stasjon kun TPM og den andre har TPM med PIN-kode), og dette vil ikke føre til konflikter.

Ja, datastasjonen kan låses opp ved å bruke BitLocker Drive Encryption i Kontrollpanel på vanlig måte (ved å bruke et passord eller smartkort). Hvis kun automatisk opplåsing er konfigurert for datadisken, må du bruke en gjenopprettingsnøkkel. Hvis operativsystemstasjonen er koblet til en annen datamaskin som kjører operativsystemversjonen spesifisert i brukslisten i begynnelsen av denne delen, kan den krypterte harddisken låses opp ved hjelp av en datagjenopprettingsagent (hvis konfigurert) eller ved hjelp av en gjenopprettingsnøkkel.

BitLocker-kryptering er ikke tilgjengelig for enkelte stasjoner. For eksempel kan størrelsen på disken være for liten, filsystemet kan være inkompatibelt, disken kan være dynamisk eller utpekt som en systempartisjon. Som standard vises ikke systemstasjonen (eller systempartisjonen) i datamaskinvinduet. Men hvis disken ikke ble opprettet som skjult under den tilpassede installasjonen av operativsystemet, kan den vises, men ikke krypteres.

BitLocker-beskyttelse støttes for et hvilket som helst antall interne faste stasjoner. Noen versjoner støtter ATA- og SATA-direktetilkoblede masselagringsenheter. For detaljer om støttede stasjoner, se BitLocker Supported Drive Configurations i BitLocker Drive Encryption Whitepaper.

BitLocker kan opprette og bruke en rekke nøkler. Noen er obligatoriske og noen er valgfrie sikringer som kan brukes avhengig av det nødvendige sikkerhetsnivået.

For mer informasjon, se Hva er BitLocker i BitLocker Drive Encryption Whitepaper.

Gjenopprettingspassordet eller gjenopprettingsnøkkelen for operativsystemstasjonen eller den ikke-flyttbare datastasjonen kan lagres i en mappe, på én eller flere USB-enheter, lagres på Microsoft-kontoen din eller skrives ut.

Gjenopprettingspassordet og gjenopprettingsnøkkelen for flyttbare datastasjoner kan lagres i en mappe, lagres på Microsoft-kontoen din eller skrives ut. Som standard kan ikke gjenopprettingsnøkkelen for en flyttbar disk lagres på en flyttbar disk.

En domeneadministrator kan konfigurere en ekstra gruppepolicy for automatisk å generere gjenopprettingspassord og lagre dem i domenetjenester for alle BitLocker-beskyttede stasjoner.

For mer informasjon, se BitLocker: Hvordan lagre passord og gjenopprettingsnøkler.

Du kan bruke kommandolinjeverktøyet Manage-bde.exe til å erstatte TPM-only-autentisering med multifaktorautentisering. For eksempel, hvis bare TPM-autentisering er aktivert i BitLocker, for å legge til PIN-autentisering, skriv inn følgende kommandoer fra en forhøyet ledetekst, og erstatte den ønskede numeriske PIN-koden:

manage-bde –protectors –delete% systemdrive% -type tpm

manage-bde –protectors –add% systemdrive% -tpmandpin

For mer informasjon, se Boot Sequence Authentication Modes i BitLocker Drive Encryption Whitepaper.

BitLocker er utformet slik at en kryptert stasjon ikke kan gjenopprettes uten obligatorisk autentisering. I gjenopprettingsmodus trenger brukeren et gjenopprettingspassord eller gjenopprettingsnøkkel for å låse opp den krypterte stasjonen.

Å lagre begge nøklene på samme USB-flash-stasjon er teknisk mulig, men anbefales ikke. Hvis USB-flashstasjonen med oppstartsnøkkelen blir mistet eller stjålet, vil du også miste tilgangen til gjenopprettingsnøkkelen. I tillegg fører innsetting av en slik nøkkel til at datamaskinen automatisk starter opp ved hjelp av gjenopprettingsnøkkelen, selv om filene målt av TPM har endret seg og systemintegritetskontrollen ikke utføres.

Ja, datamaskinens oppstartsnøkkel kan lagres på flere USB-flash-stasjoner. Høyreklikk den BitLocker-beskyttede stasjonen og klikk på Administrer BitLocker for å åpne alternativene for kopiering av gjenopprettingsnøkler.

Ja, du kan lagre BitLocker-oppstartsnøkler for forskjellige datamaskiner på samme USB-flash-stasjon.

Du kan bruke skript til å generere forskjellige oppstartsnøkler for samme datamaskin, men for TPM-datamaskiner forhindrer generering av forskjellige oppstartsnøkler BitLocker fra å bruke TPM-systemets integritetssjekk.

Det er ikke mulig å lage flere PIN-kombinasjoner.

Rådataene krypteres med fullvolumskrypteringsnøkkelen, som deretter krypteres med volumhovednøkkelen. Volumhovednøkkelen er på sin side kryptert på en av flere mulige metoder, avhengig av type autentisering (nøkkelbeskyttere eller TPM) og gjenopprettingsscenarier.

For mer informasjon om krypteringsnøkler, hvordan de brukes og hvor de er lagret, se Hva er BitLocker i BitLocker Drive Encryption Whitepaper.

Helvolumskrypteringsnøkkelen krypteres med volumhovednøkkelen og lagres på den krypterte disken. Volumhovednøkkelen er kryptert med en passende nøkkelbeskytter og lagret på den krypterte disken. Når BitLocker-beskyttelsen er suspendert, lagres den ubeskyttede nøkkelen som krypterer volumhovednøkkelen også på den krypterte stasjonen sammen med den krypterte volumhovednøkkelen.

Denne lagringsprosedyren sikrer at volumhovednøkkelen aldri lagres ukryptert og alltid er beskyttet med mindre BitLocker er deaktivert. Nøkler lagres også på ytterligere to steder på disken for redundans. Nøkler kan leses og behandles av nedlastingsbehandleren.

For mer informasjon, se Hvordan det fungerer i BitLocker Drive Encryption Whitepaper.

F1 – F10-tastene har universelle pollingkoder tilgjengelig i pre-boot-miljøet på alle datamaskiner for alle språk. Talltastene 0 til 9 kan ikke brukes på alle tastaturer i pre-boot-miljøet.

Hvis du bruker en sikker PIN-kode, anbefales brukere å utføre en ekstra systemsjekk under installasjonen av BitLocker for å sikre at riktig PIN-kode kan angis i pre-boot-miljøet. For mer informasjon om forbedrede PIN-koder, se Hva er BitLocker i BitLocker Drive Encryption Whitepaper.

En angriper kan finne ut PIN-koden med brute-force. Et brute-force-angrep utføres av en angriper ved hjelp av et automatisert verktøy som sjekker ulike PIN-kombinasjoner til riktig kode er funnet. For BitLocker-beskyttede datamaskiner krever denne typen angrep, også kjent som ordbok brute-force-angrep, at en angriper fysisk får tilgang til datamaskinen.

Trusted Platform Module har innebygde muligheter for å oppdage og motvirke disse angrepene. Fordi TPM-er fra forskjellige produsenter har forskjellige tiltak mot tukling, sjekk med TPM-produsenten for å finne ut hvordan TPM-en på datamaskinen kan forhindre et brute-force PIN-angrep.

Når du har identifisert en TPM-produsent, kontakt dem for detaljer om modulutvikling. De fleste produsenter vil eksponentielt øke tiden det tar å låse et PIN-grensesnitt med et økende antall PIN-feil. Hver produsent har imidlertid sine egne regler for å redusere eller tilbakestille feiltelleren.

For mer informasjon, se Finne TPM-driverinformasjon.

For å finne ut hvilken TPM-produsent du har, se Finn TPM-driverinformasjon.

Still TPM-produsenten følgende spørsmål om ordbokens angrepsreduksjonsmekanisme.

Hvor mange mislykkede tilgangsforsøk er tillatt før blokkering?

Hvilken algoritme brukes til å bestemme låsevarigheten, tatt i betraktning antall mislykkede tilgangsforsøk og andre viktige parametere?

Hvilke handlinger kan redusere eller tilbakestille antall feil eller varigheten av blokkeringen?

Ja og nei. Du kan angi minimum PIN-lengde i innstillingen Konfigurer minimum PIN-kode for å starte gruppepolicy og tillate at alfanumeriske PIN-er brukes ved å aktivere gruppepolicyinnstillingen Tillat sikre PIN-er å starte. Du kan imidlertid ikke stille krav til kompleksiteten til PIN-koden i gruppepolicy.

BitLocker To Go er BitLocker Drive Encryption for flyttbare datastasjoner. USB-flash-stasjoner, SD-kort, eksterne harddisker og andre stasjoner med filsystemet NTFS, FAT16, FAT32 eller exFAT er kryptert.

For mer informasjon, inkludert hvordan du autentiserer eller låser opp en flyttbar datastasjon og hvordan du bekrefter at en BitLocker To Go-leser ikke er installert på FAT-stasjoner, se BitLocker To Go-oversikt.

Hvis BitLocker er aktivert på en stasjon før gruppepolicy brukes for å tvinge sikkerhetskopier, vil ikke gjenopprettingsdata automatisk sikkerhetskopieres til Active Directory Domain Services når datamaskinen kobles til et domene eller gruppepolicy brukes. I Windows 8 kan du imidlertid bruke gruppepolicyinnstillinger Velg gjenopprettingsmetoder for BitLocker-beskyttede operativsystemstasjoner, Velg gjenopprettingsmetoder for BitLocker-beskyttede ikke-flyttbare stasjoner og Velg gjenopprettingsmetoder for BitLocker-beskyttede flyttbare stasjoner for å gjøre det obligatorisk for datamaskinen for å bli med i domenet før du aktiverer BitLocker. Dette vil sikkerhetskopiere organisasjonens BitLocker-beskyttede stasjonsgjenopprettingsdata til Active Directory Domain Services.

Windows Management Instrumentation (WMI) for BitLocker lar administratorer skrive et skript for å sikkerhetskopiere eller synkronisere eksisterende data for å gjenopprette en nettklient, men BitLocker administrerer ikke denne prosessen automatisk. Kommandolinjeverktøyet Manage-bde lar deg også manuelt sikkerhetskopiere gjenopprettingsdata til Active Directory Domain Services. For å sikkerhetskopiere alle gjenopprettingsdata for C:-stasjonen i Active Directory Domain Services, kjører du for eksempel følgende kommando ved en forhøyet ledetekst: manage-bde -protectors -adbackup C :.

Ja, en oppføring skrives til hendelsesloggen på klientdatamaskinen som indikerer en vellykket eller mislykket Active Directory-sikkerhetskopiering. Men selv om vellykket fullføring er indikert i hendelsesloggen, kan gjenopprettingsdataene bli slettet fra Active Directory Domain Services. I tillegg kan BitLocker-konfigurasjonen endres slik at det ikke er nok data fra Active Directory til å låse opp stasjonen (for eksempel hvis nøkkelbeskytteren for gjenopprettingspassordet er fjernet). Det er også mulig å tukle med en journalpost.

For å sikre at Active Directory Domain Services har en gyldig sikkerhetskopi, må du spørre Active Directory Domain Services med domeneadministratorlegitimasjon ved å bruke BitLocker Password Viewer.

Nei. BitLocker-gjenopprettingspassord fjernes ikke fra Active Directory Domain Services, og derfor kan flere passord vises for hver stasjon. For å finne det siste passordet, sjekk datoen for objektet.

Hvis den første sikkerhetskopieringen mislykkes, for eksempel når en domenekontroller blir utilgjengelig mens BitLocker-oppsettveiviseren kjører, prøver ikke BitLocker å sikkerhetskopiere gjenopprettingsdataene til Active Directory Domain Services.

Hvis administratoren merker av for Krev BitLocker-sikkerhetskopi i AD DS i policyinnstillingen Lagre gjenopprettingsinformasjon i Active Directory Domain Services (Windows 2008 og Windows Vista), eller (tilsvarende) velger Ikke aktiver BitLocker før gjenopprettingsdata er lagret i AD DS for operativsystemstasjoner avmerkingsboks system (flyttbare datastasjoner, faste datastasjoner) i noen av policyinnstillingene Velg gjenopprettingsmetoder for BitLocker-beskyttede operativsystemstasjoner, Velg gjenopprettingsmetoder for BitLocker-beskyttede flyttbare stasjoner, Velg gjenopprettingsmetoder for BitLocker- beskyttede flyttbare stasjoner, vil brukere ikke kunne aktivere BitLocker når datamaskinen ikke er koblet til domenet og BitLocker-gjenopprettingsdataene ikke er sikkerhetskopiert i Active Directory Domain Services. Hvis disse alternativene er spesifisert og sikkerhetskopieringen mislykkes, kan ikke BitLocker aktiveres. Dette sikrer at administratorer kan gjenopprette alle BitLocker-beskyttede stasjoner i organisasjonen.

Hvis administratoren fjerner avmerkingen i disse avmerkingsboksene, kan stasjonen BitLocker-beskyttes uten vellykket sikkerhetskopiering av gjenopprettingsdata til Active Directory Domain Services. BitLocker gjentar imidlertid ikke den automatiske sikkerhetskopieringen hvis den mislykkes. I stedet kan administratorer opprette et sikkerhetskopiskript som beskrevet tidligere i Hva skjer hvis BitLocker er aktivert på datamaskinen min før de blir med i domenet? For å samle inn data etter at tilkoblingen er gjenopprettet.

BitLocker bruker AES-kryptering med en konfigurerbar nøkkellengde (128 eller 256 biter). Som standard er kryptering AES-128, men du kan konfigurere innstillingene ved å bruke gruppepolicy.

For å implementere BitLocker på en operativsystemstasjon anbefales en datamaskin med TPM 1.2 eller 2.0 og TCG-kompatibel BIOS eller UEFI-fastvare, og en PIN-kode anbefales. Å kreve en brukeroppgitt PIN-kode, i tillegg til TPM-verifisering, forhindrer en angriper som får tilgang til en datamaskin fra å starte den.

I en grunnleggende konfigurasjon gir BitLocker på operativsystemstasjoner (TPM men ingen ekstra autentisering) ekstra beskyttelse for dvalemodus. Bruk av valgfri BitLocker-autentisering (TPM og PIN, TPM og USB-nøkkel eller TPM, PIN og USB-nøkkel) gir ekstra dvalebeskyttelse. Denne metoden er sikrere fordi BitLocker-autentisering kreves for å komme tilbake fra dvalemodus. Vi anbefaler at du deaktiverer dvalemodus og bruker en TPM/PIN-kombinasjon for autentisering.

De fleste operativsystemer bruker delt minneplass, og operativsystemet er ansvarlig for å administrere fysisk minne. En TPM er en maskinvarekomponent som bruker sin egen fastvare og intern logikk for å behandle instruksjoner, og beskytter mot sårbarheter i ekstern programvare. Hacking av en TPM krever fysisk tilgang til datamaskinen. I tillegg krever cracking av maskinvareforsvar vanligvis dyrere verktøy og ferdigheter som ikke er like vanlig som cracking programvare. Fordi TPM-en på hver datamaskin er unik, vil det ta mye tid og krefter å kompromittere flere TPM-datamaskiner.

Alle versjoner av BitLocker som er inkludert i operativsystemet er FIS- og Common Criteria EAL4+-sertifisert. Disse sertifiseringene er også fullført for Windows 8 og Windows Server 2012, og pågår for Windows 8.1 og Windows Server 2012 R2.

BitLocker Network Unlock gjør det enkelt å administrere BitLocker TPM + PIN-beskyttede datamaskiner og servere i et domenemiljø. Når du starter en datamaskin som er koblet til et kablet bedriftsnettverk på nytt, lar Network Unlock deg omgå PIN-forespørselen. BitLocker-beskyttede operativsystemvolumer låses opp automatisk ved hjelp av en klarert nøkkel som leveres av Windows Deployment Services-serveren som en ekstra autentiseringsmetode.

For å bruke nettverkslås må du også sette opp en PIN-kode for datamaskinen. Hvis datamaskinen ikke er koblet til et nettverk, må du angi en PIN-kode for å låse den opp.

BitLocker Network Unlock har maskinvare- og programvarekrav for klientdatamaskiner, Windows Deployment Services og domenekontrollere som må oppfylles før du kan bruke den. For mer informasjon om disse kravene, se Hvordan BitLocker Drive Encryption Works fungerer.

Nettverksopplåsing bruker to sikringer, TPM-sikringen og nettverks- eller PIN-sikringen, mens automatisk opplåsing bruker en enkelt sikring lagret i TPM. Hvis datamaskinen kobles til et nettverk uten nøkkelbeskytter, blir den bedt om å angi en PIN-kode. Hvis en PIN-kode ikke er tilgjengelig, trenger du en gjenopprettingsnøkkel for å låse opp en datamaskin som ikke kan kobles til nettverket. For mer informasjon om automatisk og nettverksopplåsing, se Hvordan BitLocker Drive Encryption Works fungerer.

Ja, krypteringsfilsystemet (EFS) kan brukes til å kryptere filer på en BitLocker-beskyttet stasjon. For mer informasjon, se Hvordan det fungerer i BitLocker Drive Encryption Whitepaper.

Ja. Debuggeren må imidlertid aktiveres før BitLocker aktiveres. Aktivering av feilsøkeren på forhånd sikrer at helseberegninger beregnes riktig når de er forseglet til TPM, som lar datamaskinen starte riktig. Hvis du trenger å slå feilsøking på eller av mens du bruker BitLocker, suspender BitLocker først for å forhindre at datamaskinen går inn i gjenopprettingsmodus.

BitLocker inneholder en masselagringsdriverstabel som krypterer minnedumper når BitLocker er aktivert.

BitLocker støtter ikke smartkort for autentisering før oppstart. Det er ingen bransjestandard for smartkortstøtte i fastvare, og de fleste datamaskiner støtter ikke smartkort i fastvare eller gjelder kun for visse typer smartkort og lesere. Mangelen på standardisering gjør det for vanskelig å støtte smartkort.

Microsoft støtter ikke tredjeparts TPM-drivere og fraråder sterkt bruk av dem med BitLocker. Bruk av en ikke-Microsoft TPM-driver med BitLocker kan føre til at BitLocker rapporterer at det ikke er noen TPM på datamaskinen, og at modulen ikke kan brukes med BitLocker.

Endring av Master Boot Record (MBR) på datamaskiner der operativsystemstasjoner er beskyttet av BitLocker, anbefales ikke av hensyn til sikkerhet, pålitelighet og produktstøtte. Endring av Master Boot Record (MBR) kan endre sikkerhetsmiljøet og forhindre at datamaskinen starter normalt, i tillegg til å komplisere oppgaven med å reparere en skadet Master Boot Record (MBR). Endringer i MBR som ikke er gjort med Windows kan sette datamaskinen i gjenopprettingsmodus eller gjøre det helt umulig å starte opp.

En systemsjekk kan bekrefte at datamaskinens fastvare (BIOS eller UEFI) er BitLocker-kompatibel og at TPM-en fungerer som den skal. Systemkontrollen kan mislykkes av følgende årsaker.

Datamaskinens fastvare (BIOS eller UEFI) støtter ikke lesing fra USB-flash-stasjoner.

Datamaskinfastvare (BIOS eller UEFI) eller oppstartsmeny muliggjør ikke lesing fra USB-flash-stasjoner.

Flere USB-flash-stasjoner er satt inn i datamaskinen.

PIN-koden ble tastet inn feil.

Datamaskinens fastvare (BIOS eller UEFI) støtter kun funksjonstastene (F1-F10) for å legge inn tall i pre-boot-miljøet.

Oppstartsnøkkelen ble fjernet mens datamaskinen ennå ikke har fullført en omstart.

På grunn av en funksjonsfeil i TPM, kunne ikke nøklene leveres.

Noen datamaskiner støtter ikke lesing fra USB-flash-stasjoner i pre-boot-miljøet. Kontroller først BIOS- eller UEFI-fastvarealternativene og oppstartsalternativene for å sikre at bruken av USB-stasjoner er aktivert. Aktiver USB-lagring i BIOS eller UEFI hvis ikke aktivert, og les gjenopprettingsnøkkelen på nytt fra USB-flashstasjonen. Hvis du fortsatt ikke kan lese nøkkelen, må du koble harddisken som en datadisk til en annen operativsystemdatamaskin for å lese gjenopprettingsnøkkelen fra USB-flashstasjonen. Hvis USB-flashstasjonen er skadet, må du kanskje angi et gjenopprettingspassord eller bruke gjenopprettingsdata som er sikkerhetskopiert i Active Directory Domain Services. Hvis gjenopprettingsnøkkelen brukes i et miljø før oppstart, må du kontrollere at disken er NTFS, FAT16 eller FAT32.

Automatisk opplåsing av faste datastasjoner krever at operativsystemstasjonen også er BitLocker-beskyttet. Hvis du bruker en datamaskin der operativsystemstasjonen ikke er beskyttet av BitLocker, kan ikke stasjonen låses opp automatisk. For flyttbare datastasjoner kan du legge til automatisk opplåsing ved å høyreklikke stasjonen i Utforsker og velge Administrer BitLocker. Denne flyttbare stasjonen kan låses opp på andre datamaskiner ved å skrive inn passordet eller smartkortlegitimasjonen som ble spesifisert da BitLocker ble slått på.

Begrensede BitLocker-funksjoner er tilgjengelige i sikkermodus. BitLocker-beskyttede stasjoner kan låses opp og dekrypteres ved hjelp av BitLocker Drive Encryption-kontrollpanelelementet. I sikker modus kan du ikke høyreklikke på en stasjon for å åpne BitLocker-alternativer.

Kommandolinjeverktøyet Manage-bde og –lock-kommandoen lar deg låse flyttbare og ikke-flyttbare datastasjoner.

Kommandosyntaks:

administrere-bde -lås

I tillegg til å bruke denne kommandoen, låses datadisker under avslutning eller omstart av operativsystemet. Flyttbare dataplater som slettes fra datamaskinen, låses også automatisk.

Ja. skyggekopier opprettet før BitLocker ble aktivert vil imidlertid automatisk fjernes når BitLocker er aktivert for programvarekrypterte stasjoner. Hvis en maskinvarekryptert disk brukes, beholdes skyggekopier.

BitLocker støttes ikke for oppstarts-VHD-er, men det støttes for VHD-datavolumer, slik som de som brukes i klynger, når de kjøres på Windows 8, Windows 8.1, Windows Server 2012 eller Windows Server 2012 R2.

Hvordan sjekke lydkortet på Windows 10

Kryptering er på som standard, noen ganger ikke - generelt er alt komplisert. I denne artikkelen viser vi deg hvordan du sjekker om data på en disk er kryptert, og hvis ikke, hvordan du aktiverer kryptering. Merk at dette ikke bare er nødvendig for beskyttelse mot overvåking fra verdens spesialtjenester. Kryptering bidrar til å beskytte sensitive data i tilfelle datamaskinen din blir stjålet.

I motsetning til andre moderne operativsystemer - Mac OS X, Chrome OS, iOS og Android - er det fortsatt ikke noe universelt krypteringsverktøy i Windows 10 for alle brukere. Du må kjøpe eller bruke tredjeparts krypteringsprogramvare.

Enhetskryptering

Mange nye Windows 10-datamaskiner har enhetskryptering slått på som standard. Denne funksjonen dateres tilbake til Windows 8.1 og brukes kun på enheter med spesifikke maskinvarekonfigurasjoner.

Dessuten fungerer kryptering bare hvis du er logget på Windows med en Microsoft-konto. I dette tilfellet blir datagjenopprettingsnøkkelen lastet opp til Microsoft-servere, noe som gir en sjanse til å gjenopprette tilgang til filer hvis du av en eller annen grunn ikke kan logge på. (Og dette er sannsynligvis grunnen til at FBI ikke er så opptatt av slik kryptering. Men uansett snakker vi her om kryptering for å beskytte mot tyveri av en bærbar datamaskin. Hvis du er bekymret for NSA-overvåking, bør du lete etter bedre måter å beskyttelse.)

For å sjekke om enhetskryptering er aktivert, åpne Innstillinger-grensesnittet, gå til System> Om og se om det er et enhetskryptering-alternativ helt nederst i vinduet. Hvis ikke, støttes ikke denne funksjonen på denne datamaskinen.

BitLocker

Hvis enhetskryptering ikke er aktivert, eller hvis du trenger en mer funksjonell løsning for kryptering av data, inkludert flyttbare USB-stasjoner, går det bra. BitLocker-verktøyet har blitt inkludert med Windows i flere versjoner på rad og har et godt rykte. Den er imidlertid bare tilgjengelig i Windows 10 Professional-utgaven.

Hvis du har denne utgaven, søk Start-menyen etter BitLocker og bruk BitLocker-kontrollpanelet for å aktivere kryptering. Hvis du oppgraderte til Windows 10 gratis fra Windows 7 Professional eller Windows 8.1 Professional, må du ha Windows 10 Professional-utgaven.

Hvis du har, kan du oppgradere til Windows 10 Professional for $ 99. For å gjøre dette, åpne Innstillinger-grensesnittet, naviger til Oppdatering og sikkerhet> Aktivering, og klikk på Gå til Butikk-knappen. Etter oppgradering til Windows 10 Professional vil du ha tilgang til BitLocker og andre avanserte funksjoner.

TrueCrypt og derivater

Å betale $ 99 bare for muligheten til å kryptere en harddisk er ikke en lett avgjørelse, gitt at Windows-datamaskiner selv i dag ofte koster bare noen få hundre dollar. Men å bruke penger er ikke nødvendig fordi BitLocker ikke er den eneste løsningen. Ja, BitLocker har den mest komplette integrasjonen og støtten, men det finnes andre krypteringsverktøy der ute.

Er et åpen kildekode full diskkrypteringsverktøy som kjører på Windows 10 og er et levedyktig alternativ. Det er andre verktøy bygget på toppen av TrueCrypt. De er alle gratis og kan alle installeres på Windows 10 Home og tidligere versjoner av Windows for å kryptere harddisken din hvis du ikke har tilgang til BitLocker. Dessverre, på moderne datamaskiner, er det litt vanskelig å sette opp TrueCrypt. Men hvis systemet ble kjøpt tilbake i Windows 7-dagene og nå er oppdatert for Windows 10, vil alt gå knirkefritt.

Ja, skaperne av TrueCrypt stoppet høytidelig utviklingen for en tid siden, og erklærte skapelsen deres sårbar og usikker, men mange sikkerhetseksperter er fortsatt uenige om dette er tilfelle. Og viktigst av alt handler diskusjonen i hovedsak om beskyttelse fra NSA og andre spesialtjenester. Hvis du er interessert i kryptering for å beskytte dine personlige filer mot tyver i tilfelle tyveri av den bærbare datamaskinen, bør ikke disse detaljene interessere deg. For disse formålene er TrueCrypt-kryptering tilstrekkelig.