Bitlocker — шифрование и расшифровка жестких дисков. Каковы требования BitLocker к оборудованию и программному обеспечению? Какие типы конфигураций дисков поддерживаются BitLocker

Доброго времени суток друзья.

Вы поставили пароль на определенную информацию в компьютере, а теперь хотите убрать его? Не знаете, как это сделать? В этой статье представлены простые инструкции, как отключить Bitlocker - ту самую программу, которая защищает ваши данные от взлома.

Bitlocker - это встроенная утилита в системы Windows, созданная для обеспечения безопасности важной информации от несанкционированного доступа. Установив ее, владелец компьютера ставит на все или отдельные файлы пароль. Приложение позволяет сохранить его на внешнем носителе или распечатать, чтобы оставлять PIN только в памяти, ведь она может и подкачать.

Шифрование информации заключается в том, что прога преобразует ее в специальный формат, который можно прочитать только после ввода пароля.

Если без него попытаться открыть файл, перед вами предстанут несвязанные между собой цифры и буквы.

Изначально можно настроить утилиту так, чтобы блокировка снималась, когда вставляется флешка с ключом. Лучше завести несколько носителей с паролем.

Важно! Если вы забудете и потеряете все ключи, вместе с ними утратите и доступ ко всем данным на диске (или на флеш накопителе) навсегда.

Впервые приложение начало работу в расширенной версии Windows Vista. Сейчас оно доступно и для других поколений этой системы.

Способы отключения Bitlocker

Чтобы отменить блокировку, не нужно быть хакером или профессиональным IT-шником. Все делается просто; разумеется, если вы сами поставили пароль, а не собираетесь взламывать чужие данные. Так и есть? Тогда приступим к разбору.

Есть несколько способов, как разблокировать файлы. Самый простой из них выглядит так:

Кликните правой кнопкой мыши на нужном диске и в выпавшем окне нажмите «Управление БитЛокером»;

Откроется новое меню, где следует выбрать пункт «Turn off» (отключить).

Когда вы переустанавливаете Windows 10 или другую версию ОС, вам потребуется приостановка шифрования. Чтобы ее выполнить, следуйте инструкции ниже:

Открываете Пуск - Панель управления - Система и безопасность - Шифрование диска BitLocker;
Выберите пункт «Приостановить защиту», или «Управление BitLocker» — далее «Оключить BitLocker» (В Win7) .
Нажмите «Да» в подтверждение того, что вы сознательно отключаете ее.

Через это же меню можно вовсе выключить блокировку, нажав на соответствующую кнопку.

Имейте в виду, что Windows Vista и остальных версиях системы могут отличаться названия описанных выше разделов. Но в любом случае вы найдете нужные настройки через панель управления. Например, в Windows 8 вы можете открыть ее так:

Скажу честно, о том как отключить данный шифровальщик если утерян пароль я не знаю… Могу только порекомендовать отформатировать устройство — в следствии чего диск будет доступен для работы. Но при таком раскладе естественно пропадут все данные на нём.

Ну, а на этом всё, надеюсь был полезен.

До скорых встреч друзья!

В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.

BitLocker - компонент для защиты данных, позволяющий выполнять шифрование жестких дисков на компьютере. Это понижает вероятность хищения данных, а также несанкционированного доступа к ним в случае хищения или утери компьютеров и съемных носителей. Кроме того, этот компонент обеспечивает более надежное удаление данных при списании компьютеров, защищенных с помощью BitLocker, так как восстановить удаленные данные на зашифрованном диске намного сложнее, чем на незашифрованном.

Общие сведения и требования

Обновление

Управление ключами

Безопасность

Другие вопросы

Общие сведения и требования

Как работает BitLocker?

Работа BitLocker с дисками операционной системы

BitLocker позволит снизить риск несанкционированного доступа к данным на утерянных или украденных компьютерах благодаря шифрованию всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также благодаря проверке целостности компонентов ранней загрузки и данных конфигурации загрузки.

Работа BitLocker с встроенными дисками и съемными носителями

С помощью BitLocker можно зашифровать весь диск с данными. С помощью групповой политики можно указать на необходимость включения BitLocker для диска, прежде чем на него будут записаны данные. В BitLocker можно настроить различные методы разблокировки для дисков с данными, при этом такие диски поддерживают несколько способов разблокировки.

Поддерживает ли BitLocker многофакторную проверку подлинности?

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если включить BitLocker на компьютере с доверенным платформенным модулем (TPM) версии 1.2 или более поздней, станут возможны дополнительные варианты проверки подлинности.

Каковы требования BitLocker к оборудованию и программному обеспечению?

Примечание

BitLocker не поддерживает динамические диски. Динамические тома данных не будут отображаться на панели управления. Том операционной системы всегда будет отображаться на панели управления, независимо от того, является ли он динамическим диском. Но если он динамический, его невозможно защитить с помощью BitLocker.

Почему нужны два раздела? Почему системный диск должен быть настолько большим?

Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает платформенный модуль версии 1.2 или более поздней.

Как узнать, установлен ли доверенный платформенный модуль (TPM) на компьютере?

Откройте консоль управления TPM (tpm.msc) и проверьте наличие доверенного платформенного модуля в разделе Состояние .

Можно ли использовать BitLocker на диске операционной системы без доверенного платформенного модуля?

Да, можно включить BitLocker на диске операционной системы без доверенного платформенного модуля версии 1.2 или более поздней, если встроенное ПО BIOS или UEFI поддерживает чтение с USB-устройства флэш-памяти в среде загрузки. Это возможно, так как BitLocker не разблокирует защищенный диск, пока не будет получен основной ключ тома BitLocker от доверенного платформенного модуля на компьютере или с USB-устройства флэш-памяти, содержащего ключ запуска BitLocker для этого компьютера. Но компьютеры без доверенного платформенного модуля не смогут выполнять проверку целостности системы, которая возможна при помощи BitLocker.

Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:

соответствие стандартам TCG для клиентского компьютера;

наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Чтобы включать и выключать использование BitLocker или изменять его настройки на дисках операционной системы и несъемных дисках с данными, необходимо состоять в локальной группе Администраторы . Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.

Какой порядок загрузки рекомендуется для компьютеров, которые должны быть защищены BitLocker?

Необходимо настроить параметры запуска компьютера так, чтобы жесткий диск в порядке загрузки шел первым, перед всеми остальными дисками, такими как CD- или DVD-диски либо USB-накопители. Если жесткий диск не указан как первый, но загрузка обычно выполняется с жесткого диска, система может определить или предположить изменение порядка загрузки при обнаружении съемного носителя во время загрузки. Порядок загрузки обычно влияет на показатели системы, проверяемые BitLocker. Изменение этого порядка приведет к тому, что вам будет предложено ввести ключ восстановления BitLocker. По этой же причине, если у вас есть ноутбук с док-станцией, убедитесь, что жесткий диск идет первым в порядке загрузки как при стыковке, так и при отстыковке.

Обновление

Можно ли обновить операционную систему на компьютере с Windows 7 или Windows 8 до Windows 10, если включено шифрование BitLocker?

Да. На панели управления найдите элемент Шифрование диска BitLocker , выберите команду Управление BitLocker , а затем - команду Приостановить . Если выполнена приостановка защиты, диск не расшифровывается. В этом случае отключаются механизмы проверки подлинности, которые использует BitLocker, и применяется незащищенный ключ для доступа к диску. После завершения обновления откройте проводник, щелкните диск правой кнопкой мыши и выберите команду Возобновить защиту . Методы проверки подлинности BitLocker вновь станут применяться, а незащищенный ключ будет удален.

В чем разница между приостановкой BitLocker и расшифровкой дисков, защищенных BitLocker?

Команда Расшифровать полностью отменяет защиту при помощи BitLocker и расшифровывает весь диск.

Команда Приостановить оставляет данные зашифрованными, но шифрует основной ключ тома BitLocker с использованием незащищенного ключа. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и защиты. Хранение этого ключа без шифрования позволяет команде Приостановить вносить изменения и выполнять обновления на компьютере, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После повторного включения BitLocker и внесения изменений эта программа запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления, основной ключ тома изменится, предохранители обновятся, а незащищенный ключ удалится.

Нужно ли расшифровывать диск, защищенный BitLocker, чтобы скачать и установить обновления системы?

В таблице ниже перечислены действия, которые необходимо выполнить перед обновлением ОС или установкой обновлений.

Примечание

Приостановленную защиту при помощи BitLocker можно возобновить после установки обновления. Когда защита возобновится, BitLocker запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления. Если такие обновления устанавливаются без приостановки BitLocker, то компьютер после перезагрузки входит в режим восстановления и для доступа к нему требуется ключ восстановления или пароль.

Развертывание и администрирование

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструментария WMI или сценариев Windows PowerShell. Способ реализации сценариев зависит от среды. Локальную или удаленную настройку BitLocker можно выполнить с помощью Manage-bde.exe. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker . Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье .

Может ли BitLocker шифровать другие диски, кроме диска операционной системы?

Насколько снижается производительность при включении BitLocker на компьютере?

Обычно снижение производительности составляет до десяти процентов.

Сколько времени занимает первоначальное шифрование после включения BitLocker?

Хотя шифрование BitLocker выполняется в фоновом режиме, пока вы продолжаете работу, и система остается доступной, время шифрования зависит от типа диска, его размера и скорости. Шифрование дисков очень большого размера рекомендуется назначить на время, когда они не используются.

При включении BitLocker вы также можете выбрать, следует ли шифровать весь диск или только занятое пространство. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Что будет, если выключить компьютер во время шифрования или расшифровки?

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. То же происходит в случае сбоя подачи электропитания.

Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?

Нет, BitLocker не выполняет шифрование и расшифровку всего диска при считывании и записи данных. Секторы, зашифрованные на защищенном при помощи BitLocker диске, расшифровываются только по запросу системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

Как запретить пользователям в сети сохранять данные на незашифрованном диске?

Вы можете настроить параметры групповой политики так, чтобы запись данных на диски компьютера, защищенного с помощью BitLocker, была невозможна без предварительного включения защиты BitLocker для этих дисков. .

Если включены соответствующие параметры политики, то операционная система с защитой BitLocker будет подключать диски с данными, не защищенные BitLocker, в режиме только для чтения.

Какие изменения системы приводят к появлению ошибки при проверке целостности диска с операционной системой?

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

Перемещение диска с защитой BitLocker в новый компьютер.

Установка новой системной платы с новым доверенным платформенным модулем.

Выключение, деактивация или очистка доверенного платформенного модуля.

Изменение каких-либо параметров конфигурации загрузки.

Изменение встроенного ПО BIOS или UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ, а также других компонентов ранней загрузки или данных конфигурации загрузки.

В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?

Так как компонент BitLocker предназначен для защиты компьютера от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. Доверенный платформенный модуль не участвует ни в одном сценарии восстановления. Это значит, что восстановление возможно даже при появлении ошибки во время проверки компонентов загрузки с помощью этого модуля, а также при его сбое или удалении.

Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?

Да, на одном компьютере с включенным шифрованием BitLocker можно менять жесткие диски, но при условии, что для них включалась защита BitLocker на этом же компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Поэтому, чтобы подготовить резервный диск с операционной системой или диск с данными на случай отказа диска, убедитесь, что для них используется тот же доверенный платформенный модуль. Можно также настроить разные жесткие диски для различных операционных систем, а затем включить для каждого диска BitLocker, указав разные методы проверки подлинности (например, на одном диске только доверенный платформенный модуль, а на другом - доверенный платформенный модуль с вводом ПИН-кода), и это не приведет к конфликтам.

Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?

Да, если это диск с данными, его можно разблокировать обычным образом, выбрав элемент Шифрование диска BitLocker на панели управления (с помощью пароля или смарт-карты). Если для диска с данными настроено только автоматическое снятие блокировки, вам придется использовать ключ восстановления, чтобы разблокировать этот диск. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Почему недоступна команда "Включить BitLocker", если щелкнуть диск правой кнопкой мыши?

Некоторые диски невозможно зашифровать при помощи BitLocker. Это происходит по нескольким причинам. Например, размер диска может быть слишком мал, файловая система может быть несовместимой, диск может быть динамическим либо назначенным в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Но если диск (или раздел) не был скрыт при выборочной установке операционной системы, его можно отобразить, но не зашифровать.

Какие типы конфигураций дисков поддерживаются BitLocker?

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются накопители с прямым подключением и интерфейсом ATA или SATA.

Управление ключами

В чем разница между паролем владельца доверенного платформенного модуля, паролем восстановления, ключом восстановления, паролем, ПИН-кодом, улучшенным ПИН-кодом и ключом запуска?

BitLocker может создавать и использовать различные ключи. Некоторые из них использовать обязательно, остальные можно применять как дополнительные предохранители в зависимости от требуемого уровня безопасности.

Где хранить пароль восстановления и ключ восстановления?

Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.

Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.

Администратор домена может настроить дополнительную групповую политику для автоматического создания паролей восстановления и сохранения их в доменных службах Active Directory (AD DS) для всех дисков, защищенных BitLocker.

Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?

С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если компонент BitLocker включен только с проверкой подлинности на основе доверенного платформенного модуля, то для добавления проверки подлинности с использованием ПИН-кода введите следующие команды из командной строки с повышенными привилегиями, заменив <4-20 digit numeric PIN> на нужный числовой ПИН-код:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Можно ли восстановить данные, защищенные BitLocker, если утрачены средства восстановления?

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Важно

Храните данные, необходимые для восстановления, в AD DS, своей учетной записи Майкрософт или другом надежном расположении.

Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?

Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.

Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?

Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker , чтобы открыть параметры для копирования ключей восстановления.

Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?

Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.

Можно ли создать несколько различных ключей запуска для одного компьютера?

С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Можно ли создавать несколько сочетаний ПИН-кода?

Создавать несколько сочетаний ПИН-кода невозможно.

Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.

Где хранятся ключи шифрования?

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?

Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора.

После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Как определить производителя своего доверенного платформенного модуля?

Определить изготовителя доверенного платформенного модуля можно в разделе Сведения об изготовителе TPM на консоли управления TPM (tpm.msc).

Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?

Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:

По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?

Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?

И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера . При этом в групповой политике невозможно задать требования к сложности ПИН-кода.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker .

BitLocker To Go

BitLocker To Go позволяет выполнять шифрование диска BitLocker для съемных носителей с данными. Шифруются USB-устройства флэш-памяти, SD-карты, внешние жесткие диски и другие диски с файловой системой NTFS, FAT16, FAT32 или exFAT.

Доменные службы Active Directory (AD DS)

Что будет, если включить BitLocker на компьютере перед присоединением к домену?

Если на диске включается шифрование BitLocker до применения групповой политики для принудительного резервного копирования, то данные для восстановления не будут проходить автоматическое резервное копирование в AD DS, когда компьютер присоединяется к домену или применяется групповая политика. Но можно использовать параметры групповой политики Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker , и Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker , чтобы сделать обязательным подключение компьютера к домену перед включением BitLocker. Это обеспечит резервное копирование в доменных службах Active Directory данных, которые необходимы для восстановления дисков, защищенных BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker .

Интерфейс инструментария управления Windows (WMI) для BitLocker позволяет администраторам написать сценарий для резервного копирования или синхронизации существующих данных для восстановления клиента, находящегося в сети, но BitLocker не управляет этим процессом автоматически. Программа командной строки Manage-bde также позволяет вручную создать резервную копию данных для восстановления в AD DS. Например, чтобы создать резервную копию всех данных для восстановления диска C, в AD DS выполните следующую команду из командной строки с повышенными привилегиями: manage-bde -protectors -adbackup C: .

Важно

Первое, что нужно сделать с новым компьютером в организации, - это присоединить его к домену. После присоединения компьютеров к домену сохранение ключа восстановления BitLocker в AD DS выполняется автоматически (если это обеспечено групповой политикой).

Записывается ли в журнал событий на клиентском компьютере результат резервного копирования Active Directory?

Да, на клиентском компьютере в журнал событий заносится запись, показывающая успешный или не успешный результат резервного копирования Active Directory. Но даже в случае, если в журнале событий указано успешное завершение, данные о резервном копировании могут быть удалены из AD DS. Кроме того, конфигурация BitLocker может измениться так, что данные из Active Directory не позволят разблокировать диск (например, если удален предохранитель ключа для пароля восстановления). Кроме того, возможна подделка записи журнала.

Чтобы гарантированно определить наличие достоверной резервной копии в AD DS, необходимо отправить запрос в доменные службы Active Directory с учетными данными администратора домена с помощью средства просмотра паролей BitLocker.

Если изменить пароль восстановления BitLocker на локальном компьютере и сохранить новый пароль в доменных службах Active Directory, перезапишут ли доменные службы старый пароль?

Нет. Пароли восстановления BitLocker не удаляются из доменных служб Active Directory, и поэтому для каждого диска могут отображаться несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Что будет, если первоначальное создание резервной копии завершится ошибкой? Будет ли BitLocker повторять резервное копирование?

Если первоначальное резервное копирование завершается ошибкой (например, когда контроллер домена оказывается недоступным во время работы мастера установки BitLocker), то BitLocker не выполняет повторных попыток резервного копирования данных для восстановления в AD DS.

Если администратор установит флажок Этот параметр политики позволяет требовать архивации BitLocker в доменных службах Active Directory в параметре политики Этот параметр политики позволяет хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows 2008 и Windows Vista) или (что равносильно) установит флажок Не включать BitLocker до сохранения данных восстановления в доменных службах Active Directory для дисков операционной системы | съемных носителей с данными | несъемных дисков с данными в любом из параметров политики Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker , Этот параметр политики позволяет выбрать метод восстановления несъемных дисков, защищенных с помощью BitLocker и Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker , то пользователи не смогут включать BitLocker, когда компьютер не подключен к домену и не создана резервная копия данных для восстановления BitLocker в AD DS. Если заданы эти параметры и резервное копирование завершается ошибкой, то включить BitLocker невозможно. Это гарантирует, что администраторы смогут восстановить все диски с защитой BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker .

Если администратор снимает эти флажки, то диск можно защищать с помощью BitLocker без успешного создания резервной копии данных для восстановления в AD DS. При этом BitLocker не повторяет автоматическое создание резервной копии, если оно завершается ошибкой. Вместо этого администраторы могут создать сценарий для резервного копирования, как описано ранее в ответе на вопрос Что будет, если включить BitLocker на компьютере перед присоединением к домену?, чтобы собрать данные после восстановления подключения.

Безопасность

Какой формат шифрования применяется в BitLocker? Можно ли его настроить?

В BitLocker применяется алгоритм шифрования AES с настраиваемой длиной ключа (128 или 256 бит). По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.

Как лучше всего использовать BitLocker на диске с операционной системой?

Для реализации BitLocker на диске с операционной системой рекомендуется использовать на компьютере доверенный платформенный модуль версии 1.2 или более поздней и встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG, а также ПИН-код. Обязательный ввод ПИН-кода, заданного пользователем, в дополнение к проверке доверенного платформенного модуля, не позволяет злоумышленнику, получившему доступ к компьютеру, просто запустить его.

Какие могут быть последствия при использовании параметров управления питанием (спящий режим и режим гибернации)?

В базовой конфигурации BitLocker на дисках операционной системы (с доверенным платформенным модулем, но без дополнительной проверки подлинности) обеспечивает дополнительную защиту для режима гибернации. Использование дополнительной проверки подлинности BitLocker (доверенный платформенный модуль и ввод ПИН-кода, доверенный платформенный модуль и USB-ключ или доверенный платформенный модуль, ввод ПИН-кода и USB-ключ) обеспечивает повышенную защиту в режиме гибернации. Этот метод надежнее, так как для возврата из режима гибернации требуется проверка подлинности BitLocker. Рекомендуется отключить спящий режим и использовать для проверки подлинности сочетание доверенного платформенного модуля и ПИН-кода.

Каковы преимущества доверенного платформенного модуля?

В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль - это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, для взлома аппаратной защиты обычно требуются более дорогостоящие средства и навыки, которые не столь распространены, как средства взлома программ. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Примечание

Настройка дополнительного фактора проверки подлинности в BitLocker обеспечивает дополнительную защиту от взлома аппаратного доверенного платформенного модуля.

Сетевая разблокировка BitLocker

Сетевая разблокировка BitLocker упрощает управление компьютерами и серверами, защищенными BitLocker с применением доверенного платформенного модуля и ПИН-кода в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Для использования сетевой разблокировки также требуется настроить ПИН-код для компьютера. Если компьютер не подключен к сети, для его разблокировки необходимо ввести ПИН-код.

Сетевая разблокировка BitLocker имеет программные и аппаратные требования для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем вы сможете ее использовать.

При сетевой разблокировке используется два предохранителя: предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или ПИН-кодом, тогда как при автоматической разблокировке используется лишь один предохранитель, хранящийся в доверенном платформенном модуле. Если компьютер присоединяется к сети без предохранителя ключа, отображается запрос на ввод ПИН-кода. Если ПИН-код недоступен, то для разблокировки компьютера, который невозможно подключить к сети, потребуется ключ восстановления.

Дополнительные сведения см. в статье BitLocker: включение сетевой разблокировки .

Другие вопросы

Может ли отладчик ядра работать с BitLocker?

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если нужно включить или выключить отладку при использовании BitLocker, сначала приостановите BitLocker, чтобы не дать компьютеру перейти в режим восстановления.

Как BitLocker работает с дампами памяти?

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

Поддерживает ли BitLocker смарт-карты для предзагрузочной проверки подлинности?

BitLocker не поддерживает смарт-карты для предзагрузочной проверки подлинности. Для поддержки смарт-карт во встроенном ПО отсутствует единый отраслевой стандарт, и в большинстве компьютеров поддержка смарт-карт во встроенном ПО не реализована либо распространяется только на определенные типы смарт-карт и устройств чтения. Отсутствие стандартизации делает слишком сложной задачу поддержки смарт-карт.

Можно ли использовать драйвер доверенного платформенного модуля, разработанный не Майкрософт?

Корпорация Майкрософт не поддерживает драйверы доверенного платформенного модуля сторонних разработчиков и настоятельно не рекомендует использовать их с BitLocker. Использование драйвера доверенного платформенного модуля, разработанного не Майкрософт, вместе с BitLocker может привести к ситуации, в которой BitLocker будет сообщать об отсутствии доверенного платформенного модуля на компьютере, и использование модуля с BitLocker будет невозможным.

Могут ли другие средства, управляющие основной загрузочной записью (MBR) или изменяющие ее, работать совместно с BitLocker?

Не рекомендуется изменять основную загрузочную запись (MBR) на компьютерах, где диски с операционной системой защищаются BitLocker, по соображениям безопасности, надежности и возможности поддержки продукта. Изменение основной загрузочной записи (MBR) может изменить среду безопасности и помешать обычному запуску компьютера, а также усложнить задачу по восстановлению поврежденной основной загрузочной записи MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Почему при шифровании диска с операционной системой проверка системы завершается ошибкой?

Проверка системы позволяет убедиться, что встроенное ПО компьютера (BIOS или UEFI) совместимо с BitLocker, а доверенный платформенный модуль работает правильно. Проверка системы может завершаться ошибкой по следующим причинам:

встроенное ПО компьютера (BIOS или UEFI) не поддерживает чтение с USB-устройств флэш-памяти;

во встроенном ПО компьютера (BIOS или UEFI) или в меню загрузки не включено чтение с USB-устройств флэш-памяти;

в компьютер вставлено несколько USB-устройств флэш-памяти;

неправильно введен ПИН-код;

встроенное ПО компьютера (BIOS или UEFI) поддерживает только функциональные клавиши (F1–F10) для ввода чисел в предзагрузочной среде;

ключ запуска удален до завершения перезагрузки компьютера;

из-за неисправности доверенного платформенного модуля не удалось предоставить ключи.

Что делать, если не удается считать ключ восстановления с USB-устройства флэш-памяти?

Некоторые компьютеры не поддерживают чтение с USB-устройств флэш-памяти в предзагрузочной среде. Сначала проверьте параметры встроенного ПО BIOS или UEFI и параметры загрузки, чтобы убедиться, что включено использование USB-накопителей. Включите использование USB-накопителей в BIOS или UEFI, если оно не включено, и повторите чтение ключа восстановления с USB-устройства флэш-памяти. Если по-прежнему не удается считать ключ, то необходимо подключить жесткий диск в качестве диска с данными к другому компьютеру с операционной системой, чтобы считать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено, то может понадобиться ввести пароль восстановления или использовать данные, необходимые для восстановления, резервная копия которых хранится в доменных службах Active Directory. Кроме того, если ключ восстановления используется в предзагрузочной среде, то убедитесь, что диск имеет файловую систему NTFS, FAT16 или FAT32.

Почему не удается сохранить ключ восстановления на USB-устройстве флэш-памяти?

Пункт меню Save to USB по умолчанию не отображается для съемных носителей. Если этот пункт недоступен, это значит, что системный администратор запретил использование ключей восстановления.

Почему не удается автоматически разблокировать диск?

Для автоматической разблокировки несъемных дисков с данными необходимо, чтобы диск с операционной системой также был защищен BitLocker. Если используется компьютер, где диск с операционной системой не защищается BitLocker, то диск автоматически разблокировать невозможно. Для съемных носителей с данными можно добавить автоматическую разблокировку, если щелкнуть диск правой кнопкой мыши в проводнике и выбрать команду Управление BitLocker . Этот съемный носитель можно разблокировать на других компьютерах, если ввести пароль или учетные данные смарт-карты, указанные при включении BitLocker.

Можно использовать BitLocker в безопасном режиме?

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать, выбрав элемент Шифрование диска BitLocker на панели управления. В безопасном режиме параметры BitLocker невозможно открыть щелчком правой кнопкой мыши по значку диска.

Как заблокировать диск с данными?

Программа командной строки Manage-bde и команда –lock позволяют блокировать как съемные носители, так и встроенные диски с данными.

Примечание

Перед блокировкой диска убедитесь, что на нем сохранены все данные. После блокировки диск станет недоступным.

Синтаксис команды:

manage-bde -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезапуска операционной системы. Съемный носитель с данными, который отключается от компьютера, также автоматически блокируется.

Можно ли использовать BitLocker вместе со службой теневого копирования томов?

Да. Но теневые копии, созданные до включения BitLocker, автоматически удаляются, когда BitLocker включается для дисков с программным шифрованием. Если используется диск с аппаратным шифрованием, теневые копии сохраняются.

Поддерживает ли BitLocker виртуальные жесткие диски (VHD)?

BitLocker не поддерживается для загрузочных VHD, но поддерживается для VHD томов данных (например, тех, которые используются в кластерах) при работе в Windows 10, Windows 8.1, Windows 8, Windows Server 2012 или Windows Server 2012 R2.

Теxнология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным нaбором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и зaмены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлaйновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодoполняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домoхозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озабoтились своей безопасностью! Операционная система и так слoжный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без нeго! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориeнтированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединeние нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через пaнель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютеpа -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM…» и включить ее.

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

После применения новых политик возвpащаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой спoсоб считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезaписанные файлы какое-то время остаются доступными для прямого чтения.

Полное и частичное шифрование

После настройки всех параметров оcтанется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нeскольких часов.

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

Как устроен BitLocker

О нaдежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, зaтрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий - 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится - ни длина вводимых паролей, ни субъективная скороcть выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей… и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
В свою очередь, FVEK шифруется при помощи другого ключа - VMK (volume master key) - и сохраняется в зашифрованном виде среди метаданных тома.
Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопpоцессоре - доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технолoгию шифрования с прежним названием под видом обновления. Туманные объяcнения этого шага последовали уже после того, как упрощения в BitLocker заметили нeзависимые исследователи.

Формально отказ от Elephant Diffuser потребoвался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма - это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости пpи его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, котоpым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG - «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь пeреписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управлeния ключами.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспoминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа - и все три одной комбинацией. <…> Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы - технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, - словом, все, о чем знали в Лос-Аламосе, всю кухню!» .

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо болeе хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <…> Я оcмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединeн с маленьким замочком, который выглядел точно так же, как и замoк моего шкафа в Лос-Аламосе. <…> Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <…>. Изображая некую деятельность, я принялся наугад крутить лимб. <…> Через две минуты - щелк! - сейф открылся. <…> Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продeмонстрировать Вам опасность» .

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно - процесс посекторного шифрования можeт занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно - как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дискoвой подсистемы. Точнее - отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), пoврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользовaтели боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождиcь, пока коллега уйдет на перерыв (как всегда, забыв заблoкировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удoбно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь смeнить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Вскрываем BitLocker

Реальная криптографическая система - это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной рабoты с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.

В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь… или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента - тем более.

По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.

Получение депонированных ключей из учетной записи Microsoft или AD - основной способ вскpытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.

Почему они вообще там хранятся? Как это ни смешно - для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются пeрезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?

Все описанные выше методы взлома BitLocker собраны в одной программе - Forensic Disk Decryptor , разpаботанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей - атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллeга вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту пoлучаем полный дамп в файле с расширением.mem и размером, соответствующим объему оперативки, устанoвленной на компьютере жертвы.

Делаем дамп пaмяти

Чем делать дамп - по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

Укaзываем источник ключей

BitLocker - типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты - вдруг жертва тайком использует TrueCrypt или PGP!

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл - это пригодится в дальнeйшем.

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку - например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».

После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому оcтается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Для новых накопителей мoжно использовать шифрование только занятой области - все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время завиcит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстанoвления.

Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зaшифрованной флешке есть два основных варианта:

использoвать встроенный мастер BitLocker для непосредственной работы с флeшкой;
использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гoраздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или снaчала конвертировать в другой формат (например, с помощью UltraISO).

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.

Выводы

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроeнный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать вcе данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

Last updated by at Февраль 28, 2017 .

Чтобы зашифровать ваши личные данные можно использовать много методов, а конкретнее, программное обеспечение сторонних компаний. Но зачем, если есть BitLocker от Microsoft. К сожалению, у некоторых возникают проблемы восстановления файлов после шифрования через BitLocker. При шифровании BitLocker вам нужно создать специальный ключ восстановления, его нужно сохранить, причем не важно где, главное надёжно. Вы можете его распечатать или сохранить при помощи учетной записи, но не локальной, а от Microsoft. Если диск не разблокируется сам, то нужно использовать тот самый ключ, иначе никак.

Но бывают ведь и случаи, когда ключ утерян. Что тогда делать? Иногда можно забыть и пароль от входа в систему, что крайне усложняет процесс расшифровки. Давайте попробуем все эти проблемы изучить и понять, как поступить. Данная статья должна вам помочь в решении проблем с BitLocker.

Немного статей о шифровании данных:

Что делать с ключом восстановления, как быть, если он утерян?

Итак, человеческий фактор такая штука, что, когда дело касается памяти, которая в определенный момент очень необходима — она нас подводит. Вот забыли вы, куда подевали ключ восстановления, тогда вспомните, каким образом вы его сохраняли в BitLocker. Так как утилита предлагает три способа сохранения ключа – печать, сохранение в файл и сохранение в учетную запись. Вы в любом случае должны были выбрать один из этих способов.

Итак, если вы сохранили ключ в учётке, то вам нужно зайти в OneDrive из браузера и войти в раздел «Ключи восстановления BitLocker» . Входим в систему со своими учетными данными. Ключ будет определенно там, при условии, что он был вами туда загружен. Если его нет, может вы сохраняли его в другой учетной записи?

Бывает, пользователь создает не один ключ, тогда можно определить конкретный с помощью идентификатора в утилите BitLocker и сравнить его с тем, что от ключа, если совпадают, то это верный ключ.

Если компьютер не хочет загружаться в систему из-за BitLocker?

Допустим, вы шифровали системный диск и произошла проблема, при которой система не хочет разблокироваться, то вероятно возникла какая-то неполадка с модулем ТРМ. Он должен разблокировать систему автоматически. Если это действительно так, то перед вашими глазами предстанет картинка, где сказано: и попросят ввести ключ восстановления. А если его у вас нет, потому что потеряли, то войти в систему вряд ли получится. Скорее всего поможет только переустановка системы. Пока что я не в курсе, как можно разблокировать BitLocker без ключа, однако постараюсь изучить этот вопрос.

Как разблокировать зашифрованные BitLocker диски в Windows?

При наличии парочки разделов, либо внешних жёстких дисков, зашифрованных с помощью BitLocker, но нужно разблокировать, я постараюсь помочь.

Подключите устройство к ПК (если оно внешнее). Запустите «Панель управления», можно из поиска, и перейдите в раздел «Система и безопасность». Найдите там раздел «Шифрование диска BitLocker» . Кстати говоря, эту операцию возможно провести только на версиях PRO , имейте это ввиду.

Найдите среди списка зашифрованный вами диск, который необходимо расшифровать. Нажмите рядом по опции «Разблокировать диск» .

Теперь вводим те данные для разблокировки, которые нужно (ПИН-код или пароль). Нет этих данных? Вы не помните их? Тогда жмём «Дополнительные параметры» и выбираем пункт .

В качестве заключения я хочу сказать одну вещь. При потере пароля или ПИН-кода восстановить доступ к накопителю возможно с помощью ключа восстановления, это 100%. Его вы должны хранить в надёжном месте и всегда помнить, где он находится. Если же вы потеряли этот ключ, можете попрощаться со своими данными. Пока что я не нашел метода, где можно расшифровать BitLocker без ключа.

Есть много причин почему шифруют системные диски. У каждого они свои и обсуждать их нет смысла, поэтому перейдем к настройке шифрования системного диска.
Сейчас большинство дисков современных ПК имеют таблицу разделов диска GPT , поэтому большинство старых систем шифрования не могут зашифровать системный диск (из-за того, что у них нет загрузчика EFI ). Поэтому остается единственный выбор — BitLocker .
Увы, но не все редакции Windows имеют возможность использовать BitLocker.
BitLocker и BitLocker To Go присутствует только в редакциях Windows Server , Enterprise и Professional . Если у вас другая версия, то придется либо обновиться до этих версий, либо отказаться от установки BitLocker .

Плюс для BitLocker желательно наличие Trusted Platform Module (TPM ) модуля в ПК/ноутбуке/планшете. TPM это специальный криптопроцессор, в котором хранятся криптографические ключи для защиты информации.

Если нет TPM модуля, то нужно сначала в групповой политике включить возможность использовать BitLocker без TPM , иначе мы увидим сообщение следующего вида (если TPM присутствует, то сразу переходим к установке шифрования):

Запуск BitLocker без TPM

Отустствие TPM модуля требует изменения локальной групповой политики.

Локальные групповые политики

Запускаем командную строку. В Windows 8.1 для этого нажимаем правой клавишей мыши в левом-нижнем углу экрана и выбираем Командная строка (администратор) .
В появившемся окне вводим:

gpedit . msc

и нажимаем Enter .

Редактор локальной групповой политики

В окне редактора локальной групповой политики (в левой части) переходим по адресу:
Конфигурация компьютера ->Административные шаблоны ->Компоненты Windows ->Этот параметр политики позволяет выбрать шифрование диска BitLocker ->Диски операционной системы
В правой части находим параметр: Этот параметр политики позволяет настроить требования дополнительной проверки подлинности при запуске и нажимаем на него 2 раза.

Настройка параметра

Теперь нужно внести изменения в данный параметр.
Включаем его.
Отмечаем чекбокс рядом с надписью: Этот параметр политики позволяет разрешить BitLocker без совместимого доверенного платформенного модуля (необходим пароль или ключ запуска на USB-устройстве флэш-памяти), а так же проверяем все остальные параметры. После этого нажимаем ОК и закрываем редактор. Редактирование локальной групповой политики закончено. Можно переходить к установке BitLocker .

Панель управления

Переходим в панель управления и выбираем Шифрование диска BitLocker .

Шифрование диска BitLocker

Выбираем Включить BitLocker напротив системного диска.

Способ разблокировки диска

Выбираем способ разблокировки диска. В данном случае выберем разблокировки через пароль, для этого нажимаем Введите пароль .

Создание пароля

Два раза вводим пароль (следуя рекомендациям) и нажимаем Далее .

Ключ восстановления

Выбираем куда сохранить ключ восстановления. На шифруемый диск его сохранить нельзя. Пока ключ не будет сохранен — продолжение установки невозможно. В нашем случае сохраняем его в файл (Сохранить в файл ).

Сохранение ключа

Выбираем место хранения ключа восстановления. Я его сохранил на флэш-диск.

Как будет шифроваться диск

В зависимости от потребностей, выбираем как будет шифроваться диск.
Можно выбрать из:
Шифровать только занятое место (выполняется быстрее, оптимально для новых ПК и дисков)
и
Шифровать весь диск (выполняется медленне, подходит для уже используемых ПК и дисков)

Зашифровать этот диск?

Перед началом шифрования рекомендуется Запустить проверку системы BitLocker . ПК перезагрузится и попросит ключ для расшифровки диска. Если все пройдет удачно — то начнется шифрование.