Bitlocker unitate de criptare, ferestre-l pro

Înregistrarea conferinței

Caracteristica nouă a Windows Vista oferă criptarea întregului disc

Împreună cu TPM bazat pe hardware (Trusted Platform Module), care este instalat pe placa de bază, funcția BitLocker criptează întreaga unitate hard disk a computerului. În acest caz, se utilizează modelul clasic de autentificare cu două factori (parola stocată în TPM și codul PIN pentru accesul la cip). Un astfel de sistem este destul de rezistent la efracție, deși, desigur, atacurile asupra codului PIN sunt posibile prin metoda forței brute simple (forța bruta).







Principiul BitLocker Drive Encryption se bazează pe mecanismul de criptare Advanced Encryption Standard (AES) cu o cheie de 128 biți sau 256 de biți. Acest software este integrat cu TPM versiunea 1.2 sau o versiune ulterioară. Cu toate acestea, acest software poate fi folosit pe computere care nu sunt echipate cu TPM, însă trebuie să utilizați dispozitive de stocare USB sau o parolă de recuperare pentru a accesa sistemul. Dar în acest caz, gradul de securitate va depinde în primul rând de utilizator. Este această versiune de BitLocker (fără TPM) pe care o vom lua în considerare în acest articol.

Pregătirea

Pentru a instala BitLocker, trebuie să partiționăm hard diskul în conformitate cu cerințele propuse, și anume:

  1. Creați o nouă partiție primară de 1,5 GB.
  2. Faceți această partiție activă.
  3. Creați o altă partiție primară în spațiul rămas de pe hard disk.
  4. Formatați ambele partiții utilizând NTFS.
  5. Instalați Windows Vista pe majoritatea partițiilor.

Pentru a finaliza toți acești pași, trebuie mai întâi să porniți computerul utilizând DVD-ul de instalare cu fișiere Windows Vista. În ecranul de instalare, selectați limba și faceți clic pe Opțiuni de recuperare sistem. În fereastra Opțiuni de recuperare sistem, asigurați-vă că nu este selectată caseta de selectare pentru sistemul de operare. Pentru a face acest lucru, selectați o zonă goală din lista sistemelor de operare și faceți clic pe Următorul. Apoi, trebuie să executați linia de comandă și să folosiți utilitarul diskpart pentru a crea partiția. Pentru aceasta, tastați discpart în linia de comandă, selectați discul 0 (selectați disc0) și tastați curat pentru a elimina partițiile existente de pe disc. Apoi specificăm următoarele setări:

  • creați dimensiunea primară a partiției = 1500. Creați prima partiție de pe disc și alocați-o primar;
  • asignați litera = D. Atribuiți litera D acestei secțiuni;
  • activă. Facem această secțiune activă;
  • asignați litera = C. Atribuiți litera C acestei secțiuni;
  • listă volum. Verificăm toate partițiile de pe disc.

Apoi tastați Exit pentru a ieși din utilitarul diskpart și efectuați formatarea partițiilor C și D:

format c: / y / q / fs: format NTFS d: / y / q / fs: NTFS

Acum, în fereastra Opțiuni de recuperare a sistemului, trebuie să apăsați Alt + F4 pentru a reveni la fereastra principală a programului de instalare și rămâne doar să instalați Windows Vista pe majoritatea partițiilor.

După efectuarea instalării Windows Vista, etapa de pregătire pentru lansarea funcției de criptare nu este finalizată, am ajuns doar la mijlocul acestei proceduri.

Instalarea BitLocker

Bitlocker unitate de criptare, ferestre-l pro

Pentru a instala BitLocker pe un computer care nu este echipat cu TPM sau TPM echipat cu versiunea de mai jos, trebuie să efectuați câteva acțiuni suplimentare cu ajutorul politicilor de grup:
  1. Faceți clic pe butonul Start și tastați gpedit.msc în rândul Start căutare, apoi apăsați Enter.
  2. În Editorul de obiecte pentru politica de grup, specificați Șabloane de administrare a politicii computerelor locale - Componente Windows - Criptare unitate BitLocker (consultați ecranul 1).
  3. Faceți dublu clic pe Configurarea panoului de control: Activați opțiunile de pornire avansate.
  4. Selectați modul Activat, apoi bifați caseta de selectare Permiteți BitLocker fără o casetă TPM compatibilă (consultați ecranul 2).
  5. Închideți Editorul de obiecte pentru politica de grup. Pentru a modifica politica de grup, faceți clic pe Start și tastați gpupdate.exe / force în linia Start search. Acum ar trebui să așteptați finalizarea procesului de aplicare a politicilor de grup (a se vedea ecranul 3).

Bitlocker unitate de criptare, ferestre-l pro

Apoi, pentru a porni expertul BitLocker Drive Encryption Wizard, specificați Turn On BitLocker. Pe pagina Setări preferințe de pornire pentru BitLocker, selectați Chesare USB de pornire la fiecare pornire. Această opțiune este disponibilă numai în absența TRM. Tasta USB trebuie să fie introdusă de fiecare dată când cizmele computerului (vezi ecranul 4). În caseta de dialog Salvați cheia de pornire, trebuie să specificați spațiul de stocare USB ca locație de stocare pentru cheie și faceți clic pe Salvați. În pagina Salvare parolă de recuperare, puteți efectua următoarele acțiuni (consultați ecranul 5):





  1. Salvați parola pe o unitate USB - salvați parola de recuperare într-un fișier text de pe o unitate USB.
  2. Salvați parola într-un dosar - salvați parola de recuperare într-un fișier text pe un alt dispozitiv sau într-un dosar de rețea.
  3. Imprimați parola - imprimați parola de recuperare.

Bitlocker unitate de criptare, ferestre-l pro

Important! Parola de recuperare trebuie stocată într-un loc sigur.

În pagina Criptați volumul discului selectat, bifați Run BitLocker System Check și faceți clic pe Continue.

Bitlocker unitate de criptare, ferestre-l pro

După aceasta, trebuie să reporniți computerul pentru a vă asigura că BitLocker rulează și apoi puteți porni procesul de criptare (ecranul 6). Dacă cecul are succes, va apărea linia de stare Criptare în Progres. După terminarea acestei proceduri, discul va fi criptat.

Restaurați accesul la date criptate

Reportarea accesului la date criptate poate fi necesară în următoarele cazuri:

  • a apărut o eroare la citirea TRM;
  • Înregistrarea de încărcare este modificată, astfel că TPM nu permite continuarea descărcării; nu există acces la date criptate;
  • conținutul TPM este șters și calculatorul este oprit.

Bitlocker unitate de criptare, ferestre-l pro

Dacă sistemul de operare este blocat, procesul de restabilire a accesului va fi foarte simplu, deoarece sistemul de operare funcționează deja. Este posibil să se recupereze parola sau scris-un alt mediu, în care a fost stocat anterior pe USB-drive, sau prin utilizarea tastelor funcționale F1-F10, în care F1-F9 corespund numerelor 1-9, și F10 - 0.

Restaurați accesul la date criptate cu BitLocker Drive Encryption.

  1. Porniți computerul.
  2. Dacă sistemul este blocat, apare Consola de recuperare pentru criptarea unității BitLocker. Utilizatorul va fi îndemnat să introducă o unitate USB care conține parola de recuperare.
  3. Dacă există o unitate USB care conține parola de recuperare, trebuie să o introduceți și apăsați pe Esc. Computerul se va reporni automat și nu este necesar să introduceți manual parola de recuperare.
  4. Dacă nu există o unitate USB cu o parolă de recuperare, apăsați Enter. Sistemul vă cere să introduceți manual parola de recuperare.
  5. Dacă știți parola de recuperare, trebuie să o introduceți manual și să apăsați Enter.
  6. Dacă nu cunoașteți parola de recuperare, apăsați de două ori tasta Enter și opriți computerul.
  7. Dacă parola de recuperare este salvată într-un fișier care se află într-un folder de pe alt computer sau pe un suport amovibil, puteți utiliza un alt computer pentru a citi fișierul care conține parola.
  8. Pentru a afla numele fișierului care conține parola, trebuie să notați identificatorul parolei care va fi afișat pe monitorul computerului blocat. Acest identificator este numele fișierului care conține cheia de recuperare.

Se dezactivează BitLocker

Bitlocker unitate de criptare, ferestre-l pro

Această procedură este aceeași pentru computerele echipate cu TPM și pentru computerele fără TPM. Când dezactivați BitLocker, puteți să dezactivați temporar BitLocker sau să decriptați întregul disc. Dezactivarea BitLocker vă permite să înlocuiți TPM sau să efectuați o actualizare a sistemului de operare. Dacă administratorul decide să decripteze întregul disc, atunci pentru a-l cripta, va fi necesar să generați chei noi și să repetați întregul proces de criptare.

Pentru a dezactiva BitLocker, trebuie să faceți următoarele:

  1. Selectați StartControl PanelSecurityBitLocker Drive Encryption din meniu.
  2. În pagina Criptare unitate BitLocker, găsiți volumul pe care doriți să dezactivați criptarea unității BitLocker și selectați Dezactivează criptarea unității BitLocker.
  3. În caseta de dialog Ce nivel de decriptare doriți, selectați Dezactivați criptarea unității BitLocker sau Decodificați volumul.

La sfârșitul acestei proceduri, BitLocker Drive Encryption va fi fie dezactivat, fie întregul volum va fi decriptat.

Utilizând BitLocker

Ca studiul nostru mic, procedura pentru utilizarea BitLocker este ușor, dar aplicația în sine creează o mulțime de întrebări, variind de la poliție standard, cum ar fi „iar în cazul în care această procedură va îmbrățișa criminali, pentru că atunci poliția nu va fi capabil de a citi conținutul de pe hard disk-uri lor?“ Pentru mai grave, pentru stocarea cheilor de criptare.

Aș dori să vă spun despre acest lucru în detaliu.

Stocare cheie folosind TRM. În cazul în care stocarea a criptării prin TPM și PIN-cod toate clar (de fapt, avem doi factori de autentificare) chei, atunci se pune întrebarea, în cazul cheilor stocate în TPM PIN-mai puțin. Noi sistem care nu este nimic nu ne-am întreba, t. E. În cazul unui calculator care se încadrează în mâini greșite încărca, el va fi capabil să-l folosească în același mod ca și în cazul în care nu ar fi fost criptate. Singurul lucru cu această versiune de chei de criptare de stocare pentru a proteja, deci de la citirea neautorizată a datelor în cazul introducerii în repararea hard disk (nu calculatorul în sine) și informații de la compromiterea în caz de furt de hard disk (nu calculatorul în sine). Este clar că este destul de dificil să numim un astfel de regim în siguranță.

Memorare cheie pe o unitate USB. În acest caz, avem o unitate USB care este înstrăinată de proprietar și, din moment ce este necesară numai în momentul în care sistemul este pornit, utilizatorul primește și mai multe responsabilități pentru a stoca singur dispozitivul. În cazul în care utilizatorul a salvat parola propusă pe unitatea USB în timpul procedurii de mai sus, atunci pe disc avem două fișiere. Unul ascuns, cu extensia BEK, iar al doilea - un fișier text. Conținutul fișierului text este afișat pe ecran 7.

Din păcate, majoritatea utilizatorilor nu cred că acest fișier text ar trebui pur și simplu să fie șters de pe discul USB după imprimare. Dacă nu se face acest lucru, deoarece avem nevoie doar de o unitate USB în timpul fazei de pornire a sistemului, este posibil un scenariu în care utilizatorul părăsește unitatea USB în computer și își lasă locul de muncă la un moment dat. Recuperarea parolei într-un fișier text este pusă la dispoziția celor din afară. Bineînțeles, știind doar pentru hacking BitLocker nu este suficient, dar în acest caz, pentru a asigura parola de recuperare a parolei, administratorii vor trebui să facă o muncă suplimentară.

Desigur, BitLocker este util și necesar. Cu toate acestea, în opinia mea, cea mai acceptabilă din punctul de vedere al securității opțiunii de utilizare a acestuia este folosirea acestuia pe computerele echipate cu o versiune de chip TPM nu mai mică de 1,2 în combinație cu un cod PIN.

Vladimir Bezmaliy ([email protected]) - Instructor pentru Securitatea Informației al Centrului de Formare "Academia de BMS Consulting", MVP în Windows Security

Distribuiți materialul împreună cu colegii și prietenii







Articole similare

Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: