Как зашифровать данные на компьютере

BitLocker и TPM-модуль

В системах Windows 7 и более поздних версиях, предназначенных для профессионального использования (в версии Pro, Ultimate, Enterprise), встроена функция шифрования разделов, включая системный. Во втором случае операция более сложная и требует нескольких дополнительных процедур, особенно если у вас в компьютере не установлен TPM (Trusted Platform Module), предназначенный для авторизации оборудования.

Первое, что мы должны проверить, имеет ли наш компьютер модуль TPM. Он чаще всего встречается в игровых и бизнес-ноутбуках. Для этого запустите нужную программу через командное окно «Выполнить» (нажмите Win + R), где введите tpm.msc, и подтвердите действие клавишей Enter. В случае отсутствия модуля TPM появится соответствующее сообщение.

Затем в системном поиске вводим фразу BitLocker, что вызовет запуск панели управления этой функцией. Если вы хотите зашифровать несистемный раздел, достаточно установить пароль доступа и все готово. В противном случае (если у нас нет TPM) необходимо в групповой политике активировать опцию «Разрешить использование BitLocker без совместимого TPM» (Подробнее о шифровании без TPM).

Затем нужно вернуться к панели управления и активировать BitLocker для системного раздела, а утилита попросит ввести пароль или вставить USB-носитель, который будет использоваться для авторизации и позволит загрузить операционную систему. Затем следует создать резервную копию ключа, например, в виде файла, и в конце выбрать метод сжатия – «Только занятое место» или «Весь диск» (второй способ является более безопасным).

Теперь при каждом включении компьютера (до загрузки системы), мы должны ввести пароль или вставить USB-носитель. Стоит также добавить, что функция BitLocker выполняет шифрование памяти мобильных устройств (опция BitLocker To Go).

Преимущество наличия TPM является отсутствие необходимости входа в систему с помощью пароля. Мы вводим его только в окне входа в систему Windows.

FolderLocker

Если вы не хотите использовать стороннее программное обеспечение, интересной альтернативой от Laptop Mag является создание FolderLocker для защиты паролем папок Windows 10. Сначала это довольно длительный процесс, но как только вы настроите FolderLocker, вы можете легко перетаскивать в него файлы. Автор предупреждает: «… да, файл FolderLocker может быть переработан кем-то, кто понимает процесс, но это не предназначено для того, чтобы не пускать технически подкованных людей, просто любопытных членов семьи, которым вы не доверяете».

Также смотрите: Лучшие бесплатные приложения для шифрования ваших файлов перед загрузкой в облако.

Чтобы шифровать или не шифровать файлы и папки в Windows?

Если у вас есть файлы и / или папки на вашем компьютере, которые содержат конфиденциальную информацию, рекомендуется использовать шифрование, чтобы скрыть эту информацию от посторонних глаз. Шифрование также затруднит, если не сделает невозможным, доступ хакеров к этим данным, если они попадут в чужие руки. Никакое шифрование не может быть взломано на 100 процентов, но если вы не являетесь Банком Америки, попытка сделать это часто просто не стоит усилий или средств преступников. Однако, если вы используете свой компьютер для работы или у других людей есть собственные учетные записи на вашем компьютере, ваши данные уязвимы. Надлежащая практика безопасности и шифрования может помочь защитить ее.

Шифрование файлов и папок в Windows, которые содержат следующие данные:

Налоговые накладные
Списки паролей — храните пароли и булавки на отдельном устройстве или используйте менеджер паролей, например LastPass, DashLane или TrueKey (позволяет хранить до 15 паролей)
банковская информация
Личная информация (PII)
Информация о привилегированном работодателе
Интеллектуальная собственность

Если вы не хотите, чтобы определенная информация появлялась в Интернете, или уничтожили бы ее, если бы она была на бумажном носителе, скорее всего, эти файлы или папки должны быть зашифрованы..

Имейте в виду: ФБР и АНБ могут потребовать от компаний США передать данные или ключи шифрования по решению суда. Если у вас есть зашифрованные файлы, которые могут содержать незаконные данные или предоставить информацию, чтобы помочь правоохранительным органам в расследовании преступления, закон может заставить вас расшифровать их самостоятельно. Об этом сообщают новости ITGS: «(В 2016 году) суд обязал Пейтсар Бхчаджян из Лос-Анджелеса разблокировать устройство iPhone, используя ее отпечаток пальца. Поскольку хранилище iPhone зашифровано, а устройство было заблокировано Apple Touch ID, это был единственный способ для полиции получить доступ к данным Защита Бхчаджана потребовала защиты 5-й Поправки, но это было отменено судом ».

Изображение для кибер-атаки ноутбука-клавиатуры от Геральта через Pixabay. Лицензировано под CC BY 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.

Как она работает?

Принцип работы системы очень прост: она будет выявлять атаки обзорами не по теме и исключать их из общего рейтинга.

Однако, это довольно неполное описание. Первое, что стоит прояснить: «атакой» рейтинга Valve называет случаи, когда пользователи за короткий срок публикуют множество обзоров, чтобы целенаправленно понизить рейтинг игры. А «обзорами не по теме» Valve считает те, аргументы в которых никак не влияют на желание купить эту игру.

Скриншот обзоров на Metro: Last Light Redux, оставленных в начале февраля 2019Скриншот обзоров на Metro: Last Light Redux, оставленных в начале февраля 2019

Если же говорить именно о процедуре выявления таких атак и реагирования на них, то стоит сказать, что она ещё далека от полного автоматизма.

Сперва, система должна во время постоянного мониторинга обнаружить необычную активность в обзорах конкретной игры. Затем, она оповещает об этом сотрудников Valve, которые и займутся этой ситуацией. Как только команда определит, что необычная активность связана с подобной атакой, она отметит её временной промежуток и сообщит об этом разработчику.

Все обзоры за это время не будут учитываться при подсчёте рейтинга игры. Как и прежде, сами обзоры будут неприкосновенны: их всегда можно будет прочесть и оценить их полезность. Для открытости на странице в магазине будет указано, что некоторые обзоры не учитываются в рейтинге. А необычная активность будет отмечаться на графике.

К слову говоря, предыдущие случаи «атак» помечаться в Steam никак не будут. Система работает только с теми из них, что происходят на данный момент.

Также, стоит отметить, что вы всегда можете отказаться от фильтрации обзоров «не по теме» в соответствующем пункте настроек магазина Steam.

Где лучше хранить свои пароли

Сейчас общепринятой практикой считается хранить не пароли, а хеш-суммы паролей, так что наличие доступа к базе данных не означает прямой доступ к паролям. Получение пароля из хеш-суммы требует больших вычислительных мощностей, а сложность взлома растет экспоненциально в зависимости от длины пароля. Случайный пароль длиной 8 символов будет перебираться примерно пять часов, а пароль из 16 символов не переберется в обозримом будущем.

Но все упирается в удобство использование: никто не хочет использовать случайный набор из 16 символов, причем разный для каждого сервиса. Решением проблемы выступают менеджеры паролей — приложения, которые хранят все ваши длинные случайные пароли. С одной стороны, это решает проблему хранения, с другой, создает единую точку отказа: компрометация менеджера паролей означает компрометацию всего. Поэтому и к выбору, и к защите самого менеджера паролей стоит подходить чрезвычайно ответственно.

Как хакеры обманывают системы распознавания лиц

В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».

Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.

В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.

Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.

Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.

Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.

Применение двухфакторной аутентификации

Большинство провайдеров веб-сервисов уже осознали опасность защиты доступа одним только паролем. На помощь приходит метод 2FA (двухфакторной аутентификации). В этом случае при входе в сервис после ввода правильного пароля вы получаете дополнительный одноразовый код либо по SMS, либо через специальное приложение, бесплатно доступное в магазинах приложений Apple и Google.

Наша рекомендация для владельцев устройств на базе iOS: бесплатное приложение OTP Auth. Пользователи Android должны установить Authy, также доступное бесплатно в магазине Play Market.

Эти продукты можно использовать для любого провайдера, предлагающего 2FA. На первом этапе сервис генерирует ключ длиной 80 бит, который шифруется в QR-код. После сканирования камерой смартфона он попадает на устройство. Теперь сервер службы и смартфон независимо друг от друга рассчитают из этого 80-битного ключа и текущего времени одноразовый пароль.

Если оба варианта совпадают, сервис предоставляет доступ. Еще один совет: старайтесь использовать приложение вместо получения SMS. Сообщения легко перехватить, а вот приложения можно дополнительно защитить от взлома паролем или сканером отпечатка пальца.

Настройка двухфакторной аутентификации для большинства сервисов похожа. Мы поясним процесс конфигурации на примере служб Google. Для этого войдите в свой аккаунт Gmail и нажмите на иконку аккаунта в правом верхнем углу. Теперь перейдите в «Мой аккаунт» и в следующем окне в разделе «Безопасность и вход» нажмите на ссылку «Вход в аккаунт Google».

При нажатии на пункты «Двухэтапная аутентификация | Приступить» будет вызван Мастер конфигурации. Сначала Google настраивает SMS-токен, то есть двухфакторную защиту по SMS. Лишь на следующем этапе вы можете выбрать аутентификацию через приложение. Для этого в секции «Приложение Authenticator» щелкните по «Создать». В завершение по соображениям безопасности удалите сохраненный номер телефона. Для этого в меню «Двухэтапная аутентификация» кликните по карандашу рядом с надписью «Голосовое сообщение или SMS» и выберите «Удалить номер».

С этого момента аутентификация будет осуществляться исключительно через приложение. В этом же меню необходимо активировать функцию «Резервные коды». Если телефон не под рукой или же вы потеряли свое устройство, вы сможете зайти в свой аккаунт с помощью этих экстренных кодов. Восьмизначные шифры являются одноразовой заменой кода двухфакторной аутентификации. Не сохраняйте их, а запишите на листе, чтобы поместить дома в надежное место.

В случае с такими сервисами, как Google, крайне важно удобство пользователя, поэтому вам доступна возможность обозначить определенные устройства как надежные. При входе с такого устройства вам нужно ввести только имя пользователя и пароль, без одноразового кода

Однако мы не рекомендуем обращаться к этой опции, поскольку злоумышленникам также легко обойти защиту, если освобожденное от двухэтапной аутентификации устройство будет заражено вирусом.

Фотографируйте QR-код не через обычное приложение «Камера», а напрямую из ПО для аутентификации. У всех предложенных нами продуктов есть функция считывания QR-кода, что избавит вас от ручного ввода адреса.

Защита данных на ПК

Начнем с Windows. Информацию на домашнем компьютере лучше всего защитить посредством шифрования всего жесткого диска. Однако на устаревших машинах со слабой производительностью имеет смысл кодировать каждую папку по отдельности. Ниже мы опишем каждый из методов.

Применяем аппаратное шифрование

Зашифровать современные жесткие диски проще, чем можно подумать, поскольку они предлагают собственную методику кодирования. Для этого в них используется Opal SSC (Opal Security Subsystem Class). Данный стандарт позволяет шифровать диск напрямую на контроллере носителя. Таким образом, операционная система остается незатронутой. Чтобы узнать, поддерживает ли ваш диск технологию Opal, посмотрите техническое описание продукта на сайте производителя. Там же вы найдете инструменты для активации этой функции. В случае с Samsung, к примеру, это программа Magician. После активации жесткий диск перед запуском ОС попросит вас ввести заданный пароль.

С помощью Magician вы можете запустить аппаратное встроенное шифрование от компании Samsung

На два момента следует обратить особое внимание: не используйте параллельно дополнительное шифрование — например, посредством инструмента BitLocker в Windows. Часто это вызывает проблемы: многие пользователи сообщали даже о потере данных

Кроме того, следует отключить шифрование перед демонтажом жесткого диска, поскольку ПО для декодирования запускается лишь в том случае, если винчестер выступает в качестве загрузочного носителя с операционной системой. При этом, если подключить такой накопитель к другому компьютеру по USB, диск будет казаться абсолютно пустым.

Шифрование диска сторонним ПО

Windows 10 также предлагает собственное ПО для шифрования жестких дисков – BitLocker. Впрочем, оно доступно только для версий «Профессиональная» и «Корпоративная». Владельцы версии «Домашняя» могут воспользоваться в качестве варианта бесплатной программой VeraCrypt (veracrypt.codeplex.com). Ее вы найдете на CHIP DVD.

Шифрование стационарных систем Бесплатная программа VeraCrypt шифрует папки и даже целые жесткие диски

После запуска VeraCrypt выберите опцию «Encrypt the system partition or entire system drive». В появившемся окне нажмите на «Normal», а затем — на «Encrypt the whole drive». Благодаря этому впоследствии будут зашифрованы все данные на системном и всех других разделах. Во всплывающем окне появится вопрос, должна ли VeraCrypt кодировать также скрытые разделы. Как правило, на него следует отвечать «Yes». Однако имейте в виду, что в таком случае утилита зашифрует и раздел для восстановления, если таковой существует. Этот раздел используется на некоторых предприятиях для запуска процесса загрузки. В последнем диалоговом окне создайте аварийный диск — VeraCrypt предложит это автоматически.

Шифрование отдельных папок

На медленных и старых компьютерах стоит все же отказаться от полного шифрования. Мы настоятельно рекомендуем для таких случаев создавать так называемый контейнер. При этом появляется виртуальный диск, на который сохраняется конфиденциальная информация. Она автоматически шифруется и укладывается в файл на вашем жестком диске. И в этой ситуации вы можете воспользоваться программой VeraCrypt. В окне настройки шифрования нажмите на опцию «Create an encrypted file container» и следуйте указаниям Мастера.

iOS: беспокоиться не о чем

Что касается девайсов iOS 8, как только вы устанавливаете код доступа, ваши личные данные шифруются. В технической документации о безопасности Apple (PDF) для iOS 8.3 и более поздних говорится, что «информация из основных приложений вроде сообщений, почты, календаря, контактов, фотографий, здоровья находится под защитой по умолчанию. Остальные приложения, установленные на iOS 7 или поздних версиях, получают такую защиту автоматически».

Компания также утверждает, что любой современный яблочный девайс включает в себя «надёжный алгоритм AES 256, встроенный в DMA, устройство доступа к общей памяти системы и памяти флэш-накопителей». Благодаря ему шифрование практически не влияет на скорость системы.

Шифрование папок в Mac OS

Данная операционная система позволяет поставить пароль на папку без использования сторонних программ. Для этого нужно воспользоваться дисковой утилитой, которая находится в разделе «Программы», подраздел «Утилиты».

В этом разделе нужно нажать на кнопку «Файл» и выбрать один из двух вариантов: «Новый» — «Образ диска из папки» или «Новый образ». Они аналогичны, во втором случае от пользователя требуется производить меньше действий. После этого следует установить путь к выбранной папке.

Установка пути к папке шифрования в Mac OS

После нажатия иконки «Создать» запустится процесс шифрования. При выборе 128-битного шифрования скорость обработки будет выше, при выборе 256-битного защищенность файлов выше. Выбор делать следует, исходя из собственных предпочтений в сторону скорости или надежности.

Запуск процесса шифрования в Mac OS

При открытии папки система будет запрашивать пароль. При этом можно установить разрешение на просмотр, редактирование и добавление файлов.

Запрашивание пароля при открытии папки

Шифрование диска сторонним ПО

Шифрование стационарных систем. Бесплатная программа VeraCrypt шифрует папки и даже целые жесткие диски

Во всплывающем окне появится вопрос, должна ли VeraCrypt кодировать также скрытые разделы. Как правило, на него следует отвечать «Yes». Однако имейте в виду, что в таком случае утилита зашифрует и раздел для восстановления, если таковой существует. Этот раздел используется на некоторых предприятиях для запуска процесса загрузки.

В последнем диалоговом окне создайте аварийный диск — VeraCrypt предложит это автоматически.

1001364

Безопасность личных данных является одной из главных задач каждого пользователя компьютера. Чтобы решить эту проблему, мы уже обсудили различные методы, с помощью которых вы можете зашифровать свои файлы, закладки, электронные письма и другие способы защиты данных на вашем персональном компьютере.

Времена изменились, и большинство из нас, как правило, хранят наши данные в облачных сервисах хранения данных, таких как Dropbox. Не то, чтобы они были небезопасны, но истории людей, взломавших такие сервисы, или данных, подвергаемых риску из-за уязвимостей безопасности, стали известны в прошлом. Сегодня мы увидим, как мы можем легко зашифровать данные, которые мы храним на нашей учетной записи Dropbox, чтобы обеспечить дополнительную безопасность.

Мы будем использовать отличный инструмент BoxCryptor для шифрования наших файлов в Dropbox. Итак, начнем!

Настройка BoxCryptor

Прежде чем мы начнем шифровать файлы, нам нужно настроить BoxCryptor.

Шаг 1: Загрузите и установите BoxCryptor на свой компьютер. Установка довольно проста и не занимает много времени.

Шаг 2: Запустите BoxCryptor после успешной установки. Если Dropbox установлен в вашей системе, инструмент автоматически обнаружит его и создаст внутри него папку с именем BoxCryptor. Поскольку инструмент также создает виртуальный диск в вашей системе, вам необходимо указать букву диска для него.

Шаг 3: На следующем шаге вам нужно будет указать пароль, который будет использоваться для шифрования и дешифрования данных. Наконец, нажмите ОК, чтобы завершить настройку.

Шифрование файлов

Шифрование файлов — это очень просто с BoxCryptor, просто скопируйте все файлы, которые вы хотите зашифровать, на вновь созданный диск. Поскольку шифрование происходит в режиме реального времени, вы не увидите никакого индикатора прогресса для того же самого.

После того, как вы скопировали все файлы на диск, выйдите из BoxCrypt с помощью значка программы на панели задач, который автоматически закроет виртуальный диск и зашифрует ваши данные.

Если вы загляните внутрь папок, созданных BoxCryptor во время установки, вы увидите файлы со случайным именем. Это файл, который вы только что зашифровали.

Расшифровка файлов

Просто запустите программу еще раз и введите пароль, который вы установили. Виртуальный диск откроется автоматически, и все ваши файлы будут расшифрованы на лету.

Некоторые замечания

Никогда не используйте опцию « Запомнить пароль» при использовании вышеуказанного приложения. Если вы это сделаете, существует высокий риск того, что ваши данные могут быть скомпрометированы.
После установки приложения вы увидите файл XML в папке, которую вы создали. Пожалуйста, не удаляйте этот файл.
BoxCryptor может обнаружить вашу папку Dropbox по умолчанию, но вы можете изменить настройки по умолчанию, чтобы использовать ее с любой папкой .
Бесплатная версия поставляется с ограничением 2 ГБ . Вы можете приобрести приложение, чтобы получить неограниченный доступ.

Мой вердикт

Первое, что поразило меня в приложении, — шифрование в реальном времени. В отличие от других программ, не нужно ждать часами или минутами, пока файл не будет зашифрован или расшифрован.

С помощью небольшого сценария AutoHotkey вы можете заставить Windows Explorer открыть что-то другое, кроме My Computer .

Folder2MyPC — это бесплатная загрузка, которая позволит вам добавить любую папку или в папку «Мой компьютер» или «Панель управления» в Windows 7.

Узнайте, как легко синхронизировать папку за пределами моего Dropbox с помощью синхронизации папки Dropbox.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен

Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.