Bitlocker se može zaobići. Šifrovanje sistemskog diska pomoću BitLocker-a

Izlaskom operativnog sistema Windows 7 mnogi korisnici su se suočili s činjenicom da se u njemu pojavila pomalo nerazumljiva BitLocker usluga. Šta je BitLocker, mnogi mogu samo da nagađaju. Pokušajmo razjasniti situaciju konkretnim primjerima. Usput ćemo razmotriti pitanja koliko je svrsishodno aktivirati ovu komponentu ili je potpuno onemogućiti.

BitLocker: šta je BitLocker, zašto je potreban

Kada ga pogledate, BitLocker je univerzalan i potpuno automatizovani objekat pohranjene na tvrdom disku. Šta je BitLocker na čvrstom disku? To je samo usluga koja, bez intervencije korisnika, štiti datoteke i mape tako što ih šifrira i kreira poseban tekstualni ključ koji omogućava pristup dokumentima.

Kada korisnik radi u sistemu pod sopstvenim nalogom, možda i ne zna da su podaci šifrovani, jer se informacije prikazuju u čitljivom obliku, a pristup fajlovima i fasciklama nije blokiran. Drugim riječima, takvo sredstvo zaštite je dizajnirano samo za one situacije kada se radi na terminalu računala, na primjer, kada se pokuša interferirati izvana (Internet napadi).

Problemi sa lozinkom i kriptografijom

Ipak, ako govorimo o tome šta je BitLocker Windows 7 ili sistemi višeg ranga, vrijedi napomenuti neugodnu činjenicu da ako se izgubi lozinka za prijavu, mnogi korisnici ne samo da se ne mogu prijaviti na sistem, već i izvršiti neke radnje kako bi pogledajte dokumente koji su prethodno bili dostupni za kopiranje, premještanje itd.

Ali to nije sve. Ako se bavite pitanjem šta je BitLocker Windows 8 ili 10, onda nema posebnih razlika, osim što imaju napredniju tehnologiju kriptografije. Ovdje je problem očigledno drugačiji. Činjenica je da sama usluga može raditi u dva načina, pohranjujući ključeve za dešifriranje ili na tvrdi disk ili na prenosivi USB disk.

Otuda se nameće najjednostavniji zaključak: ako na hard disku postoji sačuvan ključ, korisnik dobija pristup svim informacijama pohranjenim na njemu bez ikakvih problema. Ali kada je ključ sačuvan na fleš disku, problem je mnogo ozbiljniji. U principu, možete vidjeti šifrirani disk ili particiju, ali ne možete pročitati informacije.

Osim toga, ako govorimo o tome šta je BitLocker Windows 10 ili sistemi više rane verzije, treba napomenuti da je usluga integrisana u kontekst menije bilo koje vrste, pozivaju se desnim klikom, što je jednostavno neugodno za mnoge korisnike. Ali nemojmo biti ispred sebe, već razmotrimo sve glavne aspekte koji se odnose na rad ove komponente i preporučljivost njenog korištenja ili deaktiviranja.

Tehnika šifriranja za diskove i prenosive medije

Najčudnije je to što na različitim sistemima i njihovim modifikacijama, BitLocker servis može biti lociran prema zadanim postavkama iu aktivnom iu pasivni način rada... U "sedam" je to podrazumevano omogućeno, u osmoj i desetoj verziji ponekad je potrebna ručna aktivacija.

Što se šifriranja tiče, ništa posebno novo nije izmišljeno. U pravilu se koristi ista AES tehnologija javnog ključa, koja se najčešće koristi u korporativnim mrežama. Stoga, ako je terminal vašeg računara sa odgovarajućim operativnim sistemom povezan na lokalna mreža, možete biti sigurni da primjenjiva politika sigurnosti i zaštite podataka podrazumijeva aktivaciju ove usluge. Bez administratorskih prava (čak i ako pokrenete promjenu postavki kao administrator), nećete moći ništa promijeniti.

Uključite BitLocker ako je usluga deaktivirana

Prije nego što odlučimo o problemu koji se odnosi na BitLocker (kako onemogućiti uslugu, kako ukloniti njene komande iz kontekstnog izbornika), pogledajmo omogućavanje i konfiguraciju, pogotovo jer će se koraci deaktivacije morati izvesti obrnutim redoslijedom.

Omogućavanje enkripcije na najjednostavniji način vrši se iz "Control Panel" odabirom sekcije.Ovaj metod je primjenjiv samo ako ključ ne treba pohraniti na prenosivi medij.

U slučaju da je medij koji se ne može ukloniti, morat ćete pronaći odgovor na još jedno pitanje o usluzi BitLocker: kako onemogućiti ovu komponentu na USB fleš disku? Ovo se radi prilično jednostavno.

Pod uslovom da se ključ nalazi tačno na prenosivom mediju, da biste dešifrovali diskove i particije diska, prvo ga morate umetnuti u odgovarajući port (konektor), a zatim otići u odeljak „Kontrolna tabla“ sigurnosnog sistema. Nakon toga nalazimo stavku BitLocker šifriranja, a zatim gledamo diskove i medije na kojima je instalirana zaštita. Na samom dnu će se prikazati hiperveza za onemogućavanje enkripcije na koju morate kliknuti. Ako se ključ prepozna, aktivira se proces dešifriranja. Ostaje samo čekati do kraja njegovog izvršenja.

Problemi s konfiguracijom komponenti ransomware-a

Kada je u pitanju prilagođavanje, glavobolja je neizostavna. Prvo, sistem nudi rezervisanje najmanje 1,5 GB za vaše potrebe. Drugo, morate konfigurirati dozvole datoteke NTFS sistemi, smanjite veličinu volumena itd. Da ne biste radili takve stvari, bolje je odmah onemogućiti ovu komponentu, jer većini korisnika jednostavno nije potrebna. Čak i svi oni kojima je ova usluga uključena u podrazumevanim postavkama takođe ne znaju uvek šta da rade sa njom, da li je uopšte potrebna. Ali uzalud. Može se koristiti za zaštitu podataka na lokalnom računalu čak i ako ne postoji antivirusni softver.

BitLocker: kako onemogućiti. Prva faza

Ponovo koristimo prethodno naznačenu stavku u "Control Panel". U zavisnosti od modifikacije sistema, nazivi polja za onemogućavanje usluge mogu se promeniti. Odabrana disk jedinica može imati zaštitni niz za pauzu ili direktnu indikaciju da onemogućite BitLocker.

Nije to poenta. Ovdje vrijedi obratiti pažnju na činjenicu da ćete morati potpuno onemogućiti datoteke za pokretanje računarskog sistema. U suprotnom, proces dešifriranja može potrajati dugo.

Kontekstni meni

Ovo je samo jedna strana medalje sa BitLocker servisom. Šta je BitLocker je verovatno već jasno. Ali Druga strana je takođe izolovati dodatni meniji iz prisustva u njima veza do ove usluge.

Da bismo to uradili, pogledajmo još jednom BitLocker. Kako da uklonim veze ka servisu sa svih? Osnovno! U "Exploreru", kada je odabrana potrebna datoteka ili mapa, koristimo odjeljak usluge i uredimo odgovarajući kontekstni meni, idemo na postavke, zatim koristimo postavke komande i uredimo ih.

Nakon toga u uređivaču registra idite na granu HKCR, gdje nalazimo odjeljak ROOTDirectoryShell, proširite ga i izbrišite željenu stavku pritiskom na tipku Del ili naredbu delete iz menija desnog klika. Zapravo, evo posljednje stvari u vezi sa BitLocker komponentom. Kako to onemogućiti, mislim, već je jasno. Ali nemojte laskati sebi. Ipak, ova usluga će raditi (za svaki slučaj), htjeli vi to ili ne.

Umjesto pogovora

Ostaje da dodamo da je to daleko od svega o čemu se može reći komponenta sistema BitLocker enkripcija. Šta je BitLocker, shvatio sam kako ga onemogućiti i ukloniti komande menija - također. Pitanje je da li se isplati isključiti BitLocker? Ovdje možete dati samo jedan savjet: u korporativnom LAN-u ne biste trebali uopće deaktivirati ovu komponentu. Ali ako je ovo terminal kućnog računara, zašto ne?

Postoji mnogo razloga zašto su sistemski diskovi šifrirani. Svako ima svoje i nema smisla o njima raspravljati, pa idemo na postavljanje enkripcije sistemski disk.
Većina modernih PC diskova sada ima tabelu particija diska. GPT, tako da većina starijih sistema za šifrovanje ne može da šifruje sistemski disk (zbog činjenice da nemaju pokretač EFI). Dakle, jedini izbor ostaje - BitLocker.
Nažalost, nemaju sva izdanja Windows-a mogućnost korištenja BitLocker-a.
BitLocker i BitLocker To Go prisutna samo u izdanjima Windows Server , Enterprise i Profesionalno... Ako imate drugu verziju, morat ćete ili nadograditi na ove verzije ili odbiti instalaciju BitLocker.

Plus za BitLocker poželjno je imati Modul pouzdane platforme (TPM) modul u PC/laptop/tabletu. TPM to je poseban kripto procesor koji pohranjuje kriptografske ključeve za zaštitu informacija.

Ako ne TPM modula, prvo morate omogućiti mogućnost korištenja BitLocker bez TPM, inače ćemo vidjeti poruku sljedećeg oblika (ako je prisutan TPM, odmah pređite na postavljanje šifriranja):

Pokretanje BitLocker-a bez TPM-a

Odbijanje TPM modul zahtijeva promjenu lokalnog grupna politika.

Politika lokalne grupe

Pokrećemo komandnu liniju. V Windows 8.1 da biste to uradili, kliknite desnim tasterom miša u donjem levom uglu ekrana i izaberite Komandna linija(administrator).
U prozor koji se pojavi unesite:

gpedit. msc

i pritisnite Enter.

Urednik lokalnih grupnih politika

U prozoru uređivača lokalnih grupnih politika (na lijevoj strani) idite na adresu:
Konfiguracija računara->Administrativni šabloni->Windows komponente ->Ova postavka pravila vam omogućava da odaberete BitLocker šifriranje diska->Diskovi operativnog sistema
Na desnoj strani nalazimo parametar: Ova postavka politike vam omogućava da prilagodite zahtjeve dodatna verifikacija autentičnost pri pokretanju i kliknite na njega 2 puta.

Podešavanje parametara

Sada morate promijeniti ovaj parametar.
Uključujemo ga.
Označavamo potvrdni okvir pored natpisa: Ova postavka pravila vam omogućava da dozvoliteBitLocker bez kompatibilnog TPM-a (zahteva lozinku ili ključ za pokretanje na USB fleš disku) i proverite sve ostale parametre. Nakon toga pritisnemo uredu i zatvorite uređivač. Uređivanje politike lokalne grupe je završeno. Možete nastaviti sa instalacijom BitLocker.

Kontrolna tabla

Idite na kontrolnu tablu i odaberite BitLocker šifrovanje disk jedinice.

BitLocker šifrovanje disk jedinice

Mi biramo Uključite BitLocker nasuprot sistemskoj disk jedinici.

Metoda otključavanja diska

Odabir načina za otključavanje diska. V u ovom slučaju odaberite otključavanje lozinkom, za ovo pritisnite unesite lozinku.

Kreirajte lozinku

Unesite lozinku dva puta (prateći preporuke) i kliknite Dalje.

Ključ za oporavak

Odaberite gdje želite sačuvati ključ za oporavak. Ne može se pohraniti na šifrirani disk. Dok se ključ ne sačuva, instalacija se ne može nastaviti. U našem slučaju, spremamo ga u datoteku ( Sačuvaj u datoteku).

Očuvanje ključa

Odaberite lokaciju za pohranjivanje ključa za oporavak. Sačuvao sam ga na fleš disk.

Kako će disk biti šifriran

Ovisno o vašim potrebama, biramo kako će disk biti šifriran.
Možete birati između:
Samo šifriranje zauzeto mesto(radi brže, optimalno za nove računare i diskove)
i
Šifrirajte cijeli disk (radi sporije, pogodno za PC i diskove koji se već koriste)

Šifrirati ovaj disk?

Prije početka šifriranja, preporučuje se Pokreni provjeru BitLocker sistemi ... Računar će se ponovo pokrenuti i zatražiti ključ za dešifriranje diska. Ako sve prođe kako treba, šifriranje će početi.

Šifrovanje će početi nakon ponovnog pokretanja računara

Kliknite na ikonu Bitlocker'a.

Ponovo pokreni

Mi biramo Ponovo pokreni sada.

Unos lozinke

Unesite lozinku za verifikaciju Bitlocker... U budućnosti će se ovaj ekran pojavljivati ​​pri svakom pokretanju.

Šifriranje je u toku

Nakon preuzimanja, šifriranje će početi automatski. Da vidite preostali procenat - kliknite na ikonu Bitlocker„I u sistemskoj paleti.

Šifriranje u toku...

Šifriranje diska je u toku. Brzina šifriranja zavisi od performansi računara i veličine diska.

Šifriranje diska je završeno

Disk je šifriran. Podaci su sigurni.

Naručite sigurnosnu reviziju ili pentest vaše IT infrastrukture Biti siguran u svoju IT infrastrukturu znači biti siguran u budućnost.

Mnogi ljudi koriste funkciju Windows šifriranja, ali ne razmišljaju svi o sigurnosti ove metode zaštite podataka. Danas ćemo razgovarati o Bitlocker enkripciji i pokušati shvatiti koliko je dobro implementirana Windows zaštita diska.

Usput, o tome kako postaviti Bitlocker možete pročitati u članku „“.

• Predgovor
• Kako Bitlocker radi
• Ranjivosti
• Ključevi za oporavak
• Otvaranje BitLocker-a
• BitLocker To Go
• Zaključak

Ovaj članak je napisan u istraživačke svrhe. Sve informacije u njemu su samo u informativne svrhe. Namijenjen je sigurnosnim profesionalcima i onima koji to žele postati.

Kako Bitlocker radi

Šta je Bitlocker?

BitLocker je izvorna funkcija šifriranja diska u radu Windows sistemi 7, 8, 8.1, 10. Ova funkcija omogućava vam da bezbedno šifrujete poverljive podatke na vašem računaru, kako na HDD-u i SSD-u, tako i na prenosivim medijima.

Kako funkcioniše BitLocker?

Pouzdanost BitLocker-a ne treba suditi po ugledu na AES. Iskreno rečeno, popularni standard šifriranja možda nije slabe tačke, ali njegova implementacija u specifične kriptografske proizvode često obiluje njima. Kompletan kod Microsoft ne otkriva BitLocker tehnologiju. Poznato je samo da u različite verzije Windows je bio baziran na različitim šemama, a promjene nisu ni na koji način komentarisane. Štaviše, u verziji 10586 Windowsa 10 jednostavno je nestao, a nakon dvije verzije ponovo se pojavio. Međutim, prvo o svemu.

Prva verzija BitLockera koristila je način lančanja blokova šifrovanog teksta (CBC). Već tada su njegovi nedostaci bili očigledni: lakoća napada korišćenjem dobro poznatog teksta, slaba otpornost na napade kao što je lažiranje i tako dalje. Stoga je Microsoft odmah odlučio da pojača zaštitu. Već u Visti, algoritam Elephant Diffuser je dodat u AES-CBC šemu, što otežava direktno poređenje blokova šifrovanog teksta. Kod njega je isti sadržaj dva sektora dao potpuno različite rezultate nakon enkripcije jednim ključem, što je zakomplikovalo izračunavanje općeg obrasca. Međutim, sam ključ je po defaultu bio kratak - 128 bita. Može se produžiti na 256 bita kroz administrativne politike, ali vrijedi li to učiniti?

Za korisnike, nakon promjene ključa, spolja se ništa neće promijeniti - ni dužina unesenih lozinki, niti subjektivna brzina operacija. Kao i većina sistema za potpunu enkripciju diska, BitLocker koristi više ključeva... i nijedan od njih nije vidljiv korisnicima. Evo dijagram strujnog kola BitLocker.

• Kada se BitLocker aktivira pomoću generatora pseudo-slučajnih brojeva, generiše se glavni niz bitova. Ovo je ključ za šifriranje volumena - FVEK (pun volumen ključ za šifriranje). Sa njima je sadržaj svakog sektora od sada šifrovan.
• Zauzvrat, FVEK je šifriran pomoću drugog ključa - VMK (glavni ključ volumena) - i pohranjen je šifriran među metapodacima volumena.
• Sam VMK je također šifriran, ali već Različiti putevi po izboru korisnika.
• Na novijim matičnim pločama, VMK je šifriran prema zadanim postavkama pomoću korijenskog ključa za pohranu (SRK), koji je pohranjen u zasebnom kriptoprocesoru - modulu pouzdane platforme (TPM). Korisnik nema pristup TPM sadržaju i jedinstven je za svaki računar.
• Ako na ploči nema zasebnog TPM čipa, tada se umjesto SRK-a za šifriranje VMK ključa koristi PIN kod koji je unio korisnik ili USB-Flash disk povezan na zahtjev sa ključnom informacijom unaprijed snimljenom na njemu.
• Uz TPM ili USB stick, VMK možete zaštititi lozinkom.

Takve opšta šema BitLocker je nastavio da funkcioniše i kasnije Windows izdanja do sadašnjeg vremena. Međutim, načini generiranja i šifriranja BitLocker ključeva su se promijenili. Tako je u oktobru 2014. Microsoft tiho uklonio dodatni algoritam Elephant Diffuser, ostavljajući samo AES-CBC šemu sa svojim poznatim nedostacima. U početku, ne zvaničnih izjava... Ljudi su jednostavno dobili oslabljenu tehnologiju šifriranja s istim imenom pod krinkom ažuriranja. Nejasna objašnjenja za ovaj potez došla su nakon što su nezavisni istraživači primijetili pojednostavljenja BitLockera.

Formalno, napuštanje Elephant Diffusora je bilo potrebno kako bi se osigurala usklađenost Windows zahtjevi Federalni standard za obradu informacija (FIPS), ali jedan argument pobija ovu verziju: Vista i Windows 7, koji su koristili Elephant Diffuser, prodavani su u Americi bez problema.

Još jedan očigledan razlog za napuštanje dodatnog algoritma je nedostatak hardverskog ubrzanja za Elephant Diffuser i gubitak brzine prilikom njegovog korištenja. Međutim, ranijih godina, kada su procesori bili sporiji, brzina enkripcije je iz nekog razloga bila ok. A isti AES se naširoko koristio čak i prije nego što su postojali zasebni skupovi instrukcija i specijalizirani čipovi za njegovo ubrzanje. Vremenom je bilo moguće napraviti hardversko ubrzanje za Elephant Diffuser, ili barem dati kupcima izbor između brzine i sigurnosti.

Druga, nezvanična verzija izgleda realnije. "Elephant" je ometao zaposlene koji su želeli da ulože manje truda u dešifrovanje sledećeg diska, a Microsoft rado stupa u interakciju sa nadležnima čak i u slučajevima kada njihovi zahtevi nisu u potpunosti legalni. Indirektno potvrđuje teoriju zavjere i činjenicu da je prije Windowsa 8, BitLocker koristio Windows ugrađeni generator pseudo-slučajnih brojeva za generiranje ključeva za šifriranje. U mnogim (ako ne i svim) izdanjima Windowsa, ovo je bio Dual_EC_DRBG, "kriptografski jak PRNG" koji je razvila Američka agencija za nacionalnu sigurnost i koji sadrži niz inherentnih ranjivosti.

Naravno, tajno slabljenje ugrađene enkripcije izazvalo je snažan val kritika. Pod njenim pritiskom, Microsoft je ponovo napisao BitLocker, zamenivši PRNG u novim izdanjima Windows-a sa CTR_DRBG. Dodatno, u Windows 10 (počevši od verzije 1511), zadana šema šifriranja je AES-XTS, koja je imuna na manipulaciju blokovima šifrovanog teksta. V najnovije verzije Ispravljene su desetine drugih poznatih BitLocker grešaka, ali glavni problem i dalje ostao. To je toliko apsurdno da obesmišljava druge inovacije. TO JE o principima ključnog menadžmenta.

BitLocker dešifrovanje je takođe pojednostavljeno činjenicom da Microsoft aktivno promoviše alternativna metoda vraćanje pristupa podacima preko Data Recovery Agenta. Značenje "Agenta" je da šifrira ključeve za šifriranje svih diskova unutar poslovne mreže sa jednim ključem pristup. Nakon što ga dobijete, možete dešifrirati bilo koji ključ, a time i bilo koji disk koji koristi ista kompanija. Zgodno? Da, posebno za hakovanje.

Ideja o korištenju jednog ključa za sve brave već se više puta kompromitirala, ali joj se i dalje vraćaju u ovom ili onom obliku radi pogodnosti. Evo kako je Ralph Leighton zapisao memoare Richarda Feynmana o karakterističnoj epizodi njegovog rada na projektu "Manhattan" godine. Laboratorija u Los Alamosu: “…Otvorio sam tri sefa – i to sva tri sa jednom kombinacijom. Sve sam ih završio: otvorio sam sefove sa svim tajnama atomske bombe - tehnologijom dobijanja plutonijuma, opisom procesa prečišćavanja, informacijama koliko je materijala potrebno, kako bomba radi, kako se dobijaju neutroni, kako bomba radi, koje su njene dimenzije, jednom riječju, sve. šta su znali u Los Alamosu, cijelu kuhinju!“

BitLocker je donekle sličan sigurnom uređaju opisanom u drugom odlomku iz knjige "Vi se, naravno, šalite, gospodine Fejnman!" Najimpresivniji sef u strogo povjerljivoj laboratoriji imao je istu ranjivost kao i jednostavan ormarić za dosije. “… Bio je to pukovnik, i imao je mnogo lukaviji sef sa dvoja vrata i velikim ručkama koje su izvukle četiri čelične šipke debljine tri četvrt inča iz okvira. Pregledao sam poleđinu jednih od impozantnih bronzanih vrata i otkrio da je digitalni brojčanik spojen na mali katanac koji je izgledao baš kao brava na mom ormaru u Los Alamosu. Bilo je očigledno da sistem poluge zavisi od iste male šipke koja je zaključavala ormariće za dosije. Prikazujući neku aktivnost, počeo sam da okrećem točkić nasumično. Dvije minute kasnije - klik! - sef se otvorio. Kada su vrata sefa ili gornja fioka ormarića otvorena, vrlo je lako pronaći kombinaciju. Ovo sam uradio kada ste pročitali moj izveštaj, samo da vam pokažem opasnost."

BitLocker kripto kontejneri su sami po sebi prilično pouzdani. Ako vam donesu BitLocker To Go-šifrovani fleš disk koji je došao niotkuda, malo je verovatno da ćete ga dešifrovati u razumnom roku. Međutim, u stvarnom scenariju korištenja šifriranih diskova i prenosivi medij puna ranjivosti koje je lako iskoristiti da bi se zaobišlo BitLocker.

BitLocker ranjivosti

Vjerovatno ste primijetili da kada prvi put aktivirate Bitlocker, morate dugo čekati. To nije iznenađujuće - proces enkripcije sektor po sektor može potrajati nekoliko sati, jer čak i za čitanje svih blokova terabajta HDD brži ne uspijeva. Međutim, onemogućavanje BitLockera je gotovo trenutno - kako to?

Činjenica je da kada je onemogućen, Bitlocker ne dešifruje podatke. Svi sektori će ostati šifrirani sa FVEK ključem. Samo pristup ovom ključu više neće biti ni na koji način ograničen. Sve provjere će biti onemogućene, a VMK će ostati zabilježen među metapodacima u otvorena forma... Svaki put kada se računar uključi, učitavač OS će pročitati VMK (već bez TPM provere, traženja ključa na USB fleš disku ili lozinke), automatski dešifrujući FVEK pomoću njega, a zatim sve datoteke kada im se pristupa. Za korisnika će sve izgledati tako potpuno odsustvo enkripcije, ali najpažljiviji mogu primijetiti blagi pad performansi diskovni podsistem... Preciznije - nema povećanja brzine nakon onemogućavanja enkripcije.

Zanimljivo za ovu šemu i više. Uprkos nazivu (tehnologija pune šifrovanja diska), neki podaci su još uvek nešifrovani kada se koristi BitLocker. MBR i BS ostaju u otvorenom obliku (osim ako disk nije inicijaliziran u GPT), loši sektori i metapodaci. Otvorite bootloader daje prostor za maštu. Pogodno je sakriti drugi zlonamjerni softver u pseudo-lošim sektorima, a metapodaci sadrže mnogo zanimljivih stvari, uključujući ključne kopije. Ako je Bitlocker aktivan, oni će biti šifrirani (ali slabije nego što FVEK šifrira sadržaj sektora), a ako je deaktiviran, onda će jednostavno biti u čistom tekstu. Ovo su sve potencijalni vektori napada. Potencijalni su jer, pored njih, postoje mnogo jednostavniji i univerzalniji.

Bitlocker ključ za oporavak

Uz FVEK, VMK i SRK, BitLocker koristi drugu vrstu ključa koji se generiše "za svaki slučaj". Ovo su ključevi za oporavak povezani s drugim popularnim vektorom napada. Korisnici se plaše da zaborave svoju lozinku i izgube pristup sistemu, a sam Windows im preporučuje da izvrše hitnu prijavu. Da biste to uradili, uključen je čarobnjak za šifrovanje BitLocker posljednja faza traži od vas da kreirate ključ za oporavak. Nije predviđeno odbijanje kreiranja. Možete odabrati samo jednu od ključnih opcija izvoza, od kojih je svaka vrlo ranjiva.

U zadanim postavkama, ključ se izvozi kao jednostavan tekstualni fajl sa prepoznatljivim imenom: "BitLocker recovery key #", gdje je identifikator računara upisan umjesto # (da, tačno u nazivu datoteke!). Sam ključ izgleda ovako.

Ako ste zaboravili (ili nikada niste znali) svoju BitLocker lozinku, samo potražite datoteku ključa za oporavak. Sigurno će biti sačuvan među dokumentima trenutni korisnik ili na njegovom USB sticku. Možda je čak i odštampan na komadu papira, kao što Microsoft preporučuje.

Da biste brzo pronašli ključ za oporavak, zgodno je ograničiti pretragu prema ekstenziji (txt), datumu kreiranja (ako znate kada ste otprilike mogli uključiti BitLocker) i veličini datoteke (1388 bajtova ako datoteka nije uređivana). Kada pronađete ključ za oporavak, kopirajte ga. Pomoću njega možete zaobići standardnu ​​autorizaciju u BitLockeru u bilo kojem trenutku. Da biste to učinili, samo pritisnite Esc i unesite ključ za oporavak. Ulogovaćete se bez ikakvih problema i čak možete promeniti lozinku u BitLocker-u u proizvoljnu bez navođenja stare!

Otvaranje BitLocker-a

Real kriptografski sistem je kompromis između pogodnosti, brzine i pouzdanosti. Trebao bi osigurati procedure za transparentno šifriranje s dešifriranjem u hodu, metode za vraćanje zaboravljenih lozinki i praktičan rad s ključevima. Sve ovo slabi svaki sistem, bez obzira na to koliko robusnim algoritmima se zasniva. Stoga nije potrebno tražiti ranjivosti direktno u Rijndael algoritmu ili u različitim šemama AES standarda. Mnogo ih je lakše pronaći upravo u specifičnostima određene implementacije.

U slučaju Microsofta takve "specifičnosti" su dovoljne. Na primer, kopije BitLocker ključeva se podrazumevano šalju na SkyDrive i deponuju u Active Directory.

Pa, šta ako ih izgubite... ili agent Smith pita. Nezgodno je držati klijenta na čekanju, a kamoli agenta. Iz tog razloga poređenje kriptografska snaga AES-XTS i AES-CBC sa Elephant Diffuser blede u pozadinu, kao i preporuke za povećanje dužine ključa. Bez obzira koliko je dugo, napadač će ga lako ući unencrypted formu.

Dobijanje deponovanih ključeva sa Microsoft ili AD naloga je primarni način za napad na BitLocker. Ako korisnik nije registrovao nalog u Microsoft oblaku, a njegov računar nije u domeni, još uvek postoje načini za ekstrahovanje ključeva za šifrovanje. Tokom normalnog rada, njihove otvorene kopije su uvijek pohranjene u RAM-u (inače ne bi bilo "transparentnog šifriranja"). To znači da su dostupni u njegovom dump-u i datoteci hibernacije.

Zašto su uopće tamo pohranjeni?

Koliko god smiješno izgledalo - zbog pogodnosti. BitLocker je dizajniran da štiti samo od napada van mreže. Uvijek ih prati ponovno pokretanje i povezivanje diska u drugi OS, što dovodi do čišćenja RAM-a. Međutim, u podrazumevanim postavkama, OS vrši ispis RAM-a kada dođe do kvara (koji se može isprovocirati) i upisuje sav njegov sadržaj u datoteku hibernacije svaki put kada računar pređe u duboko spavanje. Stoga, ako ste se nedavno prijavili na Windows sa aktiviranim BitLocker-om, postoji dobra šansa da dobijete dešifrovanu kopiju VMK-a i uz njegovu pomoć dešifrujete FVEK, a zatim i same podatke duž lanca.

Provjeri? Sve gore navedene metode hakovanja BitLocker-a sakupljene su u jednom programu - razvijenom u domaćoj kompaniji "Elcomsoft". Može automatski izdvojiti ključeve za šifriranje i montirati šifrirane volumene kao virtuelne diskove, dešifrirajući ih u hodu.

Dodatno, EFDD implementira još jedan netrivijalan način dobijanja ključeva - napad preko FireWire porta, koji je preporučljiv kada nije moguće pokrenuti vaš softver na napadnutom računaru. Uvek instaliramo sam EFDD program na naš računar, a na hakovanom pokušavamo da uradimo sa minimalnim potrebnim radnjama.

Kao primjer, jednostavno ćemo pokrenuti testni sistem sa aktivnim BitLockerom i tiho izbaciti memoriju. Tako ćemo simulirati situaciju u kojoj je kolega izašao na ručak i nije zaključao kompjuter. Pokrećemo ga i za manje od minuta dobijamo punu dump u fajlu sa ekstenzijom .mem i veličinom koja odgovara količini RAM-a instalirane na računaru žrtve.

Kako odložiti - do uglavnom nema razlike. Bez obzira na proširenje, funkcionirat će. binarni fajl, koje će EFDD automatski analizirati u potrazi za ključevima.

Zapisujemo dump na USB fleš disk ili ga prenosimo preko mreže, nakon čega sjedamo za svoj kompjuter i pokrećemo EFDD.

Odaberite opciju "Izdvoji ključeve" i unesite putanju do datoteke sa memorijom kao izvorom ključa.

BitLocker je tipičan kripto kontejner kao što je PGP Disk ili TrueCrypt. Pokazalo se da su ovi kontejneri sami po sebi prilično pouzdani, ali klijentske aplikacije za rad s njima pod Windowsom su prepune ključeva za šifriranje u RAM-u. Stoga, EFDD implementira generički scenario napada. Program trenutno pronalazi ključeve za šifriranje iz sve tri vrste popularnih kripto-kontejnera. Stoga, možete ostaviti sva polja označena - šta ako žrtva tajno koristi ili PGP!

Nakon nekoliko sekundi, Elcomsoft Forensic Disk Decryptor prikazuje sve pronađene ključeve u svom prozoru. Radi praktičnosti, mogu se spremiti u datoteku - to će vam dobro doći u budućnosti.

BitLocker više nije prepreka! Možete izvesti klasičan oflajn napad - na primjer, izvaditi tvrdi disk i kopirati njegov sadržaj. Da biste to uradili, jednostavno ga povežite sa računarom i pokrenite EFDD u režimu "dešifrovanje ili montiranje diska".

Nakon što odredite putanju do datoteka sa sačuvanim ključevima, EFDD po ​​vašem izboru će izvršiti potpunu dešifriranje volumena ili ga odmah otvoriti kao virtuelni disk... V poslednji slučaj datoteke se dešifriraju kako im se pristupa. U svakom slučaju, originalni volumen se ne mijenja, tako da ga sutradan možete vratiti kao da se ništa nije dogodilo. Rad sa EFDD-om odvija se bez traga i samo sa kopijama podataka, te stoga ostaje nevidljiv.

BitLocker To Go

Počevši od "sedam" u Windows-u, postalo je moguće šifrirati fleš diskove, USB-HDD i druge eksterne medije. Tehnologija pod nazivom BitLocker To Go šifrira prenosive diskove baš kao i lokalne diskove. Šifrovanje je omogućeno odgovarajućom stavkom u kontekstnom meniju Explorera.

Za nove diskove možete koristiti šifriranje samo zauzetog područja - svejedno, slobodni prostor particije je ispunjen nulama i tu se nema šta sakriti. Ako je disk već korišten, preporučuje se da na njemu omogućite potpunu enkripciju. U suprotnom, prostor označen kao slobodan će ostati nešifrovan. Može sadržavati nedavno izbrisane datoteke u čistom tekstu koji još nisu prepisani.

Čak i brzo šifrovanje samo zauzetog područja traje od nekoliko minuta do nekoliko sati. Ovo vrijeme zavisi od količine podataka, propusni opseg interfejs, karakteristike skladištenja i brzina kriptografskih proračuna procesora. Pošto je šifrovanje praćeno kompresijom, slobodni prostor na šifrovanom disku obično se neznatno povećava.

Sledeći put kada povežete šifrovani fleš disk sa bilo kojim Windows 7 ili novijim računarom, čarobnjak za BitLocker će se automatski pozvati da otključa disk. U "Exploreru" će prije otključavanja biti prikazan kao zaključan disk.

Ovdje možete koristiti obje prethodno razmatrane opcije zaobilaženja BitLocker-a (na primjer, traženje VMK-a u dampu memorije ili hibernacije), kao i nove koje se odnose na ključeve za oporavak.

Ako ne znate lozinku, ali ste uspjeli pronaći jedan od ključeva (ručno ili pomoću EFDD), tada postoje dvije glavne opcije za pristup šifriranom fleš disku:

• koristite ugrađeni BitLocker čarobnjak za direktan rad sa fleš diskom;
• koristite EFDD za potpuno dešifrovanje fleš disk i kreiranje njegove slike sektor po sektor.

Prva opcija vam omogućava da odmah pristupite datotekama snimljenim na USB fleš disku, kopirate ih ili promijenite, kao i da napišete svoje. Druga opcija traje mnogo duže (od pola sata), ali ima svoje prednosti. Dešifrovana slika sektor po sektor omogućava sofisticiraniju analizu sistema datoteka na nivou forenzičke laboratorije. U tom slučaju, sam fleš disk više nije potreban i može se vratiti nepromijenjen.

Rezultirajuća slika se može odmah otvoriti u bilo kojem programu koji podržava IMA format ili prvo konvertovati u drugi format (na primjer, korištenjem UltraISO).

Naravno, osim lociranja ključa za oporavak za BitLocker2Go, u EFDD-u su podržane sve druge metode zaobilaženja BitLocker-a. Samo kružite kroz sve dostupne opcije zaredom dok ne pronađete ključ bilo koje vrste. Ostatak (do FVEK-a) će sami biti dešifrovani duž lanca, a vi ćete dobiti pun pristup na disk.

Zaključak

BitLocker tehnologija potpunog šifriranja diska razlikuje se od verzije do verzije Windowsa. Nakon adekvatne konfiguracije, omogućava vam da kreirate šifrovane kontejnere koji su teoretski uporedivi po snazi ​​sa TrueCrypt ili PGP. Međutim, ugrađeni ključni mehanizam u Windowsu negira sve algoritamske trikove. Konkretno, VMK koji se koristi za dešifrovanje glavnog ključa u BitLocker-u se oporavlja pomoću EFDD-a za nekoliko sekundi od deponovanog duplikata, deponije memorije, datoteke hibernacije ili napada na FireWire port.

Nakon što dobijete ključ, možete izvršiti klasični oflajn napad, diskretno kopirati i automatski dešifrirati sve podatke na "sigurnom" disku. Stoga, BitLocker treba koristiti samo u kombinaciji sa drugim zaštitama: Encrypting File System (EFS), Rights Management Service (RMS), kontrola pokretanja programa, instalacija uređaja i kontrola povezivanja, kao i strožije lokalne politike i opšte mere sigurnost.

U članku se koriste materijali sa stranice: (84ckf1r3).

Prema mišljenju stručnjaka, upravo je krađa laptopa jedan od glavnih problema na polju sigurnost informacija(IB).

Za razliku od drugih prijetnji cyber sigurnosti, priroda problema "ukraden laptop" ili "ukraden fleš disk" je prilično primitivna. A ako cijena nestalih uređaja rijetko prelazi oznaku od nekoliko hiljada američkih dolara, onda se vrijednost informacija pohranjenih na njima često mjeri milionima.

Prema Dell i Ponemon institutu, 637.000 laptopa nestane svake godine na američkim aerodromima. Zamislite koliko fleš diskova nestane, jer su mnogo manji, a slučajno ispuštanje fleš diska je lako kao ljuštenje krušaka.

Kada nestane laptop koji pripada vrhunskom menadžeru velika kompanija, šteta od jedne takve krađe može iznositi desetine miliona dolara.

Kako zaštititi sebe i svoju kompaniju?

Nastavljamo seriju članaka o Windows sigurnost domena. U prvom članku iz serije govorili smo o postavljanju sigurne prijave na domenu, au drugom o postavljanju siguran prenos podaci u mail klijentu:

U ovom članku ćemo govoriti o postavljanju enkripcije informacija pohranjenih na vašem tvrdom disku. Shvatićete kako da se uverite da niko osim vas ne može da pročita informacije pohranjene na vašem računaru.

Malo ljudi zna da Windows ima ugrađene alate koji vam pomažu da bezbedno pohranjujete informacije. Hajde da razmotrimo jednu od njih.

Sigurno su neki od vas čuli riječ "BitLocker". Hajde da vidimo šta je to.

Šta je BitLocker?

BitLocker, takođe poznat kao BitLocker Drive Encryption, je tehnologija šifrovanja disk jedinice računara koju je razvio Microsoft. Prvi put se pojavio u operativnom sistemu Windows Vista.

WITH koristeći BitLocker bilo je moguće šifrirati volumene tvrdi diskovi, ali kasnije, već u Windows 7, pojavila se slična BitLocker To Go tehnologija, koja je dizajnirana za šifriranje prijenosnih diskova i flash diskova.

BitLocker je standardna funkcija Windows Professional i serverske verzije Windowsa, što znači da je u većini slučajeva korporativne upotrebe već dostupan. U suprotnom, morat ćete nadograditi svoju Windows licencu na Professional.

Kako funkcioniše BitLocker?

Ova tehnologija je zasnovana na enkripciji punog volumena pomoću algoritma Advanced Encryption Standard (AES). Ključevi za šifrovanje moraju biti bezbedno pohranjeni, a BitLocker ima nekoliko mehanizama za to.

Najjednostavniji, ali u isto vrijeme i najnesigurniji metod je lozinka. Ključ se dobija iz lozinke svaki put na isti način, pa će prema tome, ako neko sazna vašu lozinku, tada će biti poznat i ključ za šifrovanje.

Da bi se izbjeglo pohranjivanje ključa u čistom tekstu, može se šifrirati ili u TPM (Trusted Platform Module) ili na kriptografskom tokenu ili pametnoj kartici koja podržava RSA 2048 algoritam.

TPM je čip dizajniran za implementaciju osnovnih sigurnosnih funkcija, uglavnom koristeći ključeve za šifriranje.

TPM modul se obično instalira na matičnu ploču računara, međutim, veoma je teško kupiti računar sa ugrađenim TPM modulom u Rusiji, jer je uvoz uređaja u našu zemlju bez obaveštenja FSB-a zabranjen.

Korištenje pametne kartice ili tokena za otključavanje diska jedan je od najsigurnijih načina kontrole ko je i kada izvršio proces. Za deblokiranje, u ovom slučaju, potrebne su i sama pametna kartica i PIN kod na nju.

Kako BitLocker radi:

1. Kada se BitLocker aktivira pomoću generatora pseudo-slučajnih brojeva, generiše se glavni niz bitova. Ovaj ključ za šifriranje volumena je FVEK (ključ za šifriranje punog volumena). On šifrira sadržaj svakog sektora. FVEK se čuva u najstrožoj tajnosti.
2. FVEK je šifriran pomoću glavnog ključa volumena (VMK). FVEK (šifrovan sa VMK) je pohranjen na disku među metapodacima volumena. Istovremeno, nikada ne bi trebalo da dođe do diska u dešifrovanom obliku.
3. Sam VMK je takođe šifrovan. Korisnik bira metodu šifriranja.
4. VMK je standardno šifriran s korijenskim ključem za pohranu (SRK) pohranjenim na kriptografskoj pametnoj kartici ili tokenu. Isti put ovo se dešava i sa TPM-om.
   Usput, BitLocker sistemski ključ za šifriranje ne može se zaštititi pametnom karticom ili tokenom. To je zbog činjenice da se biblioteke dobavljača koriste za pristup pametnim karticama i tokenima i, naravno, nisu dostupne prije nego što se OS učita.
   Ako ne postoji TPM, BitLocker će od vas zatražiti da sačuvate ključ sistemska particija na USB stick, što svakako nije najbolja ideja. Ako vaš sistem nema TPM, onda ne preporučujemo šifriranje diskova sistema.
   I općenito, šifriranje sistemskog pogona je loša ideja. Kada su ispravno konfigurisani, svi važni podaci se čuvaju odvojeno od sistemskih podataka. To je barem zgodnije sa njihove tačke gledišta Rezervna kopija... Osim toga, šifriranje sistemskih datoteka smanjuje performanse sistema u cjelini, a rad nešifrovanog sistemskog diska sa šifriranim datotekama odvija se bez gubitka brzine.
5. Ključevi za šifriranje za druge nesistemske i uklonjive diskove mogu se zaštititi pomoću pametne kartice ili tokena i TPM-a.
   Ako ne postoji TPM ili pametna kartica, tada se umjesto SRK-a koristi ključ generiran iz lozinke koju ste unijeli za šifriranje VMK-a.

Kada se pokrene sa šifrovanog diska za pokretanje, sistem ispituje sva moguća skladišta ključeva - provjerava TPM, provjerava USB portove ili, ako je potrebno, traži od korisnika (što se zove oporavak). Otkrivanje skladišta ključeva omogućava Windows-u da dešifruje VMK, koji dešifruje FVEK, koji već dešifruje podatke na disku.

Svaki sektor volumena se šifrira zasebno, pri čemu je dio ključa za šifriranje određen brojem ovog sektora. Kao rezultat toga, dva sektora koja sadrže iste nešifrirane podatke izgledat će različito u šifriranom obliku, što uvelike otežava proces određivanja ključeva za šifriranje snimanjem i dešifriranjem prethodno poznatih podataka.

Uz FVEK, VMK i SRK, BitLocker koristi drugu vrstu ključa koji se generiše "za svaki slučaj". Ovo su ključevi za oporavak.

Za hitne slučajeve (korisnik je izgubio token, zaboravio svoj PIN, itd.) BitLocker uključen poslednji korak traži od vas da kreirate ključ za oporavak. Odbijanje da se kreira u sistemu nije predviđeno.

Kako mogu omogućiti šifriranje podataka na svom tvrdom disku?

Prije nego započnete proces šifriranja volumena na vašem tvrdom disku, važno je uzeti u obzir da će ovaj postupak potrajati neko vrijeme. Njegovo trajanje ovisit će o količini informacija na tvrdom disku.

Ako se računar isključi ili pređe u hibernaciju tokom procesa šifrovanja ili dešifrovanja, ovi procesi će se nastaviti sa mesta gde su stali sledeći put kada pokrenete Windows.

Čak i tokom procesa šifriranja, Windows se može koristiti, ali je malo vjerovatno da će vas zadovoljiti svojim performansama. Kao rezultat toga, nakon šifriranja, performanse diska se smanjuju za oko 10%.

Ako je BitLocker dostupan na vašem sistemu, onda kada kliknete desni klik na naziv diska koji treba šifrirati, u meniju koji se otvori, stavku Uključite BitLocker.

Na serverskim verzijama Windowsa morate dodati ulogu BitLocker šifrovanje disk jedinice.

Počnimo s konfiguriranjem šifriranja nesistemskog volumena i zaštitimo ključ za šifriranje pomoću kriptografskog tokena.

Koristit ćemo token koji proizvodi kompanija Aktiv. Konkretno, Rutoken token EDS PKI.

I. Pripremimo Rutoken EDS PKI za rad.

U većini normalno konfigurisanih Windows sistema, nakon prvog povezivanja Rutokena, PKI EDS se automatski preuzima i instalira posebna biblioteka za rad sa tokenima kompanije Aktiv - Aktiv Rutoken minidriver.

Proces instalacije takve biblioteke je sljedeći.

Dostupnost biblioteke minidriver Aktiv Rutoken možete provjeriti putem Menadžer uređaja.

Ako se preuzimanje i instalacija biblioteke iz nekog razloga nije dogodila, tada bi trebali instalirati Rutoken Drivers for Windows kit.

II. Hajde da šifriramo podatke na disku koristeći BitLocker.

Kliknite na naziv diska i odaberite stavku Uključite BitLocker.

Kao što smo ranije rekli, koristit ćemo token za zaštitu ključa za šifriranje diska.
Važno je shvatiti da za korištenje tokena ili pametne kartice sa BitLocker-om ona mora imati RSA 2048 ključeve i certifikat na sebi.

Ako koristite ovlaštenje za izdavanje certifikata u Windows domena, tada predložak certifikata mora sadržavati opseg certifikata "Šifriranje diska" (više o postavljanju ovlaštenja za izdavanje certifikata u našoj seriji članaka o sigurnosti Windows domene).

Ako nemate domenu ili ne možete promijeniti politiku za izdavanje certifikata, tada možete koristiti alternativni put, koristeći samopotpisani certifikat, detaljno je opisano kako sami napisati samopotpisani certifikat.
Sada označimo odgovarajući okvir.

U sljedećem koraku ćemo odabrati metodu za spremanje ključa za oporavak (preporučamo da odaberete Odštampajte ključ za oporavak).

Papir sa odštampanim ključem za oporavak treba čuvati na sigurnom mestu, po mogućnosti u sefu.

U sljedećem koraku ćemo započeti proces šifriranja diska. Nakon što završite ovaj proces, možda ćete morati ponovo pokrenuti sistem.

Kada omogućite šifriranje, promijenit će se ikona šifriranog diska.

A sada, kada pokušamo da otvorimo ovaj disk, sistem će tražiti da ubacimo token i unesemo njegov PIN.

Raspoređivanje i konfigurisanje BitLocker-a i TPM se može automatizirati pomoću WMI alata ili skripti Windows PowerShell... Način na koji se skripte implementiraju zavisi od okruženja. Komande za BitLocker u Windows PowerShell-u opisane su u članku.

Kako povratiti podatke šifrirane BitLockerom ako je token izgubljen?

Ako želite da otvorite šifrovane podatke u Windows-u

Da biste to učinili, potreban vam je ključ za oporavak koji smo ranije ispisali. Samo ga unesite u odgovarajuće polje i otvorit će se šifrirani odjeljak.

Ako želite da otvorite šifrovane podatke na GNU / Linux i Mac OS X sistemima

Ovo zahtijeva uslužni program DisLocker i ključ za oporavak.

DisLocker radi na dva načina:

• DATOTEKA - Cijela BitLocker šifrirana particija se dešifruje u datoteku.
• FUSE - dešifruje se samo blok kojem sistem pristupa.

Na primjer, koristit ćemo operacijsku salu Linux sistem i FUSE uslužni način rada.

U najnovijim verzijama uobičajenih Linux distribucija, paket dislocker je već uključen u distribuciju, na primjer, u Ubuntuu, počevši od verzije 16.10.

Ako paket dislocker iz nekog razloga nije bio tamo, morate preuzeti uslužni program i kompajlirati ga:

tar -xvjf dislocker.tar.gz

Otvorimo datoteku INSTALL.TXT i provjerimo koje pakete trebamo instalirati.

U našem slučaju, moramo instalirati paket libfuse-dev:

sudo apt-get install libfuse-dev

Počnimo sa pravljenjem paketa. Idemo u src folder i upotrijebimo make i make install komande:

cd src / make make install

Kada je sve kompajlirano (ili ste instalirali paket), krenimo sa konfigurisanjem.

Idemo u mnt folder i kreiramo dva foldera u njemu:

• Encrypted-partition- za šifrovanu particiju;
• Dešifrovana particija - za dešifrovanu particiju.

cd / mnt mkdir Šifrirana-particija mkdir Dešifrirana-particija

Hajde da pronađemo šifrovanu particiju. Dešifrirajmo ga pomoću uslužnog programa i premjestimo ga u fasciklu Encrypted-partition:

dislocker -r -V / dev / sda5 -p recovery_key / mnt / šifrirana-particija(zamijenite svoj ključ za oporavak umjesto recovery_key)

Hajde da prikažemo listu datoteka koje se nalaze u fascikli Encrypted-partition:

ls šifrirana-particija /

Unesimo naredbu za montiranje particije:

mount -o petlja Driveq / dislocker-file Decrypted-partition /

Da vidite dešifrovanu particiju, idite u fasciklu Encrypted-partition.

Hajde da sumiramo

Omogućavanje šifriranja volumena pomoću BitLocker-a je vrlo jednostavno. Sve se to radi bez napora i besplatno (naravno, pod uslovom da imate profesionalnu ili serversku verziju Windows-a).

Kriptografski token ili pametna kartica mogu se koristiti za zaštitu ključa za šifriranje koji se koristi za šifriranje diska, što značajno povećava nivo sigurnosti.

čitaj, kako zaštititi tvrdi ili eksterni disk od neovlaštenog pristupa šifriranjem... Kako postaviti i koristiti ugrađenu Windows funkciju - BitLocker šifriranje. Operativni sistem vam omogućava da šifrirate lokalne diskove i prenosive uređaje koristeći ugrađeni BitLocker ransomware. Kada je TrueCrypt tim neočekivano zatvorio projekat, ohrabrili su svoje korisnike da pređu na BitLocker.

sadržaj:

Kako omogućiti Bitlocker

BitLocker Drive Encryption i BitLocker To Go zahtijevaju profesionalca, korporativna verzija Windows 8, 8.1 ili 10, ili Ultimate verzija Windowsa 7. Ali "kernel" OS-a Windows verzija 8.1 uključuje funkciju “Šifriranje uređaja” za pristup šifriranim uređajima.

Za omogući BitLocker otvoriti Kontrolna tabla i idite na Sistem i bezbednost - Šifrovanje diska sa BitLockerom. Možete i otvoriti Windows explorer, kliknite desnim tasterom miša na disk jedinicu i izaberite Uključi BitLocker. Ako ova opcija nije u meniju, onda imate nepodržanu verziju Windows-a.

Kliknite na opciju Omogući BitLocker na sistemskoj disk jedinici, bilo kojoj logičkoj particiji ili prenosivom uređaju da omogućite šifriranje. Dinamički diskovi se ne mogu šifrirati pomoću BitLocker-a.

Postoje dvije vrste BitLocker šifriranja koje možete omogućiti:

• Za logičku particiju... Omogućava vam šifriranje svih ugrađenih diskova, i sistemskih i ne. Kada uključite računar, bootloader pokreće Windows iz sekcije Sistem rezervisan, i nudi način otključavanja - na primjer, lozinku. BitLocker će zatim dešifrovati disk jedinicu i pokrenuti Windows. Proces šifriranja/dešifriranja će se odvijati u hodu, a vi ćete upravljati sistemom na isti način kao prije omogućavanja šifriranja. Takođe možete da šifrujete druge disk jedinice na svom računaru, ne samo disk operativnog sistema. Lozinka za pristup će se morati unijeti kada prvi put pristupite takvom disku.
• Za eksternih uređaja : Eksterni diskovi kao što su USB fleš diskovi i eksterni čvrsti diskovi mogu biti šifrovani pomoću BitLocker To Go. Od vas će biti zatraženo da unesete lozinku za otključavanje kada povežete disk sa računarom. Korisnici koji nemaju lozinku neće moći pristupiti datotekama na disku.

Korišćenje BitLocker-a bez TPM-a

Ako vaš modul pouzdane platforme (TPM) nedostaje, onda kada omogućite BitLocker, vidjet ćete poruku:

“Ovaj uređaj ne može koristiti modul pouzdane platforme (TPM). Administrator mora postaviti opciju "Dozvoli BitLocker bez kompatibilnog TPM-a" u politici obavezne dodatne provjere autentičnosti pri pokretanju za volumene OS-a.

Podrazumevano, Bitlocker šifrovanje disk jedinice zahteva TPM na računaru da bi obezbedio disk operativnog sistema. To je mikročip koji je ugrađen matična ploča kompjuter. BitLocker može pohraniti šifrirani ključ u TPM, što je mnogo sigurnije od čuvanja na tvrdom disku računara. TPM čip će dati ključ za šifriranje tek nakon provjere statusa računara. Napadač ne može jednostavno ukrasti hard disk vašeg računara ili stvoriti sliku šifrovanog diska, a zatim je dešifrovati na drugom računaru.

Da biste omogućili šifriranje diska bez TPM-a, morate imati administratorska prava. Morate otvoriti uređivač Lokalna grupa sigurnosnu politiku i promijenite potrebnu postavku.

Kliknite na Windows ključ+ R da pokrenete naredbu run, upišite gpedit.msc i pritisnite Enter. Idite na Politika "lokalni kompjuter" – "Konfiguracija računara" – "Administrativni šabloni" – Windows komponente – BitLocker šifrovanje disk jedinice- "Diskovi operativnog sistema". Dvaput kliknite na "Ova postavka politike vam omogućava da konfigurirate zahtjev za dodatnu autentifikaciju pri pokretanju." Promijenite vrijednost na Omogućeno i provjerite da li je "Dozvoli koristeći BitLocker bez kompatibilnog TPM-a”, a zatim kliknite na OK za spremanje.

Odaberite način otključavanja

Zatim morate odrediti metodu za otključavanje diska pri pokretanju. Možete odabrati različite puteve za otključavanje disk jedinice. Ako vaš računar nema TPM, disk jedinicu možete otključati unosom lozinke ili umetanjem posebnog USB sticka koji služi kao ključ.

Ako je vaš računar opremljen TPM-om, imat ćete pristup dodatne opcije... Na primjer, možete postaviti automatsko otključavanje pri pokretanju. Računar će tražiti lozinku za TPM modul i automatski će dešifrirati disk. Da biste povećali nivo sigurnosti, možete konfigurirati korištenje PIN koda prilikom preuzimanja. PIN kod će se koristiti za sigurno šifriranje ključa za otvaranje diska, koji je pohranjen u TPM-u.

Odaberite željeni način otključavanja i slijedite upute za daljnje podešavanje.

Sačuvajte svoj ključ za oporavak na sigurnom mjestu

BitLocker će vam dati ključ za oporavak prije šifriranja disk jedinice. Ovaj ključ će otključati šifrirani disk ako se vaša lozinka izgubi. Na primjer, izgubit ćete lozinku ili USB fleš disk koji se koristi kao ključ, ili će TPM modul prestati funkcionirati, itd.

Možete sačuvati ključ u fajlu, odštampati ga i pohraniti sa važnim dokumentima, sačuvati ga na USB fleš disk ili prenijeti na internet Microsoft nalog... Ako sačuvate ključ za oporavak na svoj Microsoft nalog, možete mu pristupiti kasnije na - https://onedrive.live.com/recoverykey. Pobrinite se da pohranite ovaj ključ na siguran način, ako neko dobije pristup njemu, može dešifrirati disk i dobiti pristup vašim datotekama. Ima smisla držati više kopija ovog ključa na različitim mjestima, jer ako nemate ključ i nešto se dogodi s vašim primarnim načinom otključavanja, vaše šifrirane datoteke će biti zauvijek izgubljene.

Dešifriranje i otključavanje diska

Jednom omogućen, BitLocker će automatski šifrirati nove datoteke kako se dodaju ili mijenjaju, ali možete odabrati kako ćete postupati s datotekama koje se već nalaze na vašem disku. Možete šifrirati samo prostor koji je trenutno zauzet ili cijeli disk. Šifriranje cijelog diska traje duže, ali će vas spriječiti da možete oporaviti sadržaj izbrisane datoteke... Ako postavljate BitLocker na novom računaru, šifrirajte samo iskorišćeni prostor na disku — to je brže. Ako postavljate BitLocker na prethodno korišćenom računaru, morate koristiti šifriranje cijelog diska.

Od vas će biti zatraženo da pokrenete BitLocker skeniranje sistema i ponovo pokrenete računar. Kada prvi put pokrenete računar, disk će biti šifrovan. Ikona BitLocker će biti dostupna u sistemskoj paleti, kliknite na nju da vidite napredak. Možete koristiti računar dok je disk šifrovan, ali će proces biti sporiji.

Nakon ponovnog pokretanja računara, videćete red za unos BitLocker lozinke, PIN-a ili upit za umetanje USB ključa.

Pritisnite Escape ako ne možete otključati. Od vas će se tražiti ključ za oporavak.

Ako odaberete da šifrirate prenosivi uređaj pomoću BitLocker To Go, vidjet ćete sličan čarobnjak, ali vaš disk će biti šifriran bez potrebe za ponovnim pokretanjem sistema. Ne prekidajte vezu uklonjivi uređaj tokom procesa enkripcije.

Kada povežete šifrovani fleš disk ili eksterni disk na računar, moraćete da unesete lozinku da biste ga otključali. Disk jedinice zaštićene BitLocker-om imaju posebnu ikonu u Windows Exploreru.

Možete upravljati zaštićenim diskovima u prozoru BitLocker kontrolne table - promenite lozinku, isključite BitLocker, uradite backup ključ za oporavak i druge radnje. Kliknite desnim tasterom miša na šifrovani disk i izaberite Uključi BitLocker da biste otišli na kontrolnu tablu.