Introducere Astăzi este deja dificil să găsiți o organizație care să nu se gândească la necesitatea de a cripta hard disk-urile computerelor mobile. În acest scop, a fost deja creat un număr mare de instrumente software diferite. Cu toate acestea, acum instrumentul de criptare va fi livrat împreună cu noul sistem de operare de la Microsoft - Windows Vista. Această caracteristică, inclusă în sistemul de operare, nu poate provoca un număr mare de litigii.
Împreună cu cipul TPM (Trusted Platform Module), care este instalat pe placa de bază, BitLocker criptează întreaga unitate hard disk a computerului. În același timp, se utilizează modelul clasic de autentificare cu două factori (parola stocată în TRM și codul PIN pentru accesul la cip). O astfel de schemă este destul de rezistentă la efracție, deși în viitor vor exista, fără îndoială, atacuri asupra codului PIN prin simpla enumerare (metoda forței brute).
Principiul BitLocker ™ Drive Encryption este destul de simplu. Acest software este un mecanism de criptare prin algoritmul Advanced Encryption Standard (AES) cu cheie de 128 sau 256 de biți. Acest software este integrat cu TPM versiunea 1.2. Cu toate acestea, acest software poate fi folosit pe computere care nu sunt echipate cu TPM, însă trebuie să utilizați memoria USB sau o parolă de recuperare pentru a accesa sistemul. Dar în acest caz, gradul de securitate va depinde în primul rând de utilizator. Este vorba despre această versiune de BitLocker (fără TPM) pe care o vom examina în acest articol.
Instalarea BitLocker Pentru a instala BitLocker, trebuie să partiționăm hard diskul în conformitate cu cerințele propuse, și anume:
1. Creați o nouă secțiune primară cu o lungime de 1,5 GB
2. Desemnați această partiție activă
3. Creați o altă partiție primară din spațiul de pe discul rămas
4. Formatați ambele partiții utilizând NTFS
5. Instalați Windows Vista pe majoritatea partițiilor.
Pentru a face acest lucru aveți nevoie de:
1. Descărcați calculatorul folosind DVD-ul de instalare Windows Vista
2. În ecranul de instalare, selectați limba de instalare
3. Apoi, selectați Opțiuni de recuperare sistem
4. În fereastra Opțiuni de recuperare sistem, asigurați-vă că sistemul de operare nu este selectat. Pentru aceasta, selectați o zonă goală din lista sistemelor de operare și apoi faceți clic pe Următorul.
5. Apoi, selectați Command Promt și folosiți utilitarul diskpart pentru a crea partiția. Pentru aceasta, tastați linia de comandă diskpart
6. Selectați discul 0 (selectați disc0)
7. Utilizați comanda curată pentru a elimina partițiile existente de pe disc
8. creați dimensiunea primară a partiției = 1500. Creați prima partiție de pe disc și alocați-o primului
9. alocați litera = D atribuiți literei D acestei secțiuni
10. activa activează această partiție activă
11. asignați litera = C atribuiți litera C acestei secțiuni
13. Faceți clic pe Ieșire pentru a ieși din utilitarul diskpart.
14. Formatați partiția C format c: / y / q / fs: NTFS
15. Formatați partiția D format d: / y / q / fs: NTFS
17. În fereastra Opțiuni de recuperare sistem, apăsați Alt + F4 pentru a reveni la fereastra principală de instalare
18. Instalați Windows Vista pe majoritatea partițiilor
Cu toate acestea, dacă credeți că în acest stadiu pregătirea pentru instalare este finalizată, atunci ar trebui să rețineți că tocmai am ajuns la mijloc.
Pentru a instala BitLocker pe un computer care nu este echipat cu TPM sau echipat cu un TPM cu versiunea de mai jos, trebuie să efectuați mai multe acțiuni cu ajutorul politicilor de grup.
1. Trebuie să selectați Start și să tastați gpedit.msc în rândul Start căutare, apoi apăsați Enter
2. În Editorul de obiecte pentru politica de grup, selectați Șabloane de administrare a politicii computerelor locale-Componente Windows-BitLocker Drive Encryption (Figura 1)
Figura 1 Editor de politici de grup
3. Faceți dublu clic pe Configurarea panoului de control: Activați opțiunile de pornire avansate
4. Selectați Activat, apoi selectați Permiteți BitLocker fără un TPM compatibil (Figura 2)
Figura 2 Configurarea panoului de control: Activați opțiunile avansate de pornire
5. Închideți Editorul de obiecte pentru politica de grup. Pentru a aplica modificările politicii de grup, faceți clic pe Start și tastați gpupdate.exe / force în linia Start search. Așteptați până când se aplică politica de grup. (Figura 3)
Figura 3 Aplicarea politicilor de grup
6. Pentru a deschide criptarea unității BitLocker, activați Activarea BitLocker
7. În pagina Setări de pornire pentru setarea BitLocker, faceți clic pe Solicitare pornire USB la fiecare pornire. Această opțiune este disponibilă numai în absența TRM. Cheia USB trebuie introdusă de fiecare dată când porniți computerul. (Figura 4)
Figura 4 Setarea preferințelor de pornire BitLocker
8. În dialogul Save Your Startup Key, specificați unitatea flash USB ca locație de stocare pentru cheia dvs. și faceți clic pe Save.
9. În pagina Salvare parolă de recuperare, efectuați următoarele (Figura 5):
a. Salvați parola pe o unitate USB Salvați parola de recuperare într-un fișier text de pe o unitate flash USB
b. Salvați parola într-un dosar Salvați parola de recuperare într-un fișier text de pe alt dispozitiv, în rețea sau nu.
c. Imprimați parola de recuperare a parolei
Figura 5 Salvați parola de recuperare
Parola de recuperare trebuie stocată într-un loc sigur pentru a evita compromiterea acesteia.
10. În pagina Criptare a volumului discului selectat, selectați Run BitLocker System Check și apoi faceți clic pe Continue. După aceea, trebuie să reporniți computerul pentru a verifica dacă computerul este compatibil cu BitLocker și apoi să începeți procesul de criptare. (Figura 6)
Figura 6 Criptați pagina de volum a discului selectată
11. Dacă cecul are succes, veți vedea linia de status Criptare în Progres. După terminarea acestei proceduri, discul dvs. va fi criptat.
Recuperarea datelor criptate cu BitLocker
Recuperarea datelor poate fi necesară în următoarele situații:
• Eroare la citirea TRM
• Modificarea înregistrării Boot
• TPM este oprit și computerul este oprit
• Conținutul TPM este șters și calculatorul este oprit
Dacă computerul este blocat, procesul de recuperare va fi foarte simplu, deoarece sistemul de operare funcționează deja. Puteți recupera o parolă sau scris-o de pe celălalt transportator pe care anterior au salvat pe o unitate flash USB sau cu ajutorul tastelor funcționale F1-F10, în care F1-F9 corespund numerelor 1-9, și F10 - 0.
Procesul de recuperare implică două etape:
• Testarea datelor recuperate;
• Restaurați accesul la date criptate cu BitLocker Drive Encryption
Testarea datelor recuperabile
Când reporniți computerul, veți avea nevoie de o parolă de recuperare, deoarece configurația de pornire sa modificat de când ați criptat unitatea.
1. Faceți clic pe Start - Toate programele - Accesorii - Run;
2. Pentru a porni Consola de administrare TPM, tastați tpm.msc în fereastra care se deschide;
3. În rândul Acțiuni, selectați Opriți TPM dezactivat;
4. Dacă este necesar, introduceți PIN-ul TPM;
5. Închideți toate ferestrele;
6. Dacă unitatea flash USB care conține parola de recuperare este conectată la computer, utilizați Software-ul de siguranță pentru a elimina în siguranță discul de pe computer;
7. Opriți apoi computerul.
Restaurați accesul la date criptate cu BitLocker Drive Encryption
1. Porniți computerul
2. Dacă computerul este blocat, apare fereastra Consolei de recuperare pentru criptarea unității BitLocker.
3. Vi se va solicita să introduceți un disc flash USB care conține parola de recuperare:
a. Dacă aveți o unitate flash USB care conține parola de recuperare, lipiți-o și apăsați pe Esc. Calculatorul dvs. va fi repornit automat și nu este necesar să introduceți manual parola de recuperare;
b. Dacă nu aveți o unitate flash USB care conține parola de recuperare, apăsați Enter.
c. Vi se va solicita să introduceți manual parola de recuperare.
d. Dacă cunoașteți parola de recuperare, tastați-o manual și apăsați Enter.
e. Dacă nu cunoașteți parola de recuperare, apăsați pe Enter de două ori și închideți computerul
f. Dacă ați salvat parola de recuperare într-un fișier care se află într-un dosar, pe un alt computer sau pe un suport amovibil, puteți utiliza un alt computer pentru a citi fișierul care conține parola. Pentru a afla numele fișierului care conține parola, notați ID-ul parolei pe afișajul consolei de recuperare de pe computerul blocat. Fișierul care conține cheia de recuperare folosește acest identificator ca nume de fișier.
Dezactivează criptarea unității BitLocker
Această procedură este aceeași pentru computerele echipate cu TPM și pentru computerele fără TPM.
Când dezactivați BitLocker, puteți alege fie să dezactivați temporar BitLocker, fie să decriptați întregul disc. Dezactivarea BitLocker vă permite să înlocuiți TPM sau să efectuați o actualizare a sistemului de operare. Dacă vă decideți să decriptați întregul disc, apoi pentru a re-cripta, va trebui să re-generați chei noi și să repetați din nou procesul de criptare.
Pentru a dezactiva BitLocker, trebuie să faceți următoarele:
1. Start - Panou de control - Securitate - Criptare unitate BitLocker
2. În pagina Criptare unitate BitLocker, găsiți volumul pe care doriți să dezactivați criptarea unității BitLocker și selectați Dezactivare criptare unitate BitLocker.
3. În caseta de dialog Ce nivel de decriptare doriți, selectați Dezactivați criptarea unității BitLocker sau Decodificați volumul
4. La sfârșitul acestei proceduri, dezactivați criptarea unității BitLocker sau decriptați volumul.
Utilizarea BitLocker Așa cum se arată puține cercetări, BitLocker folosesc procedura este foarte transparentă, dar foarte utilizarea ridică o mulțime de întrebări, variind de la tipul standard-poliție, și că este în cazul în care iau acest proces pe infractori înarmați, pentru că atunci poliția nu va fi capabil de a citi conținutul de pe hard disk-uri lor și la stocarea mai severe de chei de criptare.
Aș dori să vorbesc despre asta în detaliu.
Stocarea chei cu ajutorul TPM Dacă criptarea de stocare, folosind problemele de cod PIN TPM și nu cauzează cheile (de fapt, avem doi factori de autentificare), aici, în cazul stocării cheilor în TPM fără îndoială cod PIT. Descărcam un computer care nu ne cere nimic de la noi. Ie în cazul în care computerul dvs. ajunge în mâinile unui atacator, acesta poate folosi computerul aproape ca și cum nu ar fi fost criptat deloc. Singurul lucru cu această versiune de chei de criptare de stocare pentru a proteja, deci de la citirea neautorizată a datelor în cazul introducerii în repararea hard disk (nu calculatorul în sine) și informații de la compromiterea în caz de furt de hard disk (nu calculatorul în sine). Este clar că securitatea sporită a unui astfel de regim este numită dificilă.
Stocare chei USB-disc În acest caz, avem un USB-drive, înstrăinat de proprietar, iar din moment ce este necesar doar în momentul începerii sistemului, utilizatorul este suprapusă pe mai multe responsabilități pentru stocarea dispozitivului.
În cazul în care utilizatorul a salvat parola propusă pe discul USB în timpul dialogului, atunci pe disc avem două fișiere. Unul, ascuns, cu extensia BEK, iar al doilea - un fișier text.
Conținutul fișierului text:
Parola de recuperare este utilizată pentru a recupera datele de pe o unitate protejată BitLocker.
Pentru a verifica dacă aceasta este parola corectă de recuperare.
Din păcate, majoritatea utilizatorilor nu se vor gândi la faptul că acest fișier text trebuie șters de pe discul USB, imprimându-l mai întâi.
Avem nevoie de o unitate USB numai la începutul sistemului, prin urmare, un script este posibil atunci când utilizatorul părăsește unitatea flash în computer și pleacă, de exemplu, să fumeze. Ce împiedică vecinul său să ia această unitate flash, rescriind fișierele necesare (sau imprimând apoi un fișier text) și folosind aceste cunoștințe cu intenții rău intenționate? Nimeni! Mai mult decât atât, deoarece nu există nici o logare a unui astfel de proces (nu există nici un nume sau un cod PIN), va fi foarte dificil să se demonstreze utilizarea ilegală. S-ar putea să fiu obiecționat că numai codul BitLocker este foarte mic. Sunt de acord. Cu toate acestea, deoarece utilizarea sa inspiră utilizatorul cu un sentiment de securitate falsă, este probabil că în acest caz utilizatorul va fi mai puțin strictă în alegerea unei parole.
Da, ai dreptate, sunt doar ipoteze. Cu toate acestea, aceste ipoteze au dreptul la viață, prin urmare, ele nu pot fi reduse.
Desigur, trebuie să utilizați BitLocker. Cu toate acestea, în opinia mea, cea mai acceptabilă variantă a utilizării sale este utilizarea acestui software pe calculatoarele echipate cu versiunea TRM nu mai mică de 1,2 în combinație cu codul PIN.
Discutați pe forum (0)
Trimiteți-le prietenilor: