Битлокерді орнату, конфигурациялау және пайдалану. BitLocker - Drive Encryption Windows 7 шифрлауы

Соңғы жылдары әртүрлі форумдарда, хаттарда және жиналыстарда пайдаланушылар Windows Vista, Windows 7 және Windows Server 2008/2008 R2 операциялық жүйелерінің салыстырмалы түрде жаңа функционалдығы қандай екендігі туралы сұрақтар қоя бастады - Windows BitLocker(соңғы операциялық жүйелердің шығарылымымен бұл технология кейбір өзгерістерге ие болды және қазір BitLoker To Go деп аталады). Бірақ көптеген пайдаланушылар мен жаңадан келген жүйе әкімшілері бұл компонент қазіргі операциялық жүйелердегі «жай» орнатылған қауіпсіздік мүмкіндігі болып табылады деген жауапты естігеннен кейін, ол операциялық жүйенің өзін, пайдаланушының компьютерінде сақталған деректерді, сондай-ақ жеке деректерді сенімді қорғауды қамтамасыз етеді. елеулі шабуылдар кезінде пайдаланушы деректерін өзгеріссіз қалдыруға мүмкіндік беретін көлемдер мен алынбалы тасымалдағыштар, сондай-ақ деректерді одан әрі автономды бұзу үшін қатты дискілерді физикалық түрде алып тастау, мен мұндай функционалдылық мүлде сұранысқа ие болмайтынын және оны пайдалану жұмысты қиындатады деп жиі естимін. пайдаланушылардың өмірі. Мұндай мәлімдемемен келісу мүмкін емес, өйткені деректер қауіпсіз болуы керек. Сіз кез келген адамға үйіңіздің кілтін немесе ұйымыңыздың электрондық құлпының кодын қалдырмайсыз, солай емес пе?

Үй пайдаланушылары әдетте бұл технологияны пайдаланғысы келмейтінін олардың компьютерлерінде «өмірлік маңызды» деректердің жоқтығымен ақтайды және тіпті олар бұзылған болса да, біреу Одноклассники әлеуметтік желілеріндегі профильдерін қарап шығуынан басқа жаман ештеңе болмайды. байланыста». Ноутбуктер мен нетбуктердің иелері, егер олардың жабдықтары ұрланған болса, онда олар деректердің жетіспеуі туралы алаңдату керек деп санайды. Кейбір компаниялардың жүйелік әкімшілері өздерінің ешқандай құпия жобалары жоқ екенін және компанияның барлық қызметкерлеріне мүлдем сенуге болатынын айтады және олар жұмыс уақыты жеткіліксіз жұмысты аяқтау үшін ғана үйге құжаттама мен интеллектуалдық жұмыс өнімдерін алып кетеді. Және олардың ұйымының компьютерлері әдепкі бойынша антивирустық бағдарламалық құралмен және брандмауэр параметрлерімен қорғалған. Неліктен сыртқы дискілер музыка мен бейне файлдарын сақтайтын болса, оларды қорғау керек? Флэш-дискілер сияқты құрылғыларды ұйымдарда да, достарыңыздың арасында да таратуға болатыны дұрыс.

Бірақ жоғарыда аталған себептердің ешқайсысымен келісе алмаймыз. Шабуыл кезінде үй пайдаланушылары өздерінің бүкіл музыкалық және бейне файлдар жинағын көшіріп қана қоймайды, сонымен қатар cookie файлдарын немесе құдай сақтасын, сирек орналастырылмайтын логиндер мен құпия сөздері бар мәтіндік файлдарды пайдалана отырып, банк шоттары мен кірген сайттардағы тіркелгі деректеріндегі барлық құпия сөздерді басып алады. жұмыс үстелінде. Сондай-ақ, барлық пошталық хат-хабарлардың және т.б. қаралу мүмкіндігі жоғары. Ұрланған ноутбуктерде құпия деректер болуы мүмкін, олардың ұрлануы сіздің компанияңыздың бизнесіне теріс әсер етуі мүмкін және сіздің түйіндемеңіздегі сәйкес «науқан» арқылы жұмыстан босатылу болашақта мансапыңызға өте жағымсыз әсер етуі мүмкін. Ақырында, біздің уақытымызда кез келген ұйымда бәсекелестеріне көрсету ұсынылмайтын құпия деректер бар. Егер ұйымыңыздың кем дегенде біреуіне сәтті шабуыл жасалса, жақын арада сіздің бүкіл компьютерлер паркіңіздің вирус жұқтыру ықтималдығы жоғары, бұл ұйымыңыздың компьютерлерін бастапқы күйіне келтіру үшін Геркуленің күш-жігерін талап етеді. Сіздің ұйымыңызда да жаман ниетті адамдар болуы мүмкін. Ғимараттан шыққан кезде қауіпсіздік сіздің сөмкелеріңізді тексерсе де, олар әрбір қызметкердің сыртқы жад құрылғысын тексермейді. Бірақ оларда бәсекелестер бірнеше ай бойы біле алмайтын көптеген деректер болуы мүмкін.

Осы себепті деректеріңізді кез келген ықтимал жарамды жолмен қорғауға тырысуыңыз керек. Қазіргі Microsoft операциялық жүйелерінің құрамдас бөлігі дәл осы мақсатқа арналған. BitLocker тіпті жоғалған немесе ұрланған компьютерлердегі деректерге рұқсатсыз кіруді болдырмауға мүмкіндік береді, осылайша операциялық жүйенің жұмысын жақсартады. Деректеріңізді қорғауды жақсарту үшін Windows BitLocker сенімді платформа модулін (TPM) пайдаланады - ақпаратты қорғау үшін криптографиялық кілттер сақталатын криптопроцессорды егжей-тегжейлі сипаттайтын спецификация, сондай-ақ көрсетілген спецификацияның іске асырылуының жалпы атауы, мысалы , «TPM чипі» түрінде, ол тіпті жүктеудің ең ерте сатысында қолданылатын компоненттердің тұтастығына кепілдік береді.

Бұл технологиялар үй пайдаланушылары үшін де, ұйымдардағы жүйелік әкімшілер үшін де артықшылықтар ұсынады. Үй пайдаланушысы үшін бұл технологиялардың басты артықшылығы пайдаланудың қарапайымдылығы болып табылады, өйткені BitLocker немесе BitLocker To Go функционалдығын күнделікті пайдалану үшін компьютерді қорғау және оны қалпына келтіру пайдаланушы үшін толығымен ашық. Жүйе әкімшілері деректерді қорғауды басқарудың қарапайымдылығын бағалайтыны сөзсіз. BitLocker шифрлауын қашықтан басқару үшін топтық саясаттар мен сценарийлер арқылы кеңейтілген басқарумен Active Directory Domain Services инфрақұрылымын пайдалануға болады.

Операциялық жүйелердің осы құрамдас бөліктері осы мақалалар сериясында талқыланады. Сіз Интернетте осы компоненттер мен олардың функционалдығы туралы көптеген пайдалы ақпаратты таба аласыз, соның ішінде олардың жұмыс істеу принципін тікелей көруге болатын тамаша бейне есептер. Сондықтан, осы серияның мақалаларында мен үй пайдаланушылары үшін де, ұйымдар үшін де көптеген функционалдылықты егжей-тегжейлі қарастыруға тырысамын, осылайша сізге белгілі бір сценарийді қолдану үшін осы немесе басқа сценарийді қалай жүзеге асыруға болатынын іздеуге ұзақ уақыт жұмсаудың қажеті жоқ. әрекеттер.

Бұл технологияның архитектурасы

Өздеріңіз білетіндей, операциялық жүйе белсенді болған кезде оны жергілікті қауіпсіздік саясаттары, антивирустық бағдарламалық құрал және брандмауэр арқылы қорғауға болады, бірақ BitLocker шифрлауымен қатты дискідегі операциялық жүйенің көлемін қорғауға болады. BitLocker шифрлауының және жүйенің аутентификациясының толық мүмкіндіктерін пайдалану үшін компьютеріңіз TPM 1.2 нұсқасы орнатылған сияқты талаптарға сай болуы керек, ол шифрлау қосылған кезде белгілі бір жүйені іске қосу кілтін Сенімді платформа модулінің өзінде сақтауға мүмкіндік береді. TPM-ге қосымша, негізгі енгізу/шығару жүйесінде (BIOS) орнатылған сенімді есептеу тобының (TCG) спецификациясы болуы керек, ол операциялық жүйе жүктелмес бұрын әрекеттер үшін сенім тізбегін жасайды және тұрақты түбір сенімін өзгерту нысанына қолдауды қамтиды . Өкінішке орай, барлық аналық платалар TPM сияқты модульмен жабдықталмаған, бірақ бұл модуль болмаса да, операциялық жүйе UFI пәрмендерін қолдайтын USB сақтау құрылғылары болса, сондай-ақ қатты дискі екі және одан да көп томға бөлінеді. Мысалы, бір томда сізде шифрлау іске қосылатын операциялық жүйенің өзі болады, ал екіншісінде сыйымдылығы кемінде 1,5 ГБ жүйелік томда операциялық жүйені жүктеуден кейін қажет файлдар бар. BIOS платформаны жүктейді. Барлық томдарыңыз NTFS файлдық жүйесімен пішімделуі керек.

BitLocker шифрлау архитектурасы ядрода да, пайдаланушы режимінде де басқарылатын және функционалды механизмдерді қамтамасыз етеді. Жоғары деңгейде BitLocker негізгі компоненттеріне мыналар жатады:

• Сенімді платформа модулінің драйвері(%SystemRoot%System32DriversTpm.sys) – ядро ​​режимінде TPM чипіне қатынасатын драйвер;
• Негізгі TPM қызметтері, олар TPM (%SystemRoot%System32tbssvc.dll), WMI провайдеріне және MMC қосымша модуліне (%SystemRoot%System32Tpm.msc) пайдаланушы режиміне қатынасты қамтамасыз ететін теңшелетін қызметтерді қамтиды;
• Жүктеу менеджеріндегі (BootMgr) қатысты BitLocker коды, ол қатты дискіге қол жеткізудің түпнұсқалығын растайды, сонымен қатар жүктеу құралын жөндеуге және құлпын ашуға мүмкіндік береді;
• BitLocker сүзгі драйвері(%SystemRoot%System32DriversFvevol.sys), ол ядро ​​режимінде жылдам көлемде көлемдерді шифрлауға және шифрын ашуға мүмкіндік береді;
• WMI BitLocker провайдері және сценарийді басқару, ол BitLocker интерфейс сценарийлерін конфигурациялауға және басқаруға мүмкіндік береді.

Төмендегі суретте BitLocker шифрлау технологиясын дұрыс жұмыс істейтін әртүрлі құрамдас бөліктер мен қызметтер көрсетілген:

Күріш. 1. BitLocker архитектурасы

Шифрлау кілттері

BitLocker томның мазмұнын пайдаланып шифрлайды толық көлемді шифрлау кілті(FVEK - Толық көлемді шифрлау кілті) оған бастапқыда диффузорлар деп аталатын Microsoft кеңейтімдері бар AES128-CBC және AES256-CBC 128 немесе 256 биттік AES кілт алгоритмдерін пайдаланып, BitLocker пайдалану үшін конфигурацияланған кезде тағайындалған. FVEK кілті арқылы шифрланады дыбыс деңгейінің негізгі пернесі(VMK - Volume Master Key) және метадеректер үшін арнайы бөлінген аумақта томда сақталады. Дыбыс деңгейінің негізгі пернесін қорғау - көлемдік деректерді қорғаудың жанама жолы: дыбыстың негізгі пернесін толтыру жүйеге кілттер жоғалғаннан немесе бұзылғаннан кейін кілтті қалпына келтіруге мүмкіндік береді.

BitLocker шифрлауын орнатқанда, аппараттық құрал конфигурациясына байланысты компьютерді VMK арқылы қорғаудың бірнеше әдістерінің бірін пайдалануға болады. BitLocker шифрлауы компьютердің аппараттық мүмкіндіктеріне және қажетті қауіпсіздік деңгейіне байланысты аутентификацияның бес режимін қолдайды. Аппараттық құрал конфигурациясы Trusted Platform Module (TPM) технологиясын қолдаса, VMK файлын TMP және TPM екеуінде де, сондай-ақ USB құрылғысында сақтауға немесе VMK пернесін TPM ішінде сақтауға және жүйе жүктелген кезде PIN кодын енгізуге болады. Сонымен қатар, сізде алдыңғы екі әдісті біріктіру мүмкіндігі бар. Ал TPM технологиясымен үйлесімді емес платформалар үшін кілтті сыртқы USB құрылғысында сақтауға болады.

BitLocker шифрлауы қосылған операциялық жүйені жүктеген кезде дыбыс деңгейін қорғау құралдарының жиынтығына байланысты әрекеттер тізбегі орындалатынына назар аударған жөн. Бұл қадамдар жүйенің тұтастығын тексеруді, сондай-ақ құлып қорғалған томнан босатылғанға дейін аяқталуы тиіс басқа аутентификация қадамдарын қамтиды. Төмендегі кестеде көлемді шифрлау үшін қолдануға болатын әртүрлі әдістер жинақталған:

Дереккөз	Қауіпсіздік	Пайдаланушы әрекеттері
Тек TPM	Бағдарламалық жасақтама шабуылдарынан қорғайды, бірақ аппараттық шабуылдарға осал	Жоқ
TPM+PIN	Аппараттық шабуылдардан қорғауды қосады	Операциялық жүйе іске қосылған сайын пайдаланушы PIN кодын енгізуі керек
TPM + USB кілті	Аппараттық шабуылдардан толық қорғаныс, бірақ USB кілтінің жоғалуына осал
TPM + USB пернесі + PIN	Максималды қорғаныс деңгейі	ОЖ іске қосылған сайын пайдаланушы PIN кодын енгізіп, USB кілтін пайдалануы керек
Тек USB кілті	TPM + жүйесімен жабдықталмаған компьютерлер үшін қорғаудың ең төменгі деңгейі кілтті жоғалту қаупі бар	Операциялық жүйе іске қосылған сайын пайдаланушы USB кілтін пайдалануы керек

Кесте 1. VMK көздері

Төмендегі суретте томдарды шифрлау жолы көрсетілген:

Күріш. 2. BitLocker технологиясының көмегімен көлемді шифрлау әдістері

BitLocker FEVK рұқсатын беріп, дыбыс деңгейін шифрын ашпас бұрын, уәкілетті пайдаланушының немесе компьютердің кілттерін беруіңіз керек. Жоғарыда айтылғандай, компьютеріңізде TPM болса, әртүрлі аутентификация әдістерін пайдалануға болады. Келесі бөлімдерде біз осы әдістердің әрқайсысын толығырақ қарастырамыз.

Тек TPM пайдалану

Амалдық жүйені жүктеу процесі қатты диск дұрыс компьютерге қосылғанын және маңызды жүйелік файлдардың зақымданбағанын тексеру үшін TPM пайдаланады, сондай-ақ зиянды бағдарлама немесе руткит жүйенің тұтастығын бұзған болса, қатты дискіге кіруге жол бермейді. Компьютер тексеріліп жатқанда, TPM VMK құлпын ашады және операциялық жүйе келесі суретте көріп тұрғандай, пайдаланушы әрекетінсіз іске қосылады.

Күріш. 3. TPM технологиясы арқылы аутентификация

USB кілтімен TPM пайдалану

Алдыңғы бөлімде сипатталған физикалық қауіпсіздікке қосымша, бұл жағдайда TPM USB құрылғысында орналасқан сыртқы кілтті қажет етеді. Бұл жағдайда пайдаланушыға пайдаланушының түпнұсқалығын және компьютердің тұтастығын растауға арналған сыртқы кілтті сақтайтын USB дискісін енгізу қажет. Бұл жағдайда компьютерді қосқанда, сондай-ақ күту режимінен оянғанда компьютерді ұрланудан қорғай аласыз. Өкінішке орай, бұл әдіс сізді компьютерді ұйқы режимінен оятудан қорғамайды. Бұл әдісті пайдаланған кезде, компьютерді ұрлау қаупін азайту үшін сыртқы кілтті компьютерден бөлек сақтау керек. Төмендегі суретте TPM құрылғысын сыртқы USB кілтімен пайдалану суреттелген:

Күріш. 4. TPM және USB кілті арқылы аутентификация

PIN кодымен бірге TPM пайдалану

Бұл әдіс пайдаланушы жеке сәйкестендіру нөмірін (PIN) енгізгенше компьютердің іске қосылуына жол бермейді. Бұл әдіс өшірілген компьютер ұрланған жағдайда компьютерді қорғауға мүмкіндік береді. Өкінішке орай, егер компьютер әдетте сервер ретінде әрекет ететін адамның араласуынсыз автоматты түрде іске қосылуы қажет болса, бұл әдісті қолданбауыңыз керек. PIN коды сұралғанда, компьютердің аппараттық құралы TPM сізге аналық плата өндірушілері және TPM өзі орнатқан арнайы кідіріспен төрт сандық PIN кодын енгізуді ұсынады. Келесі суретте осы аутентификация әдісін көруге болады:

Күріш. 5. TPM және PIN аутентификациясы

Біріктірілген әдісті пайдалану (TPM+PIN+USB пернесі)

Windows 7 және Windows Vista операциялық жүйелерінде компьютерді қорғаудың ең жоғары деңгейі үшін біріктірілген аутентификация әдісін пайдалануға болады. Бұл жағдайда TPM аппараттық құралының аутентификациясы PIN кодын енгізу және USB дискісінде орналасқан сыртқы кілтті пайдалану арқылы толықтырылады. Бұл құралдардың барлығы BitLocker қорғауының максималды деңгейін қамтамасыз етеді, ол пайдаланушы «білетін» және «пайдаланатын» деректерді талап етеді. Шабуылдаушыға BitLocker технологиясы арқылы қорғалған көлемде орналасқан деректеріңізді иемдену үшін ол сіздің компьютеріңізді ұрлауы, кілтіңіз бар USB дискісі болуы керек, сонымен қатар PIN кодын білуі керек, бұл мүмкін емес. Келесі сурет осы аутентификация әдісін көрсетеді:

Күріш. 6. TPM, USB кілті және PIN коды арқылы аутентификация

Тек USB іске қосу кілтімен аутентификация

Бұл жағдайда пайдаланушы TPM орнатылмаған компьютерде FEVK және BitLocker шифрланған көлемінің шифрын ашу үшін дискіде, USB дискісінде немесе кез келген сыртқы жад құрылғыларында VMK береді. TPMсіз іске қосу кілтін пайдалану жабдықты жаңартпай деректерді шифрлауға мүмкіндік береді. Бұл әдіс ең осал болып саналады, өйткені бұл жағдайда жүктеудің тұтастығы тексерілмейді және қатты дискіні басқа компьютерге тасымалдау кезінде шифрланған дискідегі деректерді пайдалануға болады.

Қорытынды

BitLocker Drive Encryption – операциялық жүйені және компьютерлеріңізде сақталған деректерді қорғауға көмектесетін заманауи Windows амалдық жүйелеріндегі қауіпсіздік мүмкіндігі. Мінсіз комбинацияда BitLocker жүктеудің тұтастығын және операциялық жүйе әлі іске қосылмаған кезде де көлемді құлыптау құрамдастарының қорғалуын қамтамасыз ететін сенімді платформа модулін (TPM) пайдалану үшін конфигурацияланған. Деректерді шифрлау сериясындағы осы мақалада сіз осы құралдың архитектурасы туралы білдіңіз. Келесі мақалада сіз Windows BitLocker технологиясы арқылы дискіні шифрлауды енгізу туралы білесіз.

Windows 7 операциялық жүйесінің шығарылуымен көптеген пайдаланушылар онда түсініксіз BitLocker қызметі пайда болды. BitLocker деген не, көбісі тек болжай алады. Жағдайды нақты мысалдармен түсіндіруге тырысайық. Жолда біз осы құрамдас бөлікті белсендіру немесе оны толығымен өшіру қаншалықты орынды екендігі туралы сұрақтарды қарастырамыз.

BitLocker: BitLocker дегеніміз не, бұл қызмет не үшін қажет

Егер сіз оны қарасаңыз, BitLocker - бұл қатты дискіде сақталған деректерді сақтауға арналған әмбебап және толық автоматтандырылған құрал. Қатты дискідегі BitLocker дегеніміз не? Иә, файлдар мен қалталарды шифрлау және құжаттарға қол жеткізуді қамтамасыз ететін арнайы мәтіндік кілт жасау арқылы пайдаланушының араласуынсыз қорғайтын қызмет.

Пайдаланушы жүйеде өз аккаунтымен жұмыс істегенде, ол деректердің шифрланғанын түсінбеуі де мүмкін, себебі ақпарат оқылатын пішінде көрсетіледі, файлдар мен қалталарға кіруге тыйым салынбайды. Басқаша айтқанда, мұндай қорғау құралы тек компьютер терминалына қол жеткізу кезінде, мысалы, сырттан (Интернет шабуылы) кедергі жасау әрекеті кезінде ғана жасалған.

Құпиясөздер және криптография мәселелері

Алайда, егер Windows 7 жүйесінде немесе одан жоғары дәрежелі жүйелерде BitLocker не екенін айтатын болсақ, жағымсыз фактіні атап өткен жөн, егер олар логин паролін жоғалтса, көптеген пайдаланушылар жүйеге кіріп қана қоймай, сонымен қатар кейбір шолу әрекеттерін орындай алмайды. көшіру, жылжыту және т.б. үшін бұрын қол жетімді құжаттар.

Бірақ бұл бәрі емес. Егер сіз BitLocker Windows 8 немесе 10 деген не деген сұрақты түсінсеңіз, онда оларда жетілдірілген криптографиялық технология бар екенін қоспағанда, ерекше айырмашылықтар жоқ. Бұл жерде мәселе басқаша екені анық. Бұл қызметтің өзі екі режимде жұмыс істей алады, шифрды шешу кілттерін қатты дискіде немесе алынбалы USB дискісінде сақтайды.

Бұл қарапайым қорытындыны ұсынады: егер кілт қатты дискіде сақталса, пайдаланушы онда сақталған барлық ақпаратқа еш қиындықсыз қол жеткізе алады. Бірақ кілт флэш-дискке сақталған кезде, мәселе әлдеқайда маңызды. Негізінде, сіз шифрланған дискіні немесе бөлімді көре аласыз, бірақ ақпаратты оқи алмайсыз.

Сонымен қатар, егер Windows 10 немесе одан бұрынғы жүйелерде BitLocker не екенін айтатын болсақ, қызметтің тінтуірдің оң жақ түймешігімен контекстік мәзірдің кез келген түріне біріктірілгенін атап өтуге болмайды, бұл көптеген пайдаланушыларды тітіркендіреді. Бірақ біз өзімізден асып кетпейік, бірақ осы компоненттің жұмысына және оны пайдаланудың немесе өшірудің орындылығына қатысты барлық негізгі аспектілерді қарастырайық.

Дискілерді және алынбалы тасымалдағыштарды шифрлау әдісі

Ең қызығы, әртүрлі жүйелерде және олардың модификацияларында BitLocker қызметі әдепкі бойынша белсенді және пассивті режимде болуы мүмкін. «Жетіде» ол сегізінші және оныншы нұсқаларда әдепкі бойынша қосылады, кейде қолмен белсендіру қажет.

Шифрлауға келетін болсақ, мұнда ерекше жаңа ештеңе ойлап табылған жоқ. Әдетте, корпоративтік желілерде жиі қолданылатын бірдей ашық кілт негізіндегі AES технологиясы қолданылады. Сондықтан, бортында сәйкес операциялық жүйесі бар компьютер терминалы жергілікті желіге қосылған болса, қолданыстағы қауіпсіздік және деректерді қорғау саясаты осы қызметті қосуды көздейтініне сенімді бола аласыз. Әкімші құқықтарынсыз (тіпті параметрлерді әкімші ретінде өзгерте бастасаңыз да) ештеңені өзгерте алмайсыз.

Қызмет өшірілген болса, BitLocker қосыңыз

BitLocker (қызметті қалай өшіру керек, оның пәрмендерін контекстік мәзірден қалай жою керек) мәселесін шешпес бұрын, қосу және конфигурациялауды қарастырайық, әсіресе өшіру қадамдары кері тәртіпте орындалуы керек болғандықтан.

Шифрлауды ең қарапайым жолмен қосу бөлімді таңдау арқылы «Басқару тақтасынан» жүзеге асырылады.

Егер құлыпталған құрылғы алынбайтын диск болса, BitLocker қызметі туралы басқа сұраққа жауап табуға тура келеді: бұл компонентті флэш-дискіде қалай өшіруге болады? Бұл өте қарапайым түрде жасалады.

Кілт алынбалы тасымалдағышта орналасқан жағдайда, дискілер мен диск бөлімдерінің шифрын шешу үшін алдымен оны тиісті портқа (қосқышқа) енгізу керек, содан кейін Басқару тақтасының қауіпсіздік жүйесі бөліміне өту керек. Осыдан кейін біз BitLocker шифрлау элементін табамыз, содан кейін қорғаныс орнатылған дискілер мен медианы қарастырамыз. Төменгі жағында сіз шифрлауды өшіру үшін гиперсілтемені көресіз, оны басу керек. Егер кілт танылса, шифрды шешу процесі іске қосылады. Оның аяқталуын күту ғана қалды.

Ransomware құрамдастарын конфигурациялау мәселелері

Орнатуға келетін болсақ, сіз бас ауыртпай жасай алмайсыз. Біріншіден, жүйе сіздің қажеттіліктеріңіз үшін кемінде 1,5 ГБ резервтеуді ұсынады. Екіншіден, NTFS файлдық жүйесінің рұқсаттарын реттеу, дыбыс көлемін азайту және т.б. қажет. Мұндай әрекеттерді жасамау үшін бұл компонентті дереу өшірген дұрыс, өйткені көптеген пайдаланушылар оны қажет етпейді. Тіпті бұл қызметті әдепкі параметрлерінде қосқандардың бәрі де онымен не істеу керектігін немесе оның қажет екенін әрдайым біле бермейді. Бекер. Оны антивирустық бағдарламалық құрал болмаса да, жергілікті компьютердегі деректерді қорғау үшін пайдалануға болады.

BitLocker: қалай өшіруге болады. Бірінші кезең

Қайтадан «Басқару тақтасында» бұрын көрсетілген элементті пайдаланыңыз. Жүйені өзгертуге байланысты қызметті өшіру өрістерінің атаулары өзгеруі мүмкін. Таңдалған дискіде қорғанысты тоқтатуға арналған сызық немесе BitLocker өшіру үшін тікелей нұсқау болуы мүмкін.

Мәселе бұл емес. Мұнда компьютерлік жүйенің жүктеу файлдарын толығымен өшіру қажет болатынына назар аударған жөн. Әйтпесе, шифрды шешу процесі ұзақ уақыт алуы мүмкін.

Мәтінмәндік мәзір

Бұл BitLocker монетасының бір жағы ғана. BitLocker не екені қазірдің өзінде түсінікті болуы мүмкін. Бірақ екінші жағы қосымша мәзірлерді оларда осы қызметке сілтемелердің болуынан оқшаулау болып табылады.

Бұл әрекетті орындау үшін BitLocker-ті қайта қарастырайық. Қызметке барлық сілтемелерді қалай жоюға болады? Бастауыш! Explorer бағдарламасында қалаған файлды немесе қалтаны таңдаған кезде қызмет бөлімін пайдаланыңыз және сәйкес контекстік мәзірді өңдеңіз, параметрлерге өтіңіз, содан кейін пәрмен параметрлерін пайдаланыңыз және оларды реттеңіз.

Осыдан кейін, тізілім редакторында HKCR бөліміне кіріңіз, онда біз ROOTDirectoryShell бөлімін табамыз, оны кеңейтеміз және Del пернесін немесе тінтуірдің оң жақ түймешігімен басу мәзірінен жою пәрменін басу арқылы қажетті элементті жойамыз. Шын мәнінде, бұл BitLocker құрамдас бөлігі туралы соңғы нәрсе. Оны қалай өшіру керек, менің ойымша, қазірдің өзінде түсінікті. Бірақ өзіңізді алдамаңыз. Қаласаңыз да, қаламасаңыз да, бұл қызмет жұмыс істейді (қандай жағдайда).

Кейінгі сөздің орнына

Бұл BitLocker шифрлау жүйесінің құрамдас бөлігі туралы айтудың бәрі емес екенін қосу керек. BitLocker дегеніміз не, оны қалай өшіруге болатынын және мәзір пәрмендерін жоюды түсінді. Сұрақ: BitLocker-ді өшіру керек пе? Мұнда біз тек бір ғана кеңес бере аламыз: корпоративтік жергілікті желіде бұл компонентті мүлдем өшірмеу керек. Бірақ егер бұл үй компьютерінің терминалы болса, неге болмасқа?

Мамандардың айтуынша, ноутбук ұрлығы ақпараттық қауіпсіздік (АЖ) саласындағы басты мәселелердің бірі болып табылады.

Ақпараттық қауіпсіздіктің басқа қауіптерінен айырмашылығы, «ұрланған ноутбук» немесе «ұрланған флэш-диск» проблемасының табиғаты өте қарапайым. Ал жетіспейтін құрылғылардың құны бірнеше мың АҚШ долларынан сирек асатын болса, онда сақталған ақпараттың құны көбінесе миллионмен өлшенеді.

Dell және Ponemon институтының мәліметтері бойынша, тек Америка әуежайларында жыл сайын 637 000 ноутбук жоғалады. Қанша флэш-дискі жоғалып кеткенін елестетіп көріңіз, өйткені олар әлдеқайда кішірек, ал флэш-дискіні кездейсоқ түсіріп алу алмұрт атқылау сияқты оңай.

Ірі компанияның топ-менеджеріне тиесілі ноутбук жоғалып кетсе, мұндай ұрлықтан келген шығын ондаған миллион долларды құрауы мүмкін.

Өзіңізді және компанияңызды қалай қорғауға болады?

Біз Windows доменінің қауіпсіздігі туралы мақалалар топтамасын жалғастырамыз. Сериядағы бірінші мақалада біз қауіпсіз доменге кіруді орнату туралы, ал екіншісінде электрондық пошта клиентінде деректерді қауіпсіз тасымалдауды орнату туралы айттық:

Бұл мақалада біз қатты дискіде сақталған ақпаратты шифрлауды орнату туралы айтатын боламыз. Сіз компьютерде сақталған ақпаратты сізден басқа ешкім оқи алмайтынына қалай көз жеткізуге болатынын түсінесіз.

Windows жүйесінде ақпаратты қауіпсіз сақтауға көмектесетін кірістірілген құралдар бар екенін аз адамдар біледі. Солардың бірін қарастырайық.

Әрине, кейбіреулеріңіз «BitLocker» сөзін естіген шығарсыз. Оның не екенін анықтайық.

BitLocker дегеніміз не?

BitLocker (дәл BitLocker Drive Encryption деп аталады) — Microsoft әзірлеген компьютер дискілерінің мазмұнын шифрлауға арналған технология. Ол алдымен Windows Vista жүйесінде пайда болды.

BitLocker көмегімен қатты дискілердің көлемдерін шифрлау мүмкін болды, бірақ кейінірек Windows 7 жүйесінде алынбалы дискілер мен флэш-дискілерді шифрлауға арналған BitLocker To Go ұқсас технологиясы пайда болды.

BitLocker — Windows Professional жүйесінің стандартты құрамдас бөлігі және Windows жүйесінің серверлік нұсқалары, яғни ол көптеген кәсіпорындарда пайдалану жағдайлары үшін қолжетімді. Әйтпесе, Windows лицензиясын кәсіпқойға жаңарту қажет болады.

BitLocker қалай жұмыс істейді?

Бұл технология AES (Advanced Encryption Standard) алгоритмі арқылы орындалатын толық көлемді шифрлауға негізделген. Шифрлау кілттері қауіпсіз сақталуы керек және BitLocker-те бұл үшін бірнеше механизм бар.

Ең қарапайым, бірақ сонымен бірге ең қауіпті әдіс - пароль. Кілт парольден әрқашан бірдей жолмен алынады және сәйкесінше, егер біреу сіздің құпия сөзіңізді білсе, онда шифрлау кілті белгілі болады.

Кілтті анық мәтінде сақтауды болдырмау үшін оны TPM (Сенімді платформа модулі) немесе криптографиялық таңбалауышта немесе RSA 2048 алгоритмін қолдайтын смарт картада шифрлауға болады.

TPM - бұл негізінен шифрлау кілттерін пайдалана отырып, қауіпсіздікке қатысты негізгі функцияларды орындауға арналған чип.

TPM модулі әдетте компьютердің аналық платасына орнатылады, алайда Ресейде кірістірілген TPM модулі бар компьютерді сатып алу өте қиын, өйткені FSB хабарламасы жоқ құрылғыларды біздің елге әкелуге тыйым салынады.

Дискінің құлпын ашу үшін смарт-картаны немесе таңбалауышты пайдалану процесті кім және қашан аяқтағанын бақылаудың ең қауіпсіз әдістерінің бірі болып табылады. Бұл жағдайда құлыпты алып тастау үшін смарт-картаның өзі де, оның PIN коды да қажет.

BitLocker қалай жұмыс істейді:

1. BitLocker іске қосылғанда, псевдокездейсоқ сандар генераторы арқылы негізгі бит тізбегі жасалады. Бұл көлемді шифрлау кілті - FVEK (толық көлемді шифрлау кілті). Ол әр сектордың мазмұнын шифрлайды. FVEK кілті ең қатаң құпияда сақталады.
2. FVEK VMK пернесі (дыбыс деңгейінің негізгі кілті) арқылы шифрланады. FVEK кілті (VMK кілтімен шифрланған) дискіде көлемдік метадеректер арасында сақталады. Дегенмен, ол ешқашан шифрланған түрде дискіде аяқталмауы керек.
3. VMK өзі де шифрланған. Пайдаланушы шифрлау әдісін таңдайды.
4. VMK кілті әдепкі бойынша криптографиялық смарт картада немесе таңбалауышта сақталатын SRK (сақтау түбірлік кілті) кілті арқылы шифрланады. Бұл TPM арқылы ұқсас жолмен жүреді.
   Айтпақшы, BitLocker жүйесіндегі жүйелік дискіні шифрлау кілтін смарт карта немесе таңбалауыш арқылы қорғау мүмкін емес. Бұл жеткізушінің кітапханалары смарт-карталар мен токендерге қол жеткізу үшін пайдаланылатындығына байланысты және, әрине, олар ОЖ-ны жүктегенге дейін қол жетімді емес.
   Егер TPM болмаса, BitLocker жүйелік бөлімнің кілтін USB флэш-дискісіне сақтауды ұсынады, бұл, әрине, ең жақсы идея емес. Жүйеде TPM болмаса, жүйелік дискілерді шифрлауды ұсынбаймыз.
   Жалпы алғанда, жүйелік дискіні шифрлау жаман идея. Дұрыс конфигурацияланған кезде барлық маңызды деректер жүйе деректерінен бөлек сақталады. Бұл, кем дегенде, олардың сақтық көшірмесін жасау тұрғысынан ыңғайлы. Сонымен қатар, жүйелік файлдарды шифрлау жалпы жүйенің өнімділігін төмендетеді, ал шифрланбаған жүйелік дискінің шифрланған файлдармен жұмысы жылдамдықты жоғалтпай орындалады.
5. Басқа жүйелік емес және алынбалы дискілерге арналған шифрлау кілттерін смарт карта немесе таңбалауыш, сондай-ақ TPM арқылы қорғауға болады.
   Егер TPM модулі де, смарт-карта да болмаса, VMK кілтін шифрлау үшін SRK орнына сіз енгізген құпия сөзге негізделген кілт пайдаланылады.

Шифрланған жүктеу дискісінен іске қосу кезінде жүйе барлық ықтимал кілт қоймаларын сұрайды - TPM бар-жоғын тексеру, USB порттарын тексеру немесе қажет болған жағдайда пайдаланушыны сұрау (ол қалпына келтіру деп аталады). Кілттер қоймасының ашылуы Windows жүйесіне дискідегі деректердің шифрын ашатын FVEK кілтін ашатын VMK кілтінің шифрын ашуға мүмкіндік береді.

Томның әрбір секторы бөлек шифрланады, ал шифрлау кілтінің бір бөлігі сол сектордың нөмірімен анықталады. Нәтижесінде бірдей шифрланбаған деректерді қамтитын екі сектор шифрланған кезде әртүрлі болып көрінеді, бұл бұрын белгілі деректерді жазу және шифрын шешу арқылы шифрлау кілттерін анықтауды өте қиындатады.

FVEK, VMK және SRK-тен басқа, BitLocker «жағдайда» жасалған кілттің басқа түрін пайдаланады. Бұл қалпына келтіру кілттері.

Төтенше жағдайларда (пайдаланушы таңбалауышты жоғалтты, PIN кодын ұмытты және т.б.) BitLocker соңғы қадамда қалпына келтіру кілтін жасауды ұсынады. Жүйе оны жасаудан бас тартуды қарастырмайды.

Қатты дискідегі деректерді шифрлауды қалай қосуға болады?

Қатты дискідегі томдарды шифрлау процесін бастамас бұрын, бұл процедура біраз уақытты қажет ететінін ескерген жөн. Оның ұзақтығы қатты дискідегі ақпарат көлеміне байланысты болады.

Шифрлау немесе шифрды шешу кезінде компьютер өшіп қалса немесе күту күйіне өтсе, бұл процестер Windows жүйесін келесі рет іске қосқанда тоқтаған жерінен жалғасады.

Тіпті шифрлау процесінде Windows жүйесін пайдалануға болады, бірақ ол сізді өнімділігімен қуанта алмайды. Нәтижесінде шифрлаудан кейін диск өнімділігі шамамен 10% төмендейді.

Жүйеде BitLocker қолжетімді болса, шифрлануы қажет дискінің атын тінтуірдің оң жақ түймешігімен басқан кезде, ашылатын мәзір элементі көрсетіледі. BitLocker қосыңыз.

Windows жүйесінің сервер нұсқаларында рөл қосу керек BitLocker Drive шифрлауы.

Жүйелік емес көлемді шифрлауды орнатуды бастайық және шифрлау кілтін криптографиялық таңбалауыш арқылы қорғайық.

Біз Aktiv компаниясы шығарған токенді қолданамыз. Атап айтқанда, Rutoken EDS таңбалауышы PKI.

I. Рутокен ЭСҚ ПҚИ жұмысқа дайындаймыз.

Қалыпты конфигурацияланған Windows жүйелерінің көпшілігінде Rutoken EDS PKI бірінші қосылғаннан кейін, Aktiv компаниясы шығарған токендермен жұмыс істеуге арналған арнайы кітапхана - Aktiv Rutoken minidriver автоматты түрде жүктеледі және орнатылады.

Мұндай кітапхананы орнату процесі келесідей.

Aktiv Rutoken шағын драйвер кітапханасының бар-жоғын мына арқылы тексеруге болады құрылғы менеджері.

Егер кітапхананы жүктеу және орнату қандай да бір себептермен орындалмаса, Windows жүйесіне арналған Rutoken драйверлерін орнату керек.

II. BitLocker көмегімен дискідегі деректерді шифрлаймыз.

Диск атауын басып, таңдаңыз BitLocker қосыңыз.

Жоғарыда айтқанымыздай, дискіні шифрлау кілтін қорғау үшін токенді қолданамыз.
BitLocker көмегімен токенді немесе смарт-картаны пайдалану үшін оның құрамында RSA 2048 кілттері мен сертификат болуы керек екенін түсіну маңызды.

Сертификаттау орталығы қызметін Windows доменінде пайдалансаңыз, сертификат үлгісі «Дискіні шифрлау» сертификатының ауқымын қамтуы керек (Сертификат орталығын орнату туралы толығырақ Windows доменінің қауіпсіздігі туралы мақалалар топтамасында).

Егер сізде домен болмаса немесе сертификаттарды беру саясатын өзгерте алмасаңыз, өзіңіз үшін қол қойылған сертификатты қалай шығару керектігі туралы мәліметтер сипатталған.
Енді сәйкес ұяшықты белгілейік.

Келесі қадамда біз қалпына келтіру кілтін сақтау әдісін таңдаймыз (таңдауды ұсынамыз Қалпына келтіру кілтін басып шығарыңыз).

Қалпына келтіру кілті басып шығарылған қағаз парағын қауіпсіз жерде, жақсырақ сейфте сақтау керек.

Келесі кезеңде біз дискіні шифрлау процесін бастаймыз. Бұл процесс аяқталғаннан кейін жүйені қайта жүктеу қажет болуы мүмкін.

Шифрлау қосылғанда, шифрланған дискінің белгішесі өзгереді.

Енді біз осы дискіні ашуға тырысқанда, жүйе сізден таңбалауышты енгізуді және оның PIN кодын енгізуді сұрайды.

BitLocker және TPM орнату және конфигурациялау WMI құралын немесе Windows PowerShell сценарийлерін пайдалану арқылы автоматтандырылуы мүмкін. Сценарийлердің қалай орындалатыны қоршаған ортаға байланысты болады. Windows PowerShell жүйесіндегі BitLocker пәрмендері осы мақалада сипатталған.

Токен жоғалған жағдайда BitLocker шифрланған деректерді қалай қалпына келтіруге болады?

Windows жүйесінде шифрланған деректерді ашқыңыз келсе

Мұны істеу үшін сізге бұрын басып шығарған қалпына келтіру кілті қажет. Оны тиісті өріске енгізіңіз және шифрланған бөлім ашылады.

GNU/Linux және Mac OS X жүйелерінде шифрланған деректерді ашқыңыз келсе

Мұны істеу үшін сізге DisLocker утилитасы және қалпына келтіру кілті қажет.

DisLocker утилитасы екі режимде жұмыс істейді:

• ФАЙЛ - BitLocker арқылы шифрланған бүкіл бөлім файлға шифрдан шығарылады.
• САҚТАНДЫРУ – тек жүйе қол жеткізген блок шифрдан шығарылады.

Мысалы, біз Linux операциялық жүйесін және FUSE қызметтік режимін қолданамыз.

Жалпы Linux дистрибутивтерінің соңғы нұсқаларында дислокатор пакеті дистрибуцияға енгізілген, мысалы, Ubuntu жүйесінде 16.10 нұсқасынан бастап.

Егер қандай да бір себептермен дислокатор пакеті қол жетімді болмаса, қызметтік бағдарламаны жүктеп алып, оны құрастыру керек:

tar -xvjf dislocker.tar.gz

INSTALL.TXT файлын ашып, қандай бумаларды орнату керек екенін тексерейік.

Біздің жағдайда libfuse-dev бумасын орнату керек:

sudo apt-get орнату libfuse-dev

Қаптаманы құрастыруды бастайық. src қалтасына өтіп, жасау және орнату пәрмендерін қолданайық:

cd src/ make make install орнатыңыз

Барлығы құрастырылғанда (немесе сіз буманы орнатқан болсаңыз), орнатуды бастайық.

mnt қалтасына өтіп, онда екі қалта жасайық:

• Шифрланған бөлім – шифрланған бөлім үшін;
• Дешифрленген бөлім - шифры шешілген бөлім үшін.

cd /mnt mkdir Шифрланған бөлім mkdir Шифрланған бөлім

Шифрланған бөлімді табайық. Оны қызметтік бағдарлама арқылы шифрын ашып, оны Шифрланған бөлім қалтасына жылжытайық:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Шифрланған бөлім(қалпына келтіру_кілтінің орнына қалпына келтіру кілтін ауыстырыңыз)

Шифрланған бөлім қалтасында орналасқан файлдар тізімін көрсетейік:

ls Шифрланған бөлім/

Бөлімді орнату пәрменін енгізейік:

mount -o циклі Driveq/dislocker-file Дешифрленген бөлім/

Шифрланған бөлімді көру үшін Шифрланған бөлім қалтасына өтіңіз.

Қорытындылайық

BitLocker көмегімен көлемді шифрлауды қосу өте оңай. Мұның бәрі оңай және ақысыз орындалады (әрине, Windows жүйесінің кәсіби немесе серверлік нұсқасы болған жағдайда).

Қауіпсіздік деңгейін айтарлықтай арттыратын дискіні шифрлайтын шифрлау кілтін қорғау үшін криптографиялық белгіні немесе смарт-картаны пайдалануға болады.

Bitlocker дискінің шифрлауы

BitLocker - BitLocker (толық атауы BitLockerDrive Encryption) Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 және Windows 8 операциялық жүйелерінде орнатылған.

BitLocker көмегімен сіз бүкіл сақтау ортасын толығымен шифрлай аласыз (логикалық диск, SD картасы, USB кілті). Бұл ретте AES 128 және AES 256 шифрлау алгоритмдеріне қолдау көрсетіледі.

Сізді «» мақаласы қызықтыруы мүмкін, онда біз Windows дискінің шифрлауын бұзуға болатынын анықтауға тырыстық.

Шифрлауды қалпына келтіру кілтін компьютерде, USB құрылғысында немесе TPM (Сенімді платформа модулі) аппараттық чипінде сақтауға болады. Сондай-ақ, кілттің көшірмесін Microsoft тіркелгіңізге сақтауға болады (бірақ неге?).

ТҮСІНДІРУ TPM чипіндегі кілтті тек TPM чипі аналық платаға орнатылған компьютерлерде ғана сақтауға болады. Егер компьютердің аналық платасы TPM чипімен жабдықталған болса, онда кілтті USB кілті/смарт картасы арқылы аутентификациядан кейін немесе PIN кодын енгізгеннен кейін оқуға болады.

Ең қарапайым жағдайда пайдаланушының аутентификациясын кәдімгі құпия сөзді пайдалана аласыз. Бұл әдіс, әрине, Джеймс Бондқа сәйкес келмейді, бірақ кейбір деректерін әріптестерінен немесе туыстарынан жасырғысы келетін қарапайым пайдаланушылардың көпшілігі үшін бұл жеткілікті болады.

BitLocker көмегімен кез келген көлемді, соның ішінде Windows жүктелетін жүктеу көлемін шифрлауға болады. Содан кейін парольді жүктеу кезінде енгізу қажет болады (немесе басқа аутентификация құралдарын пайдаланыңыз, мысалы, TPM).

КЕҢЕСМен сізге жүктеу көлемін шифрлауға қарсы кеңес беремін. Біріншіден, өнімділік төмендейді. Technet.microsoft стандартты өнімділік көрсеткіші 10%-ды құрайтынын хабарлайды, бірақ сіздің жеке жағдайда конфигурацияңызға байланысты компьютеріңізде көбірек баяулық күтуге болады. Және, шын мәнінде, барлық деректерді шифрлау қажет емес. Неліктен бірдей бағдарлама файлдарын шифрлау керек? Олар туралы құпия ештеңе жоқ. Екіншіден, егер Windows жүйесінде бірдеңе болса, мен бәрі нашар аяқталуы мүмкін деп қорқамын - дыбыс деңгейін пішімдеу және деректерді жоғалту.

Сондықтан бір томды шифрлаған дұрыс - жеке логикалық диск, сыртқы USB дискісі және т.б. Содан кейін барлық құпия файлдарыңызды осы шифрланған дискіге орналастырыңыз. Сондай-ақ шифрланған дискіге қорғауды қажет ететін бағдарламаларды орнатуға болады, мысалы, бірдей 1С бухгалтериясы.

Сіз мұндай дискіні қажет болған жағдайда ғана қосасыз - диск белгішесін екі рет басыңыз, құпия сөзді енгізіңіз және деректерге қол жеткізіңіз.

BitLocker көмегімен не шифрлауға болады?

Желілік және оптикалық дисктерден басқа кез келген дискіні шифрлауға болады. Мұнда қолдау көрсетілетін диск қосылым түрлерінің тізімі берілген: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fiber Channel.

Bluetooth арқылы қосылған томдарды шифрлауға қолдау көрсетілмейді. Компьютерге Bluetooth арқылы қосылған ұялы телефонның жад картасы бөлек сақтау құралы сияқты көрінгенімен, оны шифрлау мүмкін емес.

NTFS, FAT32, FAT16, ExFAT файлдық жүйелерге қолдау көрсетіледі. Басқа файлдық жүйелерге, соның ішінде CDFS, NFS, DFS, LFS, бағдарламалық қамтамасыз ету RAID массивтеріне (аппараттық RAID массивтеріне қолдау көрсетіледі) қолдау көрсетілмейді.

Сіз қатты күйдегі дискілерді шифрлай аласыз: (SSD дискілері, флэш-дискілер, SD карталары), қатты дискілер (соның ішінде USB арқылы қосылғандар). Дискілердің басқа түрлерін шифрлауға қолдау көрсетілмейді.

Bitlocker дискінің шифрлауы

Жұмыс үстеліне өтіп, File Explorer бағдарламасын іске қосыңыз және басыңыз дискіні тінтуірдің оң жақ түймешігімен басыңыз, оны шифрлағыңыз келеді. Еске сала кетейін, бұл логикалық көлем, SD картасы, флэш-диск, USB дискісі немесе SSD дискісі болуы мүмкін. Пайда болған мәзірден BitLocker қосу пәрменін таңдаңыз.

BitLocker шифрлауын қосу пәрмені

Сізден бірінші сұралатын нәрсе - шифрланған дискіге қалай кіру керек: құпия сөзді немесе смарт картаны пайдалану. Опциялардың бірін таңдау керек (немесе екеуі де: содан кейін пароль де, смарт-карта да қатысады), әйтпесе «Келесі» түймесі белсендірілмейді.

Bitlocker блоктауын қалай алып тастаймыз?

Келесі қадамда сізден кілттің сақтық көшірмесін жасау сұралады
қалпына келтіру.

Қалпына келтіру кілтін мұрағаттау

ТҮСІНДІРУҚалпына келтіру кілті парольді ұмытып қалсаңыз немесе смарт картаңызды жоғалтып алсаңыз, дискінің құлпын ашу үшін пайдаланылады. Қалпына келтіру кілтін жасаудан бас тарта алмайсыз. Бұл дұрыс, өйткені мен демалыстан қайтып, шифрланған дискідегі құпия сөзімді ұмытып қалдым. Дәл осындай жағдай сізде қайталануы мүмкін. Сондықтан қалпына келтіру кілтін мұрағаттау үшін ұсынылған әдістердің бірін таңдаймыз.

• Кілтті Microsoft тіркелгісіне сақтау. Мен бұл әдісті ұсынбаймын: Интернет байланысы жоқ - сіз өз кілтіңізді ала алмайсыз.
• Файлға сақтау - ең жақсы әдіс. Қалпына келтіру кілті файлы жұмыс үстеліне жазылады.

Қалпына келтіру кілтін жұмыс үстеліне сақтау

• Түсінесіз, ол жерден қауіпсіз жерге, мысалы, флэш-дискке көшіру керек. Сондай-ақ, файл атауынан бұл дәл сол кілт екені бірден түсініксіз болуы үшін оның атын өзгерту ұсынылады. Сіз бұл файлды аша аласыз (оның қалай көрінетінін кейінірек көресіз) және қалпына келтіру кілтінің өзін қандай да бір файлға көшіруге болады, сонда жолдың не екенін және оның қандай файлда екенін тек сіз ғана білесіз. Түпнұсқа файлды қалпына келтіру кілтімен кейінірек жойған дұрыс. Осылайша сенімдірек болады.
• Қалпына келтіру кілтін басып шығару өте жабайы идея, егер сіз осы қағаз парағын сейфке салып, оны жеті құлыппен құлыптамасаңыз.

Енді дискінің қай бөлігін шифрлау керектігін анықтау керек.

Дискінің қанша бөлігін шифрлау керек?

Сіз тек бос орынды шифрлай аласыз немесе бүкіл дискіні бірден шифрлай аласыз. Егер дискіңіз бос дерлік болса, тек бос орынды шифрлау әлдеқайда жылдамырақ. Опцияларды қарастырайық:

• 16 ГБ флэш-дискінде тек 10 МБ деректер болсын. Бірінші опцияны таңдаңыз, сонда диск дереу шифрланады. Флэш-дискке жазылған жаңа файлдар «ұшу кезінде», яғни автоматты түрде шифрланады;
• дискіде файлдар көп болса және ол толығымен дерлік толы болса, екінші опция қолайлы. Дегенмен, бірдей 16 ГБ флэш-диск, бірақ 15 ГБ дейін толтырылған, бірінші немесе екінші опцияға сәйкес шифрлау уақытының айырмашылығы іс жүзінде ажыратылмайды (15 ГБ немесе 16 ГБ шифрланады.
  дерлік бірдей уақыт);
• алайда, егер дискіде деректер аз болса және сіз екінші опцияны таңдасаңыз, шифрлау бірінші әдіспен салыстырғанда өте ұзақ уақыт алады.

Сондықтан сізге бар болғаны түймені басу керек Шифрлауды бастаңыз.

Bitlocker көмегімен дискіні шифрлау

Диск шифрланғанша күтіңіз. Шифрлау аяқталғанша компьютерді өшірмеңіз немесе оны қайта іске қоспаңыз - сіз мұны көрсететін хабарлама аласыз.

Қуат ақаулығы орын алса, Windows іске қосылған кезде шифрлау тоқтаған жерінен жалғасады. Бұл Microsoft веб-сайтында айтылған. Мен мұның жүйелік дискіге қатысты екенін тексермедім - тәуекелге барғым келмеді.

Мақаланың жалғасы келесі бетте. Келесі бетке өту үшін әлеуметтік желі түймелерінің астында орналасқан 2 түймешігін басыңыз.

Бұл серияда біз заманауи Windows операциялық жүйелеріндегі қауіпсіздік құралы болып табылатын BitLocker технологиясы туралы қысқаша әңгімелестік. Негізінде, мақалада бұл құралдың архитектурасы сипатталған, ол үйде немесе ұйымда дискіні шифрлауды орындау кезінде көп пайда әкелмейді. Сондай-ақ, бірінші мақаладан сіз осы технологияның мүмкіндіктерін толық пайдалану үшін шифрлау жүзеге асырылатын компьютерлер сенімді платформа модулі (TPM) сияқты модульмен жабдықталуы керек екенін, өкінішке орай, мүмкін болатынын білуге ​​болады. кез келген компьютерден алыс табуға болады. Сондықтан, осы серияның келесі мақалаларында сенімді платформа модулімен жұмыс істеу жолын сипаттау кезінде оның виртуалды машинадағы эмуляторы ғана қарастырылады. Сондай-ақ, менің ойымша, бұл және осы сериядағы келесі мақалалар смарт карталарды пайдалану кезінде деректер дискілерін блоктауды талқыламайды.

Өздеріңіз білетіндей, BitLocker технологиясы бүкіл дискіні шифрлауға мүмкіндік береді, ал Шифрлау файлдық жүйесі (EFS) тек жеке файлдарды шифрлауға мүмкіндік береді. Әрине, кейбір жағдайларда тек белгілі бір файлдарды шифрлау қажет және бүкіл бөлімді шифрлаудың қажеті жоқ сияқты, бірақ EFS-ті бөлімдер мен кеңселер арасында жылжытылмайтын интранеттегі компьютерлерде ғана қолданған жөн. Басқаша айтқанда, егер сіздің пайдаланушыңызда ноутбук болса, ол мерзімді түрде іссапарларға шығуы керек және мұндай пайдаланушының компьютерінде шифрлауды қажет ететін бірнеше ондаған файлдар ғана болса, оның ноутбук компьютері үшін жақсырақ. шифрланған файлдық жүйенің орнына BitLocker технологиясын пайдаланыңыз. Бұл EFS көмегімен операциялық жүйенің тізілім файлдары сияқты маңызды элементтерін шифрлай алмайтындығымен түсіндіріледі. Ал егер шабуылдаушы сіздің ноутбугыңыздың тізіліміне кірсе, ол өзі үшін көптеген қызықты ақпаратты таба алады, мысалы, пайдаланушының домен тіркелгісінің кэштелген деректері, құпия сөз хэші және т.б. келешекте елеулі зиян келтіруі мүмкін. тек осы пайдаланушыға ғана емес, тұтастай алғанда бүкіл компанияға шығын. BitLocker технологиясының көмегімен шифрланған файлдық жүйеден айырмашылығы, жоғарыда айтылғандай, пайдаланушының ноутбугының шифрланған дискісінде орналасқан барлық деректер пайдаланушының ноутбугында шифрланады. Көбісі сұрақ қоюы мүмкін: ұйымдағы басқа пайдаланушылар осы технология арқылы шифрланған файлдарды қалай пайдалана алады? Іс жүзінде бәрі өте қарапайым: егер BitLocker технологиясын қолданатын шифрланған файлдары бар компьютер ортақ пайдаланылса, авторизацияланған пайдаланушылар мұндай файлдармен сол пайдаланушының компьютерінде шифрлау болмағандай оңай әрекеттесе алады. Сонымен қатар, егер шифрланған дискіде орналасқан файлдар басқа компьютерге немесе шифрланбаған дискіге көшірілсе, онда бұл файлдар автоматты түрде шифры шешіледі.

Келесі бөлімдерде сіз Windows 7 жүйесі бар TPM емес ноутбукте жүйені және қосымша бөлімдерді шифрлау жолын үйренесіз.

Жүйе бөлімі үшін BitLocker шифрлауын қосыңыз

Домен бөлігі болып табылмайтын компьютердегі жүйелік бөлімде BitLocker дискінің шифрлауын қосуда күрделі ештеңе жоқ. Жүйелік дискіні шифрламас бұрын, дискілер шифрланатын ноутбукта үш бөлім жасалғанына және алғашқы екеуі шифрланғанына назар аудару керек деп ойлаймын:

Күріш. 1. Дискілер шифрланатын ноутбуктағы Windows Explorer

Жүйе бөлімін шифрлау үшін мына қадамдарды орындаңыз:

1. Ең алдымен, дискілер шифрланатын осы мысалдағы ноутбукта TPM болмағандықтан, кейбір алдын ала қадамдарды орындаған жөн. Сізге ілмекті ашу керек «Жергілікті топтық саясат редакторы»және Компьютер конфигурациясы\Әкімшілік үлгілері\Windows компоненттері\BitLocker дискінің шифрлауы\Операциялық жүйе дискілері тармағына өтіңіз. Мұнда алты түрлі саясат параметрлерін таба аласыз. Бұл ноутбук TPM модулімен жабдықталмағаны туралы бұрын айтылғандықтан, операциялық жүйені жүктемес бұрын аутентификацияны растау және жүйенің кейінгі жүктелуін растауға арналған арнайы кілті бар USB дискісін пайдаланғаныңызға көз жеткізуіңіз керек. Бұл әрекетті орындау үшін пайдаланылатын саясат параметрі «Іске қосу кезінде қосымша аутентификация қажет». Осы саясат параметріне арналған сипаттар тілқатысу терезесінде опцияларды тексеру керек «Үйлесімді TPM жоқ BitLocker-ге рұқсат ету». Бұл жағдайда жұмыс тобында дискіні шифрлау кезінде бізді қызықтыруы мүмкін жалғыз нұсқа болғандықтан, енгізілген өзгертулерді сақтаңыз. Осы саясат параметріне арналған сипаттар тілқатысу терезесі келесі суретте көрсетілген:



Күріш. 2. Іске қосу саясаты параметрінің сипаттары тілқатысу терезесінде қосымша аутентификацияны талап етіңіз

BitLocker технологиясын басқару үшін қол жетімді көптеген әртүрлі Топтық саясат параметрлері бар. Бұл опциялар BitLocker технологиясы туралы болашақ мақалада егжей-тегжейлі талқыланады.

2. Ашық «Басқару панелі», санатқа өтіңіз «Жүйе және қауіпсіздік»содан кейін таңдаңыз «BitLocker Drive шифрлауы»;
3. Пайда болған Басқару тақтасы терезесінде жүйе бөлімін таңдап, сілтемені басыңыз «BitLocker қосу». Бөлімді тек негізгі дискіде орналасқан жағдайда ғана шифрлауға болатындығына назар аударған жөн. Динамикалық дискіде бөлімдер жасаған болсаңыз, оларды шифрлау алдында дискіні динамикалықтан негізгіге түрлендіру қажет. Келесі суретте терезе көрсетілген «BitLocker Drive шифрлауы»:



Күріш. 3. Басқару тақтасының BitLocker Drive Encryption терезесі

4. Компьютердің конфигурациясын тексергеннен кейін BitLocker Drive шифрлау шеберінің бірінші бетінде әртүрлі іске қосу опцияларын көрсетуге болады. Бірақ менің ноутбугымда TPM болмағандықтан және Топтық саясат параметрі TPM қосылмаған аппараттық құралда BitLocker шифрлауына рұқсат беру үшін өзгертілгендіктен, мен тек таңдай аламын «Іске қосу кезінде кілтті сұрау». Шебердің бірінші беті төменде көрсетілген:



Күріш. 4. BitLocker Drive Encryption Wizard іске қосу опциясы

5. Бетінде «Іске қосу кілтін сақтау» BitLocker Drive Encryption шеберінде компьютерге флэш-дискіні тіркеп, оны тізімнен таңдау керек. Дискіні таңдағаннан кейін түймені басыңыз «Сақтау»;
6. Шебердің үшінші бетінде қалпына келтіру кілтінің орнын көрсету керек. Қалпына келтіру кілті - кейбір нұсқауларды, диск белгісін, құпия сөз идентификаторын және 48 таңбалы қалпына келтіру кілтін қамтитын шағын мәтіндік файл. Бұл кілттің іске қосу кілтінен айырмашылығы, ол деректерге кез келген басқа тәсілмен қол жеткізу мүмкін болмаған жағдайда қол жеткізу үшін пайдаланылатынын есте ұстаған жөн. Сіз келесі үш опцияның бірін таңдай аласыз: қалпына келтіру кілтін USB флэш-дискісіне сақтаңыз, қалпына келтіру кілтін файлға сақтаңызнемесе басып шығаруды қалпына келтіру кілті. Бірінші опцияны таңдағанда, қалпына келтіру және іске қосу кілттерін әртүрлі флэш-дискілерде сақтау керек екенін ескеріңіз. Бірнеше қалпына келтіру кілттерін және шифрланған компьютерден басқа компьютерлерде сақтау ұсынылатындықтан, менің жағдайда қалпына келтіру кілті менің серверлерімнің біріндегі желілік қалтада, сондай-ақ HP бұлттық дискісінде сақталды. Енді қалпына келтіру кілтінің мазмұны маған және HP-ге ғана белгілі болады, бірақ олар бізді ақпараттың толық құпиялылығына сендіреді. Қалпына келтіру кілтін басып шығарсаңыз, Microsoft құжатты құлыпталған сейфте сақтауды ұсынады. Мен жай ғана осы 48 нөмірді жаттап алуды ұсынамын және құжатты оқығаннан кейін оны жай ғана жағыңыз :). Бет «Қалпына келтіру кілтін қалай сақтауға болады?» BitLocker шифрлау шебері келесі суретте көрсетілген:



Күріш. 5. BitLocker көмегімен шифрланған деректер үшін қалпына келтіру кілтін сақтау

7. Бұл Drive шифрлау шеберінің соңғы беті, себебі қажет болған жағдайда қалпына келтіру кілтін оңай пайдалана алатыныңызға көз жеткізу үшін BitLocker жүйесін тексеруді орындауға болады. Жүйені тексеруді аяқтау үшін компьютерді қайта іске қосу ұсынылады. Негізінде, бұл қадам міндетті емес, бірақ әлі де бұл тексеруді орындаған жөн. Төменде шебердің соңғы бетін көре аласыз:



Күріш. 6. Дискіні шифрлау шеберінің соңғы беті

8. POST тестінен кейін бірден операциялық жүйені іске қосу үшін іске қосу кілті бар флэш-дискіні салу ұсынылады. Компьютер қайта іске қосылғаннан кейін және BitLocker шифрлаудан кейін күтпеген жағдайлардың болмайтынын білгеннен кейін дискіні шифрлау процесінің өзі басталады. Мұны хабарландыру аймағында көрсетілген белгішеден немесе терезеге өтсеңіз, білесіз «BitLocker Drive шифрлауы»басқару тақтасынан. Шифрлау процесінің өзі фондық режимде жұмыс істейді, яғни шифрлау іске қосылған кезде компьютерде жұмысты жалғастыруға болады, бірақ BitLocker процессор ресурстарын және шифрланған дискідегі бос орынды қарқынды пайдаланады. Дискіңіздің қанша пайызы шифрланғанын көру үшін мынаны іздеңіз "BitLocker Drive Encryption көмегімен %volume_name% шифрлау"және оны екі рет басыңыз. BitLocker хабарландыру белгішесі және диалогтық терезе «BitLocker Drive шифрлауы»төменде көрсетілген:



Күріш. 7. Шифрлауды орындаңыз

9. BitLocker дискісін шифрлау процесі аяқталғаннан кейін сіз таңдаған дискіні шифрлау сәтті аяқталғаны туралы хабарланады. Бұл диалогтық терезені төменде көруге болады:





Күріш. 8. BitLocker Drive шифрлауын аяқтау

Дискіні бірінші рет шифрлайтындар үшін бұл процедура бірден орындалмайтынын және, мысалы, 75 ГБ жүйелік дискіні шифрлау үшін маған 70 минут қажет екенін атап өткім келеді.

Енді, келесі суретте көріп отырғаныңыздай, Windows Explorer шолғышында жүйелік бөлім белгішесінде құлып бар, бұл бұл бөлім BitLocker технологиясы арқылы шифрланғанын білдіреді:

Күріш. 9. Шифрланған жүйелік бөлімі бар Windows Explorer

Қорытынды

Бұл мақалада сіз BitLocker технологиясы арқылы дискіні шифрлауды үйрендіңіз. Графикалық интерфейстің көмегімен дискінің өзін шифрлауға және шифрлауға дайындық процесі қарастырылады. Мақаланың басында мен осы ноутбукте екі диск шифрланатынын айтқандықтан, келесі мақалада пәрмен жолы утилитасын пайдаланып BitLocker технологиясын пайдаланып дискіні шифрлауды үйренесіз. басқару-dbe .