Bitlocker - шифрування диска
Шифрування - це процес перетворення даних таким чином що б отримати доступ до них могли тільки потрібні люди. Для отримання доступу зазвичай використовують ключі або паролі.
Шифрування всього диска дозволяє виключити доступ до даних при підключенні вашого жорсткого диска до іншого комп'ютера. На системі зловмисника може бути встановлена інша операційна система для обходу захисту, але це не допоможе якщо ви використовуєте BitLocker.
Технологія BitLocker з'явилася з виходом операційної системи Windows Vista і була вдосконалена в Windows 7. Bitlocker доступний у версіях Windows 7 Ultimate і Корпоративна а так само в Windows 8 Pro. Власникам інших версій доведеться шукати альтернативу.
Як працює шифрування диска BitLocker
Не вдаючись в подробиці виглядає це так. Система шифрує весь диск і дає вам ключі від нього. Якщо ви шифруєте системний диск то без вашого ключа комп'ютер не завантажиться. Теж саме як ключі від квартири. У вас вони є ви в неї потрапите. Втратили, потрібно скористатися запасними (кодом відновлення (видається при шифруванні)) і міняти замок (зробити шифрування заново з іншими ключами)
Для надійного захисту бажано наявність в комп'ютері модуля TPM TPM (Trusted Platform Module). Якщо він є і його версія 1.2 або вище, то він буде керувати процесом і у вас з'являться більш сильні методи захисту. Якщо ж його немає, то можливо буде скористатися тільки ключем на USB-накопичувачі.
Працює BitLocker наступним чином. Кожен сектор диска шифрується окремо за допомогою ключа (full-volume encryption key, FVEK). Використовується алгоритм AES з 128 бітовим ключем і дифузором. Ключ можна поміняти на 256 бітний в групових політиках безпеки.
Для цього скористаємося пошуком в Windows 7. Відкриваємо меню Пуск і в полі пошуку пишемо «політики» і вибираємо Зміна групової політики
У віконці в лівій частині переходимо по шляху
Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker
У правій частині двічі натискаємо на Виберіть метод шифрування диска і стійкість шифру
У віконці натискаємо Включити політику. У розділі Вибрати метод шифрування зі списку вибираємо потрібний
Найнадійніший це AES з 256-бітовим ключем з дифузором. При цьому швидше за все навантаження на центральний процесор буде чуть чуть вище, але не на багато і на сучасних комп'ютерах ви різниці не помітите. Зате дані будуть надійніше захищені.
Використання дифузора ще більше підвищує надійність так як призводить до значних зміною зашифрованої інформації при незначній зміні вихідних даних. Тобто, при шифруванні двох секторів з практично однаковими даними результат буде значно відрізнятися.
Сам ключ FVEK розташовується серед метаданих жорсткого диска і так само шифрується за допомогою основного ключа томи (volume master key, VMK). VMK так само шифрується за допомогою TPM модуля. Якщо останній відсутній, то за допомогою ключа на USB накопичувачі.
Якщо USB накопичувач з ключем буде недоступний, то необхідно скористатися 48-значним кодом відновлення. Після цього система зможе розшифрувати основний ключ томи, за допомогою якого розшифрує ключ FVEK, за допомогою якого буде розблоковано диск і піде завантаження операційної системи.
Удосконалення BitLocker в Windows 7
При установці Windows 7 з флешки або з диска пропонується розмітити або налаштувати диск. Під час налаштування диска створюється додатковий завантажувальний розділ розміром 100 МБ. Напевно не в мене одного виникали питання з приводу його призначення. Ось саме цей розділ і потрібен для роботи технології Bitlocker.
Цей розділ є прихованим і завантажувальним і він не шифрується інакше не можливо було б завантажити операційну систему.
У Windows Vista цей розділ або тому повинен бути обсягом в 1.5 ГБ. У Windows 7 його зробили 100 МБ.
Якщо ж ви при установці операційної системи зробили розбивку сторонніми програмами, тобто не створили завантажувальний розділ, то в Windows 7 BitLocker сам підготує потрібний розділ. У Windows Vista вам би довелося його створювати за допомогою додаткового софту йде в комплекті з операційною системою.
Так само в Windows 7 з'явилася технологія BitLocker To Go для шифрування флешок і зовнішніх жорстких дисків. Розглянемо її пізніше.
Як включити шифрування диска BitLocker
За замовчуванням BitLocker налаштований на запуск з модулем TPM і при його відсутності не захоче запускатися. (Спочатку просто спробуйте включити шифрування і якщо запуститися, то не потрібно нічого відключати в групових політиках)
Для запуску шифрування заходимо в Панель керування \ Система і безпека \ Шифрування диска BitLocker
Вибираємо потрібний диск (в нашому прикладі це системний розділ) і натискаємо Включити BitLocker
Якщо ж ви бачите картинку подібну нижче
необхідно правити групові політики.
Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диски операційної системи
Справа вибираємо Обов'язкова додаткова перевірка справжності
У віконці натискаємо Включити, потім необхідно проконтролювати наявність галочки Дозволити використання BitLocker без сумісного TPM і натиснути ОК
Після цього BitLocker можна буде запустити. Вас попросять вибрати єдиний варіант захисту - Запитувати ключ запуску при запуску. Це і вибираємо
Вставляємо флешку на яку буде записаний ключ запуску і натискаємо Зберегти
Тепер необхідно зберегти ключ відновлення, на той випадок якщо флешка з ключем запуску буде не в зоні доступу. Можна зберегти ключ на флешці (бажано іншого), зберегти ключ у файлі для подальшого перенесення на інший комп'ютер або відразу роздрукувати.
Ключ відновлення потрібно природно зберігати в надійному місці. Збережу ключ в файл
Ключ відновлення не вийти зберегти на диску який ви збираєтеся зашифрувати.
Ключ відновлення це простий текстовий документ з самим ключем
Потім у вас відкриється останнім віконце в якому вам рекомендують Запустити перевірку системи BitLocker до шифрування диска. натискаємо Продовжити
Зберігаєте всі відкриті документи і натискаєте Перезавантажити зараз
Ось що побачите якщо що щось піде не так
Якщо все працює то після перезавантаження комп'ютера запуститься шифрування
Час залежить від потужності вашого процесора. ємності розділу або тому що ви шифруєте і швидкості обміну даними з накопичувачем (SSD або HDD). Твердотільний диск на 60 Гб заповнені майже під зав'язку шифруються хвилин за 30 при цьому ще працюють Добровільні розподілені обчислення.
Коли шифрування буде завершено побачите наступну картинку
Закриваєте віконце і перевіряєте в надійних чи місцях знаходяться ключ запуску і ключ відновлення.
Шифрування флешки - BitLocker To Go
З появою в Windows 7 технології BitLocker To Go стало можливим шифрувати флешки, карти пам'яті і зовнішні жорсткі диски. Це дуже зручно так як флешку втратити набагато легше ніж ноутбук і нетбук.
Через пошук або пройшовши по шляху
Пуск> Панель управління> Система і безпека> Шифрування диска BitLocker
відкриваємо віконце управління. Вставляєте флешку яку потрібно зашифрувати і в розділі BitLocker To Go включаємо шифрування для потрібного USB накопичувача
Необхідно вибрати спосіб зняття блокування диска. Вибір не великий або пароль або сім-карта з ПІН-кодом. Сім-карти випускаються спеціальними відділами у великих корпораціях. Скористаємося простим паролем.
Встановлюємо галочку використовувати пароль для зняття блокування диска і два рази вводимо пароль. За замовчуванням мінімальна довжина пароля становить 8 символів (можна поміняти в групових політиках). натискаємо Далі
Вибираємо як будемо зберігати ключ відновлення. Надійно, напевно, буде надрукувати його. Зберігаємо і натискаємо Далі
Натискаємо Почати шифрування і захищаємо свої дані
Час шифрування залежить від ємності флешки, заповнювання її інформацією, потужності вашого процесора і швидкості обміну даними з комп'ютером
На ємних флешках або зовнішніх жорстких диска ця процедура може затягнутися на довго. За ідеєю процес можна закінчити на іншому комп'ютері. Для цього ставите шифрування на паузу і правильно витягаєте накопичувач. Вставляєте її в інший комп'ютер розблоковуєте ввівши пароль і шифрування продовжиться автоматично.
Тепер при установки флешки в комп'ютер з'явиться віконце нижче з проханням ввести пароль
Якщо ви довіряєте цього комп'ютера і не хочете постійно вводити пароль встановлюєте галочку Надалі автоматично знімати блокування з цього комп'ютера і натискаєте Розблокувати. На цей комп'ютері вам більше не доведеться вводити пароль для цієї флешки.
Для того що б інформацією на зашифрованому USB-накопичувачі можна було скористатися на комп'ютерах під управлінням ОС Windows Vista або Windows XP флешку потрібно відформатувати в файлову систему FAT32. У цих операційних системах можливо буде розблокувати флешку тільки ввівши пароль і інформація буде доступна тільки для читання. Запис інформації не доступна.
Управління зашифрованим розділом
Панель управління> Система і безпека> Шифрування диска BitLocker
Ви можете вимкнути шифрування натиснувши на «Вимкнути BitLocker». В цьому випадку диск або тому дешифрується. Це займе якийсь час і не потрібно буде ніяких ключів.
Так само тут можна призупинити захист
Дану функцію рекомендують використовувати при оновленні BIOS або редагуванні завантажувального диска. (Того самого об'ємом 100 МБ). Призупинити захист можна тільки на системному диску (той розділ або тому на якому встановлена Windows).
Чому потрібно припиняти шифрування? Що б BitLocker не заблокований ваш диск і не вдаватися до процедури відновлення. Параметри системи (BIOS і вміст завантажувального розділу) при шифруванні фіксуються для додаткового захисту. При їх зміні може відбутися блокування комп'ютера.
Якщо ви оберете Управління BitLocker, то можна буде Зберегти або надрукувати ключ відновлення і Дублювати ключ запуску
Якщо один з ключів (ключ запуску або ключ відновлення) загублений, тут можна їх відновити.
Управління шифруванням зовнішніх накопичувачів
Для управління параметрами шифрування флешки доступні наступні функції
Відновлення доступу до диску
Відновлення доступу до системного диску
Якщо флешка з ключем поза зоною доступу, то в справу вступає ключ відновлення. При завантаженні комп'ютера ви побачите приблизно наступну картину
Для відновлення доступу і завантаження Windows натискаємо Enter
Побачимо екран з проханням ввести ключ відновлення
З введенням останньої цифри за умови правильного ключа відновлення автоматично піде завантажуватися операційна система.
Відновлення доступу до знімних накопичувачів
Для відновлення доступу до інформації на флешці або зовнішньому HDD натискаємо Забули пароль?
Вибираємо Ввести ключ відновлення
і вводимо цей страшний 48-значний код. тиснемо Далі
Якщо ключ відновлення підходить то диск буде розблоковано
З'являється ссилочку на Управління BitLocker, де можна змінити пароль для розблокування накопичувача.
Для більшої безпеки інформації рекомендується використовувати складні паролі складаються більш ніж з 8 знаків з буквами в різних регістрах, цифрами і спеціальними символами.
висновок
У цій статті ми дізналися яким чином можна захистити нашу інформацію зашифрувавши її за допомогою вбудованого засобу BitLocker. Засмучує, що ця технологія доступна тільки в старших або просунутих версіях ОС Windows. Так само стало ясно для чого ж створюється цей прихований і завантажувальний розділ розміром 100 МБ для диска засобами Windows.
Можливо буду користуватися шифруванням флешок або зовнішніх жорстких дисків. Але, це малоймовірно так як є хороші замінники у вигляді хмарних сервісів зберігання даних таких як DropBox, Google Диск. Яндекс Диск і подібні.