Шифрування даних засобами windows bitlocker

Компанія Microsoft зараз активно просуває свою нову ОС Windows Vista. Зокрема, позиціонує її як найбільш захищену ОС зі всього сімейства Windows ». Спростовувати або доводити це твердження в даній статті не будемо, але розглянемо нове і доcтаточно цікаве засіб для захисту даних в цій ОС. Отже, зустрічайте - BitLocker.

Це засіб для захисту даних з`явилося в Windows Vista Enterprise / Ultimate / 2008 Server. Існують дані і про те, що з`явиться версія для Win XP / 2003 Server.

Основна перевага BitLocker`а полягає в тому, що він шифрує відразу весь тому жорсткого диска. Можливо також шифрування за допомогою TPM - чіпа (Trusted Platform Module) версії 1.2 і BIOS з підтримкою TPM і SRTM (Static Root of Trust Measurement, статичний корінь вимірювання довіри, описаний в специфікаціях TCG), також з використанням USB-ключа або ПІН - коду . Треба зауважити, що на більшості сучасних материнських плат цей чіп вже стоїть.

Основна відмінність для користувача (або системного адміністратора) від відомої функції шифрування, вбудовану в файлову систему NTFS - засіб EFS (Encrypted File System) - то, що в EFS необхідно вручну вказувати, які файли треба шифрувати, BitLocker ж здійснює шифрування «прозоро», відразу при записі на захищений їм те, при мінімумі втручань з боку користувача. BitLocker не шифрується наступні елементи томи: метадані, завантажувальні сектора та пошкоджені сектора.

Слід мати на увазі, що BitLocker прив`язується до певного ПК, і на іншому ПК (якщо він тільки не буде 100% ідентичний вашому, що нереально), дані буде неможливо (або надзвичайно важко) прочитати навіть з використанням USB ключа.

Алгоритм, застосовуваний для шифрування - AES з довжиною ключа 128 або 256 біт (змінюється за допомогою групових політик або WMI).

Результат роботи BitLocker - те, що два сектори з однаковими даними в зашифрованому вигляді будуть виглядати по-різному. При завантаженні система BitLocker в більшості випадків не вимагає втручання користувача.

Нижче наведені основні переваги і недоліки системи BitLocker:

плюси:

• Можливість контролю через Active Directory;
• Робота алгоритму на рівні томи, що забезпечує високу ступінь стійкості;
• Можливість використання апаратного засоби захисту - чіпа TPM;
• Високий ступінь надійності;
• Заснований на алгоритмі AES, що вважається алгоритмом з високим показником стійкості до злому;
• Комп`ютер з чіпом TPM може перевірити цілісність завантажувальних компонентів до запуску ОС;
• Ідеальне рішення для захисту від Offline атак (атаки з вимиканням);
• Вартість системи включена у вартість ОС;
• Висока продуктивність, непомітний при роботі.

мінуси:

• BitLocker поки працює тільки на Windows Vista Enterprise / Ultimate / 2008 Server;
• Слабка попередня аутентифікація - можливе створення руткита, що змінює завантажувальні файли ОС - потрібно відновлення даних (при ісп. Без TPM чіпа);
• Вельми середня підтримка багатофакторної аутентифікації (тільки TPM і USB-ключ);
• Багато що доводиться робити через консоль;
• Тісно інтегрований в ОС, що може привести до витоку даних при зломі;
• Нова система, можуть виявитися помилки розробки;
• Потрібно Vista-сумісний комп`ютер.

Налаштування системи BitLocker

У цій частині ми розповімо як включити BitLocker. Глибоко копати не будемо, опишемо лише основні нюанси.

Передбачається, що ви в перший раз включаєте BitLocker на своїй машині. І що ви використовуєте шифрування за допомогою TPM (якщо це не так, то в кінці буде описано, як включити систему без TPM).

Якщо ви вирішили використовувати BitLocker - переконайтеся в тому, що томи Вашого жорсткого диска вже не зашифровані іншими средтв. Найбільш критичний в цьому плані активний розділ, з якого завантажується ОС! В іншому випадку системі не вдасться прочитати дані з завантажувального сектора диска, а також проинициализировать компоненти завантаження ОС. Також інші модулі ОС можуть потребувати в тимчасовому доступі до активного розділу, тому слід вчинити рекомендаціям Microsoft: відводити йому не менше 1,5 ГБ. І бажана настройка дозволів NTFS, щоб інші пользоваетіл не могли нічого записувати на цей том. Сама ОС буде встановлена на інший том, і його можна безболісно зашифрувати. В принципі, якщо на томі з активним розділом немає даних - можна особливо не сіпатися. Тільки майте на увазі, що дані можна відновити за допомогою дослідження вмісту тимчасових папок системи і своп-файлу. Тому їх рекомендується розмістити все-таки на зашифрованому томі. Більш детально процес налаштування томів описаний в базі знань Microsoft. Також можна використовувати засіб для підготовки диска BitLocker, воно знаходиться на DVD-диску з Windows Vista Ultimate / Enterprise. Але це добре для машин, де поки немає даних, через які необхідно шифрувати тому. До того ж все це можна зробити руками - це засіб зменшує активний розмір до 1,5 гб, створює новий том і т.д. Далі йдемо в «панель управління» - «шифрування диска BitLocker» (якщо класичний вид) або у вкладці «безпека» (якщо веб-інтерфейс).

Можливо, доведеться форматувати чіп TPM. Тоді відкриється майстер ініціалізації, він досить простий і не потребує докладних коментарів. По завершенні майстра комп`ютер доведеться перезавантажити.

Після ініціалізації та перезавантаження з`явиться наступне віконце:

Тут вам пропонують зберегти на USB-флеш / роздрукувати / зберегти на диск пароль відновлення. Поставтеся серйозно до цієї операції - без пароля дані (на сьогоднішній день) без спеціальних засобів відновити нереально, так як дані шифруються 48-значним паролем. Чи не зберігайте пароль для відновлення на ту ж саму флеш, яка служить ключем!

Після збереження пароля з`явиться кнопка «Далі» (Next), натиснувши на яку можна буде зашифрувати тому. Так, там же буде запропоновано провести перевірку на предмет коректності роботи USB портів, TPM чіпа і BIOS комп`ютера. Хоча потрібно перезавантаження, все ж настійно рекомендується провести перевірку. Якщо є помилки, вони відобразяться після перезавантаження. Якщо немає - з`явиться напис «виконується шифрування ...» і після закінчення оного в треї з`явиться значок BitLocker. Якщо ж у вас немає TPM - чіпа, то треба налаштувати BitLocker відповідним чином ... Хоча і в цьому випадку необхідна підтримка під час завантаження читання з USB-флеш, а також мати вільну флешку - вона буде потрібно при запуску BitLocker`a і включення / перезавантаження комп`ютера . Звичайно ж, ви можете записувати на цю флеш та інші дані, але врахуйте, що вони не будуть зашифрованими. Отже, щоб включити систему BitLocker без підтримки TPM, необхідно:

1. Увійти з правами адміністратора;
2. У вікні «виконати» або в рядку пошуку ввести gpedit.msc;
3. Потім в консолі редактора групових політик оберіть "Редактор локальної політики», потім «Адміністративні шаблони», «Компоненти Windows», і за допомогою подвійного клацання відкрийте «Шифрування диска BitLocker»;
4. У налаштуванні «Установка панелі управління: включити додаткові параметри запуску» і у вікні виберіть варіант «Включити» і встановіть галочку. «Дозволити використання BitLocker без сумісного TPM»;
5. Введіть у вікні «виконати» або в рядку пошуку gpupdate.exe / force і дочекайтеся завершення процесу. Нові параметри вступлять в силу без перезавантаження.

Зверніть увагу - USB-ключ необхідно вставляти ДО включення живлення ПК, інакше BitLocker може видати помилку - «Windows BitLocker Drive Encryption key needed», тобто немає флешки з ключем. Вставте флеш і натисніть Esc для перезавантаження (повідомлення показано нижче).

Оскільки в житті всяке буває, система може давати збої і тоді дані на зашифрованому томі виявляться недоступними. Як відновити дані?

При появі екрану, показаного вище, можна вставити USB-флеш з ключем. Якщо її немає, то натисніть Enter. З`явиться екран, показаний нижче:

До речі, цей же екран з`явиться, якщо ви не вибирали опцію - «Збереження ключа на USB - флеш» при установці шифрування.

Тут вам пропонується ввести 48-значний пароль відновлення. Якщо його немає - то відновити дані вже значно важче і цей процес виходить за рамки даної статті.

Ось в принципі і все ... Залишається лише зауважити, що в цілому BitLocker - це потужна і надійна система для зберігання ваших конфіденційних даних.