Загальні відомості про шифрування диска bitlocker

Дані на втрачений або вкрадений комп'ютері уразливі для несанкціонованого доступу, виконуваного або за допомогою програмного засобу злому, або шляхом підключення жорсткого диска комп'ютера до іншого комп'ютера. Шифрування BitLocker допомагає запобігти несанкціонованому доступу до даних, підвищуючи рівень захисту файлів і системи. Шифрування BitLocker також допомагає зберегти недоступність даних при списанні або повторному використанні комп'ютерів, захищених за допомогою шифрування BitLocker.

Шифрування BitLocker забезпечує максимальний захист при використанні з довіреною платформним модулем (TPM) версії 1.2. Модуль TPM - це апаратний компонент, що встановлюється в багато сучасні комп'ютери їх виробниками. Він працює разом з шифруванням BitLocker, допомагаючи захистити дані користувача і гарантуючи, що комп'ютер не був підмінений, поки система була вимкнена.

На комп'ютерах без встановленого модуля TPM версії 1.2 шифрування BitLocker можна, проте, використовувати для шифрування диска операційної системи Windows. Але ця реалізація вимагатиме від користувача вставляти USB-ключ запуску, щоб запустити комп'ютер або вивести його з режиму сну, і не забезпечує перевірку цілісності системи перед запуском, що надається шифруванням BitLocker з довіреною платформним модулем.

На додаток до довіреній платформенному модулю, шифрування BitLocker надає можливість блокування звичайного процесу запуску, поки користувач не введе персональний ідентифікаційний номер (ПІН) або не встаючи знімний пристрій, наприклад USB флеш-пам'яті, що містить ключ запуску. Ці додаткові заходи безпеки забезпечують многофакторную перевірку справжності і гарантію того, що комп'ютер не буде запущений або виведений із сплячого режиму, поки не буде надано правильний PIN або ключ запуску.

Перевірка цілісності системи

Шифрування BitLocker може використовувати довірений платформний модуль для перевірки цілісності компонентів завантаження і даних конфігурації завантаження. Це допомагає гарантувати, що при використанні шифрування BitLocker шифрований диск буде доступний, тільки якщо ці компоненти не були підмінені і шифрований диск встановлений в вихідному комп'ютері.

Шифрування BitLocker допомагає гарантувати цілісність процесу запуску за допомогою наступних дій.

  • Забезпечення способу перевірки цілісності кореневого файлу і файлів, які використовуються на ранніх етапах завантаження, і гарантування відсутності ворожих змін в цих файлах, які могли бути виконані, наприклад, вірусами завантажувальних секторів або засобами редагування компонентів завантаження.
  • Поліпшений захист, що протистоїть програмним атакам, коли ви перебуваєте поза мережі. Будь-яке альтернативне програмне забезпечення, яке може запустити систему, не отримає доступ до ключів шифрування для диска операційної системи Windows.
  • Блокування системи при заміні файлу. Якщо будь-який з контрольованих файлів був замінений, система не запуститься. Це попередить користувача про заміну, так як система не зможе бути запущена в звичайному порядку. У разі блокування системи шифрування BitLocker забезпечить простий процес відновлення.

    Вимоги до обладнання, микропрограммам і програмного забезпечення

    Для використання BitLocker комп'ютер повинен відповідати певним вимогам.

    • Щоб шифрування BitLocker могло використовувати можливість перевірки цілісності системи, що надається довіреною платформним модулів, на комп'ютері повинен бути встановлений модуль версії 1.2. Якщо на комп'ютері не встановлено довірений платформний модуль, то при включенні шифрування BitLocker потрібно зберегти ключ запуску на знімному пристрої, наприклад на USB-флеш-пам'яті.
  • На комп'ютері з модулем TPM також повинна бути встановлена ​​BIOS, відповідна специфікаціям групи Trusted Computing Group (TCG). BIOS створює ланцюжок довір для дій перед завантаженням операційної системи і повинна включати підтримку статичного кореневого об'єкта вимірювання рівня довіри, визначеного TCG. Для комп'ютера без модуля TPM відповідність BIOS специфікаціям TCG не потрібно.
  • Жорсткий диск повинен бути розбитий хоча б на два диска.
    • Диск операційної системи (або завантажувальний диск) містить операційну систему і файли, необхідні для її роботи, він повинен бути відформатований у файловій системі NTFS.
  • Системний диск містить файли, необхідні для завантаження Windows після того, як BIOS завантажить платформу. Для цього диска шифрування BitLocker не включається. Для роботи шифрування BitLocker системний диск не повинен бути зашифрований, він не повинен бути томом операційної системи і повинен бути відформатований у файловій системі NTFS. Ємність системного диска повинна бути не менше 1,5 гігабайт (ГБ).

    Установка і ініціалізація

    Шифрування BitLocker встановлюється автоматично як частина установки операційної системи. Але шифрування BitLocker недоступно, поки воно не буде включено за допомогою майстра настройки BitLocker, який може бути запущений або з панелі управління, або клацанням диска правою кнопкою миші в провіднику.

    У будь-який момент часу після установки і початкового налаштування операційної системи адміністратор може використовувати майстер настройки BitLocker для ініціалізації шифрування BitLocker. Процес ініціалізації складається з двох етапів:

    1. На комп'ютерах з довіреною платформним модулем Ініціалізуйте останній, використовуючи майстер установки модуля TPM, компонент панелі управління Шифрування диска BitLocker. або виконавши скрипт, призначений для ініціалізації модуля.
  • Налаштуйте шифрування BitLocker. Відкрийте з панелі управління майстер настройки шифрування BitLocker, який проведе через процес налаштування і надасть можливість налаштувати додаткові параметри перевірки автентичності.

    При ініціалізації шифрування BitLocker локальному адміністратору також слід створити пароль відновлення і ключ відновлення. Без пароля відновлення або ключа відновлення всі дані на зашифрованому диску можуть виявитися недоступними в разі проблеми з диском, захищеним шифруванням BitLocker.

    Ініціалізація BitLocker і модуля TPM повинна виконуватися учасником локальної групи Адміністратори комп'ютера.

    Корпоративна реалізація

    Шифрування BitLocker може використовувати існуючу інфраструктуру доменних служб Active Directory (AD DS) організації для віддаленого зберігання ключів відновлення. Шифрування BitLocker надає майстер для налаштування і управління, а також можливості розширення і управління за допомогою інтерфейсу WMI з підтримкою сценаріїв. Крім того, шифрування BitLocker надає консоль відновлення, вбудовану в процес завантаження, щоб дозволити користувачеві або персоналу служби підтримки відновити доступ до заблокованого комп'ютера.

    Списання та повторне використання комп'ютера

    Сьогодні багато персональні комп'ютери повторно використовуються людьми, які не є первинними власниками або користувачами цих комп'ютерів. У корпоративних сценаріях комп'ютери можуть передаватися в інші відділи або списуватися в ході стандартного циклу поновлення комп'ютерного обладнання.

    На незашифрованих дисках дані можуть залишитися Новомосковскемимі навіть після переформатування диска. Щоб зменшити ризик розкриття даних на списаних дисках, підприємства часто використовують кілька перезаписів або фізичне руйнування дисків.

    Шифрування BitLocker може допомогти створити простий і економічний процес списання. Залишаючи дані зашифрованими за допомогою BitLocker і видаляючи ключі, підприємство може назавжди усунути ризик розкриття даних. Після видалення всіх ключів шифрування BitLocker стає практично неможливим отримати доступ до даних, шифрованих за допомогою BitLocker, так як для цього буде потрібно злом 128-розрядної або 256-розрядного шифрування.

    Питання безпеки шифрування BitLocker

    Шифрування BitLocker не може захистити комп'ютер від всіх можливих атак. Наприклад, якщо у зловмисних або таких програм як віруси і засоби редагування компонентів завантаження був доступ до комп'ютера до його втрати або крадіжки, вони могли вмонтувати уразливості, які згодом можуть бути використані для доступу до зашифрованих даних. Крім того, захист BitLocker може бути скомпрометована, якщо в комп'ютері був забутий USB-ключ запуску або не вдалося зберегти в секреті ПІН або пароль входу в систему Windows.

    Реалізація шифрування BitLocker на серверах

    Для серверів в спільно використовуваної або потенційно небезпечної середовищі, наприклад у філії, шифрування BitLocker може використовуватися для шифрування диска операційної системи і додаткових дисків даних на тому ж сервері.

    Шифрування BitLocker підтримується на серверах з інтерфейсом EFI, що використовують 64-розрядну архітектуру процесора.