Что такое битлокер на виндовс 10
Обзор новых функций безопасности Windows 10
Перевод Comss.ru. По материалам Windows Secrets, фото @freshlygroundsounds
Выходим за рамки пароля
Представим три новые функции, которые предназначены для упрощения и усиления безопасности процесса авторизации в учетную запись компьютера. Некоторые функции требуют наличия дополнительных аппаратных компонентов или поддержки новых технологий, как например встроенные чипы-криптопроцессоры Trusted Platform Module (TPM).
Конец жизненного цикла паролей и обещание биометрической аутентификации уже предвещаются на протяжении нескольких лет. Мы еще не достигли этого, но Windows Hello, определенно, является шагом в правильном направлении.
Windows Hello является компонентом биометрической аутентификации в Windows 10. C помощью соответствующего оборудования, Вы можете использовать распознавание лица, отпечатки пальцев или сканирование радужной оболочки глаза в качестве данных для аутентификации. Как и следовало ожидать, Windows Hello невозможно обмануть с помощью простого изображения лица. На самом деле, тесты TECH2 показали, что распознавание лица является настолько точным, что может отличить лица однояйцевых близнецов.
Сканеры радужной оболочки встречаются реже на компьютерах, но сканеры опечатков пальцев встроены на многих ноутбуках, и их несложно добавить в стационарный компьютер.
Passport: данная функция представляет новый уровень процесса избавления от паролей. Вы начинаете с регистрации устройства c Passport при помощи PIN или Windows Hello. Затем система будет аутентифицироваться с помощью учетной записи Microsoft, аккаунта Active Directory или Azure Active Directory или стороннего сервиса, который поддерживают аутентификацию FIDO (Fast IDentity Online).
После того, как Вы были проверены с помощью Passport, Вы можете подключаться к защищаемым аккаунтам и службам без необходимости ввода индивидуальных паролей.
На настоящий момент, Passport разработан преимущественно для корпоративных IT-сред и новейших систем, которые поддерживают криптопроцессоры TPM.
Device Guard: несмотря на усилия по улучшению защиты, реальность такова, что многие современные вредоносные программы и эксплойты могут обходить защитные меры. Частично это связано с тем, что безопасность большинства сетей и устройств является обратной мерой.
Перед тем как антивирусные вендоры смогут создать сигнатуры, необходимые для распознавания и блокировки угрозы, каждая угрозы должна быть обнаружена и детально проанализирована. Системы являются наиболее уязвимыми в промежуток времени между выходом нового эксплойта в сеть и созданием сигнатуры, необходимой для блокировки зловреда. Проблема усугубляется интеллектуальными эксплойтами, которые используют умные фишинг-атаки и методы скрытия вредоносного кода.
Device Guard предназначен для того, что в корне изменить существующую модель безопасности за счет запуска заведомо безопасных приложений. Это разновидность метода белых списков, когда разрешается запуск только подписанных приложений из Магазина Windows, доверенных вендоров или корпоративных программных продуктов.
Device Guard работает в изолированной от основной системы Windows виртуализированной среде. Инструмент изолирован от ядра Windows, поэтому оно не может быть скомпрометировано, даже если киберпреступник имеет корневой доступ к системе Windows 10. Device Guard имеет программные и аппаратные компоненты. Совместимое оборудование будет представлено в будущих компьютерах.
Расширенные возможности приложения BitLocker
Если Вы хотите предотвратить попытки кражи персональной информации, вам нужно зашифровать данные. BitLocker был корпоративной функцией в Windows 7 Enterprise, но сейчас инструмент широко распространен в Windows 10. Рассмотрим основные моменты использования шифрования данных, чтобы расширить ваше представление о данной мере защиты.
Аутентификация Windows 10 позволяет предотвратить попытки несанкционированного доступа к компьютеру, но данные, сохраненные на переносных носителях, таких как SD карты или USB устройства флеш-памяти часто теряются или становятся объектом кражи. При краже компьютера преступник может подключить жесткий диск к другому компьютеру и получить доступ к содержимому. Квалифицированные хакеры смогут найти способ для обхода экрана блокировки Windows.
В Windows 10 компонент BitLocker является легким в настройки и применении для системных дисков, накопителей с данными и переносных носителей, как например USB-флешки. Получить доступ к BitLocker можно набрав в поисковой строке меню Пуск название инструмента. Когда Вы дойдете до ввода “L” Windows уже отобразит приложение “Управление BitLocker” в качестве релевантного результата. Запустите приложение.
При открытии окна “Шифрование диска BitLocker” отображается список дисков, доступных для шифрования. Для старта процесса шифрования просто нажмите ссылку “Включить BitLocker” рядом с диском, который Вы хотите защитить.
Рисунок 1. В Windows 10 Bitlocker позволяет зашифровать системный диск, вторичный и переносные накопители
Для переносных носителей, Вы можете сохранить ключ восстановления BitLocker в аккаунт Microsoft, в файл на локальной системе или распечатать ключ на бумаге. При шифровании фиксированных дисков, Вы можете сохранить ключ на USB устройстве флеш-памяти. Неудивительно, что при выборе способа сохранения ключа в файл, вам будет предложено выбрать местоположение файла на том диске, который не будет зашифрован.
Рисунок 2. Вы можете выбрать несколько способов для безопасного хранения ключа шифрования BitLocker – включая вариант хранения на USB-носителе
Рекомендуется использовать несколько методов для оптимальной безопасности. Сохранение в аккаунт Microsoft является достаточно безопасной мерой, но при выборе сохранения в файл или печати ключа убедитесь, что эти данные хранятся в надежном месте и обязательно запомните это место. Вы будет сильно разочарованы, если не сможете найти ключ шифрования, когда он действительно нужен. (Примечание: Вы можете не использовать учетную запись Microsoft для хранения ключей восстановления для переносных устройств).
Затем, Вы должны решить, нужно ли шифровать весь диск или только используемое пространство (опция по умолчанию). Как правило быстрее зашифровать только используемое дисковое пространство, а новые данные будут зашифровываться автоматически.
Если у вас есть старый диск, который интенсивно использовался, лучше рассмотреть полное шифрование всего диска. Даже если на данный момент Вы используете небольшую часть диска, данные, которые предварительно были сохранены и “удалены” могут быть по-прежнему извлечены, если они находятся в незашифрованной области накопителя.
При шифровании основного диска системы, Bitlocker предлагает провести опциональную проверку. Во время анализа проверяется корректность чтения ключей шифрования и восстановления перед непосредственным началом процедуры шифрования системы и данных. Строго рекомендуется пройти эту проверку. По окончанию выполнения анализа, BitLocker перезагрузит систему и начнет шифрование.
Рисунок 4. При шифровании основного системного раздела позвольте BitLocker провести процедуру проверки системы.
Во время процесса шифрования, Вы можете продолжать пользоваться компьютером. В конечном итоге Вы увидите небольшое окно с уведомлением, что процесс шифрования окончен. BitLocker позволяет легко изменить пароль доступа, включить автоматическую блокировку или полностью отключить BitLocker.
Имейте в виду, что если Вы сохраните резервную копию данных в незашифрованное облачное хранилище или незашифрованный внешний носитель, то эти данные не будут защищены. BitLocker расшифровывает файлы перед передачей их в облачное хранилище. Для обеспечения максимальной безопасности используйте облачный сервис с шифрованием данных и используйте BitLocker для шифрования внешних носителей.
Шифрование BitLocker имеет небольшой эффект на производительность. Файлы должны быть зашифрованы для записи на диск и дешифрованы при доступе к ним. Как правило, замедление не ощутимо, и это небольшая цена за спокойствие по поводу безопасность своих данных.
Как использовать шифрование диска BitLocker в Windows 10
Когда вы храните конфиденциальные данные на своем компьютере, важно предпринять необходимые шаги для защиты этих данных (особенно если вы используете ноутбук или планшет). Это не просто для того, чтобы запретить АНБ доступ к вашим файлам, это скорее предотвращение попадания ваших личных данных в чужие руки в случае незначительного изменения, которое вы потеряете, или украдут ваше устройство.
Вы можете защитить свои данные с помощью шифрования. Вкратце, шифрование — это в основном процесс создания любого типа данных, которые никто не может прочитать без надлежащей авторизации. Если вы используете шифрование для шифрования своих данных, они по-прежнему будут нечитаемыми даже после того, как вы поделитесь ими с другими людьми. Другими словами, только вы с правильным ключом шифрования можете сделать данные снова доступными для чтения.
В этом руководстве по Windows 10 мы расскажем, как настроить BitLocker на вашем компьютере, чтобы обеспечить безопасность ваших конфиденциальных данных.
Что нужно знать, прежде чем погрузиться в это руководство
Важное замечание: Хотя BitLocker является стабильной функцией в Windows 10, любые существенные изменения, которые вы вносите в свой компьютер, сопряжены с риском. Всегда рекомендуется делать полное резервное копирование вашей системы, прежде чем продолжить с этим руководством.
Как проверить, есть ли на вашем устройстве чип TPM
Примечание. Для поддержки BitLocker на вашем компьютере должна быть установлена микросхема TPM версии 1.2 или выше.
Кроме того, вы также можете посетить веб-сайт поддержки производителя вашего ПК, чтобы узнать, содержит ли ваше устройство микросхему безопасности, и получить инструкции по включению микросхемы в BIOS (если применимо).
Как убедиться, что вы можете включить BitLocker без TPM
Если на вашем компьютере нет чипа Trusted Platform Module, вы не сможете включить BitLocker в Windows 10. В этом случае вы все равно можете использовать шифрование, но вам нужно будет использовать локальную групповую политику Редактор для включения дополнительной аутентификации при запуске.
Нажмите OK, чтобы завершить этот процесс.
Как включить BitLocker на диске операционной системы
Убедившись, что BitLocker может быть правильно включен на вашем компьютере, выполните следующие действия:
Введите пароль, который вы будете использовать при каждой загрузке Windows 10, чтобы разблокировать диск, и нажмите Далее, чтобы продолжить. (Убедитесь, что вы создали надежный пароль, состоящий из прописных, строчных букв, цифр и символов.)
Вам будет предложено сохранить ключ восстановления для восстановления доступа к вашим файлам в случае, если вы забудете свой пароль. Варианты включают в себя:
Выберите наиболее удобный для вас вариант и сохраните ключ восстановления в безопасном месте.
Нажмите Далее, чтобы продолжить.
Выберите вариант шифрования, который лучше всего подходит для вашего сценария:
Выберите один из двух вариантов шифрования:
Совместимый режим (лучше всего подходит для дисков, которые можно перемещать с этого устройства)
Нажмите Далее, чтобы продолжить.
Вы можете убедиться, что BitLocker включен по значку замка на диске, когда вы открываете этот компьютер в проводнике.
Параметры шифрования диска BitLocker
Когда BitLocker включен на вашем основном жестком диске, вы получите несколько дополнительных опций, в том числе:
Как включить BitLocker To Go
Чтобы включить BitLocker To Go на съемном диске, выполните следующие действия:
Нажмите Далее, чтобы продолжить.
Вам будет предложено сохранить ключ восстановления для восстановления доступа к вашим файлам в случае, если вы забудете свой пароль. Варианты включают в себя:
Выберите вариант шифрования, который лучше всего подходит для вашего сценария:
Выберите один из двух вариантов шифрования:
Совместимый режим (лучше всего подходит для дисков, которые можно перемещать с этого устройства)
На этом шаге рекомендуется выбрать «Режим совместимости», так как он гарантирует, что вы сможете разблокировать диск, если переместите его на другой компьютер, на котором установлена предыдущая версия операционной системы.
Нажмите Начать шифрование, чтобы завершить процесс.
При шифровании хранилища попытайтесь начать с пустого съемного носителя, так как это ускорит процесс, затем новые данные будут автоматически зашифрованы.
Кроме того, подобно BitLocker Drive Encryption, вы получите те же дополнительные параметры, используя BitLocker To Go, а также некоторые другие, в том числе:
Быстрый доступ для управления диском BitLocker
Независимо от того, включен ли BitLocker для системного жесткого диска или съемного диска, вы всегда можете получить быстрый доступ к настройкам BitLocker для конкретного диска, выполнив следующие действия:
Завершение вещей
Хотя Microsoft включает BitLocker только в Windows 10 Pro и Enterprise, это одна из тех функций, которая должна быть стандартной в каждой редакции, в том числе в Windows 10 Home. Более того, учитывая, что мы продолжаем двигаться в цифровой мир, где каждый день мы создаем на наших компьютерах более конфиденциальные данные, чем когда-либо прежде, и шифрование данных имеет решающее значение для защиты наших данных от посторонних глаз.
Стоит отметить, что включение шифрования данных может немного замедлить производительность вашего устройства из-за процесса шифрования, который будет продолжать работать в фоновом режиме. Однако эту функцию стоит использовать для обеспечения безопасности ваших конфиденциальных данных.
Используете ли вы шифрование данных на вашем компьютере? Расскажите нам в комментариях ниже.
Больше ресурсов по Windows 10
Чтобы получить дополнительные справочные статьи, обзор и ответы по Windows 10, посетите следующие ресурсы:
Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше
FaQ управления ключами BitLocker
Область применения
Как проверить подлинность или разблокировать съемный диск данных?
Можно разблокировать съемные диски данных с помощью пароля, смарт-карты или настроить протектор SID для разблокировки диска с помощью учетных данных домена. После начала шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настраивать доступные для пользователей параметры, а также сложность пароля и минимальные требования к длине. Чтобы разблокировать с помощью протектора SID, используйте Manage-bde:
В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?
Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.
Где хранить пароль восстановления и ключ восстановления?
Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.
Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.
Администратор домена может дополнительно настроить групповую политику для автоматического создания паролей восстановления и хранения их в службах домена Active Directory (ADDS) для любого диска с защитой BitLocker.
Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?
С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если для BitLocker используется только проверка подлинности с помощью доверенного платформенного модуля, и вы хотите добавить проверку подлинности с помощью ПИН-кода, выполните указанные ниже команды в командной строке с правами администратора, заменив 4–20-значный числовой ПИН-код числовым ПИН-кодом, который вы хотите использовать.
Когда следует рассматривать дополнительные метод проверки подлинности?
Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, в устройствах Surface Pro и Surface Book отсутствуют внешние порты DMA, через которые возможны атаки. Если используется более старое оборудование, для которого может потребоваться PIN-код, рекомендуем включать функцию улучшенные ПИН-коды, которая позволяет применять нецифровые символы, например буквы и знаки препинания, а также выбирать длину PIN-кода в зависимости от допустимого риска и способности вашего оборудования противодействовать подбору паролей, доступной для доверенных платформенных модулей на вашем компьютере.
Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?
Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.
Храните сведения о восстановлении в ADDS вместе с учетной записью Майкрософт или другом безопасном расположении.
Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?
Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.
Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?
Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker, чтобы открыть параметры для копирования ключей восстановления.
Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?
Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.
Можно ли создать несколько различных ключей запуска для одного компьютера?
С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.
Можно ли создавать несколько сочетаний ПИН-кода?
Создавать несколько сочетаний ПИН-кода невозможно.
Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?
Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.
Где хранятся ключи шифрования?
Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.
Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.
Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?
Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.
Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.
Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?
Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.
Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора. После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.
Как определить производителя своего доверенного платформенного модуля?
Вы можете определить производителя TPM в Защитник Windows безопасности центрабезопасности устройств > **** > **** безопасности.
Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?
Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:
Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?
И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера. При этом в групповой политике невозможно задать требования к сложности ПИН-кода.