Namestitev, konfiguracija in uporaba bitlockerja. BitLocker – šifriranje pogona Šifriranje sistema Windows 7

V zadnjih letih uporabniki na različnih forumih, v pismih in na sestankih vse pogosteje zastavljajo vprašanja o tem, kaj je relativno nova funkcionalnost operacijskih sistemov Windows Vista, Windows 7 in Windows Server 2008 / 2008 R2 - Windows BitLocker(z izdajo najnovejših operacijskih sistemov je ta tehnologija doživela nekaj sprememb in se zdaj imenuje BitLoker To Go). Toda potem, ko večina uporabnikov in sistemskih skrbnikov začetnikov sliši odgovor, da je ta komponenta »samo« vgrajena varnostna funkcija v sodobnih operacijskih sistemih, ki zagotavlja zanesljivo zaščito samega operacijskega sistema, podatkov, shranjenih na uporabnikovem računalniku, pa tudi posameznih nosilcev in izmenljivih medijev, kar vam omogoča, da med resnimi napadi pustite nedotaknjene uporabniške podatke, pa tudi fizično odstranitev trdih diskov za nadaljnje avtonomno hekanje podatkov, pogosto slišim, da takšna funkcionalnost sploh ne bo povpraševana in bo njena uporaba le zapletla življenje uporabnikov. S tako trditvijo se je nemogoče strinjati, saj morajo biti podatki varni. Ključev od svoje hiše ali kode elektronske ključavnice vaše organizacije ne pustite vsakomur, ki ga srečate, kajne?

Domači uporabniki običajno opravičujejo svojo nepripravljenost za uporabo te tehnologije z dejstvom, da na njihovih računalnikih ni "življenjsko pomembnih" podatkov in tudi če vanje vdrejo, se ne bo zgodilo nič hudega, razen da bo nekdo pogledal njihove profile na družbenih omrežjih Odnoklassniki in " V stiku z". Lastniki prenosnikov in netbookov verjamejo, da je zadnja stvar, ki bi jih morala skrbeti, manjkajoči podatki, če jim ukradejo opremo. Sistemski administratorji v nekaterih podjetjih trdijo, da nimajo nobenih skrivnih projektov in da lahko zaupajo popolnoma vsem zaposlenim v podjetju, dokumentacijo in izdelke intelektualnega dela pa nosijo domov le zato, da bi opravili delo, za katerega ni bilo dovolj delovnega časa. Računalniki njihove organizacije so privzeto zaščiteni s protivirusno programsko opremo in nastavitvami požarnega zidu. Zakaj morate zaščititi zunanje diske, če le shranjujejo glasbene in video datoteke? In v redu je, da lahko naprave, kot so bliskovni pogoni, krožijo znotraj organizacij in med vsemi vašimi prijatelji.

Vendar se ne moremo strinjati z nobenim od zgornjih razlogov. Domači uporabniki lahko med napadom ne samo kopirajo svojo celotno zbirko glasbenih in video datotek, ampak zasežejo tudi vsa gesla za bančne račune in poverilnice na obiskanih straneh s pomočjo piškotkov ali, bog ne daj, tekstovnih datotek s prijavami in gesli, ki niso redko postavljena. na namizju. Obstaja tudi velika verjetnost, da bo vsa poštna korespondenca itd. Ukradeni prenosni računalniki lahko vsebujejo občutljive podatke, katerih kraja bi lahko negativno vplivala na poslovanje vašega podjetja, odpustitev z ustreznim "napredovanjem" v življenjepisu pa bi lahko izjemno negativno vplivala na vašo kariero v prihodnosti. In končno, v našem času vsaka organizacija vsebuje tajne podatke, ki jih ni priporočljivo pokazati svojim konkurentom. In če je vsaj eden od računalnikov vaše organizacije uspešno napaden, obstaja velika verjetnost, da bo kmalu okužena celotna vaša flota računalnikov, kar bo zahtevalo Herkulova prizadevanja, da bi računalnike vaše organizacije spravili v prvotno stanje. Morda so celo v vaši organizaciji slabovidci. Tudi če varnostniki pregledajo vaše torbe, ko zapustite stavbo, ne bodo pregledali zunanje naprave za shranjevanje vseh zaposlenih. Lahko pa vsebujejo veliko podatkov, za katere vaši konkurenti ne bi smeli izvedeti še nekaj mesecev.

Iz tega razloga morate preprosto poskušati zaščititi svoje podatke na kakršen koli veljaven način. Prav temu je namenjena ta komponenta sodobnih Microsoftovih operacijskih sistemov. BitLocker vam omogoča, da preprečite nepooblaščen dostop do podatkov tudi na izgubljenih ali ukradenih računalnikih, s čimer izboljšate delovanje vašega operacijskega sistema. Za izboljšanje zaščite vaših podatkov Windows BitLocker uporablja Trusted Platform Module (TPM) – specifikacijo, ki podrobno opisuje kriptoprocesor, v katerem so shranjeni kriptografski ključi za zaščito informacij, kot tudi generično ime za izvedbe določene specifikacije, na primer , v obliki »čipa TPM«, ki zagotavlja celovitost uporabljenih komponent že v najzgodnejši fazi nalaganja.

Te tehnologije nudijo prednosti tako domačim uporabnikom kot sistemskim skrbnikom v organizacijah. Za domačega uporabnika je glavna prednost teh tehnologij enostavna uporaba, saj je pri vsakodnevni uporabi funkcionalnosti BitLocker ali BitLocker To Go zaščita računalnika in njegova obnova za uporabnika popolnoma pregledna. Sistemski skrbniki bodo zagotovo cenili enostavno upravljanje varovanja podatkov. Za oddaljeno upravljanje šifriranja BitLocker lahko uporabite infrastrukturo domenskih storitev Active Directory z naprednim upravljanjem s pravilniki skupine in skripti.

Prav te komponente operacijskega sistema bodo obravnavane v tej seriji člankov. Na internetu lahko najdete že kar nekaj koristnih informacij o teh komponentah in njihovi funkcionalnosti, vključno s čudovitimi video reportažami, v katerih lahko v živo vidite princip njihovega delovanja. Zato bom v člankih te serije poskušal podrobneje razmisliti o večini funkcionalnosti za domače uporabnike in organizacije, da vam ne bo treba dolgo iskati, kako implementirati ta ali oni scenarij za uporabo določenih dejanja.

Arhitektura te tehnologije

Kot že veste, ko je operacijski sistem aktiven, ga je mogoče zaščititi z lokalnimi varnostnimi pravilniki, protivirusno programsko opremo in požarnimi zidovi, lahko pa zaščitite nosilec operacijskega sistema na trdem disku s šifriranjem BitLocker. Če želite v celoti izkoristiti šifriranje BitLocker in sistemsko preverjanje pristnosti, mora vaš računalnik izpolnjevati zahteve, kot je nameščen TPM različice 1.2, ki vam omogoča shranjevanje določenega ključa za zagon sistema v samem modulu Trusted Platform Module, ko je šifriranje omogočeno. Poleg TPM mora imeti osnovni vhodno-izhodni sistem (BIOS) nameščeno specifikacijo Trusted Computing Group (TCG), ki ustvari verigo zaupanja za dejanja, preden se operacijski sistem zažene, in vključuje podporo za statični korenski objekt spremembe zaupanja . Na žalost niso vse matične plošče opremljene z modulom, kot je TPM, vendar tudi brez tega modula vam operacijski sistem omogoča, da izkoristite to tehnologijo šifriranja, če imate pomnilniške naprave USB, ki podpirajo ukaze UFI, in če je vaš trdi disk razdeljen na dvoje in več kot zvezek. Na enem nosilcu boste imeli na primer sam operacijski sistem, za katerega bo omogočeno šifriranje, na drugem, sistemskem nosilcu, s kapaciteto vsaj 1,5 GB, pa so datoteke, ki so potrebne za nalaganje operacijskega sistema po BIOS naloži platformo. Vsi vaši nosilci morajo biti formatirani z datotečnim sistemom NTFS.

Šifrirna arhitektura BitLocker zagotavlja obvladljive in funkcionalne mehanizme v jedrnem in uporabniškem načinu. Na visoki ravni glavne komponente BitLockerja vključujejo:

• Gonilnik modula Trusted Platform(%SystemRoot%System32DriversTpm.sys) – gonilnik, ki dostopa do čipa TPM v načinu jedra;
• Osnovne storitve TPM, ki vključujejo storitve po meri, ki v uporabniškem načinu zagotavljajo dostop do TPM (%SystemRoot%System32tbssvc.dll), ponudnika WMI in snap-in MMC (%SystemRoot%System32Tpm.msc);
• Sorodna koda BitLocker v upravitelju zagona (BootMgr), ki preverja pristnost dostopa do trdega diska in omogoča tudi popravilo in odklepanje zagonskega nalagalnika;
• Gonilnik filtra BitLocker(%SystemRoot%System32DriversFvevol.sys), ki vam omogoča sprotno šifriranje in dešifriranje nosilcev v načinu jedra;
• Ponudnik WMI BitLocker in upravljanje skriptov, ki vam omogočajo konfiguracijo in upravljanje skriptov vmesnika BitLocker.

Naslednja slika prikazuje različne komponente in storitve, ki omogočajo pravilno delovanje tehnologije šifriranja BitLocker:

riž. 1. Arhitektura BitLocker

Šifrirni ključi

BitLocker šifrira vsebino nosilca z uporabo šifrirni ključ celotnega obsega(FVEK – šifrirni ključ celotnega obsega), ki mu je bil dodeljen, ko je bil prvotno konfiguriran za uporabo BitLockerja z uporabo 128- ali 256-bitnih algoritmov ključev AES AES128-CBC in AES256-CBC z Microsoftovimi razširitvami, imenovanimi difuzorji. Ključ FVEK je šifriran z uporabo glavna tipka za glasnost(VMK – glavni ključ nosilca) in je shranjen na nosilcu v območju, ki je posebej določeno za metapodatke. Zaščita glavnega ključa nosilca je posreden način zaščite podatkov nosilca: polnjenje glavnega ključa nosilca omogoča sistemu, da ponovno ustvari ključ, potem ko so ključi izgubljeni ali ogroženi.

Ko nastavite šifriranje BitLocker, lahko uporabite enega od več načinov za zaščito računalnika z VMK, odvisno od vaše konfiguracije strojne opreme. Šifriranje BitLocker podpira pet načinov preverjanja pristnosti, odvisno od zmogljivosti strojne opreme vašega računalnika in ravni varnosti, ki jo potrebujete. Če vaša konfiguracija strojne opreme podpira tehnologijo Trusted Platform Module (TPM), potem lahko shranite VMK v TMP in TPM ter na napravo USB ali shranite ključ VMK v TPM in vnesete kodo PIN, ko se sistem zažene. Poleg tega imate možnost združiti obe prejšnji metodi. Za platforme, ki niso združljive s tehnologijo TPM, lahko ključ shranite na zunanjo napravo USB.

Vredno je biti pozoren na dejstvo, da se pri nalaganju operacijskega sistema z omogočenim šifriranjem BitLocker izvede zaporedje dejanj, ki je odvisno od nabora orodij za zaščito glasnosti. Ti koraki vključujejo preverjanje celovitosti sistema in druge korake preverjanja pristnosti, ki jih je treba dokončati, preden se lahko sprosti zaklepanje z zaščitenega nosilca. Naslednja tabela povzema različne metode, ki jih lahko uporabite za šifriranje nosilca:

Vir	Varnost	Uporabniška dejanja
Samo TPM	Ščiti pred napadi programske opreme, vendar je ranljiv za napade strojne opreme	Noben
TPM+PIN	Doda zaščito pred napadi na strojno opremo	Uporabnik mora ob vsakem zagonu OS vnesti kodo PIN
TPM + USB ključ	Popolna zaščita pred napadi strojne opreme, vendar ranljiva za izgubo ključa USB
TPM + USB ključ + PIN	Največja stopnja zaščite	Ob vsakem zagonu OS mora uporabnik vnesti PIN kodo in uporabiti USB ključ
Samo USB ključ	Minimalna raven zaščite za računalnike, ki niso opremljeni s TPM + obstaja nevarnost izgube ključa	Uporabnik mora ob vsakem zagonu OS uporabiti ključ USB

Tabela 1. Viri VMK

Naslednja slika prikazuje, kako šifrirati nosilce:

riž. 2. Metode za šifriranje nosilcev s tehnologijo BitLocker

Preden BitLocker odobri dostop do FEVK in dešifrira nosilec, morate zagotoviti ključe pooblaščenega uporabnika ali računalnika. Kot je navedeno zgoraj, če ima vaš računalnik TPM, lahko uporabite različne metode preverjanja pristnosti. V naslednjih pododdelkih bomo podrobneje obravnavali vsako od teh metod.

Samo uporaba TPM

Postopek zagona operacijskega sistema uporablja TPM, da zagotovi, da je trdi disk povezan s pravim računalnikom in da pomembne sistemske datoteke niso poškodovane, ter tudi prepreči dostop do trdega diska, če je zlonamerna programska oprema ali rootkit ogrozil celovitost sistema. Med preverjanjem računalnika TPM odklene VMK in vaš operacijski sistem se zažene brez posredovanja uporabnika, kot lahko vidite na naslednji sliki.

riž. 3. Avtentikacija s tehnologijo TPM

Uporaba TPM z USB ključem

Poleg fizične varnosti, ki je bila opisana v prejšnjem pododdelku, v tem primeru TPM zahteva tuji ključ, ki se nahaja na napravi USB. V tem primeru mora uporabnik vstaviti pogon USB, na katerem je shranjen tuji ključ, namenjen avtentikaciji uporabnika in celovitosti računalnika. V tem primeru lahko zaščitite svoj računalnik pred krajo, ko vklopite računalnik, pa tudi, ko se zbudite iz stanja mirovanja. Na žalost vas ta metoda ne bo zaščitila pred prebujanjem računalnika iz načina spanja. Pri uporabi te metode morate tuji ključ shraniti ločeno od računalnika, da zmanjšate tveganje kraje vašega računalnika. Naslednja slika prikazuje uporabo TPM z zunanjim ključem USB:

riž. 4. Avtentikacija s TPM in USB ključem

Uporaba TPM v povezavi s kodo PIN

Ta metoda preprečuje zagon računalnika, dokler uporabnik ne vnese osebne identifikacijske številke (PIN). Ta metoda vam omogoča zaščito vašega računalnika v primeru kraje vašega izklopljenega računalnika. Na žalost te metode ne smete uporabljati, če se mora računalnik samodejno zagnati brez posredovanja človeka, ki običajno deluje kot strežnik. Ko se zahteva PIN, vas TPM strojne opreme računalnika pozove, da vnesete štirimestno kodo PIN s posebno zakasnitvijo, ki jo nastavijo proizvajalci matične plošče in samega TPM. Na naslednji sliki lahko vidite ta način preverjanja pristnosti:

riž. 5. Preverjanje pristnosti TPM in PIN

Uporaba kombinirane metode (TPM+PIN+USB ključ)

V operacijskih sistemih Windows 7 in Windows Vista lahko uporabite kombinirano metodo preverjanja pristnosti za največjo raven zaščite vašega računalnika. V tem primeru je strojna avtentikacija TPM dopolnjena z vnosom kode PIN in uporabo tujega ključa, ki se nahaja na pogonu USB. Vsa ta orodja zagotavljajo najvišjo raven zaščite BitLocker, ki zahteva podatke, ki jih uporabnik »pozna« in »uporablja«. Da bi se napadalec polastil vaših podatkov, ki se nahajajo na nosilcu, zaščitenem s tehnologijo BitLocker, mora ukrasti vaš računalnik, imeti USB pogon z vašim ključem in poznati PIN kodo, kar je skoraj nemogoče. Naslednja slika prikazuje ta način preverjanja pristnosti:

riž. 6. Avtentikacija s TPM, USB ključem in kodo PIN

Preverjanje pristnosti samo z zagonskim ključem USB

V tem primeru uporabnik zagotovi VMK na disku, pogonu USB ali kateri koli zunanji pomnilniški napravi za dešifriranje nosilca, šifriranega s FEVK in BitLockerjem, v računalniku, ki nima nameščenega TPM. Uporaba ključa za zagon brez TPM vam omogoča šifriranje podatkov brez nadgradnje strojne opreme. Ta metoda velja za najbolj ranljivo, saj v tem primeru ni preverjena celovitost zagona in pri prenosu trdega diska na drug računalnik se lahko uporabijo podatki iz šifriranega pogona.

Zaključek

Šifriranje pogona BitLocker je varnostna funkcija v sodobnih operacijskih sistemih Windows, ki pomaga zaščititi operacijski sistem in podatke, shranjene v vaših računalnikih. V idealni kombinaciji je BitLocker konfiguriran za uporabo modula Trusted Platform Module (TPM), ki zagotavlja celovitost komponent zagona in zaklepanja glasnosti, tudi ko operacijski sistem še ni zagnan. V tem članku iz serije o šifriranju podatkov ste izvedeli o arhitekturi tega orodja. V naslednjem članku boste izvedeli o izvajanju šifriranja diska s tehnologijo Windows BitLocker.

Ob izidu operacijskega sistema Windows 7 se je veliko uporabnikov soočilo z dejstvom, da se je v njem pojavila nekoliko nerazumljiva storitev BitLocker. Kaj je BitLocker, lahko mnogi le ugibajo. Poskusimo razjasniti situacijo s konkretnimi primeri. Ob tem bomo preučili vprašanja o tem, kako primerno je aktivirati to komponento ali jo popolnoma onemogočiti.

BitLocker: kaj je BitLocker, zakaj je ta storitev potrebna

Če pogledate, je BitLocker univerzalno in popolnoma avtomatizirano orodje za shranjevanje podatkov, shranjenih na trdem disku. Kaj je BitLocker na trdem disku? Da, samo storitev, ki ščiti datoteke in mape brez posredovanja uporabnika tako, da jih šifrira in ustvari poseben besedilni ključ, ki omogoča dostop do dokumentov.

Ko uporabnik dela v sistemu pod lastnim računom, se morda sploh ne zaveda, da so podatki šifrirani, saj so informacije prikazane v berljivi obliki, dostop do datotek in map pa ni blokiran. Z drugimi besedami, takšno zaščitno orodje je zasnovano samo za tiste situacije, ko se dostopa do računalniškega terminala, na primer pri poskusu vmešavanja od zunaj (internetni napad).

Težave z gesli in kriptografijo

Če pa govorimo o tem, kaj je BitLocker v sistemu Windows 7 ali sistemih višjega ranga, velja omeniti neprijetno dejstvo, da se mnogi uporabniki, če izgubijo geslo za prijavo, ne morejo samo prijaviti v sistem, ampak tudi izvajajo nekatera dejanja brskanja dokumenti, ki so bili prej na voljo za kopiranje, premikanje itd.

A to še ni vse. Če pogledate vprašanje, kaj je BitLocker Windows 8 ali 10, potem ni bistvenih razlik, razen da imajo naprednejšo kriptografsko tehnologijo. Težava je tukaj očitno drugačna. Dejstvo je, da lahko sama storitev deluje v dveh načinih, in sicer ključe za dešifriranje shranjuje na trdi disk ali na izmenljiv pogon USB.

Iz tega sledi najpreprostejši sklep: če je ključ shranjen na trdem disku, dobi uporabnik brez težav dostop do vseh informacij, ki so na njem shranjene. Ko pa je ključ shranjen na bliskovnem pogonu, je težava veliko resnejša. Načeloma lahko vidite šifriran disk ali particijo, vendar ne morete prebrati informacij.

Poleg tega, če govorimo o tem, kaj je BitLocker v sistemu Windows 10 ali prejšnjih sistemih, ne moremo mimo dejstva, da je storitev integrirana v katero koli vrsto kontekstnega menija z desnim klikom, kar je za mnoge uporabnike preprosto moteče. Toda ne prehitevajmo, ampak razmislimo o vseh glavnih vidikih, povezanih z delovanjem te komponente in priporočljivostjo njene uporabe ali deaktivacije.

Metoda šifriranja diskov in izmenljivih medijev

Najbolj nenavadno je, da je lahko storitev BitLocker v različnih sistemih in njihovih modifikacijah privzeto v aktivnem in pasivnem načinu. V "sedmici" je privzeto omogočeno; v osmi in deseti različici je včasih potrebna ročna aktivacija.

Kar se tiče šifriranja, tukaj ni bilo izumljeno nič posebej novega. Praviloma se uporablja enaka AES tehnologija na osnovi javnih ključev, ki se najpogosteje uporablja v omrežjih podjetij. Torej, če je vaš računalniški terminal z ustreznim operacijskim sistemom na krovu povezan v lokalno omrežje, ste lahko prepričani, da veljavna varnostna politika in politika varstva podatkov pomeni aktivacijo te storitve. Brez skrbniških pravic (tudi če začnete spreminjati nastavitve kot skrbnik), ne boste mogli ničesar spremeniti.

Omogočite BitLocker, če je storitev onemogočena

Preden se lotimo vprašanja, povezanega z BitLockerjem (kako onemogočiti storitev, kako odstraniti njene ukaze iz kontekstnega menija), si oglejmo omogočanje in konfiguracijo, zlasti ker bo treba korake deaktivacije izvesti v obratnem vrstnem redu.

Omogočanje šifriranja na najpreprostejši način se izvede na "Nadzorni plošči" z izbiro razdelka. Ta metoda je uporabna le, če ključa ne želite shraniti na izmenljivi medij.

Če je zaklenjena naprava neodstranljiv pogon, boste morali poiskati odgovor na drugo vprašanje o storitvi BitLocker: kako onemogočiti to komponento na bliskovnem pogonu? To se naredi precej preprosto.

Pod pogojem, da se ključ nahaja na izmenljivem mediju, ga morate za dešifriranje diskov in diskovnih particij najprej vstaviti v ustrezna vrata (konektor) in nato na nadzorni plošči odpreti razdelek varnostnega sistema. Po tem najdemo element šifriranja BitLocker in nato pogledamo pogone in medije, na katerih je nameščena zaščita. Čisto na dnu boste videli hiperpovezavo za onemogočanje šifriranja, na katero morate klikniti. Če je ključ prepoznan, se aktivira postopek dešifriranja. Ostaja le še počakati na njegovo dokončanje.

Težave pri konfiguriranju komponent izsiljevalske programske opreme

Kar zadeva nastavitev, ne morete brez glavobola. Prvič, sistem ponuja rezervacijo najmanj 1,5 GB za vaše potrebe. Drugič, prilagoditi morate dovoljenja datotečnega sistema NTFS, zmanjšati velikost glasnosti itd. Da bi se izognili takim stvarem, je bolje, da to komponento takoj onemogočite, ker je večina uporabnikov preprosto ne potrebuje. Tudi vsi tisti, ki imajo to storitev vključeno v privzetih nastavitvah, prav tako ne vedo vedno, kaj bi z njo počeli in ali je sploh potrebna. Ampak zaman. Uporabite ga lahko za zaščito podatkov v lokalnem računalniku, tudi če nimate protivirusne programske opreme.

BitLocker: kako onemogočiti. Prva stopnja

Ponovno uporabite prej določen element na "Nadzorni plošči". Imena polj za onemogočanje storitev se lahko spremenijo glede na spremembo sistema. Izbrani pogon ima lahko vrstico za prekinitev zaščite ali neposredno navedbo za onemogočanje BitLockerja.

To ni bistvo. Tukaj je vredno biti pozoren na dejstvo, da boste morali popolnoma onemogočiti zagonske datoteke računalniškega sistema. V nasprotnem primeru lahko postopek dešifriranja traja precej dolgo.

Kontekstni meni

To je le ena stran kovanca BitLocker. Kaj je BitLocker, je verjetno že jasno. Toda druga stran je izolacija dodatnih menijev od prisotnosti povezav do te storitve v njih.

Če želite to narediti, ponovno poglejmo BitLocker. Kako odstraniti vse povezave do storitve? Osnovno! V Raziskovalcu, ko izberete želeno datoteko ali mapo, uporabite razdelek storitev in uredite ustrezen kontekstni meni, pojdite na nastavitve, nato uporabite nastavitve ukaza in jih organizirajte.

Zatem v urejevalniku registra vstopimo v vejo HKCR, kjer najdemo razdelek ROOTDirectoryShell, ga razširimo in izbrišemo želeni element s pritiskom na tipko Del ali z ukazom delete iz menija desnega klika. Pravzaprav je to zadnja stvar o komponenti BitLocker. Kako ga onemogočiti, mislim, da je že jasno. Vendar ne delajte utvar. Vseeno bo ta storitev delovala (za vsak slučaj), če to želite ali ne.

Namesto spremne besede

Dodati je treba, da to ni vse, kar lahko rečemo o komponenti šifrirnega sistema BitLocker. Kaj je BitLocker, ugotovili smo, kako ga onemogočiti in izbrisati tudi menijske ukaze. Vprašanje je: ali bi morali onemogočiti BitLocker? Tukaj lahko damo samo en nasvet: v lokalnem omrežju podjetja te komponente sploh ne smete deaktivirati. Če pa je to domači računalniški terminal, zakaj pa ne?

Kraja prenosnika je po mnenju strokovnjakov eden glavnih problemov na področju informacijske varnosti (IS).

Za razliko od drugih groženj informacijski varnosti je narava problema "ukradenega prenosnika" ali "ukradenega bliskovnega pogona" precej primitivna. In če stroški manjkajočih naprav le redko presežejo nekaj tisoč ameriških dolarjev, se vrednost informacij, shranjenih na njih, pogosto meri v milijonih.

Po podatkih družbe Dell in inštituta Ponemon samo na ameriških letališčih vsako leto izgine 637.000 prenosnikov. Samo predstavljajte si, koliko bliskovnih pogonov izgine, saj so veliko manjši in je po nesreči bliskovni pogon tako enostavno kot luščenje hrušk.

Ko izgine prenosni računalnik, ki pripada vodilnemu vodji velikega podjetja, lahko škoda zaradi ene take kraje znaša več deset milijonov dolarjev.

Kako zaščititi sebe in svoje podjetje?

Nadaljujemo s serijo člankov o varnosti domene Windows. V prvem članku iz serije smo govorili o nastavitvi varne prijave v domeno, v drugem pa o nastavitvi varnega prenosa podatkov v e-poštnem odjemalcu:

V tem članku bomo govorili o nastavitvi šifriranja informacij, shranjenih na vašem trdem disku. Razumeli boste, kako zagotoviti, da nihče razen vas ne more prebrati informacij, shranjenih v vašem računalniku.

Malo ljudi ve, da ima Windows vgrajena orodja, ki vam pomagajo varno shranjevati podatke. Razmislimo o enem od njih.

Zagotovo ste nekateri že slišali za besedo »BitLocker«. Ugotovimo, kaj je to.

Kaj je BitLocker?

BitLocker (natančno imenovan BitLocker Drive Encryption) je tehnologija za šifriranje vsebine računalniških pogonov, ki jo je razvil Microsoft. Prvič se je pojavil v sistemu Windows Vista.

Z uporabo BitLockerja je bilo mogoče šifrirati količine trdega diska, kasneje pa se je v sistemu Windows 7 pojavila podobna tehnologija BitLocker To Go, ki je zasnovana za šifriranje izmenljivih pogonov in bliskovnih pogonov.

BitLocker je standardna komponenta sistema Windows Professional in strežniških različic sistema Windows, kar pomeni, da je že na voljo za večino primerov uporabe v podjetjih. V nasprotnem primeru boste morali licenco za Windows nadgraditi na Professional.

Kako deluje BitLocker?

Ta tehnologija temelji na šifriranju celotne količine, ki se izvaja z algoritmom AES (Advanced Encryption Standard). Šifrirni ključi morajo biti varno shranjeni, BitLocker pa ima za to več mehanizmov.

Najenostavnejša, a hkrati najbolj nevarna metoda je geslo. Ključ se vsakič pridobi iz gesla na enak način in v skladu s tem, če nekdo izve vaše geslo, bo šifrirni ključ znan.

Da bi se izognili shranjevanju ključa v čistem besedilu, ga je mogoče šifrirati v TPM (Trusted Platform Module) ali na kriptografskem žetonu ali pametni kartici, ki podpira algoritem RSA 2048.

TPM je čip, zasnovan za izvajanje osnovnih funkcij, povezanih z varnostjo, predvsem z uporabo šifrirnih ključev.

Modul TPM je običajno nameščen na matični plošči računalnika, vendar je v Rusiji zelo težko kupiti računalnik z vgrajenim modulom TPM, saj je uvoz naprav brez obvestila FSB v našo državo prepovedan.

Uporaba pametne kartice ali žetona za odklepanje pogona je eden najvarnejših načinov za nadzor nad tem, kdo je dokončal postopek in kdaj. Za odstranitev ključavnice v tem primeru potrebujete samo pametno kartico in kodo PIN zanjo.

Kako deluje BitLocker:

1. Ko je BitLocker aktiviran, se z generatorjem psevdonaključnih števil ustvari zaporedje glavnih bitov. To je šifrirni ključ za obseg - FVEK (full volume encryption key). Šifrira vsebino vsakega sektorja. Ključ FVEK hranimo v najstrožji tajnosti.
2. FVEK je šifriran z uporabo VMK (glavni ključ nosilca). Ključ FVEK (šifriran s ključem VMK) je shranjen na disku med metapodatki nosilca. Vendar nikoli ne sme končati na disku v dešifrirani obliki.
3. Tudi sam VMK je šifriran. Uporabnik izbere način šifriranja.
4. Ključ VMK je privzeto šifriran s ključem SRK (storage root key), ki je shranjen na kriptografski pametni kartici ali žetonu. To se zgodi na podoben način s TPM.
   Mimogrede, ključa za šifriranje sistemskega pogona v BitLockerju ni mogoče zaščititi s pametno kartico ali žetonom. To je posledica dejstva, da se za dostop do pametnih kartic in žetonov uporabljajo knjižnice prodajalca, ki seveda niso na voljo pred nalaganjem OS.
   Če TPM ni, potem BitLocker predlaga shranjevanje ključa sistemske particije na bliskovni pogon USB, kar seveda ni najboljša ideja. Če vaš sistem nima TPM, ne priporočamo šifriranja sistemskih pogonov.
   Na splošno je šifriranje sistemskega pogona slaba ideja. Ko je pravilno konfiguriran, so vsi pomembni podatki shranjeni ločeno od sistemskih podatkov. To je vsaj bolj priročno z vidika njihove varnostne kopije. Poleg tega šifriranje sistemskih datotek zmanjša zmogljivost sistema kot celote, delovanje nešifriranega sistemskega diska s šifriranimi datotekami pa poteka brez izgube hitrosti.
5. Šifrirne ključe za druge nesistemske in izmenljive pogone je mogoče zaščititi s pametno kartico ali žetonom ter TPM.
   Če ni niti modula TPM niti pametne kartice, se namesto SRK za šifriranje ključa VMK uporabi ključ, ustvarjen na podlagi vnesenega gesla.

Pri zagonu s šifrirane zagonske diskete sistem poizveduje po vseh možnih shrambah ključev – preverja prisotnost TPM, preverja vrata USB ali, če je potrebno, poziva uporabnika (kar se imenuje obnovitev). Odkrivanje shrambe ključev omogoča sistemu Windows dešifriranje ključa VMK, ki dešifrira ključ FVEK, ki že dešifrira podatke na disku.

Vsak sektor nosilca je šifriran posebej, del šifrirnega ključa pa je določen s številko tega sektorja. Posledično bosta dva sektorja, ki vsebujeta iste nešifrirane podatke, videti drugače, ko bosta šifrirana, zaradi česar je zelo težko določiti šifrirne ključe z zapisovanjem in dešifriranjem predhodno znanih podatkov.

Poleg FVEK, VMK in SRK BitLocker uporablja drugo vrsto ključa, ki je ustvarjen »za vsak slučaj«. To so obnovitveni ključi.

V nujnih primerih (uporabnik je izgubil žeton, pozabil PIN itd.) vas BitLocker v zadnjem koraku pozove, da ustvarite obnovitveni ključ. Sistem ne predvideva zavrnitve njegovega ustvarjanja.

Kako omogočiti šifriranje podatkov na trdem disku?

Preden začnete s postopkom šifriranja nosilcev na trdem disku, je pomembno upoštevati, da bo ta postopek trajal nekaj časa. Njegovo trajanje bo odvisno od količine informacij na trdem disku.

Če se računalnik med šifriranjem ali dešifriranjem izklopi ali preide v stanje mirovanja, se bodo ti procesi nadaljevali tam, kjer so se ustavili, ko naslednjič zaženete Windows.

Tudi med postopkom šifriranja je mogoče uporabiti sistem Windows, vendar je malo verjetno, da vas bo zadovoljil s svojo zmogljivostjo. Posledično se po šifriranju zmogljivost diska zmanjša za približno 10%.

Če je BitLocker na voljo v vašem sistemu, ko z desno miškino tipko kliknete ime pogona, ki ga je treba šifrirati, se prikaže element menija, ki se odpre Vklopite BitLocker.

V strežniških različicah sistema Windows morate dodati vlogo Šifriranje pogona BitLocker.

Začnimo nastavljati šifriranje nesistemskega nosilca in zaščitimo šifrirni ključ s kriptografskim žetonom.

Uporabili bomo žeton, ki ga proizvaja podjetje Aktiv. Zlasti žeton PKI Rutoken EDS.

I. Pripravimo Rutoken EDS PKI za delo.

V večini normalno konfiguriranih sistemov Windows se po prvi povezavi z Rutoken EDS PKI samodejno prenese in namesti posebna knjižnica za delo z žetoni, ki jo proizvaja podjetje Aktiv - Aktiv Rutoken minidriver.

Postopek namestitve takšne knjižnice je naslednji.

Prisotnost knjižnice Aktiv Rutoken minidriver lahko preverite prek upravitelja naprav.

Če se prenos in namestitev knjižnice iz nekega razloga nista zgodila, morate namestiti komplet gonilnikov Rutoken za Windows.

II. Šifrirajmo podatke na disku z BitLockerjem.

Kliknite na ime diska in izberite Vklopite BitLocker.

Kot smo že povedali, bomo za zaščito ključa za šifriranje diska uporabili žeton.
Pomembno je razumeti, da mora za uporabo žetona ali pametne kartice z BitLockerjem vsebovati ključe RSA 2048 in potrdilo.

Če uporabljate storitev overitelja potrdil v domeni Windows, mora predloga potrdila vsebovati obseg potrdila »Šifriranje diska« (več o nastavitvi overitelja potrdil v naši seriji člankov o varnosti domene Windows).

Če nimate domene ali ne morete spremeniti pravilnika za izdajanje potrdil, lahko uporabite nadomestno metodo z uporabo samopodpisanega potrdila; opisano je, kako sami izdati samopodpisano potrdilo.
Zdaj pa označimo ustrezno polje.

V naslednjem koraku bomo izbrali način shranjevanja obnovitvenega ključa (priporočamo izbiro Natisnite ključ za obnovitev).

Kos papirja z natisnjenim obnovitvenim ključem morate shraniti na varnem mestu, po možnosti v sefu.

Na naslednji stopnji bomo začeli postopek šifriranja diska. Ko je ta postopek končan, boste morda morali znova zagnati sistem.

Ko je šifriranje omogočeno, se bo ikona šifriranega diska spremenila.

In zdaj, ko poskušamo odpreti ta pogon, vas bo sistem prosil, da vstavite žeton in vnesete kodo PIN.

Uvajanje in konfiguracijo BitLockerja in TPM je mogoče avtomatizirati z uporabo orodja WMI ali skriptov Windows PowerShell. Način izvajanja scenarijev bo odvisen od okolja. Ukazi za BitLocker v lupini Windows PowerShell so opisani v tem članku.

Kako obnoviti šifrirane podatke BitLocker, če je žeton izgubljen?

Če želite odpreti šifrirane podatke v sistemu Windows

Za to boste potrebovali obnovitveni ključ, ki smo ga prej natisnili. Samo vnesite ga v ustrezno polje in odprl se bo šifrirani razdelek.

Če želite odpreti šifrirane podatke v sistemih GNU/Linux in Mac OS X

Če želite to narediti, potrebujete pripomoček DisLocker in ključ za obnovitev.

Pripomoček DisLocker deluje v dveh načinih:

• DATOTEKA – Celotna particija, šifrirana z BitLockerjem, je dešifrirana v datoteko.
• FUSE - dešifrira se samo blok, do katerega dostopa sistem.

Uporabili bomo na primer operacijski sistem Linux in pomožni način FUSE.

V najnovejših različicah pogostih distribucij Linuxa je paket dislocker že vključen v distribucijo, na primer v Ubuntuju, začenši z različico 16.10.

Če iz nekega razloga paket dislocker ni na voljo, morate prenesti pripomoček in ga prevesti:

tar -xvjf dislocker.tar.gz

Odprimo datoteko INSTALL.TXT in preverimo, katere pakete moramo namestiti.

V našem primeru moramo namestiti paket libfuse-dev:

sudo apt-get namestite libfuse-dev

Začnimo sestavljati paket. Pojdimo v mapo src in uporabimo ukaza make in make install:

cd src/ make make install

Ko je vse prevedeno (ali ste namestili paket), začnimo z nastavitvijo.

Pojdimo v mapo mnt in v njej ustvarimo dve mapi:

• Encrypted-partition - za šifrirano particijo;
• Dešifrirana particija - za dešifrirano particijo.

cd /mnt mkdir Šifrirana-particija mkdir Dešifrirana-particija

Poiščimo šifrirano particijo. Dešifriramo ga s pomočjo pripomočka in ga premaknemo v mapo Encrypted-partition:

dislocker -r -V /dev/sda5 -p obnovitveni ključ /mnt/šifrirana particija(namesto recovery_key zamenjajte svoj obnovitveni ključ)

Prikažimo seznam datotek v mapi Encrypted-partition:

ls Encrypted-partition/

Vnesite ukaz za namestitev particije:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Če si želite ogledati dešifrirano particijo, pojdite v mapo Encrypted-partition.

Naj povzamemo

Omogočanje šifriranja nosilca z BitLockerjem je zelo enostavno. Vse to je narejeno brez truda in brezplačno (seveda pod pogojem, da imate profesionalno ali strežniško različico sistema Windows).

Za zaščito šifrirnega ključa, ki šifrira disk, lahko uporabite kriptografski žeton ali pametno kartico, kar bistveno poveča stopnjo varnosti.

Bitlocker šifriranje diska

BitLocker – BitLocker (polno ime BitLockerDrive Encryption) je vgrajen v operacijske sisteme Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 in Windows 8.

Z uporabo BitLockerja lahko popolnoma šifrirate celoten pomnilniški medij (logični pogon, SD kartica, USB ključ). Hkrati sta podprta šifrirna algoritma AES 128 in AES 256.

Morda vas bo zanimal tudi članek "", v katerem smo poskušali ugotoviti, ali je mogoče vdreti v šifriranje diska Windows.

Ključ za obnovitev šifriranja lahko shranite v računalnik, v napravo USB ali v strojni čip TPM (Trusted Platform Module). Kopijo ključa lahko shranite tudi v svoj Microsoftov račun (vendar zakaj?).

RAZLAGA Ključ lahko shranite v čip TPM samo na tistih računalnikih, kjer je čip TPM vgrajen v matično ploščo. Če je matična plošča računalnika opremljena s čipom TPM, lahko ključ preberete z nje bodisi po avtentikaciji s ključem USB/pametno kartico bodisi po vnosu kode PIN.

V najpreprostejšem primeru lahko uporabnika overite z običajnim geslom. Ta metoda seveda ne bo ustrezala Jamesu Bondu, vendar bo za večino običajnih uporabnikov, ki želijo skriti nekaj svojih podatkov pred sodelavci ali sorodniki, povsem dovolj.

Z BitLockerjem lahko šifrirate kateri koli nosilec, vključno z zagonskim nosilcem – tistim, s katerega se zažene Windows. Potem bo treba geslo vnesti ob zagonu (ali uporabiti drugo sredstvo za preverjanje pristnosti, na primer TPM).

NASVETŠifriranje zagonskega nosilca vam močno odsvetujem. Prvič, zmanjša se produktivnost. Technet.microsoft poroča, da je tipičen zadetek zmogljivosti 10 %, vendar lahko v vašem primeru pričakujete večjo počasnost vašega računalnika, odvisno od vaše konfiguracije. Pravzaprav ni treba, da so vsi podatki šifrirani. Zakaj šifrirati iste programske datoteke? Na njih ni nič zaupnega. Drugič, če se kaj zgodi z Windows, se bojim, da bi se lahko vse slabo končalo - formatiranje nosilca in izguba podatkov.

Zato je najbolje, da šifrirate en nosilec – ločen logični pogon, zunanji pogon USB itd. In nato postavite vse svoje tajne datoteke na ta šifrirani pogon. Na šifriran disk lahko namestite tudi programe, ki zahtevajo zaščito, na primer isto 1C računovodstvo.

Takšen disk boste priklopili le, ko bo potrebno - dvokliknite na ikono diska, vnesite geslo in pridobite dostop do podatkov.

Kaj lahko šifrirate z BitLockerjem?

Šifrirate lahko kateri koli pogon razen omrežnega in optičnega. Tukaj je seznam podprtih vrst povezav pogonov: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Šifriranje nosilcev, povezanih prek Bluetooth, ni podprto. In čeprav je pomnilniška kartica mobilnega telefona, povezanega z računalnikom prek Bluetooth, videti kot ločen medij za shranjevanje, je ni mogoče šifrirati.

Podprti so datotečni sistemi NTFS, FAT32, FAT16, ExFAT. Drugi datotečni sistemi niso podprti, vključno s CDFS, NFS, DFS, LFS, programskimi nizi RAID (strojni nizi RAID so podprti).

Šifrirate lahko pogone SSD: (pogone SSD, bliskovne pogone, kartice SD), trde diske (vključno s tistimi, ki so povezani prek USB-ja). Šifriranje drugih vrst pogonov ni podprto.

Bitlocker šifriranje diska

Pojdite na namizje, zaženite File Explorer in kliknite desni klik na disk, ki ga želite šifrirati. Naj vas spomnim, da je to lahko logični nosilec, kartica SD, bliskovni pogon, pogon USB ali pogon SSD. V meniju, ki se prikaže, izberite Omogoči BitLocker.

Ukaz za omogočanje šifriranja BitLocker

Prva stvar, ki vas bo vprašala, je, kako boste dostopali do šifriranega pogona: z geslom ali pametno kartico. Izbrati morate eno od možnosti (ali obe: potem bosta vključena tako geslo kot pametna kartica), sicer gumb Naprej ne bo aktiven.

Kako bomo odstranili blokado Bitlockerja?

V naslednjem koraku boste morali ustvariti varnostno kopijo ključa
obnovitev.

Arhiviranje obnovitvenega ključa

RAZLAGA Obnovitveni ključ se uporablja za odklepanje pogona, če ste pozabili geslo ali izgubili pametno kartico. Ne morete zavrniti ustvarjanja obnovitvenega ključa. In to je prav, ker sem po vrnitvi z dopusta pozabil geslo do šifriranega diska. Enaka situacija se vam lahko ponovi. Zato izberemo eno od predlaganih metod za arhiviranje obnovitvenega ključa.

• Shranjevanje ključa v Microsoftov račun. Ne priporočam te metode: ni internetne povezave - ne boste mogli dobiti ključa.
• Shranjevanje v datoteko je najboljši način. Datoteka s ključem za obnovitev bo zapisana na vaše namizje.

Shranjevanje obnovitvenega ključa na namizje

• Razumete, od tam ga je treba prenesti na bolj varno mesto, na primer na bliskovni pogon. Priporočljivo je tudi, da ga preimenujete, tako da iz imena datoteke ni takoj razvidno, da gre za popolnoma isti ključ. To datoteko lahko odprete (kasneje boste videli, kako izgleda) in kopirate sam obnovitveni ključ v neko datoteko, tako da samo vi veste, kakšna je vrstica in v kateri datoteki je. Bolje je, da pozneje izbrišete izvirno datoteko z obnovitvenim ključem. Tako bo bolj zanesljivo.
• Tiskanje ključa za obnovitev je precej neumna ideja, razen če ta list papirja nato pospravite v sef in ga zaklenete s sedmimi ključavnicami.

Zdaj morate določiti, kateri del diska je treba šifrirati.

Kolikšen del diska naj bo šifriran?

Šifrirate lahko samo zaseden prostor ali pa šifrirate celoten disk hkrati. Če je vaš disk skoraj prazen, je veliko hitreje šifrirati samo zaseden prostor. Razmislimo o možnostih:

• Naj bo na 16 GB bliskovnem pogonu le 10 MB podatkov. Izberite prvo možnost in disk bo takoj šifriran. Nove datoteke, zapisane na bliskovni pogon, bodo šifrirane "sproti", to je samodejno;
• druga možnost je primerna, če je na disku veliko datotek in je skoraj popolnoma poln. Vendar pa za isti 16 GB bliskovni pogon, vendar napolnjen na 15 GB, razlika v času šifriranja glede na prvo ali drugo možnost praktično ne bo zaznavna (bodisi 15 GB ali 16 GB bo šifriranih
  skoraj ob istem času);
• če pa je na disku malo podatkov in izberete drugo možnost, bo šifriranje trajalo boleče dolgo v primerjavi s prvo metodo.

Vse kar morate storiti je, da pritisnete gumb Zaženite šifriranje.

Šifriranje diska z Bitlockerjem

Počakajte, da se disk šifrira. Ne izključite računalnika ali ga znova zaženite, dokler šifriranje ni končano – prejeli boste sporočilo, ki to označuje.

Če pride do izpada električne energije, se bo šifriranje ob zagonu sistema Windows nadaljevalo od tam, kjer se je končalo. Tako piše na Microsoftovi spletni strani. Nisem preveril, ali to velja za sistemski disk - nisem hotel tvegati.

Članek se nadaljuje na naslednji strani. Za prehod na naslednjo stran kliknite na gumb 2, ki se nahaja pod gumbi socialnih omrežij.

V tej seriji smo na kratko govorili o tehnologiji BitLocker, ki je varnostno orodje v sodobnih operacijskih sistemih Windows. V članku je bila načeloma opisana arhitektura tega orodja, ki ne bo veliko koristilo pri samem šifriranju diska doma ali v organizaciji. Tudi iz prvega članka ste lahko ugotovili, da morajo biti računalniki, za katere se bo izvajalo šifriranje, opremljeni s takim modulom, kot je Trusted Platform Module (TPM), ki na žalost lahko še zdaleč ni na vsakem računalniku. Zato bo v naslednjih člankih te serije pri opisovanju dela z modulom zaupanja vredne platforme upoštevan le njegov emulator na virtualnem računalniku. Prav tako menim, da je vredno omeniti, da niti ta niti naslednji članki v tej seriji ne bodo razpravljali o blokiranju podatkovnih pogonov pri uporabi pametnih kartic.

Kot verjetno veste, vam tehnologija BitLocker omogoča šifriranje celotnega diska, medtem ko šifrirni datotečni sistem (EFS) omogoča šifriranje samo posameznih datotek. Seveda morate v nekaterih primerih šifrirati samo določene datoteke in zdi se, da nima smisla šifrirati celotne particije, vendar je priporočljivo uporabljati EFS samo na računalnikih v intranetu, ki se ne bodo premikali med oddelki in uradi. Z drugimi besedami, če ima vaš uporabnik prenosni računalnik, mora občasno potovati na službena potovanja in ima tak uporabnik na svojem računalniku recimo le nekaj deset datotek, ki jih je treba šifrirati, je bolje, da njegov prenosni računalnik uporabite tehnologijo BitLocker namesto šifriranega datotečnega sistema. To je razloženo z dejstvom, da z EFS ne boste mogli šifrirati tako pomembnih elementov operacijskega sistema, kot so datoteke registra. In če napadalec pride do registra vašega prenosnika, lahko zase najde veliko zanimivih informacij, kot so predpomnjeni podatki za račun domene vašega uporabnika, zgoščena vrednost gesla in še veliko več, kar lahko v prihodnosti povzroči veliko škodo in škoda ne samo za tega uporabnika, temveč za celotno podjetje kot celoto. In s pomočjo tehnologije BitLocker bodo za razliko od šifriranega datotečnega sistema, kot je navedeno malo zgoraj, vsi podatki, ki se nahajajo na šifriranem disku prenosnega računalnika vašega uporabnika, šifrirani na prenosnem računalniku vašega uporabnika. Mnogi se lahko vprašajo: kako lahko drugi uporabniki v organizaciji uporabljajo datoteke, ki so šifrirane s to tehnologijo? Pravzaprav je vse zelo preprosto: če je računalnik s šifriranimi datotekami s tehnologijo BitLocker v skupni rabi, bodo pooblaščeni uporabniki lahko komunicirali s takšnimi datotekami tako enostavno, kot če na računalniku tega uporabnika ne bi bilo šifriranja. Poleg tega, če se datoteke na šifriranem disku prekopirajo v drug računalnik ali na nešifriran disk, bodo te datoteke samodejno dešifrirane.

V naslednjih razdelkih se boste naučili, kako šifrirati sistem in sekundarne particije na prenosnem računalniku brez TPM z operacijskim sistemom Windows 7.

Omogočite šifriranje BitLocker za sistemsko particijo

Omogočanje šifriranja pogona BitLocker na sistemski particiji v računalniku, ki ni del domene, ni nič zapletenega. Pred šifriranjem sistemskega diska mislim, da morate biti pozorni na dejstvo, da so na prenosnem računalniku, na katerem bodo diski šifrirani, ustvarjene tri particije, pri čemer morata biti prvi dve šifrirani:

riž. 1. Windows Explorer na prenosniku, na katerem bodo diski šifrirani

Za šifriranje sistemske particije sledite tem korakom:

1. Prvič, ker prenosni računalnik v tem primeru, na katerem bodo šifrirani pogoni, nima TPM, je priporočljivo izvesti nekaj predhodnih korakov. Zaponko morate odpreti "Urejevalnik pravilnika lokalne skupine" in pojdite na Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives. Tukaj lahko najdete šest različnih nastavitev pravilnika. Ker je bilo prej omenjeno, da ta prenosnik ni opremljen z modulom TPM, se morate pred nalaganjem operacijskega sistema prepričati, da uporabljate pogon USB, ki vsebuje poseben ključ, namenjen potrditvi pristnosti in poznejšemu zagonu sistema. Nastavitev pravilnika, uporabljena za izvedbo te operacije, je "Zahtevana dodatna avtentikacija ob zagonu". V pogovornem oknu lastnosti za to nastavitev pravilnika preverite možnosti "Dovoli BitLocker brez združljivega TPM". V tem primeru, ker je to edina možnost, ki nas lahko zanima pri šifriranju diska v delovni skupini, shranite narejene spremembe. Pogovorno okno lastnosti za to nastavitev pravilnika je prikazano na naslednji sliki:



riž. 2. Zahtevaj dodatno avtentikacijo ob zagonu Pogovorno okno Lastnosti nastavitve pravilnika

Za upravljanje tehnologije BitLocker je na voljo veliko različnih nastavitev pravilnika skupine. O teh možnostih bomo podrobneje razpravljali v prihodnjem članku o tehnologiji BitLocker.

2. Odprto "Nadzorna plošča", pojdite na kategorijo "Sistem in varnost" in nato izberite "Šifriranje pogona BitLocker";
3. V oknu nadzorne plošče, ki se prikaže, izberite sistemsko particijo in nato kliknite povezavo "Omogoči BitLocker". Vredno je biti pozoren na dejstvo, da lahko particijo šifrirate le, če se nahaja na osnovnem disku. Če ste ustvarili particije na dinamičnem disku, morate pred šifriranjem disk pretvoriti iz dinamičnega v osnovni. Naslednja slika prikazuje okno "Šifriranje pogona BitLocker":



riž. 3. Okno nadzorne plošče BitLocker Drive Encryption

4. Ko preverite konfiguracijo vašega računalnika, lahko na prvi strani čarovnika za šifriranje pogona BitLocker določite različne možnosti zagona. Toda ker moj prenosni računalnik nima TPM in je bila nastavitev pravilnika skupine spremenjena tako, da omogoča šifriranje BitLocker na strojni opremi, ki ne podpira TPM, lahko izberem samo "Vprašaj po ključu ob zagonu". Prva stran čarovnika je prikazana spodaj:



riž. 4. Možnost zagona čarovnika za šifriranje pogona BitLocker

5. Na strani "Shrani zagonski ključ" V čarovniku za šifriranje pogona BitLocker morate v računalnik priključiti bliskovni pogon in ga nato izbrati na seznamu. Ko izberete pogon, kliknite na gumb "Shrani";
6. Na tretji strani čarovnika boste morali določiti lokacijo za obnovitveni ključ. Obnovitveni ključ je majhna besedilna datoteka, ki vsebuje nekaj navodil, oznako pogona, ID gesla in 48-mestni obnovitveni ključ. Ne smemo pozabiti, da se ta ključ od zagonskega ključa razlikuje po tem, da se uporablja za dostop do podatkov v primerih, ko do njih ni mogoče dostopati na noben drug način. Izberete lahko eno od naslednjih treh možnosti: shranite ključ za obnovitev na bliskovni pogon USB, shranite ključ za obnovitev v datoteko oz ključ za obnovitev tiskanja. Upoštevajte, da morate pri izbiri prve možnosti ključe za obnovitev in zagon shraniti na različne bliskovne pogone. Ker je priporočljivo shraniti več obnovitvenih ključev in na računalnikih, ki niso šifrirani, je bil v mojem primeru obnovitveni ključ shranjen v omrežni mapi na enem od mojih strežnikov, pa tudi na HP-jevem pogonu v oblaku. Zdaj bo vsebina obnovitvenega ključa znana le meni in HP-ju, čeprav nas najverjetneje prepričujejo o popolni zaupnosti informacij. Če natisnete obnovitveni ključ, Microsoft priporoča, da dokument shranite v zaklenjenem sefu. Priporočam, da si le zapomnite teh 48 številk in po branju dokumenta le zažgete :). Stran "Kako shraniti ključ za obnovitev?"Čarovnik za šifriranje BitLocker je prikazan na naslednji sliki:



riž. 5. Shranjevanje obnovitvenega ključa za podatke, šifrirane z BitLockerjem

7. To je zadnja stran čarovnika za šifriranje pogona, ker lahko na tej točki zaženete sistemsko preverjanje BitLocker, da zagotovite, da lahko po potrebi preprosto uporabite obnovitveni ključ. Za dokončanje preverjanja sistema boste pozvani, da znova zaženete računalnik. Načeloma ta korak ni obvezen, vendar je vseeno priporočljivo opraviti ta pregled. Spodaj si lahko ogledate zadnjo stran čarovnika:



riž. 6. Zadnja stran čarovnika za šifriranje diska

8. Takoj po preskusu POST boste pozvani, da vstavite bliskovni pogon z zagonskim ključem za zagon operacijskega sistema. Ko se računalnik znova zažene in BitLocker ve, da po šifriranju ne bo prišlo do nepredvidenih okoliščin, se bo začel sam postopek šifriranja diska. To boste vedeli po ikoni, prikazani v območju za obvestila, ali če greste v okno "Šifriranje pogona BitLocker" z nadzorne plošče. Sam proces šifriranja teče v ozadju, kar pomeni, da boste med šifriranjem lahko nadaljevali z delom na računalniku, vendar bo BitLocker intenzivno uporabljal procesorske vire in prosti prostor na šifriranem disku. Če želite videti, kolikšen odstotek vašega pogona je že šifriran, poiščite ikono v območju za obvestila "Šifriranje %volumena_name% z uporabo šifriranja pogona BitLocker" in dvakrat kliknite nanj. Ikona obvestila BitLocker in pogovorno okno "Šifriranje pogona BitLocker" prikazano spodaj:



riž. 7. Izvedite šifriranje

9. Ko se postopek šifriranja pogona BitLocker zaključi, boste obveščeni, da se je šifriranje pogona, ki ste ga izbrali, uspešno zaključilo. To pogovorno okno si lahko ogledate spodaj:





riž. 8. Dokončanje šifriranja pogona BitLocker

Za tiste, ki prvič šifrirate disk, želim opozoriti, da se ta postopek ne izvede takoj in sem na primer potreboval 70 minut, da sem šifriral sistemski disk s kapaciteto 75 gigabajtov.

Zdaj, kot lahko vidite na naslednji sliki, je v Raziskovalcu Windows na ikoni sistemske particije ključavnica, kar pomeni, da je ta particija šifrirana s tehnologijo BitLocker:

riž. 9. Windows Explorer s šifrirano sistemsko particijo

Zaključek

V tem članku ste izvedeli, kako šifrirati pogon s tehnologijo BitLocker. Obravnavan je postopek priprave na šifriranje in samega šifriranja diska z grafičnim vmesnikom. Ker sem na začetku članka navedel, da bosta na tem prenosniku šifrirana dva pogona, boste v naslednjem članku izvedeli, kako lahko šifrirate pogon s tehnologijo BitLocker s pripomočkom ukazne vrstice upravlja-dbe .