Обзор BitLockerBitLocker overview
Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.
BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. Доверенный платформенный модуль — это аппаратный компонент, который производители устанавливают на многих новых компьютерах.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.
На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.
В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.
Смена пароля через редактор реестра
Данный способ подходит только для локальной учетной записи. Для его реализации нам потребуется загрузочная флешка с Windows 10.
Для начала нужно запустить систему с установленной в компьютер флешки. Для этого при включении компьютера переходим меню “Boot” в BIOS и задаем соответствующие настройки. Способы выполнения данного действия зависят от модели компьютера, и информацию о том, как это сделать нужно искать в сопроводительных документах к ПК или в Интернете, введя соответствующий запрос.
После того, как мы выберем флешку, сохраним изменения и перезагрузим компьютер, появится окно, в котором нужно выбрать язык раскладки клавиатуры (в нашем случае – русский).
Перед нами появится окно “Выбор действия”, в котором выбираем пункт “Поиск и устранение неисправностей”.
Мы окажемся в окне диагностики, где щелкаем по пункту “Дополнительные параметры”
В дополнительных параметрах останавливаемся на инструменте “Командная строка”, запускаем его.
В открывшемся окне командной строки набираем команду и щелкаем Enter.
Запустится редактор реестра, в котором ставим курсор на папку HKEY_LOCAL_MACHINE, после чего переходим в меню “Файл” и выбираем в нем пункт “Загрузить куст…”.
В новом окне нужно указать путь к файлу: (в случаях, когда операционная система установлена не на диске C, указываем именно тот системный диск, на котором установлена ОС). По готовности жмем кнопку “Открыть”.
Задаем имя нового раздела (подойдет любое) и кликаем по кнопке OK.
Теперь нам нужно попасть в папку “Setup” (в созданной нами ветке), полный путь к которой выглядит так: HKEY_LOCAL_MACHINE/MyWindows10/Setup.
В этом каталоге нас интересует параметр “CmdLine”
Двойным щелчком по нему открываем его свойства, где в поле значения указываем “cmd.exe” и кликаем OK.
Таким же способом меняем значение параметра “SetupType” на цифру “2”.
Возвращаемся в левую часть реестра, ставим курсор на имя созданного нами раздела (пункт 9 выше), переходим в меню “Файл”, кликаем по команде “Выгрузить куст…” и подтверждаем действие.
Закрываем редактор реестра, после – командную строку, и перезагружаем систему, выбрав загрузку с жесткого диска.
После перезагрузки системы автоматически запустится командная строка, в которой для того, чтобы посмотреть перечень всех пользователей, вводим команду и нажимаем Enter.
Чтобы задать новый пароль, выполняем команду :
в случаях, когда имя пользователя содержит пробелы, нужно указать его в кавычках;
когда требуется просто удаление пароля, ставим друг за другом две кавычки, без пробелов;
обратите внимание, что использовать пароль на кириллице не рекомендуется.
После смены пароля снова набираем команду , чтобы запустить редактор реестра, после чего жмем клавишу Enter.
Переходим в каталог “Setup”, полный путь к которому выглядит так: HKEY_LOCAL_MACHINE\System\Setup. Открываем настройки параметра “CmdLine” и удаляем его значение
В настройках “SetupType” ставим цифру “0”
Теперь можно закрыть редактор реестра и командную строку.
После этого мы окажемся в экране входа в систему, при этом пароль для выбранного пользователя будет изменен или удален в зависимости от команды, которую мы ранее запустили.
Справочные материалыReference
Параметр политики « Минимальный срок действия пароля » определяет период времени (в днях), в течение которого должен быть использован пароль, прежде чем пользователь сможет его изменить.The Minimum password age policy setting determines the period of time (in days) that a password must be used before the user can change it. Вы можете задать значение в диапазоне от 1 до 998 дн. Кроме того, вы можете разрешить изменение пароля немедленно, установив число дней равным 0.You can set a value between 1 and 998 days, or you can allow password changes immediately by setting the number of days to 0. Минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля, если только не задано значение 0 для максимального срока действия пароля.The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. Если для максимального срока действия пароля задано значение 0, минимальный срок действия пароля можно установить в диапазоне от 0 до 998.If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.
Возможные значенияPossible values
- Указанное пользователем количество дней от 0 до 998User-specified number of days between 0 and 998
- Не определеноNot defined
РекомендацииBest practices
Базовые показатели безопасности Windows рекомендуют задать для 1day минимального срока действия пароля .Windows security baselines recommend setting Minimum password age to 1day.
Настройка количества дней to0 позволяет немедленные изменения пароля, но это не рекомендуется.Setting the number of days to0 allows immediate password changes, which is not recommended. Сочетание непосредственных изменений паролей позволяет сменить пароль на несколько раз, пока не будет выполнено требование к журналу паролей, и снова будет вновь установлен первоначальный пароль.Combining immediate password changes with password history allows someone to change a password repeatedly until the password history requirement is met and re-establish the original password again. Например, предположим, что пароль «Ra1ny Day!»For example, suppose a password is «Ra1ny day!» а требование к истории — 24.and the history requirement is 24. Если минимальный срок действия пароля равен 0, пароль можно изменить 24 повременными значениями в строке, пока не будет изменено обратно на «Ra1ny Day!».If the minimum password age is 0, the password can be changed 24 times in a row until finally changed back to «Ra1ny day!». Минимальный срок действия пароля в 1 день запрещает это.The minimum password age of 1 day prevents that.
Если вы задали пароль для пользователя и хотите, чтобы он изменил пароль, определенный администратором, необходимо установить флажок пользователь должен сменить пароль при следующем входе в систему .If you set a password for a user and you want that user to change the administrator-defined password, you must select the User must change password at next logon check box. В противном случае пользователь не сможет изменить пароль до тех пор, пока не будет задано число дней, указанное в поле Минимальный срок действия пароля.Otherwise, the user will not be able to change the password until the number of days specified by Minimum password age.
LocationLocation
Политика Configuration\Windows Settings\Security Settings\Account Policies\PasswordComputer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
Значения по умолчаниюDefault values
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики.The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики (GPO)Server type or Group Policy Object (GPO) | Значение по умолчаниюDefault value |
|---|---|
| Политика домена по умолчаниюDefault domain policy | 1 день;1 day |
| Политика контроллера домена по умолчаниюDefault domain controller policy | Не определеноNot defined |
| Параметры по умолчанию отдельного сервераStand-alone server default settings | 0 дней0 days |
| Действующие параметры по умолчанию для контроллера доменаDomain controller effective default settings | 1 день;1 day |
| Действующие параметры по умолчанию для рядового сервераMember server effective default settings | 1 день;1 day |
| Действующие параметры GPO по умолчанию на клиентских компьютерахEffective GPO default settings on client computers | 1 день;1 day |
Как сбросить пароль от учетной записи Майкрософт на Windows 10
В Windows 10 пользователь может восстановить пароль от учетной записи Майкрософт онлайн, при наличии интернет-соединения на ПК. Для подключения к сети Интернет, щелкните по соответствующему значку на экране блокировки.
На экране блокировки нажмите на «Не помню пароль».
После этого, перезагрузится компьютер, откроется окно «Подтверждение личности», в котором нужно выбрать способ получения кода безопасности (электронная почта, номер телефона).
Введите требуемые данные, нажмите на кнопку «Получить код», расположенную в левом нижнем углу экрана.
В следующем окне введите код, полученный от Microsoft, нажмите на кнопку «Далее».
В окне «Сброс пароля» необходимо ввести новый пароль, а затем нажать на кнопку «Далее».
Пароль должен состоять из не менее 8 знаков, включающих по крайней мере два типа: буквы в верхнем и нижнем регистре, цифры и символы.
В завершение откроется окно «Ваш пароль изменен».
Войдите в операционную систему Windows 10, введя новый пароль от учетной записи Microsoft.
Эти действия можно выполнить с другого устройства, имеющего выход в интернет, например с телефона или с другого компьютера:
- Войдите на страницу для сброса пароля от аккаунта Microsoft: https://account.live.com/resetpassword.aspx.
- На странице «Восстановление учетной записи» вам предложат ввести данные от вашего аккаунта.
- Выполните предложенные инструкции для восстановления пароля.
- Новый пароль, полученный с помощью другого устройства, введите на своем компьютере.
Windows
le class=»article» data-id=»114094836851″>
Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.
Также можно включить шифрование и для внешних дисков.
Функция работает только в следующих версиях Windows:
— Pro, Enterprise, и Education версии Windows 10;
— Pro и Enterprise версии Windows 8 и 8.1;
— Ultimate и Enterprise версии Windows Vista и Windows 7;
— Windows Server 2008 или более новая версия.
По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.
Однако, можно использовать функцию шифрования и без него.
Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Включение BitLocker.
1. Нажмите на клавиатуре клавиши Windows + R.
2. В новом окне введите gpedit.msc и нажмите ОК.
3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.
В правой части окна дважды щелкните по Шифрование диска BitLocker.
4. Дважды щелкните по Диски операционной системы.
5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.
7. Закройте окно Редактор локальной групповой политки.
8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.
9. Выберите значок Шифрование диска BitLocker.
10. Выберите Включить BitLocker.
11. Дождитесь окончания проверки и нажмите Далее.
12. Ознакомьтесь с предупреждениями и нажмите Далее.
Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов
13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.
14. Нажмите кнопку Далее.
15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.
16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.
Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):
— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;
— Сохранить в файл — ключ будет сохранен в текстовом документе.
— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.
Ключ рекомендуется хранить отдельно от компьютера.
17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.
18. Выберите Новый режим шифрования и нажмите Далее.
19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.
20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.
21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.
22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.
Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Отключение BitLocker.
1. Нажмите на значок BitLocker в правом нижнем углу.
2. Выберите Управление BitLocker.
3. Выберите Отключить BitLocker.
4. В новом окне нажмите Отключить BitLocker.
5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.
Вопросы безопасностиSecurity considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
УязвимостьVulnerability
Типы атак с использованием паролей включают словарные атаки (которые пытаются использовать распространенные слова и фразы) и атаки методом прямого доступа (которые пытаются попытаться выполнить все возможные сочетания символов).Types of password attacks include dictionary attacks (which attempt to use common words and phrases) and brute force attacks (which try every possible combination of characters). Кроме того, злоумышленники иногда пытаются получить базу данных учетных записей, чтобы они могли найти учетные записи и пароли.Also, attackers sometimes try to obtain the account database so they can use tools to discover the accounts and passwords.
ПротиводействиеCountermeasure
Задайте для параметра политики * * * значение 8 или более.Configure the **** policy setting to a value of 8 or more. Если число знаков равно 0, пароль не требуется.If the number of characters is set to 0, no password will be required.
В большинстве сред мы рекомендуем использовать 8-значный пароль, так как он достаточно долго подходит для обеспечения безопасности, но не слишком сложно, чтобы пользователи могли легко запомнить.In most environments, we recommend an eight-character password because it is long enough to provide adequate security, but not too difficult for users to easily remember. Такая конфигурация обеспечивает достаточную защиту от атаки с помощью грубой силы.This configuration provides adequate defense against a brute force attack. Пароль должен соответствовать требованиям к усложнению , а также параметрам, установленным в дополнение к минимальной длине пароля , помогает уменьшить вероятность атаки на словари.Using the Password must meet complexity requirements policy setting in addition to the Minimum password length setting helps reduce the possibility of a dictionary attack.
Примечание
Некоторые юрисдикции затронули законные требования к длине пароля в рамках набора правил безопасности.Some jurisdictions have established legal requirements for password length as part of establishing security regulations.
Возможное влияниеPotential impact
Требования для чрезвычайно долгох паролей на самом деле уменьшают безопасность организации, так как пользователи могут оставлять данные в небезопасном месте или потерять их.Requirements for extremely long passwords can actually decrease the security of an organization because users might leave the information in an unsecured location or lose it. Если требуются очень длинные пароли, некорректно введенные пароли могут привести к блокировкам учетных записей и улучшению громкости звонков в службу поддержки.If very long passwords are required, mistyped passwords could cause account lockouts and increase the volume of Help Desk calls. Если в вашей организации возникли проблемы с забытыми паролями в соответствии с требованиями к длине пароля, рассмотрите возможность обучения пользователей о парольных фразах, которые часто проще запомнить, и из-за большого количества сочетаний символов, которые сложнее найти.If your organization has issues with forgotten passwords due to password length requirements, consider teaching your users about passphrases, which are often easier to remember and, due to the larger number of character combinations, much harder to discover.
Изменение пароля для пользователя с помощью встроенной учетной записи Администратора
Для использования данного способа, вам потребуется одно из: Live CD с возможностью загрузки и доступа к файловой системе компьютера, диск (флешка) восстановления или дистрибутив Windows 10, 8.1 или Windows 7. Я продемонстрирую использование последнего варианта — то есть сброс пароля с помощью средств восстановления Windows на установочной флешке
Важное примечание 2018: в последних версиях Windows 10 (1809, у некоторых — в 1803) описанный далее способ не работает, прикрыли уязвимость
Первым шагом будет загрузка с одного из указанных накопителей. После загрузки и появления экрана выбора языка установки, нажмите клавиши Shift + F10 — это вызовет появление командной строки. Если ничего подобного не появляется, вы можете на экране установки, после выбора языка, слева внизу выбрать пункт «Восстановление системы», затем зайти в Устранение неполадок — Дополнительные параметры — Командная строка.
В командной строке введите по порядку команды (после ввода нажать Enter):
- diskpart
- list volume
Вы увидите список разделов на жестком диске. Запомните букву того раздела (его можно определить по размеру), на котором установлена Windows 10 (это может быть не C в данный момент, при запуске командной строки из программы установки). Введите команду Exit и нажмите Enter. В моем случае это диск C, эту букву я и буду использовать в командах, которые следует ввести далее:
- move c:\windows\system32\utilman.exe c:\windows\system32\utilman2.exe
- copy c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe
- Если все прошло успешно, введите команду wpeutil reboot для перезагрузки компьютера (можно перезагрузить и по-другому). В этот раз загрузитесь с вашего системного диска, а не с загрузочной флешки или диска.
Примечание: если вы использовали не установочный диск, а что-то еще, то ваша задача с помощью командной строки, как было описано выше или другими средствами, сделать копию cmd.exe в папке System32 и переименовать эту копию в utilman.exe.
После загрузки, в окне ввода пароля, нажмите по иконке «Специальные возможности» внизу справа. Откроется командная строка Windows 10.
В командной строке введите net user имя_пользователя новый_пароль и нажмите Enter. Если имя пользователя состоит из нескольких слов, используйте кавычки. Если вы не знаете имени пользователя, используйте команду net users чтобы посмотреть список имен пользователей Windows 10. После смены пароля, вы сразу же сможете зайти под новым паролем в учетную запись. Ниже — видео, в котором подробно показан данный способ.
Заключение
Управление паролями пользователей в Windows 7, может оказаться полезным, если вы администратор и в вашем распоряжении находится парк компьютеров. Даже если вы не администратор, но на вашем домашнем компьютере работает много людей — данная процедура позволит избежать случайного удаления, или просто доступа к конфиденциальной информации. Помимо рассмотренного в статье примера с длиной пароля не стоит на этом ограничиваться, а также установить максимальное время жизни пароля, и требование от пользователей ввода сложных паролей, что также добавит определенной защищенности от взлома учетных записей.
Имейте в виду, что пароль на вход в систему не защищает ваши данные, он просто делает их недоступными для детей и честных людей.
