Instaliranje, konfiguriranje i korištenje Bitlockera. Kako onemogućiti BitLocker: Početak

Pozdrav prijatelji! U ovom članku nastavit ćemo istraživati ​​sustave ugrađene u Windows dizajnirane za poboljšanje sigurnosti naših podataka. Danas je to Bitlocker sustav šifriranja diska. Šifriranje podataka je neophodno kako stranci ne bi koristili vaše podatke. Kako ona dolazi do njih, drugo je pitanje.

Šifriranje je proces transformacije podataka tako da im samo pravi ljudi mogu pristupiti. Za pristup se obično koriste ključevi ili lozinke.

Šifriranje cijelog pogona sprječava pristup podacima kada svoj tvrdi disk povežete s drugim računalom. Na napadačev sustav može biti instaliran drugi operativni sustav kako bi se zaobišla zaštita, ali to neće pomoći ako koristite BitLocker.

Tehnologija BitLocker predstavljena je izdavanjem operativnog sustava Windows Vista i poboljšana je u sustavu Windows 7. Bitlocker je dostupan u verzijama Windows 7 Ultimate i Enterprise, kao i u Windows 8 Pro. Vlasnici drugih verzija morat će potražiti alternativu.

Kako funkcionira BitLocker šifriranje pogona

Ne ulazeći u detalje, to izgleda ovako. Sustav šifrira cijeli disk i daje vam ključeve za njega. Ako šifrirate pogon sustava, računalo se neće pokrenuti bez vašeg ključa. Isto kao i ključevi od stana. Imaš ih, pasti ćeš u to. Izgubljeni, trebate upotrijebiti rezervni (kod za oporavak (izdan tijekom enkripcije)) i promijeniti zaključavanje (ponovno šifriranje s različitim ključevima)

Za pouzdanu zaštitu, poželjno je imati Trusted Platform Module (TPM) u računalu. Ako postoji i njegova verzija je 1.2 ili novija, tada će kontrolirati proces i imat ćete jače metode zaštite. Ako ga nema, tada će biti moguće koristiti samo ključ na USB-pogonu.

BitLocker radi na sljedeći način. Svaki sektor diska šifriran je zasebno pomoću ključa za šifriranje punog volumena (FVEK). Koristi se AES algoritam sa 128-bitnim ključem i difuzorom. Ključ se može promijeniti u 256-bitni u grupnim sigurnosnim politikama.

Da biste to učinili, koristite pretragu u sustavu Windows 7. Otvorite izbornik Start i upišite "politike" u polje za pretraživanje i odaberite Promijeni pravila grupe

U prozoru koji se otvara s lijeve strane slijedite put

Konfiguracija računala> Administrativni predlošci> Windows komponente> BitLocker šifriranje pogona

Na desnoj strani dvaput kliknite na Odaberi metodu šifriranja diska i snagu šifre

U prozoru koji se otvori kliknite na Omogući politiku. U odjeljku Odaberite način šifriranja s padajućeg popisa odaberite potrebnu

Najpouzdaniji je AES s 256-bitnim difuzorskim ključem. Istodobno, najvjerojatnije će opterećenje središnjeg procesora biti nešto veće, ali ne puno, a na modernim računalima nećete primijetiti razliku. No, podaci će biti pouzdanije zaštićeni.

Korištenje difuzora dodatno povećava pouzdanost, jer dovodi do značajne promjene u šifriranim informacijama uz neznatnu promjenu izvornih podataka. Odnosno, kod šifriranja dva sektora s praktički istim podacima, rezultat će biti značajno drugačiji.

Sam FVEK nalazi se među metapodacima tvrdog diska i također je šifriran pomoću glavnog ključa volumena (VMK). VMK je također šifriran pomoću TPM modula. Ako potonje nema, onda pomoću ključa na USB pogonu.

Ako USB pogon s ključem nije dostupan, trebate upotrijebiti 48-znamenkasti kod za oporavak. Nakon toga sustav će moći dešifrirati glavni ključ volumena kojim dešifrira FVEK ključ kojim će se disk otključati i operativni sustav pokrenuti.

Poboljšanja BitLockera u sustavu Windows 7

Kada instalirate Windows 7 s flash pogona ili s diska, predlaže se particioniranje ili konfiguriranje diska. Prilikom konfiguriranja diska stvara se dodatnih 100 MB particije za pokretanje. Vjerojatno nisam bio jedini koji je imao pitanja o njegovom imenovanju. Upravo je ovaj odjeljak potreban da bi Bitlocker tehnologija radila.

Ovaj odjeljak je skriven i može se pokrenuti te nije šifriran inače ne bi bilo moguće pokrenuti operativni sustav.

U sustavu Windows Vista ova particija ili volumen mora biti veličine 1,5 GB. U windows 7 je napravljeno 100 MB.

Ako ste prilikom instaliranja operativnog sustava napravili kvar s programima trećih strana, odnosno niste stvorili particiju za pokretanje, tada će u sustavu Windows 7 BitLocker sam pripremiti potrebnu particiju. U sustavu Windows Vista, morali biste ga izraditi pomoću dodatnog softvera koji dolazi s operativnim sustavom.

Također u sustavu Windows 7, BitLocker To Go tehnologija pojavila se za šifriranje flash pogona i vanjskih tvrdih diskova. Kasnije ćemo to pogledati.

Kako omogućiti BitLocker šifriranje pogona

Prema zadanim postavkama, BitLocker je konfiguriran za pokretanje s TPM-om i neće se htjeti pokrenuti ako nedostaje. (Prvo, samo pokušajte omogućiti enkripciju i ako počnete, onda ne morate ništa onemogućiti u grupnim pravilima)

Za pokretanje šifriranja idite na Upravljačka ploča \ Sustav i sigurnost \ BitLocker šifriranje pogona

Odaberite željeni pogon (u našem primjeru, ovo je particija sustava) i kliknite Uključi BitLocker

Ako vidite sliku kao ispod

morate urediti grupna pravila.

Koristeći pretragu iz izbornika Start, pozivamo uređivač lokalnih grupnih pravila

Pratimo put

Konfiguracija računala> Administrativni predlošci> Windows komponente> BitLocker šifriranje pogona> Pogoni operativnog sustava

S desne strane odaberite Potrebna dodatna provjera autentičnosti

U prozoru koji se otvori kliknite Omogući, zatim morate provjeriti ima li potvrdni okvir Dopusti korištenje BitLockera bez kompatibilnog TPM-a i kliknite U redu

Tada se BitLocker može pokrenuti. Od vas će se tražiti da odaberete jedinu opciju zaštite - Zatraži ključ za pokretanje pri pokretanju. To je ono što biramo

Umetnite USB flash pogon na kojem će biti napisan ključ za pokretanje i kliknite Spremi

Sada morate spremiti ključ za oporavak, u slučaju da flash pogon s ključem za pokretanje nije u zoni pristupa. Ključ možete spremiti na USB flash pogon (po mogućnosti drugi), spremiti ključ u datoteku za kasniji prijenos na drugo računalo ili ga odmah ispisati.

Ključ za oporavak naravno treba biti pohranjen na sigurnom mjestu. Spremit ću ključ u datoteku

Ključ za oporavak je jednostavan tekstualni dokument sa samim ključem

Tada ćete vidjeti posljednji prozor u kojem se savjetuje da pokrenete skeniranje sustava BitLocker prije šifriranja pogona. Kliknite Nastavi

Spremite sve otvorene dokumente i kliknite Ponovo pokreni sada

Evo što ćete vidjeti ako nešto pođe po zlu

Ako sve radi, nakon ponovnog pokretanja računala, šifriranje će se pokrenuti

Vrijeme ovisi o snazi ​​vašeg procesora, kapacitetu particije ili volumena koji šifrirate te brzini razmjene podataka s pogonom (SSD ili HDD). SSD disk od 60 GB napunjen gotovo do kraja šifrira se za 30 minuta dok dobrovoljno distribuirano računanje još uvijek radi.

Kada se šifriranje završi, vidjet ćete sljedeću sliku

Zatvorite prozor i provjerite jesu li ključ za pokretanje i ključ za oporavak na sigurnim mjestima.

Šifriranje flash pogona - BitLocker To Go

Uvođenjem BitLocker To Go tehnologije u sustav Windows 7 postalo je moguće šifriranje flash pogona, memorijskih kartica i vanjskih tvrdih diskova. Ovo je vrlo zgodno jer je mnogo lakše izgubiti USB flash pogon nego prijenosno računalo i netbook.

Kroz traženje ili hodanje putem

Start> Upravljačka ploča> Sustav i sigurnost> BitLocker šifriranje pogona

otvorite kontrolni prozor. Umetnite USB flash pogon koji želite šifrirati i u odjeljku BitLocker To Go omogućite šifriranje za željeni USB pogon

Morate odabrati metodu za otključavanje pogona. Izbor nije velik, bilo lozinka ili SIM kartica s PIN kodom. SIM kartice izdaju posebni odjeli u velikim korporacijama. Upotrijebimo jednostavnu lozinku.

Postavite potvrdni okvir za korištenje lozinke za otključavanje diska i unesite lozinku dvaput. Prema zadanim postavkama, minimalna duljina lozinke je 8 znakova (može se promijeniti u grupnim pravilima). Kliknite Dalje

Odabiremo kako ćemo spremiti ključ za oporavak. Vjerojatno će ga biti pouzdano ispisati. Spremite i kliknite Dalje

Kliknite Pokreni šifriranje i zaštitite svoje podatke

Vrijeme enkripcije ovisi o kapacitetu flash diska, koliko je pun informacijama, snazi ​​vašeg procesora i brzini razmjene podataka s računalom.

Na velikim flash diskovima ili vanjskim tvrdim diskovima ovaj postupak može potrajati dugo. U teoriji, proces se može završiti na drugom računalu. Da biste to učinili, pauzirajte šifriranje i ispravno uklonite disk. Zalijepite ga na drugo računalo, otključajte ga unosom lozinke i šifriranje će se nastaviti automatski.

Sada, kada instalirate USB flash pogon u računalo, ispod će se pojaviti prozor sa zahtjevom za unos lozinke

Ako vjerujete ovom računalu i ne želite stalno unositi lozinku, označite okvir Dalje za automatsko otključavanje ovog računala i kliknite Deblokiraj. Na ovom računalu više ne morate unositi lozinku za ovaj flash pogon.

Kako bi se informacije o šifriranom USB pogonu mogle koristiti na računalima sa sustavom Windows Vista ili Windows XP, USB flash pogon mora biti formatiran u datotečnom sustavu FAT32. U ovim operativnim sustavima bit će moguće otključati USB flash pogon samo unosom lozinke i podaci će biti dostupni samo za čitanje. Snimanje informacija nije dostupno.

Upravljanje šifriranim particijama

Upravljanje se izvodi iz prozora BitLocker šifriranje pogona. Ovaj prozor možete pronaći pomoću pretraživanja ili možete otići na adresu

Upravljačka ploča> Sustav i sigurnost> BitLocker šifriranje pogona

Možete isključiti šifriranje klikom na "Isključi BitLocker". U tom slučaju, disk ili volumen se dešifriraju. To će potrajati i neće biti potrebni nikakvi ključevi.

Ovdje također možete pauzirati zaštitu.

Ovu funkciju preporučamo koristiti prilikom ažuriranja BIOS-a ili uređivanja diska za pokretanje. (Isti volumen je 100 MB). Zaštitu možete pauzirati samo na pogonu sustava (particiji ili volumenu na kojem je instaliran Windows).

Zašto pauzirati enkripciju? Tako da BitLocker ne zaključava vaš disk i ne pribjegava postupku oporavka. Parametri sustava (BIOS i sadržaj particije za pokretanje) zaključani su tijekom enkripcije radi dodatne zaštite. Ako ih promijenite, računalo se može zaključati.

Ako odaberete Upravljanje BitLockerom, možete spremiti ili ispisati ključ za oporavak i duplicirati ključ za pokretanje

Ako je jedan od ključeva (ključ za pokretanje ili ključ za oporavak) izgubljen, možete ih vratiti ovdje.

Upravljanje šifriranjem vanjske memorije

Dostupne su sljedeće funkcije za upravljanje parametrima šifriranja flash pogona

Za otključavanje možete promijeniti lozinku. Lozinka se može izbrisati samo ako se za otključavanje brave koristi pametna kartica. Također možete spremiti ili ispisati ključ za oporavak i automatski omogućiti otključavanje diska za ovo računalo.

Vraćanje pristupa disku

Vraćanje pristupa disku sustava

Ako je flash pogon s ključem izvan zone pristupa, ključ za oporavak dolazi u igru. Kada pokrenete svoje računalo, vidjet ćete nešto poput sljedećeg.

Za vraćanje prozora za pristup i pokretanje, pritisnite Enter

Vidjet ćemo zaslon koji traži da unesete ključ za oporavak

Unos zadnje znamenke, pod uvjetom da se koristi ispravan ključ za oporavak, automatski će pokrenuti operativni sustav.

Vraćanje pristupa uklonjivim diskovima

Za vraćanje pristupa informacijama na USB flash pogonu ili vanjskom HDD-u, pritisnite Zaboravili ste lozinku?

Odaberite Unesite ključ za oporavak

i unesite ovaj strašni 48-znamenkasti kod. Kliknite Dalje

Ako je ključ za oporavak prikladan, disk će biti otključan

Pojavljuje se veza za Upravljanje BitLockerom, gdje možete promijeniti lozinku za otključavanje pogona.

Zaključak

U ovom članku naučili smo kako možemo zaštititi svoje podatke šifriranjem pomoću ugrađenog BitLockera. Razočaravajuće je što je ova tehnologija dostupna samo u starijim ili naprednim verzijama Windows OS-a. Također je postalo jasno zašto je ova skrivena i bootabilna particija od 100 MB stvorena prilikom postavljanja diska pomoću Windowsa.

Možda ću koristiti enkripciju flash diskova ili vanjskih tvrdih diskova. No, to je malo vjerojatno, budući da postoje dobre zamjene u obliku servisa za pohranu u oblaku kao što su DropBox, Google Drive, Yandex Drive i slično.

Srdačan pozdrav, Anton Dyachenko

YouPK.ru

Uključite ili isključite Bitlocker u Windowsima

Uopće nije iznenađujuće da osobno računalo može pohraniti vrlo osobne podatke ili korporativne podatke veće vrijednosti. Neželjeno je da takve informacije dođu u ruke trećih osoba koje ih mogu koristiti, izazivajući ozbiljne probleme bivšem vlasniku računala.

Bitlocker se može aktivirati i deaktivirati ovisno o okolnostima.

Upravo iz tog razloga mnogi korisnici izražavaju želju da poduzmu neku radnju koja ima za cilj ograničen pristup svim datotekama pohranjenim na računalu. Takav postupak postoji. Nakon određenih manipulacija, nitko od autsajdera, ne znajući lozinku ili ključ za oporavak, neće moći pristupiti dokumentima.

Moguće je zaštititi važne informacije od čitanja trećih strana ako šifrirate Bitlocker pogon. Takve radnje pomažu osigurati potpunu povjerljivost dokumenata ne samo na određenom računalu, već iu slučaju da je netko uklonio tvrdi disk i umetnuo ga u drugo osobno računalo.

Algoritam za uključivanje i isključivanje funkcije

Bitlocker šifriranje pogona provodi se na Windows 7, 8 i 10, ali ne u svim verzijama. Pretpostavlja se da matična ploča, koja je opremljena određenim računalom na kojem korisnik želi šifrirati, mora imati TPM modul.

SAVJET. Nemojte se obeshrabriti ako sigurno znate da na vašoj matičnoj ploči ne postoji takav poseban modul. Postoje neki trikovi koji vam omogućuju da "ignorirate" takav zahtjev, te sukladno tome instalirate bez takvog modula.

Prije nego što nastavite s postupkom šifriranja za sve datoteke, važno je uzeti u obzir da je ovaj postupak prilično dugotrajan. Teško je unaprijed imenovati točnu količinu vremena. Sve ovisi o tome koliko je informacija dostupno na tvrdom disku. Tijekom procesa šifriranja, Windows 10 će nastaviti raditi, ali malo je vjerojatno da će vas moći zadovoljiti svojom izvedbom, jer će se pokazatelj performansi značajno smanjiti.

Omogućavanje funkcije

Ako imate na računalu instaliran Windows 10, a osjećate aktivnu želju da omogućite enkripciju podataka, poslužite se našim savjetima kako ne samo da uspijete u svemu, već i put do realizacije te želje nije težak. U početku pronađite tipku "Win" na tipkovnici, ponekad je popraćena ikonom Windowsa, držite je i istovremeno držite pritisnutu tipku "R". Istodobnim držanjem ove dvije tipke otvara se prozor "Pokreni".

U prozoru koji se otvori pronaći ćete prazan redak u koji ćete morati unijeti "gpedit.msc". Nakon klika na gumb "U redu", otvorit će se novi prozor "Uređivač lokalnih grupnih pravila". U ovom prozoru imamo kratki put.

Na lijevoj strani prozora pronađite i odmah kliknite na redak "Konfiguracija računala", u podizborniku koji se otvori pronađite "Administrativni predlošci", a zatim u sljedećem podizborniku koji se otvori idite na parametar koji se nalazi na prvom mjestu na popisu i pod nazivom "Komponente sustava Windows".

Sada pomaknite pogled na desnu stranu prozora, pronađite u njemu "Bitlocker Drive Encryption", dvaput kliknite da ga aktivirate. Sada će se otvoriti novi popis na kojem bi vaš sljedeći cilj trebao biti redak "Pogoni operativnog sustava". Kliknite također na ovu liniju, samo morate napraviti još jedan prijelaz kako biste se približili prozoru, gdje će se Bitlocker izravno konfigurirati, omogućujući da se uključi točno ono što stvarno želite.

Pronađite redak "Ova postavka pravila omogućuje vam da konfigurirate zahtjev za dodatnu provjeru autentičnosti pri pokretanju", dvaput kliknite ovu postavku. U otvorenom prozoru pronaći ćete željenu riječ "Omogući", pored koje ćete pronaći potvrdni okvir pored nje, u njemu morate staviti određenu oznaku u obliku kvačice vašeg pristanka.

Nešto niže u ovom prozoru nalazi se pododjeljak "Platforme" u kojem trebate označiti potvrdni okvir pored prijedloga za korištenje BitLockera bez posebnog modula. Ovo je vrlo važno pogotovo ako vaš Windows 10 nema TPM modul.

Postavka željene funkcije u ovom prozoru je završena, tako da ga možete zatvoriti. Sada pomaknite pokazivač miša preko ikone "windows", samo kliknite desnom tipkom miša na nju, što će omogućiti da se pojavi dodatni podizbornik. U njemu ćete pronaći redak "Upravljačka ploča", idite na njega, a zatim na sljedeći redak "Bitlocker Drive Encryption".

Ne zaboravite naznačiti gdje želite šifrirati. To se može učiniti i na tvrdim diskovima i na uklonjivim diskovima. Nakon što odaberete željeni objekt, kliknite na gumb "Omogući Bitlocker".

Sada će Windows 10 pokrenuti automatski proces, povremeno privlačeći vašu pozornost, pozivajući vas da navedete svoje želje. To je daleko najbolja stvar za napraviti prije izvođenja takvog postupka. Inače, ako se lozinka i ključ za nju izgube, čak ni vlasnik računala neće moći oporaviti podatke.

Zatim će započeti proces pripreme diska za naknadno šifriranje. Ne smijete isključiti računalo dok je ovaj proces u tijeku, jer bi to moglo ozbiljno naštetiti operativnom sustavu. Nakon takvog neuspjeha, jednostavno ne možete pokrenuti svoj Windows 10, odnosno, umjesto šifriranja, morate instalirati novi operativni sustav, trošeći dodatno vrijeme.

Čim se priprema diska uspješno završi, počinje stvarna konfiguracija diska za šifriranje. Od vas će se tražiti lozinka, koja će naknadno omogućiti pristup šifriranim datotekama. Od vas će se također tražiti da smislite i unesete ključ za oporavak. Obje ove važne komponente najbolje je čuvati na sigurnom mjestu, najbolje ispisati. Vrlo je glupo pohraniti lozinku i ključ za oporavak na samo računalo.

Tijekom procesa šifriranja, sustav vas može pitati koji dio želite šifrirati. Najbolje je ovom postupku izložiti cijeli prostor na disku, iako postoji mogućnost šifriranja samo zauzetog prostora.

Ostaje odabrati opciju kao što je "Novi način šifriranja", a zatim pokrenuti automatsku provjeru operativnog sustava BitLocker. Tada će sustav sigurno nastaviti proces, nakon čega će se od vas tražiti da ponovno pokrenete računalo. Budite sigurni da se pridržavate ovog zahtjeva, ponovno pokrenite.

Nakon sljedećeg pokretanja sustava Windows 10, pobrinut ćete se da pristup dokumentima bez unosa lozinke bude nemoguć. Proces šifriranja će se nastaviti, možete ga kontrolirati klikom na ikonu BitLocker koja se nalazi na traci obavijesti.

Onemogući funkciju

Ako su iz nekog razloga datoteke na vašem računalu prestale biti od povećane važnosti, a ne volite baš svaki put unositi lozinku kako biste im pristupili, predlažemo da jednostavno isključite funkciju šifriranja.

Da biste izvršili takve radnje, idite na ploču s obavijestima, tamo pronađite ikonu BitLocker, kliknite je. Na dnu otvorenog prozora pronaći ćete redak "Upravljanje BitLockerom", kliknite na njega.

Sustav će vas sada pitati da odaberete koja vam je radnja poželjnija:

• sigurnosno kopirajte ključ za oporavak;
• promijeniti lozinku za pristup šifriranim datotekama;
• izbrisati prethodno postavljenu lozinku;
• onemogućiti BitLocker.

Naravno, ako odlučite onemogućiti BitLocker, trebali biste odabrati posljednju predloženu opciju. Na ekranu će se odmah pojaviti novi prozor u kojem će se sustav htjeti uvjeriti da zaista želite onemogućiti funkciju šifriranja.

PAŽNJA. Čim kliknete na gumb "Onemogući BitLocker", proces dešifriranja će odmah započeti. Nažalost, ovaj proces nije karakteriziran velikom brzinom, tako da ćete se svakako morati uklopiti neko vrijeme, tijekom kojeg samo trebate čekati.

Naravno, ako u ovom trenutku trebate koristiti računalo, možete si to priuštiti, nema kategorične zabrane za to. Međutim, trebali biste se prilagoditi činjenici da performanse računala u ovom trenutku mogu biti iznimno niske. Nije teško razumjeti razlog ove sporosti, jer operativni sustav mora otključati ogromnu količinu informacija.

Dakle, ako imate želju za šifriranjem ili dešifriranjem datoteka na računalu, dovoljno je upoznati se s našim preporukama, zatim bez žurbe izvršiti svaki korak navedenog algoritma i po završetku radovati se postignutom rezultatu.

NastroyVse.ru

Postavljanje Bitlockera

Bitlocker je alat koji omogućuje enkripciju podataka na razini volumena (volumen može zauzeti dio diska ili može uključivati ​​niz od nekoliko diskova.) Bitlocker služi za zaštitu vaših podataka u slučaju gubitka ili krađe prijenosnog računala / Računalo. U svom izvornom izdanju BitLocker je štitio samo jedan volumen — pogon operativnog sustava. BitLocker je uključen u sva izdanja Server 2008 R2 i Server 2008 (osim izdanja Itanium), plus Windows 7 Ultimate i Enterprise, te Windows Vista. U sustavima Windows Server 2008 i Vista SP1, Microsoft je implementirao zaštite za različite volumene, uključujući lokalne volumene podataka. U verzijama Windows Server 2008 R2 i Windows 7 programeri su dodali podršku za prijenosne uređaje za pohranu (USB flash pogoni i vanjski tvrdi diskovi). Ova se značajka zove BitLocker To Go. BitLocker koristi AES algoritam enkripcije, ključ se može pohraniti u TMP (Trusted Platform Module - posebna shema instalirana u računalo tijekom njegove proizvodnje, koja omogućuje pohranu ključeva za šifriranje) ili na USB uređaj. Moguće su sljedeće kombinacije pristupa:

TPM - TPM + PIN - TPM + PIN + USB ključ - TPM + USB ključ - USB ključ Budući da računala često nemaju TMP, želim vas provesti kroz korake postavljanja BitLockera s USB pogonom.

Idemo na "Računalo" i desnom tipkom miša kliknemo na lokalni disk koji želimo šifrirati (u ovom primjeru ćemo šifrirati lokalni disk C) i odabrati "Omogući BitLocker".

Nakon ovih koraka vidjet ćemo pogrešku.

Razumljivo je, kao što sam već napisao - na ovom računalu nema TMP modula i evo rezultata, ali sve je lako popraviti, samo idite na pravila lokalnog računala i tamo promijenite postavke, za to morate ići na uređivač lokalne politike - upišite u polje za pretraživanje gpedit .msc i pritisnite "Enter".

Kao rezultat, otvorit će se prozor lokalnih pravila, idite na put "Konfiguracija računala - Administrativni predlošci - Windows komponente - BitLocker šifriranje pogona - Pogoni operativnog sustava" (Konfiguracija računala - Administrativni predlošci - Windows komponente - Bit-Locker šifriranje pogona - Pogoni operativnog sustava) i u Politiku Potrebna dodatna provjera autentičnosti pri pokretanju postavljamo na Omogući, također morate obratiti pažnju na potvrdni okvir Dopusti BitLocker bez kompatibilnog TPM-a. Kliknite "U redu".

Sada, ako ponovite prve korake za omogućavanje BitLockera na lokalnom disku, otvorit će se prozor za postavljanje šifriranja diska, pri pokretanju odaberite "Prompt for a startup key" (iako nismo imali izbora, to je zbog nedostatak TPM-a).

U sljedećem prozoru odaberite USB uređaj na kojem će ključ biti pohranjen.

Zatim biramo gdje ćemo spremiti ključ za oporavak (ovo je ključ koji se unosi ručno u slučaju gubitka medija s primarnim ključem), preporučujem da to učinite još jednom na USB-pogon, ili na drugom računalu, ili ispišite ga ako spremite ključ za oporavak na isto računalo ili na isti USB pogon, nećete moći pokrenuti Windows nakon što ste izgubili USB na kojem je ključ spremljen. U ovom primjeru, spremio sam ga na drugi USB disk.

U sljedećem prozoru pokrenite provjeru sustava Bitlocker klikom na gumb "Nastavi", nakon čega će se računalo ponovno pokrenuti.

Nakon što se računalo pokrene, pojavit će se prozor procesa šifriranja. Ovo je često dugotrajan postupak koji zahtijeva nekoliko sati.

Kao rezultat, imamo šifrirani C pogon, koji se neće pokrenuti bez USB pogona s ključem ili ključem za oporavak.

pk-help.com

Kako konfigurirati BitLocker šifriranje podataka za Windows

Kako bi se zaštitili od neovlaštenog pristupa datotekama pohranjenim na tvrdom disku, kao i na izmjenjivim pogonima (vanjski pogoni ili USB flash pogoni), korisnici Windowsa imaju mogućnost šifriranja pomoću ugrađenog BitLocker i BitLocker To Go softvera za šifriranje.

Program za šifriranje BitLocker i BitLocker To Go unaprijed je instaliran u Professional i Enterprise verzijama sustava Windows 8 / 8.1, kao iu Ultimate verziji sustava Windows 7. Ali korisnici osnovne verzije sustava Windows 8.1 također imaju pristup takvoj opciji kao što je "Device Encryption", koji djeluje kao analogni BitLockeru u naprednijim verzijama operacijskog sustava.

Omogućavanje BitLocker šifriranja

Da biste omogućili BitLocker šifriranje, otvorite Upravljačku ploču, a zatim idite na Sustav i sigurnost> BitLocker šifriranje pogona. Također možete otvoriti Windows Explorer ("Računalo"), desnom tipkom miša kliknuti odabrani pogon i odabrati "Omogući BitLocker" s padajućeg izbornika. Ako gornji redak nije u izborniku, onda imate pogrešnu verziju OC prozora.

Da biste omogućili BitLocker za sistemski pogon, podatkovni pogon ili prijenosni pogon, morate odabrati Omogući BitLocker.

U ovom su prozoru dostupne 2 vrste BitLocker šifriranja pogona:

• BitLocker šifriranje pogona - tvrdi diskovi: Ova značajka omogućuje šifriranje cijelog pogona. Kada se računalo pokrene, učitavač za pokretanje sustava Windows učitat će podatke s područja tvrdog diska koje je rezervirao sustav, a od vas će se tražiti tip otključavanja koji ste naveli, na primjer, unesite lozinku. BitLocker će zatim izvršiti proces dešifriranja podataka i proces pokretanja sustava Windows će se nastaviti. Drugim riječima, šifriranje se može smatrati procesom koji se korisniku događa nevidljivo. Vi, kao i obično, radite s datotekama i podacima, koji su zauzvrat šifrirani na disku. Osim toga, možete koristiti šifriranje ne samo za pogone sustava.
• BitLocker šifriranje pogona – BitLocker To Go: Vanjski uređaji za pohranu kao što su USB flash pogoni ili vanjski tvrdi diskovi mogu se šifrirati pomoću BitLocker To Go uslužnog programa. Kada na svoje računalo povežete šifrirani uređaj, od vas će se tražiti, na primjer, da unesete lozinku, koja će zaštititi vaše podatke od nepoznatih osoba.

Korištenje BitLockera bez TPM-a

Ako pokušate šifrirati s BitLockerom na računalu bez instaliranog hardverskog TPM-a (Trusted Platform Module), pojavit će se sljedeći prozor u kojem se od vas traži da omogućite opciju “Dopusti BitLocker bez kompatibilnog TPM-a”.

BitLocker šifriranje zahtijeva računalo s hardverskim TPM-om za zaštitu pogona sustava kako bi ispravno funkcionirao. TPM je mali čip koji se nalazi na matičnoj ploči. BitLocker može u njega pohraniti ključeve za šifriranje, što je sigurnija opcija od pohranjivanja na običan podatkovni pogon. TPM daje ključeve tek nakon pokretanja i provjere stanja sustava, što eliminira mogućnost dešifriranja podataka u slučaju krađe vašeg tvrdog diska ili kreiranja slike šifriranog diska za hakiranje na drugom računalu.

Da biste omogućili gornju opciju, morate imati administratorska prava. Vi samo trebate otvoriti "Local Group Policy Editor" i omogućiti sljedeću opciju.

Pritisnite kombinaciju tipki Win + R za pokretanje dijaloškog okvira Pokreni, unesite naredbu gpedit.msc. Zatim idite na Konfiguracija računala> Administrativni predlošci> Windows komponente> BitLocker šifriranje pogona> Pogoni operativnog sustava. Dvaput kliknite na stavku "Zahtijeva dodatnu autentifikaciju pri pokretanju", odaberite opciju "Omogućeno" i označite okvir "Dopusti BitLocker bez kompatibilnog TPM-a" ). Kliknite "Primijeni" za spremanje postavki.

Odabir načina za otpuštanje zaključavanja diska

Ako su gornji koraci uspješni, od vas će se tražiti prozor Odaberite kako otključati pogon pri pokretanju. Ako vaše računalo nema TPM, tada imate dvije mogućnosti: unesite lozinku ili upotrijebite namjenski USB flash pogon (pametnu karticu) kao ključ za otključavanje.

Ako je TPM prisutan na matičnoj ploči, na raspolaganju vam je više opcija. Na primjer, moguće je postaviti automatsko otključavanje kada se računalo pokrene - svi ključevi će biti pohranjeni u TPM-u i automatski će se koristiti za dešifriranje podataka na disku. Također možete staviti PIN lozinku na bootloader, što dodatno otključava vaše ključeve za dešifriranje pohranjene u TPM-u, a zatim i cijeli disk.

Odaberite metodu koja vam najviše odgovara i slijedite upute instalatera.

Izrada sigurnosnog ključa

BitLocker vam također nudi mogućnost stvaranja sigurnosnog ključa. Ovaj ključ će se koristiti za pristup šifriranim podacima u slučaju da ste zaboravili ili izgubili svoj primarni ključ, na primjer, zaboravili lozinku za ključ ili premjestili tvrdi disk na novo računalo s novim TPM modulom itd.

Možete spremiti ključ u datoteku, ispisati ga, staviti na vanjski USB pogon ili ga spremiti na svoj Microsoftov račun (za korisnike Windows 8 i 8.1). Glavna stvar je da budete sigurni da je ovaj rezervni ključ pohranjen na sigurnom mjestu, inače napadač može lako zaobići BitLocker i dobiti pristup svim podacima od interesa. No, unatoč tome, imperativ je stvoriti rezervni ključ, jer ako izgubite primarni ključ bez sigurnosne kopije, izgubit ćete sve svoje podatke.

Šifriranje i dešifriranje diska

BitLocker će automatski šifrirati nove datoteke čim postanu dostupne, ali morate odabrati kako želite šifrirati preostali prostor na disku. Možete šifrirati cijeli disk (uključujući slobodni prostor) - druga opcija na snimci zaslona ispod, ili samo datoteke - prva opcija, što će ubrzati proces šifriranja.

Kada koristite BitLocker na novom računalu (što znači, s nedavno instaliranim OS), bolje je koristiti enkripciju prostora koji zauzimaju datoteke, jer će to potrajati malo. Međutim, u slučaju da omogućite enkripciju za disk koji se koristi duže vrijeme, bolje je koristiti metodu koja šifrira cijeli disk, čak i sa slobodnim prostorom. Ova metoda će onemogućiti oporavak prethodno izbrisanih datoteka koje nisu šifrirane. Dakle, prva metoda je brža, dok je druga pouzdanija.

Kako dalje konfigurirate enkripciju, BitLocker će analizirati vaš sustav i ponovno pokrenuti vaše računalo. Nakon ponovnog pokretanja računala, pokrenut će se proces šifriranja. U tray će se prikazati kao ikona, uz pomoć koje ćete vidjeti postotak napretka procesa. Možete nastaviti koristiti svoje računalo, ali će doći do blagog usporavanja sustava zbog paralelnog šifriranja datoteka.

Nakon što je šifriranje dovršeno i sljedeći put kada pokrenete svoje računalo, BitLocker će vam prikazati prozor u kojem ćete morati unijeti lozinku, PIN ili umetnuti USB pogon kao ključ (ovisno o tome kako ste prethodno konfigurirali pristup ključ).

Pritiskom na tipku Escape u ovom prozoru doći ćete do prozora za unos rezervnog ključa, u slučaju da ste izgubili pristup primarnom ključu.

Ako odaberete BitLocker To Go enkripciju za vanjske uređaje, vidjet ćete sličan čarobnjak za postavljanje, ali nećete morati ponovno pokrenuti računalo. Nemojte odspajati vanjski pogon dok se proces šifriranja ne dovrši.

Prilikom sljedećeg povezivanja šifriranog uređaja s računalom, od vas će se tražiti lozinka ili pametna kartica za otključavanje. Uređaj zaštićen BitLockerom bit će prikazan s odgovarajućom ikonom u Upravitelju datoteka ili Windows Exploreru.

Šifriranim pogonom možete upravljati (promijeniti lozinku, isključiti šifriranje, izraditi sigurnosne kopije ključeva itd.) pomoću prozora upravljačke ploče BitLocker. Desnom tipkom miša na šifrirani pogon i odabirom "Manage BitLocker" odvest će vas do vašeg odredišta.

Kao i svaki drugi način zaštite vaših podataka, BitLocker šifriranje u stvarnom vremenu u pokretu će naravno potrošiti neke od resursa vašeg računala. To će se pretvoriti u povećanu iskorištenost CPU-a zbog kontinuirane enkripcije diska na disk. No, s druge strane, za ljude čije informacije moraju biti pouzdano zaštićene od znatiželjnih očiju, informacije koje napadačima mogu dati destruktivne adute u njihovim rukama, ovaj gubitak produktivnosti je najkompromisnije rješenje.

osmaster.org.ua

Windows 7 enkripcija s BitLockerom

Vladimir Bezmaly

Tvrtka Microsoft je 7. siječnja 2009. predstavila na testiranje sljedeću verziju operativnog sustava za radne stanice - Windows 7. U ovom operativnom sustavu, kao što je već uobičajeno, sigurnosne tehnologije su široko zastupljene, uključujući i one koje su prethodno bile predstavljene u sustavu Windows Vista. Danas ćemo govoriti o Windows BitLocker tehnologiji enkripcije, koja je doživjela značajne promjene od svog uvođenja u Windows Vista. Čini se da danas nitko ne treba biti uvjeren u potrebu šifriranja podataka na tvrdim diskovima i prijenosnim medijima, no ipak ćemo dati argumente u prilog ovoj odluci.

Gubitak povjerljivih podataka zbog krađe ili gubitka mobilnih uređaja

Danas je trošak hardvera višestruko manji od cijene informacija sadržanih na uređaju. Izgubljeni podaci mogu dovesti do gubitka ugleda, gubitka konkurentnosti i potencijalnih sudskih sporova.

U cijelom svijetu pitanja enkripcije podataka odavno su regulirana relevantnim zakonima. Tako, na primjer, u SAD-u, U.S. Zakon o reformi državne informacijske sigurnosti (GISRA) zahtijeva enkripciju podataka radi zaštite povjerljivih podataka koje drže vladine agencije. U zemljama EU usvojena je Direktiva Europske unije o privatnosti podataka. Kanada i Japan imaju svoje propise.

Svi ovi zakoni predviđaju stroge kazne za gubitak osobnih ili korporativnih podataka. Čim se vaš uređaj ukrade (izgubi), vaši podaci mogu biti izgubljeni zajedno s njim. Možete koristiti šifriranje podataka kako biste spriječili neovlašteni pristup vašim podacima. Osim toga, ne zaboravite na opasnosti poput neovlaštenog pristupa podacima tijekom popravka (uključujući jamstvo) ili prodaje rabljenih uređaja.

A da to nisu prazne riječi, nažalost, više puta su potvrdile činjenice. Slobodni zaposlenik britanskog Ministarstva unutarnjih poslova izgubio je memorijsku karticu s osobnim podacima više od stotina tisuća kriminalaca, uključujući i one koji služe zatvorske kazne. Navodi se to u poruci odjela. Mediji su sadržavali imena, adrese i, u nekim slučajevima, pojedinosti optužbi protiv 84.000 zatvorenika koji se drže u zatvorima u Ujedinjenom Kraljevstvu. Također na memorijskoj kartici nalaze se adrese 30 tisuća ljudi s osudom od šest i više. Kako navode u ministarstvu, podatke s memorijske kartice koristio je istraživač iz tvrtke RA Consulting. “Postali smo svjesni sigurnosne povrede zbog koje je zaposlenik po ugovoru izgubio osobne podatke o prekršiteljima zakona iz Engleske i Walesa. Sada je u tijeku temeljita istraga”, rekao je glasnogovornik MUP-a.

Ministar unutarnjih poslova "vlade u sjeni" Dominic Grieve već je komentirao ovo pitanje. Napomenuo je kako će britanski porezni obveznici biti "potpuno šokirani" načinom na koji britanska vlada postupa s povjerljivim informacijama.

Ovo nije prvi slučaj u Velikoj Britaniji da su razne organizacije i odjeli izgubili povjerljive informacije, podsjetio je Grieve.

U travnju je HSBC, velika britanska banka, priznala da je izgubila disk s osobnim podacima 370.000 svojih klijenata. Sredinom veljače doznalo se za krađu iz britanske bolnice Russels Hall Hospital u gradu Dudley (okrug West Midlands) laptopa s medicinskim podacima 5.123 pacijenata. Krajem siječnja objavljeno je da je iz britanskog lanca supermarketa Marks and Spencer ukradeno prijenosno računalo s osobnim podacima 26 tisuća zaposlenika. Britanski ministar obrane Des Brown objavio je 21. siječnja da su iz odjela ukradena tri prijenosna računala s osobnim podacima tisuća ljudi.

U prosincu prošle godine doznalo se da je jedna privatna američka tvrtka izgubila podatke o tri milijuna kandidata za britansku vozačku dozvolu. Bile su sadržane na tvrdom disku računala. Izgubljeni podaci uključuju podatke o imenima, adresama i telefonskim brojevima podnositelja zahtjeva za vozačku dozvolu između rujna 2004. i travnja 2007. godine.

Krajem listopada 2007. dva diska s informacijama o 25 milijuna primatelja dječjeg doplatka i njihovim bankovnim računima nestala su na putu između dvije vladine agencije. Velika operacija pretraživanja diska, koja je porezne obveznike koštala 500.000 funti, bila je neuspješna.

Također u lipnju ove godine, u jednom od vlakova za London (http://korrespondent.net/world/493585) pronađen je paket povjerljivih dokumenata (http://korrespondent.net/world/493585) koji sadrži informacije o borbi protiv financiranja terorizma, krijumčarenja droge i pranja novca. Ranije je na jednom željezničkom sjedištu u Londonu otkriven paket povjerljivih dokumenata u vezi s najnovijim informacijama o terorističkoj mreži al-Qaede (http://korrespondent.net/world/490374). Pitanje je što su mislili korisnici koji su to dopustili?

A evo još jedne činjenice koja bi vlasnike mobilnih uređaja trebala navesti na razmišljanje.

Prema izvješću Instituta Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute), oko 637.000 prijenosnih računala godišnje se izgubi u velikim i srednjim američkim zračnim lukama. anketa, prijenosna računala se obično gube na sigurnosnim kontrolnim točkama.

Oko 10.278 prijenosnih računala tjedno se izgubi u 36 većih američkih zračnih luka, a 65% njih nije vraćeno vlasnicima. U zračnim lukama srednje veličine izgubljeno je oko 2000 prijenosnih računala, a 69% njih nije vraćeno vlasnicima. Institut je proveo istraživanja u 106 zračnih luka u 46 zemalja i intervjuirao 864 osobe.

Najčešće izgubljena prijenosna računala nalaze se u sljedećih pet zračnih luka:

• Los angeles internacional
• Miami International
• John F. Kennedy International
• Chicago O "Hare
• Newark Liberty International.

Putnici nisu sigurni hoće li im se izgubljena prijenosna računala vratiti.

Otprilike 77% ispitanih reklo je da nema nade da će vratiti izgubljeno prijenosno računalo, 16% kaže da ne bi ništa poduzelo da izgubi prijenosno računalo. Otprilike 53% reklo je da prijenosna računala sadrže povjerljive informacije o tvrtki, a 65% nije učinilo ništa da zaštiti te podatke.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Što se tome može suprotstaviti? Samo šifriranje podataka.

U ovom slučaju, enkripcija djeluje kao posljednja linija fizičke obrane za vaše računalo. Tehnologije šifriranja tvrdog diska danas - velika raznolikost. Naravno, nakon uspješne premijere svoje BitLocker tehnologije u sustavima Windows Vista Enterprise i Windows Vista Ultimate, Microsoft nije mogao ne uključiti ovu tehnologiju u Windows 7. Međutim, pošteno rečeno, vrijedno je napomenuti da ćemo u novom OS-u vidjeti značajno redizajnirana tehnologija šifriranja.

Šifriranje u Windows 7

Dakle, naše upoznavanje počinje instalacijom sustava Windows 7 na vaše računalo. U sustavu Windows Vista, da biste koristili enkripciju, morali ste napraviti jednu od dvije stvari: ili prvo pripremiti svoj tvrdi disk pomoću naredbenog retka tako što ćete ga particionirati na odgovarajući način ili to učiniti kasnije pomoću posebnog Microsoftovog softvera (BitLocker Disk Preparation Tool) . U sustavu Windows 7 problem je riješen u početku, pri particioniranju tvrdog diska. Dakle, tijekom instalacije postavio sam sistemsku particiju kapaciteta 39 gigabajta, ali sam dobio ... 2 particije! Jedan je veličine 200MB, a drugi 38 gigabajta s malim. Štoviše, u standardnom prozoru Explorera vidite sljedeću sliku (slika 1).

Riža. 1. Prozor Explorer

Međutim, otvarajući Start - Svi programi - Administrativni alati - Upravljanje računalom - Upravljanje diskom vidjet ćete (slika 2) sljedeće:

Riža. 2. Upravljanje računalom

Kao što vidite, prva particija od 200 MB jednostavno je skrivena. To je također sistemska, aktivna i primarna particija prema zadanim postavkama. Za one koji su već upoznati s enkripcijom u sustavu Windows Vista, u ovoj fazi nema ništa posebno novo, osim što se particija radi na ovaj način prema zadanim postavkama, a tvrdi disk je već pripremljen za naknadnu enkripciju u fazi instalacije. Jedina upečatljiva razlika je njegova veličina od 200 MB naspram 1,5 GB u sustavu Windows Vista.

Naravno, takvo je particioniranje diska na particije mnogo prikladnije, jer često korisnik koji instalira OS ne razmišlja odmah hoće li šifrirati tvrdi disk ili ne.

Odmah nakon instaliranja OS-a, na upravljačkoj ploči u odjeljku Sustav i sigurnost možemo odabrati (slika 3) BitLocker šifriranje pogona

Riža. 3. Sustav i sigurnost

Odabirom Zaštitite svoje računalo šifriranjem podataka na disku pojavljuje se prozor (slika 4)

Riža. 4. BitLocker šifriranje pogona

Obratite pažnju (na slici označeno crvenom bojom) na opcije koje nedostaju u sustavu Windows Vista ili su drugačije organizirane. Dakle, u sustavu Windows Vista prijenosni mediji mogli su se šifrirati samo ako su koristili datotečni sustav NTFS, a šifriranje se provodilo prema istim pravilima kao i za tvrde diskove. I bilo je moguće šifrirati drugu particiju tvrdog diska (u ovom slučaju pogon D :) tek nakon što je sistemska particija (pogon C :)) bila šifrirana.

Međutim, nemojte misliti da ste spremni za početak nakon što odaberete Uključi BitLocker. Nije bilo tako! Kada uključite BitLocker bez dodatnih opcija, sve što dobijete je šifriranje tvrdog diska na ovom računalu bez TPM-a, što, kao što sam već istaknuo u svojim člancima, nije dobar primjer. Međutim, korisnici u nekim zemljama, na primjer, Ruska Federacija ili Ukrajina, jednostavno nemaju drugog izbora, budući da je uvoz računala s TPM-om u tim zemljama zabranjen. U tom slučaju odaberete Uključi BitLocker i naći ćete se na slici 5.

Riža. 5. BitLocker šifriranje pogona

Ako želite koristiti TPM kako biste iskoristili punu snagu enkripcije, trebate koristiti uređivač grupnih pravila. Da biste to učinili, morate pokrenuti način naredbenog retka (cmd.exe) i upisati gpedit.msc u naredbeni redak (slika 6), pokrećući uređivač grupnih pravila (slika 7).

Riža. 6. Pokretanje uređivača grupnih pravila

Riža. 7. Urednik grupnih politika

Pogledajmo pobliže opcije grupnih pravila koje možete koristiti za upravljanje BitLocker šifriranjem.

Opcije grupnih pravila za šifriranje pogona BitLocker

Pohranite podatke o obnavljanju BitLockera u domenskim uslugama Active Directory (Windows Server 2008 i Windows Vista)

S ovom opcijom grupnih pravila možete upravljati uslugama domene Active Directory (AD DS) za izradu sigurnosnih kopija podataka za oporavak BitLocker šifriranja pogona. Ova se opcija odnosi samo na računala sa sustavom Windows Server 2008 ili Windows Vista.

Kada je omogućen, kada je BitLocker omogućen, njegove informacije o oporavku automatski se kopiraju u AD DS.

Ako onemogućite ovu opciju pravila ili je ostavite na zadanoj, podaci za oporavak BitLockera neće se kopirati u AD DS.

Odaberite zadanu mapu za lozinku za oporavak

Ova opcija pravila omogućuje vam da definirate zadanu lokaciju mape za spremanje lozinke za oporavak, koju prikazuje čarobnjak za šifriranje pogona BitLocker kada se to od vas zatraži. Ova opcija se primjenjuje kada omogućite BitLocker enkripciju. Međutim, treba imati na umu da korisnik može spremiti lozinku za oporavak u bilo koju drugu mapu.

Odaberite kako korisnici mogu oporaviti diskove zaštićene BitLockerom (Windows Server 2008 i Windows Vista)

Ova opcija će vam omogućiti da kontrolirate opcije oporavka BitLockera koje prikazuje čarobnjak za postavljanje. Ovo se pravilo primjenjuje na računala sa sustavima Windows Server 2008 i Windows Vista. Ova opcija se primjenjuje kada je BitLocker omogućen.

Za oporavak šifriranih podataka korisnik može koristiti 48-znamenkastu numeričku lozinku ili USB pogon koji sadrži 256-bitni ključ za oporavak.

Ovom opcijom možete omogućiti spremanje 256-bitnog ključa lozinke na USB disk kao nevidljivu datoteku i tekstualnu datoteku koja će sadržavati 48 znamenki lozinke za oporavak.

U slučaju da onemogućite ili nećete konfigurirati ovo pravilo grupnih pravila, čarobnjak za postavljanje BitLockera omogućit će korisniku odabir opcija oporavka.

Ako onemogućite ili ne konfigurirate ovu postavku pravila, čarobnjak za postavljanje BitLockera pružit će korisnicima druge načine za očuvanje opcija oporavka.

Odaberite metodu šifriranja pogona i snagu šifre

S ovim pravilom možete odabrati algoritam šifriranja i duljinu ključa za korištenje. Ako je pogon već šifriran i tada odlučite promijeniti duljinu ključa, ništa se neće dogoditi. Zadana metoda šifriranja je AES sa 128-bitnim ključem i difuzorom.

Navedite jedinstvene identifikatore za svoju organizaciju

Ovo pravilo pravila omogućit će vam stvaranje jedinstvenih identifikatora za svaki novi pogon u vlasništvu vaše organizacije i zaštićen BitLockerom. Ovi identifikatori su pohranjeni kao prvo i drugo polje identifikatora. Prvo polje identifikatora omogućit će vam da postavite jedinstveni identifikator organizacije na diskove zaštićene BitLockerom. Ovaj identifikator će se automatski dodati novim pogonima zaštićenim BitLockerom i može se ažurirati za postojeće pogone šifrirane BitLockerom pomoću softvera naredbenog retka Manage-BDE.

Drugo polje identifikatora koristi se u kombinaciji s pravilom politike "Zabrani pristup prijenosnim medijima koji nisu zaštićeni BitLockerom" i može se koristiti za upravljanje prijenosnim pogonima u vašoj tvrtki.

Kombinacija ovih polja može se koristiti za određivanje je li pogon u vlasništvu vaše organizacije ili ne.

Ako je vrijednost ovog pravila nedefinirana ili onemogućena, identifikacijska polja nisu potrebna.

Identifikacijsko polje može imati do 260 znakova.

Spriječite prepisivanje memorije pri ponovnom pokretanju

Ovo pravilo će poboljšati performanse vašeg računala sprječavanjem prepisivanja memorije, ali treba imati na umu da BitLocker ključevi neće biti uklonjeni iz memorije.

Ako je ovo pravilo onemogućeno ili nije konfigurirano, BitLocker ključevi će se ukloniti iz memorije kada se računalo ponovno pokrene.

Radi poboljšanja sigurnosti, ovo pravilo treba ostaviti prema zadanim postavkama.

Konfigurirajte identifikator objekta certifikata pametne kartice

Ovo pravilo će povezati identifikator objekta certifikata pametne kartice s pogonom šifriranim BitLockerom.

Stacionarni tvrdi diskovi

Ovaj odjeljak opisuje pravila grupnih pravila koja će se primjenjivati ​​na podatkovne pogone (ne na particije sustava).

Konfigurirajte upotrebu pametnih kartica na fiksnim podatkovnim pogonima

Ovo će pravilo odrediti mogu li se ili mogu li se pametne kartice koristiti za dopuštanje pristupa podacima na tvrdom disku računala.

Ako onemogućite ovo pravilo, pametne kartice se ne mogu koristiti.

Prema zadanim postavkama, mogu se koristiti pametne kartice.

Zabrani pristup pisanju na fiksne diskove koji nisu zaštićeni BitLockerom

Ovo pravilo određuje hoće li se zapisivati ​​na pogone koji nisu zaštićeni BitLockerom. Ako je navedeno pravilo, svi diskovi koji nisu zaštićeni BitLockerom bit će samo za čitanje. Ako je pogon šifriran BitLockerom, tada će se čitati/pisati. Ako je ovo pravilo onemogućeno ili nije definirano, tada će svi tvrdi diskovi računala biti dostupni za čitanje i pisanje.

Dopustite pristup fiksnim podatkovnim pogonima zaštićenim BitLockerom iz ranijih verzija sustava Windows

Ovo pravilo pravila kontrolira mogu li se FAT pogoni otključati i čitati na računalima sa sustavima Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Ako je ovo pravilo omogućeno ili nije konfigurirano, podatkovni diskovi formatirani datotečnim sustavom FAT mogu se čitati na računalima s gore navedenim operativnim sustavima.

Ako je ovo pravilo onemogućeno, tada se odgovarajući pogoni ne mogu otključati na računalima sa sustavima Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Pažnja! Ovo pravilo ne vrijedi za diskove formatirane NTFS.

Ovo pravilo određuje je li potrebna lozinka za otključavanje pogona zaštićenih BitLockerom. Ako želite koristiti lozinku, možete postaviti zahtjeve za složenost lozinke i njezinu minimalnu duljinu. Vrijedno je uzeti u obzir da da biste postavili zahtjeve složenosti, morate postaviti zahtjev za složenost lozinke u odjeljku Pravila lozinke u Pravilima grupe.

Ako je ovo pravilo definirano, korisnici mogu konfigurirati lozinke kako bi zadovoljile svoje odabrane zahtjeve.

Lozinka mora imati najmanje 8 znakova (prema zadanim postavkama).

Odaberite kako se fiksni diskovi zaštićeni BitLockerom mogu oporaviti

Ovo pravilo će vam omogućiti upravljanje oporavkom šifriranih diskova.

Ako ovo pravilo nije konfigurirano ili blokirano, tada su dostupne zadane opcije vraćanja.

Pogoni operacijskog sustava

Ovaj odjeljak opisuje pravila grupnih pravila koja se primjenjuju na particije operativnog sustava (obično pogon C :).

Zahtijevajte dodatnu provjeru autentičnosti pri pokretanju

Ovo pravilo grupnih pravila kontrolirat će koristite li modul pouzdane platforme (TMP) za provjeru autentičnosti.

Pažnja! Imajte na umu da se pri pokretanju može postaviti samo jedna od opcija, inače ćete dobiti pogrešku politike.

Ako je ovo pravilo omogućeno, korisnici će moći konfigurirati napredne opcije pokretanja u čarobnjaku za postavljanje BitLockera.

Ako je pravilo onemogućeno ili nije konfigurirano, osnovne opcije mogu se konfigurirati samo na računalima s TPM-om.

Pažnja! Ako želite koristiti PIN i USB pogon, morate konfigurirati BitLocker pomoću naredbenog retka bde umjesto čarobnjaka za šifriranje pogona BitLocker.

Zahtijevajte dodatnu provjeru autentičnosti pri pokretanju (Windows Server 2008 i Windows Vista)

Ovo pravilo se primjenjuje samo na računala sa sustavom Windows 2008 ili Windows Vista.

Na računalima opremljenim TPM-om možete postaviti dodatnu sigurnosnu opciju - PIN kod (4 do 20 znamenki).

Na računalima koja nisu opremljena TPM-om, koristit će se USB disk s ključnim informacijama.

Ako je ova opcija omogućena, čarobnjak će prikazati prozor u kojem korisnik može konfigurirati dodatne opcije za pokretanje BitLockera.

Ako je ova opcija onemogućena ili nije konfigurirana, čarobnjak za instalaciju prikazat će osnovne korake za pokretanje BitLockera na računalima s TPM-om.

Konfigurirajte minimalnu duljinu PIN-a za pokretanje

Ovaj parametar se koristi za postavljanje minimalne duljine PIN koda za pokretanje računala.

PIN može imati 4 do 20 znamenki.

Odaberite kako se pogoni OS-a zaštićeni BitLockerom mogu oporaviti

S ovim pravilom grupnih pravila možete odrediti kako se diskovi šifrirani BitLockerom obnavljaju ako nedostaje ključ za šifriranje.

Konfigurirajte profil za provjeru valjanosti TPM platforme

S ovim pravilom možete konfigurirati TPM model. Ako ne postoji odgovarajući modul, ovo pravilo ne vrijedi.

Ako omogućite ovo pravilo, možete konfigurirati koje komponente pokretanja provjerava TPM prije otključavanja pristupa šifriranom pogonu.

Izmjenjivi medij

Kontrolirajte korištenje BitLockera na uklonjivim pogonima

S ovim pravilom grupnih pravila možete upravljati BitLocker šifriranjem na prijenosnim diskovima.

Možete odabrati koje opcije konfiguracije korisnici mogu koristiti za konfiguriranje BitLockera.

Konkretno, morate odabrati "Dopusti korisnicima primjenu BitLocker zaštite na prijenosnim podatkovnim pogonima" kako biste omogućili instalaciju čarobnjaka za šifriranje BitLocker na prijenosnim pogonima.

Ako odaberete "Dopusti korisnicima da obustave i dešifriraju BitLocker na prijenosnim podatkovnim pogonima", tada korisnik može dešifrirati vaš prijenosni pogon ili pauzirati šifriranje.

Ako ovo pravilo nije konfigurirano, korisnici mogu koristiti BitLocker na uklonjivim medijima.

Ako je ovo pravilo onemogućeno, korisnici neće moći koristiti BitLocker na prijenosnim diskovima.

Konfigurirajte upotrebu pametnih kartica na prijenosnim podatkovnim pogonima

S ovom postavkom pravila možete odrediti mogu li se pametne kartice koristiti za provjeru autentičnosti korisnika i pristup prijenosnim pogonima na ovom računalu.

Zabrani pristup pisanju na prijenosne diskove koji nisu zaštićeni BitLockerom

S ovim pravilom pravila možete spriječiti pisanje na uklonjive diskove koji nisu zaštićeni BitLockerom. U tom slučaju, svi prijenosni diskovi koji nisu zaštićeni BitLockerom bit će samo za čitanje.

Ako je odabrana opcija "Zabrani pristup pisanju uređajima konfiguriranim u drugoj organizaciji", tada će snimka biti dostupna samo za prijenosne diskove koji pripadaju vašoj organizaciji. Provjera valjanosti se izvodi na temelju dva identifikacijska polja, definirana u skladu s pravilom pravila grupe "Navedite jedinstvene identifikatore za svoju organizaciju".

Ako ste onemogućili ovo pravilo ili nije konfigurirano, tada će svi izmjenjivi diskovi biti dostupni za čitanje i pisanje.

Pažnja! Ovo pravilo može se nadjačati postavkama politike pristupa korisničkoj konfiguracijiAdministrativni predlošciSystemRemovable Storage Access. Ako je omogućeno pravilo "Premjenjivi diskovi: zabrani pristup pisanju", ovo pravilo će se zanemariti.

Dopustite pristup prijenosnim pogonima podataka zaštićenim BitLockerom iz ranijih verzija sustava Windows

Ovo pravilo određuje mogu li se izmjenjivi pogoni formatirani u FAT-u otključati i pregledati na računalima sa sustavima Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Ako je ovo pravilo omogućeno ili nije konfigurirano, tada se izmjenjivi diskovi s datotečnim sustavom FAT mogu otključati i pregledavati na računalima sa sustavima Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2. Međutim, ti će diskovi biti samo za čitanje.

Ako je ovo pravilo blokirano, tada se odgovarajući izmjenjivi diskovi ne mogu otključati i pregledati na računalima sa sustavima Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Ovo pravilo ne vrijedi za diskove formatirane NTFS.

Konfigurirajte zahtjeve složenosti lozinke i minimalnu duljinu

Ovo pravilo pravila određuje treba li se izmjenjivi pogoni zaključani BitLockerom otključati lozinkom. Ako dopustite korištenje lozinke, možete postaviti zahtjeve za njezinu složenost i minimalnu duljinu lozinke. Vrijedno je uzeti u obzir da u ovom slučaju zahtjevi složenosti moraju odgovarati zahtjevima politike lozinke za konfiguraciju računala, Sigurnosne postavke Windows postavki, Pravila računa, Pravila lozinke.

Odaberite način na koji se prijenosni diskovi zaštićeni BitLockerom mogu oporaviti

Ovo pravilo vam omogućuje da odaberete kako želite oporaviti prijenosne diskove zaštićene BitLockerom.

Međutim, nastavimo s šifriranjem tvrdog diska. Budući da ste već potvrdili da će vam promjene pravila grupe omogućiti značajno proširenje upotrebe BitLocker enkripcije, prijeđimo na uređivanje grupnih pravila. Da bismo to učinili, formulirati ćemo ciljeve i uvjete za korištenje naše enkripcije.

1. Računalo koje se proučava ima instaliran TPM modul

2. Šifrirati ćemo:

• disk sustava
• podatkovni disk
• prijenosni medij, za NTFS i FAT.

I moramo provjeriti hoće li naš prijenosni medij formatiran pod FAT-om biti dostupan na računalu koje koristi i Windows XP SP2 i Windows Vista SP1.

Prijeđimo na proces šifriranja.

Za početak, u pravilima grupe BitLocker odaberite algoritam šifriranja i duljinu ključa (slika 8)

Riža. 8. Izbor algoritma šifriranja i duljine ključa

Zatim u odjeljku Pogon operacijskog sustava odaberite pravilo Zahtijevaj dodatnu autentifikaciju pri pokretanju (slika 9)

Riža. 9. Pravilo "Zahtijevaj dodatnu autentifikaciju pri pokretanju"

Nakon toga postavite minimalnu duljinu PIN-a na 6 znakova pomoću pravila Konfiguriraj minimalnu duljinu PIN-a za pokretanje.

Za šifriranje odjeljka podataka postavite zahtjeve za složenost i minimalnu duljinu lozinke od 8 znakova (slika 10).

Riža. 10. Postavljanje zahtjeva za minimalnu duljinu i složenost lozinke

Treba imati na umu da morate postaviti zahtjeve za zaštitu lozinkom (slika 11).

Riža. 11. Zahtjevi za zaštitu lozinkom

Za prijenosne diskove odaberite sljedeće postavke:

• Nemojte dopustiti čitanje izmjenjivih diskova s ​​datotečnim sustavom FAT u nižim verzijama Windowsa;
• Lozinke moraju ispunjavati zahtjeve složenosti;
• Minimalna duljina lozinke je 8 znakova.

Nakon toga upotrijebite naredbu gpupdate.exe / force u prozoru naredbenog retka za ažuriranje politike (slika 12).

Riža. 12. Ažuriranje postavki grupne politike

Budući da smo odlučili koristiti PIN kod pri svakom ponovnom pokretanju, odabiremo (slika 13) Zahtijevaj PIN pri svakom pokretanju.

Riža. 13. Unesite PIN pri svakom pokretanju

Riža. 14. Unos PIN-a

Unesite PIN kod od 4 znaka (slika 15)

Riža. 15. PIN ne zadovoljava zahtjeve za minimalnu duljinu

Minimalna duljina PIN-koda navedena u politici je 6 znamenki; nakon unosa novog PIN-koda, primamo pozivnicu za spremanje ključa na USB-disk iu obliku tekstualne datoteke.

Riža. 16. Spremanje sigurnosnog ključa za šifriranje

Nakon toga ponovno pokrećemo sustav i počinje stvarni proces šifriranja C: pogona.

Nakon toga šifriramo drugu particiju našeg tvrdog diska - disk D: (slika 17)

Riža. 17. Šifriranje pogona D:

Prije šifriranja D: pogona, moramo unijeti lozinku za ovaj pogon. U tom slučaju lozinka mora ispunjavati naše zahtjeve za minimalnu duljinu lozinke i zahtjeve za složenost lozinke. Vrijedno je uzeti u obzir da je moguće automatski otvoriti ovaj disk na ovom računalu.

Sukladno tome, lozinku za oporavak spremit ćemo na USB pogon na isti način.

Treba napomenuti da kada prvi put spremate lozinku, ona se istovremeno sprema u tekstualnu datoteku na istom USB disku!

Treba imati na umu da kod šifriranja podatkovne particije veličine 120 GB (od kojih je 100 slobodno), Windows Explorer uvijek prikazuje poruku o nedostatku prostora na particiji (slika 18).

Riža. 18. Prozor Windows Explorera

Pokušajmo šifrirati FAT formatiran USB pogon.

Šifriranje USB diska počinje činjenicom da se od nas traži da unesemo lozinku za budući šifrirani disk. Prema određenim pravilima politike, minimalna duljina lozinke je 8 znakova. U tom slučaju lozinka mora ispunjavati zahtjeve složenosti (slika 19)

Riža. 19. Unos lozinke za šifriranje prijenosnog USB diska

Na kraju šifriranja, pokušao sam vidjeti ovaj USB disk na drugom računalu na kojem je pokrenut Windows Vista Home Premium SP1. Rezultat je prikazan na sl. 21.

Riža. 21. Pokušaj čitanja šifriranog USB pogona na računalu sa sustavom Windows Vista SP1

Kao što vidite, ako se vaš disk izgubi, informacije se neće čitati, štoviše, disk će najvjerojatnije biti jednostavno formatiran.

Kada pokušate spojiti isti USB disk na računalo s Windows 7 Beta1, možete vidjeti sljedeće (slika 22).

Zaključak

Dakle, vidjeli smo kako će se enkripcija izvoditi u sustavu Windows 7. Što reći - u odnosu na Windows Vista, ima puno više pravila u grupnim politikama, a shodno tome i odgovornost IT osoblja za njihovu ispravnu primjenu i ispravnu konstrukciju međusobno povezani odnosi se povećavaju...

Kako ukloniti točke vraćanja sustava u Windows 7

Pozdrav čitateljima bloga tvrtke ComService (Naberezhnye Chelny). U ovom članku nastavit ćemo istraživati ​​sustave ugrađene u Windows dizajnirane za poboljšanje sigurnosti naših podataka. Danas je to Bitlocker sustav šifriranja diska. Šifriranje podataka je neophodno kako stranci ne bi koristili vaše podatke. Kako ona dolazi do njih, drugo je pitanje.

Šifriranje je proces transformacije podataka tako da im samo pravi ljudi mogu pristupiti. Za pristup se obično koriste ključevi ili lozinke.

Šifriranje cijelog pogona sprječava pristup podacima kada svoj tvrdi disk povežete s drugim računalom. Na napadačev sustav može biti instaliran drugi operativni sustav kako bi se zaobišla zaštita, ali to neće pomoći ako koristite BitLocker.

BitLocker je predstavljen s operativnim sustavom Windows Vista i poboljšan je u. Bitlocker je dostupan u verzijama Maximum i Enterprise kao i u Pro. Vlasnici drugih verzija morat će tražiti.

Struktura članka

1. Kako funkcionira BitLocker šifriranje pogona

Ne ulazeći u detalje, to izgleda ovako. Sustav šifrira cijeli disk i daje vam ključeve za njega. Ako šifrirate disk sustava, on se neće pokrenuti bez vašeg ključa. Isto kao i ključevi od stana. Imaš ih, pasti ćeš u to. Izgubljeni, trebate upotrijebiti rezervni (kod za oporavak (izdan tijekom enkripcije)) i promijeniti zaključavanje (ponovno šifriranje s različitim ključevima)

Za pouzdanu zaštitu, poželjno je imati Trusted Platform Module (TPM) u računalu. Ako postoji i njegova verzija je 1.2 ili novija, tada će kontrolirati proces i imat ćete jače metode zaštite. Ako ga nema, tada će biti moguće koristiti samo ključ na USB-pogonu.

BitLocker radi na sljedeći način. Svaki sektor diska šifriran je zasebno pomoću ključa za šifriranje punog volumena (FVEK). Koristi se AES algoritam sa 128-bitnim ključem i difuzorom. Ključ se može promijeniti u 256-bitni u grupnim sigurnosnim politikama.

Kada se šifriranje završi, vidjet ćete sljedeću sliku

Zatvorite prozor i provjerite jesu li ključ za pokretanje i ključ za oporavak na sigurnim mjestima.

3. Šifriranje flash pogona - BitLocker To Go

Zašto pauzirati enkripciju? Tako da BitLocker ne zaključava vaš disk i ne pribjegava postupku oporavka. Parametri sustava (i sadržaj particije za pokretanje) fiksirani su tijekom enkripcije radi dodatne zaštite. Ako ih promijenite, računalo se može zaključati.

Ako odaberete Upravljanje BitLockerom, možete spremiti ili ispisati ključ za oporavak i duplicirati ključ za pokretanje

Ako je jedan od ključeva (ključ za pokretanje ili ključ za oporavak) izgubljen, možete ih vratiti ovdje.

Upravljanje šifriranjem vanjske memorije

Dostupne su sljedeće funkcije za upravljanje parametrima šifriranja flash pogona

Za otključavanje možete promijeniti lozinku. Lozinka se može izbrisati samo ako se za otključavanje brave koristi pametna kartica. Također možete spremiti ili ispisati ključ za oporavak i omogućiti automatsko otključavanje diska za to.

5. Vraćanje pristupa disku

Vraćanje pristupa disku sustava

Ako je flash pogon s ključem izvan zone pristupa, ključ za oporavak dolazi u igru. Kada pokrenete svoje računalo, vidjet ćete nešto poput sljedećeg.

Da biste vratili pristup i pokrenuli Windows, pritisnite Enter

Vidjet ćemo zaslon koji traži da unesete ključ za oporavak

Unos zadnje znamenke, pod uvjetom da se koristi ispravan ključ za oporavak, automatski će pokrenuti operativni sustav.

Vraćanje pristupa uklonjivim diskovima

Za vraćanje pristupa informacijama na USB flash pogonu ili pritisnite Zaboravili ste lozinku?

Odaberite Unesite ključ za oporavak

i unesite ovaj strašni 48-znamenkasti kod. Kliknite Dalje

Ako je ključ za oporavak prikladan, disk će biti otključan

Pojavljuje se veza za Upravljanje BitLockerom, gdje možete promijeniti lozinku za otključavanje pogona.

Zaključak

U ovom članku naučili smo kako možemo zaštititi svoje podatke šifriranjem pomoću ugrađenog BitLockera. Razočaravajuće je što je ova tehnologija dostupna samo u starijim ili naprednim verzijama sustava Windows. Također je postalo jasno zašto je ova skrivena i bootabilna particija od 100 MB stvorena prilikom postavljanja diska pomoću Windowsa.

Možda ću koristiti enkripciju flash diskova ili. No, to je malo vjerojatno, budući da postoje dobre zamjene u obliku usluga za pohranu u oblaku kao što su, i slično.

Hvala vam što ste ovaj članak podijelili na društvenim mrežama. Sve najbolje!

BitLocker – nove mogućnosti šifriranja pogona
Gubitak povjerljivih podataka često se događa nakon što napadač dobije pristup informacijama na tvrdom disku. Na primjer, ako je prevarant na neki način dobio priliku pročitati datoteke sustava, može ih koristiti za pronalaženje korisničkih lozinki, izdvajanje osobnih podataka itd.
Windows 7 uključuje BitLocker alat koji vam omogućuje šifriranje cijelog diska, tako da podaci na njemu ostaju zaštićeni od znatiželjnih očiju.
Tehnologiju šifriranja BitLocker uveo je Windows Vista i poboljšana je u novom operativnom sustavu. Nabrojimo najzanimljivije inovacije:

• omogućavanje BitLockera iz kontekstnog izbornika File Explorera;
• automatsko stvaranje skrivene particije diska za pokretanje;
• Podrška za agenta za oporavak podataka (DRA) za sve zaštićene sveske.

Podsjetimo da ovaj alat nije implementiran u svim izdanjima sustava Windows, već samo u verzijama "Advanced", "Corporate" i "Professional".

Zaštita pogona tehnologijom BitLocker sačuvat će povjerljive korisničke podatke u gotovo svakoj višoj sili - u slučaju gubitka prijenosnog medija, krađe, neovlaštenog pristupa pogonu itd.
BitLocker tehnologija šifriranja podataka može se primijeniti na sve datoteke na pogonu sustava, kao i na sve dodatne prijenosne medije. Ako se podaci sadržani na šifriranom disku kopiraju na drugi medij, tada će se informacije prenijeti bez šifriranja.
Za veću sigurnost, BitLocker može koristiti slojevitu enkripciju – istovremenu upotrebu nekoliko vrsta zaštite, uključujući hardver i softver. Kombinacije metoda zaštite podataka pružaju nekoliko različitih načina rada za BitLocker enkripciju. Svaki od njih ima svoje prednosti, a također pruža i svoju razinu sigurnosti:

• TPM način rada;
• TPM i USB način rada
• TPM i način rada s osobnim identifikacijskim brojem (PIN);
• način rada pomoću USB uređaja koji sadrži ključ.

Prije nego što pobliže pogledamo kako se BitLocker koristi, potrebno je napraviti neka pojašnjenja. Prije svega, važno je razumjeti terminologiju. TPM je poseban kriptografski čip koji omogućuje provjeru autentičnosti. Takav se mikro krug može integrirati, na primjer, u neke modele prijenosnih računala, stolnih računala, raznih mobilnih uređaja itd.
Ovaj čip pohranjuje jedinstveni "root pristupni ključ". Takav "flash" mikro krug je još jedna dodatna pouzdana zaštita od pucanja ključeva za šifriranje. Da su ti podaci pohranjeni na bilo kojem drugom mediju, bilo da se radi o tvrdom disku ili memorijskoj kartici, rizik od gubitka informacija bio bi nerazmjerno veći, budući da je tim uređajima lakše pristupiti. Koristeći "korijenski pristupni ključ", čip može generirati vlastite ključeve za šifriranje, koje može dešifrirati samo TPM.
Vlasnička lozinka se generira prvi put kada se TPM inicijalizira. Windows 7 podržava TPM 1.2 i zahtijeva kompatibilan BIOS.
Kada zaštitu izvodi isključivo TPM, podaci se prikupljaju na razini hardvera tijekom procesa pokretanja, uključujući podatke BIOS-a i druge podatke, čiji zbroj ukazuje na autentičnost hardvera. Ovaj način rada naziva se "transparentan" i ne zahtijeva nikakve radnje od korisnika - vrši se provjera i, ako je uspješno, preuzimanje se obavlja normalno.
Zanimljivo je da su računala koja sadrže modul pouzdane platforme za naše korisnike još uvijek samo teorija, budući da je uvoz i prodaja takvih uređaja na teritoriju Rusije i Ukrajine zakonom zabranjen zbog problema s certifikacijom. Dakle, za nas ostaje relevantna samo opcija zaštite diska sustava pomoću USB pogona na kojem je upisan pristupni ključ.

BitLocker tehnologija omogućuje vam primjenu algoritma za šifriranje na podatkovne pogone koji koriste exFAT, FAT16, FAT32 ili NTFS datotečne sustave. Ako se šifriranje primjenjuje na pogon operacijskog sustava, podaci na tom pogonu moraju biti zapisani u NTFS formatu da bi se koristio BitLocker.
Metoda šifriranja koju koristi BitLocker temelji se na jakom AES algoritmu sa 128-bitnim ključem.
Jedna od razlika između značajke Bitlocker u sustavu Windows 7 i sličnog alata u sustavu Windows Vista je u tome što novi operativni sustav ne treba posebno particionirati disk. Prije je korisnik za to morao koristiti Microsoft BitLocker Disk Preparation Tool, sada je dovoljno jednostavno odrediti koji disk treba zaštititi, a sustav će automatski stvoriti skrivenu particiju za pokretanje na disku koji koristi Bitlocker. Ova particija za pokretanje će se koristiti za pokretanje računala, pohranjena je nekriptirana (inače bi pokretanje bilo nemoguće), dok će particija operativnog sustava biti šifrirana.
U usporedbi sa sustavom Windows Vista, particija za pokretanje zauzima oko deset puta manje prostora na disku. Dodatnom odjeljku nije dodijeljeno posebno slovo i ne pojavljuje se na popisu odjeljaka u upravitelju datoteka.

Za upravljanje šifriranjem prikladno je koristiti alat na upravljačkoj ploči pod nazivom BitLocker Drive Encryption. Ovaj alat je upravitelj diskova s ​​kojim možete brzo šifrirati i otključati diskove te raditi s TPM-om. Ovaj prozor vam omogućuje da otkažete ili pauzirate BitLocker šifriranje u bilo kojem trenutku.

Na temelju materijala s 3dnews.ru

Pokrenite alat za šifriranje u sustavu Windows traženjem "BitLocker" i odabirom "Upravljanje BitLockerom". U sljedećem prozoru možete aktivirati šifriranje klikom na "Omogući BitLocker" pored oznake tvrdog diska (ako se pojavi poruka o pogrešci, pročitajte odjeljak "Korištenje BitLockera bez TPM-a").

Sada možete odabrati želite li koristiti USB flash pogon ili lozinku prilikom otključavanja šifriranog pogona. Bez obzira na odabranu opciju, tijekom postupka postavljanja morat ćete spremiti ili ispisati ključ za oporavak. Trebat će vam ako zaboravite lozinku ili izgubite USB flash pogon.

Korištenje BitLockera bez TPM-a

Konfiguriranje BitLockera.
BitLocker također funkcionira bez TPM čipa, iako to zahtijeva određena podešavanja u uređivaču pravila lokalne grupe.

Ako vaše računalo nema čip Trusted Platform Module (TPM), možda ćete morati izvršiti neke prilagodbe da biste omogućili BitLocker. U traku za pretraživanje sustava Windows upišite "Promijeni pravila grupe" i otvorite odjeljak "Uređivač lokalnih pravila grupe". Sada otvorite u lijevom stupcu uređivača "Konfiguracija računala | Administrativni predlošci | Windows komponente | BitLocker šifriranje pogona | Pogoni operativnog sustava ", a u desnom stupcu provjerite unos " Potrebna dodatna provjera autentičnosti pri pokretanju ".

Zatim u srednjem stupcu kliknite vezu "Promijeni postavku pravila". Označite okvir pored "Omogući" i potvrdite okvir pored "Dopusti BitLocker bez kompatibilnog TPM-a" u nastavku. Nakon što kliknete Primijeni i U redu, možete koristiti BitLocker kao što je gore opisano.

Alternativa u obliku VeraCrypt

Za šifriranje particije sustava ili cijelog tvrdog diska pomoću TrueCryptovog nasljednika VeraCrypt, odaberite Create Volume na glavnom izborniku VeraCrypt, a zatim Šifrirajte particiju sustava ili cijeli disk sustava. Za šifriranje cijelog tvrdog diska zajedno s particijom sustava Windows odaberite "Šifriranje cijelog diska", a zatim slijedite upute korak po korak za postavljanje. Napomena: VeraCrypt stvara ESD disk u slučaju da zaboravite lozinku. Dakle, potreban vam je prazan CD.

Nakon što šifrirate svoj disk, prilikom pokretanja morat ćete navesti PIM (Personal Iterations Multiplier) nakon lozinke. Ako niste instalirali PIM tijekom postavljanja, samo pritisnite Enter.

Prema mišljenju stručnjaka, upravo je krađa prijenosnog računala jedan od glavnih problema u području informacijske sigurnosti (IS).

Za razliku od drugih prijetnji kibernetičke sigurnosti, priroda problema "ukradeno prijenosno računalo" ili "ukradeni flash disk" prilično je primitivna. A ako cijena nestalih uređaja rijetko prelazi oznaku od nekoliko tisuća američkih dolara, tada se vrijednost informacija pohranjenih na njima često mjeri milijunima.

Prema Dellu i Institutu Ponemon, 637.000 prijenosnih računala nestane svake godine u američkim zračnim lukama. Zamislite koliko flash diskova nestane, jer su puno manji, a slučajno ispuštanje flash diska jednostavno je kao ljuštenje krušaka.

Kada nestane prijenosno računalo vrhunskog menadžera velike tvrtke, šteta od jedne takve krađe može iznositi desetke milijuna dolara.

Kako zaštititi sebe i svoju tvrtku?

Nastavljamo s našim nizom članaka o sigurnosti Windows domene. U prvom članku iz serije govorili smo o postavljanju sigurne prijave na domenu, a u drugom o postavljanju sigurnog prijenosa podataka u mail klijentu:

1. Kako koristiti token da bi Windows domenu učinili sigurnijom? 1. dio .
2. Kako koristiti token da bi Windows domenu učinili sigurnijom? 2. dio .

U ovom članku ćemo govoriti o postavljanju enkripcije podataka pohranjenih na vašem tvrdom disku. Shvatit ćete kako osigurati da nitko osim vas ne može čitati informacije pohranjene na vašem računalu.

Malo ljudi zna da Windows ima ugrađene alate koji vam pomažu da sigurno pohranite podatke. Razmotrimo jedan od njih.

Sigurno su neki od vas čuli riječ "BitLocker". Da vidimo što je to.

Što je BitLocker?

BitLocker, također poznat kao BitLocker Drive Encryption, tehnologija je šifriranja pogona računala koju je razvio Microsoft. Prvi put se pojavio u sustavu Windows Vista.

Korištenjem BitLockera bilo je moguće šifrirati volumene tvrdog diska, ali kasnije, već u sustavu Windows 7, pojavila se slična tehnologija, BitLocker To Go, koja je dizajnirana za šifriranje prijenosnih diskova i flash diskova.

BitLocker je standardna značajka Windows Professional i poslužiteljskih verzija sustava Windows, što znači da je već dostupan za većinu korporativne upotrebe. Inače ćete morati nadograditi svoju licencu za Windows na Professional.

Kako BitLocker radi?

Ova tehnologija temelji se na enkripciji punog volumena pomoću algoritma Advanced Encryption Standard (AES). Ključevi za šifriranje moraju biti sigurno pohranjeni, a BitLocker ima nekoliko mehanizama za to.

Najjednostavnija, ali ujedno i najnesigurnija metoda je lozinka. Ključ se dobiva iz lozinke svaki put na isti način, te će sukladno tome, ako netko sazna vašu lozinku, tada će biti poznat i ključ za šifriranje.

Kako bi se izbjeglo pohranjivanje ključa u jasnom tekstu, može se šifrirati ili u TPM-u (Trusted Platform Module) ili na kriptografskom tokenu ili pametnoj kartici koja podržava algoritam RSA 2048.

TPM je čip dizajniran za implementaciju osnovnih sigurnosnih funkcija, uglavnom pomoću ključeva za šifriranje.

TPM modul se obično instalira na matičnu ploču računala, međutim, vrlo je teško kupiti računalo s ugrađenim TPM modulom u Rusiji, budući da je uvoz uređaja u našu zemlju bez obavijesti FSB-a zabranjen.

Korištenje pametne kartice ili tokena za otključavanje diska jedan je od najsigurnijih načina kontrole tko je i kada izvršio postupak. Za deblokiranje, u ovom slučaju, potrebne su i sama pametna kartica i PIN kod na nju.

Kako BitLocker radi:

1. Kada se BitLocker aktivira pomoću generatora pseudo-slučajnih brojeva, generira se glavni slijed bitova. Ovaj ključ za šifriranje volumena je FVEK (ključ za šifriranje punog volumena). On šifrira sadržaj svakog sektora. FVEK se čuva u najstrožoj tajnosti.
2. FVEK je šifriran pomoću glavnog ključa glasnoće (VMK). FVEK (šifriran VMK-om) je pohranjen na disku među metapodacima volumena. Istodobno, nikada ne bi trebao doći do diska u dešifriranom obliku.
3. Sam VMK je također šifriran. Korisnik bira metodu šifriranja.
4. VMK je prema zadanim postavkama šifriran s korijenskim ključem za pohranu (SRK) pohranjenim na kriptografskoj pametnoj kartici ili tokenu. To se događa na sličan način s TPM-om.
   Usput, ključ za šifriranje pogona sustava BitLocker ne može se zaštititi pametnom karticom ili tokenom. To je zbog činjenice da se knjižnice dobavljača koriste za pristup pametnim karticama i tokenima i, naravno, nisu dostupne prije nego što se OS učita.
   Ako nema TPM-a, BitLocker predlaže pohranjivanje ključa sistemske particije na USB stick, što svakako nije dobra ideja. Ako vaš sustav nema TPM, ne preporučujemo šifriranje pogona sustava.
   I općenito, šifriranje pogona sustava je loša ideja. Kada su ispravno konfigurirani, svi važni podaci čuvaju se odvojeno od podataka sustava. To je barem prikladnije s gledišta njihove sigurnosne kopije. Osim toga, enkripcija sistemskih datoteka smanjuje performanse sustava u cjelini, a rad nekriptiranog diska sustava s šifriranim datotekama odvija se bez gubitka brzine.
5. Ključevi za šifriranje za druge nesustavne i izmjenjive pogone mogu se zaštititi pomoću pametne kartice ili tokena i TPM-a.
   Ako ne postoji TPM ili pametna kartica, tada se umjesto SRK-a koristi ključ generiran iz lozinke koju ste unijeli za šifriranje VMK-a.

Kada se pokrene s šifriranog diska za pokretanje, sustav ispituje sva moguća spremišta ključeva - provjerava TPM, provjerava USB portove ili, ako je potrebno, traži od korisnika (što se zove oporavak). Otkrivanje spremišta ključeva omogućuje Windowsu dešifriranje VMK-a, koji dešifrira FVEK, koji već dešifrira podatke na disku.

Svaki sektor volumena šifriran je zasebno, pri čemu je dio ključa za šifriranje određen brojem ovog sektora. Kao rezultat toga, dva sektora koja sadrže iste nešifrirane podatke izgledat će različito u šifriranom obliku, što uvelike komplicira proces određivanja ključeva za šifriranje snimanjem i dešifriranjem prethodno poznatih podataka.

Uz FVEK, VMK i SRK, BitLocker koristi drugu vrstu ključa koji se generira "za svaki slučaj". Ovo su ključevi za oporavak.

Za hitne slučajeve (korisnik je izgubio token, zaboravio svoj PIN, itd.) BitLocker traži od vas da kreirate ključ za oporavak u zadnjem koraku. Nije predviđeno odbijanje stvaranja u sustavu.

Kako mogu omogućiti šifriranje podataka na svom tvrdom disku?

Prije početka procesa šifriranja volumena na tvrdom disku, važno je uzeti u obzir da će ovaj postupak potrajati neko vrijeme. Njegovo trajanje ovisit će o količini informacija na tvrdom disku.

Ako se računalo isključi ili pređe u hibernaciju tijekom procesa šifriranja ili dešifriranja, ti će se procesi nastaviti s mjesta gdje su stali sljedeći put kada pokrenete Windows.

Čak i tijekom procesa šifriranja, Windows se može koristiti, ali malo je vjerojatno da će vas moći zadovoljiti svojom izvedbom. Kao rezultat toga, nakon enkripcije, performanse diska se smanjuju za oko 10%.

Ako je BitLocker dostupan na vašem sustavu, onda kada desnom tipkom miša kliknete naziv pogona koji želite šifrirati, izbornik koji se otvori prikazat će stavku Uključite BitLocker.

Na poslužiteljskim verzijama sustava Windows morate dodati ulogu BitLocker šifriranje pogona.

Počnimo s konfiguriranjem enkripcije nesustavnog volumena i zaštitimo ključ za šifriranje pomoću kriptografskog tokena.

Koristit ćemo token koji proizvodi tvrtka Aktiv. Konkretno, Rutoken token EDS PKI.

I. Pripremimo Rutoken EDS PKI za rad.

U većini normalno konfiguriranih Windows sustava, nakon prvog povezivanja Rutokena, PKI EDS se automatski učitava i instalira posebna biblioteka za rad s tokenima tvrtke Aktiv - Aktiv Rutoken minidriver.

Postupak instalacije takve knjižnice je sljedeći.

Dostupnost biblioteke minidriver Aktiv Rutoken može se provjeriti putem Upravitelj uređaja.

Ako se preuzimanje i instalacija biblioteke iz nekog razloga nije dogodila, tada biste trebali instalirati Rutoken Drivers for Windows kit.

II. Šifrirajmo podatke na disku pomoću BitLockera.

Kliknimo na naziv diska i odaberimo stavku Uključite BitLocker.

Kao što smo ranije rekli, koristit ćemo token za zaštitu ključa za šifriranje diska.
Važno je razumjeti da za korištenje tokena ili pametne kartice s BitLockerom mora imati RSA 2048 ključeve i certifikat na sebi.

Ako koristite uslugu izdavatelja certifikata u Windows domeni, tada predložak certifikata mora sadržavati opseg certifikata "Šifriranje diska" (više o postavljanju tijela za izdavanje certifikata u prvom dijelu naše serije članaka o sigurnosti Windows domene).

Ako nemate domenu ili ne možete promijeniti politiku za izdavanje certifikata, tada možete koristiti alternativni put, koristeći samopotpisani certifikat, detaljno je opisano kako sami napisati samopotpisani certifikat.
Sada označimo odgovarajući okvir.

U sljedećem koraku odabrat ćemo metodu za spremanje ključa za oporavak (preporučamo da odaberete Ispišite ključ za oporavak).

Papir s ispisanim ključem za oporavak treba biti pohranjen na sigurnom mjestu, po mogućnosti na sigurnom.

U sljedećem koraku pokrenut ćemo proces šifriranja diska. Nakon dovršetka ovog postupka, možda ćete morati ponovno pokrenuti sustav.

Kada omogućite šifriranje, promijenit će se ikona šifriranog diska.

A sada, kada pokušamo otvoriti ovaj disk, sustav će tražiti da umetne token i unese svoj PIN.

BitLocker i TPM implementacija i konfiguracija mogu se automatizirati pomoću WMI ili Windows PowerShell skripti. Način na koji se skripte implementiraju ovisi o okruženju. Naredbe za BitLocker u sustavu Windows PowerShell opisane su u članku.

Kako vratiti podatke šifrirane BitLockerom ako je token izgubljen?

Ako želite otvoriti šifrirane podatke u sustavu Windows

Da biste to učinili, potreban vam je ključ za oporavak koji smo ranije ispisali. Samo ga unesite u odgovarajuće polje i otvorit će se šifrirani odjeljak.

Ako želite otvoriti šifrirane podatke na GNU / Linux i Mac OS X sustavima

Za to je potreban uslužni program DisLocker i ključ za oporavak.

DisLocker radi u dva načina:

• DATOTEKA - Cijela BitLocker šifrirana particija dešifrirana je u datoteku.
• FUSE - dešifrira se samo blok kojemu sustav pristupa.

Kao primjer koristit ćemo operativni sustav Linux i uslužni način rada FUSE.

U najnovijim verzijama uobičajenih Linux distribucija, paket dislocker je već uključen u distribuciju, na primjer, u Ubuntuu, počevši od verzije 16.10.

Ako paket dislocker iz nekog razloga nije bio tamo, morate preuzeti uslužni program i sastaviti ga:

tar -xvjf dislocker.tar.gz

Otvorimo datoteku INSTALL.TXT i provjerimo koje pakete trebamo instalirati.

U našem slučaju, moramo instalirati paket libfuse-dev:

sudo apt-get install libfuse-dev

Počnimo graditi paket. Idemo u mapu src i upotrijebimo naredbe make i make install:

cd src / make make install

Kada je sve sastavljeno (ili ste instalirali paket), krenimo s konfiguriranjem.

Idemo u mapu mnt i stvorimo dvije mape u njoj:

• Encrypted-partition- za šifriranu particiju;
• Dešifrirana particija - za dešifriranu particiju.

cd / mnt mkdir šifrirana-particija mkdir dešifrirana-particija

Pronađimo šifriranu particiju. Dešifrirajmo ga pomoću uslužnog programa i premjestimo ga u mapu Encrypted-partition:

dislocker -r -V / dev / sda5 -p recovery_key / mnt / šifrirana particija(zamijenite svoj ključ za oporavak umjesto recovery_key)

Prikažimo popis datoteka koje se nalaze u mapi Encrypted-partition:

ls šifrirana-particija /

Unesite naredbu za montiranje particije:

mount -o loop Driveq / dislocker-file Decrypted-partition /

Za pregled dešifrirane particije idite u mapu Šifrirana particija.

Hajde da rezimiramo

Omogućavanje šifriranja volumena pomoću BitLockera vrlo je jednostavno. Sve se to radi bez napora i besplatno (naravno, pod uvjetom da imate profesionalnu ili poslužiteljsku verziju sustava Windows).

Za zaštitu ključa za šifriranje koji se koristi za šifriranje diska može se koristiti kriptografski token ili pametna kartica, što značajno povećava razinu sigurnosti.