Лятна кухня 

Шифроване на диск с Bitlocker. Инсталиране, конфигуриране и използване на bitlocker


Мнозина използват функцията за криптиране на Windows, но не всеки мисли за сигурността на този метод за защита на данните. Днес ще говорим за криптирането на Bitlocker и ще се опитаме да разберем колко добре е внедрена защитата на диска на Windows.

Между другото, можете да прочетете за това как да настроите Bitlocker в статията "".

  • Предговор
  • Как работи Bitlocker?
    • Уязвимости
    • Ключове за възстановяване
    • Отваряне на BitLocker
    • BitLocker To Go
  • Заключение

Статията е написана с изследователска цел. Цялата информация в него е само за информационни цели. Адресиран е към професионалистите по сигурността и тези, които искат да станат такива.

Как работи Bitlocker?

Какво е Bitlocker?

BitLocker е функция за криптиране на собствен диск в операционни системи Windows 7, 8, 8.1, 10. Тази функция ви позволява да шифровате сигурно поверителни данни на вашия компютър, както на HDD, така и на SSD, и на сменяеми носители.

Как е настроен BitLocker?

Надеждността на BitLocker не трябва да се съди по репутацията на AES. Популярният стандарт за криптиране може да няма откровено слаби места, но внедряването му в специфични криптографски продукти често изобилства от тях. Microsoft не разкрива пълния код за технологията BitLocker. Известно е само, че в различните версии на Windows той се базираше на различни схеми и промените не бяха коментирани по никакъв начин. Освен това в сборка 10586 на Windows 10 той просто изчезна и след две компилации се появи отново. Обаче първо първо.

Първата версия на BitLocker използваше режим на свързване на блокове на шифрован текст (CBC). Още тогава недостатъците му бяха очевидни: лекота на атака върху известен текст, слаба устойчивост на атаки от типа замяна и т.н. Затова Microsoft незабавно реши да засили защитата. Още във Vista алгоритъмът Elephant Diffuser беше добавен към схемата AES-CBC, което затруднява директното сравняване на блокове от шифрован текст. При него едно и също съдържание на два сектора, след криптиране с един ключ, даде напълно различен резултат, което усложни изчисляването на общ модел. Самият ключ по подразбиране обаче беше кратък - 128 бита. Чрез административни политики може да се разшири до 256 бита, но заслужава ли си?

За потребителите, след смяна на ключа, нищо няма да се промени външно - нито дължината на въведените пароли, нито субективната скорост на операциите. Подобно на повечето системи за пълно дисково криптиране, BitLocker използва множество ключове... и никой от тях не е видим за потребителите. Ето схематична диаграма на BitLocker.

  • Когато BitLocker се активира с помощта на генератор на псевдослучайни числа, се генерира главна битова последователност. Това е ключът за криптиране на обема - FVEK (ключ за криптиране на пълен обем). Той е този, който сега криптира съдържанието на всеки сектор.
  • От своя страна FVEK се криптира с помощта на друг ключ - VMK (главен ключ на тома) - и се съхранява в криптирана форма сред метаданните на обема.
  • Самият VMK също е криптиран, но по различни начини по избор на потребителя.
  • При новите дънни платки VMK ключът се криптира по подразбиране с помощта на SRK ключа (корен ключ за съхранение), който се съхранява в отделен криптопроцесор - модул на надеждна платформа (TPM). Потребителят няма достъп до съдържанието на TPM и то е уникално за всеки компютър.
  • Ако на платката няма отделен TPM чип, тогава вместо SRK за криптиране на VMK ключа се използва въведен от потребителя пин код или USB флаш устройство при поискване с предварително записана ключова информация.
  • В допълнение към TPM или флаш устройството, можете да защитите VMK ключа с парола.

Това общо поведение на BitLocker продължи в следващите версии на Windows до момента. Въпреки това, генерирането на ключове и режимите на криптиране на BitLocker са променени. И така, през октомври 2014 г., Microsoft тихомълком премахна допълнителния алгоритъм на Elephant Diffuser, оставяйки само схемата AES-CBC с нейните известни недостатъци. Първоначално не бяха направени официални изявления за това. Хората просто получиха отслабена технология за криптиране със същото име под прикритието на актуализация. Неясни обяснения за този ход последваха, след като опростяванията в BitLocker бяха забелязани от независими изследователи.

Формално премахването на Elephant Diffuser беше необходимо, за да се гарантира, че Windows отговаря на американските федерални стандарти за обработка на информация (FIPS), но един аргумент опровергава тази версия: Vista и Windows 7, които използваха Elephant Diffuser, бяха продадени без проблеми в Америка.

Друга въображаема причина за отказа на допълнителния алгоритъм е липсата на хардуерно ускорение за Elephant Diffuser и загубата на скорост при използването му. Въпреки това, в предишни години, когато процесорите бяха по-бавни, по някаква причина скоростта на криптиране ги устройваше. И същият AES беше широко използван дори преди да има отделни набори от инструкции и специализирани чипове за неговото ускорение. С течение на времето беше възможно да се направи хардуерно ускорение и за Elephant Diffuser или поне да се даде на клиентите избор между скорост и сигурност.

Друга, неофициална версия изглежда по-реалистична. „Слонът“ пречеше на служителите, които искаха да отделят по-малко усилия за декриптиране на следващия диск, а Microsoft охотно взаимодейства с властите дори в случаите, когато исканията им не са напълно законни. Косвено потвърждава теорията на конспирацията и факта, че преди Windows 8 при създаване на ключове за криптиране в BitLocker е използван генераторът на псевдослучайни числа, вграден в Windows. В много (ако не всички) версии на Windows това беше Dual_EC_DRBG – „криптографски силен PRNG“, разработен от Агенцията за национална сигурност на САЩ и съдържащ редица присъщи уязвимости.

Разбира се, тайното отслабване на вграденото криптиране предизвика мощна вълна от критики. Под нейния натиск Microsoft пренаписа отново BitLocker, заменяйки PRNG с CTR_DRBG в новите версии на Windows. Освен това в Windows 10 (започвайки с build 1511) схемата за криптиране по подразбиране е AES-XTS, която е имунизирана срещу манипулиране на блокове на шифрован текст. В последните версии на „десетките“ други известни недостатъци на BitLocker бяха отстранени, но основният проблем все още остава. Толкова е абсурдно, че обезсмисля други иновации. Става дума за принципите на ключово управление.

Задачата за декриптиране на устройства на BitLocker също се улеснява от факта, че Microsoft активно популяризира алтернативен метод за възстановяване на достъп до данни чрез агента за възстановяване на данни. Значението на "агента" е, че той криптира ключовете за криптиране на всички устройства в корпоративната мрежа с един ключ за достъп. След като го имате, можете да дешифрирате всеки ключ и по този начин всеки диск, използван от същата компания. Удобно? Да, особено за хакване.

Идеята за използване на един ключ за всички ключалки вече е била компрометирана много пъти, но продължава да се връща под една или друга форма за удобство. Ето как Ралф Лейтън записва мемоарите на Ричард Файнман за един характерен епизод от работата му по проекта Манхатън в лабораторията в Лос Аламос: „... Отворих три сейфа – и трите с една комбинация. Направих ги всичките: отворих сейфовете с всички тайни на атомната бомба - технологията за получаване на плутоний, описание на процеса на пречистване, информация за това колко материал е необходим, как работи бомбата, как се правят неутроните, как бомбата е подредена, какви са размерите й - накратко всичко, каквото знаеха в Лос Аламос, цялата кухня!

BitLocker донякъде напомня безопасното устройство, описано в друг фрагмент от книгата „Разбира се, че се шегувате, г-н Файнман!“. Най-внушителният сейф в строго секретната лаборатория имаше същата уязвимост като обикновен шкаф за документи. „... Беше полковник и имаше много по-сложен сейф с две врати и големи дръжки, които изваждаха четири стоманени пръта с дебелина три четвърти инча от рамката. Погледнах задната част на една от внушителните бронзови врати и открих, че цифровият циферблат е свързан с малък катинар, който изглеждаше точно като ключалката на моя килер в Лос Аламос. Беше очевидно, че системата от лостове зависи от същата малка пръчка, която заключваше шкафовете за документи.. Изобразявайки някаква дейност, започнах да въртя циферблата на случаен принцип. Две минути по-късно - щракнете! - Сейфът беше отворен. Когато вратата на сейфа или горното чекмедже на шкафа е отворена, е много лесно да се намери комбинацията. Това направих, когато прочетохте моя доклад, само за да ви покажа опасността."

Крипто контейнерите на BitLocker са доста сигурни сами по себе си. Ако някой ви донесе флаш устройство, което идва от нищото, криптирано с BitLocker To Go, тогава е малко вероятно да го дешифрирате в разумен срок. Въпреки това, в реален сценарий, използващ криптирани устройства и сменяеми носители, има много уязвимости, които са лесни за използване за заобикаляне на BitLocker.

Уязвимости на BitLocker

Със сигурност сте забелязали, че когато за първи път активирате Bitlocker, трябва да чакате дълго време. Това не е изненадващо - процесът на криптиране сектор по сектор може да отнеме няколко часа, тъй като дори не е възможно да се прочетат по-бързо всички блокове терабайтни твърди дискове. Деактивирането на BitLocker обаче става почти мигновено - как така?

Факт е, че когато е деактивиран, Bitlocker не декриптира данните. Всички сектори ще останат криптирани с ключа FVEK. Просто достъпът до този ключ вече няма да бъде ограничен по никакъв начин. Всички проверки ще бъдат деактивирани и VMK ще остане записан сред метаданните с чист текст. Всеки път, когато компютърът се включи, зареждането на ОС ще прочете VMK (без да проверява TPM, да изисква ключ на флаш устройство или парола), автоматично декриптира FVEK с него и след това всички файлове при достъп до тях. За потребителя всичко ще изглежда като пълна липса на криптиране, но най-внимателните могат да забележат леко намаляване на производителността на дисковата подсистема. По-точно - липсата на увеличение на скоростта след деактивиране на криптирането.

Има още нещо интересно в тази схема. Въпреки името (технология за пълно дисково криптиране), някои от данните при използване на BitLocker все още остават некриптирани. MBR и BS остават в отворена форма (освен ако дискът не е инициализиран в GPT), лоши сектори и метаданни. Отвореният буутлоудър дава място за въображение. В псевдо-лоши сектори е удобно да се скрие друг зловреден софтуер, а метаданните съдържат много интересни неща, включително копия на ключове. Ако Bitlocker е активен, тогава те ще бъдат криптирани (но по-слабо от FVEK криптира съдържанието на секторите), а ако е деактивирано, те просто ще лежат в чистота. Всичко това са потенциални вектори на атака. Те са потенциални, защото освен тях има много по-прости и универсални.

Ключ за възстановяване на Bitlocker

В допълнение към FVEK, VMK и SRK, BitLocker използва друг тип ключ, който се генерира „за всеки случай“. Това са ключовете за възстановяване, с които е свързан друг популярен вектор на атака. Потребителите се страхуват да забравят паролата си и да загубят достъп до системата, а самата Windows препоръчва да направят спешно влизане. За да направите това, съветникът за криптиране на BitLocker в последната стъпка ви подканва да създадете ключ за възстановяване. Не е предвиден отказ за създаването му. Можете да изберете само една от ключовите опции за експортиране, всяка от които е много уязвима.

В настройките по подразбиране ключът се експортира като обикновен текстов файл с разпознаваемо име: "BitLocker recovery key #", където идентификационният номер на компютъра е изписан вместо # (да, точно в името на файла!). Самият ключ изглежда така.

Ако сте забравили (или никога не сте знаели) паролата, зададена в BitLocker, просто потърсете файла с ключа за възстановяване. Със сигурност ще бъде запазен между документите на текущия потребител или на неговото флаш устройство. Може би дори е отпечатан на лист хартия, както препоръчва Microsoft.

За да намерите бързо ключа за възстановяване, е удобно да ограничите търсенето по разширение (txt), дата на създаване (ако знаете приблизително кога е бил активиран BitLocker) и размер на файла (1388 байта, ако файлът не е редактиран) . След като намерите ключа за възстановяване, копирайте го. С него можете да заобиколите стандартното оторизиране в BitLocker по всяко време. За да направите това, просто натиснете Esc и въведете ключа за възстановяване. Ще влезете без проблеми и дори ще можете да промените паролата в BitLocker на произволна, без да посочвате старата!


Отваряне на BitLocker

Истински криптографскисистемата е компромис между удобство, бързина и надеждност. Той трябва да включва процедури за прозрачно криптиране с декриптиране в движение, методи за възстановяване на забравени пароли и удобна работа с ключове. Всичко това отслабва всяка система, без значение на колко силни алгоритми е базирана. Следователно не е необходимо да търсите уязвимости директнов алгоритъма на Rijndael или в различни схеми на стандарта AES. Много по-лесно е да ги намерите в спецификата на конкретно изпълнение.

В случая с Microsoft тази "специфичност" е достатъчна. Например копията на ключовете на BitLocker по подразбиране се изпращат до SkyDrive и се депонират в Active Directory.

Ами ако ги загубиш... или пита агент Смит. Неудобно е да караш клиент да чака и още повече агент. Поради тази причина сравнението криптографска сила AES-XTS и AES-CBC с Elephant Diffuser избледняват на заден план, както и препоръките за увеличаване на дължината на ключа. Без значение колко е дълъг, нападателят лесно ще го влезе некриптиранформа .

Извличането на депонирани ключове от акаунт в Microsoft или AD е основният начин за разбиване на BitLocker. Ако потребителят не е регистрирал акаунт в облака на Microsoft и неговият компютър не е в домейна, тогава все още ще има начини за извличане на ключовете за криптиране. При нормална работа техните отворени копия винаги се съхраняват в RAM (в противен случай няма да има "прозрачно криптиране"). Това означава, че те са налични в нейния файл за изхвърляне и хибернация.

Защо изобщо ги държат там?

Тъй като е смешно - за удобство усмивка. BitLocker е проектиран да защитава само срещу офлайн атаки. Те винаги са придружени от рестартиране и свързване на диска към друга ОС, което води до изчистване на RAM паметта. Въпреки това, при настройките по подразбиране, ОС изхвърля RAM, когато възникне повреда (която може да бъде провокирана) и записва цялото й съдържание във файла за хибернация всеки път, когато компютърът влезе в дълбок сън. Така че, ако наскоро сте влезли в Windows с активиран BitLocker, има голям шанс да получите декриптирано копие на VMK и да го използвате, за да декриптирате FVEK и след това самите данни надолу по веригата.

Да проверим? Всички описани по-горе методи за хакване на BitLocker са събрани в една програма - Forensic Disk Decryptor, разработена от местната компания Elcomsoft. Той може автоматично да извлича ключове за криптиране и да монтира криптирани томове като виртуални устройства, като ги декриптира в движение.

Освен това EFDD прилага друг нетривиален начин за получаване на ключове - чрез атака през порта FireWire, който е препоръчително да използвате в случай, че не е възможно да стартирате софтуера си на атакувания компютър. Винаги инсталираме самата програма EFDD на нашия компютър, а на хакнатия се опитваме да управляваме с минимално необходими действия.

Например, нека просто стартираме тестова система с активен BitLocker и „невидимо“ да направим дъмп на паметта. Така ще симулираме ситуация, в която колега е излязъл на обяд и не е заключил компютъра си. Стартираме RAM Capture и за по-малко от минута получаваме пълен дъмп във файл с разширение .mem и размер, съответстващ на количеството RAM, инсталирано на компютъра на жертвата.

Отколкото да направите дъмп - като цяло без разлика. Независимо от разширението, това ще се окаже двоичен файл, който след това автоматично ще бъде анализиран от EFDD в търсене на ключове.

Записваме дъмпа на USB флаш устройство или го прехвърляме по мрежата, след което сядаме на компютъра си и стартираме EFDD.

Изберете опцията "Извличане на ключове" и въведете пътя до файла с дъмп на паметта като източник на ключовете.

BitLocker е типичен крипто контейнер, като PGP Disk или TrueCrypt. Тези контейнери се оказаха доста надеждни сами по себе си, но клиентски приложения за работа с тях под Windows ключове за криптиране в RAM. Следователно в EFDD се прилага универсален сценарий за атака. Програмата незабавно търси ключове за криптиране и от трите типа популярни крипто контейнери. Следователно можете да оставите всички елементи проверени - какво ще стане, ако жертвата тайно използва или PGP!

След няколко секунди Elcomsoft Forensic Disk Decryptor показва всички намерени ключове в прозореца си. За удобство те могат да бъдат запазени във файл - това ще бъде полезно в бъдеще.

Сега BitLocker вече не е пречка! Можете да извършите класическа офлайн атака - например да извадите твърд диск и да копирате съдържанието му. За да направите това, просто го свържете към вашия компютър и стартирайте EFDD в режим "декриптиране или монтиране на диск".

След като посочите пътя до файловете със запазени ключове, EFDD по ваш избор ще извърши пълно декриптиране на тома или веднага ще го отвори като виртуален диск. В последния случай файловете се декриптират при достъп до тях. Така или иначе не се правят промени в оригиналния том, така че можете да го върнете на следващия ден, сякаш нищо не се е случило. Работата с EFDD става безследно и само с копия на данните и следователно остава невидима.

BitLocker To Go

Започвайки със "седемте" в Windows, стана възможно криптирането на флаш памети, USB-HDD и други външни носители. Технология, наречена BitLocker To Go, криптира сменяемите устройства по същия начин като локалните устройства. Шифроването се активира от съответния елемент в контекстното меню на Explorer.

За нови устройства можете да използвате криптиране само на заетата област - все пак свободното пространство на дяла е пълно с нули и няма какво да се крие там. Ако устройството вече е използвано, препоръчително е да активирате пълно криптиране на него. В противен случай място, маркирано като безплатно, ще остане некриптирано. Може да съдържа в обикновен текст наскоро изтрити файлове, които все още не са презаписани.

Дори бързото криптиране само на натоварена зона отнема от няколко минути до няколко часа. Това време зависи от количеството данни, честотната лента на интерфейса, характеристиките на устройството и скоростта на криптографските изчисления на процесора. Тъй като криптирането е придружено от компресиране, свободното пространство на криптирания диск обикновено се увеличава леко.

Следващият път, когато свържете криптирано флаш устройство към всеки компютър, работещ с Windows 7 или по-нова версия, съветникът за BitLocker автоматично ще се стартира, за да отключи устройството. В Explorer, преди отключване, той ще бъде показан като заключен диск.

Тук можете да използвате както вече обсъжданите опции за заобикаляне на BitLocker (например търсене на VMK ключа в файл за дъмп на паметта или хибернация), така и нови, свързани с ключове за възстановяване.

Ако не знаете паролата, но сте успели да намерите един от ключовете (ръчно или с помощта на EFDD), тогава има две основни опции за достъп до криптираната флаш памет:

  • използвайте вградения съветник на BitLocker, за да работите директно с флаш устройството;
  • използвайте EFDD, за да дешифрирате напълно флаш устройството и да създадете неговото изображение сектор по сектор.

Първата опция ви позволява незабавно да получите достъп до файловете, записани на флаш устройството, да ги копирате или промените, както и да запишете свои собствени. Вторият вариант отнема много повече време (от половин час), но има своите предимства. Декриптираното изображение сектор по сектор ви позволява допълнително да извършвате по-фин анализ на файловата система на ниво криминалистична лаборатория. В този случай самото флаш устройство вече не е необходимо и може да бъде върнато непроменено.

Полученото изображение може да бъде отворено незабавно във всяка програма, която поддържа IMA формат, или първо да се преобразува в друг формат (например с помощта на UltraISO).

Разбира се, в допълнение към намирането на ключа за възстановяване за BitLocker2Go, всички други методи за заобикаляне на BitLocker се поддържат в EFDD. Просто повторете през всички налични опции подред, докато намерите ключ от всякакъв тип. Останалите (до FVEK) ще бъдат декриптирани сами по веригата и ще получите пълен достъп до диска.

Заключение

Технологията за пълно дисково криптиране на BitLocker се различава между версиите на Windows. Веднъж правилно конфигуриран, той ви позволява да създавате крипто контейнери, които теоретично са сравними по сила с TrueCrypt или PGP. Въпреки това, вграденият механизъм за работа с ключове в Windows отрича всички алгоритмични трикове. По-специално, VMK ключът, използван за декриптиране на главния ключ в BitLocker, се възстановява с помощта на EFDD за няколко секунди от депониран дубликат, дъмп на паметта, файл за хибернация или атака на порт FireWire.

След като имате ключа, можете да извършите класическа офлайн атака, скрито копиране и автоматично декриптиране на всички данни на „защитеното“ устройство. Следователно BitLocker трябва да се използва само във връзка с други защити: криптираща файлова система (EFS), услуги за управление на права (RMS), контрол при стартиране на програмата, контрол на инсталиране на устройство и връзка и по-строги локални политики и общи мерки за сигурност.

В статията са използвани материалите на сайта:

Добър ден приятели.

Зададохте ли парола за определена информация на вашия компютър и сега искате да я премахнете? Не знаете как да го направите? Тази статия предоставя прости инструкции как да деактивирате Bitlocker - самата програма, която защитава вашите данни от хакване.

Bitlocker е вградена помощна програма в системите на Windows, предназначена да предпазва чувствителната информация от неоторизиран достъп. Инсталирайки го, собственикът на компютъра поставя парола за всички или отделни файлове. Приложението ви позволява да го запишете на външен носител или да го отпечатате, за да оставите ПИН кода само в паметта, защото също може да ви разочарова.

Шифроването на информацията се състои във факта, че програмата я преобразува в специален формат, който може да се чете само след въвеждане на паролата.

Ако се опитате да отворите файл без него, ще видите несвързани цифри и букви.

Първоначално можете да конфигурирате помощната програма, така че ключалката да се освобождава, когато се постави флаш устройство с ключ. По-добре е да имате няколко медии с парола.

Важно! Ако забравите и загубите всички ключове, заедно с тях ще загубите достъп до всички данни на диска (или флаш устройството) завинаги.

За първи път приложението започна да работи в премиум версията на Windows Vista. Сега е достъпен за други поколения на тази система.

Начини за деактивиране на Bitlocker

Не е нужно да сте хакер или професионален ИТ човек, за да отмените блокирането. Всичко се прави просто; разбира се, ако сами зададете паролата и няма да хакнете данните на други хора. И има ли? Тогава нека започнем дискусията.

Има няколко начина за отключване на файлове. Най-простият изглежда така:

  • Щракнете с десния бутон върху желаното устройство и в изскачащия прозорец щракнете върху "Управление на BitLoker";

  • Ще се отвори ново меню, където трябва да изберете елемента "Изключване" (деактивиране).

Когато преинсталирате Windows 10 или друга версия на операционната система, ще трябва да поставите на пауза криптирането. За да го завършите, следвайте инструкциите по-долу:

  • Отворете Старт - Контролен панел - Система и сигурност - Шифроване на диск с BitLocker;
  • Изберете "Suspend protection" или "Manage BitLocker" - след това "Turn off BitLocker" (В Win7).
  • Щракнете върху „Да“, за да потвърдите, че умишлено го деактивирате.

Чрез същото меню можете напълно да изключите заключването, като щракнете върху съответния бутон.

Имайте предвид, че Windows Vista и други версии на системата може да имат различни имена за секциите, описани по-горе. Но във всеки случай ще намерите желаните настройки чрез контролния панел. Например в Windows 8 можете да го отворите така:

Честно казано, не знам как да деактивирам този криптор, ако паролата е загубена ... Мога само да препоръчам форматиране на устройството - в резултат на което дискът ще бъде наличен за работа. Но при този сценарий всички данни върху него естествено ще изчезнат.

Е, това е всичко, надявам се да е било полезно.

До скоро приятели!

Когато TrueCrypt противоречиво затвори магазина, те насърчиха своите потребители да преминат от TrueCrypt към BitLocker или VeraCrypt. BitLocker съществува в Windows достатъчно дълго, за да се счита за зрял, и е един от продуктите за криптиране, с които специалистите по сигурността са добре запознати. В тази статия ще говорим за това как можете настройте BitLocker на вашия компютър.

ЗабележкаЗабележка: BitLocker Drive Encryption и BitLocker To Go се предлагат в Professional или Enterprise издания на Windows 8 или 10 и Ultimate Windows 7. Въпреки това, като се започне с Windows 8.1, Home и Pro изданията на Windows включват функция „Шифроване на устройство“ (налична също в Windows 10), който работи по подобен начин.

Препоръчваме криптиране на устройството, ако компютърът ви го поддържа, BitLocker за потребители на Pro и VeraCrypt за хора, използващи Windows Home, където криптирането на устройството няма да работи.

Шифровайте цялото устройство или създайте контейнер

Много ръководства говорят за създаване BitLocker контейнер, който работи точно като криптиран контейнер TrueCrypt или Veracrypt. Това обаче е малко погрешно, но можете да постигнете същия ефект. BitLocker работи, като криптира всички устройства. Това може да бъде вашето системно устройство, друго физическо устройство или виртуален твърд диск (VHD), който съществува като файл и е монтиран в Windows.

Разликата е до голяма степен семантична. С други продукти за криптиране обикновено създавате криптиран контейнер и след това го монтирате като устройство в Windows, когато трябва да го използвате. С BitLocker създавате виртуален твърд диск и след това го криптирате.

В тази статия ще се съсредоточим върху активирането на BitLocker за съществуващо физическо устройство.

Как да шифровате устройство с BitLocker

За да използвате BitLocker за устройство, всичко, което наистина трябва да направите, е да го включите, да изберете метод за отключване и след това да зададете няколко други опции.

Въпреки това, преди да влезем в това, трябва да знаете, че за да използвате пълно криптиране на BitLocker системно устройствообикновено изисква компютър с надежден платформен модул (TPM) на дънната платка на вашия компютър. Този чип генерира и съхранява ключовете за криптиране, които BitLocker използва. Ако вашият компютър няма TPM, можете да използвате групови правила, за да активирате използването на BitLocker без TPM. Това е малко по-малко сигурно, но все пак по-сигурно, отколкото да оставите криптирането извън.

Можете да шифровате несистемно устройство или сменяемо устройство без TPM и да не активирате настройката на груповите правила.

В тази бележка трябва също да знаете, че има два типа шифроване на диск с BitLocker, които можете да активирате:

  • Шифроване на диск с BitLocker: Понякога се нарича просто BitLocker, това е функция пълно криптиране, който криптира цялото устройство. Когато компютърът ви се стартира, стартиращият инструмент на Windows се зарежда от Раздел „Запазена система“., след това буутлоудърът иска метод за отключване, като например парола. Едва след това BitLocker декриптира устройството и стартира Windows. Вашите файлове изглеждат нормално в некриптирана система, но се съхраняват криптирани на диск. Можете също да шифровате други устройства, не само системното устройство.
  • BitLocker To GoО: Можете да шифровате външни устройства като USB памети и външни твърди дискове с BitLocker To Go. Ще бъдете подканени да използвате метод за отключване - като парола - когато свържете устройството към вашия компютър. Ако някой няма достъп до метода за отключване, той няма да има достъп до файловете на устройството.

В Windows 7-10 не е нужно да се притеснявате за сложността на криптирането. Windows се справя с повечето задачи зад кулисите, а интерфейсът, който ще използвате, за да активирате BitLocker, изглежда познат.

Включете BitLocker за устройството

Най-лесният начин активирайте BitLocker за устройството- Щракнете с десния бутон върху устройството в прозореца на File Explorer и след това изберете командата „Включи BitLocker“. Ако не виждате тази опция в контекстното си меню, вероятно нямате Pro или Enterprise версия на Windows и трябва да потърсите друго решение за криптиране.

Всичко е просто. Помощникът за настройка, който ще се появи, ще ви позволи да изберете няколко опции, които сме разделили на следните раздели.

Изберете как искате да отключите BitLocker

Първият екран, който виждате в съветника за криптиране на диск на BitLocker, ви позволява да изберете начин да отключите устройството си. Можете да изберете няколко начина за отключване на устройството.

Ако шифровате системното устройство на компютър, което не е TPM, можете да отключите устройството с парола или USB флаш, който функционира като ключ. Изберете метод за отключване и следвайте инструкциите за този метод (въведете паролата си или включете USB устройство).

Ако вашият компютър То има TPM, ще видите допълнителни опции за отключване на дисковата система. Например, можете да настроите автоматично отключване при стартиране (когато компютърът ви вземе ключовете за криптиране от TPM и автоматично декриптира устройството). вие също можете използвайте ПИНвместо парола или дори биометрични данни като пръстов отпечатък.

Ако криптирате несистемно устройство или сменяемо устройство, ще видите само две опции (независимо дали имате TPM или не). Можете да отключите устройството с парола или смарт карта (или и двете).

Архивиране на ключ за възстановяване

BitLocker генерира ключ за възстановяване, който може да се използва за достъп до криптирани файлове, ако загубите главния си ключ, например ако забравите паролата си или ако TPM компютърът е повреден и трябва да получите достъп до устройството от друга система.

Можете да запазите ключа във вашия акаунт в Microsoft, на USB устройство, във файл или дори да го разпечатате. Тези опции са едни и същи, независимо дали криптирате системно устройство или несистемно устройство.

Ако архивирате ключа си за възстановяване в акаунта си в Microsoft, можете да получите достъп до него по-късно на https://onedrive.live.com/recoverykey. Ако използвате друг метод за възстановяване, не забравяйте да запазите този ключ в безопасност - ако някой получи достъп до него, той може да дешифрира вашето устройство и да заобиколи криптирането.

Ако желаете, можете да създадете всички видове резервно копие на вашия ключ за възстановяване. Просто изберете всяка опция, която искате да използвате, на свой ред и след това следвайте инструкциите. Когато приключите със запазването на ключовете си за възстановяване, щракнете върху Напред, за да продължите.

Забележка. Ако шифровате USB или друго сменяемо устройство, няма да можете да запазите ключа си за възстановяване на USB устройството. Можете да използвате някоя от другите три опции.

Шифроване и отключване на диск с BitLocker

BitLocker автоматично криптира новите файлове при добавянето им, но трябва да изберете какво да правите с файловете на вашето устройство. Можете да шифровате цялото устройство, включително свободното пространство, или просто да шифровате файловете, които се използват на устройството, за да ускорите процеса.

Ако създавате BitLocker на нов компютър, криптирайте само дисковото пространство, което използвате – това е много по-бързо. Ако инсталирате BitLocker на компютър, който използвате от известно време, трябва да шифровате цялото устройство, така че никой да не може да възстанови изтритите файлове.

Когато направите своя избор, щракнете върху бутона Напред.

Изберете режим на криптиране на BitLocker (само за Windows 10)

Ако използвате Windows 10, ще видите допълнителен екран, който ви позволява да изберете метод за криптиране. Ако използвате Windows 7 или 8, продължете към следващата стъпка.

Windows 10 въвежда нов метод за криптиране, XTS-AES. Той осигурява подобрена цялост и производителност в сравнение с AES, използван в Windows 7 и 8. Ако знаете, че устройството, което криптирате, ще се използва само на компютър с Windows 10, продължете и изберете опцията Нов режим на криптиране. Ако смятате, че в даден момент може да се наложи да използвате устройство с по-стара версия на Windows (особено ако е подвижно устройство), изберете опцията Съвместим режим.

Която и опция да изберете, щракнете върху бутона Напред, когато сте готови, и на следващия екран щракнете върху бутона Стартирайте криптирането.

Завършване на шифроването на диск с BitLocker

Процесът на криптиране може да отнеме от няколко секунди до няколко минути или дори повече, в зависимост от размера на устройството, количеството данни, които криптирате, и дали искате да шифровате свободното пространство.

Ако криптирате системното устройство, ще бъдете подканени да изпълните проверка на системата BitLocker и да рестартирате системата. Щракнете върху бутона Продължи и след това рестартирайте компютъра. След като компютърът се стартира за първи път, Windows ще криптира устройството.

Ако криптирате несистемно или сменяемо устройство, Windows не е необходимо да се рестартира и криптирането започва незабавно.

Независимо от типа устройство, което криптирате, можете да видите иконата за шифроване на устройство BitLocker в лентата на задачите и да видите напредъка. Можете да продължите да използвате компютъра си, докато криптирате устройства, но той ще работи малко по-бавно, особено ако е устройство с операционна система.

Отключване на вашето устройство BitLocker

Ако системното ви устройство е криптирано, отключването му зависи от избрания от вас метод (и дали компютърът ви има TPM). Ако имате TPM и изберете автоматично отключване на устройството, няма да забележите нищо ново - ще стартирате направо в Windows, както винаги. Ако изберете различен метод за отключване, Windows ще ви подкани да отключите устройството (чрез въвеждане на парола, включване на USB устройство или каквото и да било).

Ако сте загубили (или сте забравили) метода си за отключване, натиснете Esc при подкана за въведете ключ за възстановяване.

Ако сте криптирали несистемно или сменяемо устройство, Windows ще ви подкани да отключите устройството при първия достъп до него след стартиране на Windows (или когато го свържете към компютъра си, ако е подвижно устройство). Въведете паролата си или поставете смарт карта и устройството трябва да се отключи, за да можете да го използвате.

Във File Explorer криптираните устройства са маркирани със златна ключалка. Това заключване се променя в сиво, когато устройството е отключено.

Можете да управлявате заключено устройство – да промените паролата си, да изключите BitLocker, да архивирате ключа си за възстановяване или да направите повече – от прозореца на контролния панел на BitLocker. Щракнете с десния бутон върху което и да е криптирано устройство и изберете Управление на BitLocker, за да отидете директно на тази страница.

Здравейте приятели! В тази статия ще продължим да изследваме системите, вградени в Windows, предназначени да повишат сигурността на нашите данни. Днес то bitlocker дискова система за криптиране. Криптирането на данните е необходимо, за да се гарантира, че вашата информация не се използва от непознати. Друг е въпросът как ще стигне до там.

Шифроването е процес на трансформиране на данни, така че само правилните хора да имат достъп до тях. Ключове или пароли обикновено се използват за получаване на достъп.

Пълното криптиране на диска предотвратява достъпа до данни, когато свържете твърдия диск към друг компютър. Системата на нападателя може да има инсталирана различна операционна система за заобикаляне на защитата, но това няма да помогне, ако използвате BitLocker.

Технологията BitLocker беше въведена с пускането на операционната система Windows Vista и беше подобрена в . Bitlocker се предлага във версии Ultimate, Enterprise и Pro. Собствениците на други версии ще трябва да търсят .

Без да навлизам в подробности, изглежда така. Системата криптира цялото устройство и ви дава ключовете за него. Ако шифровате системния диск, той няма да се стартира без вашия ключ. Същото като ключовете от апартамента. Имаш ги, ще попаднеш в него. Загубен, трябва да използвате резервния (код за възстановяване (издава се по време на криптиране)) и да смените ключалката (направете криптирането отново с други ключове)

За надеждна защита е желателно на компютъра да е инсталиран Trusted Platform Module (TPM). Ако е и версията му е 1.2 или по-нова, тогава той ще управлява процеса и ще имате по-силни методи за защита. Ако го няма, тогава ще бъде възможно да използвате само ключа на USB устройството.

BitLocker работи по следния начин. Всеки сектор на диска се криптира отделно с помощта на ключ (ключ за шифроване на пълен обем, FVEK). Използва се алгоритъмът AES със 128 битов ключ и дифузьор. Ключът може да бъде променен на 256 бита в груповите политики за сигурност.

Когато криптирането приключи, ще видите следната картина

Затворете прозореца и проверете дали ключът за стартиране и ключът за възстановяване са на безопасни места.

Шифроване на флаш устройство - BitLocker To Go

Защо криптирането трябва да бъде поставено на пауза? Така че BitLocker не блокира вашето устройство и не прибягвайте до процедурата за възстановяване. Системните настройки (и съдържанието на дяла за зареждане) са фиксирани по време на криптиране за допълнителна защита. Промяната им може да доведе до заключване на компютъра.

Ако изберете Управление на BitLocker, ще можете да запазите или отпечатате ключа за възстановяване и да дублирате ключа за стартиране

Ако един от ключовете (ключ за стартиране или ключ за възстановяване) е загубен, можете да ги възстановите тук.

Управление на криптиране за външни устройства

Налични са следните функции за управление на настройките за криптиране на флаш устройство

Можете да промените паролата за отключване. Можете да премахнете паролата само ако за отключване на ключалката се използва смарт карта. Можете също да запазите или отпечатате ключа за възстановяване и да включите автоматично отключване на диска за това.

Възстановяване на достъпа до диска

Възстановяване на достъпа до системното устройство

Ако флаш устройството с ключа е извън зоната за достъп, тогава ключът за възстановяване влиза в игра. Когато стартирате компютъра си, ще видите нещо като следната снимка

За да възстановите достъпа и да стартирате Windows, натиснете Enter

Ще видим екран с молба да въведете ключа за възстановяване

С последната въведена цифра, при условие че ключът за възстановяване е правилен, операционната система ще се стартира автоматично.

Възстановяване на достъпа до сменяеми устройства

За да възстановите достъпа до информация на флаш устройство или щракнете върху Забравена парола?

Изберете Въведете ключ за възстановяване

и въведете този ужасен 48-цифрен код. Щракнете върху Напред

Ако ключът за възстановяване съвпада, устройството ще бъде отключено

Появява се връзка към Управление на BitLocker, където можете да промените паролата, за да отключите устройството.

Заключение

В тази статия научихме как можем да защитим нашата информация, като я криптираме с помощта на вградения инструмент BitLocker. Разочароващо е, че тази технология е налична само в по-стари или разширени версии на Windows. Стана ясно и защо този скрит и зареждащ дял от 100 MB се създава при настройка на диск с помощта на Windows инструменти.

Може би ще използвам криптирането на флаш памети или. Но това е малко вероятно, тъй като има добри заместители под формата на услуги за съхранение в облак като DropBox и други подобни.