Как настроить шифрование данных BitLocker для Windows. BitLocker: что такое и как его разблокировать

Когда речь идет об особо ценных данных, шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь - даже имеющий привилегии администратора - попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

ШИФРОВАНИЕ ЦЕЛОГО ДИСКА С ПОМОЩЬЮ BITLOCKER

Шифрование файлов и папок в Windows 7 - это удобный способ защиты конфиденциальных данных, но если хранить на одном диске зашифрованные и незашифрованные данные, это может привести к непредсказуемым результатам, как написано в разделе «Шифрование файлов». Однако владельцы версий Windows 7 Ultimate и Enterprise могут решить эту проблему, воспользовавшись преимуществами инструмента шифрования диска BitLocker.

BitLocker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным - Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (TPM was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

TPM, Trusted Platform Module (модуль доверенной платформы), - это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker. Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск. Откройте Редактор локальной групповой политики (Group Policy Object Editor) (для этого нужно щелкнуть на кнопке Пуск и выполнить команду gpedit.msc), а затем разверните ветвь Конфигурация компьютера\Административные шаблоны\Компоненты Windows\ll^poBaHMe диска BitLocker (Computer Configuration\Administrative Templates\ Windows Components\BitLocker Drive Encryption). На правой панели дважды щелкните на записи Панель управления: включить дополнительные параметры запуска (Control Panel Setup: Enable advanced startup options), щелкните Включить (Enabled), установите флажок Разрешить использовать BitLocker без совместимого ТРМ (Allow BitLocker without a compatible ТРМ) и нажмите ОК.

BitLocker можно использовать, если на жестком диске есть как минимум два раздела (подробнее об этом - в главе 4): один - для операционной системы и второй, «активный» раздел размером от 1,5 Гбайт - для загрузки компьютера. Если ваш диск сконфигурирован иначе, запустите инструмент подготовки диска BitLocker (BitLocker Drive Preparation Tool, BdeHdCfg.exe) и выполните подготовку, следуя указаниям на экране. Когда диск будет готов, откройте на Панели управления страницу Шифрование диска BitLocker (BitLocker Drive Encryption) и щелкните на ссылке Включить BitLocker (Turn on BitLocker).

Подсказка: если у вас установлена другая редакция Window 7, отличная от Windows 7 Ultimate, то схожую функциональность предлагают утилиты FreeOTFE (http://www.freeotfe.org) и TrueCrypt (http://www.truecrypt.org). Обе они бесплатны и совместимы со всеми редакциями Windows 7.

Необходимо считать данные с зашифрованного BitLocker диска в Windows Vista или ХР? Используйте инструмент Microsoft BitLocker То Go Reader, который можно бесплатно загрузить с сайта http://windows.microsoft.com/en-US/windows7/what-is-the- bitlocker-to-go-reader.

Вы только помечаете файл как предназначенный для шифрования. Windows шифрует и дешифрует файлы в фоновом режиме, когда создатель файла записывает его или просматривает соответственно. Правда, в Windows 7 шифрование на лету может иногда преподносить сюрпризы, а безопасность - это не та область, в которой можно полагаться на авось.

Шифрование - это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как иа этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

1. Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).

2. На вкладке Общие (General) нажмите Дополнительно (Advanced).

3. Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Независимо от того, зашифрован файл или нет, вы работаете с ним как обычно. Вам никогда ие придется вручную дешифровать файл, чтобы просмотреть его содержимое. Подробнее о том, как быстро зашифровать или дешифровать файл, рассказывается в подразделе «Добавление команд Шифровать (Encrypt) и Дешифровать (Decrypt) в контекстные меню» на с. 458.

Если вы решили, что будете шифровать файлы, то стоит помнить о следующем:

О Шифрование содержимого папок

При шифровании папки, внутри которой есть файлы или другие папки, Windows просит вас указать, нужно ли шифровать это содержимое. В большинстве случаев вы просто соглашаетесь. Если же вы в этом окне щелкнете на кнопке Нет (No), то текущее содержимое папки останется незашифрованным, однако новые файлы будут шифроваться. Подробнее об этом рассказывается в подразделе «Секреты шифрования папок» на с. 457.

О Зашифровано навсегда?

Невозможно гарантировать, что зашифрованный файл останется таковым навсегда. Например, некоторые приложения при редактировании и сохранении данных удаляют оригинальные файлы, а потом создают новые на том же месте. Если приложение не знает, что файл нужно шифровать, защита исчезает. Чтобы этого не происходило, необходимо шифровать родительскую папку, а не только сам файл.

О Защищено от других пользователей?

Если изменить владельца зашифрованного файла (как рассказывается в разделе «Установка разрешений для файлов и папок»), то только предыдущий владелец

н создатель файла сможет расшифровать и просмотреть его, несмотря на то что файл ему уже не принадлежит. Это означает, что в некоторых случаях ни один пользователь не способен прочитать файл.

О Шифрование системных файлов

Поскольку доступ к определенным папкам, таким как \Windows и \Windows\System, нужен всем пользователям, шифрование файлов, системных папок и корневых каталогов любых дисков запрещено. Следовательно, единственный способ зашифровать подобные объекты - использовать шифрование всего диска, как рассказывается во врезке «Шифрование целого диска с помощью BitLocker» на с. 452.

О Шифрование и сжатие

Сжатие - еще одна возможность файловых систем NTFS - позволяет уменьшать количество места, которое занимают на диске файлы и папки. Принципы сжатия очень напоминают принципы шифрования. Однако для объекта нельзя одновременно использовать и шифрование, и сжатие; включите в окне Свойства (Properties) один параметр, и второй автоматически отключится.

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй - про настройку безопасной передачи данных в почтовом клиенте:

Как при помощи токена сделать Windows домен безопаснее? Часть 1 .
Как при помощи токена сделать Windows домен безопаснее? Часть 2 .

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) - это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод - это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM - микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей - проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker .

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption .

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI .

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» - Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств .

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows .

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker .

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано .
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key ).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье .

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

FILE - весь раздел, зашифрованный BitLocker, расшифровывается в файл.
FUSE - расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту и скомпилировать ее:

tar -xvjf dislocker.tar.gz

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

sudo apt-get install libfuse-dev

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

cd src/ make make install

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

Encrypted-partition- для зашифрованного раздела;
Decrypted-partition - для расшифрованного раздела.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(вместо recovery_key подставьте свой ключ восстановления)

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

ls Encrypted-partition/

Введем команду для монтирования раздела:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

В январе 2009 года компания Microsoft предоставила всем желающим для тестирования бета-версию новой операционной системы для рабочих станций - Windows 7. В данной операционной системе реализованы усовершенствованные технологии безопасности Windows Vista. В этой статье речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после появления в Windows Vista.

Зачем шифровать

Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, но тем не менее приведем некоторые аргументы в пользу данного решения. Сегодня стоимость аппаратных средств во много раз меньше стоимости информации, содержащейся на устройствах. Потеря данных может привести к потере репутации, конкурентоспособности и потенциальным судебным тяжбам. Устройство похищено или утеряно - информация доступна посторонним. Для запрета несанкционированного доступа к данным и необходимо использовать шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного) либо продажи устройств, бывших в употреблении.

Поможет BitLocker

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии обороны данных на компьютере. Технологий шифрования жесткого диска существует великое множество. Естественно, после успешной реализации технологии BitLocker в составе Windows Vista Enterprise и Windows Vista Ultimate компания Microsoft не могла не включить эту технологию в Windows 7. Впрочем, справедливости ради стоит отметить, что в новой версии мы увидим значительно переработанную технологию шифрования.

Итак, наше знакомство начинается с установки Windows 7. Если в Windows Vista для последующего использования шифрования требовалось вначале с помощью командной строки подготовить жесткий диск, разметив его соответствующим способом или сделать это позднее, используя специальную программу Microsoft BitLocker Disk Preparation Tool, то в Windows 7 проблема решается изначально, при разметке жесткого диска. В моем случае при установке я задал один системный раздел емкостью в 39 Гбайт, а получил два! Один из которых размером в 38 Гбайт с небольшим, а второй 200 Мбайт.

Откроем консоль управления дисками (Start, All Programs, Administrative Tools, Computer Management, Disk Management), см. .

Как видите, первый раздел размером в 200 Мбайт просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в Windows Vista, нового на данном этапе ничего нет, кроме того, что разбивка проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, что бросается в глаза, это его размер в 200 Мбайт против 1,5 Гбайт в Windows Vista. Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая операционную систему, не сразу задумывается о том, будет ли он шифровать жесткий диск.

В случае с Windows 7 сразу же после установки операционной системы в Control Panel в разделе System and Security можно выбрать BitLocker Drive Encryption. Щелкнув по ссылке Protect your computer by encrypting data on your disk, вы попадаете в окно, показанное на .

Обратите внимание (на рисунке выделено красным цветом) на функции, которые в Windows Vista отсутствуют или организованы иначе. Так, в Windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что, как только вы выберете Turn on BitLocker, все заработает так, как нужно. При включении BitLocker без дополнительных параметров все, что вы получите, это шифрование жесткого диска на данном компьютере без применения модуля ТРМ. Впрочем, у пользователей в некоторых странах, например в Российской Федерации или на Украине, просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае после щелчка по Turn on BitLocker мы попадаем на экран 3.

Если же есть возможность использовать ТРМ или существует необходимость задействовать всю мощь шифрования, следует воспользоваться редактором групповых политик, набрав в командной строке gpedit.msc. Откроется окно редактора (см. ).

Рассмотрим подробнее параметры групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Параметры групповой политики BitLocker

Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 и Windows Vista). С помощью данного параметра групповой политики вы можете сделать так, чтобы Active Directory Domain Services (AD DS) резервировал информацию для последующего восстановления BitLocker Drive Encryption. Данная возможность применима только к компьютерам, работающим под Windows Server 2008 или Windows Vista.

Если этот параметр будет задан, при включении BitLocker информация, необходимая для его восстановления, будет автоматически скопирована в AD DS. Если отключить данный параметр политики или оставить его по умолчанию, информация для восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password. Этот параметр позволит задать каталог по умолчанию, отображаемый мастером BitLocker Drive Encryption при запросе местонахождения папки для сохранения пароля восстановления. Данный параметр применяется, когда включается шифрование BitLocker. Пользователь может сохранить пароль восстановления и в любой другой папке.

Choose how users can recover BitLocker-protected drives (Windows Server 2008 и Windows Vista). Данный параметр позволит управлять режимами восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением Windows Server 2008 и Windows Vista. Данный параметр применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данного параметра можно разрешить сохранение на USB-диск 256-разрядного ключа пароля в виде скрытого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления. В случае, если вы отключите или не будете настраивать это правило групповой политики, мастер установки BitLocker позволит выбрать варианты восстановления.

Choose drive encryption method and cipher strength. С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization. Данное правило политики позволит создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и может быть обновлен для существующих дисков, зашифрованных с использованием BitLocker с помощью программного обеспечения командной строки - Manage-BDE.

Второе поле идентификатора применяется в сочетании с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками. Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart. Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако следует понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не настроено, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера. Для усиления защиты данное правило стоит оставить в состоянии по умолчанию.

Configure smart card certificate object identifier. Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Fixed Data Drives

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives. Данное правило позволит определить, можно ли использовать смарт-карты для разрешения доступа к данным на жестком диске компьютера. Если вы отключаете это правило, смарт-карты использовать нельзя. По умолчанию смарт-карты могут применяться.

Deny write access to fixed drives not protected by BitLocker. Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны для чтения и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of Windows. Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило включено или не настроено, диски данных, отформатированные с файловой системой FAT, могут быть доступны для чтения на компьютерах с перечисленными выше операционными системами. Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Это правило не относится к дискам, форматированным под NTFS.

Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, можно установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности необходимо установить требование к сложности пароля в разделе «Политики паролей» групповой политики.

Если данное правило определено, пользователи могут настраивать пароли, отвечающие выбранным требованиям. Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered. Данное правило позволит управлять восстановлением зашифрованных дисков. Если оно не настроено или заблокировано, то доступны возможности восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup. Это правило групповой политики позволит задать использование для идентификации Trusted Platform Module (ТМР). Стоит учесть, что при запуске может быть задана только одна из функций, иначе произойдет ошибка в реализации политики.

Если данное правило включено, пользователи смогут настраивать расширенные возможности запуска в мастере установки BitLocker. Если политика отключена или не настроена, основные функции можно настраивать только на компьютерах с ТРМ. Если вы хотите использовать PIN и USB-диск, необходимо настраивать BitLocker, используя командную строку bde, вместо мастера BitLocker Drive Encryption.

Require additional authentication at startu (Windows Server 2008 and Windows Vista). Данное правило политики применимо только к компьютерам, работающим под управлением Windows 2008 или Windows Vista. На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности - PIN-код (от 4 до 20 цифр). На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен - мастер отобразит окно, в котором пользователь сможет настраивать дополнительные параметры запуска BitLocker. Если же данный параметр отключен или не настроен, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup. С помощью данного параметра задаются настройки минимальной длины PIN-кода для запуска компьютера. PIN-код может включать от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered. С помощью данного правила групповой политики можно определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile. С помощью данного правила можно настраивать модуль ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете указывать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Removable Data Drives

Control use of BitLocker on removable drives. С помощью данного правила групповой политики можно управлять шифрованием BitLocker на сменных дисках. Вы можете выбрать, с помощью каких параметров пользователи смогут настраивать BitLocker. В частности, для разрешения запуска мастера установки шифрования BitLocker на сменном диске необходимо выбрать Allow users to apply BitLocker protection on removable data drives.

Если вы выберете Allow users to suspend and decrypt BitLocker on removable data drives, то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не настроено, пользователи могут задействовать BitLocker на съемных носителях. Если правило отключено, то пользователи не смогут применять BitLocker на съемных дисках.

Configure use of smart cards on removable data drives. С помощью данной установки политики определяют, можно ли задействовать смарт-карты для аутентификации пользователя и его доступа к сменным дискам на компьютере.

Deny write access to removable drives not protected BitLocker. С помощью данного правила политики можно запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker, будут доступны только для чтения.

Если будет выбран вариант Deny write access to devices configured in another organization, запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным в правиле групповой политики Provide the unique identifiers for your organization.

Если вы отключили данное правило или оно не настроено, то все сменные диски будут доступны и для чтения и для записи. Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило Removable Disks: Deny write access разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows. Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не настроено, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length. Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите применять пароль, вы сможете установить требования к его сложности и минимальную длину. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered. Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Переходим к процессу шифрования. Изменения в групповой политике позволяют более широко использовать возможности шифрования BitLocker, и для закрепления навыков работы с ней попробуем зашифровать: системный диск, диск с данными, сменные носители, как под NTFS, так и под FAT (будем считать, что компьютер обладает установленным модулем ТРМ).

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под Windows XP SP2, так и под Windows Vista SP1.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (см. ).

Затем в разделе Operation System Drive выбираем правило Require additional authentication at startup (см. ).

После этого установим минимальную длину PIN-кода, равную 6 символам, с помощью правила Configure minimum PIN length for startup. Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов.

При этом необходимо помнить, что нужно выставить такие же требования к парольной защите через редактор политик.

Для сменных дисков выберем следующие настройки:

не разрешать читать сменные диски с файловой системой FAT под старыми версиями Windows;
пароли должны удовлетворять требованиям сложности;
минимальная длина пароля 8 символов.

После этого командой gpupdate.exe/force в окне командной строки обновим политику.

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем Require a PIN at every startup (см. экран 7).

После этого перезагружаем систему, и процесс шифрования диска С начинается.

Похожим образом шифруется и второй раздел нашего жесткого диска - диск D (см. экран 8).

Перед шифрованием диска D мы должны задать пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине и сложности пароля. Следует учесть, что можно открывать этот диск на компьютере автоматически. Как и ранее, сохраним пароль восстановления на USB-диск. Нужно иметь в виду, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Попробуем теперь зашифровать USB-диск, отформатированный под файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля 8 символов. При этом пароль должен соответствовать требованиям сложности. После ввода пароля нам предложат сохранить ключ восстановления в файл или распечатать его.

По окончании шифрования попробуем просмотреть этот USB-диск на другом компьютере, работающем под Windows Vista Home Premium SP1. Результат показан на экране 9.

Как видите, в случае потери диска информация не будет прочитана, более того, скорее всего, диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением Windows 7 Beta1 можно увидеть сообщение, показанное на экране 10.

Итак, мы рассмотрели, как будет производиться шифрование в Windows 7. По сравнению с Windows Vista, появилось гораздо больше правил в групповых политиках, соответственно возрастет ответственность ИТ-персонала за их правильное применение и взаимодействие с сотрудниками.

Шифрование диска Bitlocker

Битлокер — BitLocker (полное название BitLockerDrive Encryption) - это , встроенная в операционные системы Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 и Windows 8.

С помощью BitLocker можно зашифровать полностью весь носитель данных (логический диск, SD-карту, USB-брелок). При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Вас также может заинтересовать статья « », в которой мы пытались разобраться возможен ли взлом шифрования дисков Windows.

Ключ восстановления к шифру может храниться в компьютере, на USB-устройстве или в аппаратном чипе TPM (Trusted Platform Module, доверенный платформенный модуль). Можно также сохранить копию ключа в своей учет-ной записи Майкрософт (вот только зачем?).

ПОЯСНЕНИЕ Хранить ключ в чипе TPM можно только на тех компьютерах, где чип TPM вмонтирован в материнскую плату. Если материнская плата компьютера оснащена чипом TPM, тогда ключ может быть прочитан из него или после аутентификации с помощью USB-ключа/смарт-карты, или после ввода PIN-кода.

В самом простом случае можно аутентифицировать пользователя и по обычному паролю. Такой способ Джеймсу Бонду, конечно, не подойдет, но большинству обычных пользователей, которые хотят скрыть некоторые свои данные от коллег или родственников, его будет вполне достаточно.

С помощью BitLocker можно зашифровать любой том, в том числе и загрузочный - тот, с которого происходит загрузка Windows. Тогда пароль нужно будет вводить при загрузке (или использовать другие средства аутентификации, например, TPM).

СОВЕТ Я настоятельно не рекомендую вам шифровать загрузочный том. Во-первых, снижается производительность. На сайте technet.microsoft сообщают, что обычно снижение производительности составляет 10 %, однако в вашем конкретном случае можно ожидать большего «торможения» компьютера - все зависит от его конфигурации. Да и шифровать, по сути, нужно далеко не все данные. Зачем шифровать те же программные файлы? В них нет ничего конфиденциального. Во-вторых, если что-то случится с Windows, боюсь, все может закончиться плачевно - форматированием тома и потерей данных.

Поэтому лучше всего зашифровать один какой-то том - отдельный логический диск, внешний USB-диск и т. п. А затем на этот зашифрованный диск поместить все ваши секретные файлы. На зашифрованный диск также можно установить и программы, требующие защиты, - например, ту же 1С Бухгалтерию.

Такой диск вы будете подключать только при необходимости - щелкнул двойным щелчком на значке диска, ввел пароль и получил доступ к данным.

Что можно зашифровать с помощью BitLocker?

Можно зашифровать любой диск, кроме сетевого и оптического. Вот список поддерживаемых типов подключения дисков: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fiber Channel.

Не поддерживается шифрование томов, подключенных по Bluetooth. И хоть карта памяти мобильного телефона, подключенного к компьютеру по Bluetooth, выглядит как отдельный носитель данных, зашифровать его нельзя.

Поддерживаются файловые системы NTFS, FAT32, FAT16, ExFAT. Не поддерживаются прочие файловые системы, в том числе CDFS, NFS, DFS, LFS, программные RAID-массивы (аппаратные RAID-массивы поддерживаются).

Можно зашифровать твердотельные накопители: (SSD-накопители, флешки, SD-карты), жесткие диски (в том числе, подключаемые по USB). Шифрование других типов дисков не поддерживается.

Шифрование диска Bitlocker

Перейдите на рабочий стол, запустите Проводник и щелкните правой кнопкой мыши по диску , который вы хотите зашифровать. Напомню, что это может быть логический том, SD-карта, флешка, USB-диск, SSD-накопитель. Из появившегося меню выберите команду Включить BitLocker .

Команда включения шифрования BitLocker

Первым делом вас спросят, как вы будете с зашифрованного диска: с помощью пароля или смарт-карты. Нужно выбрать один из вариантов (или оба: тогда будут задействованы и пароль, и смарт-карта), иначе кнопка Далее не станет активной.

Как будем снимать блокировку Bitlocker ?

На следующем шаге вам будет предложено создать резервную копию ключа
восстановления.

Архивация ключа восстановления

ПОЯСНЕНИЕ Ключ восстановления используется для разблокировки диска в случае, когда вы забыли пароль или потеряли смарт-карту. Отказаться от создания ключа восстановления нельзя. И это правильно, потому что, приехав из отпуска, свой пароль к зашифрованному диску я-таки забыл. Эта же ситуация может повториться и у вас. Поэтому выбираем один из предложенных способов архивирования ключа восстановления.

Сохранение ключа в учетную запись Майкрософта. Этот способ я не рекомендую: нет соединения с Интернетом - получить свой ключ не получится.
Сохранение в файл - оптимальный способ. Файл с ключом восстановления будет записан на рабочий стол.

Сохранение ключа восстановления на рабочем столе

Сами понимаете, его оттуда следует перенести в более надежное место, на-пример на флешку. Также желательно его переименовать, чтобы по имени файла не было сразу понятно, что это как раз тот самый ключ. Можно открыть этот файл (позже вы увидите, как он выглядит) и скопировать сам ключ восстановления в какой-то файл, чтобы только вы знали, что это за строка и в каком файле она находится. Оригинальный файл с ключом восстановления лучше потом удалить. Так будет надежнее.
Распечатка ключа восстановления - идея довольно дикая, разве что потом вы поместите этот лист бумаги в сейф и закроете на семь замков.

Теперь нужно определить, какую часть диска требуется шифровать.

Какую часть диска нужно зашифровать?

Можно зашифровать только занятое место, а можно - сразу весь диск. Если ваш диск практически пуст, то намного быстрее зашифровать только занятое место. Рассмотрим варианты:

пусть на флешке в 16 Гбайт имеется всего 10 Мбайт данных. Выберите первый вариант, и диск будет зашифрован мгновенно. Новые же файлы, записываемые на флешку, будут шифроваться «на лету», т. е. автоматически;
второй вариант подойдет, если на диске много файлов, и он почти полностью заполнен. Впрочем, для той же 16-гигабайтной флешки, но заполненной до 15 Гбайт, разница во времени шифрования по первому или второму варианту будет практически неразличима (что 15 Гбайт, что 16 - будут шифроваться
практически одно и то же время);
однако если на диске мало данных, а вы выбрали второй вариант, то шифрование будет длиться мучительно долго по сравнению с первым способом.

Итак, осталось только нажать кнопку Начать шифрование .

Шифрование диска программой Битлокер

Дождаться, пока диск будет зашифрован. Не выключайте питание компьютера и не перезагружайте его до тех пор, пока шифрование не завершится - об этом вы получите соответствующее сообщение.

Если произойдет сбой питания, то шифрование при запуске Windows будет продолжено с того самого момента, где оно было остановлено. Так написано на сайте Майкрософт. Верно ли это для системного диска, я не проверял - не захотелось рисковать.

Продолжение статьи на следующей странице. Для перехода на следующую страницу нажмите на кнопоку 2 которая находится под кнопками социальных сетей.