IN Windows Vista, Windows 7 en Windows 8 Pro-versies en vooral de ontwikkelaars gemaakt speciale technologie om de inhoud van alle soorten logische partities te coderen, externe schijven en USB-flashstations - BitLocker.
Waar is het voor? Als u BitLocker uitvoert, worden alle bestanden op de schijf gecodeerd. De codering gebeurt transparant, dat wil zeggen dat u niet elke keer dat u een bestand opslaat een wachtwoord hoeft in te voeren - het systeem doet alles automatisch en stil. Zodra u deze schijf echter loskoppelt, moet u dit de volgende keer dat u hem inschakelt, wel doen speciale sleutel(speciale smartcard, flashdrive of wachtwoord) om toegang te krijgen. Dat wil zeggen dat als u per ongeluk uw laptop kwijtraakt, u de inhoud van de gecodeerde schijf erop niet kunt lezen, zelfs niet als u de harde schijf uit deze laptop verwijdert en deze op een andere computer probeert te lezen. De coderingssleutel is zo lang dat het de langste tijd kost om alle mogelijke combinaties te proberen om de juiste optie te selecteren. krachtige computers tientallen jaren zal duren. Natuurlijk kan het wachtwoord worden achterhaald door middel van marteling of van tevoren worden gestolen, maar als de flashdrive per ongeluk verloren is gegaan of is gestolen zonder te weten dat deze gecodeerd is, dan is het onmogelijk om deze te lezen.

BitLocker-versleuteling instellen ingeschakeld Windows-voorbeeld 8: encryptie van de systeemschijf en encryptie van flashdrives en externe USB-drives.
Encryptie systeem schijf
Vereiste voor BitLocker om te werken voor codering logische schijf waarop het Windows-besturingssysteem is geïnstalleerd, is de aanwezigheid van niet-gecodeerde opstartpartitie: Het systeem moet nog steeds ergens beginnen. Als u Windows 8/7 correct installeert, worden er tijdens de installatie twee partities aangemaakt: onzichtbaar gedeelte Voor opstartsector en initialisatiebestanden en de hoofdpartitie waarop alle bestanden zijn opgeslagen. De eerste is precies het gedeelte dat niet gecodeerd hoeft te worden. Maar de tweede partitie, waarop alle bestanden zich bevinden, is gecodeerd.

Om te controleren of u over deze partities beschikt, opent u Computerbeheer

ga naar sectie Opslagapparaten - Schijfbeheer.

In de schermafbeelding is de partitie die is gemaakt om het systeem op te starten gemarkeerd als SYSTEEM GERESERVEERD. Als dat zo is, kunt u het veilig gebruiken BitLocker-systeem om de logische schijf waarop Windows is geïnstalleerd te coderen.
Om dit te doen, logt u in op Windows met beheerdersrechten, opent u Configuratiescherm

ga naar sectie Systeem en beveiliging

en voer de sectie in BitLocker-stationsversleuteling.
Je ziet daarin alle schijven die kunnen worden gecodeerd. Klik op de link Schakel BitLocker in.

Sjablonen voor beveiligingsbeleid instellen
Op dit punt ontvangt u mogelijk een bericht waarin staat dat schijfversleuteling pas mogelijk is nadat de beveiligingsbeleidssjablonen zijn geconfigureerd.

Feit is dat het systeem deze bewerking moet toestaan ​​om BitLocker uit te voeren. Dit kan alleen worden gedaan door een beheerder en alleen met mijn eigen handen. Dit is veel gemakkelijker te doen dan het lijkt na het lezen van onbegrijpelijke berichten.

Open Geleider, druk Winnen+R- er wordt een invoerregel geopend.

Voer in en voer uit:

gpedit.msc

Zal openen Editor voor lokaal groepsbeleid. Ga naar sectie

Administratieve sjablonen
- Windows-componenten
-- Met deze beleidsinstelling kunt u BitLocker-stationsversleuteling selecteren
--- Besturingssysteemschijven
---- Met deze beleidsinstelling kunt u de vereiste voor aanvullende verificatie bij het opstarten configureren.

Stel de parameterwaarde in Inbegrepen.

Sla hierna alle waarden op en ga terug naar Configuratiescherm- u kunt BitLocker-stationsversleuteling uitvoeren.

Een sleutel aanmaken en opslaan

Het systeem biedt u twee belangrijke opties waaruit u kunt kiezen: wachtwoord en flashstation.

Als u een flashdrive gebruikt, kunt u deze gebruiken harde schijf alleen als u deze flashdrive plaatst, wordt de sleutel er in gecodeerde vorm op geschreven. Als u een wachtwoord gebruikt, moet u dit elke keer invoeren als u toegang krijgt tot de gecodeerde partitie op deze schijf. In het geval van een logische systeemschijf van een computer, is een wachtwoord nodig tijdens een koude start (vanaf nul) of een volledige herstart, of wanneer u probeert de inhoud van een logische schijf op een andere computer te lezen. Om valkuilen te voorkomen, maakt u een wachtwoord aan met behulp van Engelse brieven en cijfers.

Nadat u de sleutel heeft aangemaakt, wordt u gevraagd informatie op te slaan om de toegang te herstellen als deze verloren gaat: u kunt deze opslaan speciale code in een tekstbestand, sla het op een flashstation op, bewaar het in uw account Microsoft-records of afdrukken.

Houd er rekening mee dat niet de sleutel zelf wordt opgeslagen, maar een speciale code die nodig is voor de toegangherstelprocedure.

Versleuteling van USB-drives en flashdrives
U kunt ook externe USB-drives en flashdrives coderen - deze functie verscheen voor het eerst in Windows 7 onder de naam BitLocker om mee te nemen. De procedure is hetzelfde: u maakt een wachtwoord aan en slaat de herstelcode op.

Wanneer u een USB-drive koppelt (aansluit op een computer) of probeert deze te ontgrendelen, zal het systeem u om een ​​wachtwoord vragen.

Als u niet elke keer een wachtwoord wilt invoeren, omdat u vertrouwen heeft in de beveiliging bij het werken op deze computer, dan kunt u bij het ontgrendelen in de aanvullende parameters aangeven dat u deze computer vertrouwt - in dit geval zal het wachtwoord altijd zijn automatisch ingevoerd totdat u de vertrouwensrelatie ongedaan maakt. Houd er rekening mee dat het systeem u op een andere computer zal vragen een wachtwoord in te voeren, aangezien de vertrouwensinstelling op elke computer onafhankelijk werkt.

Nadat u met de USB-drive hebt gewerkt, kunt u deze ontkoppelen door deze simpelweg los te koppelen of via het menu veilige verwijdering, en de gecodeerde schijf wordt beschermd tegen ongeautoriseerde toegang.

Twee versleutelingsmethoden

BitLocker biedt twee versleutelingsmethoden die hetzelfde resultaat hebben, maar verschillende tijden uitvoering: u kunt alleen de ruimte coderen die wordt ingenomen door informatie, de verwerking van lege ruimte overslaan, of de hele schijf doorlopen en de volledige ruimte coderen logische partitie, inclusief onbewoond. Het eerste gebeurt sneller, maar het blijft mogelijk om informatie helemaal opnieuw te herstellen. Feit is dat je met behulp van speciale programma's informatie kunt herstellen, zelfs als deze uit de Prullenbak is verwijderd en zelfs als de schijf is geformatteerd. Natuurlijk is dit praktisch moeilijk uit te voeren, maar de theoretische mogelijkheid bestaat nog steeds als je geen speciale verwijderprogramma's gebruikt die informatie permanent verwijderen. Bij het coderen van de gehele logische schijf wordt de ruimte die als leeg is gemarkeerd, gecodeerd en is het mogelijk om er informatie van te herstellen, zelfs met behulp van speciale nutsvoorzieningen het zal niet meer zijn. Deze methode is absoluut betrouwbaar, maar langzamer.

Bij het versleutelen van een schijf is het raadzaam de computer niet uit te zetten. Het kostte me ongeveer 40 minuten om 300 gigabyte te coderen. Wat gebeurt er als de stroom plotseling uitvalt? Ik weet het niet, ik heb het niet gecontroleerd, maar op internet schrijven ze dat er niets ergs zal gebeuren - je hoeft alleen maar opnieuw met de codering te beginnen.

Conclusie

Als u dus voortdurend een flashdrive gebruikt waarop u belangrijke informatie opslaat, kunt u met behulp van BitLocker uzelf beschermen tegen belangrijke informatie die in verkeerde handen valt. U kunt ook informatie beveiligen op harde schijven computer, inclusief systeemcomputers - het volstaat om de computer volledig uit te schakelen en de informatie op de schijven wordt ontoegankelijk voor buitenstaanders. Het gebruik van BitLocker na het instellen van beveiligingsbeleidssjablonen levert geen problemen op, zelfs niet voor ongetrainde gebruikers; ik heb geen enkele vertraging opgemerkt bij het werken met gecodeerde schijven.

BitLocker - nieuwe mogelijkheden voor schijfversleuteling
Verlies van vertrouwelijke gegevens treedt vaak op nadat een aanvaller toegang heeft gekregen tot informatie op de harde schijf. Als de fraudeur bijvoorbeeld op de een of andere manier de kans heeft gekregen om systeembestanden te lezen, kan hij proberen ze te vinden gebruikerswachtwoorden, extract persoonlijke informatie enz.
Windows 7 bevat een tool genaamd BitLocker, waarmee u uw gehele schijf kunt coderen, zodat de gegevens erop beschermd blijven tegen nieuwsgierige blikken.
De BitLocker-coderingstechnologie werd geïntroduceerd in Windows Vista en is verder ontwikkeld in het nieuwe besturingssysteem. Laten we de meest interessante innovaties opsommen:

• BitLocker inschakelen van contextmenu"Geleider";
• automatisch aanmaken van een verborgen opstartschijfpartitie;
• Ondersteuning voor Data Recovery Agent (DRA) voor alle beschermde volumes.

Laten we u daaraan herinneren dit hulpmiddel is niet in alle edities van Windows geïmplementeerd, maar alleen in de versies "Advanced", "Corporate" en "Professional".

Schijfbescherming met behulp van BitLocker-technologie bewaart vertrouwelijke gebruikersgegevens onder vrijwel alle omstandigheden van overmacht - in het geval van verlies van verwisselbare media, diefstal, ongeoorloofde toegang tot de schijf, enz.
BitLocker-technologie voor gegevensversleuteling kan worden toegepast op alle bestanden op de systeemschijf, maar ook op alle extra aangesloten media. Als de gegevens op een gecodeerde schijf naar een ander medium worden gekopieerd, wordt de informatie zonder codering overgedragen.
Om ervoor te zorgen meer veiligheid, BitLocker kan codering op meerdere niveaus gebruiken - gelijktijdig gebruik van verschillende soorten bescherming, inclusief hardware en softwarematige methode. Door combinaties van gegevensbeschermingsmethoden kunt u er meerdere verkrijgen verschillende modi werking van het BitLocker-coderingssysteem. Elk van hen heeft zijn eigen voordelen en biedt ook zijn eigen beveiligingsniveau:

• modus met behulp van een vertrouwde platformmodule;
• modus met behulp van een vertrouwde platformmodule en een USB-apparaat;
• modus met behulp van een vertrouwde platformmodule en een persoonlijk identificatienummer (PIN);
• modus met behulp van een USB-apparaat dat een sleutel bevat.

Voordat we nader bekijken hoe BitLocker wordt gebruikt, is enige verduidelijking nodig. Allereerst is het belangrijk om de terminologie te begrijpen. Een Trusted Platform Module is een speciale cryptografische chip die identificatie mogelijk maakt. Een dergelijke chip kan bijvoorbeeld worden geïntegreerd in sommige modellen laptops, desktop-pc's, verschillende mobiele apparaten, enz.
Deze chip slaat een unieke ‘root access key’ op. Zo’n ‘gestikte’ chip is een extra betrouwbare bescherming tegen het hacken van coderingssleutels. Als deze gegevens op een ander medium zouden worden opgeslagen, of het nu een harde schijf of een geheugenkaart is, zou het risico op informatieverlies onevenredig groter zijn, omdat deze apparaten gemakkelijker toegankelijk zijn. Met behulp van de "root access key" kan de chip zijn eigen encryptiesleutels genereren, die alleen door de TPM kunnen worden gedecodeerd.
Het eigenaarswachtwoord wordt aangemaakt wanneer de TPM voor de eerste keer wordt geïnitialiseerd. Windows 7 ondersteunt TPM 1.2 en vereist ook een compatibel BIOS.
Wanneer de bescherming uitsluitend wordt uitgevoerd met behulp van een vertrouwde platformmodule, worden bij het inschakelen van de computer gegevens verzameld op hardwareniveau, inclusief BIOS-gegevens, evenals andere gegevens, waarvan het geheel de authenticiteit aangeeft hardware. Deze werkingsmodus wordt "transparant" genoemd en vereist geen actie van de gebruiker - er vindt een controle plaats en, indien succesvol, wordt de download in de normale modus uitgevoerd.
Het is merkwaardig dat computers met een vertrouwde platformmodule nog steeds slechts een theorie zijn voor onze gebruikers, aangezien de import en verkoop van dergelijke apparaten in Rusland en Oekraïne bij wet verboden is vanwege problemen met certificering. De enige optie die voor ons relevant blijft, is dus het beschermen van de systeemschijf met een USB-schijf waarop de toegangssleutel is geschreven.

BitLocker-technologie maakt het mogelijk om een ​​versleutelingsalgoritme toe te passen op gegevensschijven die bestandsschijven gebruiken. exFAT-systemen, FAT16, FAT32 of NTFS. Als er encryptie wordt toegepast op een schijf met een besturingssysteem, moeten de gegevens op deze schijf in NTFS-indeling worden geschreven om de BitLocker-technologie te kunnen gebruiken.
De encryptiemethode die BitLocker-technologie gebruikt, is gebaseerd op het sterke AES-algoritme met een 128-bits sleutel.
Een van de verschillen tussen de Bitlocker-functie in Windows 7 en een soortgelijk hulpmiddel in Windows Vista is dat het nieuwe besturingssysteem geen speciale schijfpartitionering vereist. Voorheen moest de gebruiker gebruiken Microsoft-hulpprogramma BitLocker Disk Preparation Tool, nu hoeft u alleen maar op te geven welke schijf moet worden beschermd, en het systeem zal automatisch een verborgen opstartpartitie maken op de schijf die door Bitlocker wordt gebruikt. Deze opstartpartitie wordt gebruikt om de computer op te starten, deze wordt in niet-gecodeerde vorm opgeslagen (anders zou opstarten niet mogelijk zijn), maar de partitie met het besturingssysteem wordt gecodeerd.
Vergeleken met Windows Vista is de opstartpartitie ongeveer tien keer kleiner schijfruimte. Extra sectie er is geen aparte letter aan toegewezen en het verschijnt niet in de lijst met partities voor bestandsbeheer.

Om de codering te beheren, is het handig om een ​​tool in het Configuratiescherm te gebruiken genaamd BitLocker Drive Encryption. Deze tool is een schijfbeheerder waarmee u snel schijven kunt coderen en ontgrendelen, en met de TPM kunt werken. Vanuit dit venster kunt u de BitLocker-versleuteling op elk gewenst moment stoppen of onderbreken.

Gebaseerd op materiaal van 3dnews.ru

In januari 2009 heeft Microsoft voor iedereen een bètaversie van een nieuw besturingssysteem voor werkstations beschikbaar gesteld: Windows 7. Dit besturingssysteem implementeert de geavanceerde beveiligingstechnologieën van Windows Vista. Dit artikel bespreekt encryptietechnologie Windows BitLocker, dat aanzienlijke veranderingen heeft ondergaan sinds de introductie ervan in Windows Vista.

Waarom versleutelen

Het lijkt erop dat niemand vandaag de dag overtuigd hoeft te worden van de noodzaak om gegevens op harde schijven en verwisselbare media te versleutelen, maar toch zullen we enkele argumenten geven ten gunste van dit besluit. Tegenwoordig zijn de kosten van hardware vele malen lager dan de kosten van informatie op apparaten. Gegevensverlies kan resulteren in reputatieverlies, verlies aan concurrentievermogen en mogelijke rechtszaken. Het apparaat is gestolen of verloren - de informatie is beschikbaar voor vreemden. Om ongeautoriseerde toegang tot gegevens te voorkomen, moet encryptie worden gebruikt. Vergeet bovendien de gevaren niet zoals ongeautoriseerde toegang tot gegevens tijdens reparaties (inclusief garantie) of verkoop van gebruikte apparaten.

BitLocker zal helpen

Wat kan hier tegen zijn? Alleen gegevensversleuteling. In dit geval fungeert codering als de laatste verdedigingslinie voor de gegevens op de computer. Encryptietechnologieën harde schijf er is een grote verscheidenheid. Na de succesvolle implementatie van BitLocker-technologie als onderdeel van Windows Vista Enterprise en Windows Vista Ultimate kon Microsoft uiteraard niet anders dan deze technologie in Windows 7 opnemen. In alle eerlijkheid is het echter vermeldenswaard dat in nieuwe versie we zullen een grote herziening van de encryptietechnologie zien.

Dus onze kennismaking begint met Windows-installaties 7. Als u in Windows Vista vervolgens encryptie wilt gebruiken, moest u eerst de harde schijf voorbereiden met behulp van de opdrachtregel en deze op de juiste manier markeren, of dit later doen met een speciale Microsoft-programma BitLocker Disk Preparation Tool, dan is in Windows 7 het probleem in eerste instantie opgelost, wanneer moeilijk markeren schijf. In mijn geval heb ik tijdens de installatie één systeempartitie opgegeven met een capaciteit van 39 GB, maar ik heb er twee gekregen! Eén daarvan is iets meer dan 38 GB groot en de tweede is 200 MB.

Open de schijfbeheerconsole (Start, Alle programma's, Systeembeheer, Computerbeheer, Schijfbeheer), cm.

Zoals u kunt zien, is de eerste partitie van 200 MB eenvoudigweg verborgen. Standaard is dit de systeem-, actieve en primaire partitie. Voor degenen die al bekend zijn met encryptie in Windows Vista, nieuw op in dit stadium er is niets anders dan dat de partitie standaard wordt uitgevoerd en dat de harde schijf al in de installatiefase is voorbereid voor daaropvolgende codering. Het enige dat opvalt is de grootte: 200 MB versus 1,5 GB in Windows Vista. Natuurlijk is een dergelijke verdeling van de schijf in partities veel handiger, omdat de gebruiker vaak bij de installatie optreedt besturingssysteem, denkt er niet meteen over na of het de harde schijf gaat versleutelen.

In het geval van Windows 7, onmiddellijk na installatie van het besturingssysteem Configuratiescherm In het gedeelte Systeem en beveiliging kunt u BitLocker-stationsversleuteling selecteren. Door op de link Bescherm uw computer door gegevens op uw schijf te versleutelen te klikken, wordt u naar het venster geleid dat wordt weergegeven in .

Let op (rood gemarkeerd in de afbeelding) welke functies ontbreken of anders zijn georganiseerd in Windows Vista. Ja, in Windows Vista verwisselbare media konden alleen worden gecodeerd als ze het NTFS-bestandssysteem gebruikten, en de codering werd uitgevoerd volgens dezelfde regels als hiervoor harde schijven. En codeer de tweede partitie van de harde schijf (in in dit geval station D:) was alleen mogelijk nadat de systeempartitie (station C:) was gecodeerd.

Denk echter niet dat zodra u BitLocker inschakelen kiest, alles naar behoren zal werken. Wanneer u BitLocker zonder extra opties inschakelt, krijgt u alleen maar harde encryptie schijf aan deze computer zonder gebruik te maken van de TRM-module.  Gebruikers in sommige landen, bijvoorbeeld in Russische Federatie

of in Oekraïne is er simpelweg geen andere uitweg, aangezien de import van computers met TRM in deze landen verboden is. In dit geval worden we, nadat we op BitLocker inschakelen hebben geklikt, naar scherm 3 geleid.

Als het mogelijk is om TPM te gebruiken of als het nodig is om de volledige kracht van codering te gebruiken, moet u de Groepsbeleid-editor gebruiken door gpedit.msc op de opdrachtregel te typen. Er wordt een editorvenster geopend (zie).

Laten we de groepsbeleidsinstellingen die u kunt gebruiken om BitLocker-codering te beheren eens nader bekijken.

Instellingen voor BitLocker-groepsbeleid Bewaar BitLocker-herstelinformatie in Active Directory Domain Services ( Windows-server 2008 en Windows Vista).

Door deze groepsbeleidsinstelling te gebruiken, kunt u Active Directory Domain Services (AD DS) dwingen een back-up van informatie te maken voor later herstel van BitLocker Drive Encryption. Deze functie is alleen van toepassing op computers met Windows Server 2008 of Windows Vista.

Als u deze optie instelt en u BitLocker inschakelt, wordt de informatie die nodig is om deze te herstellen automatisch gekopieerd naar AD DS. Als u deze beleidsinstelling uitschakelt of op de standaardwaarde laat staan, worden de herstelgegevens van BitLocker niet naar AD DS gekopieerd. Met deze optie kunt u de standaardmap instellen die de wizard BitLocker Drive Encryption weergeeft wanneer u wordt gevraagd naar de locatie van de map waarin u het herstelwachtwoord wilt opslaan. Deze instelling is van toepassing wanneer BitLocker-codering is ingeschakeld. De gebruiker kan het herstelwachtwoord in een andere map opslaan.

Kies hoe gebruikers door BitLocker beveiligde schijven kunnen herstellen (Windows Server 2008 en Windows Vista). Met deze optie kunt u de herstelmodi van BitLocker beheren die door de installatiewizard worden weergegeven. Dit beleid is van toepassing op actieve computers Windows-besturing Server 2008 en Windows Vista. Deze instelling is van toepassing wanneer BitLocker is ingeschakeld.

Om versleutelde gegevens te herstellen, kan de gebruiker een digitaal wachtwoord van 48 cijfers gebruiken of een USB-stick met een 256-bits herstelsleutel.

Met deze optie kunt u toestaan ​​dat een 256-bits wachtwoordsleutel wordt opgeslagen op een USB-station als verborgen bestand en een tekstbestand dat de 48 cijfers van het herstelwachtwoord bevat. Als u deze groepsbeleidsregel uitschakelt of niet configureert, kunt u met de BitLocker-installatiewizard herstelopties selecteren.

Kies de schijfversleutelingsmethode en coderingssterkte. Met behulp van deze regel kunt u het coderingsalgoritme en de lengte van de te gebruiken sleutel selecteren. Als de schijf al is gecodeerd en u besluit vervolgens de sleutellengte te wijzigen, gebeurt er niets. De standaardcodering is AES-methode met 128-bit sleutel en diffuser.

Geef de unieke ID's voor uw organisatie op. Deze beleidsregel creëert unieke ID's voor elke nieuwe schijf die eigendom is van de organisatie en wordt beschermd door BitLocker. Deze identificatiegegevens worden opgeslagen als het eerste en tweede veld van de identificatie. Met het eerste ID-veld kunt u een unieke organisatie-ID instellen op door BitLocker beveiligde schijven. Deze ID wordt automatisch toegevoegd aan nieuwe door BitLocker beveiligde schijven en kan worden bijgewerkt bestaande schijven, gecodeerd met BitLocker met behulp van opdrachtregelsoftware - Manage-BDE.

Het tweede ID-veld wordt gebruikt in combinatie met de beleidsregel Toegang tot niet-BitLocker verwijderbare media weigeren en kan worden gebruikt om verwisselbare schijven te beheren. Met een combinatie van deze velden kunt u bepalen of een schijf bij uw organisatie hoort.

Als de waarde van deze regel ongedefinieerd of uitgeschakeld is, zijn identificatievelden niet vereist. Het identificatieveld kan maximaal 260 tekens lang zijn.

Voorkom geheugenoverschrijving bij opnieuw opstarten. Deze regel verbetert de prestaties van uw computer door te voorkomen dat het geheugen wordt overschreven. Houd er echter rekening mee dat BitLocker-sleutels niet uit het geheugen worden verwijderd.

Als deze regel is uitgeschakeld of niet is geconfigureerd, worden BitLocker-sleutels uit het geheugen verwijderd wanneer de computer opnieuw wordt opgestart. Om de bescherming te verbeteren, moet deze regel in de standaardstatus blijven staan.

Configureer de object-ID van het smartcardcertificaat. Deze regel koppelt de object-ID van het smartcardcertificaat aan een met BitLocker gecodeerd station.

Vaste datadrives

In deze sectie worden de groepsbeleidsregels beschreven die van toepassing zijn op gegevensschijven (niet op systeempartities).

Configureer het gebruik van smartcards op vaste dataschijven. Deze regel bepaalt of smartcards kunnen worden gebruikt om toegang te verlenen tot gegevens op de harde schijf van de computer. Als u deze regel uitschakelt, kunnen smartcards niet worden gebruikt. Standaard kunnen smartcards worden gebruikt.

Weiger schrijftoegang tot vaste schijven die niet door BitLocker worden beschermd. Deze regel bepaalt of u wel of niet kunt schrijven naar schijven die niet door BitLocker worden beschermd. Als deze regel is gedefinieerd, zijn alle schijven die niet door BitLocker worden beschermd, alleen-lezen. Als de schijf is gecodeerd met BitLocker, is deze leesbaar en beschrijfbaar. Als deze regel is uitgeschakeld of niet is gedefinieerd, dan is alles harde schijven computer leesbaar en beschrijfbaar zal zijn.

Sta toegang toe tot door BitLocker beveiligde vaste gegevensstations vanuit eerdere versies van Windows. Deze beleidsregel bepaalt of stations met bestandsbestanden dit mogen doen FAT-systeem worden ontgrendeld en gelezen op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.

Als deze regel is ingeschakeld of niet is geconfigureerd, worden gegevensstations geformatteerd met bestandssysteem FAT-bestanden kunnen worden gelezen op computers met de hierboven genoemde besturingssystemen. Als deze regel is uitgeschakeld, kunnen de bijbehorende schijven niet worden ontgrendeld op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op NTFS-geformatteerde schijven.

Deze regel bepaalt of er een wachtwoord vereist is om met BitLocker beveiligde schijven te ontgrendelen. Als u een wachtwoord wilt gebruiken, kunt u vereisten voor wachtwoordcomplexiteit en een minimale wachtwoordlengte instellen. Het is de moeite waard om te overwegen dat u, om complexiteitsvereisten in te stellen, de vereiste voor wachtwoordcomplexiteit moet instellen in de sectie "Wachtwoordbeleid" van Groepsbeleid.

Als deze regel is gedefinieerd, kunnen gebruikers wachtwoorden configureren die aan de geselecteerde vereisten voldoen. Het wachtwoord moet minimaal 8 tekens lang zijn (standaard).

Kies hoe door BitLocker beveiligde vaste schijven kunnen worden hersteld. Met deze regel kunt u het herstel van gecodeerde schijven beheren. Als het niet is geconfigureerd of geblokkeerd, zijn standaard herstelopties beschikbaar.

Operatie Systeemschijf S

In dit gedeelte worden de groepsbeleidsregels beschreven die van toepassing zijn op besturingssysteempartities (meestal station C:).

Extra authenticatie vereisen bij het opstarten. Met deze groepsbeleidsregel kunt u instellen dat de Trusted Platform Module (TMP) wordt gebruikt voor authenticatie. Het is de moeite waard om te overwegen dat bij het opstarten slechts één van de functies kan worden opgegeven, anders zal er een fout optreden bij de implementatie van het beleid.

Als dit beleid is ingeschakeld, kunnen gebruikers geavanceerde opstartopties configureren in de BitLocker-installatiewizard. Als het beleid is uitgeschakeld of niet is geconfigureerd, kan de basisfunctionaliteit alleen worden geconfigureerd op computers waarop TPM wordt uitgevoerd. Als u een pincode en een USB-station wilt gebruiken, moet u BitLocker configureren met behulp van de bde-opdrachtregel in plaats van de BitLocker Drive Encryption-wizard.

Vereist extra authenticatie bij het opstarten (Windows Server 2008 en Windows Vista). Dit beleid is alleen van toepassing op computers met Windows 2008 of Windows Vista. Op computers die zijn uitgerust met een TPM kunt u een extra beveiligingsoptie instellen: een pincode (van 4 tot 20 cijfers). Op computers die niet zijn uitgerust met TRM wordt een USB-schijf met sleutelinformatie gebruikt.

Als deze optie is ingeschakeld, geeft de wizard een venster weer waarin de gebruiker aanvullende opstartopties van BitLocker kan configureren. Als deze optie is uitgeschakeld of niet is geconfigureerd, geeft de installatiewizard de basisstappen weer voor het uitvoeren van BitLocker op computers met TPM.

Configureer de minimale pincodelengte voor het opstarten. Deze optie specificeert de minimale pincodelengte die vereist is om de computer op te starten. De pincode kan variëren van 4 tot 20 cijfers.

Kies hoe door BitLocker beveiligde besturingssysteemschijven kunnen worden hersteld. Deze groepsbeleidsregel kan worden gebruikt om te bepalen hoe met BitLocker gecodeerde schijven worden hersteld als de coderingssleutel ontbreekt.

Configureer het TPM-platformvalidatieprofiel. Met deze regel kunt u de TRM-module configureren. Als er geen overeenkomstige module is, is deze regel niet van toepassing.

Als u deze regel inschakelt, kunt u opgeven welke bootstrapcomponenten door TPM worden gescand voordat toegang tot de gecodeerde schijf wordt toegestaan.

Verwisselbare gegevensschijven

Beheer het gebruik van BitLocker op verwisselbare schijven. Deze groepsbeleidsregel kan worden gebruikt om de BitLocker-codering op verwisselbare schijven te beheren. U kunt kiezen welke instellingen gebruikers kunnen gebruiken om BitLocker te configureren. Als u wilt dat de wizard voor het instellen van de BitLocker-codering op een verwisselbare schijf wordt uitgevoerd, moet u Gebruikers toestaan ​​BitLocker-beveiliging op verwisselbare gegevensschijven toe te passen selecteren.

Als u Gebruikers toestaan ​​om BitLocker op verwisselbare gegevensstations op te schorten en te decoderen selecteert, kan de gebruiker uw verwisselbare schijf ontsleutelen of de codering opschorten.

Als dit beleid niet is geconfigureerd, kunnen gebruikers BitLocker inschakelen verwisselbare media. Als de regel is uitgeschakeld, kunnen gebruikers BitLocker niet gebruiken op verwisselbare schijven.

Configureer het gebruik van smartcards op verwisselbare gegevensschijven. Deze beleidsinstelling bepaalt of smartcards kunnen worden gebruikt om een ​​gebruiker te verifiëren en toegang te krijgen tot verwisselbare schijven op een computer.

Weiger schrijftoegang tot verwisselbare schijven die niet door BitLocker worden beschermd. Met deze beleidsregel kunt u het schrijven naar vervangbare schijven, niet beschermd door BitLocker. In dit geval zijn alle verwisselbare schijven die niet door BitLocker worden beschermd, alleen-lezen.

Als u de optie Schrijftoegang weigeren voor apparaten die in een andere organisatie zijn geconfigureerd selecteert, is schrijven alleen beschikbaar op verwisselbare schijven die tot uw organisatie behoren. De controle wordt uitgevoerd op basis van twee identificatievelden die zijn gedefinieerd in de groepsbeleidsregel Geef de unieke ID's op voor uw organisatie.

Als u deze regel uitschakelt of als deze niet is geconfigureerd, zijn alle verwisselbare schijven beschikbaar voor zowel lezen als schrijven. Deze regel kan worden overschreven door de beleidsinstellingen GebruikersconfiguratieBeheersjablonenSysteemVerwijderbare opslagtoegang. Als de regel Verwisselbare schijven: schrijftoegang weigeren is ingeschakeld, wordt deze regel genegeerd.

Sta toegang toe tot door BitLocker beveiligde verwisselbare gegevensstations uit eerdere versies van Windows. Deze regel bepaalt of FAT-geformatteerde verwisselbare schijven kunnen worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.

Als deze regel is ingeschakeld of niet is geconfigureerd, kunnen verwisselbare schijven met het FAT-bestandssysteem worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. In dit geval zijn deze schijven alleen-lezen.

Als deze regel wordt geblokkeerd, kunnen de bijbehorende verwisselbare schijven niet worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op schijven die zijn geformatteerd met NTFS.

Configureer de vereisten voor wachtwoordcomplexiteit en de minimale lengte. Deze beleidsregel bepaalt of verwisselbare schijven die zijn vergrendeld met BitLocker moeten worden ontgrendeld met een wachtwoord. Als u een wachtwoord toestaat, kunt u vereisten voor de wachtwoordcomplexiteit en een minimale lengte instellen. Het is de moeite waard om te overwegen dat in dit geval de complexiteitsvereisten moeten samenvallen met de vereisten van het wachtwoordbeleid. ComputerconfiguratieWindows-instellingenBeveiligingsinstellingenAccountbeleidWachtwoordbeleid

Kies hoe met BitLocker beveiligde verwisselbare schijven kunnen worden hersteld. Met deze regel kunt u selecteren hoe met BitLocker beveiligde verwisselbare schijven worden hersteld.

Laten we verder gaan met het coderingsproces. Veranderingen in Groepsbeleid stellen ons in staat om de encryptiemogelijkheden van BitLocker op grotere schaal te gebruiken, en om onze vaardigheden in het werken ermee te consolideren, zullen we proberen te coderen: de systeemschijf, een gegevensschijf, verwijderbare media, zowel onder NTFS als onder FAT ( we gaan ervan uit dat op de computer de TPM-module is geïnstalleerd).

Bovendien moeten we controleren of onze verwisselbare media die zijn geformatteerd onder FAT beschikbaar zullen zijn op een computer met zowel Windows XP SP2 als Windows Vista SP1.

Selecteer om te beginnen in het BitLocker-groepsbeleid het coderingsalgoritme en de sleutellengte (zie).

Selecteer vervolgens in de sectie Besturingssysteemstation de regel Extra authenticatie vereisen bij opstarten (zie).

Hierna zullen we de minimale pincodelengte instellen op 6 tekens met behulp van de regel Minimale pincodelengte configureren voor opstarten. Om het gegevensgedeelte te versleutelen, stellen we eisen aan de complexiteit en een minimale wachtwoordlengte van 8 tekens.

Er moet aan worden herinnerd dat dezelfde eisen moeten worden gesteld wachtwoordbeveiliging via de beleidseditor.

Voor verwisselbare schijven selecteert u de volgende instellingen:

• sta het lezen van verwisselbare schijven met het FAT-bestandssysteem niet toe onder oudere versies van Windows;
• wachtwoorden moeten voldoen aan de complexiteitseisen;
• De minimale wachtwoordlengte is 8 tekens.

Gebruik hierna de opdracht gpupdate.exe/force in het opdrachtregelvenster om het beleid bij te werken.

Omdat we besloten hebben om bij elke herstart een pincode te gebruiken, selecteren we Bij elke herstart een pincode vereisen (zie scherm 7).

Hierna starten we het systeem opnieuw op en begint het proces van het coderen van schijf C.

De tweede partitie van onze harde schijf, schijf D, is op een vergelijkbare manier gecodeerd (zie scherm 8).

Voordat we schijf D coderen, moeten we een wachtwoord voor deze schijf instellen. In dit geval moet het wachtwoord voldoen aan onze vereisten voor minimale wachtwoordlengte en complexiteit. Houd er rekening mee dat u deze schijf automatisch op uw computer kunt openen. Net als voorheen slaan we het herstelwachtwoord op een USB-station op. Houd er rekening mee dat wanneer u uw wachtwoord voor de eerste keer opslaat, het ook in een tekstbestand op dezelfde USB-stick wordt opgeslagen!

Laten we nu proberen een USB-station te coderen dat is geformatteerd onder het FAT-bestandssysteem.

Het coderen van een USB-drive begint met het feit dat ons wordt gevraagd een wachtwoord in te voeren voor de toekomstige gecodeerde schijf. Volgens bepaalde beleidsregels is de minimale wachtwoordlengte 8 tekens. In dit geval moet het wachtwoord voldoen aan de complexiteitseisen. Nadat we het wachtwoord hebben ingevoerd, wordt ons gevraagd de herstelsleutel in een bestand op te slaan of af te drukken.

Nadat de codering is voltooid, proberen we dit USB-station te bekijken op een andere computer met Windows Vista Thuis premie SP1. Het resultaat wordt getoond in Figuur 9.

Zoals u kunt zien, wordt de informatie niet gelezen als de schijf verloren gaat; bovendien wordt de schijf hoogstwaarschijnlijk eenvoudigweg geformatteerd.

Wanneer u hetzelfde USB-station probeert aan te sluiten op een computer met Windows 7 Beta1, ziet u mogelijk het bericht dat wordt weergegeven in Scherm 10.

We hebben dus gekeken hoe de encryptie in Windows 7 zal plaatsvinden. Vergeleken met Windows Vista zijn er veel meer regels in groepsbeleid verschenen, en dienovereenkomstig zal de verantwoordelijkheid van IT-personeel daarvoor toenemen. juiste toepassing en interactie met medewerkers.

BitLoker is een gepatenteerde technologie die het mogelijk maakt om informatie te beschermen via complexe partitie-encryptie. De sleutel zelf kan zich in de TRM of op een USB-apparaat bevinden.

TPM ( VertrouwdPlatformModule) is een cryptoprocessor die cryptosleutels bevat om gegevens te beschermen. Gebruikt om:

• vervullen authenticatie;
• beschermen anti-diefstal informatie;
• beheren netwerktoegang;
• beschermen software tegen wijzigingen;
• gegevens beschermen van kopiëren.

Trusted Platform-module in BIOS

Normaal gesproken wordt een module gestart als onderdeel van het module-initialisatieproces; deze hoeft niet te worden in- of uitgeschakeld. Maar indien nodig is activering mogelijk via de modulebeheerconsole.

1. Klik op de knop Startmenu Uitvoeren", schrijven tpm.msc.
2. Selecteer onder Actie " Schakel inTPM" Lees de handleiding.
3. Start uw pc opnieuw op Volg de “BIOS”-aanbevelingen die op de monitor worden weergegeven.

BitLocker inschakelen zonder Trusted Platform Module in Windows 7, 8, 10

Bij het starten van het BitLocker-coderingsproces voor de systeempartitie op de pc van veel gebruikers verschijnt er een melding “ Dit apparaat kan geen TPM gebruiken. De beheerder moet de instelling inschakelen. Toepassing toestaan BitLocker zonder compatibiliteitTPM" Om codering te gebruiken, moet u de bijbehorende module uitschakelen.

TPM-gebruik uitschakelen

Om de systeempartitie te kunnen coderen zonder de “Trusted Platform Module”, moet u de parameterinstellingen in de GPO-editor (lokaal groepsbeleid) van het besturingssysteem wijzigen.

Hoe BitLocker in te schakelen

Om BitLocker te starten, moet u het volgende algoritme volgen:

1. Klik met de rechtermuisknop op het Startmenu en klik op " Configuratiescherm».
2. Klik op "".
   
3. Klik op " Schakel inBitLocker».
   
4. Wacht tot de controle is voltooid en klik op " Volgende».
   
5. Lees de instructies, klik op de " Volgende».
   
6. Het voorbereidingsproces start, waarbij u de pc niet mag uitschakelen. Anders kunt u het besturingssysteem niet opstarten.
   
7. Klik op de " Volgende».
   
8. Voer het wachtwoord in dat wordt gebruikt om de schijf te ontgrendelen wanneer de pc opstart. Klik op de " Volgende».
   
9. Selecteer manier van opslaan herstelsleutel. Deze sleutel geeft u toegang tot de schijf als u uw wachtwoord kwijtraakt. Klik op Volgende.
   
10. Selecteer encryptie van de gehele partitie. Klik op "Volgende".
    
11. Klik op " Nieuwe modus encryptie", klik op "Volgende".
    
12. Vink het vakje aan" Voer een systeemcontrole uitBitLocker", klik op "Doorgaan".
    
13. Start uw pc opnieuw op.
14. Wanneer u de pc inschakelt, voert u het wachtwoord in dat is opgegeven tijdens de codering. Klik op de invoerknop.
    
15. De codering start onmiddellijk na het laden van het besturingssysteem. Klik op het pictogram "BitLocker" in de meldingsbalk om de voortgang te zien. Houd er rekening mee dat het coderingsproces tijdrovend kan zijn. Het hangt allemaal af van hoeveel geheugen de systeempartitie heeft. Bij het uitvoeren van de procedure zal de pc minder efficiënt werken omdat de processor onder belasting staat.

Hoe BitLocker uit te schakelen

Volgens deskundigen is laptopdiefstal een van de grootste problemen op het gebied van informatiebeveiliging(IB).

In tegenstelling tot andere bedreigingen voor de informatiebeveiliging is de aard van het probleem van “gestolen laptop” of “gestolen flashdrive” vrij primitief. En als de kosten van vermiste apparaten zelden meer dan enkele duizenden dollars bedragen, wordt de waarde van de informatie die erop is opgeslagen vaak in miljoenen uitgedrukt.

Volgens Dell en het Ponemon Institute verdwijnen er jaarlijks alleen al op Amerikaanse luchthavens 637.000 laptops. Stel je eens voor hoeveel flashdrives er kwijtraken, omdat ze veel kleiner zijn, en het per ongeluk laten vallen van een flashdrive net zo eenvoudig is als het beschieten van peren.

Wanneer een laptop van een topmanager vermist raakt groot bedrijf, kan de schade als gevolg van zo’n diefstal tientallen miljoenen dollars bedragen.

Hoe kunt u uzelf en uw bedrijf beschermen?

We vervolgen onze serie artikelen over Windows-domeinbeveiliging. In het eerste artikel in de serie hadden we het over opzetten veilige toegang naar het domein, en in de tweede - over de instelling veilige overdracht gegevens in de mailclient:

1. Hoe maak je een Windows-domein veiliger met een token? Deel 1.
2. Hoe maak je een Windows-domein veiliger met een token? Deel 2.

In dit artikel zullen we het hebben over het instellen van de codering van informatie die op uw harde schijf is opgeslagen. U zult begrijpen hoe u ervoor kunt zorgen dat alleen u de informatie op uw computer kunt lezen.

Weinig mensen weten dat Windows ingebouwde tools heeft waarmee u informatie veilig kunt opslaan. Laten we een van hen overwegen.

Sommigen van jullie hebben vast wel eens het woord ‘BitLocker’ gehoord. Laten we uitzoeken wat het is.

Wat is BitLocker?

BitLocker (precies BitLocker Drive Encryption genoemd) is een technologie voor het coderen van de inhoud van computerstations, ontwikkeld door door Microsoft. Het verscheen voor het eerst in Windows Vista.

Met BitLocker was het mogelijk om volumes op de harde schijf te coderen, maar later, in Windows 7, verscheen een soortgelijke technologie, BitLocker To Go, die is ontworpen om verwisselbare schijven en flashdrives te coderen.

BitLocker is een standaardcomponent van Windows Professional en serverversies van Windows, wat betekent dat het al beschikbaar is voor de meeste zakelijke toepassingen. Anders moet u updaten Windows-licentie tot Professioneel.

Hoe werkt BitLocker?

Deze technologie is gebaseerd op volledige volume-encryptie die wordt uitgevoerd met behulp van AES-algoritme(Geavanceerde coderingsstandaard). Encryptiesleutels moeten veilig worden opgeslagen en BitLocker heeft hiervoor verschillende mechanismen.

De eenvoudigste, maar tegelijkertijd meest onveilige methode is een wachtwoord. De sleutel wordt elke keer op dezelfde manier uit het wachtwoord verkregen, en als iemand uw wachtwoord ontdekt, wordt de coderingssleutel dus bekend.

Om te voorkomen dat u de sleutel erin opbergt open vorm, kan het worden gecodeerd in een TPM (Trusted Platform Module) of op een cryptografisch token of smartcard die het RSA 2048-algoritme ondersteunt.

TPM is een chip die is ontworpen om basisbeveiligingsgerelateerde functies te implementeren, waarbij voornamelijk gebruik wordt gemaakt van coderingssleutels.

De TPM-module wordt meestal geïnstalleerd moederbord computer, het is echter erg moeilijk om in Rusland een computer met een ingebouwde TPM-module aan te schaffen, aangezien de import van apparaten zonder FSB-melding in ons land verboden is.

Het gebruik van een smartcard of token om een ​​schijf te ontgrendelen is een van de veiligste manieren om te bepalen wie het proces heeft voltooid en wanneer. Om in dit geval de vergrendeling te verwijderen, heeft u zowel de smartcard zelf als de pincode daarvoor nodig.

Hoe BitLocker werkt:

1. Wanneer BitLocker wordt geactiveerd, wordt er een masterbitreeks gemaakt met behulp van een pseudo-willekeurige getalgenerator. Dit is de volume-encryptiesleutel - FVEK (full volume encryptiesleutel). Het codeert de inhoud van elke sector. De FVEK-sleutel wordt strikt vertrouwelijk bewaard.
2. FVEK wordt gecodeerd met behulp van de VMK (volume master key). De FVEK-sleutel (gecodeerd met de VMK-sleutel) wordt op schijf opgeslagen tussen de volumemetagegevens. Het mag echter nooit in gedecodeerde vorm op schijf terechtkomen.
3. VMK zelf is ook gecodeerd. De gebruiker kiest de coderingsmethode.
4. De VMK-sleutel wordt standaard gecodeerd met behulp van de SRK-sleutel (storage root key), die is opgeslagen op een cryptografische smartcard of token. Dit gebeurt op vergelijkbare wijze bij TPM.
   Overigens kan de coderingssleutel van het systeemstation in BitLocker niet worden beveiligd met een smartcard of token. Dit komt door het feit dat bibliotheken van de leverancier worden gebruikt om toegang te krijgen tot smartcards en tokens, en deze zijn uiteraard niet beschikbaar voordat het besturingssysteem is geladen.
   Als er geen TPM is, stelt BitLocker voor om de systeempartitiesleutel op een USB-flashstation op te slaan, wat natuurlijk niet het beste idee is. Als uw systeem geen TPM heeft, raden we u af uw systeemschijven te coderen.
   Over het algemeen is het coderen van de systeemschijf een slecht idee. Indien correct geconfigureerd, worden alle belangrijke gegevens gescheiden van de systeemgegevens opgeslagen. Dit is in ieder geval handiger vanuit het oogpunt van hun back-up. Plus encryptie systeembestanden vermindert de prestaties van het systeem als geheel, en de werking van een niet-gecodeerde systeemschijf met gecodeerde bestanden vindt plaats zonder snelheidsverlies.
5. Encryptiesleutels voor andere niet-systeem- en verwisselbare schijven kunnen worden beschermd met een smartcard of token, evenals met een TPM.
   Als er geen TPM-module of smartcard is, wordt in plaats van SRK een sleutel gebruikt die is gegenereerd op basis van het wachtwoord dat u hebt ingevoerd om de VMK-sleutel te coderen.

Bij het uitvoeren van gecodeerd opstartschijf het systeem doorzoekt alle mogelijke keystores - controleert op de aanwezigheid van een TPM, controleert USB-poorten of geeft, indien nodig, een prompt aan de gebruiker (dit wordt herstel genoemd). Dankzij de detectie van sleutelarchief kan Windows de VMK-sleutel ontsleutelen die de FVEK-sleutel ontsleutelt die de gegevens op de schijf ontsleutelt.

Elke sector van het volume wordt afzonderlijk gecodeerd, waarbij een deel van de coderingssleutel wordt bepaald door het nummer van die sector. Als gevolg hiervan zullen twee sectoren die dezelfde niet-versleutelde gegevens bevatten er bij versleuteling anders uitzien, waardoor het erg moeilijk wordt om versleutelingssleutels te bepalen door eerder bekende gegevens te schrijven en te ontsleutelen.

Naast FVEK, VMK en SRK gebruikt BitLocker een ander type sleutel dat wordt gemaakt ‘voor het geval dat’. Dit zijn de herstelsleutels.

Voor noodgevallen (de gebruiker is een token kwijtgeraakt, zijn pincode vergeten, enz.) vraagt ​​BitLocker u in de laatste stap om een ​​herstelsleutel te maken. Het systeem voorziet niet in de weigering om het te creëren.

Hoe schakel ik gegevensversleuteling in op uw harde schijf?

Voordat u begint met het coderen van volumes op uw harde schijf, is het belangrijk op te merken dat deze procedure enige tijd in beslag zal nemen. De duur ervan hangt af van de hoeveelheid informatie op de harde schijf.

Als de computer tijdens het versleutelen of ontsleutelen wordt uitgeschakeld of in de slaapstand gaat, worden deze processen hervat waar ze waren gestopt de volgende keer dat u Windows start.

Zelfs tijdens het coderingsproces kan het Windows-systeem worden gebruikt, maar het is onwaarschijnlijk dat u tevreden zult zijn met de prestaties ervan. Als gevolg hiervan nemen de schijfprestaties na codering met ongeveer 10% af.

Als BitLocker beschikbaar is op uw systeem, klikt u op klik met de rechtermuisknop op de naam van de schijf die moet worden gecodeerd, wordt het item weergegeven in het menu dat wordt geopend Schakel BitLocker in.

Op serverversies van Windows moet u een rol toevoegen BitLocker-stationsversleuteling.

Laten we beginnen met het instellen van de codering van een niet-systeemvolume en de coderingssleutel beschermen met een cryptografisch token.

We zullen een token gebruiken dat is geproduceerd door het bedrijf Aktiv. In het bijzonder de Rutoken EDS-token PKI.

I. Laten we Rutoken EDS PKI voorbereiden op het werk.

In de meeste normaal geconfigureerd Windows-systemen, na de eerste verbinding met Rutoken EDS PKI, wordt automatisch een speciale bibliotheek voor het werken met tokens geproduceerd door het bedrijf Aktiv - Aktiv Rutoken minidriver - gedownload en geïnstalleerd.

Het installatieproces voor een dergelijke bibliotheek is als volgt.

De aanwezigheid van de Aktiv Rutoken minidriver-bibliotheek kan worden gecontroleerd via apparaatbeheer.

Als het downloaden en installeren van de bibliotheek om de een of andere reden niet is gelukt, installeer dan de Rutoken Drivers voor Windows-kit.

II. Laten we de gegevens op de schijf coderen met BitLocker.

Klik op de schijfnaam en selecteer Schakel BitLocker in.

Zoals we eerder zeiden, zullen we een token gebruiken om de schijfversleutelingssleutel te beschermen.
Het is belangrijk om te begrijpen dat als u een token of smartcard met BitLocker wilt gebruiken, deze RSA 2048-sleutels en een certificaat moet bevatten.

Als u de Certificate Authority-service gebruikt in Windows-domein, dan moet de certificaatsjabloon de reikwijdte van het “Disk Encryption”-certificaat bevatten (meer details over het instellen van een certificeringsinstantie in het eerste deel van onze reeks artikelen over Windows-domeinbeveiliging).

Als u geen domein heeft of als u het beleid voor het uitgeven van certificaten niet kunt wijzigen, kunt u een fallback-methode gebruiken, waarbij u een zelfondertekend certificaat gebruikt. Er wordt beschreven hoe u een zelfondertekend certificaat voor uzelf kunt uitgeven.
Laten we nu het overeenkomstige vakje aanvinken.

In de volgende stap selecteren we een methode voor het opslaan van de herstelsleutel (we raden aan om te kiezen Druk de herstelsleutel af).

Het stuk papier met de afgedrukte herstelsleutel moet op een veilige plaats worden bewaard, bij voorkeur in een kluis.

In de volgende fase starten we het schijfversleutelingsproces. Zodra dit proces is voltooid, moet u mogelijk uw systeem opnieuw opstarten.

Wanneer codering is ingeschakeld, verandert het pictogram van de gecodeerde schijf.

En nu, wanneer we deze schijf proberen te openen, zal het systeem u vragen een token in te voeren en de pincode in te voeren.

Implementatie en BitLocker instellen en TPM kan worden geautomatiseerd met behulp van een WMI-tool of scripts Windows PowerShell. Hoe de scenario's worden geïmplementeerd, is afhankelijk van de omgeving. De opdrachten voor BitLocker in Windows PowerShell worden in dit artikel beschreven.

Hoe kan ik met BitLocker gecodeerde gegevens herstellen als het token verloren is gegaan?

Als u gecodeerde gegevens in Windows wilt openen

Hiervoor heeft u de herstelsleutel nodig die we eerder hebben afgedrukt. Voer het gewoon in het juiste veld in en het gecodeerde gedeelte wordt geopend.

Als u gecodeerde gegevens op GNU/Linux- en Mac OS X-systemen wilt openen

Hiervoor heeft u het hulpprogramma DisLocker en een herstelsleutel nodig.

Het DisLocker-hulpprogramma werkt in twee modi:

• BESTAND - De volledige door BitLocker versleutelde partitie wordt gedecodeerd in een bestand.
• FUSE - alleen het blok waartoe het systeem toegang heeft, wordt gedecodeerd.

We gaan bijvoorbeeld gebruik maken van de operatiekamer Linux-systeem en FUSE-hulpprogrammamodus.

IN nieuwste versies Bij veel voorkomende Linux-distributies is het dislocker-pakket al opgenomen in de distributie, bijvoorbeeld in Ubuntu, vanaf versie 16.10.

Als het dislocker-pakket om de een of andere reden niet beschikbaar is, moet u het hulpprogramma downloaden en compileren:

tar -xvjf dislocker.tar.gz

Laten we het bestand INSTALL.TXT openen en controleren welke pakketten we moeten installeren.

In ons geval moeten we het libfuse-dev-pakket installeren:

sudo apt-get install libfuse-dev

Laten we beginnen met het samenstellen van het pakket. Laten we naar de map src gaan en de opdrachten make en make install gebruiken:

cd src/make make install

Wanneer alles is gecompileerd (of u het pakket hebt geïnstalleerd), gaan we beginnen met instellen.

Laten we naar de map mnt gaan en daarin twee mappen maken:

• Gecodeerde partitie - voor een gecodeerde partitie;
• Gedecodeerde partitie - voor een gedecodeerde partitie.

cd /mnt mkdir Gecodeerde partitie mkdir Gedecodeerde partitie

Laten we de gecodeerde partitie zoeken. Laten we het decoderen met behulp van het hulpprogramma en het verplaatsen naar de map Encrypted-partition:

dislocker -r -V /dev/sda5 -p herstelsleutel /mnt/Encrypted-partition(in plaats van recovery_key vervangt u uw herstelsleutel)

Laten we een lijst met bestanden weergeven die zich in de map Encrypted-partition bevinden:

ls gecodeerde partitie/

Laten we de opdracht invoeren om de partitie te mounten:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Om de gedecodeerde partitie te bekijken, gaat u naar de map Encrypted-partition.

Laten we het samenvatten

Schakel volumeversleuteling in wanneer BitLocker-hulp heel eenvoudig. Dit alles gebeurt zonder bijzondere inspanning en gratis (afhankelijk van de beschikbaarheid van een professional of server Windows-versies, Zeker).

U kunt een cryptografisch token of smartcard gebruiken om de coderingssleutel te beschermen waarmee de schijf wordt gecodeerd, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd.