Windows Vista, Windows 7 ja Windows 8 versioonides Pro ja uuemates versioonides on arendajad loonud spetsiaalse tehnoloogia loogiliste partitsioonide sisu krüptimiseks igat tüüpi välistel draividel ja USB-mälupulkadel. BitLocker.
Milleks see mõeldud on? Kui käivitate BitLockeri, krüpteeritakse kõik kettal olevad failid. Krüpteerimine toimub läbipaistvalt, st iga kord, kui faili salvestate, ei pea parooli sisestama – süsteem teeb kõike automaatselt ja vaikselt. Kui aga selle draivi välja lülitate, on järgmisel sisselülitamisel vaja sellele juurdepääsuks spetsiaalset võtit (spetsiaalne kiipkaart, mälupulk või parool). See tähendab, et kui kaotate oma sülearvuti kogemata, ei saa te sellel oleva krüptitud ketta sisu lugeda isegi siis, kui eemaldate sellelt sülearvutilt kõvaketta ja proovite seda teises arvutis lugeda. Krüpteerimisvõti on nii pikk, et aeg, mis kulub kõigi võimalike kombinatsioonide proovimiseks, et kõige võimsamates arvutites õige suvand valida, võtab aastakümneid. Muidugi saab parooli piinamise teel teada saada või varastada, kuid kui mälupulk läks kogemata kaduma või varastati, teadmata, et see on krüptitud, siis on seda võimatu lugeda.
BitLockeri krüptimise seadistamine Windows 8 näitel: süsteemidraivi krüptimine ning välkmäluseadmete ja väliste USB-draivide krüptimine.
Süsteemiketta krüptimine
BitLockeri nõue selle loogilise ketta krüptimiseks, millele Windowsi operatsioonisüsteem on installitud, on krüptimata alglaadimispartitsioon: süsteem peab ikkagi kuskilt alustama. Kui installite Windows 8/7 õigesti, luuakse installimise ajal kaks partitsiooni - alglaadimissektori ja lähtestamisfailide nähtamatu partitsioon ning põhipartitsioon, kuhu kõik failid salvestatakse. Esimene on just see jaotis, mida ei pea krüpteerima. Kuid teine partitsioon, milles kõik failid asuvad, on krüptitud.
Nende partitsioonide olemasolu kontrollimiseks avage Arvutihaldus
minge jaotisse Salvestusseadmed - Kettahaldus.
Ekraanipildil on süsteemi käivitamiseks loodud partitsioon märgitud kui SÜSTEEM RESERVEERITUD. Kui see on nii, saate BitLockeri süsteemi turvaliselt kasutada loogilise draivi krüpteerimiseks, millele Windows on installitud.
Selleks logige administraatoriõigustega Windowsi sisse, avage Kontrollpaneel
minge jaotisse süsteem ja ohutus
ja sisestage jaotis BitLockeri draivi krüptimine.
Selles näete kõiki draive, mida saab krüpteerida. Klõpsake lingil Lubage BitLocker.
Turvapoliitika mallide seadistamine
Sel hetkel võidakse kuvada teade, et ketta krüptimine pole võimalik enne, kui turvapoliitika mallid on konfigureeritud.
Fakt on see, et BitLockeri käivitamiseks peab süsteem selle toimingu lubama - seda saab teha ainult administraator ja ainult oma kätega. Seda on palju lihtsam teha, kui tundub pärast arusaamatute sõnumite lugemist.
Avatud Dirigent, vajutage Win+R- avaneb sisestusrida.
Sisestage ja käivitage:
gpedit.msc
Avaneb Kohalik rühmapoliitika redaktor. Mine jaotisse
Haldusmallid
- Windowsi komponendid
-- See reeglisäte võimaldab teil valida BitLockeri draivi krüptimise
--- Operatsioonisüsteemi kettad
---- See reeglisäte võimaldab teil konfigureerida käivitamisel täiendava autentimise nõude.
Määrake parameetri väärtus Kaasas.
Pärast seda salvestage kõik väärtused ja pöörduge tagasi Kontrollpaneel- saate käivitada BitLockeri draivi krüptimise.
Võtme loomine ja salvestamine
Süsteem pakub teile kahe peamise valiku vahel: parool ja mälupulk.
Välkmälupulga kasutamisel saate kõvaketast kasutada ainult siis, kui sisestate selle mälupulga - võti kirjutatakse sellele krüpteeritud kujul. Kui kasutate parooli, peate selle sisestama iga kord, kui avate selle ketta krüptitud partitsiooni. Arvuti süsteemiloogilise draivi puhul on parooli vaja külmkäivituse (nullist) või täieliku taaskäivituse ajal või mõne teise arvuti loogilise draivi sisu lugemisel. Lõksude vältimiseks looge parool ingliskeelsete tähtede ja numbritega.
Pärast võtme loomist palutakse teil salvestada teave, et taastada juurdepääs, kui see on kadunud: saate salvestada spetsiaalse koodi tekstifaili, salvestada see mälupulgale, salvestada oma Microsofti kontole või printida.
Pange tähele, et võti ise ei salvestata, vaid juurdepääsu taastamise protseduuriks vajalik spetsiaalne kood.
USB-draivide ja mälupulkade krüpteerimine
Samuti saate krüpteerida väliseid USB-draive ja välkmäluseadmeid – see funktsioon ilmus esmakordselt Windows 7-s selle nime all BitLocker To Go. Protseduur on sama: loote parooli ja salvestate taastekoodi.
Kui ühendate USB-draivi (ühendate selle arvutiga) või proovite seda avada, küsib süsteem teilt parooli.
Kui te ei soovi iga kord parooli sisestada, kuna olete selle arvutiga töötades turvalisuses kindel, saate avamisel lisaparameetrites märkida, et usaldate seda arvutit - sel juhul on parool alati sisestatakse automaatselt, kuni te tühistate usalduse konfigureerimise. Pange tähele, et teises arvutis palub süsteem teil sisestada parool, kuna iga arvuti usaldusseade töötab iseseisvalt.
Kui olete USB-draiviga töötanud, eemaldage see kas lihtsalt lahti ühendades või turvalise väljutusmenüü kaudu ja krüptitud draiv on kaitstud volitamata juurdepääsu eest.
Kaks krüpteerimismeetodit
Krüptimisel pakub BitLocker kahte meetodit, millel on sama tulemus, kuid erinevad täitmisajad: saate krüpteerida ainult teabega hõivatud ruumi, jättes tühja ruumi töötlemise vahele või läbida kogu ketta, krüpteerides kogu loogilise partitsiooni ruumi , sealhulgas vaba ruumi. Esimene juhtub kiiremini, kuid teavet on võimalik nullist taastada. Fakt on see, et eriprogrammide abil saate teavet taastada isegi siis, kui see prügikastist kustutati ja isegi siis, kui ketas on vormindatud. Muidugi on seda praktiliselt raske teha, kuid teoreetiline võimalus on siiski olemas, kui te ei kasuta kustutamiseks spetsiaalseid utiliite, mis kustutavad teavet jäädavalt. Kogu loogilise draivi krüptimisel krüpteeritakse ka tühjaks märgitud ruum ning sealt puudub võimalus isegi spetsiaalsete utiliitide abil infot taastada. See meetod on täiesti usaldusväärne, kuid aeglasem.
Ketta krüptimisel on soovitatav arvutit mitte välja lülitada. 300 gigabaidi krüptimiseks kulus mul umbes 40 minutit. Mis juhtub, kui vool ootamatult kaob? Ma ei tea, ma pole kontrollinud, kuid Internetis kirjutatakse, et midagi hullu ei juhtu - peate lihtsalt krüpteerimist uuesti alustama.
Järeldus
Seega, kui kasutate pidevalt mälupulka, millele olulist teavet salvestate, saate BitLockeri abil kaitsta end olulise teabe valedesse kätesse sattumise eest. Samuti saate kaitsta arvuti kõvaketastel, sealhulgas süsteemidraividel olevat teavet – lihtsalt lülitage arvuti täielikult välja ja draividel olev teave muutub kõrvalistele isikutele kättesaamatuks. BitLockeri kasutamine pärast turvapoliitika mallide seadistamist ei tekita raskusi isegi koolitamata kasutajatele.
Sülearvutite vargused on ekspertide hinnangul infoturbe (IS) valdkonna üks peamisi probleeme.
Erinevalt teistest infoturbeohtudest on “varastatud sülearvuti” või “varastatud mälupulga” probleemi olemus üsna primitiivne. Ja kui puuduvate seadmete maksumus ületab harva mitu tuhat USA dollarit, mõõdetakse neile salvestatud teabe väärtust sageli miljonites.
Delli ja Ponemoni Instituudi andmetel läheb ainuüksi Ameerika lennujaamades igal aastal kaduma 637 000 sülearvutit. Kujutage vaid ette, kui palju mälupulka kaob, sest need on palju väiksemad ja mälupulga kogemata maha kukkumine on sama lihtne kui pirnide koorimine.
Kui suurettevõtte tippjuhile kuuluv sülearvuti kaotsi läheb, võib ühe sellise varguse kahju ulatuda kümnetesse miljonitesse dollaritesse.
Kuidas kaitsta ennast ja oma ettevõtet?
Jätkame oma artiklite sarja Windowsi domeeni turvalisuse kohta. Sarja esimeses artiklis rääkisime turvalise domeeni sisselogimise seadistamisest ja teises turvalise andmeedastuse seadistamisest e-posti kliendis:
- Kuidas muuta Windowsi domeen märgi abil turvalisemaks? 1. osa .
- Kuidas muuta Windowsi domeen märgi abil turvalisemaks? 2. osa .
Selles artiklis räägime kõvakettale salvestatud teabe krüptimise seadistamisest. Saate aru, kuidas tagada, et teie arvutisse salvestatud teavet ei saaks lugeda keegi peale teie.
Vähesed inimesed teavad, et Windowsil on sisseehitatud tööriistad, mis aitavad teil teavet ohutult salvestada. Vaatleme ühte neist.
Kindlasti on mõned teist kuulnud sõna "BitLocker". Mõtleme välja, mis see on.
Mis on BitLocker?
BitLocker (täpselt BitLocker Drive Encryption) on Microsofti välja töötatud tehnoloogia arvutidraivide sisu krüptimiseks. See ilmus esmakordselt Windows Vistas.
BitLockeri abil oli võimalik krüpteerida kõvaketta mahtu, kuid hiljem, Windows 7-s, ilmus sarnane tehnoloogia BitLocker To Go, mis on mõeldud irdketaste ja mälupulkade krüpteerimiseks.
BitLocker on Windows Professionali ja Windowsi serveriversioonide standardkomponent, mis tähendab, et see on enamiku ettevõtete jaoks juba saadaval. Vastasel juhul peate uuendama oma Windowsi litsentsi Professionaliks.
Kuidas BitLocker töötab?
See tehnoloogia põhineb täismahul krüptimisel, mis viiakse läbi AES (Advanced Encryption Standard) algoritmi abil. Krüpteerimisvõtmed peavad olema turvaliselt salvestatud ja BitLockeril on selleks mitu mehhanismi.
Lihtsaim, kuid samas ebaturvalisem meetod on parool. Võti saadakse paroolist iga kord ühtemoodi ja vastavalt sellele, kui keegi su parooli teada saab, saab teada ka krüpteerimisvõti.
Vältimaks võtme salvestamist selgetekstis, saab selle krüpteerida kas TPM-is (Trusted Platform Module) või krüptograafilisel märgil või kiipkaardil, mis toetab RSA 2048 algoritmi.
TPM on kiip, mis on loodud põhiliste turvalisusega seotud funktsioonide rakendamiseks, kasutades peamiselt krüpteerimisvõtmeid.
TPM-moodul paigaldatakse tavaliselt arvuti emaplaadile, kuid sisseehitatud TPM-mooduliga arvutit on Venemaal väga raske osta, kuna FSB-teateta seadmete import meie riiki on keelatud.
Kiipkaardi või loa kasutamine draivi avamiseks on üks turvalisemaid viise kontrollida, kes ja millal protsessi lõpetas. Luku eemaldamiseks on sel juhul vaja nii kiipkaarti ennast kui ka selle PIN-koodi.
Kuidas BitLocker töötab:
- Kui BitLocker on aktiveeritud, luuakse pseudojuhuslike arvude generaatori abil põhibitijada. See on helitugevuse krüpteerimisvõti - FVEK (täismahu krüpteerimisvõti). See krüpteerib iga sektori sisu. FVEK-i võtit hoitakse rangelt konfidentsiaalselt.
- FVEK krüpteeritakse VMK-ga (volume master key). FVEK-võti (VMK-võtmega krüpteeritud) salvestatakse kettale köite metaandmete hulgas. Kuid see ei tohiks kunagi dekrüpteeritud kujul kettale sattuda.
- VMK ise on samuti krüpteeritud. Kasutaja valib krüpteerimismeetodi.
- VMK-võti krüpteeritakse vaikimisi SRK-võtmega (salvestusjuurvõti), mis salvestatakse krüptograafilisele kiipkaardile või loale. See juhtub sarnaselt TPM-iga.
Muide, BitLockeri süsteemidraivi krüpteerimisvõtit ei saa kiipkaardi või loa abil kaitsta. Selle põhjuseks on asjaolu, et müüja teeke kasutatakse juurdepääsuks kiipkaartidele ja žetoonidele ning loomulikult pole need enne OS-i laadimist saadaval.
Kui TPM-i pole, soovitab BitLocker salvestada süsteemi partitsioonivõti USB-mälupulgale, mis pole muidugi parim idee. Kui teie süsteemil pole TPM-i, ei soovita me teie süsteemidraive krüpteerida.
Üldiselt on süsteemidraivi krüptimine halb mõte. Kui see on õigesti konfigureeritud, salvestatakse kõik olulised andmed süsteemiandmetest eraldi. See on vähemalt nende varundamise seisukohast mugavam. Lisaks vähendab süsteemifailide krüpteerimine süsteemi kui terviku jõudlust ja krüpteerimata süsteemiketta kasutamine krüptitud failidega toimub kiirust kaotamata. - Teiste süsteemiväliste ja irdketaste krüpteerimisvõtmeid saab kaitsta kiipkaardi või loa, aga ka TPM-i abil.
Kui pole ei TPM-moodulit ega kiipkaarti, siis VMK-võtme krüpteerimiseks kasutatakse SRK asemel sinu sisestatud parooli alusel genereeritud võtit.
Krüpteeritud alglaadimiskettalt alustades küsib süsteem kõiki võimalikke võtmehoidjaid – kontrollib TPM-i olemasolu, USB-porte või vajadusel küsib kasutajalt (mida nimetatakse taastamiseks). Võtmehoidla avastamine võimaldab Windowsil dekrüpteerida VMK-võtit, mis dekrüpteerib kettal olevaid andmeid dekrüpteeriva FVEK-võtme.
Köite iga sektor krüpteeritakse eraldi ja osa krüpteerimisvõtmest määratakse selle sektori numbri järgi. Selle tulemusena näevad kaks samu krüptimata andmeid sisaldavad sektorit krüpteerituna erinevad välja, muutes krüpteerimisvõtmete määramise varem teadaolevate andmete kirjutamise ja dekrüpteerimise teel väga keeruliseks.
Lisaks FVEK-ile, VMK-le ja SRK-le kasutab BitLocker teist tüüpi võtit, mis luuakse igaks juhuks. Need on taastevõtmed.
Hädaolukordades (kasutaja kaotas märgi, unustas PIN-koodi jne), palub BitLocker teil viimases etapis luua taastevõti. Süsteem ei näe ette selle loomisest keeldumist.
Kuidas lubada andmete krüptimist kõvakettal?
Enne kõvaketta köidete krüptimise protsessi alustamist on oluline arvestada, et see protseduur võtab veidi aega. Selle kestus sõltub kõvakettal oleva teabe hulgast.
Kui arvuti lülitub krüptimise või dekrüpteerimise ajal välja või lülitub talveunerežiimi, jätkuvad need protsessid järgmisel Windowsi käivitamisel kohast, kus nad peatusid.
Isegi krüpteerimisprotsessi ajal saab Windowsi süsteemi kasutada, kuid tõenäoliselt ei meeldi see teile oma jõudlusega. Selle tulemusena väheneb ketta jõudlus pärast krüptimist umbes 10%.
Kui BitLocker on teie süsteemis saadaval, siis kui paremklõpsate krüptimist vajava draivi nimel, kuvatakse avanev menüü. Lülitage BitLocker sisse.
Windowsi serveriversioonides peate lisama rolli BitLockeri draivi krüptimine.
Alustame süsteemivälise köite krüptimise seadistamist ja kaitseme krüpteerimisvõtit krüptograafilise märgi abil.
Kasutame ettevõtte Aktiv toodetud tokenit. Eelkõige Rutoken EDS-i märgi PKI.
I. Valmistame Rutoken EDS PKI tööks ette.
Enamikus tavapäraselt konfigureeritud Windowsi süsteemides laaditakse ja installitakse pärast esimest ühenduse loomist Rutoken EDS PKI-ga automaatselt spetsiaalne teek ettevõtte Aktiv toodetud žetoonidega töötamiseks - Aktiv Rutoken minidriver.
Sellise teegi installiprotsess on järgmine.
Aktiv Rutokeni minidraiveri teegi olemasolu saab kontrollida kaudu seadmehaldus.
Kui teegi allalaadimine ja installimine mingil põhjusel ei toimunud, peaksite installima komplekti Rutoken Drivers for Windows.
II. Krüpteerime kettal olevad andmed BitLockeri abil.
Klõpsake ketta nimel ja valige Lülitage BitLocker sisse.
Nagu me varem ütlesime, kasutame ketta krüpteerimisvõtme kaitsmiseks luba.
Oluline on mõista, et märgi või kiipkaardi kasutamiseks koos BitLockeriga peab see sisaldama RSA 2048 võtmeid ja sertifikaati.
Kui kasutate Windowsi domeenis sertifikaadi väljastamise teenust, peab sertifikaadi mall sisaldama ketta krüptimise sertifikaadi ulatust (lisateavet sertifitseerimisasutuse seadistamise kohta leiate meie Windowsi domeeni turvalisust käsitlevate artiklite sarja esimesest osast).
Kui teil pole domeeni või te ei saa sertifikaatide väljastamise poliitikat muuta, saate kasutada varumeetodit, kasutades ise allkirjastatud sertifikaati, kirjeldatakse üksikasjalikult, kuidas ise allkirjastatud sertifikaat väljastada.
Nüüd märgime vastava kasti.
Järgmises etapis valime taastevõtme salvestamise meetodi (soovitame valida Printige taastevõti).
Paberit, millele on trükitud taastevõti, tuleb hoida kindlas kohas, eelistatavalt seifis.
Järgmises etapis alustame ketta krüptimise protsessi. Kui see protsess on lõpule viidud, peate võib-olla oma süsteemi taaskäivitama.
Kui krüpteerimine on lubatud, muutub krüptitud ketta ikoon.
Ja nüüd, kui proovime seda draivi avada, palub süsteem teil sisestada märgi ja sisestada selle PIN-kood.
BitLockeri ja TPM-i juurutamist ja konfigureerimist saab automatiseerida WMI tööriista või Windows PowerShelli skriptide abil. Stsenaariumide rakendamine sõltub keskkonnast. Selles artiklis kirjeldatakse Windows PowerShelli BitLockeri käske.
Kuidas taastada BitLockeri krüptitud andmeid, kui luba on kadunud?
Kui soovite krüptitud andmeid avada Windowsis
Selleks vajate taastevõtit, mille me varem printisime. Lihtsalt sisestage see vastavale väljale ja krüptitud jaotis avaneb.
Kui soovite avada krüptitud andmeid GNU/Linuxi ja Mac OS X süsteemides
Selleks vajate DisLockeri utiliiti ja taastevõtit.
DisLockeri utiliit töötab kahes režiimis:
- FAIL – kogu BitLockeri poolt krüpteeritud partitsioon dekrüpteeritakse failiks.
- FUSE – dekrüpteeritakse ainult see plokk, millele süsteem ligi pääseb.
Näiteks kasutame Linuxi operatsioonisüsteemi ja FUSE utiliidi režiimi.
Levinud Linuxi distributsioonide uusimates versioonides on dislockeri pakett juba distributsioonis, näiteks Ubuntus alates versioonist 16.10.
Kui mingil põhjusel pole lukustuspaketti saadaval, peate utiliidi alla laadima ja selle kompileerima:
tar -xvjf dislocker.tar.gz
Avame faili INSTALL.TXT ja kontrollime, milliseid pakette peame installima.
Meie puhul peame installima paketi libfuse-dev:
sudo apt-get install libfuse-dev
Alustame pakendi kokkupanemisega. Läheme src kausta ja kasutame make ja make install käske:
cd src/ make make install
Kui kõik on kompileeritud (või olete paketi installinud), alustame selle seadistamist.
Läheme mnt kausta ja loome selles kaks kausta:
- Krüpteeritud partitsioon - krüptitud partitsiooni jaoks;
- Decrypted-partition – dekrüpteeritud partitsiooni jaoks.
Leiame krüptitud partitsiooni. Dekrüpteerime selle utiliidi abil ja teisaldame krüptitud partitsiooni kausta:
dislocker -r -V /dev/sda5 -p taastevõti /mnt/krüptitud partitsioon(taastevõtme asemel asendage taastevõti)
Kuvame krüptitud partitsiooni kaustas asuvate failide loendi:
ls krüptitud partitsioon/
Sisestame partitsiooni paigaldamise käsu:
mount -o loop Driveq/dislocker-file Decrypted-partition/
Dekrüpteeritud partitsiooni vaatamiseks minge krüptitud partitsiooni kausta.
Teeme kokkuvõtte
Helitugevuse krüptimise lubamine BitLockeriga on väga lihtne. Seda kõike tehakse ilma pingutusteta ja tasuta (muidugi eeldusel, et teil on Windowsi professionaalne või serveriversioon).
Ketta krüpteeriva krüpteerimisvõtme kaitsmiseks saate kasutada krüptomärki või kiipkaarti, mis tõstab oluliselt turvalisuse taset.
Operatsioonisüsteemi Windows 7 väljalaskmisega seisid paljud kasutajad silmitsi tõsiasjaga, et sellesse ilmus mõnevõrra arusaamatu BitLockeri teenus. Mis on BitLocker, võivad paljud vaid oletada. Proovime olukorda konkreetsete näidetega selgitada. Teel kaalume küsimusi selle kohta, kui sobiv on see komponent aktiveerida või täielikult keelata.
BitLocker: mis on BitLocker, miks seda teenust vaja on
Kui vaadata, siis BitLocker on universaalne ja täielikult automatiseeritud tööriist kõvakettale salvestatud andmete salvestamiseks. Mis on BitLocker kõvakettal? Jah, lihtsalt teenus, mis kaitseb faile ja kaustu ilma kasutaja sekkumiseta, krüpteerides need ja luues spetsiaalse tekstivõtme, mis tagab juurdepääsu dokumentidele.
Kui kasutaja töötab süsteemis oma konto all, ei pruugi ta isegi aru saada, et andmed on krüpteeritud, sest info kuvatakse loetaval kujul ning juurdepääs failidele ja kaustadele pole blokeeritud. Teisisõnu, selline kaitsetööriist on mõeldud ainult nendeks olukordadeks, kui arvutiterminalile pääseb ligi näiteks väljastpoolt sekkumise katsel (internetirünnak).
Paroolide ja krüptograafiaga seotud probleemid
Kui aga räägime sellest, mis on BitLocker Windows 7 või kõrgema astme süsteemides, väärib märkimist ebameeldiv tõsiasi, et kui nad kaotavad oma sisselogimisparooli, ei saa paljud kasutajad mitte ainult süsteemi sisse logida, vaid teevad ka mõningaid sirvimistoiminguid. varem kopeerimiseks, teisaldamiseks jne kättesaadavad dokumendid.
Kuid see pole veel kõik. Kui mõistate küsimust, mis on BitLocker Windows 8 või 10, siis pole erilisi erinevusi, välja arvatud see, et neil on täiustatud krüptograafiatehnoloogia. Siin on probleem selgelt erinev. Fakt on see, et teenus ise on võimeline töötama kahes režiimis, salvestades dekrüpteerimisvõtmed kas kõvakettale või eemaldatavale USB-draivile.
See viitab kõige lihtsamale järeldusele: kui võti on kõvakettale salvestatud, pääseb kasutaja probleemideta juurde kogu sellele salvestatud teabele. Kuid kui võti salvestatakse mälupulgale, on probleem palju tõsisem. Põhimõtteliselt näete krüptitud ketast või partitsiooni, kuid te ei saa teavet lugeda.
Lisaks, kui räägime sellest, mis BitLocker on Windows 10 või varasemates süsteemides, ei saa me jätta märkimata asjaolu, et teenus on integreeritud mis tahes tüüpi paremklõpsu kontekstimenüüsse, mis on paljude kasutajate jaoks lihtsalt tüütu. Kuid ärgem saagem endast ette, vaid kaaluge kõiki selle komponendi tööga seotud peamisi aspekte ja selle kasutamise või desaktiveerimise otstarbekust.
Ketaste ja irdkandjate krüptimise meetod
Kõige kummalisem on see, et erinevatel süsteemidel ja nende modifikatsioonidel saab BitLockeri teenus vaikimisi olla nii aktiivses kui passiivses režiimis. "Seitsmes" on see vaikimisi lubatud kaheksandas ja kümnendas versioonis, mõnikord on vaja käsitsi aktiveerimist.
Mis puutub krüptimisse, siis siin pole midagi eriti uut leiutatud. Reeglina kasutatakse sama avaliku võtmega AES-tehnoloogiat, mida kasutatakse kõige sagedamini ettevõtete võrkudes. Seega, kui teie arvutiterminal koos pardal oleva sobiva operatsioonisüsteemiga on ühendatud kohtvõrku, võite olla kindel, et kohaldatav turbe- ja andmekaitsepoliitika eeldab selle teenuse aktiveerimist. Ilma administraatoriõigusteta (isegi kui hakkate administraatorina seadeid muutma) ei saa te midagi muuta.
Kui teenus on keelatud, lubage BitLocker
Enne BitLockeriga seotud probleemi käsitlemist (kuidas teenust keelata, selle käske kontekstimenüüst eemaldada) vaatame lubamist ja konfigureerimist, eriti kuna desaktiveerimistoimingud tuleb teha vastupidises järjekorras.
Krüptimise lubamine kõige lihtsamal viisil toimub jaotise "Juhtpaneeli" kaudu. Seda meetodit saab kasutada ainult siis, kui võtit ei tohiks irdkandjale salvestada.
Kui lukustatud seade on mitte-eemaldatav draiv, peate leidma vastuse teisele BitLockeri teenuse küsimusele: kuidas seda komponenti mälupulgal keelata? Seda tehakse üsna lihtsalt.
Kui võti asub irdkandjal, peate ketaste ja kettasektsioonide dekrüpteerimiseks esmalt sisestama selle vastavasse porti (pistikusse) ja seejärel minema juhtpaneeli turvasüsteemi jaotisesse. Pärast seda leiame BitLockeri krüpteerimisüksuse ja vaatame seejärel draive ja meediume, millele kaitse on installitud. Kõige allosas näete hüperlinki krüptimise keelamiseks, millel peate klõpsama. Kui võti tuvastatakse, aktiveeritakse dekrüpteerimisprotsess. Jääb üle vaid oodata selle valmimist.
Probleemid lunavarakomponentide seadistamisega
Seadistuse osas ei saa te ilma peavaluta hakkama. Esiteks pakub süsteem teie vajadustele vähemalt 1,5 GB reserveerimist. Teiseks peate kohandama NTFS-failisüsteemi õigusi, vähendama helitugevust jne. Selliste asjade vältimiseks on parem see komponent kohe keelata, kuna enamikul kasutajatel pole seda lihtsalt vaja. Isegi kõik need, kellel on see teenus vaikeseadetes lubatud, ei tea alati, mida sellega peale hakata või kas seda üldse vaja on. Aga asjata. Saate seda kasutada oma kohaliku arvuti andmete kaitsmiseks isegi siis, kui viirusetõrjetarkvara pole.
BitLocker: kuidas keelata. Esimene aste
Jällegi kasutage juhtpaneelil eelnevalt määratud üksust. Olenevalt süsteemi muudatusest võivad teenuse keelamise väljade nimed muutuda. Valitud draivil võib olla rida kaitse peatamiseks või otsene märge BitLockeri keelamiseks.
Asi pole selles. Siin tasub pöörata tähelepanu asjaolule, et peate arvutisüsteemi alglaadimisfailid täielikult keelama. Vastasel juhul võib dekrüpteerimisprotsess võtta üsna kaua aega.
Kontekstimenüü
See on vaid BitLockeri mündi üks külg. Mis on BitLocker, on ilmselt juba selge. Kuid tagakülg on isoleerida täiendavad menüüd selle teenuse linkide olemasolust.
Selleks vaatame uuesti BitLockerit. Kuidas eemaldada kõik teenuse lingid? Elementaarne! Kui valite Exploreris soovitud faili või kausta, kasutage teenuse jaotist ja redigeerige vastavat kontekstimenüüd, avage seaded, seejärel kasutage käsuseadeid ja korraldage need.
Pärast seda sisestage registriredaktoris HKCR-i haru, kust leiame jaotise ROOTDirectoryShell, laiendage seda ja kustutage soovitud element, vajutades klahvi Del või paremklõpsu menüüst kustutamise käsku. Tegelikult on see BitLockeri komponendi puhul viimane asi. Kuidas seda keelata, on minu arvates juba selge. Aga ära petta ennast. Samas, see teenus töötab (igaks juhuks), kas soovite seda või mitte.
Järelsõna asemel
Jääb veel lisada, et see pole veel kõik, mida BitLockeri krüpteerimissüsteemi komponendi kohta öelda saab. Mis on BitLocker, mõtlesin välja, kuidas seda keelata ja ka menüükäske kustutada. Küsimus on järgmine: kas peaksite BitLockeri keelama? Siin saame anda ainult ühe nõu: ettevõtte kohalikus võrgus ei tohiks seda komponenti üldse deaktiveerida. Aga kui see on koduarvuti terminal, siis miks mitte?
Tuletame meelde, et katsed korrata autori tegevust võivad kaasa tuua seadme garantii kaotuse ja isegi selle rikke. Materjal on esitatud ainult informatiivsel eesmärgil. Kui kavatsete allpool kirjeldatud samme korrata, soovitame tungivalt artikkel vähemalt korra lõpuni hoolikalt läbi lugeda. 3. väljaanneDNews ei vastuta võimalike tagajärgede eest.
⇡ Sissejuhatus
Peaaegu kõiki eelmises materjalis mainitud lahendusi käsitleti ühel või teisel viisil meie ressursi lehekülgedel. Krüptimise ja andmete hävitamise teemat on aga ebaõiglaselt ignoreeritud. Parandame selle väljajätmise. Enne millegi tegemist soovitame eelmine artikkel uuesti läbi lugeda. Varundage kindlasti kõik andmed enne nende krüptimist! Ja lisaks mõelge kümme korda läbi, millist teavet peate endaga kaasa võtma ja kas on võimalik sellest vähemalt osast keelduda. Kui kõik on valmis, alustame.
⇡ Krüpteerimine Windows 7, Mac OS X 10.7 ja Ubuntu 12.04 standardsete vahenditega
Kõik kaasaegsed töölaua operatsioonisüsteemid on pikka aega omandanud sisseehitatud utiliidid failide ja kaustade või tervete ketaste krüptimiseks. Enne kolmandate osapoolte utiliitide kaalumist on parem nende poole pöörduda, kuna neid on üsna lihtne seadistada ja kasutada, kuigi neil pole mitmesuguseid lisafunktsioone. Windows 7 Ultimate ja Enterprise'il on mahu krüptimise funktsioon nimega BitLocker. Süsteemiketta kaitsmiseks on vaja TPM-moodulit, mida pole installitud kõikidesse personaalarvutitesse või sülearvutitesse, kuid see pole vajalik ka muude köidete jaoks. Windows 7-l on ka BitLocker To Go funktsioon, mis kaitseb irdkettaid, mida saab kasutada ka ilma riistvaralise krüptomoodulita ja see on enamikule kasutajatele täiesti piisav.
Kui teil on installitud Windows 7 sobiv versioon, minge BitLockeri (To Go) lubamiseks juhtpaneeli üksusele "BitLockeri draivi krüptimine". Klõpsake vastava draivi kõrval linki "Luba BitLocker". Valige parooliga avamise valik ja salvestage taastevõti (see on lihtsalt tekstifail) turvalisse kohta, näiteks mälupulgale, mida te teele kaasa ei võta. Mõne aja pärast, mis sõltub draivi võimsusest ja arvuti võimsusest, viiakse krüpteerimisprotsess lõpule.
Kui ühendate krüptitud köite, palutakse teil andmetele juurdepääsuks iga kord sisestada parool, välja arvatud juhul, kui lubate automaatset avamist, mis pole soovitatav. Saate siiski hallata krüptitud köite parameetreid juhtpaneeli samas jaotises „BitLockeri draivi krüptimine”. Kui unustasite BitLockeri parooli ootamatult, peate selle dekrüpteerimiseks kasutama 48-kohalist digitaalset taastevõtit - pärast selle sisestamist vabastatakse helitugevus ajutiselt.
Windows 7-s on lisaks BitLockerile ka kaustade ja failide, mitte köidete, krüpteerimiseks veel üks meetod, mida nimetatakse krüptivaks failisüsteemiks (EFS). Toetatud kõigis OS-i väljaannetes, kuid Starter ja Home (Premium) puhul saate töötada ainult juba krüptitud kaustade ja failidega, kuid mitte neid luua. EFS-i toimimiseks on vaja kasutada NTFS-i, kui andmete tihendamise suvand on keelatud. Kui teie masin vastab nendele nõuetele, võite alustada häälestamist.
Avage juhtpaneelil konto seaded ja klõpsake lingil "Failide krüpteerimissertifikaatide haldamine". Pärast viisardi juhiseid loome arvuti jaoks uue iseallkirjastatud sertifikaadi. Salvestage see kindlasti kindlasse kohta ja kaitske parooliga. Seda saab teha hiljem sama viisardi abil, kuid parem on mitte viivitada, sest eksporditud PFX-faili on vaja hädaolukorra andmete taastamiseks. Kui teil olid kettal juba krüptitud andmed, peate selle võtmeid värskendama.
EFS on kasutajale läbipaistev, mis tähendab, et saate failide ja kaustadega töötada nagu tavaliselt. Kuid kui proovite neid avada mõnes teises keskkonnas (OS, PC), keelatakse juurdepääs neile. Faili või kausta krüptimiseks klõpsake lihtsalt vahekaardil „Üldine” selle atribuutides nuppu „Muu...” ja märkige ruut „Krüpti sisu andmete kaitsmiseks”. Pärast muudatuste rakendamist muutub kaitstud andmete paremaks visuaalseks tuvastamiseks krüptitud elemendi nime vaikevärv roheliseks.
Dekrüpteerimiseks tühjendage lihtsalt faili/kausta atribuutide ruut. Kui proovite kopeerida kaitstud andmeid ebasobivatesse kohtadesse – FAT32-draivi, võrgumällu ja nii edasi –, kuvatakse hoiatus, et andmed dekrüpteeritakse ja jõuavad sinna kaitsmata kujul. EFS-iga töötamise mugavamaks muutmiseks saate Exploreri kontekstimenüüsse lisada sobivad üksused. Kõik, mida pead tegema, on luua DWORD-parameeter EncryptionContextMenu registri harus HKEY_LOCAL_MASIN\\TARKVARA\\Microsoft\\Windows\\Praegune versioon\\Explorer\\Täiustatud\\ ja määrake selle väärtuseks 1.
Kui masin, milles need krüpteeriti, pole draivi andmete dekrüpteerimiseks saadaval, vajate sertifikaadi varukoopiat ja selle jaoks parooli. Importimiseks topeltklõpsake pfx-failil ja järgige viisardi juhiseid. Kui soovite selle sertifikaadi tulevikus teise masina andmetega töötamiseks eksportida, märkige see valik.
Peate imporditud sertifikaadi salvestama oma isiklikku salvestusruumi. Pärast protsessi lõppu avaneb juurdepääs krüptitud failidele ja kaustadele. Isiklikke sertifikaate saate hallata MMC lisandmooduli abil – Win+R, certmgr.msc, Enter.
Teine äärmiselt kasulik võimalus, nimelt vaba kettaruumi ülekirjutamine, on saadaval ainult käsurealt kasutades. Võti /W - ruumi tühjendamine, /E - krüpteerimine, /D - dekrüpteerimine. Teiste parameetrite kirjeldused on saadaval sisseehitatud abis - võti /?.
Šifreeri /W X:\\tee\\\\mis tahes\\kausta\\puhastaval kettal
Mac OS X
Vaatame lühidalt Apple'i arvutite andmekaitse võimalusi. Mac OS X-l on pikka aega olnud sisseehitatud krüpteerimissüsteem FileVault ja alates versioonist 10.7 võimaldab see kaitsta mitte ainult oma kodukataloogi, vaid kogu ketast korraga. Saate selle lubada jaotise "Kaitse ja turvalisus" süsteemiseadetes. Samuti on kasulik kontrollida virtuaalmälu kaitse valikut. Kui lubate krüptimise, peate määrama peaparooli, kui see pole veel määratud, ja salvestama ka taastevõtme. Edasiseks seadistamiseks järgige viisardi juhiseid. Universaalsem meetod on aga kasutada krüpteeritud kettakujutisi.
Kettautiliidis valige "Uus pilt" ja ilmuvas dialoogiaknas määrake faili nimi ja asukoht, määrake ketta nimi ja valige suurus. Journaled Mac OS Extended on failisüsteemiks üsna sobiv. Krüpteerimiseks on parem valida AES-256. Loendis "Partitsioonid" jätke valik "Kõvaketas" ja määrake vorminguks kasvav pildipakett. Jääb vaid välja mõelda või genereerida juurdepääsu parool, kuid ärge jätke seda suurema turvalisuse huvides võtmehoidja meelde, vaid sisestage see iga kord käsitsi. Kui teete pildil topeltklõpsu, see paigaldatakse ja küsib parooli. Pärast oluliste andmete salvestamist ärge unustage pilti lahti ühendada.
Ubuntu pakub installimisetapis kasutaja kodukataloogi krüpteerimist. Samal ajal on vahetuspartitsioon ka krüpteeritud, mis muudab puhkerežiimi kasutamise võimatuks. Kui keeldusite installimise ajal krüptimisest, peate kõik käsitsi konfigureerima. Samal ajal võite keelduda vahetuspartitsiooni kaitsmisest, mis loomulikult vähendab turvalisust. Mugavam ja turvalisem, aga ka keerulisem konfigureerimine on kogu ketta korraga krüptimine. Kui soovite seda teha, järgige neid juhiseid. Kaalume lihtsat võimalust kodukaitsega ja soovi korral ka vahetusega. Esmalt installime terminali abil vajaliku tarkvara:
Sudo apt-get install ecryptfs-utils cryptsetup
Siin on üks hoiatus – kasutaja kodukataloogi krüpteerimiseks ei tohi selles kataloogis olevaid faile üheski programmis avada, mis tähendab, et kasutaja peab süsteemist välja logima. Selleks peate looma teise ajutise konto administraatori õigustega. Pärast selle loomist logige süsteemist välja ja logige sisse uue kontoga.
Teise kasutaja nimel täitke järgmine käsk, milles kasutajanimi asendage see selle kasutaja nimega, kelle kodukataloogi me krüpteerime. Failide teisendamine võtab veidi aega, seega olge kannatlik.
Sudo ecryptfs-migrate-home -u kasutajanimi
Pärast toimingu lõpetamist logige süsteemist välja ja logige uuesti sisse, kasutades põhikontot. Nüüd saate kustutada ajutise konto ja kõik selle failid. Mõni minut pärast sisselogimist ilmub hoiatus, et peate salvestama juhuslikult loodud parooli, et pääseda äsja krüptitud failidele turvalises kohas juurde hädaolukorra taastamise korral. Ärge unustage seda teha.
Lõpuks jääb üle vaid "vana" kodukataloog kustutada / kodu/kasutajanimi.XXXXXXXXX, Kus XXXXXXXXX- juhuslik tähtede komplekt.
Sudo rm -rf /kodu/kasutajanimi.XXXXXXXXX
Vahetuspartitsiooni krüptimiseks käivitage lihtsalt üks käsk ja veenduge selles / jne/fstab Kirje vana vahetuspartitsiooni kohta kommenteeritakse ja näidatakse uut /dev/mapper/cryptswap1.
Sudo ecryptfs-setup-swap
⇡ Krüpteerimine TrueCrypti abil
TrueCrypt on avatud platvormideülene rakendus kaitstud köidete loomiseks ja nendega töötamiseks koos käigupealse krüptimisega. Praktikas tähendab see, et esiteks asuvad dekrüpteeritud andmed ainult RAM-is. Teiseks on krüptokonteineritega töötamine võimalik mis tahes OS-is. Ja kolmandaks, üsna suure tõenäosusega võime rääkida "järjehoidjate" puudumisest. Lisaks toetab TrueCrypt AES-NI juhiseid, et kiirendada (de-)krüptimist. Tegelikult on programmi võimalused palju laiemad ja need on kõik hästi kirjeldatud juhendis, mis on saadaval koos lokaliseerimispaketiga (paki arhiivi sisu installeeritud programmiga kataloogi lahti). Seetõttu kaalume krüptokonteineri loomise lihtsaimat juhtumit Windowsi keskkonnas.
Nii et pärast installimist käivitage utiliit, klõpsake nuppu "Loo helitugevus" ja järgige viisardi nõuandeid, kuna vaikesätted on üsna turvalised. Peate ainult käsitsi määrama helitugevuse ja selle parooli. Pärast konteineri paigaldamist kuvatakse see süsteemis tavalise füüsilise köitena, mis tähendab, et seda saab vormindada, defragmentida jne.
TrueCrypti konteinerite eripära seisneb selles, et väljastpoolt näevad need välja nagu suvaliste bittide komplektid ning teoreetiliselt on võimatu ära tunda, et tegemist on failis oleva konteineriga. Järgige kindlasti tugeva parooli loomise näpunäiteid ja salvestage see koheselt kindlasse kohta. Täiendav kaitse on mis tahes tüüpi võtmefailide kasutamine, mille jaoks peate tegema ka varukoopia.
Jääb vaid valida FS-vorming (komplekt sõltub OS-ist), liigutada hiirt akna sees ja märkida helitugevus. See lõpetab konteineri loomise.
Helitugevuse ühendamiseks peate klõpsama nuppu "Fail…", valima konteineri ja draivitähe, klõpsake "Mount", sisestama paroolid ja vajadusel valima võtmefailid ning määrama muud parameetrid. Nüüd saate andmetega töötada samamoodi nagu tavalisel loogilisel kettal. Krüptokonteineri keelamiseks klõpsake lihtsalt nuppu "Unmount". Programmi sätetes saate lubada ka automaatse lahtiühendamise taimeri / väljalogimise / ekraanisäästja käivitamise, vahemälu tühjendamise ja muude kasulike funktsioonide abil.
See on üsna lihtne ja usaldusväärne võimalus olulise teabe salvestamiseks. Kui aga vajate suuremat turvalisust, siis TrueCrypt võimaldab teil luua peidetud köiteid, krüpteerida kettaid ja partitsioone, lisada peidetud partitsiooni teise OS-iga, konfigureerida mitme krüpteerimisalgoritmi "toru", kaitsta kaasaskantavat draivi, kasutada märke ja kiipkaarte. autoriseerimiseks ja ka palju muud. Soovitatav on läbi lugeda dokumentatsiooni ohutusnõuete ja ettevaatusabinõude peatükk.
⇡ Ohutu eemaldamine
Ainus usaldusväärne viis andmete kustutamise tagamiseks on draiv, millel need asuvad, füüsiline hävitamine. Selleks on isegi välja töötatud spetsiaalsed protseduurid, mis on mõnikord peenelt perversse sadistliku iseloomuga. Ja selles on "süüdi" erinevad tehnoloogiad, mida kasutatakse kaasaegsetes ajamites - jääkmagnetiseerimine, TRIM-i toimingud, ühtlane koormuse jaotus, logimine jne. Nende olemus taandub üldiselt asjaolule, et andmed märgitakse sageli kustutatuks või kustutamiseks valmis, selle asemel, et neid tegelikult kustutada. Seetõttu on jääkinfo üsna ohutuks eemaldamiseks välja töötatud meetodid, mis ei ole nii radikaalsed kui meedia täielik hävitamine.
Turvalise ketta kustutamise funktsioon on olemas paljudes partitsiooniredaktorites. Windowsi jaoks on palju sarnaseid utiliite, kuid keskendume klassikalisele SDelete-le. Saate sellega töötada käsurearežiimis. Süntaks on üsna lihtne. Lüliti -p määrab ümberkirjutuskäikude arvu, lüliti -s (või -r) korral hävitab programm rekursiivselt kogu kausta sisu ja klahvi -c (või -z) edastamine tühjendab (täidab nullidega). ruumi määratud helitugevusel. Lõpus näidatakse kausta või faili tee. Näiteks TrueCrypti köite kustutamiseks ja ketta puhastamiseks käivitame kaks käsku:
C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\
Enamikul Linuxi distributsioonidel on purustamise utiliit, mis täidab samu funktsioone nagu SDelete. Sellel on ka mitu parameetrit, kuid meie jaoks piisab, kui teada neist kolme. Lüliti -n määrab ümberkirjutuskäikude arvu, -u kustutab faili ja -z täidab kasutatud ruumi lõpus nullidega. Töö näide:
Sudo shred -u -z -n 26 /home/dest/exampletc2
Shred programmil on mitmeid piiranguid turvalise eemaldamise osas, mille eest kasutajat --help lülitiga töötades ausalt hoiatatakse. Turvalise kustutamise paketis sisaldub tõhusam utiliitide komplekt. Installime selle ja vaatame paari sisseehitatud programmi. Srm-utiliit sarnaneb shred'iga, kuid võtab veidi vähem parameetreid. Meid huvitavad lülitid -r määratud kataloogi rekursiivseks kustutamiseks ja üldlevinud -z ruumi nullidega täitmiseks. Pakett sisaldab ka utiliiti määratud kaustaga ketta vaba ruumi kustutamiseks.
Sudo apt-get install turvaline-kustuta sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest
Mac OS X jaoks on olemas sama CCleaner vaba ruumi tühjendamise funktsiooniga, samuti utiliit srm, mis töötab samamoodi nagu Linuxis. Soovitame Finderi seadetes sisse lülitada funktsioon Secure Empty Trash. See on saadaval ka prügikasti kontekstimenüüs, kui vajutada CMD-klahvi.
SSD-draivide ja välkmäluseadmete puhul on parem kasutada madala taseme vormindamist (vt) või turvalise kustutamise protseduuri, mis võib kaasa tuua SDD garantii kaotamise. Viimasel juhul sobib kettapartitsioonidega töötamiseks teine Live-jaotus - Parted Magic. Käivitage sellelt ja valige peamenüüst Süsteemi tööriistad → Kustuta ketas. Pooljuhtdraivide puhul valige viimane üksus Secure Erase ja tavaliste kõvaketaste puhul kasutage meetodit nwipe, mis on sisuliselt sama mis DBAN.
 |
|
|
|
⇡ Järeldus
Andmete krüptimise ja selle hilisema turvalise kustutamise kombinatsioon, mida oleme kaalunud, on konfidentsiaalse teabe usaldusväärseks kaitsmiseks täiesti piisav. Loomulikult ei taga see 100% kaitset, kuid tavakasutajate jaoks langevad lekkeohud järsult. Ja vastavad teenistused hoolitsevad "raskete surelike" eest. Meenutame veel kord varukoopiate loomise olulisust üldiselt ja eelkõige enne krüptimist, samuti minimeerida teiega potentsiaalse vaenlase laagrisse edastatavate andmete hulk ning vajadust kasutada võtmetega tugevaid paroole. nende varukoopiaga. Noh, olge alati ettevaatlik. Edu!
Kujutage ette, et olete kaotanud või unustanud mälupulga, mis sisaldab üsna olulist teavet. Et vältida selle teabe sattumist ründajate omandisse, saate kasutada Windows 7 Professionali ja Maximumi versioonide sisseehitatud kettaandmete kaitse funktsiooni – BitLocker.
Krüptimise lubamiseks paremklõpsake Exploreri aknas soovitud draivi ikoonil ja valige " Lubage BitLocker"(joonis 1):
Riis. 2
Ja määrake oma kettale parool (joonis 3):
Riis. 3
Pärast seda ketas krüpteeritakse ja kettal olevad andmed muutuvad kõrvalistele isikutele kättesaamatuks.
Järgmisena küsib installiviisard ilmuvas aknas, kuidas taastevõti salvestada. Soovitame taastevõtme salvestada nii eraldi failina krüptimata arvutikettale kui ka välja printida. Taastevõtit on vaja juhuks, kui unustate parooli (joonis 4).
Riis. 4
P.S. Kui kaotate taastevõtme, on andmete taastamine ilma paroolita võimatu. Pöörake rohkem tähelepanu taastevõtmete ohutusele!
