У Windows Vista, Windows 7 та Windows 8 версій Pro та вище розробники створили спеціальну технологію для шифрування вмісту логічних розділів на всіх видів, зовнішніх дисках та USB-флешках - BitLocker.
Навіщо вона потрібна? Якщо запустити BitLocker, всі файли, що знаходяться на диску, будуть шифруватися. Шифрування відбувається прозоро, тобто вам не потрібно щоразу вводити пароль при збереженні файлу – система все робить автоматично та непомітно. Однак, як тільки ви вимкнете цей диск, при наступному його увімкненні буде потрібно спеціальний ключ (спеціальна смарт-картка, флешка або пароль) для доступу до нього. Тобто якщо ви випадково втратите ноутбук, прочитати вміст зашифрованого диска на ньому не вийде, навіть якщо ви витягнете цей жорсткий диск з цього ноутбука і спробуєте його прочитати на іншому комп'ютері. Ключ шифрування має таку довжину, що час на перебір всіх можливих комбінацій для підбору правильного варіанта на найпотужніших комп'ютерах обчислюватиметься десятиліттями. Звичайно, пароль можна вивідати під тортурами або вкрасти заздалегідь, але якщо флешка була втрачена випадково, або її вкрали, не знаючи, що вона зашифрована, то прочитати її буде неможливо.

Налаштування шифрування BitLocker на прикладі Windows 8: шифрування системного диска та шифрування флешок та зовнішніх USB-дисків.
Шифрування системного диска
Вимогою для роботи BitLocker для шифрування логічного диска, на якому встановлена ​​операційна система Windows, є наявність незашифрованого завантажувального розділу: система повинна все ж таки звідкись запускатися. Якщо правильно встановлювати Windows 8/7, то при встановленні створюються два розділи - невидимий розділ для завантажувального сектора та файлів ініціалізації та основний розділ, на якому зберігаються всі файли. Перший і є таким розділом, який шифрувати не потрібно. А ось другий розділ, в якому знаходяться всі файли, шифрується.

Щоб перевірити, чи є у вас ці розділи, відкрийте Керування комп'ютером

перейдіть до розділу Пристрої, що запам'ятовують - Управління дисками.

На скріншоті розділ, створений для завантаження системи, позначений як SYSTEM RESERVED. Якщо він є, то ви можете використовувати систему BitLocker для шифрування логічного диска, на якому встановлена ​​Windows.
Для цього зайдіть у Windows із правами адміністратора, відкрийте Панель управління

перейдіть до розділу Система та безпека

і увійдіть до розділу Шифрування диска BitLocker.
Ви побачите у ньому всі диски, які можна зашифрувати. Клацніть на посилання Увімкнути BitLocker.

Налаштування шаблонів політики безпеки
У цьому місці ви можете отримати повідомлення про те, що шифрування диска неможливе, доки будуть налаштовані шаблони політики безпеки.

Справа в тому, що для запуску BitLocker потрібно системі дозволити цю операцію - це може зробити тільки адміністратор і лише власноруч. Зробити це набагато простіше, ніж здається після прочитання незрозумілих повідомлень.

Відкрийте Провідник, натисніть Win + R- Відкриється рядок введення.

Введіть до неї та виконайте:

gpedit.msc

Відкриється Редактор локальної групової політики. Перейдіть до розділу

Адміністративні шаблони
- Компоненти Windows
-- Цей параметр політики дозволяє вибрати шифрування диска BitLocker
--- Диски операційної системи
---- Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску.

Встановіть значення параметра Увімкнено.

Після цього збережіть всі значення та поверніться до Панель управління- Ви можете запускати шифрування диска BitLocker.

Створення ключа та його збереження

Вам на вибір система запропонує два варіанти ключа: пароль та флешка.

При використанні флешки ви зможете скористатися жорстким диском тільки в тому випадку, якщо вставите флешку - на ній буде записаний у зашифрованому вигляді ключ. При використанні пароля вам потрібно буде його вводити щоразу, коли відбуватиметься звернення до зашифрованого розділу на цьому диску. У випадку з системним логічним диском комп'ютера пароль буде потрібен при холодному (з нуля) завантаженні або повному рестарті або при спробі прочитати вміст логічного диска на іншому комп'ютері. Щоб уникнути якогось підводного каміння, пароль вигадувати, використовуючи англійські літери та цифри.

Після створення ключа вам буде запропоновано зберегти інформацію для відновлення доступу у разі втрати: ви можете зберегти спеціальний код у текстовому файлі, зберегти його на флешці, зберегти його в обліковому записі Microsoft, або роздрукувати.

Зверніть увагу, що зберігається не сам ключ, а спеціальний код, необхідний для відновлення доступу.

Шифрування USB-дисків та флешок
Ви також можете шифрувати і зовнішні USB-диски і флешки - ця можливість вперше з'явилася в Windows 7 під назвою BitLocker To Go. Процедура така сама: ви вигадуєте пароль і зберігає код відновлення.

Коли ви монтуватимете USB-диск (приєднуватимете до комп'ютера), або спробуєте його розблокувати, система запросить у вас пароль.

Якщо ви не хочете щоразу вводити пароль, тому що впевнені в безпеці при роботі на цьому комп'ютері, то можете в додаткових параметрах при розблокуванні вказати, що довіряєте цьому комп'ютеру - у цьому випадку пароль буде вводитися завжди автоматично, доки ви не скасуйте налаштування довіри. Зверніть увагу, що на іншому комп'ютері система у вас попросить ввести пароль, оскільки налаштування довіри на кожному комп'ютері діє незалежно.

Після того, як ви попрацювали з USB-диском, розмонтуйте його або просто просто від'єднавши, або через меню безпечного вилучення, і зашифрований диск буде захищений від несанкціонованого доступу.

Два способи шифрування

BitLocker при шифруванні пропонує два способи, що мають однаковий результат, але різний час виконання: ви можете зашифрувати тільки зайняте інформацією місце, пропустивши обробку порожнього простору, або пройтися по диску повністю, зашифрувавши весь простір логічного розділу, включаючи і не зайнятий. Перше відбувається швидше, проте залишається можливість поновлення інформації з порожнього місця. Справа в тому, що за допомогою спеціальних програм можна відновлювати інформацію, навіть якщо її було видалено з Кошика, і навіть якщо диск було відформатовано. Звичайно, практично це виконати важко, але теоретична можливість все одно є, якщо ви не використовуєте для видалення спеціальні утиліти, які безповоротно видаляють інформацію. При шифруванні всього логічного диска шифруватиметься і місце, позначене як порожнє, і можливості відновлення інформації з нього навіть за допомогою спеціальних утиліт вже не буде. Цей спосіб абсолютно надійний, але повільніший.

При шифруванні диска бажано не вимикати комп'ютер. На шифрування 300 гігабайт у мене пішло приблизно 40 хвилин. Що буде, якщо раптово вимкнулося харчування? Не знаю, не перевіряв, але в інтернеті пишуть, що нічого страшного не станеться – потрібно буде просто розпочати шифрування заново.

Висновок

Таким чином, якщо ви постійно користуєтеся флешкою, на якій зберігаєте важливу інформацію, то за допомогою BitLocker можете захистити себе від попадання важливої ​​інформації в чужі руки. Також можна захистити інформацію і на жорстких дисках комп'ютера, включаючи і системні - досить повністю вимкнути комп'ютер, і інформація на дисках стане недоступною для сторонніх. Використання BitLocker після налаштування шаблонів політики безпеки не викликає жодних труднощів навіть у непідготовлених користувачів, якогось гальмування при роботі із зашифрованими дисками я не помітив.

BitLocker – нові можливості шифрування дисків
Втрата конфіденційних даних часто відбувається після того, як зловмисник отримав доступ до інформації на жорсткому диску. Наприклад, якщо шахрай якимось чином отримав можливість прочитати системні файли, він може спробувати з їх допомогою знайти паролі користувача, витягти персональну інформацію і т.д.
У Windows 7 є інструмент BitLocker, який дозволяє шифрувати весь диск, завдяки чому дані на ньому залишаються захищеними від сторонніх очей.
Технологія шифрування BitLocker була представлена ​​Windows Vista, а в новій операційній системі вона була доопрацьована. Перерахуємо найцікавіші нововведення:

• включення BitLocker із контекстного меню "Провідника";
• автоматичне створення прихованого завантажувального розділу диска;
• підтримка агента відновлення даних (DRA) всім захищених томів.

Нагадаємо, що цей інструмент реалізований не у всіх редакціях Windows, а лише у версіях "Розширена", "Корпоративна" та "Професійна".

Захист дисків за допомогою технології BitLocker збереже конфіденційні дані користувача практично за будь-яких форс-мажорних обставин – у разі втрати знімного носія, крадіжки, несанкціонованого доступу до диска тощо.
Технологія шифрування даних BitLocker може бути застосована до будь-яких файлів системного диска, а також до будь-яких носіїв, що додатково підключаються. Якщо дані, які містяться на зашифрованому диску, скопіювати на інший носій, інформацію буде перенесено без шифрування.
Для забезпечення більшої безпеки BitLocker може використовувати багаторівневе шифрування - одночасне залучення декількох видів захисту, включаючи апаратний та програмний метод. Комбінації засобів захисту даних дозволяють отримати кілька різних режимів роботи системи шифрування BitLocker. Кожен із них має свої переваги, а також забезпечує свій рівень безпеки:

• режим із використанням довіреного платформного модуля;
• режим з використанням довіреного платформного модуля та USB-пристрою;
• режим з використанням довіреного платформного модуля та персонального ідентифікаційного номера (ПІН-коду);
• режим із використанням USB-пристрою, що містить ключ.

Перш ніж ми розглянемо докладніше принцип використання BitLocker, потрібно зробити деякі пояснення. Насамперед важливо розібратися з термінологією. Довірений платформний модуль – це спеціальний криптографічний чіп, який дозволяє виконувати ідентифікацію. Така мікросхема може бути інтегрована, наприклад, у деяких моделях ноутбуків, настільних ПК, різних мобільних пристроях та ін.
Цей чіп зберігає унікальний "кореневий ключ доступу". Така "прошита" мікросхема - це ще один додатковий надійний захист від злому ключів шифрування. Якщо ці дані зберігалися б на будь-якому іншому носії, будь то жорсткий диск або карта пам'яті, ризик втрати інформації був би незрівнянно вищим, оскільки доступ до цих пристроїв отримати легше. За допомогою кореневого ключа доступу чіп може генерувати власні ключі шифрування, які можуть бути розшифровані тільки за допомогою довіреного платформного модуля.
Пароль власника створюється за першої ініціалізації довіреного платформного модуля. Windows 7 підтримує роботу з довіреним платформним модулем версії 1.2, а також потребує сумісної BIOS.
Коли захист виконується виключно за допомогою довіреного платформного модуля, в процесі включення комп'ютера на апаратному рівні відбувається збір даних, включаючи дані про BIOS, а також інші дані, сукупність яких свідчить про справжність апаратного забезпечення. Такий режим роботи називається "прозорим" і не вимагає від користувача жодних дій - відбувається перевірка та, у разі успішного проходження, виконується завантаження у штатному режимі.
Цікаво, що комп'ютери, що містять довірений платформний модуль, - це поки що лише теорія для наших користувачів, оскільки ввезення та продаж подібних пристроїв на території Росії та України заборонено законодавством через проблеми з проходженням сертифікації. Таким чином, для нас залишається актуальним лише варіант захисту системного диска за допомогою USB-накопичувача, на який записано ключ доступу.

Технологія BitLocker дозволяє застосовувати алгоритм шифрування до дисків з даними, на яких використовуються файлові системи exFAT, FAT16, FAT32 або NTFS. Якщо шифрування застосовується до диска з операційною системою, то для використання технології BitLocker дані на цьому диску мають бути записані у форматі NTFS.
Метод шифрування, який використовує технологія BitLocker, базується на стійкому алгоритмі AES зі 128-бітним ключем.
Одна з відмінностей функції Bitlocker у Windows 7 від аналогічного інструменту Windows Vista полягає в тому, що в новій операційній системі не потрібно виконувати спеціальну розмітку дисків. Раніше користувач повинен був для цього використовувати утиліту Microsoft BitLocker Disk Preparation Tool, зараз досить просто вказати, який саме диск повинен бути захищений, і система автоматично створить на диску прихований завантажувальний розділ, що використовується Bitlocker. Цей завантажувальний розділ буде використовуватися для запуску комп'ютера, він зберігається в незашифрованому вигляді (або завантаження було б неможливе), розділ же з операційною системою буде зашифрований.
У порівнянні з Windows Vista розмір завантажувального розділу займає приблизно в десять разів менше дискового простору. Додатковому розділу не надається окрема літера, і він не відображається у списку розділів файлового менеджера.

Для керування шифруванням зручно використовувати інструмент у панелі керування під назвою "Шифрування диска BitLocker" (BitLocker Drive Encryption). Цей інструмент є менеджером дисків, за допомогою якого можна швидко шифрувати і відмикати диски, а також працювати з довіреним платформним модулем. У цьому вікні функцію шифрування BitLocker можна у будь-який момент скасувати або призупинити.

За матеріалами 3dnews.ru

У січні 2009 року компанія Microsoft надала всім охочим для тестування бета-версію нової операційної системи для робочих станцій – Windows 7. У цій операційній системі реалізовано вдосконалені технології безпеки Windows Vista. У цій статті йтиметься про технологію шифрування Windows BitLocker, яка зазнала значних змін після появи в Windows Vista.

Навіщо шифрувати

Здається, сьогодні вже нікого не потрібно переконувати у необхідності шифрування даних на жорстких дисках та змінних носіях, але наведемо деякі аргументи на користь даного рішення. Сьогодні вартість апаратних засобів набагато менше вартості інформації, що міститься на пристроях. Втрата даних може призвести до втрати репутації, конкурентоспроможності та потенційних судових позовів. Пристрій викрадено або втрачено – інформація доступна стороннім. Для заборони несанкціонованого доступу до даних необхідно використовувати шифрування. Крім того, не варто забувати про таку небезпеку, як несанкціонований доступ до даних під час ремонту (у тому числі гарантійного) або продажу пристроїв, що були у використанні.

Допоможе BitLocker

Що цьому протиставити? Лише шифрування даних. І тут шифрування виступає ролі останньої лінії оборони даних на комп'ютері. Технологій шифрування жорсткого диска існує безліч. Природно, після успішної реалізації технології BitLocker у складі Windows Vista Enterprise і Windows Vista Ultimate компанія Microsoft не могла не включити цю технологію в Windows 7. Втім, задля справедливості варто відзначити, що в новій версії ми побачимо значно перероблену технологію шифрування.

Отже, наше знайомство починається з установки Windows 7. Якщо Windows Vista для подальшого використання шифрування потрібно спочатку за допомогою командного рядка підготувати жорсткий диск, розмітивши його відповідним способом або зробити це пізніше, використовуючи спеціальну програму Microsoft BitLocker Disk Preparation Tool, то в Windows 7 проблема вирішується спочатку при розмітці жорсткого диска. У моєму випадку при установці я поставив один системний розділ ємністю 39 Гбайт, а отримав два! Один з яких розміром 38 Гбайт з невеликим, а другий 200 Мбайт.

Відкриємо консоль керування дисками (Start, All Programs, Administrative Tools, Computer Management, Disk Management), див.

Як бачите, перший розділ розміром 200 Мбайт просто прихований. Він же за умовчанням є системним, активним та первинним розділом. Для тих, хто вже знайомий із шифруванням у Windows Vista, нового на цьому етапі нічого немає, крім того, що розбивка проводиться за умовчанням і жорсткий диск вже на етапі установки готується до наступного шифрування. Єдине, що впадає у вічі, це його розмір у 200 Мбайт проти 1,5 Гбайт у Windows Vista. Безумовно, така розбивка диска на розділи значно зручніша, адже найчастіше користувач, встановлюючи операційну систему, не відразу замислюється про те, чи він шифруватиме жорсткий диск.

У випадку з Windows 7 відразу після встановлення операційної системи в Control Panel у розділі System and Security можна вибрати BitLocker Drive Encryption. Натиснувши на посилання Protect your computer by encrypting data on your disk, ви потрапляєте у вікно, показане на .

Зверніть увагу (на малюнку виділено червоним) на функції, які у Windows Vista відсутні або організовані інакше. Так, у Windows Vista змінні носії можна було шифрувати тільки в тому випадку, якщо вони використовували файлову систему NTFS, причому шифрування проводилося за тими самими правилами, що й для жорстких дисків. А шифрувати другий розділ жорсткого диска (у цьому випадку диск D:) можна було лише після того, як зашифровано системний розділ (диск C:).

Однак не варто думати, що як тільки ви оберете Turn on BitLocker, все запрацює так, як потрібно. При включенні BitLocker без додаткових параметрів все, що ви отримаєте, це шифрування жорсткого диска на комп'ютері без застосування модуля ТРМ. Втім, у користувачів у деяких країнах, наприклад у Російській Федерації чи в Україні, просто немає іншого виходу, оскільки в цих країнах заборонено ввезення комп'ютерів із ТРМ. У такому випадку після клацання Turn on BitLocker ми потрапляємо на екран 3.

Якщо є можливість використовувати ТРМ або існує необхідність задіяти всю потужність шифрування, слід скористатися редактором групових політик, набравши в командному рядку gpedit.msc. Відкриється вікно редактора (див. ).

Розглянемо докладніше параметри групової політики, за допомогою яких можна керувати шифруванням BitLocker.

Параметри групової політики BitLocker

Store BitLocker Recovery Information в Active Directory Domain Services (Windows Server 2008 та Windows Vista).За допомогою цього параметра групової політики можна зробити так, щоб Active Directory Domain Services (AD DS) резервував інформацію для подальшого відновлення BitLocker Drive Encryption. Ця можливість застосовується лише до комп'ютерів, які працюють під Windows Server 2008 або Windows Vista.

Якщо цей параметр буде заданий, при включенні BitLocker інформація, необхідна для відновлення, буде автоматично скопійована в AD DS. Якщо відключити цей параметр політики або залишити його за промовчанням, інформація для відновлення BitLocker не буде скопійована в AD DS.

Choose default folder for recovery password.Цей параметр дозволить встановити каталог за замовчуванням, який відображається майстром BitLocker Drive Encryption при запиті місцезнаходження папки для збереження пароля відновлення. Цей параметр застосовується, коли увімкнено шифрування BitLocker. Користувач може зберегти пароль відновлення у будь-якій іншій папці.

Choose how users can recover BitLocker-protected drives (Windows Server 2008 і Windows Vista).Цей параметр дозволить керувати режимами відновлення BitLocker, що відображаються майстром установки. Ця політика застосовується до комп'ютерів, які працюють під керуванням Windows Server 2008 та Windows Vista. Цей параметр застосовується під час увімкнення BitLocker.

Для відновлення зашифрованих даних користувач може скористатися 48-значним цифровим паролем або USB-диском, що містить 256-розрядний ключ відновлення.

За допомогою цього параметра можна дозволити збереження на USB диск 256-розрядного ключа пароля у вигляді прихованого файлу та текстового файлу, в якому буде містити 48 цифр пароля відновлення. У випадку, якщо ви відключите або не налаштовуватимете це правило групової політики, майстер установки BitLocker дозволить вибрати варіанти відновлення.

Choose drive encryption method and cipher strength.За допомогою цього правила ви можете вибрати алгоритм шифрування і довжину ключа, що використовується. Якщо диск вже зашифрований, а потім ви вирішили змінити довжину ключа, нічого не станеться. За умовчанням для шифрування використовується метод AES зі 128-розрядним ключем та дифузором.

Забезпечує unique identifiers для вашої організації.Це правило дозволить створювати унікальні ідентифікатори для кожного нового диска, що належить організації та захищається за допомогою BitLocker. Дані ідентифікатори зберігаються як перше та друге поля ідентифікатора. Перше поле ідентифікатора дозволить встановити унікальний ідентифікатор організації дисків, захищених BitLocker. Цей ідентифікатор буде автоматично додаватися до нових дисків, що захищаються BitLocker, і може бути оновлений для існуючих дисків, зашифрованих за допомогою BitLocker за допомогою програмного забезпечення командного рядка - Manage-BDE.

Друге поле ідентифікатора застосовується у поєднанні з правилом політики «Заборона доступу на змінні носії, які не захищені BitLocker» і може використовуватися для керування змінними дисками. Комбінація цих полів може бути використана для визначення, чи належить диск вашої організації.

Якщо значення цього правила не визначено або вимкнено, поля ідентифікації не потрібні. Поле ідентифікації може мати довжину 260 символів.

Prevent memory overwrite on restart.Це правило дозволить збільшити продуктивність комп'ютера за рахунок запобігання перезапису пам'яті, проте слід розуміти, що ключі BitLocker не будуть видалені з пам'яті.

Якщо це правило вимкнено або не налаштовано, ключі BitLocker будуть видалені з пам'яті під час перезавантаження комп'ютера. Для посилення захисту це правило варто залишити в стані за умовчанням.

Configure smart card certificate object identifier.Це правило дозволить зв'язати ідентифікатор об'єкта сертифіката смарт-карти з диском, зашифрованим BitLocker.

Fixed Data Drives

У цьому розділі описуються правила групової політики, які застосовуватимуться до дисків даних (не системних розділів).

Налаштування використання smart cards на fixed data drives.Це правило дозволить визначити, чи можна використовувати смарт-картки для дозволу доступу до даних на жорсткому диску комп'ютера. Якщо ви відключаєте це правило, смарт-картки не можна використовувати. За умовчанням смарт-картки можуть бути використані.

Deny write access to fixed drives not protected by BitLocker.Це правило визначає дозвіл або заборону запису на диски, які не захищені BitLocker. Якщо це правило визначено, всі диски, не захищені BitLocker, будуть доступні тільки для читання. Якщо диск зашифрований за допомогою BitLocker, то він буде доступний для читання і запису. Якщо це правило вимкнено або не визначено, всі жорсткі диски комп'ютера будуть доступні для читання та запису.

Додатковий доступ до BitLocker-захищений fixed data drives from earlier versions of Windows.Дане правило політики встановлює, чи можуть бути диски з файловою системою FAT розблоковані і прочитані на комп'ютерах під Windows Server 2008, Windows Vista, Windows XP SP3 і Windows XP SP2.

Якщо це правило увімкнено або не налаштовано, диски даних, відформатовані з файловою системою FAT, можуть бути доступні для читання на комп'ютерах з переліченими вище операційними системами. Якщо це правило вимкнено, відповідні диски не можуть бути розблоковані на комп'ютерах під Windows Server 2008, Windows Vista, Windows XP SP3 та Windows XP SP2. Це правило не стосується дисків, форматованих під NTFS.

Це правило визначає необхідність пароля для розблокування дисків, захищених BitLocker. Якщо ви хочете використовувати пароль, можна встановити вимоги складності пароля та його мінімальну довжину. Варто врахувати, що для встановлення вимог складності необхідно встановити вимогу до складності пароля у розділі «Політики паролів» групової політики.

Якщо це правило визначено, користувачі можуть налаштовувати паролі, які відповідають вибраним вимогам. Довжина пароля має бути не менше 8 символів (за замовчуванням).

Choose how BitLocker-protected fixed drives can be recovered.Це правило дозволить керувати відновленням зашифрованих дисків. Якщо воно не налаштоване або заблоковане, доступні можливості відновлення за замовчуванням.

Operation System Drives

У цьому розділі описуються правила групової політики, які застосовуються для розділів операційної системи (зазвичай диск C:).

Require additional authentication at startup.Це правило групової політики дозволить встановити використання для ідентифікації Trusted Platform Module (ТМР). Варто врахувати, що при запуску може бути задана лише одна з функцій, інакше буде помилка реалізації політики.

Якщо це правило увімкнено, користувачі зможуть налаштовувати розширені можливості запуску в майстрі установки BitLocker. Якщо політику вимкнено або не налаштовано, основні функції можна налаштувати лише на комп'ютерах з ТРМ. Якщо ви хочете використовувати PIN та USB-диск, необхідно налаштовувати BitLocker, використовуючи командний рядок bde замість майстра BitLocker Drive Encryption.

Потрібно додаткову authentication at startu (Windows Server 2008 і Windows Vista).Це правило політики стосується лише комп'ютерів, які працюють під керуванням Windows 2008 або Windows Vista. На комп'ютерах, обладнаних TPM, можна встановити додатковий параметр безпеки - PIN-код (від 4 до 20 цифр). На комп'ютерах, не обладнаних ТРМ, використовуватиметься USB-диск із ключовою інформацією.

Якщо цей параметр увімкнено, майстер відобразить вікно, в якому користувач зможе налаштовувати додаткові параметри запуску BitLocker. Якщо цей параметр вимкнено або не налаштовано, то майстер установки відобразить основні кроки для запуску BitLocker на комп'ютерах з ТРМ.

Configure minimum PIN length for startup.За допомогою цього параметра можна встановити мінімальну довжину PIN-коду для запуску комп'ютера. PIN-код може містити від 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered.За допомогою цього правила групової політики можна визначити, як відновлюватимуться диски, зашифровані за допомогою BitLocker, за відсутності ключа шифрування.

Configure TPM platform validation profile.За допомогою цього правила можна налаштовувати модуль ТРМ. Якщо відповідного модуля немає, це правило не застосовується.

Якщо ви дозволяєте це правило, зможете вказувати, які компоненти початкового завантаження будуть перевірені за допомогою ТРМ, перш ніж розблокувати доступ до зашифрованого диска.

Removable Data Drives

Control use of BitLocker on removable drives.За допомогою цього правила групової політики можна керувати шифруванням BitLocker на змінних дисках. Ви можете вибрати, за допомогою яких параметрів користувачі можуть налаштувати BitLocker. Зокрема, для дозволу запуску майстра установки шифрування BitLocker на змінному диску необхідно вибрати Allow users to apply BitLocker protection on removable data drives.

Якщо ви виберете Allow users to suspend and decrypt BitLocker on removable data drives, користувач зможе розшифрувати ваш змінний диск або призупинити шифрування.

Якщо це правило не налаштоване, користувачі можуть використовувати BitLocker на знімних носіях. Якщо правило вимкнено, користувачі не зможуть використовувати BitLocker на знімних дисках.

Налаштування використання smart cards на монтажні дані drives.За допомогою цієї установки політики визначають, чи можна використовувати смарт-картки для автентифікації користувача та його доступу до змінних дисків на комп'ютері.

Deny write access to removable drives not protected BitLocker.За допомогою цього правила політики можна заборонити запис на змінні диски, які не захищені BitLocker. У такому разі всі змінні диски, які не захищені BitLocker, будуть доступні тільки для читання.

Якщо вибрати параметр Deny write access to devices configured in another organization, запис буде доступний лише змінні диски, що належать вашої організації. Перевірка проводиться за двома полями ідентифікації, визначеними у правилі групової політики Provide unique identifiers for your organization.

Якщо ви вимкнули це правило або воно не налаштоване, всі змінні диски будуть доступні і для читання і для запису. Це правило можна скасувати параметрами налаштування політики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Якщо правило Removable Disks: Deny write access дозволено, це правило буде проігноровано.

Додатковий доступ до BitLocker-захищений відправні дані drives з попередніх версій Windows.Це правило визначає, чи можуть бути змінені диски, відформатовані під FAT, розблоковані та переглянуті на комп'ютерах під Windows 2008, Windows Vista, Windows XP SP3 та Windows XP SP2.

Якщо це правило дозволене або не налаштоване, змінні диски з файловою системою FAT можуть бути розблоковані та переглянуті на комп'ютерах під керуванням Windows 2008, Windows Vista, Windows XP SP3 та Windows XP SP2. Ці диски будуть доступні лише для читання.

Якщо це правило заблоковано, відповідні змінні диски не можуть бути розблоковані та переглянуті на комп'ютерах під Windows 2008, Windows Vista, Windows XP SP3 та Windows XP SP2. Це правило не стосується дисків, відформатованих під NTFS.

Налаштування password complexity requirements and minimum length.Дане правило політики визначає, чи мають бути змінені диски, заблоковані за допомогою BitLocker, бути розблоковані за допомогою пароля. Якщо ж ви дозволите використовувати пароль, ви зможете встановити вимоги до його складності та мінімальну довжину. Варто врахувати, що в цьому випадку вимоги складності повинні збігатися з вимогами політики паролів Computer Configuration

Choose how BitLocker-protected removable drives can be recovered.Це правило дозволяє вибрати спосіб відновлення змінних дисків, захищених BitLocker.

Переходимо до процесу шифрування. Зміни в груповій політиці дозволяють ширше використовувати можливості шифрування BitLocker, і для закріплення навичок роботи з нею спробуємо зашифрувати: системний диск, диск з даними, змінні носії, як під NTFS, так і під FAT (вважатимемо, що комп'ютер володіє встановленим модулем ТРМ ).

Причому ми повинні перевірити, чи доступні наші змінні носії, відформатовані під FAT, на комп'ютері, що працює як під Windows XP SP2, так і під Windows Vista SP1.

Для початку в групових політиках BitLocker оберемо алгоритм шифрування та довжину ключа (див. ).

Потім у розділі Operation System Drive вибираємо правило Require additional authentication at startup (див. ).

Після цього встановимо мінімальну довжину PIN-коду, що дорівнює 6 символам, за допомогою правила Configure minimum PIN length for startup. Для шифрування розділу даних встановимо вимоги до складності та мінімальної довжини пароля у 8 символів.

При цьому необхідно пам'ятати, що потрібно виставити такі вимоги до парольного захисту через редактор політик.

Для змінних дисків виберіть наступні настройки:

• не дозволяти читати змінні диски із файловою системою FAT під старими версіями Windows;
• паролі повинні відповідати вимогам складності;
• Мінімальна довжина пароля 8 символів.

Після цього командою gpupdate.exe/force у вікні командного рядка оновимо політику.

Оскільки ми вирішили використовувати PIN-код при кожному перезавантаженні, вибираємо Require a PIN at every startup (див. екран 7).

Після цього перезавантажуємо систему, і процес шифрування диска починається.

Так само шифрується і другий розділ нашого жорсткого диска - диск D (див. екран 8).

Перед шифруванням диска D необхідно встановити пароль для цього диска. При цьому пароль повинен відповідати нашим вимогам до мінімальної довжини та складності пароля. Слід врахувати, що диск можна відкривати на комп'ютері автоматично. Як і раніше, збережемо пароль відновлення на диск USB. Потрібно мати на увазі, що при першому збереженні пароля він одночасно зберігається і в текстовому файлі на цьому USB-диску!

Спробуємо зашифрувати USB-диск, відформатований під файловою системою FAT.

Шифрування диска USB починається з того, що нам пропонують ввести пароль для майбутнього зашифрованого диска. Згідно з певними правилами політики, мінімальна довжина пароля 8 символів. При цьому пароль має відповідати вимогам складності. Після введення пароля нам запропонують зберегти ключ відновлення файлу або роздрукувати його.

Після закінчення шифрування спробуємо переглянути цей USB диск на іншому комп'ютері, що працює під Windows Vista Home Premium SP1. Результат відображається на екрані 9.

Як бачите, у разі втрати диска інформація не буде прочитана, більш того, швидше за все, диск буде просто відформатовано.

При спробі під'єднати цей USB-диск до комп'ютера під керуванням Windows 7 Beta1 можна побачити повідомлення, показане на екрані 10.

Отже, ми розглянули, як проводитиметься шифрування в Windows 7. У порівнянні з Windows Vista, з'явилося набагато більше правил у групових політиках, відповідно зросте відповідальність ІТ-персоналу за їхнє правильне застосування та взаємодію зі співробітниками.

«БітЛокер» є пропрієтарною технологією, яка дає можливість забезпечувати захист інформації за допомогою комплексного шифрування розділів. Сам ключ може розміщуватись у «TRM» або на пристрої USB.

TPM ( TrustedPlatformModule) – це криптопроцесор, в якому розміщуються криптоключі для захисту даних. Використовується для того, щоб:

• виконувати автентифікацію;
• захищатиінформацію від крадіжки;
• керуватимережевим доступом;
• захищатипрограмне забезпечення від змін;
• захищати данівід копіювання.

Модуль "Trusted Platform Module" в BIOS

Зазвичай модуль запускається в рамках процесу модульної ініціалізації, його не потрібно вмикати/вимикати. Але якщо необхідно, здійснити активацію можна за допомогою консолі управління модулем.

1. Натисніть у меню «Пуск» кнопку « Виконати», напишіть tpm.msc.
2. У розділі «Дія» виберіть « увімкнутиTPM». Ознайомтеся з посібником.
3. Перезавантажте ПК, дотримуйтесь рекомендацій «БІОС» на моніторі.

Як увімкнути "БітЛокер" без "Trusted Platform Module" у Windows 7, 8, 10

При запуску шифрувального процесу «БітЛокер» для системного поділу на ПК багатьох користувачів з'являється повідомлення «Цей пристрій не може використовувати довірений платформний модуль. Адміністратору потрібно активувати параметр. Дозволити застосування BitLocker без сумісногоTPM». Щоб використовувати шифрування, необхідно вимкнути відповідний модуль.

Вимкнення використання модуля TPM

Щоб можна було виконати шифрування системного розділу без «Trusted Platform Module», необхідно поміняти параметри в редакторі GPO (локальні групові політики) ОС.

Як увімкнути «БітЛокер»

Для того щоб виконати запуск «БітЛокер», необхідно дотримуватися такого алгоритму:

1. Клацніть правою кнопкою мишки по меню «Пуск», натисніть « Панель управління».
2. Клацніть на «».
   
3. Натисніть на " увімкнутиBitLocker».
   
4. Зачекайте, доки закінчиться перевірка, клацніть « Далі».
   
5. Прочитайте інструкції, клацніть по клавіші « Далі».
   
6. Запуститься процес підготовки, за якого не варто відключати ПК. В іншому випадку ви не зможете завантажити операційну систему.
   
7. Клацніть по клавіші « Далі».
   
8. Введіть пароль, який буде використовуватися для розблокування диска під час запуску ПК. Клацніть по клавіші « Далі».
   
9. Виберіть метод збереженняключ відновлення. Цей ключ дозволить отримати доступ до диска при втраті пароля. Клацніть "Далі".
   
10. Виберіть шифрування всього розділу. Клацніть «Далі».
    
11. Натисніть на " Новий режим шифрування», клацніть «Далі».
    
12. Позначте пункт « Запустити перевірку системиBitLocker», клацніть "Продовжити".
    
13. Виконайте перезавантаження ПК.
14. Коли комп'ютер увімкнено, наберіть пароль, вказаний під час шифрування. Натисніть кнопку введення.
    
15. Шифрування запуститься одразу після завантаження ОС. Клацніть на значку «БітЛокер» на панелі повідомлень, щоб переглянути прогрес. Пам'ятайте, що шифрувальний процес може забирати чимало часу. Все залежить від того, яку пам'ять має системний розділ. При виконанні процедури ПК працюватиме менш продуктивно, тому що на процесор йде навантаження.

Як вимкнути BitLocker

На думку фахівців, саме крадіжка ноутбука є однією з основних проблем у сфері інформаційної безпеки (ІБ).

На відміну від інших загроз ІБ, природа проблем вкрадений ноутбук або вкрадена флешка досить примітивна. І якщо вартість зниклих пристроїв рідко перевищує позначку кілька тисяч американських доларів, то цінність збереженої на них інформації найчастіше вимірюється в мільйонах.

За даними Dell та Ponemon Institute, тільки в американських аеропортах щорічно пропадає 637 тисяч ноутбуків. А уявіть скільки пропадає флешок, адже вони набагато менше, і випустити флешку випадково простіше простого.

Коли пропадає ноутбук, що належить топ-менеджеру великої компанії, збитки від однієї такої крадіжки можуть становити десятки мільйонів доларів.

Як захистити себе та свою компанію?

Ми продовжуємо цикл статей про безпеку Windows домену. У першій статті з циклу ми розповіли про налаштування безпечного входу до домену, а в другій - про налаштування безпечної передачі даних у поштовому клієнті:

1. Як за допомогою токена зробити Windows домен безпечнішим? Частина 1 .
2. Як за допомогою токена зробити Windows домен безпечнішим? Частина 2 .

У цій статті ми розповімо про налаштування шифрування інформації, що зберігається на жорсткому диску. Ви зрозумієте, як зробити так, щоб ніхто, крім вас, не зміг прочитати інформацію, що зберігається на вашому комп'ютері.

Мало хто знає, що Windows має вбудовані інструменти, які допомагають безпечно зберігати інформацію. Розглянемо один із них.

Напевно, хтось із вас чув слово «BitLocker». Давайте розберемося, що це таке.

Що таке BitLocker?

BitLocker (точна назва BitLocker Drive Encryption) – це технологія шифрування вмісту дисків комп'ютера, розроблена компанією Microsoft. Вона вперше з'явилася у Windows Vista.

За допомогою BitLocker можна було шифрувати томи жорстких дисків, але пізніше вже в Windows 7 з'явилася схожа технологія BitLocker To Go, яка призначена для шифрування знімних дисків і флешок.

BitLocker є стандартним компонентом Windows Professional і серверних версій Windows, а значить, у більшості випадків корпоративного використання він вже доступний. В іншому випадку вам доведеться оновити ліцензію Windows до Professional.

Як працює BitLocker?

Ця технологія ґрунтується на повному шифруванні тома, який виконується з використанням алгоритму AES (Advanced Encryption Standard). Ключі шифрування повинні зберігатися безпечно і для цього BitLocker є кілька механізмів.

Найпростіший, але водночас і найнебезпечніший метод – це пароль. Ключ виходить із пароля щоразу однаковим чином, і відповідно, якщо хтось дізнається ваш пароль, то й ключ шифрування стане відомим.

Щоб не зберігати ключ у відкритому вигляді, його можна шифрувати або TPM (Trusted Platform Module), або на криптографічному токені або смарт-карті, що підтримує алгоритм RSA 2048.

TPM - мікросхема, призначена для реалізації основних функцій, пов'язаних із забезпеченням безпеки, головним чином із використанням ключів шифрування.

Модуль TPM, як правило, встановлений на материнській платі комп'ютера, однак, придбати в Росії комп'ютер із вбудованим модулем TPM дуже важко, тому що ввезення пристроїв без нотифікації ФСБ до нашої країни заборонено.

Використання смарт-карти або токена для зняття блокування диска є одним із найбезпечніших способів, що дозволяють контролювати, хто виконав цей процес і коли. Для зняття блокування в такому випадку потрібно як смарт-картка, так і PIN-код до неї.

Схема роботи BitLocker:

1. При активації BitLocker за допомогою генератора псевдовипадкових чисел створюється основна бітова послідовність. Це ключ шифрування тому - FVEK (full volume encryption key). Їм шифрується вміст кожного сектора. Ключ FVEK зберігається в найсуворішій секретності.
2. FVEK шифрується ключем VMK (volume master key). Ключ FVEK (зашифрований ключем VMK) зберігається на диску серед метаданих томів. При цьому він ніколи не повинен потрапляти на диск у розшифрованому вигляді.
3. Сам VMK також шифрується. Спосіб його шифрування вибирає користувач.
4. Стандартний ключ VMK шифрується за допомогою ключа SRK (storage root key), який зберігається на криптографічній смарт-карті або токені. Аналогічно це відбувається і з TPM.
   До речі, ключ шифрування системного диска BitLocker не можна захистити за допомогою смарт-карти або токена. Це пов'язано з тим, що для доступу до смарт-карт та токенів використовуються бібліотеки від вендора, а до завантаження ОС вони, зрозуміло, не доступні.
   Якщо немає TPM, то BitLocker пропонує зберегти ключ системного розділу на USB-флешці, а це, звичайно, не найкраща ідея. Якщо у вашій системі немає TPM, ми не рекомендуємо шифрувати системні диски.
   І взагалі, шифрування системного диска є поганою ідеєю. При правильному налаштуванні всі важливі дані зберігаються окремо від системних. Це як мінімум зручніше з погляду їхнього резервного копіювання. Плюс шифрування системних файлів знижує продуктивність системи загалом, а робота незашифрованого системного диска із зашифрованими файлами відбувається без втрати швидкості.
5. Ключі шифрування інших несистемних та знімних дисків можна захистити за допомогою смарт-картки або токена, а також TPM.
   Якщо ні модуля TPM ні смарт-карти немає, то замість SRK для шифрування ключа VMK використовується ключ згенерований на основі введеного пароля.

При запуску із зашифрованого завантажувального диска система опитує всі можливі сховища ключів – перевіряє наявність TPM, перевіряє USB-порти або, якщо необхідно, запитує користувача (що називається відновленням). Виявлення сховища ключа дозволяє Windows розшифрувати ключ VMK, яким розшифровується ключ FVEK, вже яким розшифровуються дані на диску.

Кожен сектор тому шифрується окремо, причому частина ключа шифрування визначається номером цього сектора. В результаті два сектори, що містять однакові незашифровані дані, будуть у зашифрованому вигляді виглядати по-різному, що дуже ускладнить процес визначення ключів шифрування шляхом запису та розшифрування заздалегідь відомих даних.

Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення.

Для аварійних випадків (користувач втратив токен, забув PIN-код і т.д.) BitLocker на останньому кроці пропонує створити ключ відновлення. Відмову від його створення в системі не передбачено.

Як увімкнути шифрування даних на жорсткому диску?

Перш ніж розпочати процес шифрування томів на жорсткому диску, важливо врахувати, що ця процедура займе якийсь час. Її тривалість залежатиме від кількості інформації на жорсткому диску.

Якщо в процесі шифрування або розшифровки комп'ютер вимкнеться або перейде в режим глибокого сну, то ці процеси відновляться з місця зупинки при наступному запуску Windows.

Навіть у процесі шифрування системою Windows можна буде користуватися, але навряд чи вона зможе порадувати вас своєю продуктивністю. У результаті після шифрування продуктивність дисків знижується приблизно на 10%.

Якщо BitLocker доступний у вашій системі, то при натисканні правою кнопкою на назві диска, який необхідно зашифрувати, у меню з'явиться пункт Turn on BitLocker.

На серверних версіях Windows необхідно додати роль BitLocker Drive Encryption.

Приступимо до налаштування шифрування несистемного тома та захистимо ключ шифрування за допомогою криптографічного токена.

Ми використовуватимемо токен виробництва компанії «Актив». Зокрема, токен Рутокен ЕЦП PKI.

I. Підготуємо Рутокен ЕЦП PKI до роботи.

У більшості нормально налаштованих системах Windows після першого підключення Рутокен ЕЦП PKI автоматично завантажується та встановлюється спеціальна бібліотека для роботи з токенами виробництва компанії «Актив» - Aktiv Rutoken minidriver.

Процес встановлення такої бібліотеки виглядає так.

Наявність бібліотеки Aktiv Rutoken minidriver можна перевірити через Диспетчер пристроїв.

Якщо завантаження та встановлення бібліотеки з якихось причин не відбулося, слід встановити комплект Драйвери Рутокен для Windows .

ІІ. Зашифруємо дані на диску за допомогою BitLocker.

Клацніть за назвою диска та оберемо пункт Turn on BitLocker.

Як ми говорили раніше, для захисту ключа шифрування диска використовуватимемо токен.
Важливо розуміти, що для використання токена або смарт-карти в BitLocker, на них повинні бути ключі RSA 2048 і сертифікат.

Якщо ви використовуєте службу Certificate Authority в домені Windows, то в шаблоні сертифіката має бути сфера застосування сертифіката «Disk Encryption» (докладніше про налаштування Certificate Authority в першій частині нашого циклу статей про безпеку Windows домену).

Якщо у вас немає домену або ви не можете змінити політику видачі сертифікатів, то можна скористатися запасним шляхом, за допомогою самопідписаного сертифіката, докладно про те, як виписати самому собі підписаний сертифікат описано .
Тепер встановимо відповідний прапорець.

На наступному кроці виберемо спосіб збереження ключа відновлення (рекомендуємо вибрати Print the recovery key).

Папірець із надрукованим ключем відновлення необхідно зберігати в безпечному місці, краще в сейфі.

На наступному етапі запустимо процес шифрування диска. Після завершення цього процесу може знадобитися перезавантажити систему.

Коли шифрування увімкнено, значок зашифрованого диска зміниться.

І тепер, коли ми спробуємо відкрити диск, система попросить вставити токен і ввести його PIN-код.

Розгортання та налаштування BitLocker та довіреного платформного модуля можна автоматизувати за допомогою інструмента WMI або сценаріїв Windows PowerShell. Спосіб реалізації сценаріїв залежатиме від середовища. Команди для BitLocker у Windows PowerShell описані у статті.

Як відновити дані, зашифровані BitLocker, якщо токен втратили?

Якщо ви хочете відкрити зашифровані дані у Windows

Для цього знадобиться ключ відновлення, який ми надрукували раніше. Просто вводимо його у відповідне поле та зашифрований розділ відкриється.

Якщо ви хочете відкрити зашифровані дані в системах GNU/Linux та Mac OS X

Для цього потрібна утиліта DisLocker та ключ відновлення.

Утиліта DisLocker працює у двох режимах:

• FILE - весь розділ, зашифрований BitLocker, розшифровується у файл.
• FUSE – розшифровується лише той блок, до якого звертається система.

Для прикладу ми будемо використовувати операційну систему Linux та режим утиліти FUSE.

В останніх версіях поширених дистрибутивів Linux пакет dislocker вже входить до складу дистрибутива, наприклад, в Ubuntu, починаючи з версії 16.10.

Якщо пакет dislocker з якихось причин не виявилося, тоді потрібно скачати утиліту і скомпілювати її:

tar -xvjf dislocker.tar.gz

Відкриємо файл INSTALL.TXT та перевіримо, які пакети нам необхідно доустановити.

У нашому випадку необхідно доустановити пакет libfuse-dev:

sudo apt-get install libfuse-dev

Приступимо до збирання пакета. Перейдемо в папку src і скористаємося командами make та make install:

cd src/ make make install

Коли все скомпілювалося (або ви встановили пакет) приступимо до налаштування.

Перейдемо в папку mnt і створимо в ній дві папки:

• Encrypted-partition-для зашифрованого розділу;
• Decrypted-partition – для розшифрованого розділу.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Знайдемо зашифрований розділ. Розшифруємо його за допомогою утиліти та перемістимо його до папки Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(замість recovery_key підставте свій ключ відновлення)

Виведемо на екран список файлів, що знаходяться в папці Encrypted-partition:

ls Encrypted-partition/

Введемо команду для монтування розділу:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Для перегляду розшифрованого розділу перейдемо до папки Encrypted-partition.

Резюмуємо

Увімкнути шифрування тома за допомогою BitLocker дуже легко. Все це робиться без особливих зусиль і безкоштовно (за наявності професійної або серверної версії Windows, звичайно).

Для захисту ключа шифрування, яким диск шифрується, можна використовувати криптографічний токен або смарт-карту, що істотно підвищує рівень безпеки.