Faq управления ключами bitlocker

Как зашифровать диск с помощью BitLocker без перезапуска системы

По умолчанию Windows автоматически разблокирует диск после входа в учетную запись. Если эта функция отключена, тогда попробуйте снять защиту с диска вручную. Мы покажем вам, как это сделать самостоятельно.

Способ шифрования диска

Часть 1. Как зашифровать диск

Прежде чем ставить пароль на накопитель, убедитесь, что функция автоматической блокировки отключена. После завершения работы диск автоматически зашифруется.

Если вы хотите заблокировать диск самостоятельно, то должны сделать это с помощью «Командной строки»:

  1. Откройте командную строку с правами администратора.

  2. Введите следующую команду и нажмите «Enter».

Закройте «Командную строку». С этого момента ваш диск надежно защищен, поэтому вы не можете получить к нему доступ без указанного пароля.

Часть 2. Как разблокировать диск

Снять защиту с диска намного проще, чем поставить на него пароль. Следуйте этим шагам:

  1. Откройте «Проводник» и щелкните правой кнопкой мыши, выбрав зашифрованный диск. В контекстном меню найдите «Управление BitLocker».

  2. В правом верхнем углу вы увидите всплывающее окно, запрашивающее пароль от BitLocker. Введите его и нажмите «Разблокировать».

Теперь защита снята, и вы можете получить доступ к файлам, хранящимся на диске.

Конечно, вы также можете разблокировать диск с помощью командной строки.

  1. Откройте «Командную строку».

  2. Просто введите эту команду «manage-bde -unlock d: -password» и нажмите «Enter».

  3. При появлении запроса введите пароль и нажмите «Enter». BitLocker сразу откроет ваш диск.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь. Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Аутентификация в агенте. Создание временного пароля для доступа к зашифрованному жесткому диску

Kaspersky Endpoint Security 10 для Windows формирует временный пароль для каждого пользователя согласно политике паролей для Агента аутентификации. Далее пароль отправляется на Сервер администрирования.

Чтобы получить временный пароль:

  1. Запросите пароль у администратора для получения доступа к зашифрованному жесткому диску.
  2. Откройте Kaspersky Security Center 10. 
  3. Перейдите в Управляемые устройства. 
  4. Откройте свойства рабочей станции и перейдите в Задачи.
  5. Выберите Шифрование данных (управление учетными записями) в списке задач и откройте ее Свойства.
  6. Перейдите в Параметры.
  7. Откройте необходимую учетную запись.

  1. Установите флажок Показать начальный пароль. 

В строке отобразится временный пароль для Агента аутентификации. После этого администратор сообщает временный пароль пользователю.

  1. Выполните аутентификацию в агенте при следующей загрузке или выводе системы из гибернации. В случае необходимости измените временный пароль.

Если до шифрования жесткого диска вы не выполняли вход в операционную систему под учетной записью, например, Kav4isa\user2, то для этой учетной записи не будет создан пароль для Агента аутентификации. В этом случае добавьте свою учетную запись в задачу Шифрование данных (управление учетными записями) и задайте для нее пароль.

Как поставить пароль на флешку в BitLocker

В процессе создания зашифрованной флешки в BitLocker, необходимо выполнить следующие шаги:

Сначала необходимо вставить в USB порт компьютера переносной флеш накопитель, с данными требующими защиты от посторонних лиц.

Запустите средство BitLocker из контекстного меню. В окне Проводника кликните правой кнопкой мыши по значку флешки, в открывшемся меню выберите «Включить BitLocker».

Во время запуска приложения выполняется инициализация диска (флешки).

Не вытаскивайте флешку из разъема на компьютере во время установки BitLocker.

В следующем окне выберите способы для разблокировки диска. В BitLocker предлагается два способа для получения доступа к данным на зашифрованной флешке:

  • Использовать пароль для снятия блокировки диска.
  • Использовать смарт-карту для снятия блокировки с диска.

В первом случае, необходимо создать пароль для снятия блокировки с флешки (пароль должен состоять из прописных и строчных букв, цифр, пробелов и символов). Второй вариант предусматривает использование дополнительного устройства: смарт-карты с ПИН-кодом. В большинстве случаев, предпочтительнее выбрать первый вариант.

Поставьте галку напротив пункта «Использовать пароль для снятия блокировки диска», введите пароль, подтвердите пароль, а затем нажмите на кнопку «Далее».

Пароль должен иметь минимальную длину не менее 8 символов.

Далее нужно выбрать способ для архивирования ключа восстановления. Ключ восстановления пригодится в случае, если вы забудете свой пароль или потеряете смарт-карту. С помощью ключа восстановления вы сможете разблокировать флешку.

Выберите один из трех возможных вариантов:

  • Сохранить в вашу учетную запись — ключ восстановления будет сохранен в учетной записи.
  • Сохранить в файл — ключ восстановления будет сохранен в текстовом файле на компьютере.
  • Напечатать ключ восстановления — ключ восстановления будет напечатан на бумаге.

После сохранения ключа восстановления, перейдите к следующему этапу.

В открывшемся окне следует выбрать, какую часть диска требуется зашифровать:

  • Шифровать только занятое место на диске.
  • Шифровать весь диск.

В первом случае, будет зашифрована только та часть флешки, которая содержит данные. Новые данные, добавленные на флешку, будут зашифрованы автоматически. При этом способе процесс шифрования проходит быстрее.

При шифровании всего диска, кроме занятого места, будет зашифровано неиспользуемое пространство флешки. Это более надежный способ защиты флешки, так как он делает невозможным восстановление ранее удаленных файлов на USB накопителе, с помощью специализированных программ, например, Recuva. При выборе данного варианта, процесс шифрования займет больше времени.

Выберите подходящий способ, нажмите на кнопку «Далее».

Если вы ставите пароль на флешку в операционной системе Windows 10, вам предложат выбрать режим шифрования:

  • Новый режим шифрования — шифрование несъемных дисков в новом режиме, начиная с обновления Windows 10 версии 1511.
  • Режим совместимости — оптимальный режим для съемных носителей, используемый в разных версиях Windows.

Выберите «Режим совместимости», а затем перейдите к следующему этапу.

В новом окне нажмите на кнопку «Начать шифрование».

Процесс шифрования занимает довольно длительное время, продолжительность шифрования зависит от размера флешки, или от размера шифруемых файлов на флешке (при выборе соответствующей опции).

Во избежание повреждения файлов на флешке, не удаляйте съемный накопитель с компьютера во время процесса шифрования.

После завершения шифрования, на компьютере появится запароленная флешка.

BitLocker – встроенное шифрование дисков в Windows

BitLocker — это системная утилита, обеспечивающая полное шифрование выбранного логического тома. Впервые решение было представлено в 2007 году вместе с релизом операционной системы Windows Vista. Помимо основной функции (шифрование), BitLocker используется для проверки целостности системных и загрузочных файлов. Мало кто знает, но первым названием программы на этапе разработки было Secure Startup.

Наличие функции шифрования в современных системах зависит от редакции, например, в версии «Windows 10 Home» BitLocker недоступен, он появляется только начиная с версии Pro и выше. Для работы BitLocker требуется как минимум 2 логических тома: один, который нужно зашифровать, и второй – который будет загружать операционную систему (он должен оставаться незашифрованным).

Для активации функции у системного диска (диска C:\) потребуется доверенный платформенный модуль (TPM).

Плюсы:

  • Встроенное системное решение.
  • Шифрование по военному стандарту AES-128 или AES-256.
  • Данные защищаются на всех разделах или на выбранных томах (можно создать зашифрованные съёмные или виртуальные носители).
  • Поддерживается двухфакторная авторизация, включая аппаратные ключи.
  • Простая активация и настройка.
  • Работа в фоне.
  • Для организации защищённого облачного хранилища предоставляется встроенная функция OneDrive («Личный сейф»).

Минусы:

  • Поддерживаются не все аппаратные платформы (сложные требования для организации защищённой архитектуры).
  • Функционал доступен не во всех редакциях ОС Windows.
  • Шифруется только раздел диска целиком (необходимо организовывать отдельный том для целей защиты).
  • Увеличивается нагрузка на процессор и диск.
  • При утере ключа шифрования или пароля от него вы потеряете все зашифрованные файлы.
  • Решение имеет известные уязвимости и может быть взломано (атака с холодной загрузкой, буткит-атаки).

Стоимость

Полностью бесплатное решение.

Шифрование устройств BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

  • После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
  • Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
  • Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.
  • Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:

  • Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Значение: PreventDeviceEncryption равно True (1)
  • Тип: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Примечание

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.

FolderLocker

Если вы не хотите использовать стороннее программное обеспечение, интересной альтернативой от Laptop Mag является создание FolderLocker для защиты паролем папок Windows 10. Сначала это довольно длительный процесс, но как только вы настроите FolderLocker, вы можете легко перетаскивать в него файлы. Автор предупреждает: «… да, файл FolderLocker может быть переработан кем-то, кто понимает процесс, но это не предназначено для того, чтобы не пускать технически подкованных людей, просто любопытных членов семьи, которым вы не доверяете».

Также смотрите: Лучшие бесплатные приложения для шифрования ваших файлов перед загрузкой в ​​облако.

Чтобы шифровать или не шифровать файлы и папки в Windows?

Если у вас есть файлы и / или папки на вашем компьютере, которые содержат конфиденциальную информацию, рекомендуется использовать шифрование, чтобы скрыть эту информацию от посторонних глаз. Шифрование также затруднит, если не сделает невозможным, доступ хакеров к этим данным, если они попадут в чужие руки. Никакое шифрование не может быть взломано на 100 процентов, но если вы не являетесь Банком Америки, попытка сделать это часто просто не стоит усилий или средств преступников. Однако, если вы используете свой компьютер для работы или у других людей есть собственные учетные записи на вашем компьютере, ваши данные уязвимы. Надлежащая практика безопасности и шифрования может помочь защитить ее. 

Шифрование файлов и папок в Windows, которые содержат следующие данные:

  • Налоговые накладные
  • Списки паролей — храните пароли и булавки на отдельном устройстве или используйте менеджер паролей, например LastPass, DashLane или TrueKey (позволяет хранить до 15 паролей)
  • банковская информация
  • Личная информация (PII)
  • Информация о привилегированном работодателе
  • Интеллектуальная собственность

Если вы не хотите, чтобы определенная информация появлялась в Интернете, или уничтожили бы ее, если бы она была на бумажном носителе, скорее всего, эти файлы или папки должны быть зашифрованы..

Имейте в виду: ФБР и АНБ могут потребовать от компаний США передать данные или ключи шифрования по решению суда. Если у вас есть зашифрованные файлы, которые могут содержать незаконные данные или предоставить информацию, чтобы помочь правоохранительным органам в расследовании преступления, закон может заставить вас расшифровать их самостоятельно. Об этом сообщают новости ITGS: «(В 2016 году) суд обязал Пейтсар Бхчаджян из Лос-Анджелеса разблокировать устройство iPhone, используя ее отпечаток пальца. Поскольку хранилище iPhone зашифровано, а устройство было заблокировано Apple Touch ID, это был единственный способ для полиции получить доступ к данным Защита Бхчаджана потребовала защиты 5-й Поправки, но это было отменено судом ».

Изображение для кибер-атаки ноутбука-клавиатуры от Геральта через Pixabay. Лицензировано под CC BY 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.

Будет ли тормозить?

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.

Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.

Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
  2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
  3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
  4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
    К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
    Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
    И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
  5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
    Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Что такое BitLocker

BitLocker (полное название BitLocker Drive Encryption) – это технология шифрования диска, встроенная в операционные системы Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012/R2, Windows 8 и Windows 10.

С помощью BitLocker можно зашифровать полностью весь носитель данных (логический диск, SD-карту, USB-брелок). При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Ключ может храниться в компьютере, в TPM, на USB-устройстве. Можно также сделать копию ключа в свою учетную запись Майкрософт (вот только зачем?). Хранить ключ в TPM можно только на тех компьютерах, где есть чип TPM (Trusted Platform Module). Думаю, это должно быть понятным.

Если на материнской плате есть TPM-чип, тогда ключ может быть прочитан из него или после аутентификации с помощью USB-ключа/смарт-карты или ввода PIN-кода. В самом простом случае можно аутентифицировать пользователя по обычному паролю. Такой способ подойдет, конечно, не Джеймсу Бонду, но большинству обычных пользователей, которые хотят скрыть некоторые свои данные от коллег или родственников.

Вообще, доступны следующие варианты ограничения доступа к диску: TPM, TPM + PIN + USB, TPM + USB, TPM + PIN.

С помощью BitLocker можно зашифровать любой том, в том числе и загрузочный – с которого происходит загрузка Windows. Тогда пароль нужно будет вводить при загрузке (или использовать другие средства аутентификации, например, TPM). Однако я настоятельно не рекомендую этого делать. Во-первых, снижается производительность. На сайте http://technet. microsoft.com сообщают, что обычно снижение производительности составляет 10%, однако в вашем конкретном случае можно ожидать большего «торможения» компьютера, все зависит от его конфигурации. Да и шифровать, по сути, нужно далеко не все данные. Зачем шифровать те же программные файлы? В них нет ничего конфиденциального. Во-вторых, если что-то случится с Windows, боюсь, все может закончиться плачевно – форматированием тома и потерей данных.

Поэтому лучше всего зашифровать отдельный том – отдельный логический диск, внешний USB-диск и т.д. Затем на этот зашифрованный диск поместить все ваши секретные файлы. Также можно установить на этот диск программы, требующие защиты, например клиент-банк. Такой диск вы будете подключать только при необходимости. Дважды щелкнул на значке диска, ввел пароль и получил доступ к данным – будет именно такой принцип работы с зашифрованным диском.

Работа с Linux: защита винчестера

Шифрование диска в Linux — процесс схожий. Тут, конечно, существуют несколько способов. Например, можно использовать программу TrueCrypt. Настраивать ее нужно точно так же, как и VeraCrypt. У них даже похожий интерфейс, поскольку TrueCrypt стал основой для создания VeraCrypt.

Также можно использовать защиту с помощью LUKS. Эта технология является стандартной для шифрования винчестера в системе Linux. Работать нужно с командами.

Если вы никогда не пользовались ими, то придется все-таки делать это с помощью программы, поскольку для командной строки необходимо знать особые команды.

Как настроить BitLocker шифрование жесткого диска или внешнего USB диска в Windows

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике: https://hetmanrecovery.com/ru/recovery_news/how-to-configure-bitLocker-encryption-of-the-hard-disk-drive-or-an-external-usb-drive-in-windows.htm

Читайте, как защитить жесткий или внешний диск от доступа к нему посторонних зашифровав его. Как настроить и использовать встроенную функцию Windows — BitLocker шифрование. Операционная система позволяет шифровать локальные диски и съемные устройства с помощью встроенной программы-шифровальщика BitLocker. Когда команда TrueCrypt неожиданно закрыла проект, они рекомендовали своим пользователям перейти на BitLocker.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен

Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Выводы и рекомендации

Причины для шифрования отдельных или всех хранимых на ПК данных у каждого свои. Кто-то хранит на диске персональные данные клиентов, кто-то переживает за сохранность личных фотографий, кто-то не хочет, чтобы к его электронному кошельку получили доступ посторонние лица, и т.д. Решение всех этих проблем одно – защищённое хранилище. Мы не рекомендуем доверять свои секреты устаревшим и заброшенным проектам.

Особняком также должны стоять интегрированные решения от разработчиков операционных систем (их код закрыт, они имеют миллиардную аудиторию, кто даст гарантию, что в ПО для шифрования не встроен бэкдор для спецслужб?). Оптимальное решение – довериться платным сервисам, которые специализируются исключительно на кибербезопасности, таким как NordLocker.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Радио и техника
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: