Как пользоваться bitlocker windows 7

Время на прочтение8 мин

Количество просмотров209K

Картинка с сайта: habr.com

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.

Картинка с сайта: habr.com

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:

1. Как при помощи токена сделать Windows домен безопаснее? Часть 1.
2. Как при помощи токена сделать Windows домен безопаснее? Часть 2.

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
   К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
   Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
   И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
   Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

Картинка с сайта: habr.com

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Картинка с сайта: habr.com

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Картинка с сайта: habr.com

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

Картинка с сайта: habr.com

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Картинка с сайта: habr.com

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Картинка с сайта: habr.com

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

Картинка с сайта: habr.com

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Картинка с сайта: habr.com

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Картинка с сайта: habr.com

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

• FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
• FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

tar -xvjf dislocker.tar.gz

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

sudo apt-get install libfuse-dev

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

cd src/
make 
make install

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

• Encrypted-partition— для зашифрованного раздела;
• Decrypted-partition — для расшифрованного раздела.

cd /mnt
mkdir Encrypted-partition
mkdir Decrypted-partition

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition</b>(вместо recovery_key подставьте свой ключ восстановления)

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

ls Encrypted-partition/

Введем команду для монтирования раздела:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

Если вам необходима удобная и функциональная ОС для работы и бизнеса, то вы можете купить Windows 7, редакции Максимальная или Корпоративная. Эта система имеет приемлемые требования по характеристикам ПК или ноутбука, поддерживает все актуальное ПО и стандарты. И поэтому отлично подходит для работы. Причем по многим вопросам. Например, вам нужно обеспечить дополнительную безопасность для файлов, используемых в работе. Для этого в системе есть встроенная (проприетарная) технология — Битлокер Windows 7. Она используется для шифрования дисков, что позволяет полностью защитить важные данные от вмешательства со стороны: корпоративные документы, личные фотографии и пр.

Картинка с сайта: el-store.biz

Важные нюансы

Технология Bitlocker позволяет шифровать диски, установленные в ПК, в том числе и USB-носители и SD карты, посредством нескольких алгоритмов:

• AES 128;
• AES 256 и др.

Важно отметить, что при включении защиты и шифровании диска получить доступ к данным можно только с помощью пароля или специального ключа. При этом это актуально не только на том компьютере, где был использован модуль, но и на любом другом. То есть даже при подключении диска в другой ПК защита останется. Сам модуль встроен в систему, поэтому нет необходимости скачать Bitlocker Windows 7 – его нужно только включить.

Еще необходимо отметить, что шифрование затрагивает том, а не сам физический диск. То есть можно зашифровать только часть диска или том, состоящий из нескольких ЖД. Для работы модуля потребуются NTFSтома и не менее 1.5 Гб свободного пространства. Для расшифровки и получения доступа к данным существует три механизма:

• Прозрачный. Основан на возможностях TPM обеспечения, что обеспечивает стандартный режим работы для пользователей. Ключ для шифровки встроен в чип TPM и активируется при загрузке ОС;
• Проверка подлинности. Доступ пользователь может получить только при прохождении аутентификации – ввода PIN кода в момент загрузки системы;
• USB-ключ. На внешний носитель в виде USB устройства записывается ключ запуска. Для получения доступа в защищенную среду необходимо вставить носитель в USB порт для считывания кода. Для работы этого режима в BIOS должна быть включена функция чтения USB в загрузочной среде.

Теперь вы знаете, что такое Bitlocker Windows 7. Следует отметить, что функция может работать только при условии, что на материнской плате компьютера есть модуль TPM. Однако такое требование не совсем верно, поскольку шифрование можно включить и без него при определенных настройках.

Как включить Битлокер

Мы разобрались в том, что в системе есть встроенная функция шифрования дисков для обеспечения безопасности и сохранности данных, чтобы к ним имели доступ только вы. Теперь нужно понять, как включить Bitlocker в Windows 7. Для этого необходимо сделать следующее:

• Откройте меню «Пуск» и выберите пункт «Выполнить». Также получить к нему доступ можно, нажав комбинацию Win + R;
• Введите в строку «gpedit.msc». Нажмите Ок или кнопку Enter на клавиатуре. Перед вами появится окно для редактирования настроек групповой политики;
• В левом меню экрана найдите строку «Конфигурация компьютера» и в подменю выделите «Административные шаблоны»;
• Перейдите в пункт «Компоненты Windows»;
• В правом меню выберите пункт «Шифрование дисков Bitlocker» и активируйте его;
• В новом окне найдите строку для работы с дисками ОС. Активируйте ее;
• Откройте и раскройте параметр для настройки дополнительной проверки;
• Нажмите «Включить» для активации функции;
• Поставьте галочку напротив пункта, который отвечает за используемый модуль. Если ваша материнская плата поддерживает чип TPM, то используйте соответствующий чекбокс. Если же нет, то найдите и активируйте пункт для использования Bitlocker без этого модуля.

Готово. Теперь нужно в Панели управления найти строку про Битлокер, перейти по ней и включать функцию.

⇡#BitLocker — новые возможности шифрования дисков

Потеря конфиденциальных данных часто происходит после того, как злоумышленник получил доступ к информации на жестком диске. Например, если мошенник каким-то образом получил возможность прочитать системные файлы, он может попробовать с их помощью найти пользовательские пароли, извлечь персональную информацию и т.д.

В Windows 7 присутствует инструмент BitLocker, который позволяет шифровать весь диск, благодаря чему данные на нем остаются защищенными от сторонних глаз. Технология шифрования BitLocker была представлена Windows Vista, а в новой операционной системе она была доработана. Перечислим наиболее интересные нововведения:

• включение BitLocker из контекстного меню «Проводника»;
• автоматическое создание скрытого загрузочного раздела диска;
• поддержка агента восстановления данных (DRA) для всех защищенных томов.

Напомним, что данный инструмент реализован не во всех редакциях Windows, а только в версиях «Расширенная», «Корпоративная» и «Профессиональная».

Защита дисков с помощью технологии BitLocker сохранит конфиденциальные данные пользователя практически при любых форс-мажорных обстоятельствах — в случае потери съемного носителя, кражи, несанкционированного доступа к диску и т.д. Технология шифрования данных BitLocker может быть применена к любым файлам системного диска, а также к любым дополнительно подключаемым носителям. Если данные, которые содержатся на зашифрованном диске, скопировать на другой носитель, то информация будет перенесена без шифрования.

Для обеспечения большей безопасности, BitLocker может использовать многоуровневое шифрование — одновременное задействование нескольких видов защиты, включая аппаратный и программный метод. Комбинации способов защиты данных позволяют получить несколько различных режимов работы системы шифрования BitLocker. Каждый из них имеет свои преимущества, а также обеспечивает свой уровень безопасности:

• режим с использованием доверенного платформенного модуля;
• режим с использованием доверенного платформенного модуля и USB-устройства;
• режим с использованием доверенного платформенного модуля и персонального идентификационного номера (ПИН-кода);
• режим с использованием USB-устройства, содержащего ключ.

Прежде чем мы рассмотрим подробнее принцип использования BitLocker, необходимо сделать некоторые пояснения. Прежде всего, важно разобраться с терминологией. Доверенный платформенный модуль — это специальный криптографический чип, который позволяет выполнять идентификацию. Такая микросхема может быть интегрирована, например, в некоторых моделях ноутбуков, настольных ПК, различных мобильных устройствах и пр.

Этот чип хранит уникальный «корневой ключ доступа». Такая «прошитая» микросхема — это еще одна дополнительная надежная защита от взлома ключей шифрования. Если эти данные хранились бы на любом другом носителе, будь то жесткий диск или карта памяти, риск потери информации был бы несоизмеримо выше, поскольку доступ к этим устройствам получить легче. С помощью «корневого ключа доступа» чип может генерировать собственные ключи шифрования, которые могут быть расшифрованы только с помощью доверенного платформенного модуля. Пароль владельца создается при первой инициализации доверенного платформенного модуля. Windows 7 поддерживает работу с доверенным платформенным модулем версии 1.2, а также требует наличия совместимой BIOS.

Когда защита выполняется исключительно с помощью доверенного платформенного модуля, в процессе включения компьютера, на аппаратном уровне происходит сбор данных, включая данные про BIOS, а также другие данные, совокупность которых свидетельствует о подлинности аппаратного обеспечения. Такой режим работы называется «прозрачным» и не требует от пользователя никаких действий — происходит проверка и, в случае успешного прохождения, выполняется загрузка в штатном режиме.

Любопытно, что компьютеры, содержащие доверенный платформенный модуль, — это пока лишь теория для наших пользователей, поскольку ввоз и продажа подобных устройств на территории России и Украины запрещены законодательством из-за проблем с прохождением сертификации. Таким образом, для нас остается актуальным только вариант защиты системного диска с помощью USB-накопителя, на который записан ключ доступа.

Технология BitLocker дает возможность применять алгоритм шифрования к дискам с данными, на которых используются файловые системы exFAT, FAT16, FAT32 или NTFS. Если же шифрование применяется к диску с операционной системой, то для использования технологии BitLocker данные на этом диске должны быть записаны в формате NTFS. Метод шифрования, который использует технология BitLocker, основан на стойком алгоритме AES с 128-битным ключом.

Одно из отличий функции Bitlocker в Windows 7 от аналогичного инструмента в Windows Vista состоит в том, что в новой операционной системе не нужно выполнять специальную разметку дисков. Ранее пользователь должен был для этого использовать утилиту Microsoft BitLocker Disk Preparation Tool, сейчас же достаточно просто указать, какой именно диск должен быть защищен, и система автоматически создаст на диске скрытый загрузочный раздел, используемый Bitlocker. Этот загрузочный раздел будет использоваться для запуска компьютера, он хранится в незашифрованном виде (в противном случае загрузка была бы невозможна), раздел же с операционной системой будет зашифрован. По сравнению с Windows Vista, размер загрузочного раздела занимает примерно в десять раз меньше дискового пространства. Дополнительному разделу не присваивается отдельная буква, и он не отображается в списке разделов файлового менеджера.

Для управления шифрованием удобно использовать инструмент в панели управления под названием «Шифрование диска BitLocker» (BitLocker Drive Encryption). Этот инструмент представляет собой менеджер дисков, с помощью которого можно быстро шифровать и отпирать диски, а также работать с доверенным платформенным модулем. В этом окне функцию шифрования BitLocker можно в любой момент отменить или приостановить.

Картинка с сайта: 3dnews.ru

⇡#BitLocker To Go — шифрование внешних устройств

В Windows 7 появился новый инструмент — BitLocker To Go, предназначенный для шифрования любых съемных накопителей — USB-дисков, карт памяти и пр. Для того чтобы включить шифрование съемного диска, необходимо открыть «Проводник», щелкнуть правой кнопкой мыши по нужному носителю и в контекстном меню выбрать команду «Включить BitLocker» (Turn on BitLocker).

После этого будет запущен мастер шифрования выбранного диска.

Картинка с сайта: 3dnews.ru

Пользователь может выбрать один из двух методов разблокировки зашифрованного диска: при помощи пароля — в этом случае пользователю понадобится ввести комбинацию из набора символов, а также при помощи смарт-карты — в этом случае необходимо будет указать специальный ПИН-код смарт-карты. Вся процедура шифрования диска занимает довольно много времени — от нескольких минут до получаса, в зависимости от объема шифруемого накопителя, а также от скорости его работы.

Если подключить зашифрованный съемный носитель, доступ к накопителям обычным способом будет невозможен, а при попытке обратиться к диску, пользователь увидит сообщение:

В «Проводнике» изменится также иконка диска, к которому применена система шифрования.

Чтобы разблокировать носитель, необходимо еще раз щелкнуть правой кнопкой мыши по букве носителя в контекстном меню файлового менеджера и выбрать соответствующую команду в контекстном меню. После того как в новом окне будет верно введен пароль, доступ к содержимому диска откроется, и далее можно будет работать с ним, как и с незашифрованным носителем.

Введение

В последние годы на различных форумах, в письмах и при встречах все чаще пользователи начинают задавать вопросы о том, что собой представляет сравнительно новый функционал операционных систем Windows Vista, Windows 7 и Windows Server 2008 / 2008 R2 – Windows BitLocker (с выходом последних операционных систем данная технология приобрела некие изменения и теперь называется BitLoker To Go). Но после того как большинство пользователей и начинающих системных администраторов слышат ответ, что данный компонент – это «всего-то» встроенное средство безопасности в современных операционных системах, которое обеспечивает надежную защиту самой операционной системы, данных, которые хранятся на компьютере пользователя, а также отдельных томов и съемных носителей, что позволяет оставить пользовательские данные нетронутыми при серьезных атаках, а также физическим изыманием жестких дисков, для дальнейшего автономного взлома данных, я часто слышу о том, что такой функционал вовсе не будет востребованным и его использование только усложнит жизнь пользователям. С таким утверждением невозможно согласиться, так как данные должны находиться в безопасности. Вы ведь не оставляете ключи от своего дома или код к электронному замку вашей организации каждому встречному?

Домашние пользователи обычно аргументируют свое нежелание пользоваться данной технологией тем, что на их компьютерах нет никаких «жизненно важных» данных и даже если их взломают, то ничего страшного не произойдет, кроме того что кто-то посмотрит их профили в социальных сетях «Одноклассники» и «Вконтакте». Владельцы ноутбуков и нетбуков считают, что если их техника будет украдена, то о пропавших данных им нужно беспокоиться меньше всего. Системные администраторы в некоторых компаниях утверждают, что у них нет никаких секретных проектов и абсолютно всем сотрудникам компании можно доверять, а домой документацию и продукты интеллектуального труда они берут лишь в целях окончания работы, на которую не хватило рабочего времени. А компьютеры их организации защищены антивирусным программным обеспечением и настройками брандмауэров по умолчанию. А зачем нужно защищать внешние накопители, если на них просто хранятся музыкальные и видео файлы? И ничего, что такие устройства как флэщки могут ходить как по организациям, так и по всем вашим знакомым.

Но ни с одной из вышеперечисленных причин нельзя согласиться. У домашних пользователей при атаке могут не только скопировать себе всю коллекцию музыкальных и видео файлов, а изъять все пароли к банковским счетам и учетные данные на посещаемых сайтах при помощи cookie-файлов или, не дай бог, текстовых файлах с логинами и паролями, которые не редко располагаются на рабочем столе. Также есть большой шанс, что будет просмотрена вся почтовая переписка и т.п. На украденных ноутбуках могут находиться конфиденциальные данные, хищение которых может отрицательно сказаться на бизнесе вашей компании, а увольнение с соответствующим «поощрением» в вашем резюме в будущем может сказаться на вашей карьере крайней негативно. И наконец, в наше время в любой организации присутствуют секретные данные, которые не желательно показывать своим конкурентам. И если будет успешно атакован, по крайней мере, один из компьютеров вашей организации, есть огромный шанс, что вскоре у вас будет заражен весь ваш парк компьютеров, что повлечет за собой титанические усилия для приведения компьютеров вашей организации в первоначальное состояние. Недоброжелатели могут найтись даже в вашей организации. Даже если при выходе из здания охраной проверяются ваши сумки, они не будут проверять внешние накопители каждого сотрудника. А на них ведь можно вынести немало данных, о которых еще несколько месяцев не должны узнать ваши конкуренты.

По этой причине вам просто необходимо постараться обезопасить ваши данные любым возможным действующим способом. Именно для этого и предназначен данный компонент современных операционных систем компании Microsoft. Именно BitLocker позволяет предотвратить несанкционированный доступ к данным даже на потерянных или украденных компьютерах, тем самым улучшая работу вашей операционной системы. Для улучшения защиты ваших данных Windows BitLocker использует доверенный платформенный модуль (Trusted Platform Module — TPM) — спецификация, детализирующая криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM», что гарантирует целостность компонентов, используемых даже на самой ранней стадии загрузки.

В этих технологиях можно найти преимущества, как для домашних пользователей, так и для системных администраторов в организациях. Для домашнего пользователя к основному преимуществу данных технологий можно отнести простоту использования, так как для ежедневного использования функционала BitLocker или BitLocker To Go, защита компьютера и его восстановление для пользователя является совершенно прозрачным. Системные администраторы наверняка оценят удобства управления защитой данных. Для удаленного управления шифрованием BitLocker, вы можете использовать инфраструктуру доменных служб Active Directory, причем расширенное управление будет осуществлено средствами групповых политик и скриптов.

Именно об этих компонентах операционных систем пойдет речь в данном цикле статей. О данных компонентах и их функционале в Интернете уже можно найти довольно много полезной информации, включая замечательные видео доклады, в которых вы можете вживую увидеть принцип их работы. Посему я в статьях данного цикла постараюсь наиболее подробно рассмотреть большинство функциональных возможностей как для домашних пользователей, так и для организаций для того чтобы вам не приходилось проводить длительное время в поисках того, как можно реализовать тот или иной сценарий для применения определенных действий.

Архитектура данной технологии

Как вы уже знаете, когда операционная система находится в активном состоянии, ее можно защитить при помощи локальных политик безопасности, антивирусного программного обеспечения и брандмауэров с межсетевыми экранами, а вот защитить том операционной системы на жестком диске вы можете средствами шифрования BitLocker. Для того чтобы воспользоваться всеми преимуществами шифрования BitLocker и проверки подлинности системы, ваш компьютер должен соответствовать таким требованиям, как наличие установленного модуля TPM версии 1.2, который при включении шифрования позволяет сохранять определенный ключ для запуска системы внутри самого доверенного платформенного модуля. Помимо модуля TPM, в базовой системе ввода-вывода (BIOS) должна быть установлена спецификация группы Trusted Computing Group (TCG), которая перед загрузкой операционной системы создает цепочку доверий для действий и включает поддержку статического корневого объекта изменения уровня доверия. К сожалению, не все материнские платы оснащены таким модулем как TPM, но даже без этого модуля операционная система позволяет вам воспользоваться данной технологией шифрования при наличии запоминающих устройств USB с поддержкой команд UFI, а также в том случае, если ваш жесткий диск разбит на два и более тома. Например, на одном томе у вас будет находиться непосредственно операционная система для которой и будет включено шифрование, а второй, системный том, емкостью не менее 1,5Гб, содержит файлы, которые нужны для загрузки операционной системы после того как BIOS загрузит платформу. Все ваши томы должны быть отформатированы в файловой системе NTFS.

Архитектура шифрования BitLocker обеспечивает управляемые и функциональные механизмы, как в режиме ядра, так и в пользовательском режиме. На высоком уровне, к основным компонентам BitLocker можно отнести:

• Драйвер Trusted Platform Module (%SystemRoot%System32DriversTpm.sys) – драйвер, который обращается к чипу TPM в режиме ядра;
• Основные службы TPM, которые включают пользовательские службы, предоставляющие доступ к TPM в пользовательском режиме (%SystemRoot%System32tbssvc.dll), поставщика WMI, а также оснастку MMC (%SystemRoot%System32Tpm.msc);
• Связанный код BitLocker в диспетчере загрузки (BootMgr), который аутентифицирует доступ к жесткому диску, а также позволяет восстанавливать и разблокировать загрузчик;
• Драйвер фильтра BitLocker (%SystemRoot%System32DriversFvevol.sys), который позволяет шифровать и расшифровывать тома на лету в режиме ядра;
• Поставщик WMI BitLocker и управление сценариями, которые позволяют настраивать и управлять сценариями интерфейса BitLocker.

На следующей иллюстрации изображены различные компоненты и службы, которые обеспечивают корректную работу технологии шифрования BitLocker:

Картинка с сайта: dimanb.wordpress.com

Рис. 1. Архитектура BitLocker

Ключи шифрования

BitLocker зашифровывает содержимое тома, используя ключ шифрования всего тома (FVEK — Full Volume Encryption Key), назначенного ему во время его первоначальной настройки для использования компонента BitLocker, с использованием алгоритмов 128- или 256-разрядного ключа AES AES128-CBC и AES256-CBC с расширениями Microsoft, которые называются диффузорами. Ключ FVEK шифруется с помощью главного ключа тома (VMK — Volume Master Key) и хранится на томе в области, специально отведенной для метаданных. Защита главного ключа тома является косвенным способом защиты данных тома: дополнение главного ключа тома позволяет системе пересоздать ключ после того как ключи были утеряны или скомпрометированы.

Когда вы настраиваете шифрование BitLocker, для защиты вашего компьютера при помощи VMK, в зависимости от вашей аппаратной конфигурации, вы можете использовать один из нескольких методов. Шифрование BitLocker поддерживает пять режимов проверки подлинности в зависимости от аппаратных возможностей компьютера и требуемого уровня безопасности. Если ваша аппаратная конфигурация поддерживает технологию доверенного платформенного модуля (TPM), то вы можете сохранять VMK как только в TMP, так и в TPM и на устройстве USB или сохранять ключ VMK в TPM и при загрузке системы вводить PIN. Помимо этого у вас есть возможность скомбинировать два предыдущих метода. А для платформ, которые не совместимы с технологией TPM, вы можете хранить ключ на внешнем USB устройстве.

Стоит обратить внимание на то, что при загрузке операционной системы с включенным шифрованием BitLocker, выполняется последовательность действий, которая зависит от набора средств защиты тома. Эти действия включают в себя проверку целостности системы, а также другие шаги по проверке подлинности, которые должны быть выполнены перед снятием блокировки с защищённого тома. В следующей таблице обобщены различные способы, которые вы можете использовать для шифрования тома:

Таблица 1. Источники VMK

На следующей иллюстрации показаны способы шифрования томов:

Картинка с сайта: dimanb.wordpress.com

Рис. 2. Способы шифрования томов, используя технологию BitLocker

Перед тем как BitLocker предоставит доступ к FEVK и расшифрует том, вам нужно предоставить ключи авторизированного пользователя или компьютера. Как было указано выше, если в вашем компьютере присутствует модуль TPM, вы можете использовать разные методы проверки аутентификации. В следующих подразделах, рассмотрим каждый из этих методов подробнее.

Использование только TPM

Процесс загрузки операционной системы использует TPM для того чтобы убедиться, что жесткий диск подключен к соответствующему компьютеру и важные системные файлы не были повреждены, а также предотвращает доступ к жесткому диску, если вредоносная программа или руткит поставил под угрозу целостность системы. В то время, когда компьютер проходит валидацию, TPM разблокирует VMK и ваша операционная система запускается без участия пользователя, как вы можете увидеть на следующей иллюстрации.

Картинка с сайта: dimanb.wordpress.com

Рис. 3. Проверка подлинности с помощью технологии TPM

Использование TPM совместно с USB-ключом

В дополнение к физической защите, которая была описана в предыдущем подразделе, в этом случае TPM требует внешний ключ, который находится на USB-устройстве. В этом случае пользователю нужно вставить USB-накопитель, на котором хранится внешний ключ, предназначенный для аутентификации пользователя и целостности компьютера. В этом случае, вы можете защитить свой компьютер от кражи, при включении компьютера, а также при выводе из режима гибернации. К сожалению, этот способ не защитит вас от вывода компьютера из спящего режима. При использовании этого способа, для уменьшения риска при краже компьютера, вам нужно хранить внешний ключ отдельно от своего компьютера. На следующей иллюстрации вы можете ознакомиться с использованием TPM совместно с внешним USB-ключом:

Картинка с сайта: dimanb.wordpress.com

Рис. 4. Проверка подлинности с помощью модуля TPM и USB-ключа

Использование TPM совместно с PIN-кодом

Этот способ препятствует запуску компьютера до тех пор, пока пользователь не введет персональный идентификационный номер (PIN-код). Этот способ позволяет защитить ваш компьютер в том случае, если у вас был украден выключенный компьютер. К сожалению, вам не стоит использовать данный метод в том случае, если компьютер должен запускаться автоматически без участия человека, которые обычно выступают в качестве серверов. Когда запрашивается PIN, аппаратный модуль TPM компьютера отображает запрос для ввода четырехзначного PIN-кода со специальной задержкой, которая устанавливается производителями материнской платы и самого модуля TPM. На следующей иллюстрации вы можете увидеть данный способ проверки подлинности:

Картинка с сайта: dimanb.wordpress.com

Рис. 5. Проверка подлинности с помощью TPM и PIN-кода

Использование комбинированного метода (TPM+PIN-код+USB-ключ)

В операционных системах Windows 7 и Windows Vista вы можете использовать комбинированный метод проверки подлинности для максимального уровня защиты вашего компьютера. В этом случае, к аппаратной проверке подлинности TPM добавляется ввод PIN-кода и использование внешнего ключа, который находится на USB-накопителе. Все эти средства обеспечивают максимальный уровень защиты BitLocker, которые требуют данные, которые «знает» и «использует» пользователь. Для того чтобы злоумышленник завладел вашими данными, которые расположены на защищённом при помощи технологии BitLocker томе, ему нужно украсть ваш компьютер, иметь в наличии USB-накопитель с вашим ключом, а также знать PIN-код, что практически невозможно. На следующей иллюстрации изображен данный метод проверки подлинности:

Картинка с сайта: dimanb.wordpress.com

Рис. 6. Проверки подлинности с использованием TPM, USB-ключа, а также PIN-кода

Проверка подлинности только с USB-ключом запуска

В этом случае пользователь предоставляет VMK на диске, USB-накопителе или на любых внешних устройствах хранения данных для расшифровки FEVK и тома, зашифрованных при помощи технологии BitLocker на компьютере, в котором не установлен модуль TPM. Использование ключа запуска без TPM позволяет вам шифровать данные без обновления вашего аппаратного оборудования. Этот способ считается наиболее уязвимым, так как в этом случае не выполняется проверка целостности загрузки и при переносе жесткого диска на другой компьютер, данными из зашифрованного диска можно будет воспользоваться.

Заключение

Шифрование диска BitLocker – это средство безопасности в современных операционных системах Windows, которое позволяет защитить операционную систему и данные, которые хранятся на ваших компьютерах. В идеальном сочетании, BitLocker настраивается на использование доверенного платформенного модуля TPM, что обеспечивает целостность компонентов начальной загрузки и блокировки томов, которые защищаются даже в том случае, если операционная система еще не запущена. В этой статье цикла, посвященного шифрованию данных, вы узнали об архитектуре данного средства. В следующей статье вы узнаете о реализации шифрования диска с помощью технологии Windows BitLocker.

В январе 2009 года компания Microsoft предоставила всем желающим для тестирования бета-версию новой операционной системы для рабочих станций — Windows 7. В данной операционной системе реализованы усовершенствованные технологии безопасности Windows Vista. В этой статье речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после появления в Windows Vista.

Зачем шифровать

Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, но тем не менее приведем некоторые аргументы в пользу данного решения. Сегодня стоимость аппаратных средств во много раз меньше стоимости информации, содержащейся на устройствах. Потеря данных может привести к потере репутации, конкурентоспособности и потенциальным судебным тяжбам. Устройство похищено или утеряно — информация доступна посторонним. Для запрета несанкционированного доступа к данным и необходимо использовать шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного) либо продажи устройств, бывших в употреблении.

Поможет BitLocker

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии обороны данных на компьютере. Технологий шифрования жесткого диска существует великое множество. Естественно, после успешной реализации технологии BitLocker в составе Windows Vista Enterprise и Windows Vista Ultimate компания Microsoft не могла не включить эту технологию в Windows 7. Впрочем, справедливости ради стоит отметить, что в новой версии мы увидим значительно переработанную технологию шифрования.

Итак, наше знакомство начинается с установки Windows 7. Если в Windows Vista для последующего использования шифрования требовалось вначале с помощью командной строки подготовить жесткий диск, разметив его соответствующим способом или сделать это позднее, используя специальную программу Microsoft BitLocker Disk Preparation Tool, то в Windows 7 проблема решается изначально, при разметке жесткого диска. В моем случае при установке я задал один системный раздел емкостью в 39 Гбайт, а получил два! Один из которых размером в 38 Гбайт с небольшим, а второй 200 Мбайт.

Откроем консоль управления дисками (Start, All Programs, Administrative Tools, Computer Management, Disk Management), см. экран 1.

Как видите, первый раздел размером в 200 Мбайт просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в Windows Vista, нового на данном этапе ничего нет, кроме того, что разбивка проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, что бросается в глаза, это его размер в 200 Мбайт против 1,5 Гбайт в Windows Vista. Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая операционную систему, не сразу задумывается о том, будет ли он шифровать жесткий диск.

В случае с Windows 7 сразу же после установки операционной системы в Control Panel в разделе System and Security можно выбрать BitLocker Drive Encryption. Щелкнув по ссылке Protect your computer by encrypting data on your disk, вы попадаете в окно, показанное на экране 2.

Обратите внимание (на рисунке выделено красным цветом) на функции, которые в Windows Vista отсутствуют или организованы иначе. Так, в Windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что, как только вы выберете Turn on BitLocker, все заработает так, как нужно. При включении BitLocker без дополнительных параметров все, что вы получите, это шифрование жесткого диска на данном компьютере без применения модуля ТРМ. Впрочем, у пользователей в некоторых странах, например в Российской Федерации или на Украине, просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае после щелчка по Turn on BitLocker мы попадаем на экран 3.

Если же есть возможность использовать ТРМ или существует необходимость задействовать всю мощь шифрования, следует воспользоваться редактором групповых политик, набрав в командной строке gpedit.msc. Откроется окно редактора (см. экран 4).

Рассмотрим подробнее параметры групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Параметры групповой политики BitLocker

Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 и Windows Vista). С помощью данного параметра групповой политики вы можете сделать так, чтобы Active Directory Domain Services (AD DS) резервировал информацию для последующего восстановления BitLocker Drive Encryption. Данная возможность применима только к компьютерам, работающим под Windows Server 2008 или Windows Vista.

Если этот параметр будет задан, при включении BitLocker информация, необходимая для его восстановления, будет автоматически скопирована в AD DS. Если отключить данный параметр политики или оставить его по умолчанию, информация для восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password. Этот параметр позволит задать каталог по умолчанию, отображаемый мастером BitLocker Drive Encryption при запросе местонахождения папки для сохранения пароля восстановления. Данный параметр применяется, когда включается шифрование BitLocker. Пользователь может сохранить пароль восстановления и в любой другой папке.

Choose how users can recover BitLocker-protected drives (Windows Server 2008 и Windows Vista). Данный параметр позволит управлять режимами восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением Windows Server 2008 и Windows Vista. Данный параметр применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данного параметра можно разрешить сохранение на USB-диск 256-разрядного ключа пароля в виде скрытого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления. В случае, если вы отключите или не будете настраивать это правило групповой политики, мастер установки BitLocker позволит выбрать варианты восстановления.

Choose drive encryption method and cipher strength. С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization. Данное правило политики позволит создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и может быть обновлен для существующих дисков, зашифрованных с использованием BitLocker с помощью программного обеспечения командной строки — Manage-BDE.

Второе поле идентификатора применяется в сочетании с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками. Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart. Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако следует понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не настроено, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера. Для усиления защиты данное правило стоит оставить в состоянии по умолчанию.

Configure smart card certificate object identifier. Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Fixed Data Drives

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives. Данное правило позволит определить, можно ли использовать смарт-карты для разрешения доступа к данным на жестком диске компьютера. Если вы отключаете это правило, смарт-карты использовать нельзя. По умолчанию смарт-карты могут применяться.

Deny write access to fixed drives not protected by BitLocker. Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны для чтения и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of Windows. Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило включено или не настроено, диски данных, отформатированные с файловой системой FAT, могут быть доступны для чтения на компьютерах с перечисленными выше операционными системами. Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Это правило не относится к дискам, форматированным под NTFS.

Configure password complexity requirements and minimum length. Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, можно установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности необходимо установить требование к сложности пароля в разделе «Политики паролей» групповой политики.

Если данное правило определено, пользователи могут настраивать пароли, отвечающие выбранным требованиям. Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered. Данное правило позволит управлять восстановлением зашифрованных дисков. Если оно не настроено или заблокировано, то доступны возможности восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup. Это правило групповой политики позволит задать использование для идентификации Trusted Platform Module (ТМР). Стоит учесть, что при запуске может быть задана только одна из функций, иначе произойдет ошибка в реализации политики.

Если данное правило включено, пользователи смогут настраивать расширенные возможности запуска в мастере установки BitLocker. Если политика отключена или не настроена, основные функции можно настраивать только на компьютерах с ТРМ. Если вы хотите использовать PIN и USB-диск, необходимо настраивать BitLocker, используя командную строку bde, вместо мастера BitLocker Drive Encryption.

Require additional authentication at startu  (Windows Server 2008 and Windows Vista). Данное правило политики применимо только к компьютерам, работающим под управлением Windows 2008 или Windows Vista. На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности — PIN-код (от 4 до 20 цифр). На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен — мастер отобразит окно, в котором пользователь сможет настраивать дополнительные параметры запуска BitLocker. Если же данный параметр отключен или не настроен, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup. С помощью данного параметра задаются настройки минимальной длины PIN-кода для запуска компьютера. PIN-код может включать от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered. С помощью данного правила групповой политики можно определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile. С помощью данного правила можно настраивать модуль ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете указывать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Removable Data Drives

Control use of BitLocker on removable drives. С помощью данного правила групповой политики можно управлять шифрованием BitLocker на сменных дисках. Вы можете выбрать, с помощью каких параметров пользователи смогут настраивать BitLocker. В частности, для разрешения запуска мастера установки шифрования BitLocker на сменном диске необходимо выбрать Allow users to apply BitLocker protection on removable data drives.

Если вы выберете Allow users to suspend and decrypt BitLocker on removable data drives, то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не настроено, пользователи могут задействовать BitLocker на съемных носителях. Если правило отключено, то пользователи не смогут применять BitLocker на съемных дисках.

Configure use of smart cards on removable data drives. С помощью данной установки политики определяют, можно ли задействовать смарт-карты для аутентификации пользователя и его доступа к сменным дискам на компьютере.

Deny write access to removable drives not protected BitLocker. С помощью данного правила политики можно запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker, будут доступны только для чтения.

Если будет выбран вариант Deny write access to devices configured in another organization, запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным в правиле групповой политики Provide the unique identifiers for your organization.

Если вы отключили данное правило или оно не настроено, то все сменные диски будут доступны и для чтения и для записи. Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило Removable Disks: Deny write access разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows. Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не настроено, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length. Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите применять пароль, вы сможете установить требования к его сложности и минимальную длину. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered. Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Переходим к процессу шифрования. Изменения в групповой политике позволяют более широко использовать возможности шифрования BitLocker, и для закрепления навыков работы с ней попробуем зашифровать: системный диск, диск с данными, сменные носители, как под NTFS, так и под FAT (будем считать, что компьютер обладает установленным модулем ТРМ).

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под Windows XP SP2, так и под Windows Vista SP1.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (см. экран 5).

Затем в разделе Operation System Drive выбираем правило Require additional authentication at startup (см. экран 6).

После этого установим минимальную длину PIN-кода, равную 6 символам, с помощью правила Configure minimum PIN length for startup. Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов.

При этом необходимо помнить, что нужно выставить такие же требования к парольной защите через редактор политик.

Для сменных дисков выберем следующие настройки:

• не разрешать читать сменные диски с файловой системой FAT под старыми версиями Windows;
• пароли должны удовлетворять требованиям сложности;
• минимальная длина пароля 8 символов.

После этого командой gpupdate.exe/force в окне командной строки обновим политику.

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем Require a PIN at every startup (см. экран 7).

Далее вводим PIN-код. Минимальная длина PIN-кода, заданная в политике, — 6 цифр, после ввода нового PIN-кода получаем приглашение сохранить ключ на USB-диске и в виде текстового файла.

После этого перезагружаем систему, и процесс шифрования диска С начинается.

Похожим образом шифруется и второй раздел нашего жесткого диска — диск D (см. экран 8).

Перед шифрованием диска D мы должны задать пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине и сложности пароля. Следует учесть, что можно открывать этот диск на компьютере автоматически. Как и ранее, сохраним пароль восстановления на USB-диск. Нужно иметь в виду, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Попробуем теперь зашифровать USB-диск, отформатированный под файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля 8 символов. При этом пароль должен соответствовать требованиям сложности. После ввода пароля нам предложат сохранить ключ восстановления в файл или распечатать его.

По окончании шифрования попробуем просмотреть этот USB-диск на другом компьютере, работающем под Windows Vista Home Premium SP1. Результат показан на экране 9.

Картинка с сайта: www.osp.ru

Как видите, в случае потери диска информация не будет прочитана, более того, скорее всего, диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением Windows 7 Beta1 можно увидеть сообщение, показанное на экране 10.

Итак, мы рассмотрели, как будет производиться шифрование в Windows 7. По сравнению с Windows Vista, появилось гораздо больше правил в групповых политиках, соответственно возрастет ответственность ИТ-персонала за их правильное применение и взаимодействие с сотрудниками.

Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security

Экран 1. Скрытый раздел в Computer Management

Экран 2. Запуск BitLocker Drive Encryption

Экран 4. Редактор групповой политики

Экран 5. Выбор алгоритма шифрования и длины ключа

Экран 6. Настройки дополнительных возможностей аутентификации