BitLocker шифрування та безпечні паролі, База корисних знань

Один з основних напрямків сучасної обчислювальної техніки – мобільність пристроїв. Що чудово підходить для багатьох завдань, але в цьому є і суттєвий недолік - збільшення числа залишених у поїзді, вкрадених або випадково втрачених та пошкоджених пристроїв. За 2013 рік в одній тільки Великій Британії їх було вкрадено або втрачено понад 880000.

Більшість із втрачених або вкрадених пристроїв, потім були перепродані на чорному ринку покупцям, які нічого не підозрювали (або ні), і пристрій отримав друге життя. Деякі випадки крадіжки набагато серйозніші, пристрої були вкрадені на замовлення, для отримання доступу до корпоративної мережі або даних, що містяться на них.

Більшість власників ноутбуків повністю покладаються на введену в комп'ютер комбінацію з імені користувача/паролю, припускаючи, що це достатній захист від несанкціонованого доступу до корпоративних даних або особистої інформації (для домашніх користувачів). Цей процес захисту аутентифікації використовує протокол NTLM і вважається відмінним, перевіреним методом безпеки. Але це завжди так.

BitLocker шифрування

Більшість користувачів не знають (а дізнавшись відчувають справжній шок), що просте вилучення жорсткого диска зі вкраденого, втраченого або пошкодженого ноутбука і підключення його до іншого комп'ютера дозволяє будь-якому користувачеві з правами адміністратора на локальному комп'ютері, прочитати і витягти всю інформацію, що міститься на жорсткому диску без будь-яких спеціальних навичок, інструментів або паролів, повністю минаючи вбудовані системи безпеки Windows.

Програмне забезпечення від сторонніх виробників, для шифрування диска та захисту його від цього методу доступу до даних,застосовується багато років. У Microsoft інструмент BitLocker Drive Encryption з'явився ще в Windows Vista, що дозволило користувачам і підприємствам повністю шифрувати жорсткий диск своїх ПК, тим самим запобігаючи несанкціонованому доступу до даних, навіть якщо диск втрачений і піддався щойно викладеному процесу. BitLocker базується на технології шифрування, яка працює під капотом Windows, і гарантує, що пристрій в безпеці.

Проте, незважаючи на доступність BitLocker та інших подібних інструментів, лише незначна частина пристроїв зашифрована своїми власниками. У Windows, 8.1 і пізніших версіях ОС, Microsoft дала можливість BitLocker шифрування на всіх пристроях, що поставляються OEM за замовчуванням. Після того, як новий власник увійшов на свій пристрій за допомогою облікового запису Microsoft, шифрування BitLocker завершено, і ключі відновлення BitLocker автоматично зберігаються у власному OneDrive сховище (раніше відомому як SkyDrive), яке доступне за підпискою на сторінку onedrive.live.com/recoverykey .

BitLocker є надзвичайно ефективним способом захисту пристроїв Windows. Він шифрує всі ключові файли комп'ютера, включаючи операційну систему, реєстр, сплячий режим, файли підкачки, всі дані користувача, інформаційні програми та налаштування.

Ключ необхідний BitLocker для надання доступу до даних, що зберігається в спеціальному мікрочіпі на материнській платі пристрою, і називається Trusted Platform Module (TPM) чіп. ТРМ чіпи ще років п'ять тому були досить рідкісні, але тепер вони стали звичною справою і використовуються як частина офіційного програмного забезпечення для сертифікації апаратних засобів. Більшість доступних сьогодні систем підтримує 1,2 або 2 версії TPM.

TPM – це апаратнепристрій BitLocker використовує для безпечного зберігання 128-бітових ключів шифрування AES. Ви можете переглянути, чи має ваш пристрій чіп TPM і перевірити номер його версії за допомогою інструмента адміністрування TPM на панелі керування.

Як визначити, чи є на вашому комп'ютері TPM чіп:

  1. Відкрийте панель керування, виберіть «Система та безпека» та натисніть кнопку «Шифрування диска BitLocker».
  2. Натисніть "Адміністрація ТРМ".
  3. Відобразиться консоль керування TPM на локальному комп'ютері (MMC).
  4. Зверніть увагу на повідомлення у центрі MMC.
  5. Якщо ПК не має TPM, з'явиться повідомлення «Сумісний модуль TPM не знайдено».

Але BitLocker можна увімкнути і на пристроях без чіпа TPM, а розблокування цих пристроїв вимагатиме від користувача ввести ключ розблокування, або надати ключ USB, що містить USB.

У цьому випадку, навіть якщо диск вилучено з пристрою, злодій отримати будь-які дані не зможе, тому що зашифрований BitLocker носій має бути розблокований за допомогою чіпа TPM (або ключа). В іншому випадку привід залишається повністю зашифрованим.

Якщо ви використовуєте сучасну операційну систему, побачити, чи має пристрій чіп TPM і BitLocker шифрування, ви можете за допомогою елемента панелі управління BitLocker Drive Encryption в секції система та безпека.

Корпоративними середовищами Windows 8 Pro та Windows 8 Enterprise Edition можна керувати за допомогою групової політики, а ключі відновлення BitLocker централізувати в доменних службах Active Directory, використовуючи інструмент адміністрування та моніторингу Microsoft BitLocker (MBAM).

MBAM дозволяє наступні завдання управління:

  • Розгортання та відновлення ключівшифрування
  • Централізований контроль та облік
  • Ініціалізація зашифрованих дисків
  • Підтримка зашифрованих дисків, у тому числі можливість користувачам відновити свої ключі
  • Забезпечення дотримання організаційних політик BitLocker.

Шифрування диска BitLocker можна встановити на різних версіях Windows.