В Windows Vista, Windows 7 и Windows 8 версий Pro и выше разработчики создали специальную технологию для шифрования содержимого логических разделов на всех видов, внешних дисках и USB-флешках - BitLocker .
Для чего она нужна? Если запустить BitLocker, то все файлы, находящиеся на диске, будут шифроваться. Шифрование происходит прозрачно, то есть вам не нужно каждый раз вводить пароль при сохранении файла - система все делает автоматически и незаметно. Однако как только вы отключите этот диск, то при следующем его включении потребуется специальный ключ (специальная смарт-карта, флешка или пароль) для доступа к нему. То есть если вы случайно потеряете ноутбук, то прочитать содержимое зашифрованного диска на нем не получится, даже если вы вытащите этот жесткий диск из этого ноутбука и попробуете его прочитать на другом компьютере. Ключ шифрования имеет такую длину, что время на перебор всех возможных комбинаций для подбора правильного варианта на самых мощных компьютерах будет исчисляться десятилетиями. Конечно, пароль можно выведать под пытками либо украсть заранее, но если флешка была потеряна случайно, либо ее украли, не зная, что она зашифрована, то прочесть ее будет невозможно.

Настройка шифрования BitLocker на примере Windows 8: шифрование системного диск и шифрование флешек и внешних USB-дисков.
Шифрование системного диска
Требованием для работы BitLocker для шифрования логического диска, на котором установлена операционная система Windows, является наличие незашифрованного загрузочного раздела: система должна все же откуда-то запускаться. Если правильно устанавливать Windows 8/7, то при установке создаются два раздела - невидимый раздел для загрузочного сектора и файлов инициализации и основной раздел, на котором хранятся все файлы. Первый как раз и является таким разделом, который шифровать не нужно. А вот второй раздел, в котором находятся все файлы, подвергается шифрованию.

Чтобы проверить, есть ли у вас эти разделы, откройте Управление компьютером

перейдите в раздел Запоминающие устройства - Управление дисками .

На скриншоте раздел, созданный для загрузки системы, помечен как SYSTEM RESERVED . Если он есть, то вы смело можете использовать систему BitLocker для шифрования логического диска, на котором установлена Windows.
Для этого зайдите в Windows с правами администратора, откройте Панель управления

перейдите в раздел Система и безопасность

и войдите в раздел Шифрование диска BitLocker .
Вы увидите в нем все диски, которые можно зашифровать. Кликните по ссылке Включить BitLocker .

Настройка шаблонов политики безопасности
В этом месте вы можете получить сообщение о том, что шифрование диска невозможно до тех пор, пока будут настроены шаблоны политики безопасности.

Дело в том, что для запуска BitLocker нужно системе разрешить эту операцию - это может сделать только администратор и только собственными руками. Сделать это намного проще, чем кажется после прочтения непонятных сообщений.

Откройте Проводник , нажмите Win + R - откроется строка ввода.

Введите в нее и выполните:

gpedit.msc

Откроется Редактор локальной групповой политики . Перейдите в раздел

Административные шаблоны
- Компоненты Windows
-- Этот параметр политики позволяет выбрать шифрование диска BitLocker
--- Диски операционной системы
---- Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

Установите значение параметра Включено .

После этого сохраните все значения и вернитесь в Панель управления - можете запускать шифрование диска BitLocker.

Создание ключа и его сохранение

Вам на выбор система предложит два варианта ключа: пароль и флешка.

При использовании флешки вы сможете воспользоваться жестким диском только в том случае, если вставите эту флешку - на ней будет записан в зашифрованном виде ключ. При использовании пароля вам нужно будет его вводить каждый раз, когда будет происходить обращение к зашифрованному разделу на этом диске. В случае с системным логическим диском компьютера пароль будет нужен при холодной (с нуля) загрузке или полном рестарте, либо при попытке прочитать содержимое логического диска на другом компьютере. Во избежание каких-то подводных камней пароль придумывать, используя английские буквы и цифры.

После создания ключа вам будет предложено сохранить информацию для восстановления доступа в случае его утери: вы можете сохранить специальный код в текстовом файле, сохранить его на флешке, сохранить его в учетной записи Microsoft, или распечатать.

Обратите внимание, что сохраняется не сам ключ, а специальный код, необходимый для процедуры восстановления доступа.

Шифрование USB-дисков и флешек
Вы так же можете шифровать и внешние USB-диски и флешки - эта возможность впервые появилась в Windows 7 под названием BitLocker To Go . Процедура такая же: вы придумываете пароль и сохраняет код восстановления.

Когда вы будете монтировать USB-диск (присоединять к компьютеру), либо попробуете его разблокировать, система запросит у вас пароль.

Если вы не хотите каждый раз вводить пароль, так как уверены в безопасности при работе на этом компьютере, то можете в дополнительных параметрах при разблокировке указать, что доверяете этому компьютеру - в этом случае пароль будет вводиться всегда автоматически, до тех пор, пока вы не отмените настройку доверия. Обратите внимание, что на другом компьютере система у вас попросит ввести пароль, так как настройка доверия на каждом компьютере действует независимо.

После того, как вы поработали с USB-диском, размонтируйте его, либо просто просто отсоединив, либо через меню безопасного извлечения, и зашифрованный диск будет защищен от несанкционированного доступа.

Два способа шифрования

BitLocker при шифровании предлагает два способа, имеющих одинаковый результат, но разное время выполнения: вы можете зашифровать только занятое информацией место, пропустив обработку пустого пространства, либо пройтись по диску полностью, защифровав все пространство логического раздела, включая и не занятое. Первое происходит быстрее, однако остается возможность восстановления информации с пустого места. Дело в том, что с помощью специальных программ можно восстанавливать информацию, даже если она была удалена из Корзины, и даже если диск был отформатирован. Конечно, практически это выполнить трудно, но теоретическая возможность все равно есть, если вы не используете для удаления специальные утилиты, удаляющие информацию безвозвратно. При шифровании всего логического диска будет шифроваться и место, помеченное как пустое, и возможности восстановления информации с него даже с помощью специальных утилит уже не будет. Этот способ абсолютно надежный, но более медленный.

При шифровании диска желательно не выключать компьютер. На шифрование 300 гигабайт у меня ушло примерно 40 минут. Что будет, если внезапно отключилось питание? Не знаю, не проверял, но в интернете пишут, что ничего страшного не произойдет - нужно будет просто начать шифрование заново.

Вывод

Таким образом, если вы постоянно пользуетесь флешкой, на которой храните важную информацию, то с помощью BitLocker можете защитить себя от попадания важной информации в чужие руки. Так же можно защитить информацию и на жестких дисках компьютера, включая и системные - достаточно полностью выключить компьютер, и информация на дисках станет недоступной для посторонних. Использование BitLocker после настройки шаблонов политики безопасности не вызывает никаких затруднений даже у неподготовленных пользователей, какого либо торможения при работе с зашифрованными дисками я не заметил.

BitLocker - новые возможности шифрования дисков
Потеря конфиденциальных данных часто происходит после того, как злоумышленник получил доступ к информации на жестком диске. Например, если мошенник каким-то образом получил возможность прочитать системные файлы, он может попробовать с их помощью найти пользовательские пароли, извлечь персональную информацию и т.д.
В Windows 7 присутствует инструмент BitLocker, который позволяет шифровать весь диск, благодаря чему данные на нем остаются защищенными от сторонних глаз.
Технология шифрования BitLocker была представлена Windows Vista, а в новой операционной системе она была доработана. Перечислим наиболее интересные нововведения:

• включение BitLocker из контекстного меню "Проводника";
• автоматическое создание скрытого загрузочного раздела диска;
• поддержка агента восстановления данных (DRA) для всех защищенных томов.

Напомним, что данный инструмент реализован не во всех редакциях Windows, а только в версиях "Расширенная", "Корпоративная" и "Профессиональная".

Защита дисков с помощью технологии BitLocker сохранит конфиденциальные данные пользователя практически при любых форс-мажорных обстоятельствах - в случае потери съемного носителя, кражи, несанкционированного доступа к диску и т.д.
Технология шифрования данных BitLocker может быть применена к любым файлам системного диска, а также к любым дополнительно подключаемым носителям. Если данные, которые содержатся на зашифрованном диске, скопировать на другой носитель, то информация будет перенесена без шифрования.
Для обеспечения большей безопасности, BitLocker может использовать многоуровневое шифрование - одновременное задействование нескольких видов защиты, включая аппаратный и программный метод. Комбинации способов защиты данных позволяют получить несколько различных режимов работы системы шифрования BitLocker. Каждый из них имеет свои преимущества, а также обеспечивает свой уровень безопасности:

• режим с использованием доверенного платформенного модуля;
• режим с использованием доверенного платформенного модуля и USB-устройства;
• режим с использованием доверенного платформенного модуля и персонального идентификационного номера (ПИН-кода);
• режим с использованием USB-устройства, содержащего ключ.

Прежде чем мы рассмотрим подробнее принцип использования BitLocker, необходимо сделать некоторые пояснения. Прежде всего, важно разобраться с терминологией. Доверенный платформенный модуль - это специальный криптографический чип, который позволяет выполнять идентификацию. Такая микросхема может быть интегрирована, например, в некоторых моделях ноутбуков, настольных ПК, различных мобильных устройствах и пр.
Этот чип хранит уникальный "корневой ключ доступа". Такая "прошитая" микросхема - это еще одна дополнительная надежная защита от взлома ключей шифрования. Если эти данные хранились бы на любом другом носителе, будь то жесткий диск или карта памяти, риск потери информации был бы несоизмеримо выше, поскольку доступ к этим устройствам получить легче. С помощью "корневого ключа доступа" чип может генерировать собственные ключи шифрования, которые могут быть расшифрованы только с помощью доверенного платформенного модуля.
Пароль владельца создается при первой инициализации доверенного платформенного модуля. Windows 7 поддерживает работу с доверенным платформенным модулем версии 1.2, а также требует наличия совместимой BIOS.
Когда защита выполняется исключительно с помощью доверенного платформенного модуля, в процессе включения компьютера, на аппаратном уровне происходит сбор данных, включая данные про BIOS, а также другие данные, совокупность которых свидетельствует о подлинности аппаратного обеспечения. Такой режим работы называется "прозрачным" и не требует от пользователя никаких действий - происходит проверка и, в случае успешного прохождения, выполняется загрузка в штатном режиме.
Любопытно, что компьютеры, содержащие доверенный платформенный модуль, - это пока лишь теория для наших пользователей, поскольку ввоз и продажа подобных устройств на территории России и Украины запрещены законодательством из-за проблем с прохождением сертификации. Таким образом, для нас остается актуальным только вариант защиты системного диска с помощью USB-накопителя, на который записан ключ доступа.

Технология BitLocker дает возможность применять алгоритм шифрования к дискам с данными, на которых используются файловые системы exFAT, FAT16, FAT32 или NTFS. Если же шифрование применяется к диску с операционной системой, то для использования технологии BitLocker данные на этом диске должны быть записаны в формате NTFS.
Метод шифрования, который использует технология BitLocker, основан на стойком алгоритме AES с 128-битным ключом.
Одно из отличий функции Bitlocker в Windows 7 от аналогичного инструмента в Windows Vista состоит в том, что в новой операционной системе не нужно выполнять специальную разметку дисков. Ранее пользователь должен был для этого использовать утилиту Microsoft BitLocker Disk Preparation Tool, сейчас же достаточно просто указать, какой именно диск должен быть защищен, и система автоматически создаст на диске скрытый загрузочный раздел, используемый Bitlocker. Этот загрузочный раздел будет использоваться для запуска компьютера, он хранится в незашифрованном виде (в противном случае загрузка была бы невозможна), раздел же с операционной системой будет зашифрован.
По сравнению с Windows Vista, размер загрузочного раздела занимает примерно в десять раз меньше дискового пространства. Дополнительному разделу не присваивается отдельная буква, и он не отображается в списке разделов файлового менеджера.

Для управления шифрованием удобно использовать инструмент в панели управления под названием "Шифрование диска BitLocker" (BitLocker Drive Encryption). Этот инструмент представляет собой менеджер дисков, с помощью которого можно быстро шифровать и отпирать диски, а также работать с доверенным платформенным модулем. В этом окне функцию шифрования BitLocker можно в любой момент отменить или приостановить.

По материалам 3dnews.ru

В январе 2009 года компания Microsoft предоставила всем желающим для тестирования бета-версию новой операционной системы для рабочих станций - Windows 7. В данной операционной системе реализованы усовершенствованные технологии безопасности Windows Vista. В этой статье речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после появления в Windows Vista.

Зачем шифровать

Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, но тем не менее приведем некоторые аргументы в пользу данного решения. Сегодня стоимость аппаратных средств во много раз меньше стоимости информации, содержащейся на устройствах. Потеря данных может привести к потере репутации, конкурентоспособности и потенциальным судебным тяжбам. Устройство похищено или утеряно - информация доступна посторонним. Для запрета несанкционированного доступа к данным и необходимо использовать шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного) либо продажи устройств, бывших в употреблении.

Поможет BitLocker

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии обороны данных на компьютере. Технологий шифрования жесткого диска существует великое множество. Естественно, после успешной реализации технологии BitLocker в составе Windows Vista Enterprise и Windows Vista Ultimate компания Microsoft не могла не включить эту технологию в Windows 7. Впрочем, справедливости ради стоит отметить, что в новой версии мы увидим значительно переработанную технологию шифрования.

Итак, наше знакомство начинается с установки Windows 7. Если в Windows Vista для последующего использования шифрования требовалось вначале с помощью командной строки подготовить жесткий диск, разметив его соответствующим способом или сделать это позднее, используя специальную программу Microsoft BitLocker Disk Preparation Tool, то в Windows 7 проблема решается изначально, при разметке жесткого диска. В моем случае при установке я задал один системный раздел емкостью в 39 Гбайт, а получил два! Один из которых размером в 38 Гбайт с небольшим, а второй 200 Мбайт.

Откроем консоль управления дисками (Start, All Programs, Administrative Tools, Computer Management, Disk Management), см. .

Как видите, первый раздел размером в 200 Мбайт просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в Windows Vista, нового на данном этапе ничего нет, кроме того, что разбивка проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, что бросается в глаза, это его размер в 200 Мбайт против 1,5 Гбайт в Windows Vista. Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая операционную систему, не сразу задумывается о том, будет ли он шифровать жесткий диск.

В случае с Windows 7 сразу же после установки операционной системы в Control Panel в разделе System and Security можно выбрать BitLocker Drive Encryption. Щелкнув по ссылке Protect your computer by encrypting data on your disk, вы попадаете в окно, показанное на .

Обратите внимание (на рисунке выделено красным цветом) на функции, которые в Windows Vista отсутствуют или организованы иначе. Так, в Windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что, как только вы выберете Turn on BitLocker, все заработает так, как нужно. При включении BitLocker без дополнительных параметров все, что вы получите, это шифрование жесткого диска на данном компьютере без применения модуля ТРМ. Впрочем, у пользователей в некоторых странах, например в Российской Федерации или на Украине, просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае после щелчка по Turn on BitLocker мы попадаем на экран 3.

Если же есть возможность использовать ТРМ или существует необходимость задействовать всю мощь шифрования, следует воспользоваться редактором групповых политик, набрав в командной строке gpedit.msc. Откроется окно редактора (см. ).

Рассмотрим подробнее параметры групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Параметры групповой политики BitLocker

Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 и Windows Vista). С помощью данного параметра групповой политики вы можете сделать так, чтобы Active Directory Domain Services (AD DS) резервировал информацию для последующего восстановления BitLocker Drive Encryption. Данная возможность применима только к компьютерам, работающим под Windows Server 2008 или Windows Vista.

Если этот параметр будет задан, при включении BitLocker информация, необходимая для его восстановления, будет автоматически скопирована в AD DS. Если отключить данный параметр политики или оставить его по умолчанию, информация для восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password. Этот параметр позволит задать каталог по умолчанию, отображаемый мастером BitLocker Drive Encryption при запросе местонахождения папки для сохранения пароля восстановления. Данный параметр применяется, когда включается шифрование BitLocker. Пользователь может сохранить пароль восстановления и в любой другой папке.

Choose how users can recover BitLocker-protected drives (Windows Server 2008 и Windows Vista). Данный параметр позволит управлять режимами восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением Windows Server 2008 и Windows Vista. Данный параметр применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данного параметра можно разрешить сохранение на USB-диск 256-разрядного ключа пароля в виде скрытого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления. В случае, если вы отключите или не будете настраивать это правило групповой политики, мастер установки BitLocker позволит выбрать варианты восстановления.

Choose drive encryption method and cipher strength. С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization. Данное правило политики позволит создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и может быть обновлен для существующих дисков, зашифрованных с использованием BitLocker с помощью программного обеспечения командной строки - Manage-BDE.

Второе поле идентификатора применяется в сочетании с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками. Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart. Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако следует понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не настроено, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера. Для усиления защиты данное правило стоит оставить в состоянии по умолчанию.

Configure smart card certificate object identifier. Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Fixed Data Drives

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives. Данное правило позволит определить, можно ли использовать смарт-карты для разрешения доступа к данным на жестком диске компьютера. Если вы отключаете это правило, смарт-карты использовать нельзя. По умолчанию смарт-карты могут применяться.

Deny write access to fixed drives not protected by BitLocker. Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны для чтения и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of Windows. Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило включено или не настроено, диски данных, отформатированные с файловой системой FAT, могут быть доступны для чтения на компьютерах с перечисленными выше операционными системами. Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Это правило не относится к дискам, форматированным под NTFS.

Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, можно установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности необходимо установить требование к сложности пароля в разделе «Политики паролей» групповой политики.

Если данное правило определено, пользователи могут настраивать пароли, отвечающие выбранным требованиям. Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered. Данное правило позволит управлять восстановлением зашифрованных дисков. Если оно не настроено или заблокировано, то доступны возможности восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup. Это правило групповой политики позволит задать использование для идентификации Trusted Platform Module (ТМР). Стоит учесть, что при запуске может быть задана только одна из функций, иначе произойдет ошибка в реализации политики.

Если данное правило включено, пользователи смогут настраивать расширенные возможности запуска в мастере установки BitLocker. Если политика отключена или не настроена, основные функции можно настраивать только на компьютерах с ТРМ. Если вы хотите использовать PIN и USB-диск, необходимо настраивать BitLocker, используя командную строку bde, вместо мастера BitLocker Drive Encryption.

Require additional authentication at startu (Windows Server 2008 and Windows Vista). Данное правило политики применимо только к компьютерам, работающим под управлением Windows 2008 или Windows Vista. На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности - PIN-код (от 4 до 20 цифр). На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен - мастер отобразит окно, в котором пользователь сможет настраивать дополнительные параметры запуска BitLocker. Если же данный параметр отключен или не настроен, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup. С помощью данного параметра задаются настройки минимальной длины PIN-кода для запуска компьютера. PIN-код может включать от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered. С помощью данного правила групповой политики можно определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile. С помощью данного правила можно настраивать модуль ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете указывать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Removable Data Drives

Control use of BitLocker on removable drives. С помощью данного правила групповой политики можно управлять шифрованием BitLocker на сменных дисках. Вы можете выбрать, с помощью каких параметров пользователи смогут настраивать BitLocker. В частности, для разрешения запуска мастера установки шифрования BitLocker на сменном диске необходимо выбрать Allow users to apply BitLocker protection on removable data drives.

Если вы выберете Allow users to suspend and decrypt BitLocker on removable data drives, то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не настроено, пользователи могут задействовать BitLocker на съемных носителях. Если правило отключено, то пользователи не смогут применять BitLocker на съемных дисках.

Configure use of smart cards on removable data drives. С помощью данной установки политики определяют, можно ли задействовать смарт-карты для аутентификации пользователя и его доступа к сменным дискам на компьютере.

Deny write access to removable drives not protected BitLocker. С помощью данного правила политики можно запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker, будут доступны только для чтения.

Если будет выбран вариант Deny write access to devices configured in another organization, запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным в правиле групповой политики Provide the unique identifiers for your organization.

Если вы отключили данное правило или оно не настроено, то все сменные диски будут доступны и для чтения и для записи. Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило Removable Disks: Deny write access разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows. Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не настроено, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length. Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите применять пароль, вы сможете установить требования к его сложности и минимальную длину. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered. Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Переходим к процессу шифрования. Изменения в групповой политике позволяют более широко использовать возможности шифрования BitLocker, и для закрепления навыков работы с ней попробуем зашифровать: системный диск, диск с данными, сменные носители, как под NTFS, так и под FAT (будем считать, что компьютер обладает установленным модулем ТРМ).

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под Windows XP SP2, так и под Windows Vista SP1.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (см. ).

Затем в разделе Operation System Drive выбираем правило Require additional authentication at startup (см. ).

После этого установим минимальную длину PIN-кода, равную 6 символам, с помощью правила Configure minimum PIN length for startup. Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов.

При этом необходимо помнить, что нужно выставить такие же требования к парольной защите через редактор политик.

Для сменных дисков выберем следующие настройки:

• не разрешать читать сменные диски с файловой системой FAT под старыми версиями Windows;
• пароли должны удовлетворять требованиям сложности;
• минимальная длина пароля 8 символов.

После этого командой gpupdate.exe/force в окне командной строки обновим политику.

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем Require a PIN at every startup (см. экран 7).

После этого перезагружаем систему, и процесс шифрования диска С начинается.

Похожим образом шифруется и второй раздел нашего жесткого диска - диск D (см. экран 8).

Перед шифрованием диска D мы должны задать пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине и сложности пароля. Следует учесть, что можно открывать этот диск на компьютере автоматически. Как и ранее, сохраним пароль восстановления на USB-диск. Нужно иметь в виду, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Попробуем теперь зашифровать USB-диск, отформатированный под файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля 8 символов. При этом пароль должен соответствовать требованиям сложности. После ввода пароля нам предложат сохранить ключ восстановления в файл или распечатать его.

По окончании шифрования попробуем просмотреть этот USB-диск на другом компьютере, работающем под Windows Vista Home Premium SP1. Результат показан на экране 9.

Как видите, в случае потери диска информация не будет прочитана, более того, скорее всего, диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением Windows 7 Beta1 можно увидеть сообщение, показанное на экране 10.

Итак, мы рассмотрели, как будет производиться шифрование в Windows 7. По сравнению с Windows Vista, появилось гораздо больше правил в групповых политиках, соответственно возрастет ответственность ИТ-персонала за их правильное применение и взаимодействие с сотрудниками.

«БитЛокер» представляет собой проприетарную технологию, которая дает возможность обеспечивать защиту информации посредством комплексного шифрования разделов. Сам ключ может размещаться в «TRM» либо на устройстве USB.

TPM (Trusted Platform Module ) – это криптопроцессор, в котором размещаются криптоключи для защиты данных. Используется для того, чтобы:

• выполнять аутентификацию ;
• защищать информацию от кражи;
• управлять сетевым доступом;
• защищать программное обеспечение от изменений;
• защищать данные от копирования.

Модуль «Trusted Platform Module» в BIOS

Обыкновенно модуль запускается в рамках процесса модульной инициализации, его не нужно включать/выключать. Но если необходимо, осуществить активацию возможно посредством консоли управления модулем.

1. Нажмите в меню «Пуск» кнопку «Выполнить », напишите tpm. msc .
2. В разделе «Действие» выберите «Включить TPM ». Ознакомьтесь с руководством.
3. Перезагрузите ПК , следуйте рекомендациям «БИОС», отображаемым на мониторе.

Как включить «БитЛокер» без «Trusted Platform Module» в Windows 7, 8, 10

При запуске шифровального процесса «БитЛокер» для системного раздела на ПК многих юзеров появляется уведомление «Данное устройство не может применять доверенный платформенный модуль. Администратору нужно активировать параметр. Разрешить применение BitLocker без совместимого TPM ». Чтобы применять шифрование, нужно отключить соответствующий модуль.

Отключение использования модуля TPM

Для того чтобы можно было выполнить шифрование системного раздела без «Trusted Platform Module», нужно поменять настройки параметра в редакторе GPO (локальные групповые политики) ОС.

Как включить «БитЛокер»

Для того чтобы выполнить запуск «БитЛокер», необходимо следовать такому алгоритму:

1. Щелкните правой клавишей мышки по меню «Пуск», нажмите на «Панель управления ».
2. Кликните по «».
   
3. Нажмите на «Включить BitLocker ».
   
4. Подождите, пока закончится проверка, щелкните «Далее ».
   
5. Прочтите инструкции, кликните по клавише «Далее ».
   
6. Запустится процесс подготовки, при котором не стоит отключать ПК. В противном случае вы не сможете загрузить операционную систему.
   
7. Щелкните по клавише «Далее ».
   
8. Введите пароль, который станет применяться для разблокирования диска при запуске ПК. Кликните по клавише «Далее ».
   
9. Выберите метод сохранения ключа восстановления. Данный ключ позволит получить доступ к диску при утрате пароля. Щелкните «Далее».
   
10. Выберите шифрование всего раздела . Кликните «Далее».
    
11. Нажмите на «Новый режим шифрования », щелкните «Далее».
    
12. Отметьте пункт «Запустить проверку системы BitLocker », щелкните «Продолжить».
    
13. Выполните перезагрузку ПК.
14. При включении ПК наберите пароль, указанный при шифровании. Щелкните кнопку ввода.
    
15. Шифрование запустится сразу после загрузки ОС. Кликните по значку «БитЛокер» в панели уведомлений, чтобы посмотреть прогресс. Помните, что шифровальный процесс может отнимать немало времени. Все зависит от того, какой памятью располагает системный раздел. При выполнении процедуры ПК будет работать менее производительно, так как на процессор идет нагрузка.

Как отключить BitLocker

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй - про настройку безопасной передачи данных в почтовом клиенте:

1. Как при помощи токена сделать Windows домен безопаснее? Часть 1 .
2. Как при помощи токена сделать Windows домен безопаснее? Часть 2 .

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) - это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод - это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM - микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
   К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
   Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
   И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
   Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей - проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker .

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption .

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI .

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» - Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств .

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows .

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker .

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано .
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key ).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье .

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

• FILE - весь раздел, зашифрованный BitLocker, расшифровывается в файл.
• FUSE - расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту и скомпилировать ее:

tar -xvjf dislocker.tar.gz

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

sudo apt-get install libfuse-dev

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

cd src/ make make install

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

• Encrypted-partition- для зашифрованного раздела;
• Decrypted-partition - для расшифрованного раздела.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(вместо recovery_key подставьте свой ключ восстановления)

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

ls Encrypted-partition/

Введем команду для монтирования раздела:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.