Bitlocker installieren, konfigurieren und verwenden. BitLocker – Laufwerkverschlüsselung Windows 7-Verschlüsselung

In den letzten Jahren beginnen Benutzer in verschiedenen Foren, in Briefen und bei Besprechungen zunehmend Fragen zu stellen, was die relativ neue Funktionalität der Betriebssysteme Windows Vista, Windows 7 und Windows Server 2008 / 2008 R2 ist - Windows BitLocker(Mit der Veröffentlichung der neuesten Betriebssysteme hat diese Technologie einige Änderungen erfahren und heißt jetzt BitLoker To Go). Doch danach hören die meisten Benutzer und unerfahrenen Systemadministratoren die Antwort, dass es sich bei dieser Komponente „nur“ um eine integrierte Sicherheitsfunktion in modernen Betriebssystemen handelt, die einen zuverlässigen Schutz für das Betriebssystem selbst, die auf dem Computer des Benutzers gespeicherten Daten sowie für Einzelpersonen bietet Volumes und Wechselmedien, die es Ihnen ermöglichen, Benutzerdaten bei schweren Angriffen intakt zu lassen, sowie das physische Entfernen von Festplatten für weiteres autonomes Daten-Hacking. Ich höre oft, dass eine solche Funktionalität überhaupt nicht gefragt sein wird und ihre Verwendung das nur erschweren wird Leben der Benutzer. Einer solchen Aussage kann man nicht zustimmen, da die Daten sicher sein müssen. Sie hinterlassen die Schlüssel zu Ihrem Haus oder den Code für das elektronische Schloss Ihrer Organisation nicht jedem, dem Sie begegnen, oder?

Heimanwender begründen ihre Zurückhaltung gegenüber der Nutzung dieser Technologie normalerweise damit, dass sich auf ihren Computern keine „lebenswichtigen“ Daten befinden und selbst wenn sie gehackt werden, nichts Schlimmes passieren wird, außer dass sich jemand ihre Profile in den sozialen Netzwerken von Odnoklassniki ansieht und „ In Kontakt mit". Besitzer von Laptops und Netbooks glauben, dass sie sich bei einem Diebstahl ihrer Geräte keine Sorgen mehr über fehlende Daten machen müssen. Systemadministratoren in einigen Unternehmen behaupten, dass sie keine geheimen Projekte haben und absolut allen Mitarbeitern des Unternehmens vertraut werden können. Sie nehmen Dokumentationen und Produkte geistiger Arbeit nur mit nach Hause, um Arbeiten abzuschließen, für die nicht genügend Arbeitszeit zur Verfügung stand. Und die Computer ihrer Organisation sind standardmäßig durch Antivirensoftware und Firewall-Einstellungen geschützt. Warum müssen Sie externe Laufwerke schützen, wenn sie lediglich Musik- und Videodateien speichern? Und es ist in Ordnung, dass Geräte wie Flash-Laufwerke sowohl innerhalb von Organisationen als auch unter all Ihren Freunden verbreitet werden können.

Aber wir können keinem der oben genannten Gründe zustimmen. Bei einem Angriff können Heimanwender nicht nur ihre gesamte Sammlung an Musik- und Videodateien kopieren, sondern auch alle Passwörter für Bankkonten und Anmeldeinformationen auf besuchten Websites mithilfe von Cookies oder, Gott bewahre, Textdateien mit Logins und Passwörtern, die nicht selten platziert werden, beschlagnahmen Auf dem Bildschirm. Es besteht auch eine hohe Wahrscheinlichkeit, dass die gesamte Postkorrespondenz usw. eingesehen wird. Gestohlene Laptops können sensible Daten enthalten, deren Diebstahl sich negativ auf das Geschäft Ihres Unternehmens auswirken könnte, und eine Entlassung mit einer entsprechenden „Beförderung“ in Ihrem Lebenslauf könnte äußerst negative Auswirkungen auf Ihre zukünftige Karriere haben. Und schließlich enthält heutzutage jede Organisation geheime Daten, von denen es nicht ratsam ist, sie ihren Konkurrenten preiszugeben. Und wenn mindestens einer der Computer Ihrer Organisation erfolgreich angegriffen wird, besteht eine große Chance, dass bald Ihre gesamte Computerflotte infiziert wird, was einen gewaltigen Aufwand erfordert, um die Computer Ihrer Organisation in ihren ursprünglichen Zustand zu versetzen. Möglicherweise gibt es sogar in Ihrer Organisation Ungläubige. Selbst wenn der Sicherheitsdienst Ihr Gepäck beim Verlassen des Gebäudes überprüft, wird er nicht das externe Speichergerät jedes Mitarbeiters überprüfen. Sie können jedoch viele Daten enthalten, von denen Ihre Konkurrenten erst in einigen Monaten erfahren sollten.

Aus diesem Grund müssen Sie lediglich versuchen, Ihre Daten auf jede mögliche gültige Weise zu sichern. Genau dafür ist diese Komponente moderner Microsoft-Betriebssysteme konzipiert. Mit BitLocker können Sie den unbefugten Zugriff auf Daten auch auf verlorenen oder gestohlenen Computern verhindern und so die Leistung Ihres Betriebssystems verbessern. Um den Schutz Ihrer Daten zu verbessern, verwendet Windows BitLocker ein Trusted Platform Module (TPM) – eine Spezifikation, die den Kryptoprozessor detailliert beschreibt, in dem kryptografische Schlüssel zum Schutz von Informationen gespeichert werden, sowie beispielsweise einen generischen Namen für Implementierungen der angegebenen Spezifikation , in Form eines „TPM-Chips“, der die Integrität der verwendeten Komponenten bereits in der frühesten Ladephase garantiert.

Diese Technologien bieten Vorteile sowohl für Privatanwender als auch für Systemadministratoren in Organisationen. Für einen Heimanwender liegt der Hauptvorteil dieser Technologien in der Benutzerfreundlichkeit, da bei der täglichen Nutzung der BitLocker- oder BitLocker To Go-Funktionalität der Schutz und die Wiederherstellung des Computers für den Benutzer völlig transparent sind. Systemadministratoren werden die einfache Datenschutzverwaltung sicherlich zu schätzen wissen. Um die BitLocker-Verschlüsselung aus der Ferne zu verwalten, können Sie die Active Directory Domain Services-Infrastruktur mit erweiterter Verwaltung über Gruppenrichtlinien und Skripts verwenden.

Es sind diese Betriebssystemkomponenten, die in dieser Artikelserie behandelt werden. Im Internet finden Sie bereits viele nützliche Informationen zu diesen Komponenten und ihrer Funktionsweise, darunter auch wunderbare Videoberichte, in denen Sie die Funktionsweise live erleben können. Daher werde ich in den Artikeln dieser Serie versuchen, die meisten Funktionen sowohl für Heimanwender als auch für Organisationen detaillierter zu betrachten, damit Sie nicht lange suchen müssen, wie Sie dieses oder jenes Szenario umsetzen können, um bestimmte anzuwenden Aktionen.

Architektur dieser Technologie

Wie Sie bereits wissen, kann das Betriebssystem, wenn es aktiv ist, durch lokale Sicherheitsrichtlinien, Antivirensoftware und Firewalls geschützt werden. Sie können jedoch das Betriebssystem-Volume auf der Festplatte mit BitLocker-Verschlüsselung schützen. Um die BitLocker-Verschlüsselung und Systemauthentifizierung in vollem Umfang nutzen zu können, muss Ihr Computer Anforderungen erfüllen, wie z. B. die Installation von TPM Version 1.2, die es Ihnen bei aktivierter Verschlüsselung ermöglicht, einen bestimmten Systemstartschlüssel im Trusted Platform Module selbst zu speichern. Zusätzlich zum TPM muss im zugrunde liegenden Eingabe-/Ausgabesystem (BIOS) die Trusted Computing Group (TCG)-Spezifikation installiert sein, die eine Vertrauenskette für Aktionen vor dem Start des Betriebssystems erstellt und Unterstützung für ein statisches Root-Trust-Änderungsobjekt bietet . Leider sind nicht alle Motherboards mit einem Modul wie TPM ausgestattet, aber auch ohne dieses Modul ermöglicht Ihnen das Betriebssystem die Nutzung dieser Verschlüsselungstechnologie, wenn Sie über USB-Speichergeräte verfügen, die UFI-Befehle unterstützen, und auch wenn Ihre Festplatte dies unterstützt in zwei und mehr als einen Band geteilt. Auf einem Volume befindet sich beispielsweise das Betriebssystem selbst, für das die Verschlüsselung aktiviert wird, und das zweite Systemvolume mit einer Kapazität von mindestens 1,5 GB enthält die Dateien, die zum Laden des Betriebssystems nach dem Laden erforderlich sind Das BIOS lädt die Plattform. Alle Ihre Volumes müssen mit dem NTFS-Dateisystem formatiert sein.

Die BitLocker-Verschlüsselungsarchitektur bietet verwaltbare und funktionale Mechanismen sowohl im Kernel- als auch im Benutzermodus. Auf hoher Ebene umfassen die Hauptkomponenten von BitLocker:

• Trusted Platform Module-Treiber(%SystemRoot%System32DriversTpm.sys) – Treiber, der im Kernel-Modus auf den TPM-Chip zugreift;
• Kern-TPM-Dienste, zu denen benutzerdefinierte Dienste gehören, die im Benutzermodus Zugriff auf das TPM (%SystemRoot%System32tbssvc.dll), den WMI-Anbieter und das MMC-Snap-In (%SystemRoot%System32Tpm.msc) ermöglichen;
• Zugehöriger BitLocker-Code im Boot-Manager (BootMgr), das den Zugriff auf die Festplatte authentifiziert und Ihnen außerdem ermöglicht, den Bootloader zu reparieren und zu entsperren;
• BitLocker-Filtertreiber(%SystemRoot%System32DriversFvevol.sys), mit dem Sie Volumes im laufenden Betrieb im Kernel-Modus verschlüsseln und entschlüsseln können;
• WMI BitLocker-Anbieter und Skriptverwaltung, mit denen Sie BitLocker-Schnittstellenskripts konfigurieren und verwalten können.

Die folgende Abbildung zeigt die verschiedenen Komponenten und Dienste, die dafür sorgen, dass die BitLocker-Verschlüsselungstechnologie ordnungsgemäß funktioniert:

Reis. 1. BitLocker-Architektur

Verschlüsselungsschlüssel

BitLocker verschlüsselt den Inhalt eines Volumes mit Verschlüsselungsschlüssel für das gesamte Volume(FVEK – Full Volume Encryption Key), der ihm bei der Erstkonfiguration für die Verwendung von BitLocker zugewiesen wurde, unter Verwendung der 128- oder 256-Bit-AES-Schlüsselalgorithmen AES128-CBC und AES256-CBC mit Microsoft-Erweiterungen namens Diffusoren. Der FVEK-Schlüssel wird mit verschlüsselt Lautstärkehaupttaste(VMK – Volume Master Key) und wird auf dem Volume in einem speziell für Metadaten vorgesehenen Bereich gespeichert. Der Schutz des Hauptschlüssels eines Volumes ist eine indirekte Möglichkeit zum Schutz von Volume-Daten: Durch das Auffüllen des Hauptschlüssels des Volumes kann das System den Schlüssel neu generieren, nachdem Schlüssel verloren gegangen oder kompromittiert wurden.

Wenn Sie die BitLocker-Verschlüsselung einrichten, können Sie abhängig von Ihrer Hardwarekonfiguration eine von mehreren Methoden verwenden, um Ihren Computer mit VMK zu schützen. Die BitLocker-Verschlüsselung unterstützt fünf Authentifizierungsmodi, abhängig von den Hardwarefunktionen Ihres Computers und der von Ihnen benötigten Sicherheitsstufe. Wenn Ihre Hardwarekonfiguration die Trusted Platform Module (TPM)-Technologie unterstützt, können Sie den VMK sowohl in TMP als auch in TPM und auf einem USB-Gerät speichern oder den VMK-Schlüssel in TPM speichern und die PIN beim Systemstart eingeben. Darüber hinaus haben Sie die Möglichkeit, die beiden bisherigen Methoden zu kombinieren. Und für Plattformen, die nicht mit der TPM-Technologie kompatibel sind, können Sie den Schlüssel auf einem externen USB-Gerät speichern.

Es ist zu beachten, dass beim Laden eines Betriebssystems mit aktivierter BitLocker-Verschlüsselung eine Abfolge von Aktionen ausgeführt wird, die von den Volume-Schutztools abhängt. Zu diesen Schritten gehören Systemintegritätsprüfungen sowie andere Authentifizierungsschritte, die abgeschlossen werden müssen, bevor eine Sperre von einem geschützten Volume aufgehoben werden kann. Die folgende Tabelle fasst die verschiedenen Methoden zusammen, die Sie zum Verschlüsseln eines Volumes verwenden können:

Quelle	Sicherheit	Benutzeraktionen
Nur TPM	Schützt vor Softwareangriffen, ist jedoch anfällig für Hardwareangriffe	Keiner
TPM+PIN	Fügt Schutz vor Hardware-Angriffen hinzu	Der Benutzer muss bei jedem Start des Betriebssystems eine PIN eingeben
TPM + USB-Stick	Vollständiger Schutz vor Hardware-Angriffen, aber anfällig für den Verlust des USB-Sticks
TPM + USB-Stick + PIN	Maximaler Schutz	Bei jedem Start des Betriebssystems muss der Benutzer einen PIN-Code eingeben und einen USB-Stick verwenden
Nur USB-Stick	Mindestschutzniveau für Computer, die nicht mit TPM + ausgestattet sind, besteht die Gefahr des Verlusts des Schlüssels	Der Benutzer muss den USB-Stick bei jedem Start des Betriebssystems verwenden

Tabelle 1. VMK-Quellen

Die folgende Abbildung zeigt, wie Volumes verschlüsselt werden:

Reis. 2. Methoden zum Verschlüsseln von Volumes mithilfe der BitLocker-Technologie

Bevor BitLocker Zugriff auf das FEVK gewährt und das Volume entschlüsselt, müssen Sie die Schlüssel eines autorisierten Benutzers oder Computers bereitstellen. Wie oben erwähnt, können Sie, wenn Ihr Computer über ein TPM verfügt, verschiedene Authentifizierungsmethoden verwenden. In den folgenden Unterabschnitten werden wir jede dieser Methoden genauer betrachten.

Nur TPM verwenden

Der Bootvorgang des Betriebssystems stellt mithilfe von TPM sicher, dass die Festplatte mit dem richtigen Computer verbunden ist und wichtige Systemdateien nicht beschädigt wurden, und verhindert außerdem den Zugriff auf die Festplatte, wenn Malware oder ein Rootkit die Integrität des Systems beeinträchtigt haben. Während der Computer validiert wird, entsperrt das TPM den VMK und Ihr Betriebssystem startet ohne Benutzerinteraktion, wie Sie in der folgenden Abbildung sehen können.

Reis. 3. Authentifizierung mittels TPM-Technologie

Verwendung von TPM mit einem USB-Stick

Zusätzlich zur physischen Sicherheit, die im vorherigen Unterabschnitt beschrieben wurde, benötigt das TPM in diesem Fall einen Fremdschlüssel, der sich auf dem USB-Gerät befindet. In diesem Fall muss der Benutzer ein USB-Laufwerk einstecken, auf dem ein Fremdschlüssel gespeichert ist, der zur Authentifizierung des Benutzers und der Integrität des Computers dient. In diesem Fall können Sie Ihren Computer sowohl beim Einschalten des Computers als auch beim Aufwachen aus dem Ruhezustand vor Diebstahl schützen. Leider schützt Sie diese Methode nicht davor, Ihren Computer aus dem Energiesparmodus aufzuwecken. Wenn Sie diese Methode verwenden, müssen Sie den Fremdschlüssel getrennt von Ihrem Computer speichern, um das Risiko eines Computerdiebstahls zu verringern. Die folgende Abbildung veranschaulicht die Verwendung von TPM mit einem externen USB-Stick:

Reis. 4. Authentifizierung mit TPM und USB-Stick

Verwendung von TPM in Verbindung mit einem PIN-Code

Diese Methode verhindert, dass der Computer startet, bis der Benutzer eine persönliche Identifikationsnummer (PIN) eingibt. Mit dieser Methode können Sie Ihren Computer schützen, falls Ihr ausgeschalteter Computer gestohlen wird. Leider sollten Sie diese Methode nicht verwenden, wenn der Computer, der normalerweise als Server fungiert, ohne menschliches Eingreifen automatisch gestartet werden muss. Wenn eine PIN angefordert wird, fordert Sie das Hardware-TPM des Computers mit einer speziellen Verzögerung, die von den Herstellern des Motherboards und des TPM selbst festgelegt wird, zur Eingabe einer vierstelligen PIN auf. In der folgenden Abbildung sehen Sie diese Authentifizierungsmethode:

Reis. 5. TPM- und PIN-Authentifizierung

Mit einer kombinierten Methode (TPM+PIN+USB-Stick)

In den Betriebssystemen Windows 7 und Windows Vista können Sie eine kombinierte Authentifizierungsmethode verwenden, um den größtmöglichen Schutz für Ihren Computer zu gewährleisten. In diesem Fall wird die TPM-Hardware-Authentifizierung durch die Eingabe eines PIN-Codes und die Verwendung eines Fremdschlüssels, der sich auf einem USB-Laufwerk befindet, ergänzt. Alle diese Tools bieten das maximale Maß an BitLocker-Schutz, was Daten erfordert, die der Benutzer „kennt“ und „verwendet“. Damit ein Angreifer an Ihre Daten gelangen kann, die sich auf einem durch die BitLocker-Technologie geschützten Datenträger befinden, muss er Ihren Computer stehlen, über ein USB-Laufwerk mit Ihrem Schlüssel verfügen und außerdem den PIN-Code kennen, was nahezu unmöglich ist. Die folgende Abbildung veranschaulicht diese Authentifizierungsmethode:

Reis. 6. Authentifizierung mit TPM, USB-Stick und PIN-Code

Authentifizierung nur mit USB-Startschlüssel

In diesem Fall stellt der Benutzer den VMK auf einer Festplatte, einem USB-Laufwerk oder einem externen Speichergerät bereit, um das FEVK- und BitLocker-verschlüsselte Volume auf einem Computer zu entschlüsseln, auf dem kein TPM installiert ist. Durch die Verwendung eines Startschlüssels ohne TPM können Sie Daten verschlüsseln, ohne Ihre Hardware zu aktualisieren. Diese Methode gilt als die anfälligste, da in diesem Fall die Boot-Integrität nicht überprüft wird und beim Übertragen der Festplatte auf einen anderen Computer die Daten vom verschlüsselten Laufwerk verwendet werden können.

Abschluss

Die BitLocker-Laufwerkverschlüsselung ist eine Sicherheitsfunktion in modernen Windows-Betriebssystemen, die zum Schutz des Betriebssystems und der auf Ihren Computern gespeicherten Daten beiträgt. In einer idealen Kombination ist BitLocker für die Verwendung eines Trusted Platform Module (TPM) konfiguriert, das sicherstellt, dass die Integrität der Boot- und Volume-Locking-Komponenten auch dann geschützt bleibt, wenn das Betriebssystem noch nicht ausgeführt wird. In diesem Artikel der Reihe zur Datenverschlüsselung haben Sie mehr über die Architektur dieses Tools erfahren. Im folgenden Artikel erfahren Sie mehr über die Implementierung der Festplattenverschlüsselung mithilfe der Windows BitLocker-Technologie.

Mit der Veröffentlichung des Betriebssystems Windows 7 waren viele Benutzer mit der Tatsache konfrontiert, dass darin ein etwas unverständlicher BitLocker-Dienst auftauchte. Was BitLocker ist, können viele nur vermuten. Versuchen wir, die Situation anhand konkreter Beispiele zu verdeutlichen. Dabei werden wir uns mit Fragen befassen, wie sinnvoll es ist, diese Komponente zu aktivieren oder ganz zu deaktivieren.

BitLocker: Was ist BitLocker, warum wird dieser Dienst benötigt?

Wenn Sie es sich ansehen, ist BitLocker ein universelles und vollautomatisches Tool zum Speichern von Daten, die auf einer Festplatte gespeichert sind. Was ist BitLocker auf einer Festplatte? Ja, nur ein Dienst, der Dateien und Ordner ohne Benutzereingriff schützt, indem er sie verschlüsselt und einen speziellen Textschlüssel erstellt, der den Zugriff auf Dokumente ermöglicht.

Wenn ein Benutzer unter seinem eigenen Konto im System arbeitet, merkt er möglicherweise nicht einmal, dass die Daten verschlüsselt sind, da die Informationen in lesbarer Form angezeigt werden und der Zugriff auf Dateien und Ordner nicht blockiert ist. Mit anderen Worten, ein solches Schutztool ist nur für Situationen konzipiert, in denen auf ein Computerterminal zugegriffen wird, beispielsweise wenn versucht wird, von außen einzugreifen (Internetangriff).

Probleme mit Passwörtern und Kryptografie

Wenn wir jedoch darüber sprechen, was BitLocker in Windows 7 oder höherwertigen Systemen ist, ist es erwähnenswert, dass sich viele Benutzer bei Verlust ihres Anmeldekennworts nicht nur nicht am System anmelden, sondern auch einige Browsing-Aktionen ausführen können Dokumente, die zuvor zum Kopieren, Verschieben usw. verfügbar waren.

Aber das ist nicht alles. Schaut man sich die Frage an, was BitLocker Windows 8 oder 10 ist, dann gibt es keine wesentlichen Unterschiede, außer dass sie über eine fortschrittlichere Kryptografietechnologie verfügen. Das Problem ist hier eindeutig ein anderes. Tatsache ist, dass der Dienst selbst in zwei Modi arbeiten kann und Entschlüsselungsschlüssel entweder auf einer Festplatte oder auf einem austauschbaren USB-Laufwerk speichert.

Dies legt die einfachste Schlussfolgerung nahe: Wird der Schlüssel auf der Festplatte gespeichert, erhält der Benutzer problemlos Zugriff auf alle darauf gespeicherten Informationen. Wenn der Schlüssel jedoch auf einem Flash-Laufwerk gespeichert wird, ist das Problem viel schwerwiegender. Grundsätzlich können Sie eine verschlüsselte Festplatte oder Partition sehen, die Informationen jedoch nicht lesen.

Wenn wir außerdem darüber sprechen, was BitLocker in Windows 10 oder früheren Systemen ist, kommen wir nicht umhin, die Tatsache zu bemerken, dass der Dienst in jede Art von Rechtsklick-Kontextmenü integriert ist, was für viele Benutzer einfach ärgerlich ist. Aber lassen Sie uns nicht voreilig sein, sondern alle wichtigen Aspekte im Zusammenhang mit der Funktionsweise dieser Komponente und der Zweckmäßigkeit ihrer Verwendung oder Deaktivierung berücksichtigen.

Verfahren zur Verschlüsselung von Festplatten und Wechselmedien

Das Seltsamste ist, dass sich der BitLocker-Dienst auf verschiedenen Systemen und deren Modifikationen standardmäßig sowohl im aktiven als auch im passiven Modus befinden kann. In der „Sieben“ ist es standardmäßig aktiviert; in der achten und zehnten Version ist manchmal eine manuelle Aktivierung erforderlich.

Was die Verschlüsselung betrifft, wurde hier nichts besonders Neues erfunden. Dabei kommt in der Regel die gleiche Public-Key-basierte AES-Technologie zum Einsatz, die am häufigsten in Unternehmensnetzwerken zum Einsatz kommt. Wenn Ihr Computerterminal mit dem entsprechenden Betriebssystem an Bord mit dem lokalen Netzwerk verbunden ist, können Sie daher sicher sein, dass die geltenden Sicherheits- und Datenschutzrichtlinien die Aktivierung dieses Dienstes erfordern. Ohne Administratorrechte (auch wenn Sie als Administrator mit der Änderung der Einstellungen beginnen) können Sie nichts ändern.

Aktivieren Sie BitLocker, wenn der Dienst deaktiviert ist

Bevor wir uns mit dem Problem im Zusammenhang mit BitLocker befassen (wie man den Dienst deaktiviert, wie man seine Befehle aus dem Kontextmenü entfernt), werfen wir einen Blick auf die Aktivierung und Konfiguration, insbesondere da die Deaktivierungsschritte in umgekehrter Reihenfolge durchgeführt werden müssen.

Die Aktivierung der Verschlüsselung erfolgt am einfachsten über die „Systemsteuerung“ durch Auswahl des Abschnitts. Diese Methode ist nur anwendbar, wenn der Schlüssel nicht auf Wechselmedien gespeichert werden soll.

Wenn es sich bei dem gesperrten Gerät um ein nicht entfernbares Laufwerk handelt, müssen Sie die Antwort auf eine weitere Frage zum BitLocker-Dienst finden: Wie kann diese Komponente auf einem Flash-Laufwerk deaktiviert werden? Das geht ganz einfach.

Vorausgesetzt, dass sich der Schlüssel auf Wechselmedien befindet, müssen Sie ihn zum Entschlüsseln von Festplatten und Festplattenpartitionen zunächst in den entsprechenden Port (Anschluss) stecken und dann zum Abschnitt „Sicherheitssystem“ der Systemsteuerung gehen. Danach finden wir das BitLocker-Verschlüsselungselement und schauen uns dann die Laufwerke und Medien an, auf denen der Schutz installiert ist. Ganz unten sehen Sie einen Hyperlink zum Deaktivieren der Verschlüsselung, den Sie anklicken müssen. Wird der Schlüssel erkannt, wird der Entschlüsselungsprozess aktiviert. Es bleibt nur noch auf die Fertigstellung zu warten.

Probleme beim Konfigurieren von Ransomware-Komponenten

Was die Einrichtung betrifft, können Sie nicht ohne Kopfschmerzen auskommen. Zunächst bietet das System an, mindestens 1,5 GB für Ihren Bedarf zu reservieren. Zweitens müssen Sie die Berechtigungen des NTFS-Dateisystems anpassen, die Volume-Größe reduzieren usw. Um solche Dinge zu vermeiden, ist es besser, diese Komponente sofort zu deaktivieren, da die meisten Benutzer sie einfach nicht benötigen. Auch wer diesen Dienst in seinen Standardeinstellungen aktiviert hat, weiß nicht immer, was er damit machen soll oder ob er überhaupt benötigt wird. Aber vergeblich. Sie können damit Daten auf Ihrem lokalen Computer schützen, auch wenn Sie keine Antivirensoftware haben.

BitLocker: So deaktivieren Sie es. Erste Stufe

Benutzen Sie wieder den zuvor angegebenen Punkt in der „Systemsteuerung“. Abhängig von der Systemänderung können sich die Namen der Dienst-Deaktivierungsfelder ändern. Das ausgewählte Laufwerk verfügt möglicherweise über eine Zeile zum Aussetzen des Schutzes oder einen direkten Hinweis zum Deaktivieren von BitLocker.

Das ist nicht der Punkt. Hierbei ist zu beachten, dass Sie die Bootdateien des Computersystems vollständig deaktivieren müssen. Andernfalls kann der Entschlüsselungsvorgang recht lange dauern.

Kontextmenü

Dies ist nur eine Seite der BitLocker-Medaille. Was BitLocker ist, ist wahrscheinlich schon klar. Die Kehrseite besteht jedoch darin, zusätzliche Menüs vom Vorhandensein von Links zu diesem Dienst darin zu isolieren.

Schauen wir uns dazu noch einmal BitLocker an. Wie entferne ich alle Links zu einem Dienst? Elementar! Wenn Sie im Explorer die gewünschte Datei oder den gewünschten Ordner auswählen, verwenden Sie den Servicebereich und bearbeiten Sie das entsprechende Kontextmenü, gehen Sie zu den Einstellungen, verwenden Sie dann den Befehl Einstellungen und organisieren Sie sie.

Geben Sie anschließend im Registrierungseditor den Zweig HKCR ein, in dem wir den Abschnitt ROOTDirectoryShell finden, erweitern Sie ihn und löschen Sie das gewünschte Element, indem Sie die Entf-Taste oder den Löschbefehl aus dem Kontextmenü drücken. Eigentlich ist das das Letzte an der BitLocker-Komponente. Wie man es deaktivieren kann, ist meiner Meinung nach bereits klar. Aber machen Sie sich keine Illusionen. Trotzdem wird dieser Dienst (für alle Fälle) funktionieren, ob Sie es wollen oder nicht.

Anstelle eines Nachworts

Es bleibt hinzuzufügen, dass dies nicht alles ist, was über die Komponente des BitLocker-Verschlüsselungssystems gesagt werden kann. Was ist BitLocker? Ich habe herausgefunden, wie man es deaktiviert und auch Menübefehle löscht. Die Frage ist: Sollten Sie BitLocker deaktivieren? Hier können wir nur einen Rat geben: In einem lokalen Firmennetzwerk sollten Sie diese Komponente auf keinen Fall deaktivieren. Aber wenn es ein Heimcomputerterminal ist, warum nicht?

Laut Experten ist Laptop-Diebstahl eines der Hauptprobleme im Bereich der Informationssicherheit (IS).

Im Gegensatz zu anderen Bedrohungen der Informationssicherheit ist das Problem „gestohlener Laptop“ oder „gestohlenes Flash-Laufwerk“ recht primitiv. Und wenn die Kosten für fehlende Geräte selten mehrere tausend US-Dollar überschreiten, beläuft sich der Wert der darauf gespeicherten Informationen oft auf Millionen.

Laut Dell und dem Ponemon Institute verschwinden jedes Jahr allein auf amerikanischen Flughäfen 637.000 Laptops. Stellen Sie sich vor, wie viele Flash-Laufwerke verloren gehen, weil sie viel kleiner sind und ein versehentliches Fallenlassen eines Flash-Laufwerks so einfach ist wie das Schälen von Birnen.

Wenn ein Laptop eines Top-Managers eines großen Unternehmens verloren geht, kann der Schaden durch einen solchen Diebstahl mehrere zehn Millionen Dollar betragen.

Wie schützen Sie sich und Ihr Unternehmen?

Wir setzen unsere Artikelserie zum Thema Windows-Domänensicherheit fort. Im ersten Artikel der Serie haben wir über die Einrichtung eines sicheren Domänen-Logins gesprochen, im zweiten über die Einrichtung einer sicheren Datenübertragung in einem E-Mail-Client:

In diesem Artikel sprechen wir über die Einrichtung der Verschlüsselung der auf Ihrer Festplatte gespeicherten Informationen. Sie werden verstehen, wie Sie sicherstellen können, dass niemand außer Ihnen die auf Ihrem Computer gespeicherten Informationen lesen kann.

Nur wenige Menschen wissen, dass Windows über integrierte Tools verfügt, mit denen Sie Informationen sicher speichern können. Betrachten wir einen davon.

Sicherlich haben einige von Ihnen das Wort „BitLocker“ gehört. Lassen Sie uns herausfinden, was es ist.

Was ist BitLocker?

BitLocker (genauer Name: BitLocker Drive Encryption) ist eine von Microsoft entwickelte Technologie zur Verschlüsselung des Inhalts von Computerlaufwerken. Es erschien erstmals in Windows Vista.

Mit BitLocker war es möglich, Festplattenvolumes zu verschlüsseln, aber später, in Windows 7, erschien eine ähnliche Technologie, BitLocker To Go, die zum Verschlüsseln von Wechseldatenträgern und Flash-Laufwerken entwickelt wurde.

BitLocker ist eine Standardkomponente von Windows Professional und Serverversionen von Windows, was bedeutet, dass es für die meisten Unternehmensanwendungsfälle bereits verfügbar ist. Andernfalls müssen Sie Ihre Windows-Lizenz auf Professional aktualisieren.

Wie funktioniert BitLocker?

Diese Technologie basiert auf einer vollständigen Volumenverschlüsselung, die mit dem AES-Algorithmus (Advanced Encryption Standard) durchgeführt wird. Verschlüsselungsschlüssel müssen sicher gespeichert werden, und BitLocker verfügt hierfür über mehrere Mechanismen.

Die einfachste, aber zugleich unsicherste Methode ist ein Passwort. Der Schlüssel wird jedes Mal auf die gleiche Weise aus dem Passwort ermittelt. Wenn also jemand Ihr Passwort herausfindet, wird der Verschlüsselungsschlüssel bekannt.

Um die Speicherung des Schlüssels im Klartext zu vermeiden, kann er entweder in einem TPM (Trusted Platform Module) oder auf einem kryptografischen Token oder einer Smartcard, die den RSA 2048-Algorithmus unterstützt, verschlüsselt werden.

TPM ist ein Chip zur Implementierung grundlegender sicherheitsbezogener Funktionen, hauptsächlich unter Verwendung von Verschlüsselungsschlüsseln.

Das TPM-Modul ist normalerweise auf der Hauptplatine des Computers installiert. Allerdings ist es in Russland sehr schwierig, einen Computer mit integriertem TPM-Modul zu kaufen, da die Einfuhr von Geräten ohne FSB-Benachrichtigung in unser Land verboten ist.

Die Verwendung einer Smartcard oder eines Tokens zum Entsperren eines Laufwerks ist eine der sichersten Möglichkeiten, zu kontrollieren, wer den Vorgang wann abgeschlossen hat. Um die Sperre in diesem Fall aufzuheben, benötigen Sie sowohl die Smartcard selbst als auch den PIN-Code dafür.

So funktioniert BitLocker:

1. Bei Aktivierung von BitLocker wird mithilfe eines Pseudozufallszahlengenerators eine Master-Bitfolge erstellt. Dies ist der Volume-Verschlüsselungsschlüssel – FVEK (Full Volume Encryption Key). Es verschlüsselt den Inhalt jedes Sektors. Der FVEK-Schlüssel wird streng vertraulich behandelt.
2. FVEK wird mit dem VMK (Volume Master Key) verschlüsselt. Der FVEK-Schlüssel (verschlüsselt mit dem VMK-Schlüssel) wird auf der Festplatte unter den Volume-Metadaten gespeichert. Es sollte jedoch niemals in entschlüsselter Form auf der Festplatte landen.
3. VMK selbst ist ebenfalls verschlüsselt. Der Benutzer wählt die Verschlüsselungsmethode.
4. Der VMK-Schlüssel wird standardmäßig mit dem SRK-Schlüssel (Storage Root Key) verschlüsselt, der auf einer kryptografischen Smartcard oder einem kryptografischen Token gespeichert ist. Ähnlich verhält es sich mit TPM.
   Übrigens kann der Verschlüsselungsschlüssel des Systemlaufwerks in BitLocker nicht mit einer Smartcard oder einem Token geschützt werden. Dies liegt daran, dass für den Zugriff auf Smartcards und Token Bibliotheken des Herstellers verwendet werden und diese natürlich vor dem Laden des Betriebssystems nicht verfügbar sind.
   Wenn kein TPM vorhanden ist, schlägt BitLocker vor, den Systempartitionsschlüssel auf einem USB-Flash-Laufwerk zu speichern, was natürlich nicht die beste Idee ist. Wenn Ihr System nicht über ein TPM verfügt, empfehlen wir, Ihre Systemlaufwerke nicht zu verschlüsseln.
   Im Allgemeinen ist die Verschlüsselung des Systemlaufwerks eine schlechte Idee. Bei korrekter Konfiguration werden alle wichtigen Daten getrennt von den Systemdaten gespeichert. Dies ist zumindest aus Sicht ihrer Sicherung komfortabler. Darüber hinaus verringert die Verschlüsselung von Systemdateien die Leistung des gesamten Systems und der Betrieb einer unverschlüsselten Systemfestplatte mit verschlüsselten Dateien erfolgt ohne Geschwindigkeitsverlust.
5. Verschlüsselungsschlüssel für andere Nicht-System- und Wechsellaufwerke können mit einer Smartcard oder einem Token sowie einem TPM geschützt werden.
   Wenn weder ein TPM-Modul noch eine Smartcard vorhanden ist, wird anstelle von SRK ein auf Basis des von Ihnen eingegebenen Passworts generierter Schlüssel zur Verschlüsselung des VMK-Schlüssels verwendet.

Beim Starten von einer verschlüsselten Startdiskette fragt das System alle möglichen Keystores ab – prüft, ob ein TPM vorhanden ist, überprüft USB-Anschlüsse oder fordert den Benutzer bei Bedarf dazu auf (was als Wiederherstellung bezeichnet wird). Durch die Schlüsselspeichererkennung kann Windows den VMK-Schlüssel entschlüsseln, der den FVEK-Schlüssel entschlüsselt, der die Daten auf der Festplatte entschlüsselt.

Jeder Sektor des Volumes wird separat verschlüsselt und ein Teil des Verschlüsselungsschlüssels wird durch die Nummer dieses Sektors bestimmt. Infolgedessen sehen zwei Sektoren, die dieselben unverschlüsselten Daten enthalten, im verschlüsselten Zustand unterschiedlich aus, was es sehr schwierig macht, Verschlüsselungsschlüssel durch Schreiben und Entschlüsseln zuvor bekannter Daten zu ermitteln.

Zusätzlich zu FVEK, VMK und SRK verwendet BitLocker einen anderen Schlüsseltyp, der „nur für den Fall“ erstellt wird. Dies sind Wiederherstellungsschlüssel.

Für Notfälle (der Benutzer hat einen Token verloren, seine PIN vergessen usw.) fordert BitLocker Sie im letzten Schritt auf, einen Wiederherstellungsschlüssel zu erstellen. Das System sieht keine Verweigerung der Erstellung vor.

Wie aktiviere ich die Datenverschlüsselung auf meiner Festplatte?

Bevor Sie mit der Verschlüsselung von Volumes auf Ihrer Festplatte beginnen, müssen Sie beachten, dass dieser Vorgang einige Zeit in Anspruch nehmen wird. Die Dauer hängt von der Informationsmenge auf der Festplatte ab.

Wenn sich der Computer während der Ver- oder Entschlüsselung ausschaltet oder in den Ruhezustand wechselt, werden diese Prozesse beim nächsten Start von Windows dort fortgesetzt, wo sie gestoppt wurden.

Auch während des Verschlüsselungsvorgangs kann das Windows-System genutzt werden, allerdings dürfte es Ihnen mit seiner Leistung kaum gefallen. Infolgedessen sinkt die Festplattenleistung nach der Verschlüsselung um etwa 10 %.

Wenn BitLocker auf Ihrem System verfügbar ist, wird beim Klicken mit der rechten Maustaste auf den Namen des Laufwerks, das verschlüsselt werden muss, der sich öffnende Menüpunkt angezeigt Aktivieren Sie BitLocker.

Bei Serverversionen von Windows müssen Sie eine Rolle hinzufügen BitLocker-Laufwerkverschlüsselung.

Beginnen wir mit der Einrichtung der Verschlüsselung eines Nicht-System-Volumes und schützen den Verschlüsselungsschlüssel mithilfe eines kryptografischen Tokens.

Wir werden einen von der Firma Aktiv hergestellten Token verwenden. Insbesondere die Rutoken EDS-Token-PKI.

I. Bereiten wir Rutoken EDS PKI für die Arbeit vor.

In den meisten normal konfigurierten Windows-Systemen wird nach der ersten Verbindung mit Rutoken EDS PKI automatisch eine spezielle Bibliothek für die Arbeit mit Token der Firma Aktiv – Aktiv Rutoken Minidriver – heruntergeladen und installiert.

Der Installationsprozess für eine solche Bibliothek ist wie folgt.

Das Vorhandensein der Aktiv Rutoken Minidriver-Bibliothek kann über überprüft werden Gerätemanager.

Wenn der Download und die Installation der Bibliothek aus irgendeinem Grund nicht möglich waren, sollten Sie das Rutoken Drivers for Windows-Kit installieren.

II. Verschlüsseln wir die Daten auf der Festplatte mit BitLocker.

Klicken Sie auf den Datenträgernamen und wählen Sie aus Aktivieren Sie BitLocker.

Wie bereits erwähnt, verwenden wir einen Token, um den Festplattenverschlüsselungsschlüssel zu schützen.
Es ist wichtig zu verstehen, dass ein Token oder eine Smartcard zur Verwendung mit BitLocker RSA 2048-Schlüssel und ein Zertifikat enthalten muss.

Wenn Sie den Dienst „Certificate Authority“ in einer Windows-Domäne nutzen, muss die Zertifikatsvorlage den Umfang des „Disk Encryption“-Zertifikats enthalten (mehr zum Einrichten einer Zertifizierungsstelle in unserer Artikelserie zur Windows-Domänensicherheit).

Wenn Sie keine Domäne haben oder die Richtlinie für die Ausstellung von Zertifikaten nicht ändern können, können Sie eine Fallback-Methode mit einem selbstsignierten Zertifikat verwenden. Einzelheiten zum Ausstellen eines selbstsignierten Zertifikats werden beschrieben.
Aktivieren wir nun das entsprechende Kästchen.

Im nächsten Schritt wählen wir eine Methode zum Speichern des Wiederherstellungsschlüssels aus (wir empfehlen die Auswahl). Drucken Sie den Wiederherstellungsschlüssel aus).

Der Zettel mit dem aufgedruckten Wiederherstellungsschlüssel muss an einem sicheren Ort, vorzugsweise in einem Tresor, aufbewahrt werden.

Im nächsten Schritt beginnen wir mit der Festplattenverschlüsselung. Sobald dieser Vorgang abgeschlossen ist, müssen Sie möglicherweise Ihr System neu starten.

Wenn die Verschlüsselung aktiviert ist, ändert sich das Symbol des verschlüsselten Datenträgers.

Und wenn wir nun versuchen, dieses Laufwerk zu öffnen, werden Sie vom System aufgefordert, einen Token einzuführen und seinen PIN-Code einzugeben.

Die Bereitstellung und Konfiguration von BitLocker und TPM kann mithilfe des WMI-Tools oder von Windows PowerShell-Skripts automatisiert werden. Wie die Szenarien umgesetzt werden, hängt von der Umgebung ab. Die Befehle für BitLocker in Windows PowerShell werden in diesem Artikel beschrieben.

Wie kann man mit BitLocker verschlüsselte Daten wiederherstellen, wenn das Token verloren geht?

Wenn Sie verschlüsselte Daten in Windows öffnen möchten

Dazu benötigen Sie den Wiederherstellungsschlüssel, den wir zuvor ausgedruckt haben. Geben Sie es einfach in das entsprechende Feld ein und der verschlüsselte Bereich wird geöffnet.

Wenn Sie verschlüsselte Daten auf GNU/Linux- und Mac OS X-Systemen öffnen möchten

Dazu benötigen Sie das Dienstprogramm DisLocker und einen Wiederherstellungsschlüssel.

Das DisLocker-Dienstprogramm funktioniert in zwei Modi:

• DATEI – Die gesamte von BitLocker verschlüsselte Partition wird in eine Datei entschlüsselt.
• FUSE – nur der Block, auf den das System zugreift, wird entschlüsselt.

Wir werden beispielsweise das Linux-Betriebssystem und den FUSE-Dienstprogrammmodus verwenden.

In den neuesten Versionen gängiger Linux-Distributionen ist das Dislocker-Paket bereits in der Distribution enthalten, beispielsweise in Ubuntu ab Version 16.10.

Wenn das Dislocker-Paket aus irgendeinem Grund nicht verfügbar ist, müssen Sie das Dienstprogramm herunterladen und kompilieren:

tar -xvjf dislocker.tar.gz

Öffnen wir die Datei INSTALL.TXT und prüfen, welche Pakete wir installieren müssen.

In unserem Fall müssen wir das Paket libfuse-dev installieren:

sudo apt-get install libfuse-dev

Beginnen wir mit dem Zusammenbau des Pakets. Gehen wir zum Ordner src und verwenden die Befehle make und make install:

cd src/ make make install

Wenn alles kompiliert ist (oder Sie das Paket installiert haben), beginnen wir mit der Einrichtung.

Gehen wir zum mnt-Ordner und erstellen darin zwei Ordner:

• Verschlüsselte Partition – für eine verschlüsselte Partition;
• Entschlüsselte Partition – für eine entschlüsselte Partition.

cd /mnt mkdir Verschlüsselte Partition mkdir Entschlüsselte Partition

Suchen wir die verschlüsselte Partition. Lassen Sie uns es mit dem Dienstprogramm entschlüsseln und in den Ordner „Encrypted-partition“ verschieben:

dislocker -r -V /dev/sda5 -p Recovery_key /mnt/Encrypted-partition(Ersetzen Sie anstelle von „recovery_key“ Ihren Wiederherstellungsschlüssel.)

Lassen Sie uns eine Liste der Dateien anzeigen, die sich im Ordner „Encrypted-partition“ befinden:

ls Verschlüsselte Partition/

Geben wir den Befehl zum Mounten der Partition ein:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Um die entschlüsselte Partition anzuzeigen, gehen Sie zum Ordner „Encrypted-partition“.

Fassen wir zusammen

Die Aktivierung der Volume-Verschlüsselung mit BitLocker ist sehr einfach. All dies geschieht mühelos und kostenlos (vorausgesetzt natürlich, Sie verfügen über eine professionelle oder Server-Version von Windows).

Sie können einen kryptografischen Token oder eine Smartcard verwenden, um den Verschlüsselungsschlüssel zu schützen, der die Festplatte verschlüsselt, was das Sicherheitsniveau erheblich erhöht.

Bitlocker-Festplattenverschlüsselung

BitLocker – BitLocker (vollständiger Name BitLockerDrive Encryption) ist in den Betriebssystemen Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 und Windows 8 integriert.

Mit BitLocker können Sie das gesamte Speichermedium (logisches Laufwerk, SD-Karte, USB-Stick) vollständig verschlüsseln. Gleichzeitig werden die Verschlüsselungsalgorithmen AES 128 und AES 256 unterstützt.

Vielleicht interessiert Sie auch der Artikel „“, in dem wir versucht haben herauszufinden, ob es möglich ist, die Windows-Festplattenverschlüsselung zu hacken.

Der Verschlüsselungswiederherstellungsschlüssel kann auf Ihrem Computer, auf einem USB-Gerät oder in einem TPM-Hardwarechip (Trusted Platform Module) gespeichert werden. Sie können eine Kopie des Schlüssels auch in Ihrem Microsoft-Konto speichern (aber warum?).

ERLÄUTERUNG Sie können den Schlüssel nur auf Computern im TPM-Chip speichern, bei denen der TPM-Chip im Motherboard integriert ist. Wenn das Computer-Motherboard mit einem TPM-Chip ausgestattet ist, kann der Schlüssel entweder nach der Authentifizierung mit einem USB-Stick/einer Smartcard oder nach Eingabe eines PIN-Codes daraus ausgelesen werden.

Im einfachsten Fall können Sie den Benutzer mit einem regulären Passwort authentifizieren. Diese Methode wird James Bond natürlich nicht gefallen, aber für die meisten normalen Benutzer, die einige ihrer Daten vor Kollegen oder Verwandten verbergen möchten, wird sie völlig ausreichen.

Mit BitLocker können Sie jedes Volume verschlüsseln, einschließlich des Startvolumes – also des Volumes, von dem aus Windows startet. Dann muss das Passwort beim Booten eingegeben werden (oder andere Authentifizierungsmittel verwenden, zum Beispiel TPM).

BERATUNG Ich rate Ihnen dringend davon ab, Ihr Boot-Volume zu verschlüsseln. Erstens sinkt die Produktivität. Technet.microsoft berichtet, dass der typische Leistungseinbruch 10 % beträgt, aber in Ihrem speziellen Fall können Sie je nach Konfiguration mit einer stärkeren Trägheit Ihres Computers rechnen. Und tatsächlich müssen nicht alle Daten verschlüsselt werden. Warum dieselben Programmdateien verschlüsseln? Es gibt nichts Vertrauliches an ihnen. Zweitens, wenn Windows etwas passiert, fürchte ich, dass alles schlimm enden könnte – Formatierung des Volumes und Datenverlust.

Daher ist es am besten, ein Volume zu verschlüsseln – ein separates logisches Laufwerk, ein externes USB-Laufwerk usw. – und dann alle Ihre geheimen Dateien auf diesem verschlüsselten Laufwerk abzulegen. Sie können auch Programme, die geschützt werden müssen, auf einer verschlüsselten Festplatte installieren, beispielsweise dasselbe 1C Accounting.

Sie werden eine solche Festplatte nur bei Bedarf anschließen – doppelklicken Sie auf das Festplattensymbol, geben Sie das Passwort ein und erhalten Sie Zugriff auf die Daten.

Was kann man mit BitLocker verschlüsseln?

Sie können jedes Laufwerk außer Netzwerk- und optischen Laufwerken verschlüsseln. Hier ist eine Liste der unterstützten Laufwerksverbindungstypen: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Die Verschlüsselung von über Bluetooth verbundenen Volumes wird nicht unterstützt. Und obwohl die Speicherkarte eines über Bluetooth mit einem Computer verbundenen Mobiltelefons wie ein separates Speichermedium aussieht, kann sie nicht verschlüsselt werden.

Unterstützt werden die Dateisysteme NTFS, FAT32, FAT16 und ExFAT. Andere Dateisysteme werden nicht unterstützt, einschließlich CDFS, NFS, DFS, LFS und Software-RAID-Arrays (Hardware-RAID-Arrays werden unterstützt).

Sie können Solid-State-Laufwerke verschlüsseln: (SSD-Laufwerke, Flash-Laufwerke, SD-Karten), Festplatten (einschließlich der über USB angeschlossenen). Die Verschlüsselung anderer Laufwerkstypen wird nicht unterstützt.

Bitlocker-Festplattenverschlüsselung

Gehen Sie zu Ihrem Desktop, starten Sie den Datei-Explorer und klicken Sie Klicken Sie mit der rechten Maustaste auf die Festplatte, die Sie verschlüsseln möchten. Ich möchte Sie daran erinnern, dass es sich hierbei um ein logisches Volume, eine SD-Karte, ein Flash-Laufwerk, ein USB-Laufwerk oder ein SSD-Laufwerk handeln kann. Wählen Sie im angezeigten Menü die Option BitLocker aktivieren aus.

Befehl zum Aktivieren der BitLocker-Verschlüsselung

Als Erstes werden Sie gefragt, wie Sie auf das verschlüsselte Laufwerk zugreifen: mit einem Passwort oder einer Smartcard. Sie müssen eine der Optionen auswählen (oder beide: dann sind sowohl das Passwort als auch die Smartcard betroffen), sonst wird die Schaltfläche Weiter nicht aktiv.

Wie entfernen wir die Bitlocker-Blockierung?

Im nächsten Schritt werden Sie aufgefordert, eine Sicherungskopie des Schlüssels zu erstellen
Erholung.

Archivierung des Wiederherstellungsschlüssels

ERLÄUTERUNG Mit dem Wiederherstellungsschlüssel können Sie das Laufwerk entsperren, falls Sie Ihr Passwort vergessen oder Ihre Smartcard verloren haben. Sie können die Erstellung eines Wiederherstellungsschlüssels nicht ablehnen. Und das ist richtig, denn nach meiner Rückkehr aus dem Urlaub habe ich mein Passwort für die verschlüsselte Festplatte vergessen. Die gleiche Situation kann bei Ihnen erneut auftreten. Daher wählen wir eine der vorgeschlagenen Methoden zur Archivierung des Wiederherstellungsschlüssels.

• Speichern des Schlüssels in Ihrem Microsoft-Konto. Ich empfehle diese Methode nicht: Es besteht keine Internetverbindung – Sie können Ihren Schlüssel nicht erhalten.
• Das Speichern in einer Datei ist die beste Möglichkeit. Die Wiederherstellungsschlüsseldatei wird auf Ihren Desktop geschrieben.

Speichern des Wiederherstellungsschlüssels auf dem Desktop

• Sie verstehen, dass es von dort an einen sichereren Ort übertragen werden sollte, beispielsweise auf ein Flash-Laufwerk. Es empfiehlt sich auch, ihn umzubenennen, damit nicht sofort anhand des Dateinamens klar wird, dass es sich um genau den gleichen Schlüssel handelt. Sie können diese Datei öffnen (Sie werden später sehen, wie sie aussieht) und den Wiederherstellungsschlüssel selbst in eine Datei kopieren, sodass nur Sie wissen, wie die Zeile lautet und in welcher Datei sie sich befindet. Es ist besser, die Originaldatei später mit dem Wiederherstellungsschlüssel zu löschen. Auf diese Weise wird es zuverlässiger sein.
• Einen Wiederherstellungsschlüssel auszudrucken ist eine ziemlich verrückte Idee, es sei denn, Sie legen dieses Blatt Papier anschließend in einen Safe und verschließen ihn mit sieben Schlössern.

Jetzt müssen Sie bestimmen, welcher Teil der Festplatte verschlüsselt werden muss.

Wie viel von der Festplatte sollte verschlüsselt werden?

Sie können nur den belegten Speicherplatz oder die gesamte Festplatte auf einmal verschlüsseln. Wenn Ihre Festplatte fast leer ist, ist es viel schneller, nur den belegten Speicherplatz zu verschlüsseln. Betrachten wir die Optionen:

• Auf einem 16-GB-Flash-Laufwerk seien nur 10 MB Daten. Wählen Sie die erste Option und die Festplatte wird sofort verschlüsselt. Neue Dateien, die auf ein Flash-Laufwerk geschrieben werden, werden „on the fly“, d. h. automatisch, verschlüsselt;
• Die zweite Option eignet sich, wenn sich viele Dateien auf der Festplatte befinden und diese fast vollständig voll ist. Bei demselben 16-GB-Flash-Laufwerk, jedoch mit 15 GB gefüllt, ist der Unterschied in der Verschlüsselungszeit gemäß der ersten oder zweiten Option praktisch nicht zu unterscheiden (es werden entweder 15 GB oder 16 GB verschlüsselt).
  fast zur gleichen Zeit);
• Wenn jedoch nur wenige Daten auf der Festplatte vorhanden sind und Sie die zweite Option wählen, dauert die Verschlüsselung im Vergleich zur ersten Methode sehr lange.

Sie müssen also nur noch den Knopf drücken Verschlüsselung starten.

Festplattenverschlüsselung mit Bitlocker

Warten Sie, bis die Festplatte verschlüsselt ist. Schalten Sie den Computer nicht aus und starten Sie ihn nicht neu, bis die Verschlüsselung abgeschlossen ist. Sie erhalten eine entsprechende Meldung.

Bei einem Stromausfall wird die Verschlüsselung an der Stelle fortgesetzt, an der sie beim Start von Windows unterbrochen wurde. So steht es auf der Microsoft-Website. Ich habe nicht überprüft, ob dies für die Systemfestplatte gilt – ich wollte es nicht riskieren.

Der Artikel wird auf der nächsten Seite fortgesetzt. Um zur nächsten Seite zu gelangen, klicken Sie auf die Schaltfläche 2, die sich unter den Schaltflächen für soziale Netzwerke befindet.

In dieser Serie haben wir kurz über die BitLocker-Technologie gesprochen, ein Sicherheitstool in modernen Windows-Betriebssystemen. Im Prinzip wurde in dem Artikel die Architektur dieses Tools beschrieben, die bei der Durchführung der Festplattenverschlüsselung selbst zu Hause oder in einer Organisation nicht von großem Nutzen sein wird. Im ersten Artikel konnten Sie auch erfahren, dass die Computer, auf denen die Verschlüsselung durchgeführt wird, mit einem Modul wie einem Trusted Platform Module (TPM) ausgestattet sein müssen, um die Vorteile dieser Technologie voll ausnutzen zu können, was leider nicht möglich ist sind längst nicht auf jedem Computer zu finden. Daher wird in den folgenden Artikeln dieser Serie bei der Beschreibung der Arbeit mit einem vertrauenswürdigen Plattformmodul nur dessen Emulator auf einer virtuellen Maschine berücksichtigt. Außerdem denke ich, dass es erwähnenswert ist, dass weder in diesem noch in den folgenden Artikeln dieser Serie das Blockieren von Datenlaufwerken bei der Verwendung von Smartcards behandelt wird.

Wie Sie wahrscheinlich wissen, können Sie mit der BitLocker-Technologie ein ganzes Laufwerk verschlüsseln, während Sie mit dem Encrypting File System (EFS) nur einzelne Dateien verschlüsseln können. Natürlich müssen Sie in manchen Fällen nur bestimmte Dateien verschlüsseln und es scheint keinen Sinn zu machen, die gesamte Partition zu verschlüsseln. Es ist jedoch ratsam, EFS nur auf Computern im Intranet zu verwenden, die nicht zwischen Abteilungen und Büros verschoben werden. Mit anderen Worten: Wenn Ihr Benutzer einen Laptop hat, er regelmäßig auf Geschäftsreisen ist und ein solcher Benutzer beispielsweise nur ein paar Dutzend Dateien auf seinem Computer hat, die verschlüsselt werden müssen, ist es besser, wenn sein Laptop dies tut Verwenden Sie die BitLocker-Technologie anstelle eines verschlüsselten Dateisystems. Dies liegt daran, dass Sie mit EFS nicht in der Lage sind, so wichtige Elemente des Betriebssystems wie Registrierungsdateien zu verschlüsseln. Und wenn ein Angreifer in die Registrierung Ihres Laptops gelangt, kann er viele interessante Informationen für sich finden, wie z. B. zwischengespeicherte Daten für das Domänenkonto Ihres Benutzers, einen Passwort-Hash und vieles mehr, die in Zukunft erheblichen Schaden anrichten können und Verlust nicht nur für diesen Benutzer, sondern für das gesamte Unternehmen als Ganzes. Und mit Hilfe der BitLocker-Technologie werden im Gegensatz zu einem verschlüsselten Dateisystem, wie oben erwähnt, alle Daten, die sich auf der verschlüsselten Festplatte des Laptops Ihres Benutzers befinden, auf dem Laptop Ihres Benutzers verschlüsselt. Viele fragen sich vielleicht: Wie können andere Benutzer in der Organisation Dateien verwenden, die mit dieser Technologie verschlüsselt wurden? Tatsächlich ist alles ganz einfach: Wenn ein Computer mit verschlüsselten Dateien mithilfe der BitLocker-Technologie gemeinsam genutzt wird, können autorisierte Benutzer so einfach mit solchen Dateien interagieren, als ob auf dem Computer dieses Benutzers keine Verschlüsselung vorhanden wäre. Wenn außerdem Dateien, die sich auf einem verschlüsselten Datenträger befinden, auf einen anderen Computer oder auf einen unverschlüsselten Datenträger kopiert werden, werden diese Dateien automatisch entschlüsselt.

In den folgenden Abschnitten erfahren Sie, wie Sie das System und die sekundären Partitionen auf einem Nicht-TPM-Laptop unter Windows 7 verschlüsseln.

Aktivieren Sie die BitLocker-Verschlüsselung für die Systempartition

Es ist nicht kompliziert, die BitLocker-Laufwerkverschlüsselung auf einer Systempartition auf einem Computer zu aktivieren, der nicht Teil einer Domäne ist. Bevor Sie die Systemfestplatte verschlüsseln, sollten Sie meiner Meinung nach darauf achten, dass auf dem Laptop, auf dem die Festplatten verschlüsselt werden, drei Partitionen erstellt wurden und die ersten beiden verschlüsselt werden müssen:

Reis. 1. Windows Explorer auf dem Laptop, auf dem die Datenträger verschlüsselt werden sollen

Um die Systempartition zu verschlüsseln, gehen Sie folgendermaßen vor:

1. Da der Laptop in diesem Beispiel, auf dem die Laufwerke verschlüsselt werden sollen, über kein TPM verfügt, empfiehlt es sich zunächst, einige vorbereitende Schritte durchzuführen. Sie müssen den Schnappverschluss öffnen „Lokaler Gruppenrichtlinien-Editor“ und gehen Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke. Hier finden Sie sechs verschiedene Richtlinieneinstellungen. Da bereits erwähnt wurde, dass dieser Laptop nicht mit einem TPM-Modul ausgestattet ist, müssen Sie vor dem Laden des Betriebssystems sicherstellen, dass Sie ein USB-Laufwerk verwenden, das einen speziellen Schlüssel enthält, der die Authentifizierung und den anschließenden Systemstart bestätigt. Die zum Ausführen dieses Vorgangs verwendete Richtlinieneinstellung lautet „Erforderliche zusätzliche Authentifizierung beim Start“. Im Eigenschaftendialogfeld für diese Richtlinieneinstellung sollten Sie die Optionen überprüfen „BitLocker ohne kompatibles TPM zulassen“. Da dies in diesem Fall die einzige Option ist, die uns beim Verschlüsseln einer Festplatte in einer Arbeitsgruppe interessieren könnte, speichern Sie die vorgenommenen Änderungen. Das Eigenschaftendialogfeld für diese Richtlinieneinstellung wird in der folgenden Abbildung dargestellt:



Reis. 2. Erfordern Sie eine zusätzliche Authentifizierung im Dialogfeld „Eigenschaften der Startrichtlinieneinstellung“.

Für die Verwaltung der BitLocker-Technologie stehen viele verschiedene Gruppenrichtlinieneinstellungen zur Verfügung. Diese Optionen werden in einem zukünftigen Artikel zur BitLocker-Technologie ausführlich besprochen.

2. Offen "Schalttafel", gehe zur Kategorie „System und Sicherheit“ und dann auswählen "BitLocker-Laufwerkverschlüsselung";
3. Wählen Sie im angezeigten Fenster der Systemsteuerung die Systempartition aus und klicken Sie dann auf den Link „BitLocker aktivieren“. Beachten Sie, dass Sie eine Partition nur verschlüsseln können, wenn sie sich auf einem Basisdatenträger befindet. Wenn Sie Partitionen auf einem dynamischen Datenträger erstellt haben, müssen Sie den Datenträger vor der Verschlüsselung von dynamisch in einfach konvertieren. Die folgende Abbildung zeigt das Fenster "BitLocker-Laufwerkverschlüsselung":



Reis. 3. Systemsteuerungsfenster „BitLocker-Laufwerkverschlüsselung“.

4. Nachdem Sie die Konfiguration Ihres Computers überprüft haben, können Sie auf der ersten Seite des BitLocker-Laufwerkverschlüsselungsassistenten verschiedene Startoptionen angeben. Da mein Laptop jedoch kein TPM hat und eine Gruppenrichtlinieneinstellung geändert wurde, um die BitLocker-Verschlüsselung auf nicht TPM-fähiger Hardware zu ermöglichen, kann ich nur das auswählen „Beim Start nach dem Schlüssel fragen“. Die erste Seite des Assistenten wird unten angezeigt:



Reis. 4. Startoption des BitLocker-Laufwerkverschlüsselungsassistenten

5. Auf der Seite „Speichern Sie den Startschlüssel“ Im BitLocker-Laufwerkverschlüsselungsassistenten müssen Sie ein Flash-Laufwerk an Ihren Computer anschließen und es dann in der Liste auswählen. Nachdem Sie das Laufwerk ausgewählt haben, klicken Sie auf die Schaltfläche "Speichern";
6. Auf der dritten Seite des Assistenten müssen Sie den Speicherort für den Wiederherstellungsschlüssel angeben. Der Wiederherstellungsschlüssel ist eine kleine Textdatei, die einige Anweisungen, eine Laufwerksbezeichnung, eine Passwort-ID und einen 48-stelligen Wiederherstellungsschlüssel enthält. Es ist zu beachten, dass sich dieser Schlüssel vom Startschlüssel dadurch unterscheidet, dass er dazu verwendet wird, auf Daten zuzugreifen, wenn der Zugriff auf andere Weise nicht möglich ist. Sie können eine der folgenden drei Optionen wählen: Speichern Sie den Wiederherstellungsschlüssel auf einem USB-Stick, Speichern Sie den Wiederherstellungsschlüssel in einer Datei oder Wiederherstellungsschlüssel drucken. Bitte beachten Sie, dass Sie bei Auswahl der ersten Option die Wiederherstellungs- und Startschlüssel auf verschiedenen Flash-Laufwerken speichern müssen. Da empfohlen wird, mehrere Wiederherstellungsschlüssel zu speichern, und zwar auf anderen Computern als dem, der verschlüsselt wird, wurde der Wiederherstellungsschlüssel in meinem Fall in einem Netzwerkordner auf einem meiner Server sowie auf einem HP Cloud-Laufwerk gespeichert. Jetzt ist der Inhalt des Wiederherstellungsschlüssels nur mir und HP bekannt, obwohl sie uns höchstwahrscheinlich von der vollständigen Vertraulichkeit der Informationen überzeugen. Wenn Sie einen Wiederherstellungsschlüssel ausdrucken, empfiehlt Microsoft, das Dokument in einem verschlossenen Safe aufzubewahren. Ich empfehle, sich diese 48 Zahlen einfach zu merken und das Dokument nach dem Lesen einfach zu verbrennen :). Seite „Wie speichere ich den Wiederherstellungsschlüssel?“ Der BitLocker-Verschlüsselungsassistent wird in der folgenden Abbildung dargestellt:



Reis. 5. Speichern des Wiederherstellungsschlüssels für mit BitLocker verschlüsselte Daten

7. Dies ist die letzte Seite des Drive Encryption Wizard, da Sie an dieser Stelle eine BitLocker-Systemprüfung durchführen können, um sicherzustellen, dass Sie Ihren Wiederherstellungsschlüssel bei Bedarf problemlos verwenden können. Um die Systemprüfung abzuschließen, werden Sie aufgefordert, Ihren Computer neu zu starten. Grundsätzlich ist dieser Schritt nicht zwingend erforderlich, es empfiehlt sich aber dennoch, diese Prüfung durchzuführen. Sie können die letzte Seite des Assistenten unten sehen:



Reis. 6. Letzte Seite des Disk Encryption Wizard

8. Unmittelbar nach dem POST-Test werden Sie aufgefordert, ein Flash-Laufwerk mit einem Startschlüssel einzulegen, um das Betriebssystem zu starten. Sobald der Computer neu gestartet wird und BitLocker weiß, dass nach der Verschlüsselung keine unvorhergesehenen Umstände eintreten, beginnt der Festplattenverschlüsselungsprozess selbst. Sie erkennen dies an dem im Infobereich angezeigten Symbol oder wenn Sie das Fenster aufrufen "BitLocker-Laufwerkverschlüsselung"über das Bedienfeld. Der Verschlüsselungsprozess selbst läuft im Hintergrund, d. h. Sie können während der Verschlüsselung weiter an Ihrem Computer arbeiten, BitLocker beansprucht jedoch intensiv Prozessorressourcen und freien Speicherplatz auf der verschlüsselten Festplatte. Um zu sehen, wie viel Prozent Ihres Laufwerks bereits verschlüsselt sind, suchen Sie im Benachrichtigungsbereich nach dem Symbol „%volume_name% mit der BitLocker-Laufwerkverschlüsselung verschlüsseln“ und doppelklicken Sie darauf. BitLocker-Benachrichtigungssymbol und Dialogfeld "BitLocker-Laufwerkverschlüsselung" unten dargestellt:



Reis. 7. Führen Sie die Verschlüsselung durch

9. Sobald der BitLocker-Laufwerkverschlüsselungsprozess abgeschlossen ist, werden Sie benachrichtigt, dass die Verschlüsselung des von Ihnen ausgewählten Laufwerks erfolgreich abgeschlossen wurde. Dieses Dialogfeld ist unten zu sehen:





Reis. 8. Abschluss der BitLocker-Laufwerkverschlüsselung

Für diejenigen, die zum ersten Mal eine Festplatte verschlüsseln, möchte ich darauf hinweisen, dass dieser Vorgang nicht sofort ausgeführt wird und ich beispielsweise 70 Minuten gebraucht habe, um eine Systemfestplatte mit einer Kapazität von 75 Gigabyte zu verschlüsseln.

Wie Sie in der folgenden Abbildung sehen können, befindet sich im Windows Explorer nun ein Schloss auf dem Systempartitionssymbol, was bedeutet, dass diese Partition mit der BitLocker-Technologie verschlüsselt ist:

Reis. 9. Windows Explorer mit einer verschlüsselten Systempartition

Abschluss

In diesem Artikel haben Sie erfahren, wie Sie ein Laufwerk mithilfe der BitLocker-Technologie verschlüsseln. Berücksichtigt wird der Prozess der Vorbereitung der Verschlüsselung und der Verschlüsselung der Festplatte selbst mithilfe einer grafischen Oberfläche. Da ich am Anfang des Artikels darauf hingewiesen habe, dass auf diesem Laptop zwei Laufwerke verschlüsselt werden, erfahren Sie im nächsten Artikel, wie Sie ein Laufwerk mithilfe der BitLocker-Technologie mithilfe eines Befehlszeilenprogramms verschlüsseln können manage-dbe .