Instalimi, konfigurimi dhe përdorimi i Bitlocker. Si të çaktivizoni BitLocker: Si të filloni

Përshëndetje miq! Në këtë artikull, ne do të vazhdojmë të eksplorojmë sistemet e integruara në dritare të krijuara për të përmirësuar sigurinë e të dhënave tona. Sot është sistemi i enkriptimit të diskut Bitlocker. Kriptimi i të dhënave është i nevojshëm në mënyrë që të huajt të mos përdorin informacionin tuaj. Si arrin ajo tek ata është një pyetje tjetër.

Kriptimi është procesi i transformimit të të dhënave në mënyrë që vetëm njerëzit e duhur të mund t'i qasen. Çelësat ose fjalëkalimet zakonisht përdoren për të fituar akses.

Kriptimi i të gjithë diskut parandalon aksesin në të dhëna kur lidhni hard diskun tuaj me një kompjuter tjetër. Një sistem tjetër operativ mund të instalohet në sistemin e sulmuesit për të anashkaluar mbrojtjen, por kjo nuk do të ndihmojë nëse jeni duke përdorur BitLocker.

Teknologjia BitLocker u prezantua me lëshimin e sistemit operativ Windows Vista dhe është përmirësuar në Windows 7. Bitlocker është i disponueshëm në versionet Windows 7 Ultimate dhe Enterprise si dhe në Windows 8 Pro. Pronarët e versioneve të tjera do të duhet të kërkojnë një alternativë.

Si funksionon enkriptimi i diskut BitLocker

Pa hyrë në detaje, duket kështu. Sistemi kodon të gjithë diskun dhe ju jep çelësat e tij. Nëse kodoni diskun e sistemit, kompjuteri nuk do të niset pa çelësin tuaj. Njësoj si çelësat e banesës. Ju i keni ato, do të bini në të. I humbur, duhet të përdorni rezervë (kodin e rikuperimit (lëshuar gjatë enkriptimit)) dhe të ndryshoni bllokimin (rikriptoni me çelësa të ndryshëm)

Për mbrojtje të besueshme, është e dëshirueshme që të keni një Modul të Platformës së Besuar (TPM) në kompjuter. Nëse është aty dhe versioni i tij është 1.2 ose më i lartë, atëherë do të kontrollojë procesin dhe do të keni metoda më të forta mbrojtjeje. Nëse nuk është aty, atëherë do të jetë e mundur të përdorni vetëm çelësin në USB-diskun.

BitLocker funksionon si më poshtë. Çdo sektor i diskut është i koduar veçmas duke përdorur një çelës enkriptimi me vëllim të plotë (FVEK). Përdoret algoritmi AES me çelës 128 bit dhe difuzor. Çelësi mund të ndryshohet në 256 bit në politikat e sigurisë së grupit.

Për ta bërë këtë, përdorni kërkimin në Windows 7. Hapni menynë Start dhe shkruani "policies" në fushën e kërkimit dhe zgjidhni Change Group Policy

Në dritaren që hapet në të majtë, ndiqni shtegun

Konfigurimi i kompjuterit> Modelet administrative> Komponentët e Windows> Kriptimi i Diskut BitLocker

Në anën e djathtë, klikoni dy herë mbi Zgjidh një metodë të enkriptimit të diskut dhe forcën e shifrimit

Në dritaren që hapet, klikoni në Aktivizo politikën. Në seksionin Zgjidhni një metodë enkriptimi nga lista rënëse, zgjidhni atë që kërkohet

Më e besueshme është AES me një çelës shpërndarës 256-bit. Në të njëjtën kohë, ka shumë të ngjarë që ngarkesa në procesorin qendror të jetë pak më e lartë, por jo shumë, dhe në kompjuterët modernë nuk do të vini re ndryshimin. Por të dhënat do të mbrohen në mënyrë më të besueshme.

Përdorimi i një difuzori rrit më tej besueshmërinë, pasi çon në një ndryshim të rëndësishëm në informacionin e koduar me një ndryshim të lehtë në të dhënat origjinale. Kjo do të thotë, kur kriptoni dy sektorë me të dhëna praktikisht të njëjta, rezultati do të jetë dukshëm i ndryshëm.

Vetë FVEK ndodhet midis meta të dhënave të diskut të ngurtë dhe gjithashtu është i koduar duke përdorur çelësin kryesor të volumit (VMK). VMK gjithashtu është i koduar duke përdorur modulin TPM. Nëse kjo e fundit mungon, atëherë përdorni çelësin në diskun USB.

Nëse disku USB me çelës nuk është i disponueshëm, atëherë duhet të përdorni kodin e rikuperimit 48-shifror. Pas kësaj, sistemi do të mund të deshifrojë çelësin kryesor të volumit, me të cilin deshifron çelësin FVEK, me të cilin disku do të zhbllokohet dhe sistemi operativ do të niset.

Përmirësimet e BitLocker në Windows 7

Kur instaloni Windows 7 nga një flash drive ose nga një disk, sugjerohet të ndani ose konfiguroni diskun. Kur konfiguroni diskun, krijohet një ndarje shtesë e nisjes prej 100 MB. Ndoshta nuk isha i vetmi që kisha pyetje për emërimin e saj. Është ky seksion që nevojitet që teknologjia Bitlocker të funksionojë.

Ky seksion është i fshehur dhe i bootable dhe nuk është i koduar përndryshe nuk do të ishte e mundur të nisni sistemin operativ.

Në Windows Vista, kjo ndarje ose vëllim duhet të jetë 1,5 GB në madhësi. Në Windows 7, u bë 100 MB.

Nëse, gjatë instalimit të sistemit operativ, keni bërë një ndarje me programet e palëve të treta, domethënë nuk keni krijuar një ndarje boot, atëherë në Windows 7 BitLocker do të përgatisë vetë ndarjen e nevojshme. Në Windows Vista, do t'ju duhet ta krijoni duke përdorur softuer shtesë që vjen me sistemin operativ.

Gjithashtu në Windows 7, teknologjia BitLocker To Go u shfaq për kriptimin e disqeve flash dhe disqeve të jashtme të ngurtë. Do ta shikojmë më vonë.

Si të aktivizoni Enkriptimin e Diskut BitLocker

Si parazgjedhje, BitLocker është konfiguruar të fillojë me një TPM dhe nuk do të dëshirojë të fillojë nëse mungon. (Së pari, thjesht përpiquni të aktivizoni enkriptimin dhe nëse filloni, atëherë nuk keni nevojë të çaktivizoni asgjë në politikat e grupit)

Për të filluar enkriptimin, shkoni te Paneli i Kontrollit \ Sistemi dhe Siguria \ Kriptimi i Diskut BitLocker

Zgjidhni diskun e dëshiruar (në shembullin tonë, kjo është ndarja e sistemit) dhe klikoni Ndizni BitLocker

Nëse shihni një foto si më poshtë

ju duhet të redaktoni politikat e grupit.

Duke përdorur kërkimin nga menyja Start, ne e quajmë Redaktorin e Politikave të Grupit Lokal

Ne ndjekim rrugën

Konfigurimi i kompjuterit> Modelet administrative> Komponentët e Windows> Kriptimi i diskut BitLocker> Disqet e sistemit operativ

Në të djathtë, zgjidhni Autentifikimin e kërkuar shtesë

Në dritaren që hapet, klikoni Aktivizo, më pas duhet të kontrolloni për kutinë e kontrollit Lejo përdorimin e BitLocker pa një TPM të pajtueshme dhe klikoni OK.

Pastaj BitLocker mund të niset. Do t'ju kërkohet të zgjidhni opsionin e vetëm të mbrojtjes - Kërkoni një çelës nisjeje në fillim. Kjo është ajo që ne zgjedhim

Fusni USB flash drive në të cilin do të shkruhet çelësi i nisjes dhe klikoni Ruaj

Tani duhet të ruani çelësin e rikuperimit, në rast se flash drive me çelësin e nisjes nuk është në zonën e hyrjes. Mund ta ruani çelësin në një USB flash drive (mundësisht një tjetër), ta ruani çelësin në një skedar për ta transferuar më vonë në një kompjuter tjetër ose ta printoni menjëherë.

Çelësi i rikuperimit duhet të ruhet natyrshëm në një vend të sigurt. Do ta ruaj çelësin në një skedar

Çelësi i rikuperimit është një dokument i thjeshtë teksti me vetë çelësin

Pastaj do të shihni dritaren e fundit në të cilën ju këshillohet të ekzekutoni një skanim të sistemit BitLocker përpara se të kriptoni diskun. Kliko Vazhdo

Ruani të gjitha dokumentet e hapura dhe klikoni Rinisni Tani

Ja çfarë shihni nëse diçka shkon keq

Nëse gjithçka funksionon, atëherë pas rinisjes së kompjuterit, kriptimi do të fillojë

Koha varet nga fuqia e procesorit tuaj, kapaciteti i ndarjes ose vëllimit që po enkriptoni dhe shpejtësia e shkëmbimit të të dhënave me diskun (SSD ose HDD). Një disk me gjendje të ngurtë 60 GB i mbushur pothuajse në kapacitetin e tij është i enkriptuar në 30 minuta ndërsa Informatika e Shpërndara Vullnetare është ende duke punuar.

Kur kriptimi të përfundojë, do të shihni foton e mëposhtme

Mbyllni dritaren dhe kontrolloni nëse çelësi i nisjes dhe çelësi i rikuperimit janë në vende të sigurta.

Kriptimi i Flash Drive - BitLocker To Go

Me prezantimin e teknologjisë BitLocker To Go në Windows 7, u bë e mundur të kriptoni disqet flash, kartat e kujtesës dhe disqet e jashtme. Kjo është shumë e përshtatshme pasi është shumë më e lehtë të humbasësh një USB flash drive sesa një laptop dhe netbook.

Nëpërmjet kërkimit ose ecjes gjatë rrugës

Fillimi> Paneli i Kontrollit> Sistemi dhe Siguria> Kriptimi i Diskut BitLocker

hapni dritaren e kontrollit. Fusni USB flash drive që dëshironi të enkriptoni dhe në seksionin BitLocker To Go aktivizoni enkriptimin për diskun USB të dëshiruar

Duhet të zgjidhni një metodë për të zhbllokuar diskun. Zgjedhja nuk është e madhe, qoftë fjalëkalim apo kartë SIM me kod PIN. Kartat SIM lëshohen nga departamente speciale në korporatat e mëdha. Le të përdorim një fjalëkalim të thjeshtë.

Vendosni kutinë e zgjedhjes për të përdorur fjalëkalimin për të zhbllokuar diskun dhe futni fjalëkalimin dy herë. Si parazgjedhje, gjatësia minimale e fjalëkalimit është 8 karaktere (mund të ndryshohet në politikat e grupit). Klikoni Next

Ne zgjedhim se si do ta ruajmë çelësin e rikuperimit. Ndoshta do të jetë e besueshme për ta printuar atë. Ruani dhe klikoni Next

Klikoni Start encryption dhe mbrojini të dhënat tuaja

Koha e kriptimit varet nga kapaciteti i flash drive-it, sa i mbushur me informacione, fuqia e procesorit tuaj dhe shpejtësia e shkëmbimit të të dhënave me kompjuterin.

Në disqet flash me kapacitet ose disqe të jashtëm, kjo procedurë mund të zgjasë shumë. Në teori, procesi mund të përfundojë në një kompjuter tjetër. Për ta bërë këtë, ndaloni enkriptimin dhe hiqni diskun siç duhet. Ngjitni atë në një kompjuter tjetër, zhbllokoni duke futur një fjalëkalim dhe enkriptimi do të vazhdojë automatikisht.

Tani, kur instaloni një USB flash drive në një kompjuter, më poshtë do të shfaqet një dritare me një kërkesë për të futur fjalëkalimin

Nëse i besoni këtij kompjuteri dhe nuk dëshironi të futni vazhdimisht fjalëkalimin, zgjidhni kutinë Next për të zhbllokuar automatikisht këtë kompjuter dhe klikoni Zhblloko. Në këtë kompjuter, nuk duhet të futni më fjalëkalimin për këtë flash drive.

Në mënyrë që informacioni në diskun USB të koduar të përdoret në kompjuterët me Windows Vista ose Windows XP, USB flash drive duhet të formatohet në sistemin e skedarëve FAT32. Në këto sisteme operative, do të jetë e mundur të zhbllokoni flash drive-in vetëm duke futur një fjalëkalim dhe informacioni do të jetë i disponueshëm vetëm për lexim. Regjistrimi i informacionit nuk është i disponueshëm.

Menaxhim i koduar i ndarjes

Menaxhimi kryhet nga dritarja BitLocker Drive Encryption. Ju mund ta gjeni këtë dritare duke përdorur kërkimin, ose mund të shkoni te adresa

Paneli i Kontrollit> Sistemi dhe Siguria> Kriptimi i Diskut BitLocker

Mund të çaktivizoni enkriptimin duke klikuar në "Turn off BitLocker". Në këtë rast, disku ose vëllimi deshifrohet. Do të duhet pak kohë dhe nuk do të nevojiten çelësa.

Ju gjithashtu mund të ndaloni mbrojtjen këtu.

Ky funksion rekomandohet të përdoret kur përditësoni BIOS-in ose redaktoni diskun e nisjes. (I njëjti vëllim është 100 MB). Mund ta ndaloni mbrojtjen vetëm në diskun e sistemit (ndarja ose vëllimi në të cilin është instaluar Windows).

Pse të ndaloni enkriptimin? Kështu që BitLocker të mos bllokojë diskun tuaj dhe të mos përdorë procedurën e rikuperimit. Parametrat e sistemit (BIOS dhe përmbajtja e ndarjes së nisjes) bllokohen gjatë kriptimit për mbrojtje shtesë. Nëse i ndryshoni, kompjuteri mund të bllokohet.

Nëse zgjidhni Menaxho BitLocker, mund të ruani ose printoni çelësin e rikuperimit dhe të dyfishoni çelësin e nisjes

Nëse një nga çelësat (çelësi i nisjes ose çelësi i rikuperimit) humbet, mund t'i rivendosni këtu.

Menaxhimi i enkriptimit të ruajtjes së jashtme

Funksionet e mëposhtme janë të disponueshme për të menaxhuar parametrat e enkriptimit të një flash drive

Mund ta ndryshoni fjalëkalimin për ta zhbllokuar. Fjalëkalimi mund të fshihet vetëm nëse përdoret një kartë inteligjente për të zhbllokuar bllokimin. Mund të ruani ose printoni gjithashtu çelësin e rikuperimit dhe të aktivizoni automatikisht shkyçjen e diskut për këtë kompjuter.

Rivendosja e aksesit në disk

Rivendosja e aksesit në diskun e sistemit

Nëse flash drive me çelës është jashtë zonës së aksesit, atëherë çelësi i rikuperimit hyn në lojë. Kur nisni kompjuterin tuaj, do të shihni diçka si më poshtë.

Për të rivendosur aksesin dhe nisjen e dritareve, shtypni Enter

Do të shohim një ekran që ju kërkon të futni çelësin e rikuperimit

Futja e shifrës së fundit, me kusht që të përdoret çelësi i saktë i rikuperimit, do të nisë automatikisht sistemin operativ.

Rivendosja e aksesit në disqet e lëvizshme

Për të rivendosur aksesin në informacion në një USB flash drive ose HDD të jashtëm, shtypni Harruat fjalëkalimin?

Zgjidhni Fut çelësin e rikuperimit

dhe shkruani këtë kod të tmerrshëm 48-shifror. Klikoni Next

Nëse çelësi i rikuperimit është i përshtatshëm, atëherë disku do të zhbllokohet

Një lidhje shfaqet për Menaxho BitLocker, ku mund të ndryshoni fjalëkalimin për të zhbllokuar diskun.

konkluzioni

Në këtë artikull, mësuam se si mund ta mbrojmë informacionin tonë duke e enkriptuar duke përdorur BitLocker të integruar. Është zhgënjyese që kjo teknologji është e disponueshme vetëm në versionet e vjetra ose të avancuara të Windows OS. U bë gjithashtu e qartë pse kjo ndarje e fshehur dhe e bootueshme 100 MB u krijua gjatë konfigurimit të një disku duke përdorur Windows.

Ndoshta do të përdor kriptimin e disqeve flash ose disqeve të jashtme të ngurtë. Por, kjo nuk ka gjasa, pasi ka zëvendësues të mirë në formën e shërbimeve të ruajtjes së cloud si DropBox, Google Drive, Yandex Drive dhe të ngjashme.

Përshëndetje, Anton Dyachenko

YouPK.ru

Aktivizoni ose çaktivizoni Bitlocker në Windows

Nuk është aspak për t'u habitur që një kompjuter personal mund të ruajë informacione shumë personale ose të dhëna të korporatës që kanë vlerë të shtuar. Është e padëshirueshme nëse një informacion i tillë bie në duart e palëve të treta që mund ta përdorin atë, duke provokuar probleme serioze për ish-pronarin e PC.

Bitlocker mund të aktivizohet dhe çaktivizohet në varësi të rrethanave.

Është për këtë arsye që shumë përdorues shprehin dëshirën për të ndërmarrë disa veprime që synojnë aksesin e kufizuar në të gjithë skedarët e ruajtur në kompjuter. Një procedurë e tillë ekziston. Pasi të keni bërë disa manipulime, asnjë nga të huajt, duke mos ditur fjalëkalimin ose çelësin e rikuperimit të tij, nuk do të jetë në gjendje të hyjë në dokumente.

Është e mundur të mbroni informacione të rëndësishme nga leximi nga palët e treta nëse enkriptoni diskun Bitlocker. Veprime të tilla ndihmojnë për të siguruar konfidencialitetin e plotë të dokumenteve jo vetëm në një kompjuter specifik, por edhe në rast se dikush ka hequr hard diskun dhe e ka futur atë në një kompjuter tjetër personal.

Algoritmi për ndezjen dhe fikjen e funksionit

Kriptimi i diskut Bitlocker kryhet në Windows 7, 8 dhe 10, por jo në të gjitha versionet. Supozohet se motherboard, i cili është i pajisur me një kompjuter të veçantë në të cilin përdoruesi dëshiron të kriptohet, duhet të ketë një modul TPM.

KËSHILLA. Mos u dekurajoni nëse e dini me siguri se nuk ka një modul të tillë të veçantë në motherboard tuaj. Ka disa truke që ju lejojnë të "injoroni" një kërkesë të tillë, dhe në përputhje me rrethanat të instaloni pa një modul të tillë.

Përpara se të vazhdohet me procesin e kriptimit për të gjithë skedarët, është e rëndësishme të kihet parasysh se kjo procedurë është mjaft e gjatë. Është e vështirë të emërosh sasinë e saktë të kohës paraprakisht. E gjitha varet nga sa informacion është i disponueshëm në hard disk. Gjatë procesit të kriptimit, Windows 10 do të vazhdojë të funksionojë, por nuk ka gjasa që të jetë në gjendje t'ju kënaqë me performancën e tij, pasi treguesi i performancës do të reduktohet ndjeshëm.

Aktivizimi i funksionit

Nëse keni të instaluar Windows 10 në kompjuterin tuaj dhe ndjeni një dëshirë aktive për të aktivizuar enkriptimin e të dhënave, përdorni këshillat tona që jo vetëm të keni sukses në gjithçka, por edhe mënyra për të realizuar këtë dëshirë të mos jetë e vështirë. Fillimisht, gjeni tastin "Win" në tastierën tuaj, ndonjëherë shoqërohet me ikonën e Windows, mbajeni të shtypur dhe njëkohësisht mbani të shtypur tastin "R". Mbajtja e këtyre dy çelësave në të njëjtën kohë hap dritaren "Run".

Në dritaren që hapet, do të gjeni një rresht bosh në të cilin do t'ju duhet të shkruani "gpedit.msc". Pasi të klikoni në butonin "Ok", do të hapet një dritare e re "Redaktori i Politikave të Grupit Lokal". Në këtë dritare, ne kemi një rrugë të shkurtër për të bërë.

Në anën e majtë të dritares, gjeni dhe klikoni menjëherë në rreshtin "Konfigurimi i kompjuterit", në nënmenynë që hapet, gjeni "Modele administrative" dhe më pas në nënmenynë tjetër që hapet, shkoni te parametri që ndodhet në radhë të parë. në listë dhe quhet "Përbërësit e Windows".

Tani lëvizni shikimin në anën e djathtë të dritares, gjeni "Bitlocker Drive Encryption" në të, klikoni dy herë për ta aktivizuar. Tani do të hapet një listë e re, në të cilën objektivi juaj i ardhshëm duhet të jetë rreshti "Disqet e sistemit operativ". Klikoni gjithashtu në këtë linjë, thjesht duhet të bëni një tranzicion më shumë në mënyrë që t'i afroheni dritares, ku Bitlocker do të konfigurohet drejtpërdrejt, duke e lejuar atë të aktivizohet pikërisht ajo që dëshironi vërtet.

Gjeni rreshtin "Ky cilësim i politikës ju lejon të konfiguroni kërkesën për vërtetim shtesë në nisje", klikoni dy herë këtë cilësim. Në dritaren e hapur do të gjeni fjalën e dëshiruar "Aktivizo", pranë së cilës do të gjeni një kuti kontrolli pranë saj, në të duhet të vendosni një shenjë specifike në formën e një shenjë kontrolli të pëlqimit tuaj.

Pak më poshtë në këtë dritare është nënseksioni "Platformat", në të cilin duhet të kontrolloni kutinë e zgjedhjes pranë propozimit për të përdorur BitLocker pa një modul të veçantë. Kjo është shumë e rëndësishme veçanërisht nëse Windows 10 juaj nuk ka një modul TPM.

Vendosja e funksionit të dëshiruar në këtë dritare ka përfunduar, kështu që ju mund ta mbyllni atë. Tani lëvizni kursorin e miut mbi ikonën "windows", thjesht kliko me të djathtën mbi të, e cila do të lejojë të shfaqet një nënmenu shtesë. Në të do të gjeni rreshtin "Paneli i Kontrollit", shkoni tek ai dhe më pas në rreshtin tjetër "Encryption Drive Bitlocker".

Mos harroni të tregoni se ku dëshironi të kriptoni. Kjo mund të bëhet si në disqet e ngurtë ashtu edhe në disqe të lëvizshëm. Pasi të zgjidhni objektin e dëshiruar, klikoni në butonin "Aktivizo Bitlocker".

Tani Windows 10 do të nisë një proces automatik, duke tërhequr herë pas here vëmendjen tuaj, duke ju ftuar të specifikoni dëshirat tuaja. Deri më tani, është më mirë të bëni një kopje rezervë përpara se të kryeni një proces të tillë. Përndryshe, nëse fjalëkalimi dhe çelësi i tij humbasin, edhe pronari i kompjuterit nuk do të jetë në gjendje të rikuperojë informacionin.

Më pas, do të fillojë procesi i përgatitjes së diskut për kriptim pasues. Nuk ju lejohet të fikni kompjuterin ndërsa ky proces është në proces, pasi një veprim i tillë mund të dëmtojë seriozisht sistemin operativ. Pas një dështimi të tillë, thjesht nuk mund të filloni Windows 10, përkatësisht, në vend të kriptimit, duhet të instaloni një sistem të ri operativ, duke shpenzuar kohë shtesë.

Sapo përgatitja e diskut të përfundojë me sukses, fillon konfigurimi aktual i diskut për enkriptim. Do t'ju kërkohet një fjalëkalim, i cili më pas do të sigurojë akses në skedarët e koduar. Do t'ju kërkohet gjithashtu të gjeni dhe të futni një çelës rikuperimi. Të dy këta komponentë të rëndësishëm mbahen më mirë në një vend të sigurt, të printuar më së miri. Është shumë marrëzi të ruash fjalëkalimin dhe çelësin e rikuperimit në vetë PC.

Gjatë procesit të kriptimit, sistemi mund t'ju pyesë se cilën pjesë dëshironi të kriptoni në mënyrë specifike. Është mirë që të ekspozohet e gjithë hapësira e diskut ndaj kësaj procedure, megjithëse ekziston një mundësi për të enkriptuar vetëm hapësirën e zënë.

Mbetet të zgjidhni një opsion të tillë si "Modaliteti i ri i kriptimit", dhe më pas të ekzekutoni kontrollin automatik të sistemit operativ BitLocker. Pastaj sistemi do të vazhdojë me siguri procesin, pas së cilës do t'ju kërkohet të rinisni kompjuterin tuaj. Sigurohuni që të pajtoheni me këtë kërkesë, ju lutemi rindizni.

Pas nisjes tjetër të Windows 10, do të siguroheni që qasja në dokumente pa futur një fjalëkalim do të jetë e pamundur. Procesi i kriptimit do të vazhdojë, ju mund ta kontrolloni atë duke klikuar në ikonën BitLocker që ndodhet në shiritin e njoftimeve.

Çaktivizo funksionin

Nëse, për ndonjë arsye, skedarët në kompjuterin tuaj kanë pushuar së qeni me rëndësi të shtuar dhe nuk ju pëlqen vërtet të vendosni një fjalëkalim çdo herë për t'i aksesuar ato, atëherë ju sugjerojmë që thjesht të çaktivizoni funksionin e kriptimit.

Për të kryer veprime të tilla, shkoni te paneli i njoftimeve, gjeni ikonën BitLocker atje, klikoni mbi të. Në fund të dritares së hapur, do të gjeni rreshtin "Manage BitLocker", klikoni mbi të.

Sistemi tani do t'ju kërkojë të zgjidhni se cili veprim është i preferuar për ju:

• rezervoni çelësin e rikuperimit;
• ndryshoni fjalëkalimin për qasje në skedarët e koduar;
• fshini një fjalëkalim të vendosur më parë;
• çaktivizoni BitLocker.

Sigurisht, nëse zgjidhni të çaktivizoni BitLocker, duhet të zgjidhni opsionin e fundit që sugjerohet. Një dritare e re do të shfaqet menjëherë në ekran në të cilën sistemi do të dëshirojë të sigurohet që vërtet dëshironi të çaktivizoni funksionin e kriptimit.

KUJDES. Sapo të klikoni në butonin "Disable BitLocker", procesi i deshifrimit do të fillojë menjëherë. Fatkeqësisht, ky proces nuk karakterizohet nga vrull i lartë, kështu që patjetër do t'ju duhet të sintonizoheni për një kohë, gjatë së cilës thjesht duhet të prisni.

Sigurisht, nëse keni nevojë të përdorni një kompjuter në këtë moment, mund ta përballoni atë, nuk ka asnjë ndalim kategorik për këtë. Sidoqoftë, duhet të përshtateni me faktin se performanca e PC në këtë moment mund të jetë jashtëzakonisht e ulët. Nuk është e vështirë të kuptosh arsyen e kësaj ngadalësie, sepse sistemi operativ duhet të zhbllokojë një sasi të madhe informacioni.

Pra, duke pasur një dëshirë për të kriptuar ose deshifruar skedarët në një kompjuter, mjafton të njiheni me rekomandimet tona, pastaj, pa nxitim, kryeni çdo hap të algoritmit të treguar dhe pas përfundimit, gëzohuni për rezultatin e arritur.

NastroyVse.ru

Konfigurimi i Bitlocker

Bitlocker është një mjet që ofron enkriptim të të dhënave në nivelin e volumit (një vëllim mund të zërë një pjesë të një disku, ose mund të përfshijë një sërë disqesh.) Bitlocker shërben për të mbrojtur të dhënat tuaja në rast humbjeje ose vjedhjeje të një laptopi / kompjuter. Në versionin e tij origjinal, BitLocker mbrojti vetëm një vëllim - diskun e sistemit operativ. BitLocker përfshihet me të gjitha botimet e Server 2008 R2 dhe Server 2008 (duke përjashtuar edicionin Itanium), plus Windows 7 Ultimate dhe Enterprise, dhe Windows Vista. Në Windows Server 2008 dhe Vista SP1, Microsoft ka zbatuar mbrojtje për vëllime të ndryshme, duke përfshirë vëllimet e të dhënave lokale. Në versionet e Windows Server 2008 R2 dhe Windows 7, zhvilluesit shtuan mbështetje për pajisjet e lëvizshme të ruajtjes (disqe USB dhe hard disk të jashtëm). Kjo veçori quhet BitLocker To Go. BitLocker përdor algoritmin e kriptimit AES, çelësi mund të ruhet në TMP (Trusted Platform Module - një skemë e veçantë e instaluar në kompjuter gjatë prodhimit të tij, e cila siguron ruajtjen e çelësave të enkriptimit) ose në një pajisje USB. Kombinimet e mëposhtme të aksesit janë të mundshme:

TPM - TPM + PIN - TPM + PIN + USB Dongle - TPM + USB Dongle - USB Dongle Meqenëse kompjuterët shpesh nuk kanë TMP, dua t'ju tregoj hapat e konfigurimit të BitLocker me një disk USB.

Shkojmë te "Computer" dhe klikojmë me të djathtën në diskun lokal që duam të kodojmë (në këtë shembull, do të kodojmë diskun lokal C) dhe zgjedhim "Aktivizo BitLocker".

Pas këtyre hapave, do të shohim një gabim.

Është e kuptueshme, siç kam shkruar tashmë - nuk ka asnjë modul TMP në këtë kompjuter dhe këtu është rezultati, por gjithçka është e lehtë për t'u rregulluar, thjesht shkoni te politikat lokale të kompjuterit dhe ndryshoni cilësimet atje, për këtë ju duhet të shkoni te redaktori i politikave lokale - shkruani në fushën e kërkimit gpedit .msc dhe shtypni "Enter".

Si rezultat, do të hapet një dritare e politikave lokale, shkoni në shtegun "Konfigurimi i kompjuterit - Modelet administrative - Komponentët e Windows - Kriptimi i diskut BitLocker - Disqet e sistemit operativ" (Konfigurimi i kompjuterit - Modelet administrative - Komponentët e Windows - Kriptimi i diskut Bit-Locker - Disqet e sistemit operativ) dhe në Ne vendosëm politikën Kërkohet vërtetim shtesë në nisje në Aktivizo, duhet t'i kushtoni vëmendje edhe kutisë së kontrollit Lejo BitLocker pa një TPM të pajtueshme Kliko "OK".

Tani, nëse përsëritni hapat e parë për të aktivizuar BitLocker në një disk lokal, do të hapet një dritare për konfigurimin e enkriptimit të diskut, zgjidhni "Prompt for a startup key" në nisje (megjithëse nuk kishim zgjedhje, kjo është për shkak të mungesa e TPM).

Në dritaren tjetër, zgjidhni pajisjen USB në të cilën do të ruhet çelësi.

Më pas zgjedhim se ku do ta ruajmë çelësin e rikuperimit (ky është çelësi që futet manualisht në rast të humbjes së medias me çelësin kryesor), unë rekomandoj ta bëni atë një tjetër në një disk USB, ose në një kompjuter tjetër, ose printoni nëse ruani çelësin e rikuperimit në të njëjtin kompjuter ose në të njëjtin disk USB, nuk do të jeni në gjendje të nisni Windows pasi të keni humbur USB-në në të cilën është ruajtur çelësi. Në këtë shembull, e ruajta atë në një disk tjetër USB.

Në dritaren tjetër, filloni kontrollin e sistemit Bitlocker duke klikuar butonin "Vazhdo", pas së cilës kompjuteri do të rindizet.

Pas nisjes së kompjuterit, do të shfaqet dritarja e procesit të kriptimit. Kjo është shpesh një procedurë e gjatë që kërkon disa orë.

Si rezultat, ne kemi një disk të koduar C, i cili nuk do të fillojë pa një disk USB me një çelës ose një çelës rikuperimi.

pk-help.com

Si të konfiguroni enkriptimin e të dhënave BitLocker për Windows

Për t'u mbrojtur nga aksesi i paautorizuar në skedarët e ruajtur në hard disk, si dhe në disqet e lëvizshëm (disqe të jashtëm ose disqe USB flash), përdoruesit e Windows kanë mundësinë t'i kodojnë ato duke përdorur softuerin e integruar të enkriptimit BitLocker dhe BitLocker To Go.

Programi i enkriptimit BitLocker dhe BitLocker To Go është i parainstaluar në versionet Professional dhe Enterprise të Windows 8 / 8.1, si dhe në versionin Ultimate të Windows 7. Por përdoruesit e versionit bazë të Windows 8.1 gjithashtu kanë akses në një opsion të tillë si "Device Encryption", i cili vepron si një analog i BitLocker në versionet më të avancuara të sistemit operativ.

Aktivizimi i enkriptimit të BitLocker

Për të aktivizuar enkriptimin BitLocker, hapni Panelin e Kontrollit dhe më pas shkoni te Sistemi dhe Siguria> Kriptimi i Diskut BitLocker. Ju gjithashtu mund të hapni Windows Explorer ("Kompjuter"), kliko me të djathtën në diskun e zgjedhur dhe zgjidhni "Aktivizo BitLocker" nga menyja rënëse. Nëse rreshti i mësipërm nuk është në meny, atëherë keni versionin e gabuar të dritareve OC.

Për të aktivizuar BitLocker për diskun e sistemit, diskun e të dhënave ose diskun e lëvizshëm, duhet të zgjidhni Aktivizo BitLocker.

Ekzistojnë 2 lloje të Kriptimit të Diskut BitLocker të disponueshëm për ju në këtë dritare:

• Kriptimi i Diskut BitLocker - Hard Disqet: Ky funksion ju lejon të kriptoni të gjithë diskun. Kur kompjuteri të nisë, ngarkuesi i fillimit të Windows do të ngarkojë të dhëna nga zona e diskut të ngurtë të rezervuar nga sistemi dhe do t'ju kërkohet lloji i zhbllokimit që keni specifikuar, për shembull, futni një fjalëkalim. Më pas BitLocker do të kryejë procesin e deshifrimit të të dhënave dhe procesi i nisjes së Windows do të vazhdojë. Me fjalë të tjera, enkriptimi mund të konsiderohet si një proces që ndodh në mënyrë të padukshme për përdoruesin. Ju, si zakonisht, punoni me skedarë dhe të dhëna, të cilat nga ana tjetër janë të koduara në disk. Përveç kësaj, ju mund të përdorni enkriptimin jo vetëm për disqet e sistemit.
• Kriptimi i Diskut BitLocker - BitLocker To Go: Pajisjet e jashtme të ruajtjes, si disqet USB ose hard disqet e jashtme, mund të kodohen duke përdorur programin BitLocker To Go. Kur lidhni një pajisje të koduar me kompjuterin tuaj, do t'ju kërkohet, për shembull, të vendosni një fjalëkalim, i cili do të mbrojë të dhënat tuaja nga të huajt.

Përdorimi i BitLocker pa TPM

Nëse përpiqeni të kriptoni me BitLocker në një kompjuter pa instaluar një TPM harduerike (Moduli i Platformës së Besuar), do të shfaqet dritarja e mëposhtme që ju kërkon të aktivizoni opsionin "Lejo BitLocker pa një TPM të pajtueshme".

Kriptimi i BitLocker kërkon një kompjuter me një TPM harduerike për të mbrojtur diskun e sistemit në mënyrë që të funksionojë siç duhet. TPM është një çip i vogël që vendoset në motherboard. BitLocker mund të ruajë çelësat e enkriptimit në të, gjë që është një opsion më i sigurt sesa ruajtja e tyre në një disk të rregullt të të dhënave. TPM siguron çelësat vetëm pas fillimit dhe kontrollimit të gjendjes së sistemit, gjë që eliminon mundësinë e deshifrimit të të dhënave në rast të vjedhjes së hard drive tuaj ose krijimit të një imazhi të një disku të koduar për hakim në një kompjuter tjetër.

Për të aktivizuar opsionin e mësipërm, duhet të keni të drejta administratori. Thjesht duhet të hapni "Redaktuesin e Politikave të Grupit Lokal" dhe të aktivizoni opsionin tjetër.

Shtypni kombinimin e tasteve Win + R për të hapur dialogun Run, futni komandën gpedit.msc. Më pas shkoni te Konfigurimi i kompjuterit> Modelet Administrative> Përbërësit e Windows> Kriptimi i Diskut BitLocker> Disqet e Sistemit Operativ. Klikoni dy herë në artikullin "Kërkoni vërtetim shtesë gjatë fillimit", zgjidhni opsionin "Enabled" dhe kontrolloni kutinë "Lejo BitLocker pa një TPM të pajtueshëm"). Klikoni "Aplikoni" për të ruajtur cilësimet.

Zgjedhja e një mënyre për të çliruar bllokimin e diskut

Nëse hapat e mësipërm janë të suksesshëm, do t'ju kërkohet me dritaren Zgjidhni mënyrën e zhbllokimit të diskut gjatë nisjes. Nëse kompjuteri juaj nuk ka një TPM, atëherë keni dy opsione: futni një fjalëkalim ose përdorni një USB flash drive të dedikuar (kartë inteligjente) si çelës zhbllokimi.

Nëse një TPM është i pranishëm në motherboard, ka më shumë opsione në dispozicion për ju. Për shembull, është e mundur të vendosni zhbllokimin automatik kur kompjuteri niset - të gjithë çelësat do të ruhen në TPM dhe do të përdoren automatikisht për të deshifruar të dhënat në disk. Ju gjithashtu mund të vendosni një fjalëkalim PIN në ngarkuesin, i cili më tej zhbllokon çelësat tuaj të deshifrimit të ruajtur në TPM, dhe më pas të gjithë diskun.

Zgjidhni metodën që ju përshtatet më së miri dhe ndiqni udhëzimet e instaluesit.

Krijimi i një çelësi rezervë

BitLocker ju ofron gjithashtu mundësinë për të krijuar një çelës rezervë. Ky çelës do të përdoret për të hyrë në të dhënat e koduara në rast se keni harruar ose humbur çelësin tuaj kryesor, për shembull, keni harruar fjalëkalimin për çelësin ose keni zhvendosur hard diskun në një kompjuter të ri me një modul të ri TPM, etj.

Mund ta ruani çelësin në një skedar, ta printoni, ta vendosni në një disk të jashtëm USB ose ta ruani në llogarinë tuaj të Microsoft (për përdoruesit e Windows 8 dhe 8.1). Gjëja kryesore është të siguroheni që ky çelës rezervë të ruhet në një vend të sigurt, përndryshe një sulmues mund të anashkalojë lehtësisht BitLocker dhe të fitojë akses në të gjitha të dhënat me interes. Por pavarësisht kësaj, është e domosdoshme krijimi i një çelësi rezervë, sepse nëse humbni çelësin kryesor pa një kopje rezervë, do të humbni të gjitha të dhënat tuaja.

Kriptimi dhe deshifrimi i diskut

BitLocker do të kodojë automatikisht skedarët e rinj kur ato bëhen të disponueshme, por ju duhet të zgjidhni se si dëshironi të kriptoni hapësirën tuaj të mbetur në disk. Mund të kriptoni të gjithë diskun (përfshirë hapësirën e lirë) - opsioni i dytë në pamjen e mëposhtme të ekranit, ose thjesht skedarët - opsioni i parë, i cili do të shpejtojë procesin e kriptimit.

Kur përdorni BitLocker në një kompjuter të ri (d.m.th., me një OS të instaluar së fundmi), është më mirë të përdorni kriptimin e hapësirës së zënë nga skedarët, pasi do të duhet pak kohë. Megjithatë, në rast se aktivizoni enkriptimin për një disk që është në përdorim për një kohë të gjatë, është më mirë të përdorni një metodë që kodon të gjithë diskun, qoftë edhe me hapësirë ​​të lirë. Kjo metodë do ta bëjë të pamundur rikuperimin e skedarëve të fshirë më parë që nuk ishin të koduar. Kështu, metoda e parë është më e shpejtë, ndërsa e dyta është më e besueshme.

Ndërsa konfiguroni më tej enkriptimin, BitLocker do të analizojë sistemin tuaj dhe do të rifillojë kompjuterin tuaj. Pas rinisjes së kompjuterit, procesi i kriptimit do të fillojë. Ajo do të shfaqet në tabaka si një ikonë, me ndihmën e së cilës do të shihni përqindjen e progresit të procesit. Mund të vazhdoni të përdorni kompjuterin tuaj, por do të ketë një ngadalësim të lehtë në sistem për shkak të kriptimit paralel të skedarëve.

Pasi të përfundojë kriptimi dhe herën tjetër që të nisni kompjuterin tuaj, BitLocker do t'ju prezantojë me një dritare në të cilën do t'ju duhet të vendosni një fjalëkalim, PIN ose të futni një disk USB si çelës (në varësi të mënyrës se si e keni konfiguruar më parë aksesin në Celës).

Shtypja e tastit Escape në këtë dritare do t'ju çojë në dritaren e hyrjes së çelësit rezervë, në rast se keni humbur aksesin në çelësin kryesor.

Nëse zgjidhni enkriptimin BitLocker To Go për pajisjet e jashtme, do të shihni një magjistar të ngjashëm konfigurimi, por nuk do t'ju duhet të rinisni kompjuterin tuaj. Mos e shkëputni diskun e jashtëm derisa të përfundojë procesi i enkriptimit.

Në lidhjen tjetër të pajisjes së koduar me kompjuterin, do t'ju kërkohet një fjalëkalim ose një kartë inteligjente për ta zhbllokuar. Një pajisje e mbrojtur nga BitLocker do të shfaqet me një ikonë përkatëse në File Manager ose Windows Explorer.

Mund të menaxhoni diskun e koduar (ndryshoni fjalëkalimin, çaktivizoni enkriptimin, krijoni kopje rezervë të çelësave, etj.) duke përdorur dritaren e Panelit të Kontrollit të BitLocker. Duke klikuar me të djathtën në një disk të koduar dhe duke zgjedhur "Manage BitLocker" do t'ju çojë në destinacionin tuaj.

Si çdo mënyrë tjetër për të mbrojtur informacionin tuaj, enkriptimi në kohë reale i BitLocker në lëvizje sigurisht që do të konsumojë disa nga burimet e kompjuterit tuaj. Kjo do të përkthehet në rritje të përdorimit të CPU-së për shkak të kriptimit të vazhdueshëm disk-në-disk. Por nga ana tjetër, për njerëzit, informacioni i të cilëve duhet të mbrohet në mënyrë të besueshme nga sytë kureshtarë, informacion që mund t'u japë sulmuesve atutë shkatërruese në duart e tyre, kjo humbje e produktivitetit është zgjidhja më kompromisi.

osmaster.org.ua

Kriptimi i Windows 7 me BitLocker

Vladimir Bezmaly

Më 7 janar 2009 kompania Microsoft prezantoi për testim versionin e radhës të sistemit operativ për stacionet e punës - windows 7. Në këtë sistem operativ, siç është bërë e zakonshme, janë të përfaqësuara gjerësisht teknologjitë e sigurisë, duke përfshirë ato të paraqitura më parë në Windows Vista. Sot do të flasim për teknologjinë e enkriptimit të Windows BitLocker, e cila ka pësuar ndryshime të rëndësishme që nga prezantimi i saj në Windows Vista. Duket se sot askush nuk duhet të bindet për nevojën e kriptimit të të dhënave në disqet e ngurtë dhe mediat e lëvizshme, megjithatë, megjithatë, ne do të japim argumente në favor të këtij vendimi.

Humbja e të dhënave konfidenciale për shkak të vjedhjes ose humbjes së pajisjeve celulare

Sot, kostoja e harduerit është shumë herë më e vogël se kostoja e informacionit që gjendet në pajisje. Humbja e të dhënave mund të çojë në humbje të reputacionit, humbje të konkurrencës dhe në procese gjyqësore të mundshme.

Në të gjithë botën, çështjet e kriptimit të të dhënave janë rregulluar prej kohësh nga legjislacioni përkatës. Kështu, për shembull, në SHBA, U.S. Akti i Reformës së Sigurisë së Informacionit të Qeverisë (GISRA) kërkon kriptim të të dhënave për të mbrojtur informacionin konfidencial të mbajtur nga agjencitë qeveritare. Në vendet e BE-së, është miratuar Direktiva e Bashkimit Evropian për privatësinë e të dhënave. Kanadaja dhe Japonia kanë rregulloret e tyre përkatëse.

Të gjitha këto ligje parashikojnë dënime të rënda për humbjen e informacionit personal ose të korporatës. Sapo pajisja juaj të vidhet (humbet), të dhënat tuaja mund të humbasin së bashku me të. Ju mund të përdorni enkriptimin e të dhënave për të parandaluar aksesin e paautorizuar në të dhënat tuaja. Përveç kësaj, mos harroni për rreziqe të tilla si aksesi i paautorizuar në të dhëna gjatë riparimit (përfshirë garancinë) ose shitja e pajisjeve të përdorura.

Dhe fakti që këto nuk janë fjalë boshe, mjerisht, është konfirmuar vazhdimisht me fakte. Një punonjës i pavarur i Ministrisë së Brendshme të Mbretërisë së Bashkuar ka humbur një kartë memorie me të dhënat personale të më shumë se qindra mijëra kriminelëve, përfshirë ata që vuajnë dënimin me burg. Kështu thuhet në mesazhin e departamentit. Media përmbante emrat, adresat dhe, në disa raste, detaje të akuzave kundër 84,000 të burgosurve të mbajtur në burgjet e Mbretërisë së Bashkuar. Në kartën e kujtesës janë edhe adresat e 30 mijë personave me dënim gjashtë e më shumë. Siç specifikohet në ministri, informacioni i kartës së memories është përdorur nga një studiues i kompanisë RA Consulting. “Ne u bëmë të vetëdijshëm për një shkelje të sigurisë që rezultoi në një punonjës të kontraktuar që humbi informacionin personal për shkelësit e ligjit nga Anglia dhe Uellsi. Një hetim i plotë është duke u zhvilluar tani”, tha një zëdhënës i Ministrisë së Brendshme.

Ministri i Punëve të Brendshme të qeverisë “hije”, Dominic Grieve, ka bërë tashmë një koment për këtë çështje. Ai vuri në dukje se taksapaguesit britanikë do të jenë "plotësisht të shokuar" nga mënyra se si qeveria britanike i trajton informacionet e klasifikuara.

Ky nuk është rasti i parë në MB që organizata dhe departamente të ndryshme kanë humbur informacione konfidenciale, kujton Grieve.

Në prill, HSBC, një bankë e madhe britanike, pranoi se kishte humbur një disk që përmbante të dhëna personale të 370,000 klientëve të saj. Në mes të shkurtit, u bë e ditur për vjedhjen nga spitali britanik Russels Hall Hospital në qytetin e Dudley (qarku West Midlands) i një laptopi me të dhëna mjekësore të 5,123 pacientëve. Në fund të janarit u raportua se nga rrjeti britanik i supermarketeve Marks and Spencer është vjedhur një laptop me të dhëna personale të 26 mijë punonjësve. Më 21 janar, ministri britanik i Mbrojtjes Des Brown njoftoi se tre laptopë me të dhëna personale të mijëra njerëzve ishin vjedhur nga departamenti.

Në dhjetor të vitit të kaluar u bë e ditur se një kompani private amerikane kishte humbur informacionin për tre milionë kandidatë për patentë shoferi britanik. Ato gjendeshin në hard diskun e kompjuterit. Të dhënat e humbura përfshijnë informacione për emrat, adresat dhe numrat e telefonit të aplikantëve për patentë shoferi midis shtatorit 2004 dhe prillit 2007.

Në fund të tetorit 2007, dy disqe që përmbanin informacione për 25 milionë përfitues të ndihmës për fëmijë dhe llogaritë e tyre bankare u zhdukën gjatë rrugës mes dy agjencive qeveritare. Një operacion masiv kërkimi i diskut, i cili i kushtoi taksapaguesve 500,000 £, ishte i pasuksesshëm.

Gjithashtu në qershor të këtij viti, një pako me dokumente të klasifikuara (http://korrespondent.net/world/493585) u gjet në një nga trenat me destinacion Londrën (http://korrespondent.net/world/493585), i cili përmban informacione për luftën kundër financimit të terrorizmit, kontrabandës së drogës dhe pastrimit të parave. Më parë, një paketë dokumentesh të klasifikuara në lidhje me informacionin më të fundit mbi rrjetin terrorist të Al-Kaedës u zbulua (http://korrespondent.net/world/490374) në një sedilje treni në Londër. Pyetja është, çfarë mendonin përdoruesit që e lejuan këtë?

Dhe këtu është një fakt tjetër që duhet t'i bëjë pronarët e pajisjeve celulare të mendojnë.

Sipas një raporti nga Instituti Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute), rreth 637,000 laptopë humbasin çdo vit në aeroportet e mëdha dhe të mesme të SHBA. Sipas sondazhit, laptopët zakonisht humbasin në pikat e kontrollit të sigurisë.

Rreth 10,278 laptopë humbasin çdo javë në 36 aeroporte kryesore amerikane dhe 65% e tyre nuk u kthehen pronarëve të tyre. Në aeroportet e mesme, rreth 2000 laptopë janë humbur dhe 69% e tyre nuk u janë kthyer pronarëve të tyre. Instituti kreu sondazhe në 106 aeroporte në 46 vende dhe intervistoi 864 persona.

Laptopët më të humbur janë në pesë aeroportet e mëposhtme:

• Los Angeles ndërkombëtare
• Miami International
• John F. Kennedy International
• Çikago O "Hare
• Newark Liberty International.

Udhëtarët nuk janë të sigurt nëse laptopët e tyre të humbur do të kthehen.

Përafërsisht 77% e të anketuarve thanë se nuk kanë shpresë për të rikthyer laptopin e humbur, 16% thonë se nuk do të bënin asgjë nëse do të humbnin laptopin e tyre. Përafërsisht 53% thanë se laptopët përmbajnë informacion konfidencial të kompanisë dhe 65% nuk ​​bënë asgjë për të mbrojtur informacionin.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Çfarë mund të kundërshtohet me këtë? Vetëm kriptimi i të dhënave.

Në këtë rast, kriptimi vepron si linja e fundit e mbrojtjes fizike për kompjuterin tuaj. Teknologjitë e enkriptimit të diskut të ngurtë sot - një larmi e madhe. Natyrisht, pas premierës së suksesshme të teknologjisë së saj BitLocker në Windows Vista Enterprise dhe Windows Vista Ultimate, Microsoft nuk mund të mos e përfshinte këtë teknologji në Windows 7. Megjithatë, me drejtësi, vlen të theksohet se në sistemin operativ të ri do të shohim një teknologjia e ridizajnuar e enkriptimit.

Kriptimi në Windows 7

Pra, njohja jonë fillon me instalimin e Windows 7 në PC tuaj. Në Windows Vista, për të përdorur enkriptimin, duhej të bënit një nga dy gjërat: ose fillimisht të përgatisni hard diskun duke përdorur vijën e komandës duke e ndarë atë në mënyrën e duhur, ose ta bëni më vonë duke përdorur softuer special nga Microsoft (Mjeti i përgatitjes së diskut BitLocker) . Në Windows 7, problemi zgjidhet fillimisht, kur ndahet hard disku. Kështu që, gjatë instalimit, vendosa ndarjen e sistemit me një kapacitet prej 39 gigabajt, por mora ... 2 ndarje! Njëra është 200 MB në madhësi dhe e dyta është 38 gigabajt me një të vogël. Për më tepër, në dritaren standarde të eksploruesit ju shihni foton e mëposhtme (Fig. 1).

Oriz. 1. Dritarja e Explorer

Megjithatë, duke hapur Start - All Programs - Administrative Tools - Computer Management - Disk Management, do të shihni (Fig. 2) sa vijon:

Oriz. 2. Menaxhimi kompjuterik

Siç mund ta shihni, ndarja e parë 200 MB është thjesht e fshehur. Është gjithashtu sistemi, ndarja aktive dhe primare si parazgjedhje. Për ata që tashmë janë të njohur me enkriptimin në Windows Vista, nuk ka asgjë veçanërisht të re në këtë fazë, përveç se ndarja është bërë në këtë mënyrë si parazgjedhje dhe hard disku tashmë është i përgatitur për enkriptim pasues në fazën e instalimit. I vetmi ndryshim i habitshëm është madhësia e tij prej 200 MB kundrejt 1,5 GB në Windows Vista.

Sigurisht, një ndarje e tillë e një disku në ndarje është shumë më e përshtatshme, sepse shpesh një përdorues që instalon një OS nuk mendon menjëherë nëse do të kodojë një hard disk apo jo.

Menjëherë pas instalimit të OS, në Control Panel në seksionin System and Security, mund të zgjedhim (Fig. 3) BitLocker Drive Encryption

Oriz. 3. Sistemi dhe Siguria

Zgjedhja e "Mbrojtja e kompjuterit tuaj duke enkriptuar të dhënat" në diskun tuaj shfaqet një dritare (Figura 4)

Oriz. 4. Kriptimi i Diskut BitLocker

Kushtojini vëmendje (të theksuara me të kuqe në figurë) opsioneve që mungojnë në Windows Vista ose janë të organizuara ndryshe. Pra, në Windows Vista, media e lëvizshme mund të kodohej vetëm nëse përdornin sistemin e skedarëve NTFS, dhe kriptimi kryhej sipas të njëjtave rregulla si për disqet e ngurtë. Dhe ishte e mundur të kriptohet seksioni i dytë i diskut (në këtë rast, disku D :) vetëm pasi ndarja e sistemit (disku C :) ishte koduar.

Sidoqoftë, mos mendoni se sapo të zgjidhni "Aktivizoni BitLocker", jeni gati të shkoni. Nuk ishte kështu! Kur aktivizoni BitLocker pa opsione shtesë, gjithçka që merrni është kriptimi i diskut në këtë kompjuter pa TPM, i cili, siç e theksova tashmë në artikujt e mi, nuk është një shembull i mirë. Sidoqoftë, përdoruesit në disa vende, për shembull, Federata Ruse ose Ukraina, thjesht nuk kanë zgjidhje tjetër, pasi importi i kompjuterëve me TPM është i ndaluar në këto vende. Në këtë rast, ju zgjidhni Turn on BitLocker dhe do ta gjeni veten në Figurën 5.

Oriz. 5. Kriptimi i Diskut BitLocker

Nëse dëshironi të përdorni TPM për të përfituar nga fuqia e plotë e kriptimit, duhet të përdorni Redaktorin e Politikave të Grupit. Për ta bërë këtë, duhet të filloni modalitetin e linjës së komandës (cmd.exe) dhe të shkruani gpedit.msc në vijën e komandës (Fig. 6), duke filluar redaktorin e Politikës së Grupit (Fig. 7).

Oriz. 6. Nisja e Redaktorit të Politikave të Grupit

Oriz. 7. Redaktori i Politikave të Grupit

Le të hedhim një vështrim më të afërt në opsionet e Politikës së Grupit që mund të përdorni për të menaxhuar enkriptimin e BitLocker.

Opsionet e politikës së grupit të enkriptimit të diskut të BitLocker

Ruani informacionin e rikuperimit të BitLocker në Shërbimet e Domenit të Drejtorisë Active (Windows Server 2008 dhe Windows Vista)

Me këtë opsion të Politikës së Grupit, mund të menaxhoni Shërbimet e Domainit të Drejtorisë Active (AD DS) për të rezervuar informacionin e rikuperimit të BitLocker Drive Encryption. Ky opsion zbatohet vetëm për kompjuterët që përdorin Windows Server 2008 ose Windows Vista.

Kur aktivizohet, kur aktivizohet BitLocker, informacioni i rikuperimit të tij kopjohet automatikisht në AD DS.

Nëse e çaktivizon këtë opsion të politikës ose e lini atë si parazgjedhje, informacioni i rikuperimit të BitLocker nuk do të kopjohet në AD DS.

Zgjidhni dosjen e paracaktuar për fjalëkalimin e rikuperimit

Ky opsion i politikës ju lejon të përcaktoni vendndodhjen e paracaktuar të dosjes për ruajtjen e fjalëkalimit të rikuperimit, i cili shfaqet nga magjistari i enkriptimit të diskut BitLocker kur kërkohet. Ky opsion zbatohet kur aktivizoni enkriptimin e BitLocker. Sidoqoftë, duhet të theksohet se përdoruesi mund të ruajë fjalëkalimin e rikuperimit në çdo dosje tjetër.

Zgjidhni se si përdoruesit mund të rikuperojnë disqet e mbrojtur nga BitLocker (windows Server 2008 dhe Windows Vista)

Ky opsion do t'ju lejojë të kontrolloni opsionet e rikuperimit të BitLocker të shfaqura nga magjistari i konfigurimit. Kjo politikë zbatohet për kompjuterët që përdorin Windows Server 2008 dhe Windows Vista. Ky opsion zbatohet kur BitLocker është i aktivizuar.

Për të rikuperuar të dhënat e koduara, përdoruesi mund të përdorë një fjalëkalim numerik 48-shifror ose një disk USB që përmban një çelës rikuperimi 256-bit.

Me këtë opsion, mund të aktivizoni që çelësi i fjalëkalimit 256-bit të ruhet në diskun USB si një skedar i padukshëm dhe një skedar teksti që do të përmbajë 48 shifrat e fjalëkalimit të rikuperimit.

Në rast se çaktivizoni ose nuk do ta konfiguroni këtë rregull të politikës së grupit, magjistari i konfigurimit të BitLocker do t'i lejojë përdoruesit të zgjedhë opsionet e rikuperimit.

Nëse e çaktivizon ose nuk e konfiguron këtë cilësim të politikës, magjistari i konfigurimit të BitLocker do t'u sigurojë përdoruesve mënyra të tjera për të ruajtur opsionet e rikuperimit.

Zgjidhni metodën e enkriptimit të diskut dhe forcën e shifrimit

Me këtë rregull, ju mund të zgjidhni algoritmin e enkriptimit dhe gjatësinë e çelësit për t'u përdorur. Nëse disku tashmë është i koduar dhe më pas vendosni të ndryshoni gjatësinë e çelësit, asgjë nuk do të ndodhë. Metoda e parazgjedhur e kriptimit është AES me një çelës 128-bit dhe shpërndarës.

Jepni identifikuesit unikë për organizatën tuaj

Ky rregull i politikës do t'ju lejojë të krijoni identifikues unikë për çdo disk të ri në pronësi të organizatës suaj dhe të mbrojtur me BitLocker. Këta identifikues ruhen si fusha e parë dhe e dytë e identifikuesit. Fusha e parë identifikuese do t'ju lejojë të vendosni një identifikues unik të organizatës në disqet e mbrojtur nga BitLocker. Ky identifikues do të shtohet automatikisht në disqet e reja të mbrojtura nga BitLocker dhe mund të përditësohet për disqet ekzistuese të enkriptuara me BitLocker duke përdorur softuerin e linjës së komandës Manage-BDE.

Fusha e dytë identifikuese përdoret në kombinim me rregullin e politikës "Mohoni aksesin në media të lëvizshme që nuk mbrohet nga BitLocker" dhe mund të përdoret për të menaxhuar disqet e lëvizshëm në kompaninë tuaj.

Një kombinim i këtyre fushave mund të përdoret për të përcaktuar nëse disku është në pronësi të organizatës suaj apo jo.

Nëse vlera e këtij rregulli është e papërcaktuar ose e çaktivizuar, fushat e identifikimit nuk kërkohen.

Fusha e identifikimit mund të jetë e gjatë deri në 260 karaktere.

Parandaloni mbishkrimin e kujtesës gjatë rinisjes

Ky rregull do të përmirësojë performancën e kompjuterit tuaj duke parandaluar mbishkrimin e kujtesës, por duhet kuptuar që çelësat BitLocker nuk do të hiqen nga memoria.

Nëse ky rregull çaktivizohet ose nuk konfigurohet, çelësat BitLocker do të hiqen nga memoria kur kompjuteri të riniset.

Për të rritur sigurinë, ky rregull duhet të lihet si parazgjedhje.

Konfiguro identifikuesin e objektit të certifikatës së kartës inteligjente

Ky rregull do të lidhë identifikuesin e objektit të certifikatës së kartës inteligjente me diskun e koduar me BitLocker.

Disqet e ngurtë të palëvizshëm

Ky seksion përshkruan rregullat e politikës së grupit që do të zbatohen për disqet e të dhënave (jo ndarjet e sistemit).

Konfiguro përdorimin e kartave inteligjente në disqet e të dhënave fikse

Ky rregull do të përcaktojë nëse kartat inteligjente mund ose mund të përdoren për të lejuar akses në të dhënat në hard diskun e kompjuterit.

Nëse e çaktivizon këtë rregull, kartat inteligjente nuk mund të përdoren.

Si parazgjedhje, mund të përdoren kartat inteligjente.

Refuzoni hyrjen e shkrimit në disqet fikse që nuk mbrohen nga BitLocker

Ky rregull përcakton nëse shkrimi në disqet që nuk janë të mbrojtur nga BitLocker. Nëse specifikohet ky rregull, atëherë të gjithë disqet që nuk mbrohen nga BitLocker do të jenë vetëm për lexim. Nëse disku është i koduar me BitLocker, atëherë ai do të lexohet / shkruhet. Nëse ky rregull çaktivizohet ose nuk përcaktohet, atëherë të gjithë disqet e kompjuterit do të jenë të disponueshëm për lexim dhe shkrim.

Lejo qasjen te disqet e të dhënave fikse të mbrojtura nga BitLocker nga versionet e mëparshme të Windows

Ky rregull i politikës kontrollon nëse disqet FAT mund të zhbllokohen dhe lexohen në kompjuterët që përdorin Windows Server 2008, Windows Vista, Windows XP SP3 dhe Windows XP SP2.

Nëse ky rregull është i aktivizuar ose jo i konfiguruar, disqet e të dhënave të formatuar me sistemin e skedarëve FAT mund të lexohen në kompjuterët me sistemet operative të mësipërme.

Nëse ky rregull është i çaktivizuar, atëherë disqet përkatëse nuk mund të zhbllokohen në kompjuterët që përdorin Windows Server 2008, Windows Vista, Windows XP SP3 dhe Windows XP SP2.

Kujdes! Ky rregull nuk zbatohet për disqet e formatuar NTFS.

Ky rregull përcakton nëse kërkohet një fjalëkalim për të zhbllokuar disqet e mbrojtur nga BitLocker. Nëse dëshironi të përdorni një fjalëkalim, mund të vendosni kërkesa për kompleksitetin e fjalëkalimit dhe gjatësinë minimale të tij. Vlen të merret në konsideratë që për të vendosur kërkesat e kompleksitetit, duhet të vendosni një kërkesë kompleksiteti të fjalëkalimit në seksionin Politikat e fjalëkalimit të Politikës së Grupit.

Nëse ky rregull përcaktohet, përdoruesit mund të konfigurojnë fjalëkalimet për të përmbushur kërkesat e tyre të zgjedhura.

Fjalëkalimi duhet të jetë së paku 8 karaktere (si parazgjedhje).

Zgjidhni se si mund të rikuperohen disqet fikse të mbrojtura nga BitLocker

Ky rregull do t'ju lejojë të menaxhoni rikuperimin e disqeve të koduar.

Nëse ky rregull nuk është konfiguruar ose bllokuar, atëherë opsionet e rivendosjes së paracaktuar janë të disponueshme.

Disqet e sistemit operativ

Ky seksion përshkruan rregullat e Politikës së Grupit që zbatohen për ndarjet e sistemit operativ (zakonisht diskun C :).

Kërkoni vërtetim shtesë në nisje

Ky rregull i politikës së grupit do të kontrollojë nëse po përdorni Modulin e Platformës së Besuar (TMP) për vërtetim.

Kujdes! Vini re se vetëm një nga opsionet mund të vendoset në fillim, përndryshe do të merrni një gabim politikash.

Nëse ky rregull aktivizohet, përdoruesit do të jenë në gjendje të konfigurojnë opsionet e avancuara të nisjes në magjistarin e konfigurimit të BitLocker.

Nëse politika është e çaktivizuar ose jo e konfiguruar, opsionet bazë mund të konfigurohen vetëm në kompjuterë me TPM.

Kujdes! Nëse dëshironi të përdorni një PIN dhe një disk USB, duhet të konfiguroni BitLocker duke përdorur linjën e komandës bde në vend të magjistarit të Kriptimit të Diskut BitLocker.

Kërkoni vërtetim shtesë gjatë nisjes (windows Server 2008 dhe Windows Vista)

Ky rregull i politikës zbatohet vetëm për kompjuterët që përdorin Windows 2008 ose Windows Vista.

Në kompjuterët e pajisur me TPM, mund të vendosni një opsion shtesë sigurie - kodin PIN (4 deri në 20 shifra).

Në kompjuterët që nuk janë të pajisur me TPM, do të përdoret një disk USB me informacionin kryesor.

Nëse ky opsion është i aktivizuar, magjistari do të shfaqë një dritare në të cilën përdoruesi mund të konfigurojë opsione shtesë për fillimin e BitLocker.

Nëse ky opsion është i çaktivizuar ose jo i konfiguruar, magjistari i instalimit do të shfaqë hapat bazë për nisjen e BitLocker në kompjuterët me TPM.

Konfiguro gjatësinë minimale të kodit PIN për fillimin

Ky parametër përdoret për të vendosur gjatësinë minimale të kodit PIN për ndezjen e kompjuterit.

Kodi PIN mund të jetë nga 4 deri në 20 shifra.

Zgjidhni se si mund të rikuperohen disqet OS të mbrojtura nga BitLocker

Me këtë rregull të politikës së grupit, mund të përcaktoni se si rikuperohen disqet e koduar me BitLocker nëse mungon çelësi i enkriptimit.

Konfiguro profilin e vërtetimit të platformës TPM

Me këtë rregull, ju mund të konfiguroni modelin TPM. Nëse nuk ka modul përkatës, ky rregull nuk zbatohet.

Nëse aktivizoni këtë rregull, mund të konfiguroni se cilët komponentë të nisjes kontrollohen nga TPM përpara se të zhbllokoni aksesin në diskun e koduar.

Media e lëvizshme

Kontrolloni përdorimin e BitLocker në disqet e lëvizshëm

Me këtë rregull të politikës së grupit, ju mund të menaxhoni enkriptimin e BitLocker në disqet e lëvizshëm.

Ju mund të zgjidhni se cilat opsione konfigurimi mund të përdorin përdoruesit për të konfiguruar BitLocker.

Në mënyrë të veçantë, duhet të zgjidhni "Lejo përdoruesit të aplikojnë mbrojtjen e BitLocker në disqet e të dhënave të lëvizshme" për të mundësuar instalimin e magjistarit të enkriptimit BitLocker në disqet e lëvizshëm.

Nëse zgjidhni "Lejo përdoruesit të pezullojnë dhe deshifrojnë BitLocker në disqet e të dhënave të lëvizshme", atëherë përdoruesi mund të deshifrojë diskun tuaj të lëvizshëm ose të ndalojë enkriptimin.

Nëse ky rregull nuk është i konfiguruar, atëherë përdoruesit mund të përdorin BitLocker në media të lëvizshme.

Nëse ky rregull është i çaktivizuar, përdoruesit nuk do të mund të përdorin BitLocker në disqet e lëvizshëm.

Konfiguro përdorimin e kartave inteligjente në disqet e lëvizshme të të dhënave

Me këtë cilësim të politikës, mund të përcaktoni nëse kartat inteligjente mund të përdoren për të vërtetuar një përdorues dhe për të hyrë në disqet e lëvizshme në këtë kompjuter.

Refuzo hyrjen e shkrimit në disqet e lëvizshme që nuk mbrohet BitLocker

Me këtë rregull të politikës, ju mund të parandaloni shkrimin në disqet e lëvizshëm që nuk mbrohen nga BitLocker. Në këtë rast, të gjithë disqet e lëvizshëm që nuk mbrohen nga BitLocker do të jenë vetëm për lexim.

Nëse zgjidhet opsioni "Mohoni hyrjen e shkrimit në pajisjet e konfiguruara në një organizatë tjetër", atëherë regjistrimi do të jetë i disponueshëm vetëm për disqet e lëvizshme që i përkasin organizatës suaj. Vleresimi kryhet kundrejt dy fushave identifikuese, të përcaktuara sipas rregullit të Politikës së Grupit "Jepni identifikuesit unikë për organizatën tuaj".

Nëse e keni çaktivizuar këtë rregull ose nuk është i konfiguruar, atëherë të gjithë disqet e lëvizshëm do të jenë të disponueshëm për lexim dhe shkrim.

Kujdes! Ky rregull mund të anashkalohet nga cilësimet e politikës së Qasjes në hapësirën ruajtëse të konfigurueshme të konfigurimit të përdoruesit. Nëse rregulli "Disqet e heqshëm: Refuzo hyrjen e shkrimit" është i aktivizuar, ky rregull do të shpërfillet.

Lejo qasjen në disqet e lëvizshme të të dhënave të mbrojtura nga BitLocker nga versionet e mëparshme të Windows

Ky rregull përcakton nëse disqet e lëvizshme të formatuara me FAT mund të zhbllokohen dhe të shikohen në kompjuterët që përdorin Windows 2008, Windows Vista, Windows XP SP3 dhe Windows XP SP2.

Nëse ky rregull është i aktivizuar ose jo i konfiguruar, atëherë disqet e lëvizshëm me sistemin e skedarëve FAT mund të zhbllokohen dhe të shikohen në kompjuterët që përdorin Windows 2008, Windows Vista, Windows XP SP3 dhe Windows XP SP2. Megjithatë, këto disqe do të jenë vetëm për lexim.

Nëse ky rregull është i bllokuar, atëherë disqet përkatëse të lëvizshme nuk mund të zhbllokohen dhe të shikohen në kompjuterët që përdorin Windows 2008, Windows Vista, Windows XP SP3 dhe Windows XP SP2.

Ky rregull nuk zbatohet për disqet e formatuar NTFS.

Konfiguro kërkesat e kompleksitetit të fjalëkalimit dhe gjatësinë minimale

Ky rregull i politikës përcakton nëse disqet e lëvizshme të bllokuara nga BitLocker duhet të zhbllokohen me fjalëkalim. Nëse lejoni përdorimin e një fjalëkalimi, mund të vendosni kërkesa për kompleksitetin e tij dhe gjatësinë minimale të fjalëkalimit. Vlen të merret në konsideratë që në këtë rast kërkesat e kompleksitetit duhet të përputhen me kërkesat e politikës së fjalëkalimit të konfigurimit të kompjuterit, Cilësimet e sigurisë së cilësimeve të Windows, Politikat e llogarisë, politikën e fjalëkalimit.

Zgjidhni se si mund të rikuperohen disqet e lëvizshme të mbrojtura nga BitLocker

Ky rregull ju lejon të zgjidhni se si dëshironi të rikuperoni disqet e lëvizshme të mbrojtura nga BitLocker.

Megjithatë, le të vazhdojmë të kodojmë hard diskun. Meqenëse e keni verifikuar tashmë se ndryshimet në Politikën e Grupit do t'ju lejojnë të zgjeroni ndjeshëm përdorimin e enkriptimit BitLocker, le të kalojmë te redaktimi i Politikës së Grupit. Për ta bërë këtë, ne do të formulojmë qëllimet dhe kushtet për përdorimin e kriptimit tonë.

1. Kompjuteri në studim ka të instaluar një modul TPM

2. Ne do të kodojmë:

• disku i sistemit
• disku i të dhënave
• media të lëvizshme, si për NTFS ashtu edhe për FAT.

Dhe ne duhet të kontrollojmë nëse media jonë e lëvizshme e formatuar nën FAT do të jetë e disponueshme në një kompjuter që përdor Windows XP SP2 dhe Windows Vista SP1.

Le të kalojmë në procesin e kriptimit.

Për të filluar, në Politikat e Grupit BitLocker, zgjidhni algoritmin e kriptimit dhe gjatësinë e çelësit (Figura 8)

Oriz. 8. Zgjedhja e algoritmit të enkriptimit dhe gjatësisë së çelësit

Më pas, në seksionin "Disku i sistemit operativ", zgjidhni rregullin Kërko vërtetim shtesë gjatë nisjes (Fig. 9)

Oriz. 9. Rregulli "Kërkoni vërtetim shtesë në fillim"

Pas kësaj, vendosni gjatësinë minimale të PIN-it në 6 karaktere duke përdorur rregullin Konfiguro gjatësinë minimale të PIN-it për fillimin.

Për të enkriptuar seksionin e të dhënave, vendosni kërkesat për kompleksitetin dhe gjatësinë minimale të fjalëkalimit prej 8 karakteresh (Figura 10).

Oriz. 10. Vendosja e kërkesave për gjatësinë dhe kompleksitetin minimal të fjalëkalimit

Duhet mbajtur mend se duhet të vendosni kërkesa për mbrojtjen e fjalëkalimit (Figura 11).

Oriz. 11. Kërkesat për mbrojtjen me fjalëkalim

Për disqet e lëvizshme, zgjidhni cilësimet e mëposhtme:

• Mos lejoni leximin e disqeve të lëvizshëm me sistemin e skedarëve FAT nën versionet më të ulëta të Windows;
• Fjalëkalimet duhet të plotësojnë kërkesat e kompleksitetit;
• Gjatësia minimale e fjalëkalimit është 8 karaktere.

Pas kësaj, përdorni komandën gpupdate.exe / force në dritaren e linjës së komandës për të përditësuar politikën (Fig. 12).

Oriz. 12. Përditësimi i cilësimeve të politikave të grupit

Meqenëse vendosëm të përdorim një kod PIN në çdo rindezje, ne zgjedhim (Fig. 13) Të kërkohet një PIN në çdo nisje.

Oriz. 13. Futni PIN-in në çdo nisje

Oriz. 14. Futja e PIN-it

Fut kodin PIN me gjatësi 4 karaktere (Fig. 15)

Oriz. 15. PIN-i nuk plotëson kërkesat e gjatësisë minimale

Gjatësia minimale e kodit PIN të specifikuar në politikë është 6 shifra; pas futjes së një kodi të ri PIN, marrim një ftesë për të ruajtur çelësin në një disk USB dhe në formën e një skedari teksti.

Oriz. 16. Ruajtja e një çelësi rezervë enkriptimi

Pas kësaj, ne rindizni sistemin dhe fillon procesi aktual i kriptimit të diskut C:.

Pas kësaj ne kodojmë ndarjen e dytë të hard drive-it tonë - diskun D: (Fig. 17)

Oriz. 17. Kripto diskun D:

Përpara se të enkriptojmë diskun D:, duhet të fusim fjalëkalimin për këtë disk. Në këtë rast, fjalëkalimi duhet të plotësojë kërkesat tona për gjatësinë minimale të fjalëkalimit dhe kërkesat për kompleksitetin e fjalëkalimit. Vlen të merret parasysh se është e mundur që automatikisht të hapet ky disk në këtë PC.

Prandaj, ne do ta ruajmë fjalëkalimin e rikuperimit në një disk USB në të njëjtën mënyrë.

Duhet të theksohet se herën e parë që ruani fjalëkalimin, ai ruhet njëkohësisht në një skedar teksti në të njëjtin disk USB!

Duhet të kihet parasysh se kur kriptoni një ndarje të dhënash me madhësi 120 GB (nga të cilat 100 janë falas), Windows Explorer gjithmonë shfaq një mesazh për hapësirë ​​të pamjaftueshme në ndarje (Fig. 18).

Oriz. 18. Dritarja e Windows Explorer

Le të përpiqemi të kodojmë një disk USB të formatuar FAT.

Kriptimi i një disku USB fillon me faktin që na kërkohet të fusim një fjalëkalim për diskun e ardhshëm të koduar. Sipas rregullave të caktuara të politikës, gjatësia minimale e fjalëkalimit është 8 karaktere. Në këtë rast, fjalëkalimi duhet të plotësojë kërkesat e kompleksitetit (Fig. 19)

Oriz. 19. Futja e fjalëkalimit për enkriptimin e diskut të lëvizshëm USB

Në fund të kriptimit, u përpoqa ta shikoja këtë disk USB në një kompjuter tjetër me Windows Vista Home Premium SP1. Rezultati është treguar në Fig. 21.

Oriz. 21. Përpjekja për të lexuar një disk USB të koduar në një kompjuter me Windows Vista SP1

Siç mund ta shihni, nëse disku juaj humbet, informacioni nuk do të lexohet, për më tepër, disku ka shumë të ngjarë të formatohet thjesht.

Kur përpiqeni të lidhni të njëjtin disk USB me një kompjuter me Windows 7 Beta1, mund të shihni sa vijon (Fig. 22).

konkluzioni

Kështu, ne kemi parë se si do të kryhet enkriptimi në Windows 7. Çfarë mund të themi - në krahasim me Windows Vista, ai ka shumë më tepër rregulla në politikat e grupit, dhe në përputhje me rrethanat, përgjegjësinë e personelit të IT për aplikimin e tyre korrekt dhe ndërtimin e saktë të marrëdhëniet e ndërlidhura rriten ...

Si të hiqni pikat e rivendosjes së sistemit në Windows 7

Përshëndetje lexues të blogut të kompanisë ComService (Naberezhnye Chelny). Në këtë artikull, ne do të vazhdojmë të eksplorojmë sistemet e integruara në Windows të krijuar për të përmirësuar sigurinë e të dhënave tona. Sot është sistemi i enkriptimit të diskut Bitlocker. Kriptimi i të dhënave është i nevojshëm në mënyrë që të huajt të mos përdorin informacionin tuaj. Si arrin ajo tek ata është një pyetje tjetër.

Kriptimi është procesi i transformimit të të dhënave në mënyrë që vetëm njerëzit e duhur të mund t'i qasen. Çelësat ose fjalëkalimet zakonisht përdoren për të fituar akses.

Kriptimi i të gjithë diskut parandalon aksesin në të dhëna kur lidhni hard diskun tuaj me një kompjuter tjetër. Një sistem tjetër operativ mund të instalohet në sistemin e sulmuesit për të anashkaluar mbrojtjen, por kjo nuk do të ndihmojë nëse jeni duke përdorur BitLocker.

BitLocker u prezantua me sistemin operativ Windows Vista dhe është përmirësuar në. Bitlocker është i disponueshëm në versionet Maximum dhe Enterprise, si dhe në Pro. Pronarët e versioneve të tjera do të duhet të kërkojnë.

Struktura e artikullit

1. Si funksionon Enkriptimi i Diskut BitLocker

Pa hyrë në detaje, duket kështu. Sistemi kodon të gjithë diskun dhe ju jep çelësat e tij. Nëse kodoni diskun e sistemit, ai nuk do të niset pa çelësin tuaj. Njësoj si çelësat e banesës. Ju i keni ato, do të bini në të. I humbur, duhet të përdorni rezervë (kodin e rikuperimit (lëshuar gjatë enkriptimit)) dhe të ndryshoni bllokimin (rikriptoni me çelësa të ndryshëm)

Për mbrojtje të besueshme, është e dëshirueshme që të keni një Modul të Platformës së Besuar (TPM) në kompjuter. Nëse është aty dhe versioni i tij është 1.2 ose më i lartë, atëherë do të kontrollojë procesin dhe do të keni metoda më të forta mbrojtjeje. Nëse nuk është aty, atëherë do të jetë e mundur të përdorni vetëm çelësin në USB-diskun.

BitLocker funksionon si më poshtë. Çdo sektor i diskut është i koduar veçmas duke përdorur një çelës enkriptimi me vëllim të plotë (FVEK). Përdoret algoritmi AES me çelës 128 bit dhe difuzor. Çelësi mund të ndryshohet në 256 bit në politikat e sigurisë së grupit.

Kur kriptimi të përfundojë, do të shihni foton e mëposhtme

Mbyllni dritaren dhe kontrolloni nëse çelësi i nisjes dhe çelësi i rikuperimit janë në vende të sigurta.

3. Kriptimi i një flash drive - BitLocker To Go

Pse të ndaloni enkriptimin? Kështu që BitLocker të mos bllokojë diskun tuaj dhe të mos përdorë procedurën e rikuperimit. Parametrat e sistemit (dhe përmbajtja e ndarjes së nisjes) fiksohen gjatë kriptimit për mbrojtje shtesë. Nëse i ndryshoni, kompjuteri mund të bllokohet.

Nëse zgjidhni Menaxho BitLocker, mund të ruani ose printoni çelësin e rikuperimit dhe të dyfishoni çelësin e nisjes

Nëse një nga çelësat (çelësi i nisjes ose çelësi i rikuperimit) humbet, mund t'i rivendosni këtu.

Menaxhimi i enkriptimit të ruajtjes së jashtme

Funksionet e mëposhtme janë të disponueshme për të menaxhuar parametrat e enkriptimit të një flash drive

Mund ta ndryshoni fjalëkalimin për ta zhbllokuar. Fjalëkalimi mund të fshihet vetëm nëse përdoret një kartë inteligjente për të zhbllokuar bllokimin. Ju gjithashtu mund të ruani ose printoni çelësin e rikuperimit dhe të aktivizoni automatikisht zhbllokimin e diskut.

5. Rivendosja e aksesit në disk

Rivendosja e aksesit në diskun e sistemit

Nëse flash drive me çelës është jashtë zonës së aksesit, atëherë çelësi i rikuperimit hyn në lojë. Kur nisni kompjuterin tuaj, do të shihni diçka si më poshtë.

Për të rivendosur aksesin dhe për të nisur Windows, shtypni Enter

Do të shohim një ekran që ju kërkon të futni çelësin e rikuperimit

Futja e shifrës së fundit, me kusht që të përdoret çelësi i saktë i rikuperimit, do të nisë automatikisht sistemin operativ.

Rivendosja e aksesit në disqet e lëvizshme

Për të rivendosur aksesin në informacion në një USB flash drive ose shtypni Keni harruar fjalëkalimin tuaj?

Zgjidhni Fut çelësin e rikuperimit

dhe shkruani këtë kod të tmerrshëm 48-shifror. Klikoni Next

Nëse çelësi i rikuperimit është i përshtatshëm, atëherë disku do të zhbllokohet

Një lidhje shfaqet për Menaxho BitLocker, ku mund të ndryshoni fjalëkalimin për të zhbllokuar diskun.

konkluzioni

Në këtë artikull, mësuam se si mund ta mbrojmë informacionin tonë duke e enkriptuar duke përdorur BitLocker të integruar. Është zhgënjyese që kjo teknologji është e disponueshme vetëm në versionet e vjetra ose të avancuara të Windows. U bë gjithashtu e qartë pse kjo ndarje e fshehur dhe e bootueshme 100 MB u krijua kur konfigurohej një disk duke përdorur Windows.

Ndoshta do të përdor kriptimin e disqeve flash ose. Por, kjo nuk ka gjasa, pasi ka zëvendësues të mirë në formën e shërbimeve të ruajtjes së cloud, si dhe të ngjashme.

Faleminderit për ndarjen e këtij artikulli në rrjetet sociale. Gjithe te mirat!

BitLocker - Aftësi të reja të enkriptimit të diskut
Humbja e të dhënave konfidenciale shpesh ndodh pasi një sulmues fiton akses në informacionin në një hard disk. Për shembull, nëse një mashtrues ka pasur disi mundësinë për të lexuar skedarët e sistemit, ai mund t'i përdorë ato për të gjetur fjalëkalimet e përdoruesve, për të nxjerrë informacione personale, etj.
Windows 7 përfshin një mjet BitLocker që ju lejon të kriptoni një disk të tërë, në mënyrë që të dhënat në të të mbeten të mbrojtura nga sytë kureshtarë.
Teknologjia e enkriptimit BitLocker u prezantua nga Windows Vista dhe është përmirësuar në sistemin e ri operativ. Le të rendisim risitë më interesante:

• aktivizimi i BitLocker nga menyja e kontekstit File Explorer;
• krijimi automatik i një ndarje të fshehur të diskut të bootable;
• Mbështetje e agjentit të rikuperimit të të dhënave (DRA) për të gjithë vëllimet e mbrojtura.

Kujtojmë që ky mjet nuk zbatohet në të gjitha botimet e Windows, por vetëm në versionet "Advanced", "Corporate" dhe "Professional".

Mbrojtja e disqeve me teknologjinë BitLocker do të ruajë të dhënat konfidenciale të përdoruesit në pothuajse çdo forcë madhore - në rast të humbjes së mediave të lëvizshme, vjedhjes, aksesit të paautorizuar në diskun, etj.
Teknologjia e enkriptimit të të dhënave BitLocker mund të aplikohet në çdo skedar në diskun e sistemit, si dhe në çdo media shtesë të lëvizshme. Nëse të dhënat e përfshira në diskun e koduar kopjohen në një medium tjetër, atëherë informacioni do të transferohet pa kriptim.
Për siguri më të madhe, BitLocker mund të përdorë kriptim me shtresa - përdorimin e njëkohshëm të disa llojeve të mbrojtjes, duke përfshirë harduerin dhe softuerin. Kombinimet e metodave të mbrojtjes së të dhënave ofrojnë disa mënyra të ndryshme funksionimi për enkriptimin e BitLocker. Secila prej tyre ka avantazhet e veta, dhe gjithashtu siguron nivelin e vet të sigurisë:

• modaliteti TPM;
• Modaliteti TPM dhe USB
• Modaliteti TPM dhe Numri i Identifikimit Personal (PIN);
• modaliteti duke përdorur një pajisje USB që përmban një dongle.

Përpara se të hedhim një vështrim më të afërt se si përdoret BitLocker, ka disa sqarime që duhen bërë. Para së gjithash, është e rëndësishme të kuptoni terminologjinë. TPM është një çip i veçantë kriptografik që lejon vërtetimin. Një mikroqark i tillë mund të integrohet, për shembull, në disa modele të laptopëve, PC desktop, pajisje të ndryshme celulare, etj.
Ky çip ruan një "çelës të aksesit rrënjësor" unik. Një mikroqark i tillë "i ndezur" është një tjetër mbrojtje shtesë e besueshme kundër plasaritjes së çelësave të enkriptimit. Nëse këto të dhëna do të ruheshin në ndonjë medium tjetër, qoftë ai një hard disk ose një kartë memorie, rreziku i humbjes së informacionit do të ishte në mënyrë disproporcionale më i lartë, pasi këto pajisje janë më të lehta për t'u aksesuar. Duke përdorur "root çelësin", çipi mund të gjenerojë çelësat e tij të enkriptimit, të cilët mund të deshifrohen vetëm nga TPM.
Fjalëkalimi i pronarit krijohet herën e parë që inicializohet TPM. Windows 7 mbështet TPM 1.2 dhe kërkon një BIOS të pajtueshëm.
Kur mbrojtja kryhet vetëm nga TPM, të dhënat mblidhen në nivelin e harduerit gjatë procesit të nisjes, duke përfshirë të dhënat e BIOS-it dhe të dhëna të tjera, agregimi i të cilave tregon vërtetësinë e harduerit. Kjo mënyrë funksionimi quhet "transparente" dhe nuk kërkon asnjë veprim nga përdoruesi - kryhet një kontroll dhe, nëse ka sukses, shkarkimi kryhet normalisht.
Është kureshtare që kompjuterët që përmbajnë një modul të besuar të platformës janë ende vetëm një teori për përdoruesit tanë, pasi importi dhe shitja e pajisjeve të tilla në territorin e Rusisë dhe Ukrainës është e ndaluar me ligj për shkak të problemeve me certifikimin. Kështu, për ne, vetëm opsioni i mbrojtjes së diskut të sistemit duke përdorur një USB drive, në të cilin është shkruar çelësi i hyrjes, mbetet i rëndësishëm.

Teknologjia BitLocker ju lejon të aplikoni një algoritëm enkriptimi në disqet e të dhënave që përdorin sisteme skedarësh exFAT, FAT16, FAT32 ose NTFS. Nëse kriptimi aplikohet në një disk të sistemit operativ, të dhënat në atë disk duhet të shkruhen në formatin NTFS për të përdorur BitLocker.
Metoda e enkriptimit e përdorur nga BitLocker bazohet në algoritmin e fortë AES me një çelës 128-bit.
Një nga ndryshimet midis veçorisë Bitlocker në Windows 7 dhe mjetit të ngjashëm në Windows Vista është se sistemi i ri operativ nuk ka nevojë të bëjë ndarje speciale të diskut. Më parë, përdoruesi duhej të përdorte Mjetin e Përgatitjes së Diskut të Microsoft BitLocker për këtë, tani mjafton thjesht të specifikoni se cili disk duhet të mbrohet, dhe sistemi automatikisht do të krijojë një ndarje të fshehur të nisjes në diskun e përdorur nga Bitlocker. Kjo ndarje e nisjes do të përdoret për të nisur kompjuterin, ajo ruhet e pakriptuar (përndryshe nisja do të ishte e pamundur), ndërsa ndarja e sistemit operativ do të jetë e koduar.
Krahasuar me Windows Vista, ndarja e nisjes zë rreth dhjetë herë më pak hapësirë ​​në disk. Seksionit shtesë nuk i është caktuar një shkronjë e veçantë dhe nuk shfaqet në listën e seksioneve në menaxherin e skedarëve.

Është i përshtatshëm për të përdorur një mjet në Panelin e Kontrollit të quajtur BitLocker Drive Encryption për të menaxhuar enkriptimin. Ky mjet është një menaxher disku me të cilin mund të kriptoni dhe zhbllokoni shpejt disqet dhe të punoni me TPM. Kjo dritare ju lejon të anuloni ose ndaloni enkriptimin e BitLocker në çdo kohë.

Bazuar në materialet nga 3dnews.ru

Ekzekutoni mjetin e enkriptimit në Windows duke kërkuar për "BitLocker" dhe duke zgjedhur "Manage BitLocker". Në dritaren tjetër, mund të aktivizoni kriptimin duke klikuar në "Aktivizo BitLocker" pranë etiketës së diskut (nëse shfaqet një mesazh gabimi, lexoni seksionin "Përdorimi i BitLocker pa TPM").

Tani mund të zgjidhni nëse dëshironi të përdorni një USB flash drive ose një fjalëkalim kur zhbllokoni diskun e koduar. Pavarësisht nga opsioni i zgjedhur, gjatë procesit të konfigurimit do t'ju duhet të ruani ose printoni çelësin e rikuperimit. Do t'ju duhet nëse harroni fjalëkalimin ose humbni USB flash drive.

Përdorimi i BitLocker pa TPM

Konfigurimi i BitLocker.
BitLocker gjithashtu funksionon pa një çip TPM, megjithëse kjo kërkon disa rregullime në Redaktorin e Politikave të Grupit Lokal.

Nëse kompjuteri juaj nuk ka një çip të modulit të besuar të platformës (TPM), mund t'ju duhet të bëni disa rregullime për të aktivizuar BitLocker. Në shiritin e kërkimit të Windows, shkruani "Ndrysho politikën e grupit" dhe hapni seksionin "Redaktori i politikave të grupit lokal". Tani hapni në kolonën e majtë të redaktorit "Konfigurimi i kompjuterit | Modelet Administrative | Komponentët e Windows | Kriptimi i Diskut BitLocker | Disqet e sistemit operativ ", dhe në kolonën e djathtë, kontrolloni hyrjen" Kërkohet vërtetim shtesë gjatë nisjes".

Më pas, në kolonën e mesme, klikoni në lidhjen "Ndrysho përcaktimin e politikës". Kontrolloni kutinë pranë "Aktivizo" dhe kontrolloni kutinë pranë "Lejo BitLocker pa një TPM të pajtueshme" më poshtë. Pasi të klikoni Apliko dhe OK, mund të përdorni BitLocker siç përshkruhet më sipër.

Alternativa në formën e VeraCrypt

Për të enkriptuar një ndarje të sistemit ose të gjithë hard diskun duke përdorur VeraCrypt pasardhësin e TrueCrypt, zgjidhni "Krijo vëllim" nga menyja kryesore e VeraCrypt dhe më pas Enkriptoni ndarjen e sistemit ose të gjithë diskun e sistemit. Për të enkriptuar të gjithë hard diskun së bashku me ndarjen e Windows, zgjidhni "Encrypt the whole drive" dhe më pas ndiqni udhëzimet hap pas hapi të konfigurimit. Shënim: VeraCrypt krijon një disk ESD në rast se harroni fjalëkalimin tuaj. Pra, ju duhet një CD bosh.

Pasi të keni koduar diskun tuaj, në kohën e nisjes do t'ju duhet të specifikoni PIM (Personal Iterations Multiplier) pas fjalëkalimit. Nëse nuk e keni instaluar PIM gjatë konfigurimit, thjesht shtypni Enter.

Sipas ekspertëve, është vjedhja e një laptopi që është një nga problemet kryesore në fushën e sigurisë së informacionit (IS).

Ndryshe nga kërcënimet e tjera të sigurisë kibernetike, natyra e problemeve "laptop i vjedhur" ose "flash i vjedhur" është mjaft primitive. Dhe nëse kostoja e pajisjeve të zhdukura rrallë tejkalon shenjën e disa mijëra dollarëve amerikanë, atëherë vlera e informacionit të ruajtur në to matet shpesh në miliona.

Sipas Dell dhe Institutit Ponemon, 637,000 laptopë zhduken çdo vit në aeroportet amerikane. Imagjinoni sa shumë disqe flash zhduken, sepse ato janë shumë më të vogla, dhe hedhja e një flash drive aksidentalisht është aq e lehtë sa granatimi i dardhave.

Kur një laptop që i përket një menaxheri të lartë të një kompanie të madhe zhduket, dëmi nga një vjedhje e tillë mund të arrijë në dhjetëra miliona dollarë.

Si të mbroni veten dhe kompaninë tuaj?

Ne vazhdojmë serinë tonë të artikujve rreth sigurisë së domenit të Windows. Në artikullin e parë të serisë, ne folëm për konfigurimin e hyrjes së sigurt të domenit, dhe në të dytin, për konfigurimin e transferimit të sigurt të të dhënave në klientin e postës:

1. Si të përdorni një token për ta bërë një domen të Windows më të sigurt? Pjesa 1 .
2. Si të përdorni një token për ta bërë një domen të Windows më të sigurt? Pjesa 2 .

Në këtë artikull, ne do të flasim për konfigurimin e enkriptimit të informacionit të ruajtur në hard diskun tuaj. Do të kuptoni se si të siguroheni që askush përveç jush nuk mund të lexojë informacionin e ruajtur në kompjuterin tuaj.

Pak njerëz e dinë se Windows ka mjete të integruara që ju ndihmojnë të ruani informacionin në mënyrë të sigurt. Le të shqyrtojmë një prej tyre.

Me siguri disa prej jush e kanë dëgjuar fjalën “BitLocker”. Le të shohim se çfarë është.

Çfarë është BitLocker?

BitLocker, i njohur gjithashtu si BitLocker Drive Encryption, është një teknologji e enkriptimit të diskut të zhvilluar nga Microsoft për kompjuterin tuaj. Për herë të parë u shfaq në Windows Vista.

Duke përdorur BitLocker, ishte e mundur të kriptoni vëllimet e diskut të ngurtë, por më vonë, tashmë në Windows 7, u shfaq një teknologji e ngjashme, BitLocker To Go, e cila është krijuar për të koduar disqet e lëvizshme dhe disqet flash.

BitLocker është një veçori standarde e Windows Professional dhe versioneve të serverit të Windows, që do të thotë se është tashmë i disponueshëm për shumicën e përdorimit të korporatave. Përndryshe, do t'ju duhet të përmirësoni licencën tuaj të Windows në Professional.

Si funksionon BitLocker?

Kjo teknologji bazohet në enkriptimin e vëllimit të plotë duke përdorur algoritmin standard të enkriptimit të avancuar (AES). Çelësat e enkriptimit duhet të ruhen në mënyrë të sigurt, dhe BitLocker ka disa mekanizma për këtë.

Metoda më e thjeshtë, por në të njëjtën kohë më e pasigurt është një fjalëkalim. Çelësi merret nga fjalëkalimi çdo herë në të njëjtën mënyrë, dhe në përputhje me rrethanat, nëse dikush e zbulon fjalëkalimin tuaj, atëherë do të njihet edhe çelësi i kriptimit.

Për të shmangur ruajtjen e çelësit në tekst të qartë, ai mund të enkriptohet ose në një TPM (Trusted Platform Module) ose në një shenjë kriptografike ose kartë inteligjente që mbështet algoritmin RSA 2048.

TPM është një çip i krijuar për të zbatuar funksionet bazë të sigurisë, kryesisht duke përdorur çelësat e enkriptimit.

Moduli TPM zakonisht instalohet në pllakën amë të një kompjuteri, megjithatë, është shumë e vështirë të blini një kompjuter me një modul të integruar TPM në Rusi, pasi importimi i pajisjeve në vendin tonë pa njoftim të FSB-së është i ndaluar.

Përdorimi i një karte inteligjente ose token për të zhbllokuar një disk është një nga mënyrat më të sigurta për të kontrolluar se kush e ka kryer procesin dhe kur. Për të zhbllokuar, në këtë rast, kërkohet edhe vetë karta smart dhe kodi PIN i saj.

Si funksionon BitLocker:

1. Kur BitLocker aktivizohet duke përdorur një gjenerator numrash pseudo të rastësishëm, krijohet një sekuencë bitash kryesore. Ky çelës i enkriptimit të volumit është FVEK (çelësi i enkriptimit të vëllimit të plotë). Ai kodon përmbajtjen e secilit sektor. FVEK mbahet në konfidencialitetin më të rreptë.
2. FVEK është i koduar duke përdorur çelësin kryesor të volumit (VMK). FVEK (i koduar me VMK) ruhet në disk midis meta të dhënave të vëllimit. Në të njëjtën kohë, ai kurrë nuk duhet të hyjë në disk në formë të deshifruar.
3. Vetë VMK është gjithashtu i koduar. Përdoruesi zgjedh metodën e kriptimit.
4. VMK është i enkriptuar si parazgjedhje me një çelës kryesor ruajtës (SRK) të ruajtur në një kartë inteligjente kriptografike ose token. Kjo ndodh në mënyrë të ngjashme me TPM.
   Nga rruga, çelësi i enkriptimit të diskut të sistemit BitLocker nuk mund të mbrohet me një kartë inteligjente ose shenjë. Kjo është për shkak të faktit se bibliotekat nga shitësi përdoren për të hyrë në kartat inteligjente dhe argumentet, dhe, natyrisht, ato nuk janë të disponueshme përpara se të ngarkohet OS.
   Nëse nuk ka TPM, atëherë BitLocker sugjeron ruajtjen e çelësit të ndarjes së sistemit në një shkop USB, gjë që sigurisht nuk është një ide e mirë. Nëse sistemi juaj nuk ka TPM, atëherë ne nuk rekomandojmë të kriptoni disqet e sistemit tuaj.
   Dhe në përgjithësi, enkriptimi i diskut të sistemit është një ide e keqe. Kur konfigurohet saktë, të gjitha të dhënat e rëndësishme mbahen të ndara nga të dhënat e sistemit. Kjo është të paktën më e përshtatshme nga pikëpamja e rezervimit të tyre. Plus, kriptimi i skedarëve të sistemit zvogëlon performancën e sistemit në tërësi, dhe puna e një disku të sistemit të pakriptuar me skedarë të koduar ndodh pa humbje të shpejtësisë.
5. Çelësat e enkriptimit për disqet e tjera jo-sistem dhe të lëvizshëm mund të mbrohen duke përdorur një kartë inteligjente ose token dhe TPM.
   Nëse nuk ka TPM ose kartë inteligjente, atëherë në vend të SRK, një çelës i gjeneruar nga fjalëkalimi që keni futur përdoret për të kriptuar VMK-në.

Kur niset nga një disk boot i koduar, sistemi kërkon të gjitha depo të mundshme të çelësave - kontrollon për TPM, kontrollon portat USB ose, nëse është e nevojshme, kërkon përdoruesin (që quhet rikuperim). Zbulimi i Keystore lejon Windows të deshifrojë VMK-në, e cila deshifron FVEK, e cila tashmë deshifron të dhënat në disk.

Çdo sektor i vëllimit është i koduar veçmas, me një pjesë të çelësit të enkriptimit të përcaktuar nga numri i këtij sektori. Si rezultat, dy sektorë që përmbajnë të njëjtat të dhëna të pakriptuara do të duken të ndryshëm në formë të koduar, gjë që e ndërlikon shumë procesin e përcaktimit të çelësave të enkriptimit duke regjistruar dhe deshifruar të dhënat e njohura më parë.

Përveç FVEK, VMK dhe SRK, BitLocker përdor një lloj tjetër çelësi që gjenerohet "për çdo rast". Këto janë çelësat e rikuperimit.

Për raste urgjente (një përdorues ka humbur një kod, ka harruar kodin PIN, etj.) BitLocker ju kërkon të krijoni një çelës rikuperimi në hapin e fundit. Refuzimi për ta krijuar atë në sistem nuk sigurohet.

Si mund të aktivizoj enkriptimin e të dhënave në hard diskun tim?

Para se të filloni procesin e kriptimit të vëllimeve në hard diskun tuaj, është e rëndësishme të keni parasysh se kjo procedurë do të marrë pak kohë. Kohëzgjatja e tij do të varet nga sasia e informacionit në hard disk.

Nëse kompjuteri fiket ose hyn në letargji gjatë procesit të enkriptimit ose deshifrimit, këto procese do të rifillojnë nga vendi ku u ndërprenë herën tjetër që të nisni Windows.

Edhe gjatë procesit të kriptimit, Windows mund të përdoret, por nuk ka gjasa që të jetë në gjendje t'ju kënaqë me performancën e tij. Si rezultat, pas kriptimit, performanca e diskut zvogëlohet me rreth 10%.

Nëse BitLocker është i disponueshëm në sistemin tuaj, atëherë kur klikoni me të djathtën mbi emrin e diskut që dëshironi të enkriptoni, menyja që hapet do të shfaqë artikullin Aktivizo BitLocker.

Në versionet e serverit të Windows, duhet të shtoni rolin Kriptimi i Diskut BitLocker.

Le të fillojmë konfigurimin e kriptimit të një vëllimi jo-sistem dhe të mbrojmë çelësin e enkriptimit duke përdorur një shenjë kriptografike.

Ne do të përdorim një token të prodhuar nga kompania Aktiv. Në veçanti, simboli Rutoken EDS PKI.

I. Le të përgatisim Rutoken EDS PKI për punë.

Në shumicën e sistemeve Windows të konfiguruar normalisht, pas lidhjes së parë të Rutoken, PKI EDS ngarkohet automatikisht dhe instalohet një bibliotekë speciale për të punuar me tokenët e prodhuar nga kompania Aktiv - minidriver Aktiv Rutoken.

Procesi i instalimit për një bibliotekë të tillë është si më poshtë.

Disponueshmëria e bibliotekës së minidriverëve Aktiv Rutoken mund të kontrollohet përmes Menaxheri i pajisjes.

Nëse shkarkimi dhe instalimi i bibliotekës për ndonjë arsye nuk ndodhi, atëherë duhet të instaloni kompletin Rutoken Drivers për Windows.

II. Le të kodojmë të dhënat në disk duke përdorur BitLocker.

Le të klikojmë në emrin e diskut dhe të zgjedhim artikullin Aktivizo BitLocker.

Siç thamë më herët, ne do të përdorim një shenjë për të mbrojtur çelësin e enkriptimit të diskut.
Është e rëndësishme të kuptohet se për të përdorur një token ose kartë inteligjente me BitLocker, duhet të ketë çelësat RSA 2048 dhe një certifikatë në të.

Nëse përdorni shërbimin e Autoritetit të Certifikatës në një domen të Windows, atëherë shablloni i certifikatës duhet të përmbajë objektin e certifikatës "Kriptimi i diskut" (më shumë rreth konfigurimit të Autoritetit të Certifikatës në pjesën e parë të serisë sonë të artikujve mbi sigurinë e domenit të Windows).

Nëse nuk keni një domen ose nuk mund të ndryshoni politikën për lëshimin e certifikatave, atëherë mund të përdorni një rrugë alternative, duke përdorur një certifikatë të vetë-nënshkruar, përshkruhet në detaje se si të shkruani një certifikatë të vetë-nënshkruar për veten tuaj.
Tani le të kontrollojmë kutinë përkatëse.

Në hapin tjetër, ne do të zgjedhim një metodë për ruajtjen e çelësit të rikuperimit (ju rekomandojmë të zgjidhni Shtypni çelësin e rikuperimit).

Letra me çelësin e printuar të rikuperimit duhet të ruhet në një vend të sigurt, mundësisht në një kasafortë.

Në hapin tjetër, ne do të fillojmë procesin e enkriptimit të diskut. Pas përfundimit të këtij procesi, mund t'ju duhet të rindizni sistemin tuaj.

Kur aktivizoni enkriptimin, ikona e diskut të koduar do të ndryshojë.

Dhe tani, kur përpiqemi të hapim këtë disk, sistemi do të kërkojë të fusë një token dhe të futë PIN-in e tij.

Vendosja dhe konfigurimi i BitLocker dhe TPM mund të automatizohen duke përdorur skriptet WMI ose Windows PowerShell. Mënyra se si zbatohen skriptet do të ndryshojë sipas mjedisit. Komandat për BitLocker në Windows PowerShell janë përshkruar në artikull.

Si të rikuperoni të dhënat e koduara nga BitLocker nëse shenja humbet?

Nëse dëshironi të hapni të dhëna të koduara në Windows

Për ta bërë këtë, ju nevojitet çelësi i rikuperimit që kemi shtypur më parë. Thjesht futeni në fushën përkatëse dhe seksioni i koduar do të hapet.

Nëse dëshironi të hapni të dhëna të koduara në sistemet GNU / Linux dhe Mac OS X

Kjo kërkon programin DisLocker dhe një çelës rikuperimi.

DisLocker funksionon në dy mënyra:

• FILE - E gjithë ndarja e koduar nga BitLocker deshifrohet në një skedar.
• FUSE - vetëm blloku i aksesuar nga sistemi deshifrohet.

Ne do të përdorim sistemin operativ Linux dhe modalitetin e shërbimeve FUSE si shembull.

Në versionet më të fundit të shpërndarjeve të zakonshme Linux, paketa dislocker është përfshirë tashmë në shpërndarje, për shembull, në Ubuntu, duke filluar nga versioni 16.10.

Nëse paketa e dislokuesit për ndonjë arsye nuk ishte aty, atëherë duhet të shkarkoni programin dhe ta përpiloni atë:

tar -xvjf dislocker.tar.gz

Le të hapim skedarin INSTALL.TXT dhe të kontrollojmë se cilat paketa duhet të instalojmë.

Në rastin tonë, duhet të instalojmë paketën libfuse-dev:

sudo apt-get instalo libfuse-dev

Le të fillojmë ndërtimin e paketës. Le të shkojmë te dosja src dhe të përdorim komandat make and make install:

cd src / make make install

Kur gjithçka të jetë përpiluar (ose të keni instaluar paketën), le të fillojmë konfigurimin.

Le të shkojmë te dosja mnt dhe të krijojmë dy dosje në të:

• Encrypted-partition- për një ndarje të koduar;
• Ndarje e deshifruar - për një ndarje të deshifruar.

cd / mnt mkdir Ndarje e koduar mkdir Ndarje e deshifruar

Le të gjejmë ndarjen e koduar. Le ta deshifrojmë atë duke përdorur programin dhe ta zhvendosim në dosjen e ndarjes së koduar:

dislocker -r -V / dev / sda5 -p recovery_key / mnt / Ndarje e koduar(zëvendësoni çelësin tuaj të rikuperimit në vend të çelësit të rimëkëmbjes)

Le të shfaqim listën e skedarëve të vendosur në dosjen e ndarjes së koduar:

ls Ndarje e koduar /

Le të fusim komandën për montimin e ndarjes:

mount -o loop Driveq / dislocker-file Decrypted-partition /

Për të parë ndarjen e deshifruar, shkoni te dosja e ndarjes së koduar.

Le të përmbledhim

Aktivizimi i kriptimit të vëllimit me BitLocker është shumë i lehtë. E gjithë kjo bëhet pa mundim dhe pa pagesë (sigurisht me kusht që të keni një version profesional ose server të Windows).

Një shenjë kriptografike ose kartë inteligjente mund të përdoret për të mbrojtur çelësin e enkriptimit që përdoret për të enkriptuar diskun, gjë që rrit ndjeshëm nivelin e sigurisë.