Шифрование папок windows 7. Шифрование файлов

BitLocker - новые возможности шифрования дисков

Потеря конфиденциальных данных часто происходит после того, как злоумышленник получил доступ к информации на жестком диске. Например, если мошенник каким-то образом получил возможность прочитать системные файлы, он может попробовать с их помощью найти пользовательские пароли, извлечь персональную информацию и т.д.

В Windows 7 присутствует инструмент BitLocker, который позволяет шифровать весь диск, благодаря чему данные на нем остаются защищенными от сторонних глаз. Технология шифрования BitLocker была представлена Windows Vista, а в новой операционной системе она была доработана. Перечислим наиболее интересные нововведения:

включение BitLocker из контекстного меню "Проводника";
автоматическое создание скрытого загрузочного раздела диска;
поддержка агента восстановления данных (DRA) для всех защищенных томов.

Напомним, что данный инструмент реализован не во всех редакциях Windows, а только в версиях "Расширенная", "Корпоративная" и "Профессиональная".

Защита дисков с помощью технологии BitLocker сохранит конфиденциальные данные пользователя практически при любых форс-мажорных обстоятельствах - в случае потери съемного носителя, кражи, несанкционированного доступа к диску и т.д. Технология шифрования данных BitLocker может быть применена к любым файлам системного диска, а также к любым дополнительно подключаемым носителям. Если данные, которые содержатся на зашифрованном диске, скопировать на другой носитель, то информация будет перенесена без шифрования.

Для обеспечения большей безопасности, BitLocker может использовать многоуровневое шифрование - одновременное задействование нескольких видов защиты, включая аппаратный и программный метод. Комбинации способов защиты данных позволяют получить несколько различных режимов работы системы шифрования BitLocker. Каждый из них имеет свои преимущества, а также обеспечивает свой уровень безопасности:

режим с использованием доверенного платформенного модуля;
режим с использованием доверенного платформенного модуля и USB-устройства;
режим с использованием доверенного платформенного модуля и персонального идентификационного номера (ПИН-кода);
режим с использованием USB-устройства, содержащего ключ.

Прежде чем мы рассмотрим подробнее принцип использования BitLocker, необходимо сделать некоторые пояснения. Прежде всего, важно разобраться с терминологией. Доверенный платформенный модуль - это специальный криптографический чип, который позволяет выполнять идентификацию. Такая микросхема может быть интегрирована, например, в некоторых моделях ноутбуков, настольных ПК, различных мобильных устройствах и пр.

Этот чип хранит уникальный "корневой ключ доступа". Такая "прошитая" микросхема - это еще одна дополнительная надежная защита от взлома ключей шифрования. Если эти данные хранились бы на любом другом носителе, будь то жесткий диск или карта памяти, риск потери информации был бы несоизмеримо выше, поскольку доступ к этим устройствам получить легче. С помощью "корневого ключа доступа" чип может генерировать собственные ключи шифрования, которые могут быть расшифрованы только с помощью доверенного платформенного модуля. Пароль владельца создается при первой инициализации доверенного платформенного модуля. Windows 7 поддерживает работу с доверенным платформенным модулем версии 1.2, а также требует наличия совместимой BIOS.

Когда защита выполняется исключительно с помощью доверенного платформенного модуля, в процессе включения компьютера, на аппаратном уровне происходит сбор данных, включая данные про BIOS, а также другие данные, совокупность которых свидетельствует о подлинности аппаратного обеспечения. Такой режим работы называется "прозрачным" и не требует от пользователя никаких действий - происходит проверка и, в случае успешного прохождения, выполняется загрузка в штатном режиме.

Любопытно, что компьютеры, содержащие доверенный платформенный модуль, - это пока лишь теория для наших пользователей, поскольку ввоз и продажа подобных устройств на территории России и Украины запрещены законодательством из-за проблем с прохождением сертификации. Таким образом, для нас остается актуальным только вариант защиты системного диска с помощью USB-накопителя, на который записан ключ доступа.

Технология BitLocker дает возможность применять алгоритм шифрования к дискам с данными, на которых используются файловые системы exFAT, FAT16, FAT32 или NTFS. Если же шифрование применяется к диску с операционной системой, то для использования технологии BitLocker данные на этом диске должны быть записаны в формате NTFS. Метод шифрования, который использует технология BitLocker, основан на стойком алгоритме AES с 128-битным ключом.

Одно из отличий функции Bitlocker в Windows 7 от аналогичного инструмента в Windows Vista состоит в том, что в новой операционной системе не нужно выполнять специальную разметку дисков. Ранее пользователь должен был для этого использовать утилиту Microsoft BitLocker Disk Preparation Tool, сейчас же достаточно просто указать, какой именно диск должен быть защищен, и система автоматически создаст на диске скрытый загрузочный раздел, используемый Bitlocker. Этот загрузочный раздел будет использоваться для запуска компьютера, он хранится в незашифрованном виде (в противном случае загрузка была бы невозможна), раздел же с операционной системой будет зашифрован. По сравнению с Windows Vista, размер загрузочного раздела занимает примерно в десять раз меньше дискового пространства. Дополнительному разделу не присваивается отдельная буква, и он не отображается в списке разделов файлового менеджера.

Для управления шифрованием удобно использовать инструмент в панели управления под названием "Шифрование диска BitLocker" (BitLocker Drive Encryption). Этот инструмент представляет собой менеджер дисков, с помощью которого можно быстро шифровать и отпирать диски, а также работать с доверенным платформенным модулем. В этом окне функцию шифрования BitLocker можно в любой момент отменить или приостановить.

⇡ BitLocker To Go - шифрование внешних устройств

В Windows 7 появился новый инструмент - BitLocker To Go, предназначенный для шифрования любых съемных накопителей - USB-дисков, карт памяти и пр. Для того чтобы включить шифрование съемного диска, необходимо открыть "Проводник", щелкнуть правой кнопкой мыши по нужному носителю и в контекстном меню выбрать команду "Включить BitLocker" (Turn on BitLocker).

После этого будет запущен мастер шифрования выбранного диска.

Пользователь может выбрать один из двух методов разблокировки зашифрованного диска: при помощи пароля - в этом случае пользователю понадобится ввести комбинацию из набора символов, а также при помощи смарт-карты - в этом случае необходимо будет указать специальный ПИН-код смарт-карты. Вся процедура шифрования диска занимает довольно много времени - от нескольких минут до получаса, в зависимости от объема шифруемого накопителя, а также от скорости его работы.

Если подключить зашифрованный съемный носитель, доступ к накопителям обычным способом будет невозможен, а при попытке обратиться к диску, пользователь увидит сообщение:

В "Проводнике" изменится также иконка диска, к которому применена система шифрования.

Чтобы разблокировать носитель, необходимо еще раз щелкнуть правой кнопкой мыши по букве носителя в контекстном меню файлового менеджера и выбрать соответствующую команду в контекстном меню. После того как в новом окне будет верно введен пароль, доступ к содержимому диска откроется, и далее можно будет работать с ним, как и с незашифрованным носителем.

Шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь - даже имеющий привилегии администратора - попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

Шифрование файлов и папок в Windows 7 - это удобный способ защиты конфиденциальных данных, но если хранить на одном диске зашифрованные и незашифрованные данные, это может привести к непредсказуемым результатам, как написано в разделе «Шифрование файлов». Однако владельцы версий Windows 7 Ultimate и Enterprise могут решить эту проблему, воспользовавшись преимуществами инструмента шифрования диска BitLocker.

Bit Locker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным - Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (ТРМ was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

ТРМ, Trusted Platform Module (модуль доверенной платформы), - это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker, Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск.

Вы только помечаете файл как предназначенный для шифрования. Windows шифрует и дешифрует файлы в фоновом режиме, когда создатель файла записывает его или просматривает соответственно. Правда, в Windows 7 шифрование на лету может иногда преподносить сюрпризы, а безопасность - это не та область, в которой можно полагаться на авось.

Шифрование файла

Шифрование - это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как на этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).
На вкладке Общие (General) нажмите Дополнительно (Advanced).
Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Шифрование диска Bitlocker

Битлокер — BitLocker (полное название BitLockerDrive Encryption) - это , встроенная в операционные системы Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 и Windows 8.

С помощью BitLocker можно зашифровать полностью весь носитель данных (логический диск, SD-карту, USB-брелок). При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Вас также может заинтересовать статья « », в которой мы пытались разобраться возможен ли взлом шифрования дисков Windows.

Ключ восстановления к шифру может храниться в компьютере, на USB-устройстве или в аппаратном чипе TPM (Trusted Platform Module, доверенный платформенный модуль). Можно также сохранить копию ключа в своей учет-ной записи Майкрософт (вот только зачем?).

ПОЯСНЕНИЕ Хранить ключ в чипе TPM можно только на тех компьютерах, где чип TPM вмонтирован в материнскую плату. Если материнская плата компьютера оснащена чипом TPM, тогда ключ может быть прочитан из него или после аутентификации с помощью USB-ключа/смарт-карты, или после ввода PIN-кода.

В самом простом случае можно аутентифицировать пользователя и по обычному паролю. Такой способ Джеймсу Бонду, конечно, не подойдет, но большинству обычных пользователей, которые хотят скрыть некоторые свои данные от коллег или родственников, его будет вполне достаточно.

С помощью BitLocker можно зашифровать любой том, в том числе и загрузочный - тот, с которого происходит загрузка Windows. Тогда пароль нужно будет вводить при загрузке (или использовать другие средства аутентификации, например, TPM).

СОВЕТ Я настоятельно не рекомендую вам шифровать загрузочный том. Во-первых, снижается производительность. На сайте technet.microsoft сообщают, что обычно снижение производительности составляет 10 %, однако в вашем конкретном случае можно ожидать большего «торможения» компьютера - все зависит от его конфигурации. Да и шифровать, по сути, нужно далеко не все данные. Зачем шифровать те же программные файлы? В них нет ничего конфиденциального. Во-вторых, если что-то случится с Windows, боюсь, все может закончиться плачевно - форматированием тома и потерей данных.

Поэтому лучше всего зашифровать один какой-то том - отдельный логический диск, внешний USB-диск и т. п. А затем на этот зашифрованный диск поместить все ваши секретные файлы. На зашифрованный диск также можно установить и программы, требующие защиты, - например, ту же 1С Бухгалтерию.

Такой диск вы будете подключать только при необходимости - щелкнул двойным щелчком на значке диска, ввел пароль и получил доступ к данным.

Что можно зашифровать с помощью BitLocker?

Можно зашифровать любой диск, кроме сетевого и оптического. Вот список поддерживаемых типов подключения дисков: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fiber Channel.

Не поддерживается шифрование томов, подключенных по Bluetooth. И хоть карта памяти мобильного телефона, подключенного к компьютеру по Bluetooth, выглядит как отдельный носитель данных, зашифровать его нельзя.

Поддерживаются файловые системы NTFS, FAT32, FAT16, ExFAT. Не поддерживаются прочие файловые системы, в том числе CDFS, NFS, DFS, LFS, программные RAID-массивы (аппаратные RAID-массивы поддерживаются).

Можно зашифровать твердотельные накопители: (SSD-накопители, флешки, SD-карты), жесткие диски (в том числе, подключаемые по USB). Шифрование других типов дисков не поддерживается.

Шифрование диска Bitlocker

Перейдите на рабочий стол, запустите Проводник и щелкните правой кнопкой мыши по диску , который вы хотите зашифровать. Напомню, что это может быть логический том, SD-карта, флешка, USB-диск, SSD-накопитель. Из появившегося меню выберите команду Включить BitLocker .

Команда включения шифрования BitLocker

Первым делом вас спросят, как вы будете с зашифрованного диска: с помощью пароля или смарт-карты. Нужно выбрать один из вариантов (или оба: тогда будут задействованы и пароль, и смарт-карта), иначе кнопка Далее не станет активной.

Как будем снимать блокировку Bitlocker ?

На следующем шаге вам будет предложено создать резервную копию ключа
восстановления.

Архивация ключа восстановления

ПОЯСНЕНИЕ Ключ восстановления используется для разблокировки диска в случае, когда вы забыли пароль или потеряли смарт-карту. Отказаться от создания ключа восстановления нельзя. И это правильно, потому что, приехав из отпуска, свой пароль к зашифрованному диску я-таки забыл. Эта же ситуация может повториться и у вас. Поэтому выбираем один из предложенных способов архивирования ключа восстановления.

Сохранение ключа в учетную запись Майкрософта. Этот способ я не рекомендую: нет соединения с Интернетом - получить свой ключ не получится.
Сохранение в файл - оптимальный способ. Файл с ключом восстановления будет записан на рабочий стол.

Сохранение ключа восстановления на рабочем столе

Сами понимаете, его оттуда следует перенести в более надежное место, на-пример на флешку. Также желательно его переименовать, чтобы по имени файла не было сразу понятно, что это как раз тот самый ключ. Можно открыть этот файл (позже вы увидите, как он выглядит) и скопировать сам ключ восстановления в какой-то файл, чтобы только вы знали, что это за строка и в каком файле она находится. Оригинальный файл с ключом восстановления лучше потом удалить. Так будет надежнее.
Распечатка ключа восстановления - идея довольно дикая, разве что потом вы поместите этот лист бумаги в сейф и закроете на семь замков.

Теперь нужно определить, какую часть диска требуется шифровать.

Какую часть диска нужно зашифровать?

Можно зашифровать только занятое место, а можно - сразу весь диск. Если ваш диск практически пуст, то намного быстрее зашифровать только занятое место. Рассмотрим варианты:

пусть на флешке в 16 Гбайт имеется всего 10 Мбайт данных. Выберите первый вариант, и диск будет зашифрован мгновенно. Новые же файлы, записываемые на флешку, будут шифроваться «на лету», т. е. автоматически;
второй вариант подойдет, если на диске много файлов, и он почти полностью заполнен. Впрочем, для той же 16-гигабайтной флешки, но заполненной до 15 Гбайт, разница во времени шифрования по первому или второму варианту будет практически неразличима (что 15 Гбайт, что 16 - будут шифроваться
практически одно и то же время);
однако если на диске мало данных, а вы выбрали второй вариант, то шифрование будет длиться мучительно долго по сравнению с первым способом.

Итак, осталось только нажать кнопку Начать шифрование .

Шифрование диска программой Битлокер

Дождаться, пока диск будет зашифрован. Не выключайте питание компьютера и не перезагружайте его до тех пор, пока шифрование не завершится - об этом вы получите соответствующее сообщение.

Если произойдет сбой питания, то шифрование при запуске Windows будет продолжено с того самого момента, где оно было остановлено. Так написано на сайте Майкрософт. Верно ли это для системного диска, я не проверял - не захотелось рисковать.

Продолжение статьи на следующей странице. Для перехода на следующую страницу нажмите на кнопоку 2 которая находится под кнопками социальных сетей.

Когда речь идет об особо ценных данных, шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь - даже имеющий привилегии администратора - попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

ШИФРОВАНИЕ ЦЕЛОГО ДИСКА С ПОМОЩЬЮ BITLOCKER

BitLocker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным - Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (TPM was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

TPM, Trusted Platform Module (модуль доверенной платформы), - это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker. Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск. Откройте Редактор локальной групповой политики (Group Policy Object Editor) (для этого нужно щелкнуть на кнопке Пуск и выполнить команду gpedit.msc), а затем разверните ветвь Конфигурация компьютера\Административные шаблоны\Компоненты Windows\ll^poBaHMe диска BitLocker (Computer Configuration\Administrative Templates\ Windows Components\BitLocker Drive Encryption). На правой панели дважды щелкните на записи Панель управления: включить дополнительные параметры запуска (Control Panel Setup: Enable advanced startup options), щелкните Включить (Enabled), установите флажок Разрешить использовать BitLocker без совместимого ТРМ (Allow BitLocker without a compatible ТРМ) и нажмите ОК.

BitLocker можно использовать, если на жестком диске есть как минимум два раздела (подробнее об этом - в главе 4): один - для операционной системы и второй, «активный» раздел размером от 1,5 Гбайт - для загрузки компьютера. Если ваш диск сконфигурирован иначе, запустите инструмент подготовки диска BitLocker (BitLocker Drive Preparation Tool, BdeHdCfg.exe) и выполните подготовку, следуя указаниям на экране. Когда диск будет готов, откройте на Панели управления страницу Шифрование диска BitLocker (BitLocker Drive Encryption) и щелкните на ссылке Включить BitLocker (Turn on BitLocker).

Подсказка: если у вас установлена другая редакция Window 7, отличная от Windows 7 Ultimate, то схожую функциональность предлагают утилиты FreeOTFE (http://www.freeotfe.org) и TrueCrypt (http://www.truecrypt.org). Обе они бесплатны и совместимы со всеми редакциями Windows 7.

Необходимо считать данные с зашифрованного BitLocker диска в Windows Vista или ХР? Используйте инструмент Microsoft BitLocker То Go Reader, который можно бесплатно загрузить с сайта http://windows.microsoft.com/en-US/windows7/what-is-the- bitlocker-to-go-reader.

Шифрование - это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как иа этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

1. Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).

2. На вкладке Общие (General) нажмите Дополнительно (Advanced).

3. Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Независимо от того, зашифрован файл или нет, вы работаете с ним как обычно. Вам никогда ие придется вручную дешифровать файл, чтобы просмотреть его содержимое. Подробнее о том, как быстро зашифровать или дешифровать файл, рассказывается в подразделе «Добавление команд Шифровать (Encrypt) и Дешифровать (Decrypt) в контекстные меню» на с. 458.

Если вы решили, что будете шифровать файлы, то стоит помнить о следующем:

О Шифрование содержимого папок

При шифровании папки, внутри которой есть файлы или другие папки, Windows просит вас указать, нужно ли шифровать это содержимое. В большинстве случаев вы просто соглашаетесь. Если же вы в этом окне щелкнете на кнопке Нет (No), то текущее содержимое папки останется незашифрованным, однако новые файлы будут шифроваться. Подробнее об этом рассказывается в подразделе «Секреты шифрования папок» на с. 457.

О Зашифровано навсегда?

Невозможно гарантировать, что зашифрованный файл останется таковым навсегда. Например, некоторые приложения при редактировании и сохранении данных удаляют оригинальные файлы, а потом создают новые на том же месте. Если приложение не знает, что файл нужно шифровать, защита исчезает. Чтобы этого не происходило, необходимо шифровать родительскую папку, а не только сам файл.

О Защищено от других пользователей?

Если изменить владельца зашифрованного файла (как рассказывается в разделе «Установка разрешений для файлов и папок»), то только предыдущий владелец

н создатель файла сможет расшифровать и просмотреть его, несмотря на то что файл ему уже не принадлежит. Это означает, что в некоторых случаях ни один пользователь не способен прочитать файл.

О Шифрование системных файлов

Поскольку доступ к определенным папкам, таким как \Windows и \Windows\System, нужен всем пользователям, шифрование файлов, системных папок и корневых каталогов любых дисков запрещено. Следовательно, единственный способ зашифровать подобные объекты - использовать шифрование всего диска, как рассказывается во врезке «Шифрование целого диска с помощью BitLocker» на с. 452.

О Шифрование и сжатие

Сжатие - еще одна возможность файловых систем NTFS - позволяет уменьшать количество места, которое занимают на диске файлы и папки. Принципы сжатия очень напоминают принципы шифрования. Однако для объекта нельзя одновременно использовать и шифрование, и сжатие; включите в окне Свойства (Properties) один параметр, и второй автоматически отключится.

В последние годы на различных форумах, в письмах и при встречах все чаще пользователи начинают задавать вопросы о том, что собой представляет сравнительно новый функционал операционных систем Windows Vista, Windows 7 и Windows Server 2008 / 2008 R2 – Windows BitLocker (с выходом последних операционных систем данная технология приобрела некие изменения и теперь называется BitLoker To Go). Но после того как большинство пользователей и начинающих системных администраторов слышат ответ, что данный компонент – это «всего-то» встроенное средство безопасности в современных операционных системах, которое обеспечивает надежную защиту самой операционной системы, данных, которые хранятся на компьютере пользователя, а также отдельных томов и съемных носителей, что позволяет оставить пользовательские данные нетронутыми при серьезных атаках, а также физическим изыманием жестких дисков, для дальнейшего автономного взлома данных, я часто слышу о том, что такой функционал вовсе не будет востребованным и его использование только усложнит жизнь пользователям. С таким утверждением невозможно согласиться, так как данные должны находиться в безопасности. Вы ведь не оставляете ключи от своего дома или код к электронному замку вашей организации каждому встречному?

Домашние пользователи обычно аргументируют свое нежелание пользоваться данной технологией тем, что на их компьютерах нет никаких «жизненно важных» данных и даже если их взломают, то ничего страшного не произойдет, кроме того что кто-то посмотрит их профили в социальных сетях «Одноклассники» и «Вконтакте». Владельцы ноутбуков и нетбуков считают, что если их техника будет украдена, то о пропавших данных им нужно беспокоиться меньше всего. Системные администраторы в некоторых компаниях утверждают, что у них нет никаких секретных проектов и абсолютно всем сотрудникам компании можно доверять, а домой документацию и продукты интеллектуального труда они берут лишь в целях окончания работы, на которую не хватило рабочего времени. А компьютеры их организации защищены антивирусным программным обеспечением и настройками брандмауэров по умолчанию. А зачем нужно защищать внешние накопители, если на них просто хранятся музыкальные и видео файлы? И ничего, что такие устройства как флэщки могут ходить как по организациям, так и по всем вашим знакомым.

Но ни с одной из вышеперечисленных причин нельзя согласиться. У домашних пользователей при атаке могут не только скопировать себе всю коллекцию музыкальных и видео файлов, а изъять все пароли к банковским счетам и учетные данные на посещаемых сайтах при помощи cookie-файлов или, не дай бог, текстовых файлах с логинами и паролями, которые не редко располагаются на рабочем столе. Также есть большой шанс, что будет просмотрена вся почтовая переписка и т.п. На украденных ноутбуках могут находиться конфиденциальные данные, хищение которых может отрицательно сказаться на бизнесе вашей компании, а увольнение с соответствующим «поощрением» в вашем резюме в будущем может сказаться на вашей карьере крайней негативно. И наконец, в наше время в любой организации присутствуют секретные данные, которые не желательно показывать своим конкурентам. И если будет успешно атакован, по крайней мере, один из компьютеров вашей организации, есть огромный шанс, что вскоре у вас будет заражен весь ваш парк компьютеров, что повлечет за собой титанические усилия для приведения компьютеров вашей организации в первоначальное состояние. Недоброжелатели могут найтись даже в вашей организации. Даже если при выходе из здания охраной проверяются ваши сумки, они не будут проверять внешние накопители каждого сотрудника. А на них ведь можно вынести немало данных, о которых еще несколько месяцев не должны узнать ваши конкуренты.

По этой причине вам просто необходимо постараться обезопасить ваши данные любым возможным действующим способом. Именно для этого и предназначен данный компонент современных операционных систем компании Microsoft. Именно BitLocker позволяет предотвратить несанкционированный доступ к данным даже на потерянных или украденных компьютерах, тем самым улучшая работу вашей операционной системы. Для улучшения защиты ваших данных Windows BitLocker использует доверенный платформенный модуль (Trusted Platform Module — TPM) — спецификация, детализирующая криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM», что гарантирует целостность компонентов, используемых даже на самой ранней стадии загрузки.

В этих технологиях можно найти преимущества, как для домашних пользователей, так и для системных администраторов в организациях. Для домашнего пользователя к основному преимуществу данных технологий можно отнести простоту использования, так как для ежедневного использования функционала BitLocker или BitLocker To Go, защита компьютера и его восстановление для пользователя является совершенно прозрачным. Системные администраторы наверняка оценят удобства управления защитой данных. Для удаленного управления шифрованием BitLocker, вы можете использовать инфраструктуру доменных служб Active Directory, причем расширенное управление будет осуществлено средствами групповых политик и скриптов.

Именно об этих компонентах операционных систем пойдет речь в данном цикле статей. О данных компонентах и их функционале в Интернете уже можно найти довольно много полезной информации, включая замечательные видео доклады, в которых вы можете вживую увидеть принцип их работы. Посему я в статьях данного цикла постараюсь наиболее подробно рассмотреть большинство функциональных возможностей как для домашних пользователей, так и для организаций для того чтобы вам не приходилось проводить длительное время в поисках того, как можно реализовать тот или иной сценарий для применения определенных действий.

Архитектура данной технологии

Как вы уже знаете, когда операционная система находится в активном состоянии, ее можно защитить при помощи локальных политик безопасности, антивирусного программного обеспечения и брандмауэров с межсетевыми экранами, а вот защитить том операционной системы на жестком диске вы можете средствами шифрования BitLocker. Для того чтобы воспользоваться всеми преимуществами шифрования BitLocker и проверки подлинности системы, ваш компьютер должен соответствовать таким требованиям, как наличие установленного модуля TPM версии 1.2, который при включении шифрования позволяет сохранять определенный ключ для запуска системы внутри самого доверенного платформенного модуля. Помимо модуля TPM, в базовой системе ввода-вывода (BIOS) должна быть установлена спецификация группы Trusted Computing Group (TCG), которая перед загрузкой операционной системы создает цепочку доверий для действий и включает поддержку статического корневого объекта изменения уровня доверия. К сожалению, не все материнские платы оснащены таким модулем как TPM, но даже без этого модуля операционная система позволяет вам воспользоваться данной технологией шифрования при наличии запоминающих устройств USB с поддержкой команд UFI, а также в том случае, если ваш жесткий диск разбит на два и более тома. Например, на одном томе у вас будет находиться непосредственно операционная система для которой и будет включено шифрование, а второй, системный том, емкостью не менее 1,5Гб, содержит файлы, которые нужны для загрузки операционной системы после того как BIOS загрузит платформу. Все ваши томы должны быть отформатированы в файловой системе NTFS.

Архитектура шифрования BitLocker обеспечивает управляемые и функциональные механизмы, как в режиме ядра, так и в пользовательском режиме. На высоком уровне, к основным компонентам BitLocker можно отнести:

Драйвер Trusted Platform Module (%SystemRoot%System32DriversTpm.sys) – драйвер, который обращается к чипу TPM в режиме ядра;
Основные службы TPM , которые включают пользовательские службы, предоставляющие доступ к TPM в пользовательском режиме (%SystemRoot%System32tbssvc.dll), поставщика WMI, а также оснастку MMC (%SystemRoot%System32Tpm.msc);
Связанный код BitLocker в диспетчере загрузки (BootMgr) , который аутентифицирует доступ к жесткому диску, а также позволяет восстанавливать и разблокировать загрузчик;
Драйвер фильтра BitLocker (%SystemRoot%System32DriversFvevol.sys), который позволяет шифровать и расшифровывать тома на лету в режиме ядра;
Поставщик WMI BitLocker и управление сценариями , которые позволяют настраивать и управлять сценариями интерфейса BitLocker.

На следующей иллюстрации изображены различные компоненты и службы, которые обеспечивают корректную работу технологии шифрования BitLocker:

Рис. 1. Архитектура BitLocker

Ключи шифрования

BitLocker зашифровывает содержимое тома, используя ключ шифрования всего тома (FVEK - Full Volume Encryption Key), назначенного ему во время его первоначальной настройки для использования компонента BitLocker, с использованием алгоритмов 128- или 256-разрядного ключа AES AES128-CBC и AES256-CBC с расширениями Microsoft, которые называются диффузорами. Ключ FVEK шифруется с помощью главного ключа тома (VMK - Volume Master Key) и хранится на томе в области, специально отведенной для метаданных. Защита главного ключа тома является косвенным способом защиты данных тома: дополнение главного ключа тома позволяет системе пересоздать ключ после того как ключи были утеряны или скомпрометированы.

Когда вы настраиваете шифрование BitLocker, для защиты вашего компьютера при помощи VMK, в зависимости от вашей аппаратной конфигурации, вы можете использовать один из нескольких методов. Шифрование BitLocker поддерживает пять режимов проверки подлинности в зависимости от аппаратных возможностей компьютера и требуемого уровня безопасности. Если ваша аппаратная конфигурация поддерживает технологию доверенного платформенного модуля (TPM), то вы можете сохранять VMK как только в TMP, так и в TPM и на устройстве USB или сохранять ключ VMK в TPM и при загрузке системы вводить PIN. Помимо этого у вас есть возможность скомбинировать два предыдущих метода. А для платформ, которые не совместимы с технологией TPM, вы можете хранить ключ на внешнем USB устройстве.

Стоит обратить внимание на то, что при загрузке операционной системы с включенным шифрованием BitLocker, выполняется последовательность действий, которая зависит от набора средств защиты тома. Эти действия включают в себя проверку целостности системы, а также другие шаги по проверке подлинности, которые должны быть выполнены перед снятием блокировки с защищённого тома. В следующей таблице обобщены различные способы, которые вы можете использовать для шифрования тома:

Источник	Безопасность	Действия пользователя
Только TPM	Защищает от программных атак, но уязвим к аппаратным атакам	Никаких
TPM + PIN	Добавляет защиту от аппаратных атак	Пользователь должен вводить PIN-код при каждом запуске ОС
TPM + ключ USB	Полная защита от аппаратных атак, но уязвима к потере ключа USB
TPM + ключ USB + PIN	Максимальный уровень защиты	При каждом запуске ОС пользователь должен вводить PIN-код и использовать ключ USB
Только ключ USB	Минимальный уровень защиты для компьютеров, не оснащенных TPM + есть риск потери ключа	Пользователь должен использовать ключ USB при каждом запуске ОС

Таблица 1. Источники VMK

На следующей иллюстрации показаны способы шифрования томов:

Рис. 2. Способы шифрования томов, используя технологию BitLocker

Перед тем как BitLocker предоставит доступ к FEVK и расшифрует том, вам нужно предоставить ключи авторизированного пользователя или компьютера. Как было указано выше, если в вашем компьютере присутствует модуль TPM, вы можете использовать разные методы проверки аутентификации. В следующих подразделах, рассмотрим каждый из этих методов подробнее.

Использование только TPM

Процесс загрузки операционной системы использует TPM для того чтобы убедиться, что жесткий диск подключен к соответствующему компьютеру и важные системные файлы не были повреждены, а также предотвращает доступ к жесткому диску, если вредоносная программа или руткит поставил под угрозу целостность системы. В то время, когда компьютер проходит валидацию, TPM разблокирует VMK и ваша операционная система запускается без участия пользователя, как вы можете увидеть на следующей иллюстрации.

Рис. 3. Проверка подлинности с помощью технологии TPM

Использование TPM совместно с USB-ключом

В дополнение к физической защите, которая была описана в предыдущем подразделе, в этом случае TPM требует внешний ключ, который находится на USB-устройстве. В этом случае пользователю нужно вставить USB-накопитель, на котором хранится внешний ключ, предназначенный для аутентификации пользователя и целостности компьютера. В этом случае, вы можете защитить свой компьютер от кражи, при включении компьютера, а также при выводе из режима гибернации. К сожалению, этот способ не защитит вас от вывода компьютера из спящего режима. При использовании этого способа, для уменьшения риска при краже компьютера, вам нужно хранить внешний ключ отдельно от своего компьютера. На следующей иллюстрации вы можете ознакомиться с использованием TPM совместно с внешним USB-ключом:

Рис. 4. Проверка подлинности с помощью модуля TPM и USB-ключа

Использование TPM совместно с PIN-кодом

Этот способ препятствует запуску компьютера до тех пор, пока пользователь не введет персональный идентификационный номер (PIN-код). Этот способ позволяет защитить ваш компьютер в том случае, если у вас был украден выключенный компьютер. К сожалению, вам не стоит использовать данный метод в том случае, если компьютер должен запускаться автоматически без участия человека, которые обычно выступают в качестве серверов. Когда запрашивается PIN, аппаратный модуль TPM компьютера отображает запрос для ввода четырехзначного PIN-кода со специальной задержкой, которая устанавливается производителями материнской платы и самого модуля TPM. На следующей иллюстрации вы можете увидеть данный способ проверки подлинности:

Рис. 5. Проверка подлинности с помощью TPM и PIN-кода

Использование комбинированного метода (TPM+PIN-код+USB-ключ)

В операционных системах Windows 7 и Windows Vista вы можете использовать комбинированный метод проверки подлинности для максимального уровня защиты вашего компьютера. В этом случае, к аппаратной проверке подлинности TPM добавляется ввод PIN-кода и использование внешнего ключа, который находится на USB-накопителе. Все эти средства обеспечивают максимальный уровень защиты BitLocker, которые требуют данные, которые «знает» и «использует» пользователь. Для того чтобы злоумышленник завладел вашими данными, которые расположены на защищённом при помощи технологии BitLocker томе, ему нужно украсть ваш компьютер, иметь в наличии USB-накопитель с вашим ключом, а также знать PIN-код, что практически невозможно. На следующей иллюстрации изображен данный метод проверки подлинности:

Рис. 6. Проверки подлинности с использованием TPM, USB-ключа, а также PIN-кода

Проверка подлинности только с USB-ключом запуска

В этом случае пользователь предоставляет VMK на диске, USB-накопителе или на любых внешних устройствах хранения данных для расшифровки FEVK и тома, зашифрованных при помощи технологии BitLocker на компьютере, в котором не установлен модуль TPM. Использование ключа запуска без TPM позволяет вам шифровать данные без обновления вашего аппаратного оборудования. Этот способ считается наиболее уязвимым, так как в этом случае не выполняется проверка целостности загрузки и при переносе жесткого диска на другой компьютер, данными из зашифрованного диска можно будет воспользоваться.

Заключение

Шифрование диска BitLocker – это средство безопасности в современных операционных системах Windows, которое позволяет защитить операционную систему и данные, которые хранятся на ваших компьютерах. В идеальном сочетании, BitLocker настраивается на использование доверенного платформенного модуля TPM, что обеспечивает целостность компонентов начальной загрузки и блокировки томов, которые защищаются даже в том случае, если операционная система еще не запущена. В этой статье цикла, посвященного шифрованию данных, вы узнали об архитектуре данного средства. В следующей статье вы узнаете о реализации шифрования диска с помощью технологии Windows BitLocker.