Шифрування даних засобами Windows: BitLocker

Компанія Microsoft зараз активно просуває свою нову ОС Windows Vista. Зокрема, позиціонує її як найбільш захищену ОС зі всього сімейства Windows ». Спростовувати або доводити це твердження в цій статті не будемо, але розглянемо нове і цікаве доcтаточно засіб для захисту даних у цій ОС. Отже, зустрічайте – BitLocker.

Це засіб для захисту даних з'явилося в Windows Vista Enterprise/Ultimate/2008 Server. Існують дані і про те, що з'явиться версія для Win XP/2003 Server.

Основна перевага BitLocker `а полягає в тому, що він шифрує відразу весь тому жорсткого диска. Можливо також шифрування за допомогою TPM – чіпа (Trusted Platform Module) версії 1.2 і BIOS з підтримкою TPM і SRTM (Static Root of Trust Measurement, статичний корінь вимірювання довіри, описаний у специфікаціях TCG), також з використанням USB-ключа або ПІН – коду. Треба зауважити, що на більшості сучасних материнських плат цей чіп вже стоїть.

Основна відмінність для користувача (або системного адміністратора) від відомої функції шифрування, вбудовану в файлову систему NTFS – засіб EFS (Encrypted File System) – те, що в EFS необхідно вручну вказувати, які файли треба шифрувати, BitLocker ж здійснює шифрування «прозоро», відразу при записі на захищений їм те, при мінімумі втручань з боку користувача. BitLocker не шифрує наступні елементи томи: метадані, завантажувальні сектора та пошкоджені сектора.

Слід мати на увазі, що BitLocker прив'язується до певного ПК, і на іншому ПК (якщо він тільки не буде 100% ідентичний вашому, що нереально), дані буде неможливо (або надзвичайно важко) прочитати навіть з використанням USB ключа.

Алгоритм, який застосовується для шифрування – AES з довжиною ключа 128 або 256 біт (змінюється за допомогою групових політик або WMI).

Результат роботи BitLocker – те, що два сектори з однаковими даними в зашифрованому вигляді будуть виглядати по-різному. При завантаженні система BitLocker в більшості випадків не вимагає втручання користувача.

У таблиці нижче наведені основні достоїнства і недоліки системи BitLocker.































Плюси (+)  Мінуси (-) 
Можливість контролю через Active Directory BitLocker поки працює тільки на Windows Vista Enterprise/Ultimate/2008 Server
Робота алгоритму на рівні томи, що забезпечує високу ступінь стійкості Слабка попередня аутентифікація – можливе створення руткіта, що змінює завантажувальні файли ОС – буде потрібно відновлення даних (при ісп. Без TPM чіпа)
Можливість використання апаратного засобу захисту – чіпа TPM Вельми середня підтримка багатофакторної аутентифікації (тільки TPM і USB-ключ)
Високий ступінь надійності Деякі заморочки в налаштуванні. Багато чого доводиться робити через консоль.
Заснований на алгоритмі AES, що вважається алгоритмом з високим показником стійкості до злому
 
Тісно інтегрований в ОС, що може призвести до витоку даних при зломі
Комп'ютер з чіпом TPM може перевірити цілісність завантажувальних компонентів до запуску ОС Нова система, можуть проявитися помилки розробки
Ідеальне рішення для захисту від Offline атак (атаки з вимиканням) Потрібно Vista-сумісний комп'ютер
Вартість системи включена у вартість ОС
Висока продуктивність, непомітний при роботі
 

Налагодження системи BitLocker

У цій частині ми розповімо, як включити BitLocker. Глибоко копати не будемо, опишемо лише основні нюанси.

Передбачається, що ви в перший раз включаєте BitLocker на своїй машині. І що ви використовуєте шифрування за допомогою TPM (якщо це не так, то в кінці буде описано, як включити систему без TPM).

Якщо ви вирішили використовувати BitLocker – переконайтеся в тому, що томи Вашого жорсткого диска вже не зашифровані іншими средтвамі. Найбільш критичний в цьому плані активний розділ, з якого завантажується ОС! У Інакше системі не вдасться прочитати дані з завантажувального сектора диска, а також проініціалізувати компоненти завантаження ОС. Також інші модулі ОС можуть потребувати в тимчасовому доступі до активного розділу, тому слід вчинити рекомендаціям Microsoft: відводити йому не менше 1,5 ГБ. І бажана настройка дозволів NTFS, щоб інші пользоваетіл не могли нічого записувати на цей том. Сама ОС буде встановлена на іншого тому, і його можна безболісно зашифрувати. У принципі, якщо на томі з активним розділом немає даних – можна особливо не сіпатися. Тільки майте на увазі, що дані можна відновити за допомогою дослідження вмісту тимчасових папок системи та своп-файлу. Тому їх рекомендується розмістити все-таки на зашифрованому томі. Більш детально процес налаштування томів описаний в базі знань Microsoft: http://go.microsoft.com/fwlink/?LinkId=87066. Також можна використовувати засіб для підготовки диска BitLocker, воно знаходиться на DVD-диску з Windows Vista Ultimate / Enterprise. Але це добре для машин, де поки немає даних, через які необхідно шифрувати тому. До того ж все це можна зробити руками – це засіб зменшує активний розмір до 1,5 гб, створює новий том і т.д. Далі йдемо в «панель управління» – «шифрування диска BitLocker» (якщо класичний вид) або у вкладці «безпека» (якщо веб-інтерфейс).

Можливо, доведеться ініціалізувати чіп TPM. Тоді відкриється майстер ініціалізації, він досить простий і не потребує докладних коментарів. По завершенні майстра комп'ютер доведеться перезавантажити.

Після ініціалізації та перезавантаження з'явиться наступне віконце:


Тут вам пропонують зберегти на USB-флеш/распечатать/сохранить на диск пароль відновлення. Поставтеся серйозно до цієї операції – без пароля дані (на сьогоднішній день) без спеціальних засобів відновити нереально, тому що дані шифруються 48-значним паролем. Не зберігайте пароль для відновлення на ту ж саму флеш, яка служить ключем!

Після збереження пароля з'явиться кнопка «Далі» (Next), натиснувши на яку можна буде зашифрувати тому. Так, там же буде запропоновано провести перевірку на предмет коректності роботи USB портів, TPM чіпа і BIOS комп'ютера. Хоча потрібно перезавантаження, все ж настійно рекомендується зробити перевірку. Якщо є помилки, вони відобразяться після перезавантаження. Якщо ні – з'явиться напис «виконується шифрування …» і після закінчення оного в треї з'явиться значок BitLocker. Якщо ж у вас немає TPM – чіпа, то треба налаштувати BitLocker відповідним чином … Хоча і в цьому випадку необхідна підтримка під час завантаження читання з USB-флеш, а також мати вільну флешку – вона буде потрібно при запуску BitLocker `a та включення / перезавантаження комп'ютера. Звичайно ж, ви можете записувати на цю флеш та інші дані, але врахуйте, що вони не будуть зашифрованими. Отже, щоб включити систему BitLocker без підтримки TPM, необхідно:


Зверніть увагу – USB-ключ необхідно вставляти ДО включення живлення ПК, інакше BitLocker може видати помилку – «Windows BitLocker Drive Encryption key needed», тобто немає флешки з ключем. Вставте флеш і натисніть Esc для перезавантаження (повідомлення показано нижче).


Оскільки в житті всяке буває, система може давати збої і тоді дані на зашифрованому томі виявляться недоступними. Як відновити дані?

При появі екрану, показаного вище, можна вставити USB-флеш з ключем. Якщо її немає, то натисніть Enter. З'явиться екран, показаний нижче:


До речі, цей же екран з'явиться, якщо ви не вибирали опцію – «Збереження ключа на USB – флеш» при установці шифрування.

Тут вам пропонується ввести 48-значний пароль відновлення. Якщо його немає – то відновити дані вже значно важче і цей процес виходить за рамки цієї статті.

Ось в принципі і все … Залишається лише зауважити, що в цілому BitLocker – це потужна і надійна система для зберігання ваших конфіденційних даних.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*