Шифрування даних засобами Windows BitLocker

Компанія Microsoft позиціонує Windows Vista як найбільш захищену ОС із усього сімейства Windows. Заперечувати чи доводити це твердження у цій статті не будемо, але розглянемо новий засіб для захисту даних BitLocker.

Компанія Microsoft зараз активно просуває свою нову Windows Vista. Зокрема, позиціонує її як найбільш захищену ОС із усього сімейства Windows». Спростовувати або доводити це твердження в цій статті не будемо, але розглянемо новий і досить цікавий засіб для захисту даних у цій ОС. Отже, зустрічайте - BitLocker.

Цей засіб захисту даних з'явився у Windows Vista Enterprise/Ultimate/2008 Server. Існують дані про те, що з'явиться версія для Win XP/2003 Server.

Основна перевага BitLocker`а полягає в тому, що він шифрує відразу весь том жорсткого диска. Можливе також шифрування за допомогою TPM – чіпа (Trusted Platform Module) версії 1.2 та BIOS з підтримкою TPM та SRTM (Static Root of Trust Measurement, статичний корінь вимірювання довіри, описаний у специфікаціях TCG), також з використанням USB-ключа або ПІН – коду . Слід зазначити, що у більшості сучасних материнських плат цей чіп вже стоїть.

Основна відмінність для користувача (або системного адміністратора) від відомої функції шифрування, вбудовану у файлову систему NTFS – засіб EFS (Encrypted File System) – те, що в EFS необхідно вручну вказувати, які файли треба шифрувати, BitLocker ж здійснює шифрування прозоро, одночасно при записі на захищений ним том, при мінімумі втручань з боку користувача. BitLocker не шифрує такі елементи тому: метадані, завантажувальні сектори та пошкоджені сектори.

Слід мати на увазі, що BitLocker прив'язується до певного ПК і на іншому ПК(якщо він тільки не буде 100% ідентичний до вашого, що нереально), дані буде неможливо (або надзвичайно важко) прочитати навіть з використанням USB ключа.

Алгоритм, застосовуваний для шифрування – AES із довжиною ключа 128 чи 256 біт (змінюється з допомогою групових політик чи WMI).

Результат роботи BitLocker – те, що два сектори з однаковими даними у зашифрованому вигляді виглядатимуть по-різному. При завантаженні BitLocker в більшості випадків не вимагає втручання користувача.

Нижче наведені основні переваги та недоліки системи BitLocker:

  • Можливість контролю через Active Directory;
  • Робота алгоритму лише на рівні тому, що забезпечує високий рівень стійкості;
  • Можливість використання апаратного захисту – чіпа TPM;
  • Висока міра надійності;
  • Заснований на алгоритмі AES, що вважається алгоритмом із високим показником стійкості до злому;
  • Комп'ютер із чіпом TPM може перевірити цілісність завантажувальних компонентів до запуску ОС;
  • Ідеальне рішення для захисту від Offline атак (атаки з вимкненням);
  • Вартість системи включена у вартість ОС;
  • Висока продуктивність, непомітний під час роботи.

  • BitLocker поки що працює тільки на Windows Vista Enterprise/Ultimate/2008 Server;
  • Слабка попередня автентифікація - можливе створення руткіта, що змінює завантажувальні файли ОС - буде потрібно відновлення даних (при ісп. без TPM чіпа);
  • Середня підтримка багатофакторної аутентифікації (тільки TPM і USB-ключ);
  • Багато що доводиться робити через консоль;
  • Тісно інтегрований в ОС, що може призвести до витоку даних під час злому;
  • Нова система, можуть виявитися помилки розробки;
  • Потрібно Vista-сумісний комп'ютер.

Налаштування системи BitLocker

У цій частині ми розповімо, як увімкнути BitLocker. Глибоко копати не будемо, опишемо лише основні нюанси.

Передбачається, що ви вперше вмикаєте BitLocker на своїй машині. І що ви використовуєте шифрування за допомогою TPM (якщо це не так, то в кінці буде описано, як увімкнути систему без TPM).

Якщо ви вирішили використовувати BitLocker - переконайтеся, що томи Вашого жорсткого диска вже не зашифровані іншими засобами. Найбільш критичний у цьому плані активний розділ, з якого завантажується ОС! В іншому випадку системі не вдасться прочитати дані із завантажувального сектора диска, а також проініціалізувати компоненти завантаження ОС. Також інші модулі ОС можуть потребувати тимчасового доступу до активного розділу, тому слід надійти рекомендаціям Microsoft: відводити йому не менше 1,5 ГБ. І бажане налаштування дозволів NTFS, щоб інші користувачі не могли нічого записувати на цей том. Сама ОС буде встановлена ​​на інший том і його можна безболісно зашифрувати. У принципі, якщо на томі з активним розділом немає даних – можна особливо не смикатися. Тільки майте на увазі, що дані можна відновити за допомогою дослідження вмісту тимчасових папок системи та своп-файлу. Тому їх рекомендується розмістити на зашифрованому томі. Докладніше процес налаштування томів описаний у базі знань Microsoft. Також можна використовувати засіб для підготовки диска BitLocker, який знаходиться на DVD-диску з Windows Vista Ultimate/Enterprise. Але це добре для машин, де поки що немає даних, через які необхідно шифрувати том. До того ж все це можна зробити руками - цей засіб зменшує активний розмір до 1,5 гб, створює новий том і т.д. Далі йдемо в «панель управління» -"шифрування диска BitLocker" (якщо класичний вигляд) або у вкладці "безпека" (якщо веб-інтерфейс).

Після ініціалізації та перезавантаження з'явиться таке віконце:

шифрування

Тут вам пропонують зберегти на USB флеш/роздрукувати/зберегти на диск пароль відновлення. Поставтеся серйозно до цієї операції - без пароля дані (на сьогоднішній день) без спеціальних засобів відновити неможливо, оскільки дані шифруються 48-значним паролем. Не зберігайте пароль для відновлення на ту ж саму флеш, яка є ключем!

Після збереження пароля з'явиться кнопка «Далі» (Next), натиснувши яку можна буде зашифрувати том. Так, там буде запропоновано провести перевірку на предмет коректності роботи USB портів, TPM чіпа і BIOS комп'ютера. Хоча знадобиться перезавантаження, все ж таки настійно рекомендується провести перевірку. Якщо є помилки, вони з'являться після перезавантаження. Якщо ні - з'явиться напис "виконується шифрування ..." і після завершення його в треї з'явиться значок BitLocker. Якщо ж у вас немає TPM – чіпа, то треба налаштувати BitLocker відповідним чином… Хоча і в цьому випадку необхідна підтримка під час завантаження читання з USB-флеш, а також мати вільну флешку – вона буде потрібна при запуску BitLocker`a та увімкненні/перезавантаженні комп'ютера . Звичайно ж, ви можете записувати на цю флеш та інші дані, але врахуйте, що вони не будуть зашифровані. Отже, щоб увімкнути систему BitLocker без підтримки TPM, необхідно:

Зверніть увагу - USB-ключ необхідно вставляти до включення живлення ПК, інакше BitLocker може видати помилку - Windows BitLocker Drive Encryption key needed, тобто. немає флешки з ключем. Вставте флеш і натисніть Esc, щоб перезавантажити (повідомлення показано нижче).

Windows

Оскільки у житті всяке буває, системаможе збоїти, і тоді дані на зашифрованому томі виявляться недоступними. Як відновити дані?

Коли з'явиться екран, наведений вище, можна вставити USB-флеш із ключем. Якщо її немає, натисніть Enter. З'явиться екран, показаний нижче:

шифрування

До речі, цей екран з'явиться, якщо ви не вибирали опцію - «Збереження ключа на USB - флеш» при установці шифрування.

Тут вам пропонується запровадити 48-значний пароль відновлення. Якщо його немає – то відновити дані вже значно складніше і цей процес виходить за межі цієї статті.

Ось у принципі і все… Залишається лише помітити, що загалом BitLocker – це потужна та надійна система для зберігання ваших конфіденційних даних.