نصب، پیکربندی و استفاده از Bitlocker. نحوه غیرفعال کردن BitLocker: شروع به کار

سلام دوستان! در این مقاله، ما به بررسی سیستم‌های تعبیه‌شده در ویندوزهای طراحی‌شده برای بهبود امنیت داده‌هایمان ادامه خواهیم داد. امروزه این سیستم رمزگذاری دیسک Bitlocker است. رمزگذاری داده ها ضروری است تا افراد غریبه از اطلاعات شما استفاده نکنند. اینکه او چگونه به آنها می رسد یک سوال دیگر است.

رمزگذاری فرآیند تبدیل داده ها است به طوری که فقط افراد مناسب می توانند به آن دسترسی داشته باشند. معمولاً برای دسترسی از کلیدها یا رمزهای عبور استفاده می شود.

هنگامی که هارد دیسک خود را به رایانه دیگری متصل می کنید، رمزگذاری کل درایو از دسترسی به داده ها جلوگیری می کند. ممکن است یک سیستم عامل متفاوت بر روی سیستم مهاجم برای دور زدن حفاظت نصب شود، اما اگر از BitLocker استفاده می کنید، این کار کمکی نمی کند.

فناوری BitLocker با انتشار سیستم عامل ویندوز ویستا معرفی شد و در ویندوز 7 بهبود یافته است. Bitlocker در نسخه های Windows 7 Ultimate و Enterprise و همچنین در ویندوز 8 پرو موجود است. صاحبان نسخه های دیگر باید به دنبال جایگزینی باشند.

رمزگذاری درایو BitLocker چگونه کار می کند

بدون پرداختن به جزئیات، به نظر می رسد. سیستم کل درایو را رمزگذاری می کند و کلیدهای آن را به شما می دهد. اگر درایو سیستم را رمزگذاری کنید، کامپیوتر بدون کلید شما بوت نمی شود. همان کلیدهای آپارتمان. شما آنها را دارید، در آن سقوط خواهید کرد. گم شده، باید از یدک استفاده کنید (کد بازیابی (صدور در هنگام رمزگذاری)) و قفل را تغییر دهید (رمزگذاری مجدد با کلیدهای مختلف)

برای محافظت مطمئن، داشتن یک ماژول پلتفرم قابل اعتماد (TPM) در رایانه مطلوب است. اگر وجود داشته باشد و ورژن آن 1.2 یا بالاتر باشد، روند را کنترل می کند و روش های حفاظتی قوی تری خواهید داشت. اگر وجود نداشته باشد، استفاده از کلید در درایو USB امکان پذیر خواهد بود.

BitLocker به شرح زیر عمل می کند. هر بخش دیسک به طور جداگانه با استفاده از یک کلید رمزگذاری تمام حجم (FVEK) رمزگذاری می شود. از الگوریتم AES با کلید 128 بیتی و دیفیوزر استفاده شده است. کلید را می توان در سیاست های امنیتی گروه به 256 بیت تغییر داد.

برای انجام این کار، از جستجو در ویندوز 7 استفاده کنید. منوی استارت را باز کنید و در قسمت جستجو "policies" را بنویسید و Change Group Policy را انتخاب کنید.

در پنجره ای که در سمت چپ باز می شود، مسیر را دنبال کنید

پیکربندی رایانه > قالب های اداری > اجزای ویندوز > رمزگذاری درایو BitLocker

در سمت راست، روی Select a disk encryption method and cipher power دوبار کلیک کنید

در پنجره باز شده روی Enable Policy کلیک کنید. در قسمت Select an encryption method از لیست کشویی، موارد مورد نیاز را انتخاب کنید

قابل اعتمادترین AES با کلید دیفیوزر 256 بیتی است. در عین حال، به احتمال زیاد بار روی پردازنده مرکزی کمی بیشتر خواهد بود، اما نه چندان، و در رایانه های مدرن تفاوت را متوجه نخواهید شد. اما داده ها با اطمینان بیشتری محافظت می شوند.

استفاده از دیفیوزر قابلیت اطمینان را بیشتر می کند، زیرا منجر به تغییر قابل توجهی در اطلاعات رمزگذاری شده با تغییر جزئی در داده های اصلی می شود. یعنی هنگام رمزگذاری دو بخش با داده های عملاً یکسان، نتیجه به طور قابل توجهی متفاوت خواهد بود.

خود FVEK در میان ابرداده هارد دیسک قرار دارد و همچنین با استفاده از کلید اصلی صدا (VMK) رمزگذاری می شود. VMK نیز با استفاده از ماژول TPM رمزگذاری می شود. اگر مورد دوم وجود ندارد، از کلید موجود در درایو USB استفاده کنید.

اگر درایو USB با کلید در دسترس نیست، باید از کد بازیابی 48 رقمی استفاده کنید. پس از آن، سیستم می تواند کلید اصلی صدا را رمزگشایی کند، که با آن کلید FVEK را رمزگشایی می کند، که با آن قفل دیسک باز می شود و سیستم عامل بوت می شود.

بهبود BitLocker در ویندوز 7

هنگام نصب ویندوز 7 از درایو فلش یا از دیسک، پیشنهاد می شود دیسک را پارتیشن بندی یا پیکربندی کنید. هنگام پیکربندی دیسک، یک پارتیشن بوت 100 مگابایتی اضافی ایجاد می شود. احتمالاً من تنها کسی نبودم که در مورد انتصاب آن سؤال داشتم. این بخش است که برای کارکرد فناوری Bitlocker مورد نیاز است.

این بخش مخفی و قابل بوت است و رمزگذاری نشده است در غیر این صورت امکان بوت کردن سیستم عامل وجود نخواهد داشت.

در ویندوز ویستا، این پارتیشن یا حجم باید 1.5 گیگابایت باشد. در ویندوز 7 100 مگابایت ساخته شد.

اگر هنگام نصب سیستم عامل، با برنامه های شخص ثالث خرابی ایجاد کردید، یعنی پارتیشن بوت ایجاد نکردید، در ویندوز 7 BitLocker خود پارتیشن لازم را آماده می کند. در ویندوز ویستا، باید آن را با استفاده از نرم افزار اضافی که با سیستم عامل ارائه می شود ایجاد کنید.

همچنین در ویندوز 7، فناوری BitLocker To Go برای رمزگذاری درایوهای فلش و هارد اکسترنال ظاهر شد. بعداً به آن نگاه خواهیم کرد.

چگونه رمزگذاری درایو BitLocker را فعال کنیم

به‌طور پیش‌فرض، BitLocker طوری پیکربندی شده است که با TPM شروع شود و در صورت عدم وجود آن، نمی‌خواهد شروع شود. (اول، فقط سعی کنید رمزگذاری را فعال کنید و اگر شروع کردید، دیگر نیازی به غیرفعال کردن چیزی در خط مشی های گروه ندارید)

برای شروع رمزگذاری، به Control Panel \ System and Security \ BitLocker Drive Encryption بروید

درایو مورد نظر را انتخاب کنید (در مثال ما، این پارتیشن سیستم است) و روی Turn on BitLocker کلیک کنید

اگر تصویری مانند زیر می بینید

شما باید خط مشی های گروه را ویرایش کنید.

با استفاده از جستجو از منوی Start، Local Group Policy Editor را فراخوانی می کنیم

ما مسیر را دنبال می کنیم

پیکربندی رایانه > قالب های اداری > اجزای ویندوز > رمزگذاری درایو BitLocker > درایوهای سیستم عامل

در سمت راست، Required Additional Authentication را انتخاب کنید

در پنجره ای که باز می شود، روی Enable کلیک کنید، سپس باید تیک Allow the use of BitLocker without a compatible TPM را بررسی کنید و روی OK کلیک کنید.

سپس BitLocker می تواند راه اندازی شود. از شما خواسته می شود که تنها گزینه حفاظتی را انتخاب کنید - درخواست کلید راه اندازی هنگام راه اندازی. این چیزی است که ما انتخاب می کنیم

فلش درایو USB را که کلید راه اندازی روی آن نوشته می شود را وارد کرده و روی Save کلیک کنید

اکنون باید کلید بازیابی را ذخیره کنید، در صورتی که درایو فلش با کلید راه اندازی در منطقه دسترسی نباشد. می‌توانید کلید را روی یک درایو فلش USB (ترجیحاً یک دیگر) ذخیره کنید، کلید را در یک فایل ذخیره کنید تا بعداً به رایانه دیگری منتقل شود، یا بلافاصله آن را چاپ کنید.

کلید بازیابی باید به طور طبیعی در مکانی امن ذخیره شود. من کلید را در یک فایل ذخیره می کنم

کلید بازیابی یک سند متنی ساده با خود کلید است

سپس آخرین پنجره ای را خواهید دید که در آن به شما توصیه می شود قبل از رمزگذاری درایو، اسکن سیستم BitLocker را اجرا کنید. روی Continue کلیک کنید

تمام اسناد باز را ذخیره کنید و روی Restart Now کلیک کنید

اگر مشکلی پیش بیاید این چیزی است که می بینید

اگر همه چیز کار کند، پس از راه اندازی مجدد رایانه، رمزگذاری شروع می شود

زمان به قدرت پردازنده شما، ظرفیت پارتیشن یا حجمی که رمزگذاری می کنید و سرعت تبادل اطلاعات با درایو (SSD یا HDD) بستگی دارد. یک دیسک حالت جامد 60 گیگابایتی که تقریباً به اندازه ظرفیت پر شده است، در 30 دقیقه رمزگذاری می شود در حالی که محاسبات توزیع شده داوطلبانه هنوز کار می کند.

هنگامی که رمزگذاری کامل شد، تصویر زیر را مشاهده خواهید کرد

پنجره را ببندید و بررسی کنید که آیا کلید راه‌اندازی و کلید بازیابی در مکان‌های امنی هستند یا خیر.

رمزگذاری درایو فلش - BitLocker To Go

با معرفی فناوری BitLocker To Go در ویندوز 7، امکان رمزگذاری درایوهای فلش، کارت های حافظه و هارد اکسترنال فراهم شد. این بسیار راحت است زیرا از دست دادن یک درایو فلش USB بسیار راحت تر از لپ تاپ و نت بوک است.

از طریق جستجو یا پیاده روی در طول مسیر

Start> Control Panel> System and Security> BitLocker Drive Encryption

پنجره کنترل را باز کنید فلش USB را که می خواهید رمزگذاری کنید وارد کنید و در قسمت BitLocker To Go رمزگذاری را برای درایو USB مورد نظر فعال کنید.

برای باز کردن قفل درایو باید روشی را انتخاب کنید. انتخاب زیاد نیست، رمز عبور یا سیم کارت با کد پین. سیم کارت ها توسط بخش های ویژه در شرکت های بزرگ صادر می شود. بیایید از یک رمز عبور ساده استفاده کنیم.

چک باکس را برای استفاده از رمز عبور برای باز کردن قفل دیسک تنظیم کنید و رمز عبور را دو بار وارد کنید. به طور پیش فرض، حداقل طول رمز عبور 8 کاراکتر است (در خط مشی های گروه قابل تغییر است). روی Next کلیک کنید

ما انتخاب می کنیم که چگونه کلید بازیابی را ذخیره کنیم. احتمالا چاپ آن قابل اعتماد خواهد بود. ذخیره کنید و روی Next کلیک کنید

روی Start encryption کلیک کنید و از داده های خود محافظت کنید

زمان رمزگذاری بستگی به ظرفیت فلش مموری، میزان پر بودن آن از اطلاعات، قدرت پردازنده شما و سرعت تبادل اطلاعات با کامپیوتر دارد.

در درایوهای فلش بزرگ یا هاردهای اکسترنال، این روش می تواند زمان زیادی را ببرد. در تئوری، این فرآیند را می توان در رایانه دیگری تکمیل کرد. برای انجام این کار، رمزگذاری را متوقف کرده و درایو را به درستی حذف کنید. آن را در رایانه دیگری جایگذاری کنید، با وارد کردن رمز عبور قفل آن را باز کنید و رمزگذاری به طور خودکار ادامه خواهد یافت.

اکنون، هنگام نصب یک درایو فلش USB در رایانه، پنجره ای در زیر ظاهر می شود که درخواست وارد کردن رمز عبور را می دهد

اگر به این رایانه اعتماد دارید و نمی‌خواهید دائماً رمز عبور را وارد کنید، کادر Next را علامت بزنید تا قفل این رایانه به طور خودکار باز شود و بر روی Unblock کلیک کنید. در این رایانه، دیگر لازم نیست رمز عبور این فلش مموری را وارد کنید.

برای اینکه اطلاعات موجود در درایو USB رمزگذاری شده در رایانه های دارای ویندوز ویستا یا XP استفاده شود، درایو فلش باید در سیستم فایل FAT32 فرمت شود. در این سیستم عامل ها باز کردن قفل فلش USB فقط با وارد کردن رمز امکان پذیر خواهد بود و اطلاعات فقط برای خواندن در دسترس خواهد بود. ضبط اطلاعات در دسترس نیست.

مدیریت پارتیشن رمزگذاری شده

مدیریت از پنجره رمزگذاری درایو BitLocker انجام می شود. می توانید این پنجره را با استفاده از جستجو پیدا کنید یا می توانید به آدرس مراجعه کنید

کنترل پنل > سیستم و امنیت > رمزگذاری درایو BitLocker

شما می توانید رمزگذاری را با کلیک بر روی "Turn off BitLocker" خاموش کنید. در این مورد، دیسک یا حجم رمزگشایی می شود. مدتی طول می کشد و هیچ کلیدی مورد نیاز نخواهد بود.

همچنین می توانید حفاظت را در اینجا متوقف کنید.

استفاده از این عملکرد هنگام به روز رسانی BIOS یا ویرایش دیسک بوت توصیه می شود. (همین حجم 100 مگابایت است). شما می توانید محافظت را فقط در درایو سیستم (پارتیشن یا حجمی که ویندوز روی آن نصب شده است) متوقف کنید.

چرا رمزگذاری را مکث کنیم؟ به طوری که BitLocker درایو شما را قفل نمی کند و به روش بازیابی متوسل نمی شود. پارامترهای سیستم (BIOS و محتویات پارتیشن بوت) در هنگام رمزگذاری برای محافظت بیشتر قفل می شوند. اگر آنها را تغییر دهید، ممکن است رایانه قفل شود.

اگر مدیریت BitLocker را انتخاب کنید، می‌توانید کلید بازیابی را ذخیره یا چاپ کنید و کلید راه‌اندازی را کپی کنید.

اگر یکی از کلیدها (کلید راه اندازی یا کلید بازیابی) گم شد، می توانید آنها را در اینجا بازیابی کنید.

مدیریت رمزگذاری حافظه خارجی

توابع زیر برای مدیریت پارامترهای رمزگذاری درایو فلش در دسترس هستند

برای باز کردن قفل می توانید رمز عبور را تغییر دهید. رمز تنها در صورتی قابل حذف است که از کارت هوشمند برای باز کردن قفل استفاده شود. همچنین می توانید کلید بازیابی را ذخیره یا چاپ کنید و باز کردن قفل دیسک را برای این رایانه به طور خودکار فعال کنید.

بازیابی دسترسی به دیسک

بازیابی دسترسی به دیسک سیستم

اگر درایو فلش با کلید خارج از منطقه دسترسی باشد، کلید بازیابی وارد بازی می شود. هنگامی که کامپیوتر خود را بوت می کنید، چیزی شبیه به زیر خواهید دید.

برای بازیابی دسترسی و بوت کردن ویندوز، Enter را فشار دهید

ما صفحه ای را می بینیم که از شما می خواهد کلید بازیابی را وارد کنید

با وارد کردن آخرین رقم، به شرط استفاده از کلید بازیابی صحیح، سیستم عامل به طور خودکار بوت می شود.

بازیابی دسترسی به درایوهای قابل جابجایی

برای بازیابی دسترسی به اطلاعات درایو فلش USB یا HDD خارجی، رمز عبور خود را فراموش کرده اید را فشار دهید؟

کلید بازیابی را وارد کنید

و این کد 48 رقمی وحشتناک را وارد کنید. روی Next کلیک کنید

اگر کلید بازیابی مناسب باشد، دیسک باز می شود

پیوندی برای مدیریت BitLocker ظاهر می شود که در آن می توانید رمز عبور را تغییر دهید تا درایو باز شود.

نتیجه

در این مقاله، یاد گرفتیم که چگونه می‌توانیم اطلاعات خود را با رمزگذاری با استفاده از BitLocker داخلی محافظت کنیم. ناامید کننده است که این فناوری فقط در نسخه های قدیمی یا پیشرفته سیستم عامل ویندوز موجود است. همچنین مشخص شد که چرا این پارتیشن مخفی و قابل بوت 100 مگابایتی هنگام تنظیم یک دیسک با استفاده از ویندوز ایجاد شده است.

شاید از رمزگذاری درایوهای فلش یا هارد اکسترنال استفاده کنم. اما، این بعید است، زیرا جایگزین های خوبی در قالب سرویس های ذخیره سازی ابری مانند DropBox، Google Drive، Yandex Drive و موارد مشابه وجود دارد.

با احترام، آنتون دیاچنکو

YouPK.ru

Bitlocker را در ویندوز روشن یا خاموش کنید

اصلاً تعجب آور نیست که یک رایانه شخصی بتواند اطلاعات بسیار شخصی یا داده های شرکتی را که ارزش بیشتری دارند ذخیره کند. اگر چنین اطلاعاتی به دست اشخاص ثالثی بیفتد که می توانند از آن استفاده کنند نامطلوب است و باعث ایجاد مشکلات جدی برای مالک سابق رایانه شخصی می شود.

Bitlocker بسته به شرایط می تواند فعال و غیرفعال شود.

به همین دلیل است که بسیاری از کاربران تمایل به انجام اقداماتی با هدف دسترسی محدود به تمام فایل های ذخیره شده در رایانه دارند. چنین رویه ای وجود دارد. با انجام برخی دستکاری ها، هیچ یک از افراد خارجی، بدون دانستن رمز عبور یا کلید بازیابی آن، نمی توانند به اسناد دسترسی پیدا کنند.

اگر درایو Bitlocker را رمزگذاری کنید، می‌توانید از اطلاعات مهم در برابر خواندن توسط اشخاص ثالث محافظت کنید. چنین اقداماتی به اطمینان از محرمانه بودن کامل اسناد نه تنها در یک رایانه شخصی خاص، بلکه در صورتی که شخصی هارد دیسک را حذف کرده و آن را در رایانه شخصی دیگری قرار داده باشد، کمک می کند.

الگوریتم روشن و خاموش کردن تابع

رمزگذاری درایو Bitlocker در ویندوز 7، 8 و 10 انجام می شود، اما نه همه نسخه ها. فرض بر این است که مادربردی که مجهز به کامپیوتر خاصی است که کاربر می خواهد روی آن رمزگذاری کند، باید یک ماژول TPM داشته باشد.

مشاوره. اگر مطمئن هستید که چنین ماژول خاصی روی مادربرد شما وجود ندارد، ناامید نشوید. ترفندهایی وجود دارد که به شما امکان می دهد چنین الزامی را "نادیده بگیرید" و بر این اساس بدون چنین ماژول نصب کنید.

قبل از ادامه فرآیند رمزگذاری برای همه فایل ها، مهم است که در نظر داشته باشید که این روش بسیار طولانی است. تعیین زمان دقیق از قبل دشوار است. همه چیز به میزان اطلاعات موجود روی هارد دیسک بستگی دارد. در طول فرآیند رمزگذاری، ویندوز 10 به کار خود ادامه می دهد، اما بعید است که بتواند شما را با عملکرد خود خوشحال کند، زیرا شاخص عملکرد به میزان قابل توجهی کاهش می یابد.

فعال کردن تابع

اگر ویندوز 10 را روی رایانه خود نصب کرده اید و تمایل فعالی برای فعال کردن رمزگذاری داده ها دارید، از توصیه های ما استفاده کنید تا نه تنها در همه چیز موفق شوید، بلکه راه تحقق این خواسته دشوار نیست. در ابتدا کلید "Win" را روی صفحه کلید خود پیدا کنید، گاهی اوقات با نماد ویندوز همراه است، آن را نگه دارید و همزمان کلید "R" را نگه دارید. با نگه داشتن همزمان این دو کلید، پنجره "Run" باز می شود.

در پنجره ای که باز می شود، یک خط خالی خواهید دید که در آن باید "gpedit.msc" را وارد کنید. پس از کلیک بر روی دکمه Ok، پنجره جدیدی با عنوان Local Group Policy Editor باز می شود. در این پنجره راه کوتاهی در پیش داریم.

در سمت چپ پنجره، خط "Computer Configuration" را پیدا کنید و بلافاصله روی آن کلیک کنید، در زیر منوی باز شده "Administrative Templates" را پیدا کنید و سپس در زیر منوی بعدی که باز می شود، به پارامتری که در وهله اول قرار دارد بروید. در لیست و به نام "کامپوننت های ویندوز".

اکنون نگاه خود را به سمت راست پنجره ببرید، "Bitlocker Drive Encryption" را در آن پیدا کنید، برای فعال کردن آن دوبار کلیک کنید. اکنون لیست جدیدی باز می شود که در آن هدف بعدی شما باید خط "درایوهای سیستم عامل" باشد. همچنین روی این خط کلیک کنید، فقط باید یک انتقال دیگر انجام دهید تا به پنجره نزدیکتر شوید، جایی که Bitlocker مستقیماً پیکربندی می شود و به آن اجازه می دهد دقیقاً همان چیزی را که واقعاً می خواهید روشن کند.

خط "این تنظیم خط مشی به شما امکان می دهد تا نیاز برای احراز هویت اضافی را در هنگام راه اندازی پیکربندی کنید" را پیدا کنید، روی این تنظیم دوبار کلیک کنید. در پنجره باز کلمه مورد نظر "فعال کردن" را پیدا خواهید کرد که در کنار آن یک چک باکس در کنار آن پیدا خواهید کرد، در آن باید علامت خاصی را به صورت علامت تیک رضایت خود قرار دهید.

کمی پایین تر در این پنجره، زیربخش "پلتفرم ها" قرار دارد که در آن باید کادر کنار پیشنهاد استفاده از BitLocker بدون ماژول خاص را علامت بزنید. این بسیار مهم است به خصوص اگر ویندوز 10 شما دارای ماژول TPM نباشد.

تنظیمات عملکرد مورد نظر در این پنجره تکمیل شده است، بنابراین می توانید آن را ببندید. اکنون نشانگر ماوس را روی نماد "windows" حرکت دهید، فقط روی آن کلیک راست کنید تا یک زیر منوی اضافی ظاهر شود. در آن خط "کنترل پنل" را پیدا خواهید کرد، به آن بروید و سپس به خط بعدی "رمزگذاری درایو بیت لاکر" بروید.

فراموش نکنید که محل رمزگذاری را مشخص کنید. این کار را هم بر روی هارد دیسک و هم در درایوهای قابل جابجایی می توان انجام داد. پس از انتخاب شی مورد نظر، بر روی دکمه "Enable Bitlocker" کلیک کنید.

اکنون ویندوز 10 یک فرآیند خودکار را راه اندازی می کند، گهگاه توجه شما را جلب می کند و از شما دعوت می کند تا خواسته های خود را مشخص کنید. این بهترین کار قبل از انجام چنین فرآیندی است. در غیر این صورت، اگر رمز عبور و کلید آن گم شود، حتی صاحب رایانه نیز نمی تواند اطلاعات را بازیابی کند.

در مرحله بعد، فرآیند آماده سازی دیسک برای رمزگذاری بعدی آغاز می شود. شما مجاز به خاموش کردن رایانه در حین انجام این فرآیند نیستید، زیرا انجام این کار می تواند به سیستم عامل آسیب جدی وارد کند. پس از چنین شکستی، شما به سادگی نمی توانید ویندوز 10 خود را راه اندازی کنید، به جای رمزگذاری، باید یک سیستم عامل جدید را نصب کنید و زمان اضافی را صرف کنید.

به محض اینکه آماده سازی دیسک با موفقیت انجام شد، پیکربندی واقعی دیسک برای رمزگذاری آغاز می شود. از شما یک رمز عبور خواسته می شود که متعاقباً امکان دسترسی به فایل های رمزگذاری شده را فراهم می کند. همچنین از شما خواسته می شود که یک کلید بازیابی پیدا کرده و وارد کنید. هر دوی این اجزای مهم به بهترین وجه در مکانی امن نگهداری می شوند و به بهترین وجه چاپ می شوند. بسیار احمقانه است که رمز عبور و کلید بازیابی را روی خود رایانه شخصی ذخیره کنید.

در طول فرآیند رمزگذاری، سیستم ممکن است از شما بپرسد که کدام قسمت را به طور خاص می خواهید رمزگذاری کنید. بهتر است کل فضای دیسک را در معرض این روش قرار دهید، اگرچه گزینه ای برای رمزگذاری فقط فضای اشغال شده وجود دارد.

باقی مانده است که گزینه ای مانند "حالت رمزگذاری جدید" را انتخاب کنید و سپس بررسی خودکار سیستم عامل BitLocker را اجرا کنید. سپس سیستم با خیال راحت این روند را ادامه می دهد، پس از آن از شما خواسته می شود کامپیوتر خود را مجددا راه اندازی کنید. حتما این الزام را رعایت کنید، راه اندازی مجدد کنید.

پس از راه اندازی بعدی ویندوز 10، مطمئن خواهید شد که دسترسی به اسناد بدون وارد کردن رمز عبور غیرممکن خواهد بود. فرآیند رمزگذاری ادامه خواهد داشت، می توانید با کلیک بر روی نماد BitLocker واقع در نوار اعلان، آن را کنترل کنید.

غیر فعال کردن عملکرد

اگر بنا به دلایلی، اهمیت فایل‌های موجود در رایانه شما از بین رفته است، و واقعاً دوست ندارید هر بار برای دسترسی به آنها رمز عبور وارد کنید، پیشنهاد می‌کنیم به سادگی عملکرد رمزگذاری را خاموش کنید.

برای انجام چنین اقداماتی، به پانل اعلان بروید، نماد BitLocker را در آنجا پیدا کنید، روی آن کلیک کنید. در پایین پنجره باز، خط "Manage BitLocker" را پیدا خواهید کرد، روی آن کلیک کنید.

اکنون سیستم از شما می خواهد که انتخاب کنید کدام عمل برای شما ارجح است:

• از کلید بازیابی نسخه پشتیبان تهیه کنید.
• تغییر رمز عبور برای دسترسی به فایل های رمزگذاری شده؛
• رمز عبور از قبل تنظیم شده را حذف کنید.
• BitLocker را غیرفعال کنید

البته اگر BitLocker را غیرفعال کنید، باید آخرین گزینه پیشنهادی را انتخاب کنید. بلافاصله یک پنجره جدید روی صفحه ظاهر می شود که در آن سیستم می خواهد مطمئن شود که شما واقعاً می خواهید عملکرد رمزگذاری را غیرفعال کنید.

توجه به محض کلیک بر روی دکمه "Disable BitLocker"، فرآیند رمزگشایی بلافاصله آغاز می شود. متأسفانه، این روند با تندخویی زیاد مشخص نمی شود، بنابراین قطعاً باید مدتی را تنظیم کنید، که در طی آن فقط باید منتظر بمانید.

البته، اگر در این لحظه نیاز به استفاده از رایانه دارید، می توانید آن را بپردازید، هیچ منع قطعی در این مورد وجود ندارد. با این حال، باید خود را با این واقعیت هماهنگ کنید که عملکرد رایانه شخصی در این لحظه می تواند بسیار پایین باشد. درک دلیل این کندی کار دشواری نیست، زیرا سیستم عامل باید حجم عظیمی از اطلاعات را باز کند.

بنابراین، با داشتن تمایل به رمزگذاری یا رمزگشایی فایل ها در رایانه، کافی است با توصیه های ما آشنا شوید، سپس، بدون عجله، هر مرحله از الگوریتم مشخص شده را انجام دهید و پس از اتمام، از نتیجه به دست آمده خوشحال شوید.

NastroyVse.ru

راه اندازی Bitlocker

Bitlocker ابزاری است که رمزگذاری داده‌ها را در سطح حجم ارائه می‌کند (یک حجم می‌تواند بخشی از یک دیسک را اشغال کند یا می‌تواند شامل آرایه‌ای از چندین دیسک باشد.) Bitlocker برای محافظت از داده‌های شما در صورت گم شدن یا سرقت لپ‌تاپ کار می‌کند. / کامپیوتر. BitLocker در نسخه اصلی خود فقط از یک جلد محافظت می کرد - درایو سیستم عامل. BitLocker با تمام نسخه های Server 2008 R2 و Server 2008 (به استثنای نسخه Itanium)، به علاوه ویندوز 7 Ultimate و Enterprise و ویندوز ویستا گنجانده شده است. در Windows Server 2008 و Vista SP1، مایکروسافت حفاظت هایی را برای حجم های مختلف، از جمله حجم داده های محلی، پیاده سازی کرده است. در نسخه های ویندوز سرور 2008 R2 و ویندوز 7، توسعه دهندگان پشتیبانی از دستگاه های ذخیره سازی قابل جابجایی (درایوهای فلش USB و هارد دیسک های خارجی) را اضافه کردند. این ویژگی BitLocker To Go نام دارد. BitLocker از الگوریتم رمزگذاری AES استفاده می کند، کلید را می توان در TMP (ماژول پلتفرم قابل اعتماد - یک طرح ویژه نصب شده در رایانه در طول تولید آن، که ذخیره سازی کلیدهای رمزگذاری را فراهم می کند) یا در یک دستگاه USB ذخیره کرد. ترکیب های دسترسی زیر امکان پذیر است:

TPM - TPM + PIN - TPM + PIN + USB Dongle - TPM + USB Dongle - USB Dongle از آنجایی که رایانه‌ها اغلب TMP ندارند، می‌خواهم شما را در مراحل راه‌اندازی BitLocker با درایو USB راهنمایی کنم.

به "رایانه" می رویم و روی درایو محلی که می خواهیم رمزگذاری کنیم کلیک راست می کنیم (در این مثال درایو محلی C را رمزگذاری می کنیم) و "Enable BitLocker" را انتخاب می کنیم.

پس از انجام این مراحل با خطا مواجه خواهیم شد.

همانطور که قبلاً نوشتم قابل درک است - هیچ ماژول TMP در این رایانه وجود ندارد و نتیجه اینجاست ، اما رفع آن آسان است ، فقط به خط مشی های رایانه محلی بروید و تنظیمات را در آنجا تغییر دهید ، برای این کار باید به ویرایشگر سیاست محلی - در قسمت جستجوی gpedit .msc بنویسید و "Enter" را فشار دهید.

در نتیجه، پنجره ای از سیاست های محلی باز می شود، به مسیر "پیکربندی کامپیوتر - قالب های مدیریتی - اجزای ویندوز - رمزگذاری درایو BitLocker - درایوهای سیستم عامل" (پیکربندی کامپیوتر - قالب های اداری - اجزای ویندوز - رمزگذاری درایو Bit-Locker - درایوهای سیستم عامل) و در خط مشی، احراز هویت اجباری اضافی در هنگام راه اندازی روی فعال تنظیم شده است، همچنین باید به چک باکس اجازه استفاده از BitLocker بدون TPM سازگار را توجه کنید روی «OK» کلیک کنید.

اکنون، اگر اولین مراحل را برای فعال کردن BitLocker در یک درایو محلی تکرار کنید، پنجره ای برای تنظیم رمزگذاری دیسک باز می شود، هنگام راه اندازی گزینه "Prompt for a startup key" را انتخاب کنید (اگرچه ما انتخابی نداشتیم، این به دلیل کمبود TPM).

در پنجره بعدی، دستگاه USB که کلید روی آن ذخیره می شود را انتخاب کنید.

سپس محل ذخیره کلید بازیابی را انتخاب می کنیم (این کلیدی است که در صورت از دست دادن رسانه با کلید اصلی به صورت دستی وارد می شود)، توصیه می کنم این کار را در یک درایو USB یا رایانه دیگری انجام دهید، یا اگر کلید بازیابی را در یک رایانه یا در همان درایو USB ذخیره کنید، آن را چاپ کنید، نمی‌توانید ویندوز را با گم کردن USB که کلید در آن ذخیره شده است، راه اندازی کنید. در این مثال، من آن را در یک درایو USB دیگر ذخیره کردم.

در پنجره بعدی، بررسی سیستم Bitlocker را با کلیک بر روی دکمه "ادامه" شروع کنید و پس از آن رایانه مجدداً راه اندازی می شود.

پس از بوت شدن کامپیوتر، پنجره فرآیند رمزگذاری ظاهر می شود. این اغلب یک روش طولانی است که به چندین ساعت نیاز دارد.

در نتیجه، ما یک درایو C رمزگذاری شده داریم که بدون درایو USB با کلید یا کلید بازیابی شروع به کار نخواهد کرد.

pk-help.com

نحوه پیکربندی رمزگذاری داده BitLocker برای ویندوز

برای محافظت در برابر دسترسی غیرمجاز به فایل‌های ذخیره شده روی هارد دیسک و همچنین درایوهای قابل جابجایی (درایوهای خارجی یا درایوهای فلش USB)، کاربران ویندوز این امکان را دارند که آنها را با استفاده از نرم‌افزار رمزگذاری داخلی BitLocker و BitLocker To Go رمزگذاری کنند.

برنامه رمزگذاری BitLocker و BitLocker To Go در نسخه های حرفه ای و Enterprise ویندوز 8 / 8.1 و همچنین در نسخه Ultimate ویندوز 7 از قبل نصب شده است. اما کاربران نسخه اصلی ویندوز 8.1 نیز به گزینه ای مانند دسترسی دارند. "رمزگذاری دستگاه"، که به عنوان آنالوگ BitLocker در نسخه های پیشرفته تر سیستم عامل عمل می کند.

فعال کردن رمزگذاری BitLocker

برای فعال کردن رمزگذاری BitLocker، Control Panel را باز کنید و سپس به System and Security > BitLocker Drive Encryption بروید. همچنین می توانید Windows Explorer ("رایانه") را باز کنید، روی درایو انتخاب شده کلیک راست کرده و از منوی کشویی "Enable BitLocker" را انتخاب کنید. اگر خط بالا در منو نیست، شما نسخه اشتباهی از ویندوز OC دارید.

برای فعال کردن BitLocker برای درایو سیستم، درایو داده یا درایو قابل جابجایی، باید Enable BitLocker را انتخاب کنید.

2 نوع رمزگذاری درایو BitLocker در این پنجره برای شما موجود است:

• رمزگذاری درایو BitLocker - هارد دیسک ها: این ویژگی به شما امکان می دهد کل درایو را رمزگذاری کنید. هنگامی که رایانه بوت می شود، بارگزار راه اندازی ویندوز داده ها را از ناحیه هارد دیسک رزرو شده توسط سیستم بارگیری می کند و از شما خواسته می شود که نوع باز کردن قفلی را که مشخص کرده اید، به عنوان مثال، یک رمز عبور وارد کنید. سپس BitLocker فرآیند رمزگشایی داده ها را انجام می دهد و فرآیند بوت ویندوز ادامه می یابد. به عبارت دیگر، رمزگذاری را می توان فرآیندی دانست که به صورت نامرئی برای کاربر رخ می دهد. شما طبق معمول با فایل ها و داده ها کار می کنید که به نوبه خود روی دیسک رمزگذاری می شوند. علاوه بر این، می توانید از رمزگذاری نه تنها برای درایوهای سیستم استفاده کنید.
• رمزگذاری درایو BitLocker - BitLocker To Go: دستگاه های ذخیره سازی خارجی مانند درایوهای فلش USB یا هارد دیسک های خارجی را می توان با استفاده از ابزار BitLocker To Go رمزگذاری کرد. هنگامی که یک دستگاه رمزگذاری شده را به رایانه خود متصل می کنید، برای مثال از شما خواسته می شود یک رمز عبور وارد کنید، که از داده های شما در برابر افراد غریبه محافظت می کند.

استفاده از BitLocker بدون TPM

اگر سعی کنید با BitLocker روی رایانه شخصی بدون نصب TPM سخت افزاری (Trusted Platform Module) رمزگذاری کنید، پنجره زیر ظاهر می شود که از شما می خواهد گزینه "Allow BitLocker without a compatible TPM" را فعال کنید.

رمزگذاری BitLocker به رایانه شخصی با TPM سخت افزاری نیاز دارد تا از درایو سیستم محافظت کند تا به درستی کار کند. TPM یک تراشه کوچک است که روی مادربرد قرار می گیرد. BitLocker می تواند کلیدهای رمزگذاری را در آن ذخیره کند، که گزینه ای امن تر از ذخیره آنها در یک درایو داده معمولی است. TPM کلیدها را تنها پس از راه اندازی و بررسی وضعیت سیستم ارائه می دهد که امکان رمزگشایی داده ها را در صورت سرقت هارد دیسک شما یا ایجاد تصویری از یک درایو رمزگذاری شده برای هک کردن در رایانه دیگری از بین می برد.

برای فعال کردن گزینه بالا، باید حقوق مدیر را داشته باشید. شما فقط باید "Local Group Policy Editor" را باز کنید و گزینه بعدی را فعال کنید.

کلیدهای ترکیبی Win + R را فشار دهید تا گفتگوی Run اجرا شود، دستور gpedit.msc را وارد کنید. سپس به Computer Configuration> Administrative Templates> Windows Components> BitLocker Drive Encryption> Operating System Drives بروید. روی مورد "نیاز به احراز هویت اضافی در راه اندازی" دابل کلیک کنید، گزینه "Enabled" را انتخاب کنید و کادر "Allow BitLocker without a compatible TPM" را علامت بزنید. برای ذخیره تنظیمات روی "اعمال" کلیک کنید.

انتخاب راهی برای آزاد کردن قفل دیسک

در صورت موفقیت آمیز بودن مراحل بالا، پنجره Choose how to unlock drive your drive at startup را انتخاب کنید. اگر رایانه شما TPM ندارد، دو گزینه دارید: یک رمز عبور وارد کنید یا از یک درایو فلش USB اختصاصی (کارت هوشمند) به عنوان کلید باز کردن قفل استفاده کنید.

اگر TPM روی مادربرد وجود داشته باشد، گزینه های بیشتری برای شما وجود دارد. به عنوان مثال، پیکربندی باز کردن قفل خودکار هنگام بوت شدن رایانه امکان پذیر است - همه کلیدها در TPM ذخیره می شوند و به طور خودکار برای رمزگشایی داده های روی دیسک استفاده می شوند. همچنین می توانید رمز عبور پین را روی بوت لودر قرار دهید، که کلیدهای رمزگشایی ذخیره شده در TPM و سپس کل دیسک را باز می کند.

روشی را که برای شما مناسب تر است انتخاب کنید و دستورالعمل های نصب کننده را دنبال کنید.

ایجاد یک کلید پشتیبان

BitLocker همچنین گزینه ای برای ایجاد یک کلید پشتیبان در اختیار شما قرار می دهد. در صورتی که کلید اصلی خود را فراموش کرده یا گم کرده اید، از این کلید برای دسترسی به داده های رمزگذاری شده استفاده می شود، به عنوان مثال، رمز عبور کلید را فراموش کرده اید یا هارد دیسک را به رایانه شخصی جدید با ماژول TPM جدید و غیره منتقل می کنید.

می‌توانید کلید را در یک فایل ذخیره کنید، آن را چاپ کنید، آن را روی یک درایو USB خارجی قرار دهید یا آن را در حساب مایکروسافت خود (برای کاربران ویندوز 8 و 8.1) ذخیره کنید. نکته اصلی این است که مطمئن شوید که این کلید پشتیبان در مکانی امن ذخیره می شود، در غیر این صورت یک مهاجم به راحتی می تواند BitLocker را دور بزند و به تمام داده های مورد علاقه خود دسترسی پیدا کند. اما با وجود این، ایجاد یک کلید پشتیبان ضروری است، زیرا اگر کلید اصلی را بدون پشتیبان از دست بدهید، تمام اطلاعات خود را از دست خواهید داد.

رمزگذاری و رمزگشایی دیسک

BitLocker فایل های جدید را به صورت خودکار رمزگذاری می کند، اما شما باید انتخاب کنید که چگونه فضای دیسک باقی مانده خود را رمزگذاری کنید. می توانید کل دیسک (از جمله فضای آزاد) را رمزگذاری کنید - گزینه دوم در تصویر زیر، یا فقط فایل ها - گزینه اول، که روند رمزگذاری را سرعت می بخشد.

هنگام استفاده از BitLocker در رایانه شخصی جدید (یعنی با سیستم عامل اخیراً نصب شده)، بهتر است از رمزگذاری فضای اشغال شده توسط فایل ها استفاده کنید، زیرا زمان کمی می برد. با این حال، در صورتی که رمزگذاری را برای دیسکی که برای مدت طولانی استفاده شده است فعال کنید، بهتر است از روشی استفاده کنید که کل دیسک را حتی با فضای خالی رمزگذاری می کند. این روش بازیابی فایل های حذف شده قبلی را که رمزگذاری نشده اند غیرممکن می کند. بنابراین، روش اول سریعتر است، در حالی که روش دوم قابل اعتمادتر است.

همانطور که رمزگذاری را بیشتر پیکربندی می کنید، BitLocker سیستم شما را تجزیه و تحلیل می کند و کامپیوتر شما را مجددا راه اندازی می کند. پس از راه اندازی مجدد رایانه شخصی، فرآیند رمزگذاری شروع می شود. در سینی به صورت آیکونی نمایش داده می شود که با کمک آن درصد پیشرفت فرآیند را مشاهده خواهید کرد. می توانید به استفاده از رایانه خود ادامه دهید، اما به دلیل رمزگذاری موازی فایل ها، سرعت سیستم کمی کاهش می یابد.

پس از تکمیل رمزگذاری و دفعه بعد که رایانه شخصی خود را راه اندازی می کنید، BitLocker پنجره ای را به شما نشان می دهد که در آن باید رمز عبور، پین یا درایو USB را به عنوان کلید وارد کنید (بسته به نحوه پیکربندی قبلی دسترسی به کلید).

با فشردن کلید Escape در این پنجره، در صورتی که دسترسی به کلید اصلی را از دست داده باشید، به پنجره ورودی کلید پشتیبان می روید.

اگر رمزگذاری BitLocker To Go را برای دستگاه های خارجی انتخاب کنید، یک جادوگر راه اندازی مشابه را مشاهده خواهید کرد، اما نیازی به راه اندازی مجدد رایانه خود ندارید. تا زمانی که فرآیند رمزگذاری کامل نشده است، درایو خارجی را جدا نکنید.

در اتصال بعدی دستگاه رمزگذاری شده به رایانه شخصی، از شما یک رمز عبور یا کارت هوشمند برای باز کردن قفل خواسته می شود. یک دستگاه محافظت شده با BitLocker با نماد مربوطه در File Manager یا Windows Explorer نمایش داده می شود.

با استفاده از پنجره کنترل پنل BitLocker می توانید درایو رمزگذاری شده (تغییر رمز عبور، خاموش کردن رمزگذاری، ایجاد پشتیبان گیری از کلیدها و غیره) را مدیریت کنید. با کلیک راست بر روی یک درایو رمزگذاری شده و انتخاب "Manage BitLocker" به مقصد می رسید.

مانند هر روش دیگری برای محافظت از اطلاعات شما، رمزگذاری بیدرنگ BitLocker در حال حرکت، مطمئناً برخی از منابع رایانه شما را مصرف می کند. این به افزایش استفاده از CPU به دلیل رمزگذاری مداوم دیسک به دیسک تبدیل می شود. اما از سوی دیگر، برای افرادی که اطلاعات آنها باید به طور قابل اعتماد در برابر چشمان کنجکاو محافظت شود، اطلاعاتی که بتواند برگ برنده های مخربی را در اختیار مهاجمان قرار دهد، این کاهش بهره وری سازشکارانه ترین راه حل است.

osmaster.org.ua

رمزگذاری ویندوز 7 با BitLocker

ولادیمیر بزمالی

در 7 ژانویه 2009، شرکت مایکروسافت نسخه بعدی سیستم عامل را برای ایستگاه های کاری - ویندوز 7 برای آزمایش ارائه کرد. در این سیستم عامل، همانطور که معمول شده است، فناوری های امنیتی به طور گسترده ای ارائه شده است، از جمله آنهایی که قبلا در ویندوز ویستا ارائه شده بودند. امروز در مورد فناوری رمزگذاری BitLocker ویندوز صحبت خواهیم کرد که از زمان معرفی آن در ویندوز ویستا دستخوش تغییرات قابل توجهی شده است. به نظر می رسد که امروزه هیچ کس نیازی به قانع شدن نیاز به رمزگذاری داده ها در هارد دیسک ها و رسانه های قابل جابجایی ندارد، با این وجود، ما به نفع این تصمیم استدلال خواهیم کرد.

از دست دادن اطلاعات محرمانه به دلیل سرقت یا گم شدن دستگاه های تلفن همراه

امروزه هزینه سخت افزار چندین برابر کمتر از هزینه اطلاعات موجود در دستگاه است. داده های از دست رفته می تواند منجر به از دست دادن شهرت، از دست دادن رقابت پذیری و دعوی قضایی بالقوه شود.

در سراسر جهان، مسائل مربوط به رمزگذاری داده ها مدت هاست که توسط قوانین مربوطه تنظیم شده است. بنابراین، برای مثال، در ایالات متحده آمریکا، ایالات متحده قانون اصلاح امنیت اطلاعات دولتی (GISRA) برای محافظت از اطلاعات محرمانه ای که توسط سازمان های دولتی نگهداری می شود، به رمزگذاری داده ها نیاز دارد. در کشورهای اتحادیه اروپا، دستورالعمل حفظ حریم خصوصی داده اتحادیه اروپا تصویب شده است. کانادا و ژاپن قوانین مربوط به خود را دارند.

همه این قوانین برای از دست دادن اطلاعات شخصی یا شرکتی مجازات های شدیدی را در نظر می گیرند. به محض اینکه دستگاه شما به سرقت رفت (گم شد)، اطلاعات شما نیز می تواند همراه با آن از بین برود. می توانید از رمزگذاری داده ها برای جلوگیری از دسترسی غیرمجاز به داده های خود استفاده کنید. علاوه بر این، خطراتی مانند دسترسی غیرمجاز به داده ها در حین تعمیر (از جمله گارانتی) یا فروش دستگاه های دست دوم را فراموش نکنید.

و این واقعیت که اینها کلمات خالی نیستند، افسوس که بارها توسط حقایق تأیید شده است. یکی از کارمندان مستقل وزارت کشور بریتانیا یک کارت حافظه حاوی اطلاعات شخصی بیش از صدها هزار جنایتکار، از جمله افرادی که در حال گذراندن دوره های زندان هستند، گم کرده است. در پیام این اداره آمده است. رسانه ها حاوی اسامی، آدرس ها و در برخی موارد جزئیات اتهامات 84000 زندانی در زندان های بریتانیا بودند. همچنین در کارت حافظه آدرس 30 هزار نفر با محکومیت شش و بیشتر وجود دارد. همانطور که در این وزارتخانه تصریح شده است، اطلاعات کارت حافظه توسط محققی از شرکت مشاور RA استفاده شده است. ما از یک نقض امنیتی که منجر به از دست دادن اطلاعات شخصی در مورد قانون شکنان از انگلستان و ولز شد، یک کارمند قراردادی مطلع شدیم. سخنگوی وزارت داخله گفت: اکنون تحقیقات کامل در جریان است.

وزیر امور داخلی دولت "سایه"، دومینیک گریو، قبلاً در این مورد اظهار نظر کرده است. وی خاطرنشان کرد که مالیات دهندگان بریتانیایی از نحوه برخورد دولت بریتانیا با اطلاعات طبقه بندی شده «کاملاً شوکه خواهند شد».

گریو یادآور شد که این اولین مورد در بریتانیا نیست که سازمان ها و بخش های مختلف اطلاعات محرمانه خود را از دست می دهند.

در ماه آوریل، HSBC، یک بانک بزرگ بریتانیایی، اعتراف کرد که دیسکی حاوی اطلاعات شخصی 370000 مشتری خود را گم کرده است. در اواسط فوریه، از سرقت یک لپ‌تاپ با اطلاعات پزشکی 5123 بیمار از بیمارستان بریتانیایی راسلز هال در شهر دادلی (شهرستان میدلندز غربی) مطلع شد. در پایان ژانویه گزارش شد که یک لپ تاپ با اطلاعات شخصی 26 هزار کارمند از سوپرمارکت زنجیره ای بریتانیایی مارکس اند اسپنسر به سرقت رفته است. در 21 ژانویه، دس براون، وزیر دفاع بریتانیا اعلام کرد که سه لپ‌تاپ با اطلاعات شخصی هزاران نفر از این وزارتخانه به سرقت رفته است.

در دسامبر سال گذشته، مشخص شد که یک شرکت خصوصی آمریکایی اطلاعات سه میلیون نامزد دریافت گواهینامه رانندگی بریتانیا را از دست داده است. آنها روی هارد دیسک کامپیوتر قرار داشتند. اطلاعات از دست رفته شامل اطلاعاتی درباره نام، آدرس و شماره تلفن متقاضیان گواهینامه رانندگی بین سپتامبر 2004 و آوریل 2007 است.

در اواخر اکتبر 2007، دو دیسک حاوی اطلاعات 25 میلیون دریافت کننده کمک هزینه کودک و حساب های بانکی آنها در راه بین دو سازمان دولتی ناپدید شد. یک عملیات جستجوی عظیم دیسک، که برای مالیات دهندگان 500000 پوند هزینه داشت، ناموفق بود.

همچنین در ژوئن سال جاری، بسته ای از اسناد طبقه بندی شده (http://korrespondent.net/world/493585) در یکی از قطارهای عازم لندن (http://korrespondent.net/world/493585) پیدا شد که حاوی اطلاعاتی در مورد مبارزه با تامین مالی تروریسم، قاچاق مواد مخدر و پولشویی است. پیش از این، بسته ای از اسناد طبقه بندی شده مربوط به آخرین اطلاعات شبکه تروریستی القاعده (http://korrespondent.net/world/490374) بر روی صندلی قطار در لندن کشف شده بود. سوال این است که کاربرانی که این اجازه را داده اند چه فکری کرده اند؟

در اینجا واقعیت دیگری وجود دارد که باید صاحبان دستگاه های تلفن همراه را به فکر وادار کند.

طبق گزارش موسسه Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute)، سالانه حدود 637000 لپ‌تاپ در فرودگاه‌های بزرگ و متوسط ​​ایالات متحده گم می‌شود. در نظرسنجی، لپ تاپ ها معمولا در پست های بازرسی امنیتی گم می شوند.

هر هفته حدود 10278 لپ‌تاپ در 36 فرودگاه بزرگ آمریکا گم می‌شود و 65 درصد از آنها به صاحبانشان بازگردانده نمی‌شوند. در فرودگاه‌های متوسط، حدود 2000 لپ‌تاپ گم شده و 69 درصد از آنها به صاحبانشان بازگردانده نمی‌شوند. این موسسه در 106 فرودگاه در 46 کشور نظرسنجی انجام داد و با 864 نفر مصاحبه کرد.

لپ تاپ هایی که اغلب گم می شوند در پنج فرودگاه زیر هستند:

• بین المللی لس آنجلس
• میامی بین المللی
• جان اف کندی بین المللی
• شیکاگو O "Hare
• نیوآرک لیبرتی اینترنشنال

مسافران مطمئن نیستند که آیا لپ‌تاپ‌های گمشده‌شان بازگردانده می‌شود یا خیر.

تقریباً 77 درصد از افراد مورد بررسی گفتند که هیچ امیدی به بازگرداندن لپ‌تاپ گمشده خود ندارند، 16 درصد نیز می‌گویند که اگر لپ‌تاپ خود را گم کنند، کاری انجام نمی‌دهند. تقریباً 53٪ گفتند لپ تاپ ها حاوی اطلاعات محرمانه شرکت هستند و 65٪ هیچ کاری برای محافظت از اطلاعات انجام ندادند.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

چه چیزی می تواند با این مخالفت کند؟ فقط رمزگذاری داده ها

در این مورد، رمزگذاری به عنوان آخرین خط دفاع فیزیکی برای رایانه شخصی شما عمل می کند. امروزه فناوری های رمزگذاری هارد دیسک - تنوع زیادی دارد. طبیعتا مایکروسافت پس از نمایش موفقیت آمیز فناوری BitLocker خود در ویندوز ویستا اینترپرایز و ویندوز ویستا آلتیمیت، نتوانست این فناوری را در ویندوز 7 قرار دهد. با این حال، انصافاً شایان ذکر است که در سیستم عامل جدید به طور قابل توجهی شاهد یک سیستم عامل جدید خواهیم بود. تکنولوژی رمزگذاری مجدد طراحی شده است.

رمزگذاری در ویندوز 7

بنابراین، آشنایی ما با نصب ویندوز 7 بر روی رایانه شخصی شما آغاز می شود. در ویندوز ویستا، برای استفاده از رمزگذاری، باید یکی از دو کار را انجام می دادید: یا ابتدا هارد دیسک خود را با استفاده از خط فرمان با پارتیشن بندی به روش مناسب، آماده کنید یا بعداً با استفاده از نرم افزار ویژه مایکروسافت (BitLocker Disk Preparation Tool) این کار را انجام دهید. . در ویندوز 7، هنگام پارتیشن بندی هارد دیسک، مشکل در ابتدا حل می شود. بنابراین در حین نصب پارتیشن سیستم را با ظرفیت 39 گیگابایت تنظیم کردم اما ... 2 پارتیشن گرفتم! حجم یکی 200 مگابایت و دومی 38 گیگ با حجم کوچک. علاوه بر این، در پنجره استاندارد کاوشگر تصویر زیر را مشاهده می کنید (شکل 1).

برنج. 1. پنجره کاوشگر

با این حال، با باز کردن Start - All Programs - Administrative Tools - Computer Management - Disk Management موارد زیر را مشاهده خواهید کرد (شکل 2):

برنج. 2. مدیریت کامپیوتر

همانطور که می بینید، اولین پارتیشن 200 مگابایتی به سادگی مخفی است. همچنین به طور پیش فرض سیستم، پارتیشن فعال و اولیه است. برای کسانی که از قبل با رمزگذاری در ویندوز ویستا آشنا هستند، در این مرحله چیز جدیدی وجود ندارد، به جز اینکه پارتیشن بندی به صورت پیش فرض به این شکل انجام می شود و هارد دیسک از قبل برای رمزگذاری بعدی در مرحله نصب آماده شده است. تنها تفاوت قابل توجه آن حجم 200 مگابایت در مقابل 1.5 گیگابایت در ویندوز ویستا است.

البته، چنین پارتیشن بندی یک دیسک به پارتیشن ها بسیار راحت تر است، زیرا اغلب کاربری که یک سیستم عامل را نصب می کند، بلافاصله به این فکر نمی کند که آیا هارد دیسک را رمزگذاری می کند یا خیر.

بلافاصله پس از نصب سیستم عامل، در Control Panel در قسمت System and Security، می توانیم (شکل 3) BitLocker Drive Encryption را انتخاب کنیم.

برنج. 3. سیستم و امنیت

با انتخاب Protect your computer by encrypting data on disk پنجره ای ظاهر می شود (شکل 4)

برنج. 4. رمزگذاری درایو BitLocker

به گزینه هایی که در ویندوز ویستا وجود ندارند یا به شکل متفاوتی سازماندهی شده اند (در شکل با رنگ قرمز مشخص شده است) توجه کنید. بنابراین، در ویندوز ویستا، رسانه‌های قابل جابجایی تنها در صورتی می‌توان رمزگذاری کرد که از سیستم فایل NTFS استفاده می‌کردند، و رمزگذاری طبق قوانین مربوط به هارد دیسک‌ها انجام می‌شد. و رمزگذاری پارتیشن دوم هارد (در این مورد درایو D :) فقط پس از رمزگذاری پارتیشن سیستم (درایو C :) امکان پذیر بود.

با این حال، فکر نکنید که وقتی گزینه Turn on BitLocker را انتخاب کردید، خوب هستید. اینطور نبود! وقتی BitLocker را بدون گزینه‌های اضافی روشن می‌کنید، تنها چیزی که به دست می‌آورید رمزگذاری هارد دیسک در این رایانه بدون استفاده از TPM است، که همانطور که در مقاله‌هایم اشاره کردم، مثال خوبی نیست. با این حال، کاربران در برخی از کشورها، به عنوان مثال، فدراسیون روسیه یا اوکراین، به سادگی هیچ انتخاب دیگری ندارند، زیرا واردات کامپیوترهای دارای TPM در این کشورها ممنوع است. در این حالت Turn on BitLocker را انتخاب می کنید و خود را در شکل 5 خواهید دید.

برنج. 5. رمزگذاری درایو BitLocker

اگر می خواهید از TPM برای استفاده از قدرت کامل رمزگذاری استفاده کنید، باید از ویرایشگر Group Policy استفاده کنید. برای انجام این کار، باید حالت خط فرمان (cmd.exe) را شروع کنید و gpedit.msc را در خط فرمان (شکل 6) تایپ کنید و ویرایشگر Group Policy را شروع کنید (شکل 7).

برنج. 6. ویرایشگر Group Policy را راه اندازی کنید

برنج. 7. ویرایشگر خط مشی گروه

بیایید نگاهی دقیق تر به گزینه های Group Policy که می توانید برای مدیریت رمزگذاری BitLocker استفاده کنید بیاندازیم.

گزینه های خط مشی گروه رمزگذاری درایو BitLocker

ذخیره اطلاعات بازیابی BitLocker در Active Directory Domain Services (ویندوز سرور 2008 و ویندوز ویستا)

با استفاده از این گزینه Group Policy، می‌توانید خدمات دامنه Active Directory (AD DS) را برای پشتیبان‌گیری از اطلاعات بازیابی رمزگذاری درایو BitLocker مدیریت کنید. این گزینه فقط برای رایانه هایی که ویندوز سرور 2008 یا ویندوز ویستا دارند اعمال می شود.

وقتی BitLocker فعال است، اطلاعات بازیابی به طور خودکار در AD DS کپی می‌شود.

اگر این گزینه خط مشی را غیرفعال کنید یا آن را در حالت پیش فرض قرار دهید، اطلاعات بازیابی BitLocker در AD DS کپی نمی شود.

پوشه پیش فرض را برای رمز عبور بازیابی انتخاب کنید

این گزینه سیاست به شما امکان می دهد مکان پوشه پیش فرض را برای ذخیره گذرواژه بازیابی تعریف کنید، که در صورت درخواست توسط BitLocker Drive Encryption Wizard نمایش داده می شود. این گزینه زمانی اعمال می شود که رمزگذاری BitLocker را فعال می کنید. البته لازم به ذکر است که کاربر می تواند رمز بازیابی را در هر پوشه دیگری ذخیره کند.

نحوه بازیابی درایوهای محافظت شده توسط BitLocker (ویندوز سرور 2008 و ویندوز ویستا) را انتخاب کنید.

این گزینه به شما امکان می دهد تا گزینه های بازیابی BitLocker را که توسط جادوگر راه اندازی نمایش داده می شود، کنترل کنید. این خط‌مشی برای رایانه‌هایی که Windows Server 2008 و Windows Vista را اجرا می‌کنند، اعمال می‌شود. این گزینه زمانی اعمال می شود که BitLocker فعال باشد.

برای بازیابی اطلاعات رمزگذاری شده، کاربر می تواند از یک رمز عبور عددی 48 رقمی یا یک درایو USB حاوی کلید بازیابی 256 بیتی استفاده کند.

با استفاده از این گزینه می توانید کلید رمز عبور 256 بیتی را فعال کنید تا به عنوان یک فایل نامرئی و یک فایل متنی که حاوی 48 رقم رمز بازیابی است در دیسک USB ذخیره شود.

در صورتی که این قانون Group Policy را غیرفعال کنید یا پیکربندی نکنید، BitLocker Setup Wizard به کاربر اجازه می دهد تا گزینه های بازیابی را انتخاب کند.

اگر این تنظیم خط‌مشی را غیرفعال کنید یا پیکربندی نکنید، BitLocker Setup Wizard راه‌های دیگری را برای حفظ گزینه‌های بازیابی در اختیار کاربران قرار می‌دهد.

روش رمزگذاری درایو و قدرت رمز را انتخاب کنید

با استفاده از این قانون می توانید الگوریتم رمزگذاری و طول کلید مورد استفاده را انتخاب کنید. اگر درایو قبلاً رمزگذاری شده باشد و سپس تصمیم بگیرید که طول کلید را تغییر دهید، هیچ اتفاقی نمی افتد. روش رمزگذاری پیش فرض AES با کلید 128 بیتی و دیفیوزر است.

شناسه های منحصر به فرد سازمان خود را ارائه دهید

این قانون خط مشی به شما امکان می دهد برای هر درایو جدیدی که متعلق به سازمان شما است و با BitLocker محافظت می شود، شناسه های منحصر به فرد ایجاد کنید. این شناسه ها به عنوان فیلدهای اول و دوم شناسه ذخیره می شوند. اولین فیلد شناسه به شما این امکان را می دهد که یک شناسه سازمانی منحصر به فرد را در درایوهای محافظت شده توسط BitLocker تنظیم کنید. این شناسه به طور خودکار به درایوهای جدید محافظت شده با BitLocker اضافه می شود و می تواند برای درایوهای رمزگذاری شده با BitLocker موجود با استفاده از نرم افزار خط فرمان Manage-BDE به روز شود.

فیلد شناسه دوم در ترکیب با قانون خط مشی "عدم دسترسی به رسانه قابل جابجایی که توسط BitLocker محافظت نمی شود" استفاده می شود و می تواند برای مدیریت درایوهای قابل جابجایی در شرکت شما استفاده شود.

ترکیبی از این فیلدها می تواند برای تعیین اینکه آیا درایو متعلق به سازمان شما است یا خیر استفاده می شود.

اگر مقدار این قانون تعریف نشده یا غیرفعال باشد، فیلدهای شناسایی لازم نیست.

فیلد شناسایی می تواند حداکثر 260 کاراکتر باشد.

از بازنویسی حافظه در راه اندازی مجدد جلوگیری کنید

این قانون با جلوگیری از بازنویسی حافظه، عملکرد رایانه شما را بهبود می بخشد، اما باید درک کرد که کلیدهای BitLocker از حافظه حذف نمی شوند.

اگر این قانون غیرفعال باشد یا پیکربندی نشده باشد، با راه اندازی مجدد رایانه، کلیدهای BitLocker از حافظه حذف خواهند شد.

برای افزایش امنیت، این قانون باید به صورت پیش فرض باقی بماند.

شناسه شی گواهی کارت هوشمند را پیکربندی کنید

این قانون شناسه شی گواهی کارت هوشمند را با درایو رمزگذاری شده BitLocker مرتبط می کند.

هارد دیسک های ثابت

این بخش قوانین Group Policy را توضیح می دهد که برای درایوهای داده (نه پارتیشن های سیستم) اعمال می شود.

پیکربندی استفاده از کارت های هوشمند در درایوهای داده ثابت

این قانون تعیین می‌کند که آیا کارت‌های هوشمند می‌توانند یا می‌توانند برای اجازه دسترسی به داده‌های روی هارد دیسک رایانه شخصی استفاده شوند یا خیر.

اگر این قانون را غیرفعال کنید، نمی توان از کارت های هوشمند استفاده کرد.

به طور پیش فرض می توان از کارت های هوشمند استفاده کرد.

دسترسی نوشتن به درایوهای ثابتی که توسط BitLocker محافظت نشده اند را رد کنید

این قانون تعیین می کند که آیا نوشتن در درایوهایی که از BitLocker محافظت نمی شوند یا خیر. اگر این قانون مشخص شده باشد، تمام درایوهایی که توسط BitLocker محافظت نمی شوند، فقط خواندنی خواهند بود. اگر درایو با BitLocker رمزگذاری شده باشد، خواندن / نوشتن آن انجام می شود. اگر این قانون غیرفعال باشد یا تعریف نشده باشد، تمام هارد دیسک های کامپیوتر برای خواندن و نوشتن در دسترس خواهند بود.

اجازه دسترسی به درایوهای داده ثابت محافظت شده با BitLocker از نسخه های قبلی ویندوز را بدهید

این قانون خط‌مشی کنترل می‌کند که آیا درایوهای FAT می‌توانند در رایانه‌هایی که ویندوز سرور 2008، ویندوز ویستا، ویندوز XP SP3 و ویندوز XP SP2 را اجرا می‌کنند، باز و خوانده شوند یا خیر.

اگر این قانون فعال یا پیکربندی نشده باشد، دیسک های داده فرمت شده با سیستم فایل FAT را می توان در رایانه هایی با سیستم عامل های بالا خواند.

اگر این قانون غیرفعال باشد، درایوهای مربوطه را نمی‌توان در رایانه‌های دارای ویندوز سرور 2008، ویندوز ویستا، ویندوز XP SP3 و ویندوز XP SP2 باز کرد.

توجه! این قانون برای درایوهای فرمت شده NTFS اعمال نمی شود.

این قانون تعیین می کند که آیا برای باز کردن قفل درایوهای محافظت شده توسط BitLocker به رمز عبور نیاز است یا خیر. اگر می‌خواهید از رمز عبور استفاده کنید، می‌توانید الزاماتی را برای پیچیدگی رمز عبور و حداقل طول آن تعیین کنید. شایان ذکر است که برای تنظیم الزامات پیچیدگی، باید یک شرط پیچیدگی رمز عبور را در بخش Password Policies در Group Policy تنظیم کنید.

اگر این قانون تعریف شده باشد، کاربران می توانند رمزهای عبور را برای برآوردن نیازهای انتخابی خود پیکربندی کنند.

رمز عبور باید حداقل 8 کاراکتر (به طور پیش فرض) باشد.

نحوه بازیابی درایوهای ثابت محافظت شده با BitLocker را انتخاب کنید

این قانون به شما امکان می دهد تا بازیابی دیسک های رمزگذاری شده را مدیریت کنید.

اگر این قانون پیکربندی یا مسدود نشده باشد، گزینه های بازیابی پیش فرض در دسترس هستند.

درایوهای سیستم عامل

این بخش قوانین Group Policy را که برای پارتیشن های سیستم عامل (معمولاً درایو C :) اعمال می شود، توضیح می دهد.

نیاز به احراز هویت اضافی در هنگام راه اندازی

این قانون خط مشی گروه کنترل می کند که آیا از ماژول پلتفرم مورد اعتماد (TMP) برای احراز هویت استفاده می کنید یا خیر.

توجه! توجه داشته باشید که در هنگام راه اندازی تنها یکی از گزینه ها قابل تنظیم است، در غیر این صورت با خطای خط مشی مواجه خواهید شد.

اگر این قانون فعال باشد، کاربران می‌توانند گزینه‌های راه‌اندازی پیشرفته را در جادوگر راه‌اندازی BitLocker پیکربندی کنند.

اگر این خط‌مشی غیرفعال یا پیکربندی نشده باشد، گزینه‌های اصلی را فقط می‌توان در رایانه‌های دارای TPM پیکربندی کرد.

توجه! اگر می خواهید از پین و درایو USB استفاده کنید، باید BitLocker را با استفاده از خط فرمان bde به جای جادوگر رمزگذاری درایو BitLocker پیکربندی کنید.

نیاز به احراز هویت اضافی در هنگام راه اندازی (ویندوز سرور 2008 و ویندوز ویستا)

این قانون فقط برای رایانه‌هایی که ویندوز 2008 یا ویندوز ویستا دارند اعمال می‌شود.

در رایانه های مجهز به TPM، می توانید یک گزینه امنیتی اضافی - کد پین (4 تا 20 رقم) را تنظیم کنید.

در رایانه هایی که مجهز به TPM نیستند، از یک دیسک USB با اطلاعات کلیدی استفاده می شود.

اگر این گزینه فعال باشد، ویزارد پنجره ای را نمایش می دهد که در آن کاربر می تواند گزینه های اضافی را برای راه اندازی BitLocker پیکربندی کند.

اگر این گزینه غیرفعال باشد یا پیکربندی نشده باشد، جادوگر نصب مراحل اولیه راه اندازی BitLocker را در رایانه های دارای TPM نمایش می دهد.

حداقل طول پین را برای راه اندازی پیکربندی کنید

این پارامتر برای تنظیم حداقل طول پین کد برای راه اندازی کامپیوتر استفاده می شود.

پین می تواند 4 تا 20 رقم باشد.

نحوه بازیابی درایوهای سیستم عامل محافظت شده توسط BitLocker را انتخاب کنید

با استفاده از این قانون خط مشی گروه، می توانید تعیین کنید که در صورت گم شدن کلید رمزگذاری، درایوهای رمزگذاری شده با BitLocker چگونه بازیابی شوند.

نمایه اعتبارسنجی پلت فرم TPM را پیکربندی کنید

با این قانون می توانید مدل TPM را پیکربندی کنید. اگر ماژول مربوطه وجود نداشته باشد، این قانون اعمال نمی شود.

اگر این قانون را فعال کنید، می‌توانید قبل از باز کردن قفل دسترسی به درایو رمزگذاری شده، پیکربندی کنید که کدام مؤلفه‌های بوت توسط TPM بررسی شوند.

رسانه قابل جابجایی

کنترل استفاده از BitLocker در درایوهای قابل جابجایی

با این قانون Group Policy، می توانید رمزگذاری BitLocker را در درایوهای قابل جابجایی مدیریت کنید.

شما می توانید انتخاب کنید که کاربران از کدام گزینه های پیکربندی برای پیکربندی BitLocker استفاده کنند.

به طور خاص، برای فعال کردن نصب جادوگر رمزگذاری BitLocker بر روی درایوهای قابل جابجایی، باید "Allow users to application protect BitLocker on Removable data drives" را انتخاب کنید.

اگر «اجازه به کاربران برای تعلیق و رمزگشایی BitLocker در درایوهای داده جداشدنی» را انتخاب کنید، کاربر می‌تواند درایو قابل جابجایی شما را رمزگشایی کند یا رمزگذاری را متوقف کند.

اگر این قانون پیکربندی نشده باشد، کاربران می توانند از BitLocker در رسانه های قابل جابجایی استفاده کنند.

اگر این قانون غیرفعال باشد، کاربران نمی توانند از BitLocker در درایوهای قابل جابجایی استفاده کنند.

پیکربندی استفاده از کارت های هوشمند در درایوهای داده قابل جابجایی

با این تنظیم خط مشی، می توانید تعیین کنید که آیا کارت های هوشمند می توانند برای احراز هویت کاربر و دسترسی به درایوهای قابل جابجایی در این رایانه شخصی استفاده شوند یا خیر.

دسترسی نوشتن به درایوهای قابل جابجایی که از BitLocker محافظت نشده است را رد کنید

با استفاده از این قانون، می توانید از نوشتن در درایوهای قابل جابجایی که توسط BitLocker محافظت نمی شوند جلوگیری کنید. در این حالت، تمام درایوهای قابل جابجایی که توسط BitLocker محافظت نمی شوند، فقط خواندنی خواهند بود.

اگر گزینه «عدم دسترسی نوشتن به دستگاه‌های پیکربندی شده در سازمان دیگر» انتخاب شده باشد، ضبط فقط برای درایوهای قابل جابجایی متعلق به سازمان شما در دسترس خواهد بود. اعتبار سنجی بر اساس دو فیلد شناسایی انجام می شود که طبق قانون خط مشی گروه "شناسه های منحصر به فرد را برای سازمان خود ارائه دهید" تعریف شده اند.

اگر این قانون را غیرفعال کرده اید یا پیکربندی نشده است، تمام دیسک های قابل جابجایی برای خواندن و نوشتن در دسترس خواهند بود.

توجه! این قانون را می‌توان با تنظیمات خط‌مشی User ConfigurationAdministrative TemplatesSystem Removable Storage Access لغو کرد. اگر قانون "Removable Disks: Deny write access" فعال باشد، این قانون نادیده گرفته می شود.

اجازه دسترسی به درایوهای داده قابل جابجایی محافظت شده با BitLocker از نسخه های قبلی ویندوز را بدهید

این قانون تعیین می‌کند که آیا درایوهای قابل جابجایی با فرمت FAT می‌توانند در رایانه‌هایی که ویندوز 2008، ویندوز ویستا، ویندوز XP SP3 و ویندوز XP SP2 دارند باز و مشاهده شوند یا خیر.

اگر این قانون فعال یا پیکربندی نشده باشد، دیسک‌های قابل جابجایی با سیستم فایل FAT را می‌توان در رایانه‌های دارای ویندوز 2008، ویندوز ویستا، ویندوز XP SP3 و ویندوز XP SP2 باز کرد و مشاهده کرد. با این حال، این دیسک ها فقط خواندنی خواهند بود.

اگر این قانون مسدود شود، دیسک‌های قابل جابجایی مربوطه را نمی‌توان باز کرد و در رایانه‌های دارای ویندوز 2008، ویندوز ویستا، ویندوز XP SP3 و ویندوز XP SP2 مشاهده کرد.

این قانون برای درایوهای فرمت شده NTFS اعمال نمی شود.

الزامات پیچیدگی رمز عبور و حداقل طول را پیکربندی کنید

این قانون سیاست تعیین می‌کند که آیا درایوهای جداشدنی قفل‌شده BitLocker باید با رمز عبور باز شوند یا خیر. اگر اجازه استفاده از رمز عبور را می دهید، می توانید الزاماتی را برای پیچیدگی و حداقل طول رمز عبور تعیین کنید. شایان توجه است که در این مورد، الزامات پیچیدگی باید با الزامات سیاست رمز عبور پیکربندی رایانه، تنظیمات امنیتی تنظیمات ویندوز، سیاست‌های حساب، خط‌مشی رمز عبور مطابقت داشته باشد.

نحوه بازیابی درایوهای قابل جابجایی محافظت شده توسط BitLocker را انتخاب کنید

این قانون به شما امکان می دهد نحوه بازیابی درایوهای قابل جابجایی محافظت شده توسط BitLocker را انتخاب کنید.

با این حال، اجازه دهید به رمزگذاری هارد دیسک ادامه دهیم. از آنجایی که قبلاً تأیید کرده اید که تغییرات در Group Policy به شما امکان می دهد تا استفاده از رمزگذاری BitLocker را به طور قابل توجهی گسترش دهید، اجازه دهید به سمت ویرایش Group Policy برویم. برای این کار، اهداف و شرایط استفاده از رمزگذاری خود را فرموله می کنیم.

1. کامپیوتر مورد مطالعه دارای یک ماژول TPM نصب شده است

2. ما رمزگذاری می کنیم:

• دیسک سیستم
• دیسک داده
• رسانه قابل جابجایی، هم برای NTFS و هم برای FAT.

و ما باید بررسی کنیم که آیا رسانه قابل جابجایی فرمت شده تحت FAT روی رایانه‌ای که هم ویندوز XP SP2 و هم Windows Vista SP1 دارد در دسترس خواهد بود یا خیر.

بیایید به روند رمزگذاری برویم.

برای شروع، در BitLocker Group Policies، الگوریتم رمزگذاری و طول کلید را انتخاب کنید (شکل 8)

برنج. 8. انتخاب الگوریتم رمزگذاری و طول کلید

سپس در قسمت Operation System Drive، قانون Require extra authentication at startup را انتخاب کنید (شکل 9).

برنج. 9. قانون "نیاز به احراز هویت اضافی در هنگام راه اندازی"

پس از آن، با استفاده از قانون تنظیم حداقل طول پین برای راه اندازی، حداقل طول پین را روی 6 کاراکتر تنظیم کنید.

برای رمزگذاری بخش داده، الزامات پیچیدگی و حداقل طول رمز عبور 8 کاراکتر را تنظیم کنید (شکل 10).

برنج. 10. تنظیم الزامات برای حداقل طول و پیچیدگی رمز عبور

لازم به یادآوری است که باید الزامات حفاظت از رمز عبور را تنظیم کنید (شکل 11).

برنج. 11. الزامات حفاظت از رمز عبور

برای درایوهای قابل جابجایی، تنظیمات زیر را انتخاب کنید:

• خواندن دیسک های قابل جابجایی با سیستم فایل FAT در نسخه های پایین تر ویندوز مجاز نیست.
• رمز عبور باید الزامات پیچیدگی را برآورده کند.
• حداقل طول رمز عبور 8 کاراکتر است.

پس از آن، از دستور gpupdate.exe / force در پنجره خط فرمان برای به روز رسانی خط مشی استفاده کنید (شکل 12).

برنج. 12. به روز رسانی تنظیمات خط مشی گروه

از آنجایی که تصمیم گرفتیم در هر راه اندازی مجدد از یک کد پین استفاده کنیم، (شکل 13) را انتخاب کردیم که در هر راه اندازی به یک پین نیاز باشد.

برنج. 13. در هر بوت پین را وارد کنید

برنج. 14. وارد کردن پین

کد پین 4 کاراکتری را وارد کنید (شکل 15)

برنج. 15. پین الزامات حداقل طول را برآورده نمی کند

حداقل طول پین کد مشخص شده در این خط مشی 6 رقم است؛ پس از وارد کردن یک کد پین جدید، دعوت نامه ای برای ذخیره کلید در یک دیسک USB و در قالب یک فایل متنی دریافت می کنیم.

برنج. 16. ذخیره یک کلید رمزگذاری پشتیبان

پس از آن، سیستم را راه اندازی مجدد می کنیم و فرآیند واقعی رمزگذاری درایو C: آغاز می شود.

پس از آن، پارتیشن دوم هارد دیسک خود را رمزگذاری می کنیم - درایو D: (شکل 17)

برنج. 17. رمزگذاری درایو D:

قبل از رمزگذاری درایو D: باید رمز عبور این درایو را وارد کنیم. در این مورد، رمز عبور باید الزامات ما برای حداقل طول رمز عبور و الزامات پیچیدگی رمز عبور را برآورده کند. شایان ذکر است که امکان باز کردن خودکار این دیسک در این رایانه شخصی وجود دارد.

بر این اساس، رمز بازیابی را به همین ترتیب در یک درایو USB ذخیره می کنیم.

لازم به ذکر است که اولین بار که رمز عبور را ذخیره می کنید، به طور همزمان در یک فایل متنی در همان درایو USB ذخیره می شود!

باید در نظر داشت که هنگام رمزگذاری یک پارتیشن داده با حجم 120 گیگابایت (که 100 گیگابایت آن رایگان است)، Windows Explorer همیشه پیامی در مورد فضای ناکافی روی پارتیشن نمایش می دهد (شکل 18).

برنج. 18. پنجره Windows Explorer

بیایید سعی کنیم یک درایو USB با فرمت FAT را رمزگذاری کنیم.

رمزگذاری یک دیسک USB با این واقعیت آغاز می شود که از ما خواسته می شود یک رمز عبور برای دیسک رمزگذاری شده آینده وارد کنیم. طبق قوانین خاص سیاست، حداقل طول رمز عبور 8 کاراکتر است. در این مورد، رمز عبور باید الزامات پیچیدگی را برآورده کند (شکل 19)

برنج. 19. وارد کردن رمز عبور برای رمزگذاری دیسک USB قابل جابجایی

در پایان رمزگذاری، سعی کردم این درایو USB را روی رایانه دیگری که ویندوز Vista Home Premium SP1 را اجرا می کند، مشاهده کنم. نتیجه در شکل نشان داده شده است. 21.

برنج. 21. تلاش برای خواندن یک درایو USB رمزگذاری شده در رایانه ای که ویندوز ویستا SP1 دارد

همانطور که می بینید، اگر دیسک شما گم شود، اطلاعات خوانده نمی شود، علاوه بر این، دیسک به احتمال زیاد به سادگی فرمت می شود.

هنگامی که سعی می کنید همان دیسک USB را به رایانه ای که ویندوز 7 بتا 1 دارد وصل کنید، می توانید موارد زیر را مشاهده کنید (شکل 22).

خروجی

بنابراین، ما دیدیم که چگونه رمزگذاری در ویندوز 7 انجام می شود. چه می توانیم بگوییم - در مقایسه با ویندوز ویستا، قوانین بسیار بیشتری در خط مشی های گروهی دارد و بر این اساس، مسئولیت پرسنل فناوری اطلاعات برای کاربرد صحیح آنها و ساخت صحیح آنها روابط به هم پیوسته افزایش می یابد ...

نحوه حذف نقاط بازیابی سیستم در ویندوز 7

سلام به خوانندگان وبلاگ شرکت ComService (Naberezhnye Chelny). در این مقاله، ما به بررسی سیستم های تعبیه شده در ویندوز که برای بهبود امنیت داده های ما طراحی شده اند، ادامه خواهیم داد. امروزه این سیستم رمزگذاری دیسک Bitlocker است. رمزگذاری داده ها ضروری است تا افراد غریبه از اطلاعات شما استفاده نکنند. اینکه او چگونه به آنها می رسد یک سوال دیگر است.

رمزگذاری فرآیند تبدیل داده ها است به طوری که فقط افراد مناسب می توانند به آن دسترسی داشته باشند. معمولاً برای دسترسی از کلیدها یا رمزهای عبور استفاده می شود.

هنگامی که هارد دیسک خود را به رایانه دیگری متصل می کنید، رمزگذاری کل درایو از دسترسی به داده ها جلوگیری می کند. ممکن است یک سیستم عامل متفاوت بر روی سیستم مهاجم برای دور زدن حفاظت نصب شود، اما اگر از BitLocker استفاده می کنید، این کار کمکی نمی کند.

BitLocker با سیستم عامل ویندوز ویستا معرفی شد و بهبود یافته است. Bitlocker در نسخه های Maximum و Enterprise و همچنین Pro در دسترس است. صاحبان نسخه های دیگر باید جستجو کنند.

ساختار مقاله

1. رمزگذاری درایو BitLocker چگونه کار می کند

بدون پرداختن به جزئیات، به نظر می رسد. سیستم کل درایو را رمزگذاری می کند و کلیدهای آن را به شما می دهد. اگر دیسک سیستم را رمزگذاری کنید، بدون کلید شما بوت نمی شود. همان کلیدهای آپارتمان. شما آنها را دارید، در آن سقوط خواهید کرد. گم شده، باید از یدک استفاده کنید (کد بازیابی (صدور در هنگام رمزگذاری)) و قفل را تغییر دهید (رمزگذاری مجدد با کلیدهای مختلف)

برای محافظت مطمئن، داشتن یک ماژول پلتفرم قابل اعتماد (TPM) در رایانه مطلوب است. اگر وجود داشته باشد و ورژن آن 1.2 یا بالاتر باشد، روند را کنترل می کند و روش های حفاظتی قوی تری خواهید داشت. اگر وجود نداشته باشد، استفاده از کلید در درایو USB امکان پذیر خواهد بود.

BitLocker به شرح زیر عمل می کند. هر بخش دیسک به طور جداگانه با استفاده از یک کلید رمزگذاری تمام حجم (FVEK) رمزگذاری می شود. از الگوریتم AES با کلید 128 بیتی و دیفیوزر استفاده شده است. کلید را می توان در سیاست های امنیتی گروه به 256 بیت تغییر داد.

هنگامی که رمزگذاری کامل شد، تصویر زیر را مشاهده خواهید کرد

پنجره را ببندید و بررسی کنید که آیا کلید راه‌اندازی و کلید بازیابی در مکان‌های امنی هستند یا خیر.

3. رمزگذاری درایو فلش - BitLocker To Go

چرا رمزگذاری را مکث کنیم؟ به طوری که BitLocker درایو شما را قفل نمی کند و به روش بازیابی متوسل نمی شود. پارامترهای سیستم (و محتویات پارتیشن بوت) در هنگام رمزگذاری برای محافظت بیشتر ثابت می شوند. اگر آنها را تغییر دهید، ممکن است رایانه قفل شود.

اگر مدیریت BitLocker را انتخاب کنید، می‌توانید کلید بازیابی را ذخیره یا چاپ کنید و کلید راه‌اندازی را کپی کنید.

اگر یکی از کلیدها (کلید راه اندازی یا کلید بازیابی) گم شد، می توانید آنها را در اینجا بازیابی کنید.

مدیریت رمزگذاری حافظه خارجی

توابع زیر برای مدیریت پارامترهای رمزگذاری درایو فلش در دسترس هستند

برای باز کردن قفل می توانید رمز عبور را تغییر دهید. رمز تنها در صورتی قابل حذف است که از کارت هوشمند برای باز کردن قفل استفاده شود. همچنین می توانید کلید بازیابی را ذخیره یا چاپ کنید و باز کردن قفل دیسک را به صورت خودکار فعال کنید.

5. بازیابی دسترسی به دیسک

بازیابی دسترسی به دیسک سیستم

اگر درایو فلش با کلید خارج از منطقه دسترسی باشد، کلید بازیابی وارد بازی می شود. هنگامی که کامپیوتر خود را بوت می کنید، چیزی شبیه به زیر خواهید دید.

برای بازیابی دسترسی و بوت کردن ویندوز، Enter را فشار دهید

ما صفحه ای را می بینیم که از شما می خواهد کلید بازیابی را وارد کنید

با وارد کردن آخرین رقم، به شرط استفاده از کلید بازیابی صحیح، سیستم عامل به طور خودکار بوت می شود.

بازیابی دسترسی به درایوهای قابل جابجایی

برای بازیابی دسترسی به اطلاعات در درایو فلش USB یا فشار دادن رمز عبور خود را فراموش کرده اید؟

کلید بازیابی را وارد کنید

و این کد 48 رقمی وحشتناک را وارد کنید. روی Next کلیک کنید

اگر کلید بازیابی مناسب باشد، دیسک باز می شود

پیوندی برای مدیریت BitLocker ظاهر می شود که در آن می توانید رمز عبور را تغییر دهید تا درایو باز شود.

نتیجه

در این مقاله، یاد گرفتیم که چگونه می‌توانیم اطلاعات خود را با رمزگذاری با استفاده از BitLocker داخلی محافظت کنیم. ناامید کننده است که این فناوری فقط در نسخه های قدیمی یا پیشرفته ویندوز موجود است. همچنین مشخص شد که چرا این پارتیشن مخفی و قابل بوت 100 مگابایتی هنگام تنظیم یک دیسک با استفاده از ویندوز ایجاد شده است.

شاید از رمزگذاری درایوهای فلش یا. اما، این بعید است، زیرا جایگزین های خوبی در قالب سرویس های ذخیره سازی ابری مانند، و مانند آن وجود دارد.

با تشکر از شما برای به اشتراک گذاری این مقاله در شبکه های اجتماعی. بهترین ها!

BitLocker - قابلیت های رمزگذاری جدید درایو
از دست دادن اطلاعات محرمانه اغلب پس از دستیابی مهاجم به اطلاعات روی هارد دیسک رخ می دهد. به عنوان مثال، اگر یک کلاهبردار به نحوی فرصت خواندن فایل های سیستم را پیدا کند، می تواند از آنها برای یافتن رمزهای عبور کاربر، استخراج اطلاعات شخصی و غیره استفاده کند.
ویندوز 7 شامل یک ابزار BitLocker است که به شما امکان می دهد کل یک درایو را رمزگذاری کنید، به طوری که داده های موجود در آن از چشمان کنجکاو محافظت می شود.
فناوری رمزگذاری BitLocker توسط ویندوز ویستا معرفی شد و در سیستم عامل جدید بهبود یافته است. بیایید جالب ترین نوآوری ها را فهرست کنیم:

• فعال کردن BitLocker از منوی زمینه File Explorer.
• ایجاد خودکار یک پارتیشن دیسک قابل بوت پنهان؛
• پشتیبانی از Data Recovery Agent (DRA) برای تمام حجم های محافظت شده.

به یاد داشته باشید که این ابزار در تمام نسخه های ویندوز اجرا نمی شود، بلکه فقط در نسخه های "پیشرفته"، "شرکتی" و "حرفه ای" اجرا می شود.

محافظت از درایوها با فناوری BitLocker، تقریباً در هر حالت فورس ماژور، اطلاعات محرمانه کاربر را حفظ می کند - در صورت از دست دادن رسانه قابل جابجایی، سرقت، دسترسی غیرمجاز به درایو و غیره.
فناوری رمزگذاری داده BitLocker را می توان برای هر فایل موجود در درایو سیستم و همچنین برای هر رسانه قابل جابجایی اضافی اعمال کرد. اگر داده های موجود در دیسک رمزگذاری شده به رسانه دیگری کپی شود، اطلاعات بدون رمزگذاری منتقل می شود.
برای امنیت بیشتر، BitLocker می تواند از رمزگذاری لایه ای استفاده کند - استفاده همزمان از چندین نوع حفاظت، از جمله سخت افزار و نرم افزار. ترکیبی از روش‌های حفاظت از داده‌ها، چندین حالت مختلف عملیات برای رمزگذاری BitLocker فراهم می‌کند. هر یک از آنها مزایای خاص خود را دارند و همچنین سطح امنیتی خاص خود را ارائه می دهند:

• حالت TPM؛
• حالت TPM و USB
• حالت TPM و شماره شناسایی شخصی (PIN)؛
• حالت با استفاده از یک دستگاه USB حاوی دانگل.

قبل از اینکه نگاهی دقیق‌تر به نحوه استفاده از BitLocker داشته باشیم، باید توضیحاتی ارائه شود. اول از همه، درک اصطلاحات مهم است. TPM یک تراشه رمزنگاری ویژه است که امکان احراز هویت را فراهم می کند. چنین ریز مداری را می توان به عنوان مثال در برخی از مدل های لپ تاپ، رایانه های شخصی رومیزی، دستگاه های مختلف تلفن همراه و غیره ادغام کرد.
این تراشه یک "کلید دسترسی ریشه" منحصر به فرد را ذخیره می کند. چنین ریز مدار "فلش زده" یکی دیگر از محافظت های قابل اعتماد اضافی در برابر شکستن کلیدهای رمزگذاری است. اگر این داده ها روی هر رسانه دیگری ذخیره می شد، خواه یک هارد دیسک یا کارت حافظه باشد، خطر از دست دادن اطلاعات به طور نامتناسبی بیشتر می شد، زیرا دسترسی به این دستگاه ها آسان تر است. با استفاده از "رمز عبور ریشه"، تراشه می تواند کلیدهای رمزگذاری خود را ایجاد کند، که فقط توسط TPM قابل رمزگشایی است.
رمز عبور مالک اولین باری که TPM مقداردهی اولیه می شود ایجاد می شود. ویندوز 7 از TPM 1.2 پشتیبانی می کند و به بایوس سازگار نیاز دارد.
هنگامی که حفاظت صرفاً توسط TPM انجام می شود، داده ها در طول فرآیند راه اندازی در سطح سخت افزار جمع آوری می شوند، از جمله داده های BIOS و سایر داده ها، که مجموع آنها صحت سخت افزار را نشان می دهد. این حالت کار "شفاف" نامیده می شود و نیازی به هیچ اقدامی از طرف کاربر ندارد - بررسی انجام می شود و در صورت موفقیت آمیز بودن دانلود به طور معمول انجام می شود.
عجیب است که رایانه های حاوی یک ماژول پلت فرم قابل اعتماد هنوز فقط یک نظریه برای کاربران ما هستند، زیرا واردات و فروش چنین دستگاه هایی در قلمرو روسیه و اوکراین به دلیل مشکلات صدور گواهینامه توسط قانون ممنوع است. بنابراین، برای ما، تنها گزینه محافظت از دیسک سیستم با استفاده از درایو USB، که کلید دسترسی روی آن نوشته شده است، مرتبط باقی می ماند.

فناوری BitLocker به شما امکان می دهد یک الگوریتم رمزگذاری را برای درایوهای داده ای که از سیستم های فایل exFAT، FAT16، FAT32 یا NTFS استفاده می کنند، اعمال کنید. اگر رمزگذاری روی درایو سیستم عامل اعمال شود، داده های آن درایو باید با فرمت NTFS نوشته شود تا از BitLocker استفاده شود.
روش رمزگذاری مورد استفاده توسط BitLocker بر اساس الگوریتم قوی AES با یک کلید 128 بیتی است.
یکی از تفاوت های ویژگی Bitlocker در ویندوز 7 با ابزار مشابه در ویندوز ویستا این است که سیستم عامل جدید نیازی به پارتیشن بندی دیسک خاصی ندارد. قبلاً کاربر مجبور بود برای این کار از ابزار مایکروسافت BitLocker Disk Preparation Tool استفاده کند، اکنون کافی است به سادگی مشخص کنید که کدام دیسک باید محافظت شود و سیستم به طور خودکار یک پارتیشن بوت مخفی روی دیسک مورد استفاده Bitlocker ایجاد می کند. این پارتیشن بوت برای راه اندازی کامپیوتر استفاده می شود، بدون رمز ذخیره می شود (در غیر این صورت راه اندازی غیرممکن بود)، در حالی که پارتیشن سیستم عامل رمزگذاری می شود.
در مقایسه با ویندوز ویستا، پارتیشن بوت حدود ده برابر فضای دیسک کمتری را اشغال می کند. به بخش اضافی نامه جداگانه ای اختصاص داده نمی شود و در لیست بخش های مدیر فایل ظاهر نمی شود.

استفاده از ابزاری در کنترل پنل به نام BitLocker Drive Encryption برای مدیریت رمزگذاری راحت است. این ابزار یک مدیر دیسک است که با آن می توانید به سرعت دیسک ها را رمزگذاری و قفل کنید و با TPM کار کنید. این پنجره به شما امکان می دهد رمزگذاری BitLocker را در هر زمان لغو یا متوقف کنید.

بر اساس مطالب 3dnews.ru

ابزار رمزگذاری را در ویندوز با جستجوی «BitLocker» و انتخاب «Manage BitLocker» اجرا کنید. در پنجره بعدی، می توانید با کلیک بر روی "Enable BitLocker" در کنار برچسب هارد، رمزگذاری را فعال کنید (در صورت ظاهر شدن پیام خطا، بخش "استفاده از BitLocker بدون TPM" را مطالعه کنید).

اکنون می توانید انتخاب کنید که هنگام باز کردن قفل درایو رمزگذاری شده از یک درایو فلش USB یا رمز عبور استفاده کنید. صرف نظر از گزینه انتخاب شده، در طول فرآیند راه اندازی، باید کلید بازیابی را ذخیره یا چاپ کنید. اگر رمز عبور خود را فراموش کردید یا درایو فلش USB خود را گم کردید به آن نیاز خواهید داشت.

استفاده از BitLocker بدون TPM

پیکربندی BitLocker
BitLocker بدون تراشه TPM نیز کار می‌کند، اگرچه این نیاز به تغییراتی در ویرایشگر سیاست گروه محلی دارد.

اگر رایانه شما دارای تراشه ماژول پلتفرم مورد اعتماد (TPM) نیست، ممکن است لازم باشد برخی تنظیمات را برای فعال کردن BitLocker انجام دهید. در نوار جستجوی ویندوز، "Change Group Policy" را تایپ کنید و بخش "Local Group Policy Editor" را باز کنید. اکنون در ستون سمت چپ ویرایشگر "Computer Configuration | قالب های اداری | اجزای ویندوز | رمزگذاری درایو BitLocker | درایوهای سیستم عامل، و در ستون سمت راست، ورودی «احراز هویت اضافی مورد نیاز هنگام راه‌اندازی» را بررسی کنید.

سپس در ستون وسط، روی پیوند «تغییر تنظیمات خط مشی» کلیک کنید. کادر کنار «Enable» را علامت بزنید و کادر کنار «Allow BitLocker without a compatible TPM» را در زیر علامت بزنید. پس از کلیک بر روی Apply و OK، می توانید از BitLocker همانطور که در بالا توضیح داده شد استفاده کنید.

جایگزین در قالب VeraCrypt

برای رمزگذاری پارتیشن سیستم یا کل هارد دیسک با استفاده از VeraCrypt جانشین TrueCrypt، Create Volume را از منوی اصلی VeraCrypt انتخاب کنید و سپس پارتیشن سیستم یا کل درایو سیستم را رمزگذاری کنید. برای رمزگذاری کل هارد دیسک به همراه پارتیشن ویندوز، "Encrypt the whole drive" را انتخاب کنید و سپس دستورالعمل های گام به گام راه اندازی را دنبال کنید. توجه: VeraCrypt در صورتی که رمز عبور خود را فراموش کنید، یک دیسک ESD ایجاد می کند. بنابراین شما به یک سی دی خالی نیاز دارید.

پس از اینکه دیسک خود را رمزگذاری کردید، در زمان بوت شدن باید PIM (Personal Iterations Multiplier) را بعد از رمز عبور مشخص کنید. اگر در حین راه اندازی PIM را نصب نکرده اید، فقط Enter را فشار دهید.

به گفته کارشناسان، سرقت لپ تاپ است که یکی از مشکلات اصلی در حوزه امنیت اطلاعات (IS) است.

بر خلاف سایر تهدیدات امنیت سایبری، ماهیت مشکلات "لپ تاپ دزدیده شده" یا "درایو فلش دزدیده شده" نسبتا ابتدایی است. و اگر هزینه دستگاه های ناپدید شده به ندرت از علامت چند هزار دلار آمریکا فراتر رود، ارزش اطلاعات ذخیره شده روی آنها اغلب به میلیون ها اندازه گیری می شود.

به گفته دل و موسسه پونمون، سالانه 637000 لپ تاپ در فرودگاه های آمریکا ناپدید می شوند. تصور کنید چند درایو فلش ناپدید می شوند، زیرا آنها بسیار کوچکتر هستند و انداختن یک فلش درایو تصادفی به آسانی شلیک گلابی است.

زمانی که یک لپ تاپ متعلق به یکی از مدیران ارشد یک شرکت بزرگ مفقود می شود، خسارت یک چنین سرقتی می تواند به ده ها میلیون دلار برسد.

چگونه از خود و شرکتتان محافظت کنید؟

ما به سری مقالات خود در مورد امنیت دامنه ویندوز ادامه می دهیم. در اولین مقاله از این مجموعه، در مورد راه اندازی ورود به دامنه امن و در مقاله دوم، در مورد راه اندازی انتقال امن داده در سرویس گیرنده ایمیل صحبت کردیم:

1. چگونه از یک توکن برای ایمن تر کردن دامنه ویندوز استفاده کنیم؟ قسمت 1 .
2. چگونه از یک توکن برای امن تر کردن دامنه ویندوز استفاده کنیم؟ قسمت 2 .

در این مقاله در مورد راه اندازی رمزگذاری اطلاعات ذخیره شده در هارد دیسک صحبت خواهیم کرد. متوجه خواهید شد که چگونه مطمئن شوید که هیچ کس جز شما نمی تواند اطلاعات ذخیره شده در رایانه شما را بخواند.

تعداد کمی از مردم می دانند که ویندوز دارای ابزارهای داخلی است که به شما کمک می کند اطلاعات را به صورت ایمن ذخیره کنید. بیایید یکی از آنها را در نظر بگیریم.

حتما برخی از شما کلمه "BitLocker" را شنیده اید. ببینیم چیه

BitLocker چیست؟

BitLocker که با نام BitLocker Drive Encryption نیز شناخته می شود، یک فناوری رمزگذاری درایو کامپیوتری است که توسط مایکروسافت توسعه یافته است. اولین بار در ویندوز ویستا ظاهر شد.

با استفاده از BitLocker، امکان رمزگذاری حجم هارد دیسک وجود داشت، اما بعدا، قبلاً در ویندوز 7، یک فناوری مشابه BitLocker To Go ظاهر شد که برای رمزگذاری درایوهای قابل جابجایی و درایوهای فلش طراحی شده است.

BitLocker یک ویژگی استاندارد Windows Professional و نسخه های سرور ویندوز است، به این معنی که در حال حاضر برای بیشتر استفاده های شرکتی در دسترس است. در غیر این صورت، باید لایسنس ویندوز خود را به Professional ارتقا دهید.

BitLocker چگونه کار می کند؟

این فناوری مبتنی بر رمزگذاری با حجم کامل با استفاده از الگوریتم استاندارد رمزگذاری پیشرفته (AES) است. کلیدهای رمزگذاری باید به طور ایمن ذخیره شوند و BitLocker مکانیسم های مختلفی برای این کار دارد.

ساده ترین و در عین حال ناامن ترین روش رمز عبور است. کلید هر بار به همین صورت از پسورد گرفته می شود و بر این اساس اگر شخصی رمز شما را پیدا کند، کلید رمزگذاری نیز مشخص می شود.

برای جلوگیری از ذخیره کلید در متن واضح، می توان آن را در یک TPM (ماژول پلتفرم مورد اعتماد) یا روی یک رمز رمزنگاری یا کارت هوشمند که از الگوریتم RSA 2048 پشتیبانی می کند، رمزگذاری کرد.

TPM یک تراشه است که برای اجرای عملکردهای امنیتی اساسی، عمدتاً با استفاده از کلیدهای رمزگذاری طراحی شده است.

ماژول TPM معمولاً روی مادربرد رایانه نصب می شود، با این حال، خرید رایانه با ماژول TPM داخلی در روسیه بسیار دشوار است، زیرا واردات دستگاه ها به کشور ما بدون اطلاع از FSB ممنوع است.

استفاده از کارت هوشمند یا توکن برای باز کردن قفل دیسک یکی از ایمن‌ترین راه‌ها برای کنترل اینکه چه کسی و چه زمانی این فرآیند را انجام داده است. برای رفع انسداد، در این حالت، هم خود کارت هوشمند و هم پین کد آن مورد نیاز است.

BitLocker چگونه کار می کند:

1. هنگامی که BitLocker با استفاده از یک مولد اعداد شبه تصادفی فعال می شود، یک دنباله بیت اصلی تولید می شود. این کلید رمزگذاری صدا FVEK (کلید رمزگذاری حجم کامل) است. محتویات هر بخش را رمزگذاری می کند. FVEK در شدیدترین حالت محرمانه نگهداری می شود.
2. FVEK با استفاده از کلید اصلی صدا (VMK) رمزگذاری می شود. FVEK (رمزگذاری شده با VMK) روی دیسک در میان ابرداده های حجمی ذخیره می شود. در عین حال، هرگز نباید به صورت رمزگشایی شده به دیسک برسد.
3. خود VMK نیز رمزگذاری شده است. کاربر روش رمزگذاری را انتخاب می کند.
4. VMK به طور پیش‌فرض با یک کلید اصلی ذخیره‌سازی (SRK) که روی یک کارت هوشمند رمزنگاری یا توکن ذخیره می‌شود، رمزگذاری می‌شود. این به روشی مشابه با TPM اتفاق می افتد.
   به هر حال، کلید رمزگذاری درایو سیستم BitLocker را نمی توان با کارت هوشمند یا توکن محافظت کرد. این به این دلیل است که از کتابخانه های فروشنده برای دسترسی به کارت های هوشمند و توکن ها استفاده می شود و البته قبل از بارگیری سیستم عامل در دسترس نیستند.
   اگر TPM وجود ندارد، BitLocker پیشنهاد می کند که کلید پارتیشن سیستم را روی یک USB ذخیره کنید، که مطمئناً ایده خوبی نیست. اگر سیستم شما TPM ندارد، توصیه نمی کنیم درایوهای سیستم خود را رمزگذاری کنید.
   به طور کلی، رمزگذاری درایو سیستم ایده بدی است. هنگامی که به درستی پیکربندی شود، تمام داده های مهم جدا از داده های سیستم نگهداری می شوند. این حداقل از نظر پشتیبان گیری آنها راحت تر است. به علاوه، رمزگذاری فایل های سیستم عملکرد سیستم را به طور کلی کاهش می دهد و کار یک دیسک سیستم رمزگذاری نشده با فایل های رمزگذاری شده بدون کاهش سرعت انجام می شود.
5. کلیدهای رمزگذاری برای سایر درایوهای غیر سیستمی و قابل جابجایی را می توان با استفاده از کارت هوشمند یا توکن و TPM محافظت کرد.
   اگر TPM یا کارت هوشمند وجود ندارد، به جای SRK، یک کلید ایجاد شده از رمز عبوری که وارد کرده اید برای رمزگذاری VMK استفاده می شود.

هنگامی که از یک دیسک بوت رمزگذاری شده شروع به کار می کند، سیستم از تمام کلیدهای ممکن پرس و جو می کند - TPM را بررسی می کند، پورت های USB را بررسی می کند، یا در صورت لزوم از کاربر درخواست می کند (که بازیابی نامیده می شود). کشف Keystore به ویندوز اجازه می دهد تا VMK را رمزگشایی کند، که FVEK را رمزگشایی می کند، که قبلاً داده های روی دیسک را رمزگشایی می کند.

هر بخش از حجم به طور جداگانه رمزگذاری می شود و بخشی از کلید رمزگذاری با تعداد این بخش تعیین می شود. در نتیجه، دو بخش حاوی داده‌های رمزگذاری نشده یکسان به شکل رمزگذاری شده متفاوت به نظر می‌رسند، که فرآیند تعیین کلیدهای رمزگذاری را با ضبط و رمزگشایی داده‌های شناخته شده قبلی بسیار پیچیده می‌کند.

علاوه بر FVEK، VMK، و SRK، BitLocker از نوع دیگری از کلید استفاده می کند که "فقط در مورد" تولید می شود. اینها کلیدهای بازیابی هستند.

برای مواقع اضطراری (یک کاربر رمزی را گم کرده، پین خود را فراموش کرده است، و غیره) BitLocker از شما می خواهد در آخرین مرحله یک کلید بازیابی ایجاد کنید. امتناع از ایجاد آن در سیستم ارائه نشده است.

چگونه می توانم رمزگذاری اطلاعات روی هارد دیسک خود را فعال کنم؟

قبل از شروع فرآیند رمزگذاری حجم ها بر روی هارد دیسک، مهم است که در نظر داشته باشید که این روند کمی زمان می برد. مدت زمان آن به مقدار اطلاعات روی هارد دیسک بستگی دارد.

اگر در طول فرآیند رمزگذاری یا رمزگشایی، رایانه خاموش شود یا به حالت خواب زمستانی برود، دفعه بعد که ویندوز را راه اندازی می کنید، این فرآیندها از جایی که متوقف شده بودند، از سر گرفته می شوند.

حتی در طول فرآیند رمزگذاری، می توان از ویندوز استفاده کرد، اما بعید است که بتواند شما را با عملکرد خود راضی کند. در نتیجه، پس از رمزگذاری، عملکرد دیسک حدود 10٪ کاهش می یابد.

اگر BitLocker در سیستم شما موجود است، پس از کلیک راست بر روی نام درایوی که می خواهید رمزگذاری کنید، منوی باز شده مورد را نشان می دهد. BitLocker را روشن کنید.

در نسخه های سرور ویندوز، باید نقش را اضافه کنید رمزگذاری درایو BitLocker.

بیایید پیکربندی رمزگذاری یک حجم غیر سیستمی را شروع کنیم و از کلید رمزگذاری با استفاده از یک رمز رمزنگاری محافظت کنیم.

ما از یک توکن تولید شده توسط شرکت Aktiv استفاده خواهیم کرد. به ویژه، توکن روتوکن EDS PKI.

I. اجازه دهید Rutoken EDS PKI را برای کار آماده کنیم.

در اکثر سیستم‌های ویندوز با پیکربندی معمولی، پس از اولین اتصال Rutoken، PKI EDS به طور خودکار دانلود می‌شود و یک کتابخانه ویژه برای کار با توکن‌های تولید شده توسط شرکت Aktiv - Aktiv Rutoken minidriver نصب می‌شود.

مراحل نصب چنین کتابخانه ای به شرح زیر است.

در دسترس بودن کتابخانه minidriver Aktiv Rutoken را می توان از طریق بررسی کرد مدیریت دستگاه.

اگر دانلود و نصب کتابخانه به دلایلی انجام نشد، باید Rutoken Drivers for Windows را نصب کنید.

II. بیایید داده های درایو را با استفاده از BitLocker رمزگذاری کنیم.

بیایید روی نام دیسک کلیک کرده و مورد را انتخاب کنیم BitLocker را روشن کنید.

همانطور که قبلاً گفتیم، از یک توکن برای محافظت از کلید رمزگذاری دیسک استفاده خواهیم کرد.
درک این نکته مهم است که برای استفاده از رمز یا کارت هوشمند با BitLocker، باید کلیدهای RSA 2048 و یک گواهی بر روی آن وجود داشته باشد.

اگر از سرویس Certificate Authority در یک دامنه Windows استفاده می کنید، الگوی گواهی باید حاوی گواهینامه "Disk Encryption" باشد (اطلاعات بیشتر در مورد راه اندازی Certificate Authority در قسمت اول سری مقالات ما در مورد امنیت دامنه ویندوز).

اگر دامنه ندارید یا نمی توانید خط مشی صدور گواهینامه ها را تغییر دهید، می توانید از مسیر جایگزین استفاده کنید، با استفاده از گواهی خود امضا شده، در جزئیات نحوه نوشتن گواهی نامه خود امضا شده برای خود توضیح داده شده است.
حالا بیایید کادر مربوطه را بررسی کنیم.

در مرحله بعد روشی را برای ذخیره کلید بازیابی انتخاب می کنیم (توصیه می کنیم انتخاب کنید کلید بازیابی را چاپ کنید).

کاغذ با کلید بازیابی چاپ شده باید در مکانی امن و ترجیحا در گاوصندوق نگهداری شود.

در مرحله بعد فرآیند رمزگذاری دیسک را شروع می کنیم. پس از تکمیل این فرآیند، ممکن است لازم باشد سیستم خود را مجددا راه اندازی کنید.

هنگامی که رمزگذاری را فعال می کنید، نماد دیسک رمزگذاری شده تغییر می کند.

و حالا وقتی می‌خواهیم این دیسک را باز کنیم، سیستم از شما می‌خواهد یک توکن وارد کرده و پین آن را وارد کنید.

استقرار و پیکربندی BitLocker و TPM را می توان با استفاده از اسکریپت های WMI یا Windows PowerShell خودکار کرد. نحوه پیاده سازی اسکریپت ها بسته به محیط متفاوت است. دستورات BitLocker در Windows PowerShell در مقاله توضیح داده شده است.

در صورت گم شدن توکن چگونه اطلاعات رمزگذاری شده توسط BitLocker را بازیابی کنیم؟

اگر می خواهید داده های رمزگذاری شده را در ویندوز باز کنید

برای انجام این کار، به کلید بازیابی نیاز دارید که قبلاً چاپ کردیم. کافی است آن را در قسمت مربوطه وارد کنید تا قسمت رمزگذاری شده باز شود.

اگر می خواهید داده های رمزگذاری شده را در سیستم های GNU / Linux و Mac OS X باز کنید

این به ابزار DisLocker و یک کلید بازیابی نیاز دارد.

DisLocker در دو حالت کار می کند:

• FILE - کل پارتیشن رمزگذاری شده با BitLocker در یک فایل رمزگشایی می شود.
• FUSE - فقط بلوکی که سیستم به آن دسترسی دارد رمزگشایی می شود.

به عنوان مثال از سیستم عامل لینوکس و حالت ابزار FUSE استفاده خواهیم کرد.

در آخرین نسخه های توزیع های رایج لینوکس، بسته dislocker قبلاً در توزیع گنجانده شده است، به عنوان مثال، در اوبونتو، از نسخه 16.10 شروع می شود.

اگر بسته dislocker به دلایلی وجود نداشت، باید ابزار را دانلود کرده و آن را کامپایل کنید:

tar -xvjf dislocker.tar.gz

بیایید فایل INSTALL.TXT را باز کنیم و بررسی کنیم که کدام بسته ها را باید نصب کنیم.

در مورد ما، ما باید بسته libfuse-dev را نصب کنیم:

sudo apt-get نصب libfuse-dev

بیایید ساخت بسته را شروع کنیم. بیایید به پوشه src برویم و از دستور make and make install استفاده کنیم:

cd src / make make install

وقتی همه چیز کامپایل شد (یا بسته را نصب کردید)، بیایید پیکربندی را شروع کنیم.

بیایید به پوشه mnt برویم و دو پوشه در آن ایجاد کنیم:

• Encrypted-partition- برای یک پارتیشن رمزگذاری شده.
• پارتیشن رمزگشایی - برای یک پارتیشن رمزگشایی شده.

cd / mnt mkdir پارتیشن رمزگذاری شده mkdir پارتیشن رمزگشایی شده

بیایید پارتیشن رمزگذاری شده را پیدا کنیم. بیایید با استفاده از ابزار آن را رمزگشایی کنیم و به پوشه Encrypted-partition منتقل کنیم:

dislocker -r -V / dev / sda5 -p recovery_key / mnt / پارتیشن رمزگذاری شده(کلید بازیابی خود را به جای recovery_key جایگزین کنید)

بیایید لیست فایل های موجود در پوشه Encrypted-partition را نمایش دهیم:

ls Encrypted-partition /

بیایید دستور mount کردن پارتیشن را وارد کنیم:

mount -o loop Driveq / dislocker-file Decrypted-partition /

برای مشاهده پارتیشن رمزگشایی شده، به پوشه Encrypted-partition بروید.

بیایید خلاصه کنیم

فعال کردن رمزگذاری حجم با BitLocker بسیار آسان است. همه اینها بدون زحمت و رایگان انجام می شود (البته به شرطی که نسخه حرفه ای یا سرور ویندوز را داشته باشید).

یک رمز رمزنگاری یا کارت هوشمند می تواند برای محافظت از کلید رمزگذاری مورد استفاده برای رمزگذاری دیسک استفاده شود که سطح امنیت را به میزان قابل توجهی افزایش می دهد.