Офлайновые атаки
Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с загрузочной флешкой может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова — уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.
В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход — открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.
Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?
Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит повысить права или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя сделает админом и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.
Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске — это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?
Дискуссия и опрос
В обсуждениях шифрования Windows, как правило, всплывают два тезиса, которые я бы хотел предвосхитить.
Мифический бэкдор в BitLocker. В отсутствие доказательств тезис остается на уровне теории заговора. Все просто – если вы не доверяете реализации Microsoft, используйте стороннюю.
Отсутствие важных данных на ПК
Здесь нередко недооценивается важность. Любой аккаунт мессенджера или соцсети мошенники могут использовать против ваших родственников и знакомых, чтобы развести их на деньги.
С выбором из пунктов опроса, касающихся BitLocker, поможет командлет Get-BitLockerVolume. При включенном шифровании в свойстве помимо прочего всегда фигурирует Recovery Password — тот самый 48-значный пароль восстановления, который в GUI и документации упорно именуют ключом. И да, его можно вывести этим же командлетом.
Шифруете ли вы несъемные диски целиком хотя бы на одном личном домашнем ПК?
- Не шифрую, и мне это не нужно (47%, голосов: 87)
- Не шифрую, но теперь хочу (24%, голосов: 44)
- Да, Bitlocker (настроен вручную, защищен TPM) (8%, голосов: 15)
- Да, но не BitLocker (8%, голосов: 15)
- Не знаю / Моего варианта тут нет (5%, голосов: 10)
- Да, BitLocker (настроен вручную, защищен только паролем на запуск) (5%, голосов: 9)
- Да, автоматическое шифрование устройства BitLocker (описано в статье) (2%, голосов: 4)
- Да, BitLocker (настроен вручную, защищен TPM плюс PIN и/или USB-ключ) (1%, голосов: 1)
Проголосовало: 185
Загрузка …
Repair — bdeRepair-bde
Возможно, у вас возникла проблема, из-за которой вы повреждаете область жесткого диска, на которой BitLocker хранит важную информацию.You may experience a problem that damages an area of a hard disk on which BitLocker stores critical information. Эта проблема может возникать из-за сбоя жесткого диска или неожиданного выхода Windows.This kind of problem may be caused by a hard disk failure or if Windows exits unexpectedly.
Средство восстановления BitLocker (Repair-bde) можно использовать для доступа к зашифрованным данным на жестком диске, если диск был зашифрован с помощью BitLocker.The BitLocker Repair Tool (Repair-bde) can be used to access encrypted data on a severely damaged hard disk if the drive was encrypted by using BitLocker. Repair-bde может восстановить критические части диска и восстановить данные, которые будут восстановлены, пока для их расшифровки используется допустимый пароль восстановления или ключ восстановления.Repair-bde can reconstruct critical parts of the drive and salvage recoverable data as long as a valid recovery password or recovery key is used to decrypt the data. Если данные метаданных BitLocker на диске повреждены, необходимо указать пакет ключа резервного копирования в дополнение к паролю восстановления или ключу восстановления.If the BitLocker metadata data on the drive has become corrupt, you must be able to supply a backup key package in addition to the recovery password or recovery key. Этот ключевой пакет архивирован в доменных службах Active Directory (добавляет), если вы использовали параметр по умолчанию для добавления резервной копии.This key package is backed up in Active Directory Domain Services (ADDS) if you used the default setting for ADDS backup. С помощью этого ключевого пакета и либо пароля восстановления, либо ключа восстановления можно расшифровывать части диска, защищенного BitLocker, если диск поврежден.With this key package and either the recovery password or recovery key, you can decrypt portions of a BitLocker-protected drive if the disk is corrupted. Каждый пакет ключей будет работать только на диске с соответствующим идентификатором диска.Each key package will work only for a drive that has the corresponding drive identifier. Вы можете использовать средство просмотра паролей восстановления BitLocker, чтобы получить этот ключевой пакет от добавления.You can use the BitLocker Recovery Password Viewer to obtain this key package from ADDS.
Программа командной строки Repair-bde предназначена для использования в случаях, когда операционная система не запускается или не запускается консоль восстановления BitLocker.The Repair-bde command-line tool is intended for use when the operating system does not start or when you cannot start the BitLocker Recovery Console. Repair-bde следует использовать при соблюдении указанных ниже условий.You should use Repair-bde if the following conditions are true:
- Вы зашифровали диск с помощью шифрования диска BitLocker.You have encrypted the drive by using BitLocker Drive Encryption.
- Windows не запускается или вы не можете запустить консоль восстановления BitLocker.Windows does not start, or you cannot start the BitLocker recovery console.
- У вас нет копии данных, содержащихся на зашифрованном диске.You do not have a copy of the data that is contained on the encrypted drive.
Для Repair-bde существуют следующие ограничения:The following limitations exist for Repair-bde:
- Средству командной строки Repair-bde не удается восстановить диск, который завершился сбоем при шифровании или шифровании.The Repair-bde command-line tool cannot repair a drive that failed during the encryption or decryption process.
- Средство Repair-bde в командной строке предполагает, что если на диске есть шифрование, то диск полностью зашифрован.The Repair-bde command-line tool assumes that if the drive has any encryption, then the drive has been fully encrypted.
Дополнительные сведения об использовании Repair-bde можно найти в разделе Repair-bde.For more information about using repair-bde, see Repair-bde.
Управление паролями и ПИН-кодамиManage passwords and PINs
Если BitLoслук включен на системном диске и ПК оснащен модулем TPM, можно потребовать от пользователей ввода ПИН-кода, прежде чем BitLocker разблокирует диск.When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. Это требование защищает от злоумышленников, получивших физический доступ к ПК, и не позволяет им даже дойти до входа в систему Windows. В результате получить доступ к данным пользователя или системным файлам или изменить их практически невозможно.Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.
Требование ввода ПИН-кода при запуске — полезный механизм обеспечения безопасности, потому что он выступает в качестве второго фактора проверки подлинности («что-то, что вы знаете»).Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”). Тем не менее, есть и другая сторона медали.This configuration comes with some costs, however. Во-первых, необходимо регулярно менять ПИН-код.One of the most significant is the need to change the PIN regularly. В организациях, в которых использовался BitLocker с Windows7 и операционной системой WindowsVista, пользователям пришлось обращаться к системным администраторам для обновления PIN-кода или пароля BitLocker.In enterprises that used BitLocker with Windows7 and the WindowsVista operating system, users had to contact systems administrators to update their BitLocker PIN or password. В результате не только росли затраты на управление, но и пользователи не желали менять ПИН-код или пароль BitLocker достаточно часто.This requirement not only increased management costs but made users less willing to change their BitLocker PIN or password on a regular basis.
Пользователи Windows10 могут обновлять свои ПИН-коды и пароли BitLocker без учетных данных администратора.Windows10 users can update their BitLocker PINs and passwords themselves, without administrator credentials. Это не только позволяет снизить затраты на поддержку, но и повысить безопасность, потому что поощряется регулярная смена ПИН-кодов и паролей пользователями.Not only will this feature reduce support costs, but it could improve security, too, because it encourages users to change their PINs and passwords more often. Кроме того, современные устройства с резервным заполнением не требуют ПИН-кода для запуска: они предназначены для нечастого запуска и имеют другие меры по их уменьшению, которые еще более уменьшают область для атак системы.In addition, Modern Standby devices do not require a PIN for startup: They are designed to start infrequently and have other mitigations in place that further reduce the attack surface of the system.
Дополнительные сведения о том, как работает безопасность запуска и контрмеры, предоставляемые Windows10, приведены в разделе Защита BitLocker от атак с предварительной загрузкой.For more information about how startup security works and the countermeasures that Windows10 provides, see Protect BitLocker from pre-boot attacks.
Система администрирования и мониторинга Microsoft BitLockerMicrosoft BitLocker Administration and Monitoring
MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями.Part of the Microsoft Desktop Optimization Pack, MBAM makes it easier to manage and support BitLocker and BitLocker To Go. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции:MBAM 2.5 with Service Pack 1, the latest version, has the following key features:
- позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;Enables administrators to automate the process of encrypting volumes on client computers across the enterprise.
- позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;Enables security officers to quickly determine the compliance state of individual computers or even of the enterprise itself.
- Обеспечивает централизованное управление отчетами и оборудованием с помощью диспетчера конфигураций конечных точек Microsoft Microsoft.Provides centralized reporting and hardware management with Microsoft Microsoft Endpoint Configuration Manager.
- снижает нагрузку на службу технической поддержки, обрабатывающую запросы на восстановление BitLocker от конечных пользователей;Reduces the workload on the help desk to assist end users with BitLocker recovery requests.
- позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;Enables end users to recover encrypted devices independently by using the Self-Service Portal.
- позволяет специалистам по безопасности легко контролировать доступ к информации о ключах восстановления;Enables security officers to easily audit access to recovery key information.
- позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;Empowers Windows Enterprise users to continue working anywhere with the assurance that their corporate data is protected.
- применяет параметры политики шифрования с помощью BitLocker, настроенные для вашей организации;Enforces the BitLocker encryption policy options that you set for your enterprise.
- Интеграция с существующими средствами управления (например, Диспетчер конфигураций конечных точек Microsoft).Integrates with existing management tools, such as Microsoft Endpoint Configuration Manager.
- позволяет пользователям выполнять восстановление, пользуясь заданными ИТ-специалистами настройками;Offers an IT-customizable recovery user experience.
- Поддерживает Windows10.Supports Windows10.
Планшетные устройства не поддерживают использование команды Manage-bde-форцерековери для проверки режима восстановленияTablet devices do not support using Manage-bde -forcerecovery to test recovery mode
На устройстве планшета или планшета вы пытаетесь проверить восстановление BitLocker, выполнив следующую команду:You have a tablet or slate device, and you try to test BitLocker Recovery by running the following command:
Однако после ввода пароля восстановления невозможно запустить устройство.However, after you enter the recovery password, the device cannot start.
ПричинаCause
Важно!
Планшетные устройства не поддерживают команду Manage-bde-форцерековери.Tablet devices do not support the manage-bde -forcerecoverycommand.
Эта проблема возникает из-за того, что диспетчер загрузки Windows не может обрабатывать сенсорные входные данные на этапе предварительной загрузки.This issue occurs because the Windows Boot Manager cannot process touch input during the pre-boot phase of startup. Если диспетчер загрузки обнаружит, что устройство является планшетом, оно перенаправляет процесс запуска в среду восстановления Windows (WinRE), которая может обрабатывать сенсорные входные данные.If Boot Manager detects that the device is a tablet, it redirects the startup process to the Windows Recovery Environment (WinRE), which can process touch input.
Если Виндовсре обнаруживает предохранитель доверенного платформенного модуля на жестком диске, он производит запечатывание PCR.If WindowsRE detects the TPM protector on the hard disk, it does a PCR reseal. Тем не менее, команда Manage-bde-форцерековериУдаляет предохранители доверенного платформенного модуля на жестком диске.However, the manage-bde -forcerecoverycommand deletes the TPM protectors on the hard disk. Таким образом, WinRE не может запечатывать PCRs.Therefore, WinRE cannot reseal the PCRs. Этот сбой вызывает бесконечный цикл восстановления BitLocker и препятствует запуску Windows.This failure triggers an infinite BitLocker recovery cycle and prevents Windows from starting.
Это поведение является особенностью для всех версий Windows.This behavior is by design for all versions of Windows.
Обходной путьWorkaround
Чтобы устранить цикл перезапуска, выполните указанные ниже действия.To resolve the restart loop, follow these steps:
- На экране восстановление BitLocker выберите пункт пропустить этот диск.On the BitLocker Recovery screen, select Skip this drive.
- Выберите команду Устранение неполадок > вкомандной строке»Дополнительные параметры > «.Select Troubleshoot > Advanced Options > Command Prompt.
-
В окне командной строки выполните указанные ниже команды.In the Command Prompt window, run the following commands :
- Закройте окно командной строки.Close the Command Prompt window.
- Завершите работу устройства.Shut down the device.
- Запустите устройство.Start the device. Windows должна запускаться как обычно.Windows should start as usual.
Windows
le class=»article» data-id=»114094836851″>
Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.
Также можно включить шифрование и для внешних дисков.
Функция работает только в следующих версиях Windows:
— Pro, Enterprise, и Education версии Windows 10;
— Pro и Enterprise версии Windows 8 и 8.1;
— Ultimate и Enterprise версии Windows Vista и Windows 7;
— Windows Server 2008 или более новая версия.
По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.
Однако, можно использовать функцию шифрования и без него.
Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Включение BitLocker.
1. Нажмите на клавиатуре клавиши Windows + R.
2. В новом окне введите gpedit.msc и нажмите ОК.
3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.
В правой части окна дважды щелкните по Шифрование диска BitLocker.
4. Дважды щелкните по Диски операционной системы.
5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.
7. Закройте окно Редактор локальной групповой политки.
8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.
9. Выберите значок Шифрование диска BitLocker.
10. Выберите Включить BitLocker.
11. Дождитесь окончания проверки и нажмите Далее.
12. Ознакомьтесь с предупреждениями и нажмите Далее.
Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов
13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.
14. Нажмите кнопку Далее.
15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.
16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.
Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):
— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;
— Сохранить в файл — ключ будет сохранен в текстовом документе.
— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.
Ключ рекомендуется хранить отдельно от компьютера.
17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.
18. Выберите Новый режим шифрования и нажмите Далее.
19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.
20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.
21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.
22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.
Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Отключение BitLocker.
1. Нажмите на значок BitLocker в правом нижнем углу.
2. Выберите Управление BitLocker.
3. Выберите Отключить BitLocker.
4. В новом окне нажмите Отключить BitLocker.
5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.
Поддерживает ли BitLocker смарт-карты для предзагрузочной проверки подлинности?Can BitLocker support smart cards for pre-boot authentication?
BitLocker не поддерживает смарт-карты для предзагрузочной проверки подлинности.BitLocker does not support smart cards for pre-boot authentication. Для поддержки смарт-карт во встроенном ПО отсутствует единый отраслевой стандарт, и в большинстве компьютеров поддержка смарт-карт во встроенном ПО не реализована либо распространяется только на определенные типы смарт-карт и устройств чтения.There is no single industry standard for smart card support in the firmware, and most computers either do not implement firmware support for smart cards, or only support specific smart cards and readers. Отсутствие стандартизации делает слишком сложной задачу поддержки смарт-карт.This lack of standardization makes supporting them very difficult.
Шифрование диска Bitlocker
Перейдите на рабочий стол, запустите Проводник и щелкните правой кнопкой мыши по диску, который вы хотите зашифровать. Напомню, что это может быть логический том, SD-карта, флешка, USB-диск, SSD-накопитель. Из появившегося меню выберите команду Включить BitLocker.
Команда включения шифрования BitLocker
Первым делом вас спросят, как вы будете снимать блокировку с зашифрованного диска: с помощью пароля или смарт-карты. Нужно выбрать один из вариантов (или оба: тогда будут задействованы и пароль, и смарт-карта), иначе кнопка Далее не станет активной.
Как будем снимать блокировку Bitlocker ?
На следующем шаге вам будет предложено создать резервную копию ключа
восстановления.
Архивация ключа восстановления
ПОЯСНЕНИЕ Ключ восстановления используется для разблокировки диска в случае, когда вы забыли пароль или потеряли смарт-карту. Отказаться от создания ключа восстановления нельзя. И это правильно, потому что, приехав из отпуска, свой пароль к зашифрованному диску я-таки забыл. Эта же ситуация может повториться и у вас. Поэтому выбираем один из предложенных способов архивирования ключа восстановления.
- Сохранение ключа в учетную запись Майкрософта. Этот способ я не рекомендую: нет соединения с Интернетом — получить свой ключ не получится.
- Сохранение в файл — оптимальный способ. Файл с ключом восстановления будет записан на рабочий стол.
Сохранение ключа восстановления на рабочем столе
- Сами понимаете, его оттуда следует перенести в более надежное место, на-пример на флешку. Также желательно его переименовать, чтобы по имени файла не было сразу понятно, что это как раз тот самый ключ. Можно открыть этот файл (позже вы увидите, как он выглядит) и скопировать сам ключ восстановления в какой-то файл, чтобы только вы знали, что это за строка и в каком файле она находится. Оригинальный файл с ключом восстановления лучше потом удалить. Так будет надежнее.
- Распечатка ключа восстановления — идея довольно дикая, разве что потом вы поместите этот лист бумаги в сейф и закроете на семь замков.
Теперь нужно определить, какую часть диска требуется шифровать.
Какую часть диска нужно зашифровать?
Можно зашифровать только занятое место, а можно — сразу весь диск. Если ваш диск практически пуст, то намного быстрее зашифровать только занятое место. Рассмотрим варианты:
- пусть на флешке в 16 Гбайт имеется всего 10 Мбайт данных. Выберите первый вариант, и диск будет зашифрован мгновенно. Новые же файлы, записываемые на флешку, будут шифроваться «на лету», т. е. автоматически;
- второй вариант подойдет, если на диске много файлов, и он почти полностью заполнен. Впрочем, для той же 16-гигабайтной флешки, но заполненной до 15 Гбайт, разница во времени шифрования по первому или второму варианту будет практически неразличима (что 15 Гбайт, что 16 — будут шифроваться
практически одно и то же время); - однако если на диске мало данных, а вы выбрали второй вариант, то шифрование будет длиться мучительно долго по сравнению с первым способом.
Итак, осталось только нажать кнопку Начать шифрование.
Шифрование диска программой Битлокер
Дождаться, пока диск будет зашифрован. Не выключайте питание компьютера и не перезагружайте его до тех пор, пока шифрование не завершится — об этом вы получите соответствующее сообщение.
Если произойдет сбой питания, то шифрование при запуске Windows будет продолжено с того самого момента, где оно было остановлено. Так написано на сайте Майкрософт. Верно ли это для системного диска, я не проверял — не захотелось рисковать.
Продолжение статьи на следующей странице. Для перехода на следующую страницу нажмите на кнопоку 2 которая находится под кнопками социальных сетей.
Страницы 1
Доступно ли шифрование устройства в Windows 10 Home?
Функция шифрования устройства присутствует во всех выпусках Windows 10 (версия 1511 и выше), включая домашнюю версию. Проще говоря, вы можете зашифровать свои файлы, даже если вы используете Windows 10 Home edition.
Однако функция шифрования устройства доступна не на всех компьютерах, поскольку многие компьютеры не соответствуют минимальным требованиям к оборудованию для этого (прокрутите страницу вниз, чтобы узнать, как проверить, поддерживает ли ваш компьютер шифрование устройства). Вот аппаратные требования для шифрования устройства:
- Компьютер с поддержкой TPM
- UEFI-совместимый компьютер
- Компьютер должен поддерживать подключенный режим ожидания
Помимо строгих требований к оборудованию, вы должны использовать учетную запись Microsoft для входа в Windows 10, чтобы включить и использовать шифрование устройства. Когда вы входите в систему с учетной записью Microsoft на ПК, отвечающем требованиям к оборудованию, шифрование устройства автоматически включается. Вы можете проверить то же самое, перейдя в Настройки> Обновление и безопасность> Шифрование устройства.