Инсталиране, конфигуриране и използване на bitlocker. BitLocker - Шифроване на устройство Windows 7 криптиране

През последните години в различни форуми, в писма и по време на срещи потребителите все повече започват да задават въпроси за това какво представлява сравнително новата функционалност на операционните системи Windows Vista, Windows 7 и Windows Server 2008 / 2008 R2 - Windows BitLocker(с пускането на най-новите операционни системи тази технология претърпя някои промени и сега се нарича BitLoker To Go). Но след като повечето потребители и начинаещи системни администратори чуят отговора, че този компонент е „просто“ вградена защитна функция в съвременните операционни системи, която осигурява надеждна защита на самата операционна система, данните, съхранявани на компютъра на потребителя, както и индивидуалните обеми и преносими носители, което ви позволява да оставите потребителските данни непокътнати по време на сериозни атаки, както и физическо премахване на твърди дискове за по-нататъшно автономно хакване на данни, често чувам, че такава функционалност изобщо няма да бъде търсена и използването й само ще усложни живота на потребителите. Невъзможно е да се съгласим с подобно твърдение, тъй като данните трябва да бъдат защитени. Не оставяте ключовете от дома си или кода на електронната ключалка на вашата организация на всеки, когото срещнете, нали?

Домашните потребители обикновено оправдават нежеланието си да използват тази технология с факта, че на техните компютри няма „жизненоважни“ данни и дори да бъдат хакнати, нищо лошо няма да се случи, освен че някой ще прегледа профилите им в социалните мрежи Odnoklassniki и " Във връзка с". Собствениците на лаптопи и нетбуци смятат, че ако оборудването им бъде откраднато, последното нещо, за което трябва да се тревожат, е липсата на данни. Системните администратори в някои компании твърдят, че нямат тайни проекти и могат да имат доверие на абсолютно всички служители на компанията и носят вкъщи документация и продукти на интелектуалния труд само за да довършат работа, за която не е имало достатъчно работно време. И компютрите на тяхната организация са защитени от антивирусен софтуер и настройки на защитната стена по подразбиране. Защо трябва да защитавате външните устройства, ако те просто съхраняват музикални и видео файлове? И е добре, че устройства като флаш устройства могат да се разпространяват както в рамките на организациите, така и сред всичките ви приятели.

Но не можем да се съгласим с нито една от горните причини. По време на атака домашните потребители могат не само да копират цялата си колекция от музикални и видео файлове, но също така да конфискуват всички пароли за банкови сметки и идентификационни данни на посетените сайтове, използвайки бисквитки или, не дай Боже, текстови файлове с данни за влизане и пароли, които рядко се поставят на работния плот. Също така има голяма вероятност цялата кореспонденция по пощата и т.н. да бъде прегледана. Откраднатите лаптопи може да съдържат чувствителни данни, чиято кражба може да повлияе негативно на бизнеса на вашата компания, а уволнението със съответното „повишение“ в автобиографията ви може да има изключително негативно въздействие върху кариерата ви в бъдеще. И накрая, в наше време всяка организация съдържа секретни данни, които не е препоръчително да показват на своите конкуренти. И ако поне един от компютрите на вашата организация бъде успешно атакуван, има огромен шанс скоро целият ви парк от компютри да бъде заразен, което ще изисква херкулесови усилия за привеждане на компютрите на вашата организация в първоначалното им състояние. Възможно е да има недоброжелатели дори във вашата организация. Дори ако охраната проверява чантите ви, докато излизате от сградата, те няма да проверяват външното устройство за съхранение на всеки служител. Но те могат да съдържат много данни, за които вашите конкуренти не трябва да научат още няколко месеца.

Поради тази причина просто трябва да се опитате да защитите данните си по всеки възможен валиден начин. Именно за това е предназначен този компонент на съвременните операционни системи на Microsoft. BitLocker ви позволява да предотвратите неоторизиран достъп до данни дори на изгубени или откраднати компютри, като по този начин подобрява производителността на вашата операционна система. За да подобри защитата на вашите данни, Windows BitLocker използва Trusted Platform Module (TPM) - спецификация, която описва подробно криптопроцесора, в който се съхраняват криптографски ключове за защита на информацията, както и общо име за реализации на определената спецификация, напр. , под формата на “TPM чип”, който гарантира целостта на използваните компоненти дори в най-ранния етап на зареждане.

Тези технологии предлагат предимства както за домашните потребители, така и за системните администратори в организациите. За домашния потребител основното предимство на тези технологии е лекотата на използване, тъй като при ежедневна употреба на функционалността BitLocker или BitLocker To Go защитата на компютъра и възстановяването му е напълно прозрачна за потребителя. Системните администратори със сигурност ще оценят лекотата на управление на защитата на данните. За да управлявате отдалечено шифроването на BitLocker, можете да използвате инфраструктурата на Active Directory Domain Services с разширено управление чрез групови правила и скриптове.

Именно тези компоненти на операционната система ще бъдат обсъдени в тази поредица от статии. Вече можете да намерите доста полезна информация за тези компоненти и тяхната функционалност в Интернет, включително прекрасни видео репортажи, в които можете да видите на живо принципа на тяхната работа. Ето защо в статиите от тази серия ще се опитам да разгледам по-подробно повечето от функционалностите както за домашни потребители, така и за организации, така че да не се налага да прекарвате дълго време в търсене на това как да приложите този или онзи сценарий, за да приложите определени действия.

Архитектура на тази технология

Както вече знаете, когато операционната система е активна, тя може да бъде защитена чрез локални политики за сигурност, антивирусен софтуер и защитни стени, но можете да защитите обема на операционната система на твърдия диск с BitLocker криптиране. За да се възползвате напълно от шифроването на BitLocker и удостоверяването на системата, вашият компютър трябва да отговаря на изисквания, като например инсталиран TPM версия 1.2, който, когато шифроването е активирано, ви позволява да съхранявате конкретен ключ за стартиране на системата в самия Trusted Platform Module. В допълнение към TPM, основната входно-изходна система (BIOS) трябва да има инсталирана спецификация на Trusted Computing Group (TCG), която създава верига на доверие за действия, преди операционната система да се стартира, и включва поддръжка за обект за промяна на статичен root доверие . За съжаление, не всички дънни платки са оборудвани с модул като TPM, но дори и без този модул, операционната система ви позволява да се възползвате от тази технология за криптиране, ако имате USB устройства за съхранение, които поддържат UFI команди, а също и ако вашият твърд диск е разделен на две и повече от обем. Например, на един том ще имате самата операционна система, за която ще бъде активирано криптиране, а вторият, системен том, с капацитет от поне 1,5 GB, съдържа файловете, които са необходими за зареждане на операционната система след BIOS зарежда платформата. Всички ваши томове трябва да бъдат форматирани с файловата система NTFS.

Архитектурата за шифроване на BitLocker предоставя управляеми и функционални механизми както в режим на ядро, така и в потребителски режим. На високо ниво основните компоненти на BitLocker включват:

• Драйвер на Trusted Platform Module(%SystemRoot%System32DriversTpm.sys) – драйвер, който осъществява достъп до TPM чипа в режим на ядрото;
• Основни TPM услуги, които включват персонализирани услуги, които предоставят достъп в потребителски режим до TPM (%SystemRoot%System32tbssvc.dll), доставчика на WMI и MMC модула (%SystemRoot%System32Tpm.msc);
• Свързан код на BitLocker в Boot Manager (BootMgr), който удостоверява достъпа до твърдия диск и също така ви позволява да поправите и отключите буутлоудъра;
• Драйвер за филтър BitLocker(%SystemRoot%System32DriversFvevol.sys), което ви позволява да криптирате и декриптирате томове в движение в режим на ядрото;
• WMI BitLocker доставчик и управление на скриптове, които ви позволяват да конфигурирате и управлявате интерфейсни скриптове на BitLocker.

Следната илюстрация показва различните компоненти и услуги, които правят технологията за шифроване BitLocker да работи правилно:

Ориз. 1. Архитектура на BitLocker

Ключове за криптиране

BitLocker криптира съдържанието на том с помощта на ключ за криптиране на целия обем(FVEK – ключ за шифроване на пълен том), присвоен му, когато първоначално е конфигуриран да използва BitLocker, използвайки 128- или 256-битови AES ключови алгоритми AES128-CBC и AES256-CBC с разширения на Microsoft, наречени дифузори. Ключът FVEK е шифрован с помощта на главен ключ за сила на звука(VMK - Главен ключ на том) и се съхранява на тома в област, специално предназначена за метаданни. Защитата на главния ключ на тома е индиректен начин за защита на данните за тома: допълването на главния ключ на тома позволява на системата да генерира отново ключа, след като ключовете са били изгубени или компрометирани.

Когато настройвате BitLocker криптиране, можете да използвате един от няколко метода за защита на вашия компютър с VMK, в зависимост от вашата хардуерна конфигурация. Шифроването на BitLocker поддържа пет режима на удостоверяване, в зависимост от хардуерните възможности на вашия компютър и нивото на защита, от което се нуждаете. Ако вашата хардуерна конфигурация поддържа технологията Trusted Platform Module (TPM), тогава можете да запишете VMK както в TMP, така и в TPM и на USB устройство, или да запишете VMK ключа в TPM и да въведете PIN кода, когато системата се зареди. Освен това имате възможност да комбинирате двата предишни метода. А за платформи, които не са съвместими с TPM технологията, можете да съхранявате ключа на външно USB устройство.

Струва си да се обърне внимание на факта, че при зареждане на операционна система с активирано криптиране на BitLocker се извършва последователност от действия, която зависи от набора от инструменти за защита на обема. Тези стъпки включват проверки за целостта на системата, както и други стъпки за удостоверяване, които трябва да бъдат изпълнени, преди да може да бъде освободено заключване от защитен том. Следната таблица обобщава различните методи, които можете да използвате за шифроване на том:

Източник	Безопасност	Действия на потребителя
Само TPM	Предпазва от софтуерни атаки, но е уязвим на хардуерни атаки	Нито един
TPM+ПИН	Добавя защита срещу хардуерни атаки	Потребителят трябва да въвежда ПИН при всяко стартиране на операционната система
TPM + USB ключ	Пълна защита срещу хардуерни атаки, но уязвим при загуба на USB ключ
TPM + USB ключ + PIN	Максимално ниво на защита	При всяко стартиране на операционната система потребителят трябва да въведе ПИН код и да използва USB ключ
Само USB ключ	Минимално ниво на защита за компютри, които не са оборудвани с TPM + има риск от загуба на ключа	Потребителят трябва да използва USB ключа при всяко стартиране на операционната система

Таблица 1. Източници на VMK

Следната илюстрация показва как да шифровате томове:

Ориз. 2. Методи за криптиране на томове с помощта на технологията BitLocker

Преди BitLocker да предостави достъп до FEVK и да дешифрира тома, трябва да предоставите ключовете на оторизиран потребител или компютър. Както беше посочено по-горе, ако вашият компютър има TPM, можете да използвате различни методи за удостоверяване. В следващите подраздели ще разгледаме всеки от тези методи по-подробно.

Използване само на TPM

Процесът на зареждане на операционната система използва TPM, за да гарантира, че твърдият диск е свързан към правилния компютър и че важните системни файлове не са повредени, а също така предотвратява достъпа до твърдия диск, ако злонамерен софтуер или руткит са компрометирали целостта на системата. Докато компютърът се проверява, TPM отключва VMK и вашата операционна система се стартира без намеса на потребителя, както можете да видите на следващата илюстрация.

Ориз. 3. Удостоверяване чрез TPM технология

Използване на TPM с USB ключ

В допълнение към физическата защита, описана в предишния подраздел, в този случай TPM изисква външен ключ, който се намира на USB устройството. В този случай потребителят трябва да постави USB устройство, което съхранява външен ключ, предназначен да удостоверява потребителя и целостта на компютъра. В този случай можете да защитите компютъра си от кражба, когато включите компютъра, както и когато се събудите от режим на хибернация. За съжаление, този метод няма да ви предпази от събуждане на компютъра от режим на заспиване. Когато използвате този метод, за да намалите риска компютърът ви да бъде откраднат, трябва да съхранявате външния ключ отделно от вашия компютър. На следващата илюстрация можете да видите използването на TPM във връзка с външен USB ключ:

Ориз. 4. Удостоверяване чрез TPM и USB ключ

Използване на TPM във връзка с PIN код

Този метод предотвратява стартирането на компютъра, докато потребителят не въведе персонален идентификационен номер (PIN). Този метод ви позволява да защитите компютъра си в случай, че вашият изключен компютър бъде откраднат. За съжаление не трябва да използвате този метод, ако компютърът трябва да се стартира автоматично без човешка намеса, която обикновено действа като сървър. Когато бъде поискан PIN, хардуерният TPM на компютъра ви подканва да въведете четирицифрен PIN със специално забавяне, което е зададено от производителите на дънната платка и самия TPM. На следващата илюстрация можете да видите този метод за удостоверяване:

Ориз. 5. TPM и ПИН удостоверяване

Използване на комбиниран метод (TPM+PIN+USB ключ)

В операционните системи Windows 7 и Windows Vista можете да използвате комбиниран метод за удостоверяване за максимално ниво на защита на вашия компютър. В този случай хардуерното удостоверяване на TPM се допълва чрез въвеждане на ПИН код и използване на външен ключ, намиращ се на USB устройство. Всички тези инструменти осигуряват максималното ниво на защита на BitLocker, което изисква данни, които потребителят „познава“ и „използва“. За да може нападател да завладее вашите данни, които се намират на том, защитен с технологията BitLocker, той трябва да открадне вашия компютър, да има USB устройство с вашия ключ и също да знае ПИН кода, което е почти невъзможно. Следната илюстрация илюстрира този метод за удостоверяване:

Ориз. 6. Удостоверяване чрез TPM, USB ключ и PIN код

Удостоверяване само с USB ключ за стартиране

В този случай потребителят предоставя VMK на диск, USB устройство или всякакви външни устройства за съхранение, за да дешифрира FEVK и шифрования с BitLocker том на компютър, който няма инсталиран TPM. Използването на ключ за стартиране без TPM ви позволява да шифровате данни, без да надграждате хардуера си. Този метод се счита за най-уязвим, тъй като в този случай целостта на зареждането не се проверява и при прехвърляне на твърдия диск на друг компютър могат да се използват данните от криптираното устройство.

Заключение

BitLocker Drive Encryption е защитна функция в съвременните операционни системи Windows, която помага за защитата на операционната система и данните, съхранявани на вашите компютри. В идеална комбинация BitLocker е конфигуриран да използва Trusted Platform Module (TPM), който гарантира целостта на зареждането и компонентите за заключване на тома са защитени дори когато операционната система все още не работи. В тази статия от поредицата за криптиране на данни научихте за архитектурата на този инструмент. В следващата статия ще научите за внедряването на дисково криптиране с помощта на технологията Windows BitLocker.

С пускането на операционната система Windows 7 много потребители бяха изправени пред факта, че в нея се появи малко неразбираема услуга BitLocker. Какво е BitLocker, мнозина могат само да гадаят. Нека се опитаме да изясним ситуацията с конкретни примери. По пътя ще разгледаме въпроси относно това колко подходящо е да активирате този компонент или да го деактивирате напълно.

BitLocker: какво е BitLocker, защо е необходима тази услуга

Ако го погледнете, BitLocker е универсален и напълно автоматизиран инструмент за съхраняване на данни, съхранявани на твърд диск. Какво е BitLocker на твърд диск? Да, просто услуга, която защитава файлове и папки без намеса на потребителя, като ги криптира и създава специален текстов ключ, който осигурява достъп до документи.

Когато потребителят работи в системата под собствения си акаунт, той може дори да не разбере, че данните са криптирани, тъй като информацията се показва в четима форма и достъпът до файлове и папки не е блокиран. С други думи, такъв инструмент за защита е предназначен само за онези ситуации, когато има достъп до компютърен терминал, например при опит за намеса отвън (интернет атака).

Проблеми с пароли и криптография

Въпреки това, ако говорим за това какво е BitLocker в Windows 7 или системи от по-висок ранг, струва си да се отбележи неприятният факт, че ако загубят паролата си за вход, много потребители не само не могат да влязат в системата, но също така извършват някои действия за сърфиране документи, които преди са били налични за копиране, преместване и др.

Но това не е всичко. Ако погледнете въпроса какво е BitLocker Windows 8 или 10, тогава няма значителни разлики, освен че имат по-модерна криптографска технология. Проблемът тук явно е друг. Факт е, че самата услуга може да работи в два режима, като съхранява ключове за дешифриране или на твърд диск, или на сменяемо USB устройство.

Това предполага най-простото заключение: ако ключът е записан на твърдия диск, потребителят получава достъп до цялата информация, съхранявана на него, без проблеми. Но когато ключът е записан на флашка, проблемът е много по-сериозен. По принцип можете да видите криптиран диск или дял, но не можете да прочетете информацията.

Освен това, ако говорим за това какво е BitLocker в Windows 10 или по-ранни системи, не можем да не отбележим факта, че услугата е интегрирана във всеки тип контекстно меню с десен бутон, което е просто досадно за много потребители. Но нека не изпреварваме, а да разгледаме всички основни аспекти, свързани с работата на този компонент и целесъобразността на неговото използване или деактивиране.

Метод за криптиране на дискове и преносими носители

Най-странното е, че на различни системи и техните модификации услугата BitLocker може да бъде както в активен, така и в пасивен режим по подразбиране. В "седемте" е активиран по подразбиране, в осмата и десетата версия понякога се изисква ръчно активиране.

Що се отнася до криптирането, тук не е измислено нищо особено ново. Като правило се използва същата AES технология, базирана на публичен ключ, която най-често се използва в корпоративните мрежи. Следователно, ако вашият компютърен терминал с подходяща операционна система на борда е свързан към локалната мрежа, можете да сте сигурни, че приложимата политика за сигурност и защита на данните предполага активиране на тази услуга. Без администраторски права (дори да започнете да променяте настройките като администратор), няма да можете да промените нищо.

Активирайте BitLocker, ако услугата е деактивирана

Преди да разгледаме проблема, свързан с BitLocker (как да деактивирате услугата, как да премахнете нейните команди от контекстното меню), нека да разгледаме активирането и конфигурирането, особено след като стъпките за деактивиране ще трябва да се извършат в обратен ред.

Активирането на криптиране по най-простия начин става от „Контролен панел“, като изберете секцията Този метод е приложим само ако ключът не трябва да се записва на преносим носител.

Ако заключеното устройство е несменяемо устройство, ще трябва да намерите отговора на друг въпрос относно услугата BitLocker: как да деактивирате този компонент на флаш устройство? Това се прави съвсем просто.

При условие, че ключът се намира на преносим носител, за да дешифрирате дискове и дискови дялове, първо трябва да го поставите в съответния порт (конектор) и след това да отидете в раздела за системата за сигурност на контролния панел. След това намираме елемента за криптиране на BitLocker и след това разглеждаме устройствата и носителите, на които е инсталирана защитата. Най-долу ще видите хипервръзка за деактивиране на криптирането, върху която трябва да кликнете. Ако ключът бъде разпознат, процесът на дешифриране се активира. Остава само да изчакаме завършването му.

Проблеми с конфигурирането на компоненти на ransomware

Що се отнася до настройката, не можете да правите без главоболие. Първо, системата предлага да запазите поне 1,5 GB за вашите нужди. Второ, трябва да коригирате разрешенията на файловата система NTFS, да намалите размера на тома и т.н. За да избегнете подобни неща, по-добре е незабавно да деактивирате този компонент, защото повечето потребители просто не се нуждаят от него. Дори всички, които имат тази услуга активирана в настройките по подразбиране, също не винаги знаят какво да правят с нея или дали изобщо е необходима. Но напразно. Можете да го използвате, за да защитите данните на вашия локален компютър, дори ако нямате антивирусен софтуер.

BitLocker: как да деактивирате. Първи етап

Отново използвайте посочения по-рано елемент в „Контролен панел“. В зависимост от модификацията на системата, имената на полетата за деактивиране на услугата може да се променят. Избраното устройство може да има линия за спиране на защитата или директна индикация за деактивиране на BitLocker.

Това не е смисълът. Тук си струва да обърнете внимание на факта, че ще трябва напълно да деактивирате зареждащите файлове на компютърната система. В противен случай процесът на дешифриране може да отнеме доста дълго време.

Контекстно меню

Това е само едната страна на монетата BitLocker. Какво е BitLocker вероятно вече е ясно. Но обратната страна е да изолирате допълнителни менюта от наличието на връзки към тази услуга в тях.

За да направите това, нека погледнем отново BitLocker. Как да премахнете всички връзки към услуга? Елементарно! В Explorer, когато изберете желания файл или папка, използвайте раздела за услуги и редактирайте съответното контекстно меню, отидете на настройките, след това използвайте настройките на командата и ги организирайте.

След това в редактора на системния регистър влизаме в клона HKCR, където намираме секцията ROOTDirectoryShell, разширяваме я и изтриваме желания елемент чрез натискане на клавиша Del или командата за изтриване от менюто с десен бутон. Всъщност това е последното нещо за компонента BitLocker. Как да го деактивирам, мисля, че вече е ясно. Но не се самозалъгвайте. Все пак тази услуга ще работи (за всеки случай), независимо дали го искате или не.

Вместо послеслов

Остава да добавим, че това не е всичко, което може да се каже за компонента на системата за криптиране BitLocker. Какво е BitLocker, разбрах как да го деактивирам и да изтрия командите от менюто. Въпросът е: трябва ли да деактивирате BitLocker? Тук можем да дадем само един съвет: в корпоративна локална мрежа изобщо не трябва да деактивирате този компонент. Но ако това е терминал за домашен компютър, защо не?

Според експерти кражбата на лаптоп е един от основните проблеми в областта на информационната сигурност (ИС).

За разлика от други заплахи за информационната сигурност, естеството на проблема „откраднат лаптоп“ или „откраднато флаш устройство“ е доста примитивно. И ако цената на липсващите устройства рядко надхвърля няколко хиляди щатски долара, стойността на информацията, съхранявана в тях, често се измерва в милиони.

Според Dell и Ponemon Institute всяка година само на американските летища изчезват 637 000 лаптопа. Само си представете колко много флашки изчезват, защото те са много по-малки, а случайното изпускане на флашка е лесно като белене на круши.

Когато лаптоп, принадлежащ на топ мениджър на голяма компания, изчезне, щетите от една такава кражба могат да възлязат на десетки милиони долари.

Как да защитите себе си и компанията си?

Продължаваме нашата поредица от статии за сигурността на домейна на Windows. В първата статия от поредицата говорихме за настройка на защитено влизане в домейн, а във втората за настройка на защитен трансфер на данни в имейл клиент:

В тази статия ще говорим за настройка на криптиране на информация, съхранявана на вашия твърд диск. Ще разберете как да се уверите, че никой освен вас не може да прочете информацията, съхранявана на вашия компютър.

Малко хора знаят, че Windows има вградени инструменти, които ви помагат да съхранявате информация безопасно. Нека разгледаме един от тях.

Със сигурност някои от вас са чували думата „BitLocker“. Нека да разберем какво е то.

Какво е BitLocker?

BitLocker (наричана точно BitLocker Drive Encryption) е технология за криптиране на съдържанието на компютърни устройства, разработена от Microsoft. За първи път се появи в Windows Vista.

С помощта на BitLocker беше възможно да се криптират обеми на твърдия диск, но по-късно, в Windows 7, се появи подобна технология, BitLocker To Go, която е предназначена за криптиране на сменяеми устройства и флаш памети.

BitLocker е стандартен компонент на Windows Professional и сървърните версии на Windows, което означава, че вече е наличен за повечето корпоративни случаи на употреба. В противен случай ще трябва да надстроите лиценза си за Windows до Professional.

Как работи BitLocker?

Тази технология се основава на криптиране на пълен обем, извършено с помощта на алгоритъма AES (Advanced Encryption Standard). Ключовете за криптиране трябва да се съхраняват сигурно и BitLocker има няколко механизма за това.

Най-простият, но в същото време и най-несигурният метод е паролата. Ключът се получава от паролата по един и същи начин всеки път и съответно, ако някой разбере вашата парола, тогава ключът за криптиране ще стане известен.

За да избегнете съхраняването на ключа в чист текст, той може да бъде шифрован или в TPM (модул на надеждна платформа), или на криптографски токен или смарт карта, която поддържа алгоритъма RSA 2048.

TPM е чип, предназначен да изпълнява основни функции, свързани със сигурността, главно с помощта на ключове за криптиране.

TPM модулът обикновено се инсталира на дънната платка на компютъра, но е много трудно да се закупи компютър с вграден TPM модул в Русия, тъй като вносът на устройства без FSB нотификация в нашата страна е забранен.

Използването на смарт карта или токен за отключване на устройство е един от най-сигурните начини за контрол кой е завършил процеса и кога. За да премахнете заключването в този случай, ви трябва както самата смарт карта, така и ПИН кодът за нея.

Как работи BitLocker:

1. Когато BitLocker е активиран, се създава главна последователност от битове с помощта на генератор на псевдослучайни числа. Това е ключът за обемно криптиране - FVEK (full volume encryption key). Той криптира съдържанието на всеки сектор. Ключът FVEK се пази в най-строга тайна.
2. FVEK се криптира с помощта на VMK (главен ключ за обем). Ключът FVEK (шифрован с ключа VMK) се съхранява на диск сред метаданните на тома. Той обаче никога не трябва да се озовава на диска в дешифриран вид.
3. Самият VMK също е криптиран. Потребителят избира метода на криптиране.
4. VMK ключът по подразбиране е шифрован с помощта на SRK (основен ключ за съхранение), който се съхранява на криптографска смарт карта или токен. Това се случва по подобен начин с TPM.
   Между другото, ключът за криптиране на системния диск в BitLocker не може да бъде защитен с помощта на смарт карта или токен. Това се дължи на факта, че библиотеките от доставчика се използват за достъп до смарт карти и токени и, разбира се, те не са достъпни преди зареждането на операционната система.
   Ако няма TPM, тогава BitLocker предлага да запазите ключа на системния дял на USB флаш устройство, което, разбира се, не е най-добрата идея. Ако вашата система няма TPM, не препоръчваме да шифровате системните си устройства.
   Като цяло криптирането на системния диск е лоша идея. Когато е конфигуриран правилно, всички важни данни се съхраняват отделно от системните данни. Това поне е по-удобно от гледна точка на тяхното архивиране. Освен това криптирането на системни файлове намалява производителността на системата като цяло и работата на некриптиран системен диск с криптирани файлове се извършва без загуба на скорост.
5. Ключовете за шифроване за други несистемни и сменяеми устройства могат да бъдат защитени с помощта на смарт карта или токен, както и TPM.
   Ако няма нито TPM модул, нито смарт карта, тогава вместо SRK се използва ключ, генериран въз основа на въведената от вас парола, за шифроване на VMK ключа.

Когато стартира от шифрован диск за зареждане, системата прави заявки за всички възможни хранилища за ключове - проверява за наличие на TPM, проверява USB портове или, ако е необходимо, подканва потребителя (което се нарича възстановяване). Откриването на хранилище на ключове позволява на Windows да декриптира VMK ключа, който декриптира FVEK ключа, който декриптира данните на диска.

Всеки сектор от тома е криптиран отделно и част от ключа за криптиране се определя от номера на този сектор. В резултат на това два сектора, съдържащи едни и същи некриптирани данни, ще изглеждат различно, когато са криптирани, което прави много трудно определянето на ключове за криптиране чрез писане и декриптиране на предварително известни данни.

В допълнение към FVEK, VMK и SRK, BitLocker използва друг тип ключ, който се създава „за всеки случай“. Това са ключовете за възстановяване.

За спешни случаи (потребителят е изгубил токен, забравил своя ПИН и т.н.), BitLocker ви подканва да създадете ключ за възстановяване в последната стъпка. Системата не предвижда отказ от създаването му.

Как да активирате криптиране на данни на вашия твърд диск?

Преди да започнете процеса на криптиране на томове на вашия твърд диск, важно е да отбележите, че тази процедура ще отнеме известно време. Продължителността му ще зависи от количеството информация на твърдия диск.

Ако компютърът се изключи или премине в хибернация по време на криптиране или декриптиране, тези процеси ще се възобновят там, където са спрели следващия път, когато стартирате Windows.

Дори по време на процеса на криптиране може да се използва системата Windows, но е малко вероятно да ви зарадва с производителността си. В резултат на това след криптиране производителността на диска намалява с около 10%.

Ако BitLocker е наличен във вашата система, когато щракнете с десния бутон върху името на устройството, което трябва да бъде шифровано, ще се покаже елементът от менюто, който се отваря Включете BitLocker.

В сървърните версии на Windows трябва да добавите роля BitLocker Drive Encryption.

Нека започнем да настройваме криптиране на несистемен том и да защитим ключа за криптиране с помощта на криптографски токен.

Ще използваме токен, произведен от фирма Актив. По-специално PKI токена на Rutoken EDS.

I. Да подготвим Rutoken EDS PKI за работа.

В повечето нормално конфигурирани Windows системи след първото свързване към Rutoken EDS PKI автоматично се изтегля и инсталира специална библиотека за работа с токени, произведена от фирма Aktiv - Aktiv Rutoken minidriver.

Процесът на инсталиране на такава библиотека е както следва.

Наличието на библиотеката с минидрайвери Aktiv Rutoken може да се провери чрез мениджър на устройства.

Ако изтеглянето и инсталирането на библиотеката не се случи по някаква причина, тогава трябва да инсталирате комплекта драйвери Rutoken за Windows.

II. Нека шифроваме данните на диска с помощта на BitLocker.

Кликнете върху името на диска и изберете Включете BitLocker.

Както казахме по-рано, ще използваме токен, за да защитим ключа за криптиране на диска.
Важно е да разберете, че за да използвате токен или смарт карта с BitLocker, тя трябва да съдържа RSA 2048 ключове и сертификат.

Ако използвате услугата на сертифициращия орган в домейн на Windows, тогава шаблонът на сертификата трябва да съдържа обхвата на сертификата „Шифроване на диск“ (повече за настройката на сертифициращия орган в нашата поредица от статии за сигурността на домейна на Windows).

Ако нямате домейн или не можете да промените политиката за издаване на сертификати, тогава можете да използвате резервен метод, като използвате самоподписан сертификат; описани са подробности как да издадете самоподписан сертификат.
Сега нека поставим отметка в съответното поле.

В следващата стъпка ще изберем метод за запазване на ключа за възстановяване (препоръчваме да изберете Отпечатайте ключа за възстановяване).

Листът хартия с отпечатания ключ за възстановяване трябва да се съхранява на сигурно място, за предпочитане в сейф.

На следващия етап ще започнем процеса на криптиране на диска. След като този процес приключи, може да се наложи да рестартирате системата си.

Когато шифроването е активирано, иконата на шифрования диск ще се промени.

И сега, когато се опитаме да отворим това устройство, системата ще ви помоли да поставите токен и да въведете неговия ПИН код.

Внедряването и конфигурирането на BitLocker и TPM може да се автоматизира с помощта на инструмента WMI или скриптове на Windows PowerShell. Как се изпълняват сценариите ще зависи от средата. Командите за BitLocker в Windows PowerShell са описани в тази статия.

Как да възстановя криптирани данни с BitLocker, ако токенът е изгубен?

Ако искате да отворите криптирани данни в Windows

За да направите това, ще ви трябва ключът за възстановяване, който отпечатахме по-рано. Просто го въведете в съответното поле и шифрованата секция ще се отвори.

Ако искате да отворите криптирани данни на системи GNU/Linux и Mac OS X

За да направите това, имате нужда от помощната програма DisLocker и ключ за възстановяване.

Помощната програма DisLocker работи в два режима:

• ФАЙЛ – Целият дял, криптиран от BitLocker, се дешифрира във файл.
• FUSE - дешифрира се само блокът, достъпен от системата.

Например ще използваме операционната система Linux и помощния режим FUSE.

В най-новите версии на общи дистрибуции на Linux, пакетът dislocker вече е включен в дистрибуцията, например в Ubuntu, като се започне от версия 16.10.

Ако по някаква причина пакетът dislocker не е наличен, тогава трябва да изтеглите помощната програма и да я компилирате:

tar -xvjf dislocker.tar.gz

Нека отворим файла INSTALL.TXT и да проверим кои пакети трябва да инсталираме.

В нашия случай трябва да инсталираме пакета libfuse-dev:

sudo apt-get инсталирайте libfuse-dev

Нека започнем да сглобяваме пакета. Нека отидем в папката src и използваме командите make и make install:

cd src/ make make install

Когато всичко е компилирано (или сте инсталирали пакета), нека започнем с настройката.

Нека отидем в папката mnt и да създадем две папки в нея:

• Encrypted-partition - за криптиран дял;
• Decrypted-partition - за декриптиран дял.

cd /mnt mkdir Шифрован-дял mkdir Декриптиран-дял

Нека намерим шифрования дял. Нека го дешифрираме с помощната програма и го преместим в папката Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(вместо recovery_key, заменете вашия ключ за възстановяване)

Нека покажем списък с файлове, намиращи се в папката Encrypted-partition:

ls шифрован дял/

Нека въведем командата за монтиране на дяла:

mount -o loop Driveq/dislocker-file Decrypted-partition/

За да видите дешифрирания дял, отидете в папката Encrypted-partition.

Нека да обобщим

Активирането на криптиране на обем с BitLocker е много лесно. Всичко това се прави без усилие и безплатно (при условие, че имате професионална или сървърна версия на Windows, разбира се).

Можете да използвате криптографски токен или смарт карта, за да защитите ключа за криптиране, който криптира диска, което значително повишава нивото на сигурност.

Bitlocker дисково криптиране

BitLocker - BitLocker (пълно име BitLockerDrive Encryption) е вграден в операционните системи Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 и Windows 8.

Използвайки BitLocker, можете напълно да шифровате целия носител за съхранение (логическо устройство, SD карта, USB ключ). В същото време се поддържат алгоритми за криптиране AES 128 и AES 256.

Може да се интересувате и от статията „”, в която се опитахме да разберем дали е възможно да хакнете криптирането на диска на Windows.

Ключът за възстановяване на шифроване може да се съхранява на вашия компютър, на USB устройство или в хардуерен чип TPM (Trusted Platform Module). Можете също да запазите копие на ключа във вашия акаунт в Microsoft (но защо?).

ОБЯСНЕНИЕМожете да съхранявате ключа в TPM чипа само на тези компютри, където TPM чипът е вграден в дънната платка. Ако дънната платка на компютъра е оборудвана с TPM чип, тогава ключът може да бъде прочетен от него или след удостоверяване с помощта на USB ключ/смарт карта, или след въвеждане на ПИН код.

В най-простия случай можете да удостоверите потребителя с обикновена парола. Този метод, разбира се, няма да отговаря на Джеймс Бонд, но за повечето обикновени потребители, които искат да скрият част от данните си от колеги или роднини, това ще бъде напълно достатъчно.

Използвайки BitLocker, можете да шифровате произволен том, включително тома за зареждане - този, от който се зарежда Windows. Тогава паролата ще трябва да бъде въведена при зареждане (или да използвате други средства за удостоверяване, например TPM).

СЪВЕТГорещо не ви съветвам да шифровате своя обем за зареждане. Първо, производителността намалява. Technet.microsoft съобщава, че типичното постижение на производителността е 10%, но във вашия конкретен случай можете да очаквате повече мудност на вашия компютър, в зависимост от вашата конфигурация. И всъщност не всички данни трябва да бъдат криптирани. Защо да криптирате едни и същи програмни файлове? В тях няма нищо поверително. Второ, ако нещо се случи с Windows, страхувам се, че всичко може да свърши зле - форматиране на тома и загуба на данни.

Затова е най-добре да шифровате един том - отделно логическо устройство, външно USB устройство и т.н. И след това да поставите всичките си тайни файлове на това шифровано устройство. Можете също така да инсталирате програми, които изискват защита на криптиран диск, например същото 1C Accounting.

Ще свържете такъв диск само когато е необходимо - щракнете двукратно върху иконата на диска, въведете паролата и получете достъп до данните.

Какво можете да шифровате с BitLocker?

Можете да шифровате всяко устройство, освен мрежово и оптично. Ето списък на поддържаните типове връзки на устройства: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Не се поддържа криптиране на томове, свързани чрез Bluetooth. И въпреки че картата с памет на мобилен телефон, свързан към компютър чрез Bluetooth, изглежда като отделен носител за съхранение, тя не може да бъде криптирана.

Поддържаните файлови системи са NTFS, FAT32, FAT16, ExFAT. Други файлови системи не се поддържат, включително CDFS, NFS, DFS, LFS, софтуерни RAID масиви (поддържат се хардуерни RAID масиви).

Можете да шифровате твърди дискове: (SSD устройства, флаш устройства, SD карти), твърди дискове (включително тези, свързани чрез USB). Шифроването на други типове устройства не се поддържа.

Дисково криптиране с Bitlocker

Отидете на вашия работен плот, стартирайте File Explorer и щракнете щракнете с десния бутон върху диска, който искате да шифровате. Нека ви напомня, че това може да бъде логически том, SD карта, флаш устройство, USB устройство или SSD устройство. От появилото се меню изберете Enable BitLocker.

Команда за активиране на криптиране на BitLocker

Първото нещо, което ще бъдете попитани, е как ще получите достъп до криптирания диск: с помощта на парола или смарт карта. Трябва да изберете една от опциите (или и двете: тогава и паролата, и смарт картата ще бъдат включени), в противен случай бутонът Напред няма да стане активен.

Как ще премахнем блокирането на Bitlocker?

В следващата стъпка ще бъдете помолени да създадете резервно копие на ключа
възстановяване.

Архивиране на ключа за възстановяване

ОБЯСНЕНИЕКлючът за възстановяване се използва за отключване на устройството, в случай че сте забравили паролата си или сте загубили смарт картата си. Не можете да откажете да създадете ключ за възстановяване. И това е правилно, защото след като се върнах от ваканция, забравих паролата си за криптирания диск. Същата ситуация може да се случи отново за вас. Затова избираме един от предложените методи за архивиране на ключа за възстановяване.

• Запазване на ключа към вашия акаунт в Microsoft. Не препоръчвам този метод: няма интернет връзка - няма да можете да получите своя ключ.
• Запазването във файл е най-добрият начин. Ключовият файл за възстановяване ще бъде записан на вашия работен плот.

Запазване на ключа за възстановяване на работния плот

• Разбирате, трябва да се прехвърли оттам на по-сигурно място, например на флаш устройство. Също така е препоръчително да го преименувате, така че да не става ясно от името на файла, че това е точно същият ключ. Можете да отворите този файл (ще видите как изглежда по-късно) и да копирате самия ключ за възстановяване в някакъв файл, така че само вие да знаете какъв е редът и в кой файл се намира. По-добре е да изтриете оригиналния файл с ключа за възстановяване по-късно. Така ще бъде по-надеждно.
• Отпечатването на ключ за възстановяване е доста дива идея, освен ако след това не поставите този лист хартия в сейф и не го заключите със седем ключалки.

Сега трябва да определите коя част от диска трябва да бъде шифрована.

Каква част от диска трябва да бъде криптирана?

Можете да шифровате само заетото пространство или можете да шифровате целия диск наведнъж. Ако дискът ви е почти празен, е много по-бързо да шифровате само заетото пространство. Нека разгледаме опциите:

• нека има само 10 MB данни на 16 GB флаш устройство. Изберете първата опция и дискът ще бъде шифрован моментално. Новите файлове, записани на флаш устройство, ще бъдат криптирани „в движение“, т.е. автоматично;
• втората опция е подходяща, ако на диска има много файлове и той е почти напълно пълен. Въпреки това, за същото 16 GB флаш устройство, но запълнено до 15 GB, разликата във времето за криптиране според първата или втората опция ще бъде практически неразличима (или 15 GB, или 16 GB ще бъдат криптирани
  почти по едно и също време);
• ако обаче има малко данни на диска и изберете втората опция, тогава криптирането ще отнеме болезнено много време в сравнение с първия метод.

Така че всичко, което трябва да направите, е да натиснете бутона Стартирайте криптиране.

Криптиране на диск с Bitlocker

Изчакайте, докато дискът бъде шифрован. Не изключвайте захранването на компютъра и не го рестартирайте, докато криптирането не приключи - ще получите съобщение, указващо това.

Ако възникне прекъсване на захранването, криптирането ще продължи от мястото, където е спряло при стартиране на Windows. Това пише на сайта на Microsoft. Не проверих дали това е вярно за системния диск - не исках да рискувам.

Статията продължава на следващата страница. За да отидете на следващата страница, щракнете върху бутон 2, който се намира под бутоните на социалните мрежи.

В тази поредица говорихме накратко за технологията BitLocker, която е инструмент за сигурност в съвременните операционни системи Windows. По принцип статията описва архитектурата на този инструмент, който няма да бъде много полезен при извършване на самото криптиране на диска у дома или в организация. Също така от първата статия можете да разберете, че за да се възползвате напълно от тази технология, компютрите, за които ще се извършва криптиране, трябва да бъдат оборудвани с такъв модул като Trusted Platform Module (TPM), който, за съжаление, може далеч не на всеки компютър. Ето защо в следващите статии от тази поредица, когато се описва как да се работи с доверен платформен модул, ще се разглежда само неговият емулатор на виртуална машина. Освен това мисля, че си струва да се отбележи, че нито тази, нито следващите статии от тази серия ще обсъждат блокирането на устройства с данни при използване на смарт карти.

Както вероятно знаете, технологията BitLocker ви позволява да шифровате цяло устройство, докато системата за шифроване на файлове (EFS) ви позволява да шифровате само отделни файлове. Естествено, в някои случаи трябва да шифровате само определени файлове и изглежда, че няма смисъл да шифровате целия дял, но е препоръчително да използвате EFS само на компютри в интранет, които няма да се преместват между отдели и офиси. С други думи, ако вашият потребител има лаптоп, той трябва периодично да пътува в командировки и такъв потребител има, да речем, само няколко десетки файлове на компютъра си, които трябва да бъдат криптирани, по-добре е неговият лаптоп да използвайте технологията BitLocker, а не криптирана файлова система. Това се обяснява с факта, че с EFS няма да можете да шифровате такива жизненоважни елементи на операционната система като файлове в регистъра. И ако нападател стигне до регистъра на вашия лаптоп, той може да намери много интересна информация за себе си, като например кеширани данни за акаунта на домейна на вашия потребител, хеш парола и много повече, което в бъдеще може да причини значителна вреда и загуба не само за този потребител, но и за цялата компания като цяло. И с помощта на технологията BitLocker, за разлика от криптирана файлова система, както беше отбелязано малко по-горе, всички данни, намиращи се на криптирания диск на лаптопа на вашия потребител, ще бъдат криптирани на лаптопа на вашия потребител. Мнозина може да попитат: как други потребители в организацията могат да използват файлове, които са криптирани с тази технология? Всъщност всичко е много просто: ако се споделя компютър с криптирани файлове, използващи технологията BitLocker, тогава оторизираните потребители ще могат да взаимодействат с такива файлове толкова лесно, колкото ако няма криптиране на компютъра на този потребител. Освен това, ако файловете, намиращи се на криптиран диск, се копират на друг компютър или на некриптиран диск, тогава тези файлове ще бъдат автоматично декриптирани.

В следващите раздели ще научите как да шифровате системата и вторичните дялове на лаптоп без TPM, работещ под Windows 7.

Активирайте шифроването на BitLocker за системния дял

Няма нищо сложно в активирането на криптиране на устройство с BitLocker на системен дял на компютър, който не е част от домейн. Преди да шифровате системния диск, мисля, че трябва да обърнете внимание на факта, че на лаптопа, на който ще бъдат шифровани дисковете, са създадени три дяла, като първите два трябва да бъдат шифровани:

Ориз. 1. Windows Explorer на лаптопа, на който ще се криптират дисковете

За да шифровате системния дял, изпълнете следните стъпки:

1. Първо, тъй като лаптопът в този пример, на който ще бъдат криптирани устройствата, няма TPM, препоръчително е да извършите някои предварителни стъпки. Трябва да отворите щракването „Редактор на локални групови правила“и отидете на Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives. Тук можете да намерите шест различни настройки на правилата. Тъй като по-рано беше споменато, че този лаптоп не е оборудван с TPM модул, трябва да се уверите, че преди да заредите операционната система, използвате USB устройство, съдържащо специален ключ, предназначен да потвърди удостоверяването и последващото зареждане на системата. Настройката на правилата, използвана за извършване на тази операция, е „Изисква се допълнително удостоверяване при стартиране“. В диалоговия прозорец със свойства за тази настройка на правилата трябва да проверите опциите „Разрешаване на BitLocker без съвместим TPM“. В този случай, тъй като това е единствената опция, която може да ни интересува при криптиране на диск в работна група, запазете направените промени. Диалоговият прозорец със свойства за тази настройка на правилата е показан на следната илюстрация:



Ориз. 2. Изискване на допълнително удостоверяване при стартиране Диалогов прозорец със свойства за настройка на правилата

Налични са много различни настройки на групови правила за управление на технологията BitLocker. Тези опции ще бъдат обсъдени подробно в бъдеща статия за технологията BitLocker.

2. Отворете "Контролен панел", отидете на категория "Система и безопасност"и след това изберете „Шифроване на устройство с BitLocker“;
3. В прозореца на контролния панел, който се показва, изберете системния дял и след това щракнете върху връзката „Активиране на BitLocker“. Струва си да обърнете внимание на факта, че можете да шифровате дял само ако се намира на основен диск. Ако сте създали дялове на динамичен диск, преди да ги криптирате, ще трябва да конвертирате диска от динамичен в основен. Следната илюстрация показва прозореца „Шифроване на устройство с BitLocker“:



Ориз. 3. Прозорец на контролния панел BitLocker Drive Encryption

4. След като проверите конфигурацията на вашия компютър, на първата страница на съветника за шифроване на устройство BitLocker можете да посочите различни опции за стартиране. Но тъй като лаптопът ми няма TPM и настройката на груповите правила е променена, за да позволи шифроване с BitLocker на хардуер без TPM, мога да избера само „Искане на ключ при стартиране“. Първата страница на съветника е показана по-долу:



Ориз. 4. Опция за стартиране на съветника за шифроване на устройство BitLocker

5. На страницата „Запазете ключа за стартиране“В съветника за шифроване на устройство BitLocker трябва да прикачите флаш устройство към вашия компютър и след това да го изберете в списъка. След като изберете устройството, щракнете върху бутона "Запазване";
6. На третата страница на съветника ще трябва да посочите местоположението на ключа за възстановяване. Ключът за възстановяване е малък текстов файл, съдържащ някои инструкции, етикет на устройството, идентификатор на парола и ключ за възстановяване от 48 знака. Трябва да се помни, че този ключ се различава от ключа за стартиране по това, че се използва за получаване на достъп до данни в случаите, когато достъпът до тях е невъзможен по друг начин. Можете да изберете една от следните три опции: запишете ключа за възстановяване на USB флаш устройство, запишете ключа за възстановяване във файлили ключ за възстановяване на печат. Моля, обърнете внимание, че когато избирате първата опция, трябва да запазите ключовете за възстановяване и стартиране на различни флаш памети. Тъй като се препоръчва да се запазят няколко ключа за възстановяване и на компютри, различни от този, който се шифрова, в моя случай ключът за възстановяване беше записан в мрежова папка на един от моите сървъри, както и на облачно устройство на HP. Сега съдържанието на ключа за възстановяване ще бъде известно само на мен и HP, въпреки че най-вероятно те ни убеждават в пълната поверителност на информацията. Ако отпечатате ключ за възстановяване, Microsoft препоръчва да съхранявате документа в заключен сейф. Препоръчвам просто да запомните тези 48 числа и след като прочетете документа просто да го запишете :). Страница „Как да запазя ключа за възстановяване?“Съветникът за шифроване на BitLocker е показан на следната илюстрация:



Ориз. 5. Запазване на ключа за възстановяване за данни, криптирани с BitLocker

7. Това е последната страница на съветника за шифроване на устройство, тъй като в този момент можете да стартирате проверка на системата BitLocker, за да сте сигурни, че можете лесно да използвате вашия ключ за възстановяване, ако е необходимо. За да завършите проверката на системата, ще бъдете подканени да рестартирате компютъра си. По принцип тази стъпка не е задължителна, но все пак е препоръчително да извършите тази проверка. Можете да видите последната страница на съветника по-долу:



Ориз. 6. Последната страница на съветника за шифроване на диск

8. Веднага след POST теста ще бъдете подканени да поставите флашка с ключ за стартиране, за да стартирате операционната система. След като компютърът се рестартира и BitLocker знае, че след криптирането няма да възникнат непредвидени обстоятелства, ще започне самият процес на криптиране на диска. Ще разберете това от иконата, показана в областта за уведомяване, или ако отидете до прозореца „Шифроване на устройство с BitLocker“от контролния панел. Самият процес на криптиране се изпълнява във фонов режим, тоест ще можете да продължите да работите на компютъра си, докато криптирането работи, но BitLocker ще използва интензивно ресурсите на процесора и свободното място на криптирания диск. За да видите какъв процент от вашето устройство вече е шифровано, потърсете иконата в областта за уведомяване „Шифроване на %volume_name% с помощта на BitLocker Drive Encryption“и кликнете два пъти върху него. Икона за известяване на BitLocker и диалогов прозорец „Шифроване на устройство с BitLocker“показано по-долу:



Ориз. 7. Извършете криптиране

9. След като процесът на шифроване на устройство с BitLocker приключи, ще бъдете уведомени, че шифроването на избраното от вас устройство е завършило успешно. Този диалогов прозорец може да се види по-долу:





Ориз. 8. Завършване на шифроването на устройство с BitLocker

За тези, които шифроват диск за първи път, бих искал да отбележа, че тази процедура не се извършва моментално и например ми отне 70 минути, за да шифровам системен диск с капацитет 75 гигабайта.

Сега, както можете да видите на следващата илюстрация, в Windows Explorer има заключване върху иконата на системния дял, което означава, че този дял е криптиран с помощта на технологията BitLocker:

Ориз. 9. Windows Explorer с криптиран системен дял

Заключение

В тази статия научихте как да шифровате устройство с помощта на технологията BitLocker. Разглежда се процесът на подготовка за криптиране и криптиране на самия диск с помощта на графичен интерфейс. Тъй като в началото на статията посочих, че два диска ще бъдат криптирани на този лаптоп, в следващата статия ще научите как можете да криптирате диск с помощта на технологията BitLocker с помощта на помощна програма за команден ред управлява-дбе .