Часть 1: Что такое BitLocker?
BitLocker Drive Encryption или просто BitLocker — это программа для шифрования, которое Microsoft представила для защиты данных пользователей. Он легко интегрируется с операционной системой и не позволяет хакерам и киберпреступникам похитить или просмотреть данные, хранящиеся на диске.
С помощью BitLocker вы можете использовать 128-битные или 256-битные ключи шифрования AES. Он также объединяет технологию шифрования на диске с уникальными функциями управления ключами.
Поддерживаемая ОС — Windows
Впервые Windows выпустила BitLocker для Windows Vista в 2007 году. Он получил значительное обновление для Windows 10, включающее улучшения в технологии шифрования, съемные диски с данными, обновленные настройки групповой политики и многое другое. Обновления были применены к Windows 10, 11 и Server 2016 и высшим версиям.
BitLocker совместим с:
- Windows Vista и Windows 7: Максимальная и Корпоративная версии
- Windows 8 и 8.1: Профессиональная и Корпоративная версии
- Windows 10 и 11: Профессиональная, Корпоративная и Образовательная версии
Системные требования
В дополнение к соответствующей версии и выпуску Windows для запуска BitLocker необходимы следующие системные требования:
- TPM 1.2 или более поздней версии: Если на вашем компьютере не установлен Trusted Platform Module 1.2 или более поздней версии, вам потребуется сохранить ключ запуска на флэш-накопителе или съемном жестком диске.
- Прошивка BIOS или UEFI: компьютеру требуется одна из этих прошивок, совместимая с Trusted Computing Group (TCG), для обеспечения надежной цепочки доверия при загрузке системы. Если на компьютере нет TPM и вы используете флэш-память или внешний жесткий диск, он не обязательно должен быть совместимым с BIOS или UEFI.
- Несколько разделов на жестком диске: На жестком диске должно быть как минимум два свободных диска. Одной из них является файловая система NTFS, в которой хранится ОС и поддерживаются файлы. Второй диск — это место, где расположены файлы, необходимые для загрузки Windows. BitLocker не будет работать на этом диске, не должен быть зашифрован и требует форматирования FAT32 для устройств UEFI или NTFS для компьютеров с прошивкой IOS. После установки BitLocker объем системного диска должен быть не менее 350 МБ, из них 250 МБ свободного места.
Как использовать BitLocker?
BitLocker — это программа простое в использовании, интегрированное с Windows Vista и выше. Вы можете получить к нему доступ через Панель управления Система и безопасность, а затем щелкните параметр Управление BitLocker.
Откроется окно BitLocker, чтобы начать нажмите ссылку «Включить BitLocker», чтобы продолжить вам потребуются права администратора на компьютере. Система просканирует ваш компьютер, чтобы убедиться, что он совместим, а затем предложит вам два варианта шифрования ваших данных:
- Только занятое место на диске: Это более быстрый вариант, идеально подходящий для новых компьютеров или жестких дисков.
- Свободное место на диске: Этот параметр шифрует весь диск. Хотя это занимает немного больше времени, это лучший вариант для старых компьютеров и жестких дисков.
Как только шифрование будет завершено, данные в системе и любые данные, которые будут храниться в будущем, будут защищены. Ключ расшифровки BitLocker хранится на устройстве, что позволяет вам загружать компьютер как обычно, хотя есть возможность запрашивать пароль во время предварительной загрузки.
BitLocker имеет функцию под названием BitLocker to Go, которую можно использовать для шифрования внешних жестких дисков и USB-накопителей.
Часто задаваемые вопросы о BitLocker
- Почему при использовании BitLocker требуется два раздела?
Чтобы успешно шифровать и защищать данные устройства, BitLocker нужны определенные компоненты на отдельных дисках. Загрузочный диск содержит операционную систему и вспомогательные файлы и должен быть отформатирован в файловой системе NTFS. Второй диск не может быть зашифрован, но содержит важные компоненты, такие как файлы, необходимые для загрузки Windows. Он не только должен отличаться от загрузочного диска, но также должен быть отформатирован в FAT32 или NTFS, в зависимости от прошивки.
- Какие доверенные платформенные модули (TPM) поддерживает BitLocker?
На вашем компьютере должен быть установлен TPM 1.2 или более поздней версии для запуска BitLocker. Кроме того, если у вас есть совместимый TPM, вам также потребуется микропрограмма Trusted Computing Group (TCG), например BIOS или UEFI.
- Как проверить, есть ли на моем компьютере TPM?
Шаг 1: В Windows 10 и выше откройте приложение "Безопасность Windows" и щелкните поле "Безопасность устройства".
Шаг 2: Если у вас есть TPM, он будет указан в разделе Процессор безопасности. Щелкните ссылку Сведения о процессоре безопасности, чтобы просмотреть номер версии TPM.
Шаг 3: Здесь вы увидите характеристики вашего TPM. Если это 1.2 или выше, вы можете без проблем запустить BitLocker.
В более старых версиях Windows откройте инструмент TPM MMC (tpm.msc), и вы увидите статус TPM в разделе «Состояние». Другой вариант — запустить PowerShell и запустить поиск Get-TPM. Это покажет вам характеристики вашего TPM. Обратите внимание, что вам нужны права администратора для запуска поиска PowerShell.
- Будет ли BitLocker работать в операционной системе без TPM?
Да, если на вашем компьютере нет TPM, вы все равно можете включить BitLocker с помощью USB-накопителя, если у вас есть ключ запуска. Компьютеру все равно потребуется прошивка IOS или UEFI, так как они нужны для активации загрузочной среды с USB.
Иногда может понадобиться удалить шифрование BitLocker.
- Как получить поддержку BIOS для TPM на моем компьютере?
Вам нужно будет связаться с производителем, если на вашем ПК нет прошивки BIOS. Отправьте запрос на загрузочную прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG), которая отвечает минимальным требованиям для работы с BitLocker.
- Какой уровень доступа требуется для использования BitLocker?
Для включения, выключения или изменения параметров конфигурации BitLocker в операционной системе вам необходим доступ к сети или системному администратору. Если вы используете BitLocker to Go на съемном диске, любой обычный пользователь имеет доступ к его включению, отключению и изменению параметров конфигурации.
- Каков оптимальный порядок загрузки компьютеров с шифрованием BitLocker?
При настройке порядка запуска для вашего ПК вы должны убедиться, что жесткий диск является первым компонентом, который должен запускаться. После этого вы можете разрешить запуск других дисков, таких как внешние или съемные жесткие диски, а затем — обычного приложения и программ.
Часть 2. Как работает BitLocker?
BitLocker работает с TPM (Доверенным Платформенным Модулем) для защиты данных операционной системы или на съемном жестком диске с помощью надежного шифрования. Он создает уникальный и неуязвимый ключ восстановления для вашего жесткого диска. Без ключа и его конкретного PIN-кода вы не сможете получить доступ к данным. Вы также можете создать ключ восстановления в качестве резервной копии на тот случай, если вы потеряете или забудете пароль. Рекомендуется хранить этот ключ в надежном месте, а не на компьютере.
Режимы шифрования
BitLocker предлагает три различных режима шифрования на выбор:
- Прозрачный режим работы: BitLocker подключается к оборудованию TPM, чтобы создать прозрачный пользовательский интерфейс. После его установки ничего особенного не делая вы можете загрузить компьютер. Ключ шифрования хранится в TPM и расшифровывает операционную систему и код загрузчика только в том случае, если в файлы ранней загрузки не вносились изменения. Все это происходит в фоновом режиме и не требует никаких действий.
- Режим USB-ключа: на USB-накопителе хранится ключ шифрования. Операционная система не загрузится, если вы не подключите USB-диск к компьютеру.
- Режим аутентификации пользователя: Перед загрузкой компьютера необходимо ввести учетные данные для аутентификации, например PIN-код или пароль, чтобы расшифровать ОС и получить доступ к своим данным.
Многочисленные алгоритмы шифрования
Ваши данные зашифрованы с помощью Advanced Encryption Standard (AES). У вас есть возможность использовать 128-битную или 256-битную версию, которая определяет длину ключа шифрования. Оба варианта невероятно мощны и безопасны, и их почти невозможно взломать.
Если вы используете BitLocker в Windows 10 или выше, вы можете выбрать еще более сложное шифрование, известное как алгоритм шифрования XTS-AES.
Предохранители ключей BitLocker
Неважно, сколько бит в шифровании, если ключ не защищен. BitLocker использует следующие меры безопасности для защиты ключа восстановления.
- TPM: TPM защищает корень доверия, защищая ключ восстановления BitLocker.
- PIN: Создайте безопасный числовой PIN-код, который нужно ввести во время предварительной загрузки. Это работает вместе с TPM.
- Расширенный PIN-код: Чтобы разблокировать ключ, пользователь должен ввести буквенно-цифровой PIN-код. Это работает вместе с TPM.
- Ключ запуска: Загрузите ключ шифрования на съемный жесткий диск или USB-накопитель. Для работы ключа запуска не требуется TPM.
- Пароль восстановления: Создайте 48-значный код для доступа к вашим данным, когда компьютер находится в режиме восстановления. Вы можете ввести пароль восстановления, используя функциональные клавиши F1–F10, если ваша цифровая клавиатура не работает в режиме восстановления.
- Ключ восстановления: Загрузите ключ восстановления на внешний или съемный диск. Его можно использовать для восстановления зашифрованных данных с любого тома BitLocker. Есть несколько способов найти ключ восстановления, например, в вашей учетной записи Microsoft, на USB-накопителе или у системного администратора.
Подробнее: Что такое PIN-код/пароль BitLocker и как его изменить?
Часть 3: Разница между BitLocker и система шифрования данных (EFS)
И BitLocker, и Шифрованная Файловая Система (EFS) — это безопасные инструменты, разработанные Microsoft для шифрования и защиты данных, хранящихся на вашем компьютере. Хотя обе программы используют надежное шифрование, который работает по-разному.
EFS требует, чтобы вы просматривали свои файлы и папки и добавляли их в очередь шифрования по одному. Это полезно, если вы хотите защитить только определенные файлы, хотя для каждого файла вам необходимо настроить дополнительные параметры.
BitLocker — это программа для полного шифрования диска, позволяющая создать диск BitLocker. Он автоматически зашифрует весь жесткий диск или операционную систему, и вы можете просто запустить его в фоновом режиме. EFS требует, чтобы вы просматривали свои файлы и папки и по одному добавляли их в очередь шифрования.
Еще одно существенное отличие состоит в том, что BitLocker работает с TPM, а EFS не требует специального оборудования, что делает его более доступным для старых компьютеров.
BitLocker интегрирован с Windows, что делает его невероятно простым в настройке и использовании это. EFS — это скорее функция файловой системы NTFS, и для ее правильной настройки требуется дополнительная настройка.
Две программы шифрования могут работать вместе, что обеспечивает невероятно надежную защиту данных.
Часть 4: Безопасность данных BitLocker — насколько безопасен BitLocker?
Насущный вопрос: может ли опытный хакер или киберпреступник получить доступ к вашим данным даже с помощью 128- или 256-битного шифрования AES, ключей безопасности, TPM и средств защиты от любого доступа к вашим данным?
По словам источника в Microsoft, в BitLocker нет преднамеренной уязвимости бэкдора. Это означает, что государственные учреждения или правоохранительные органы не могут заставить Microsoft или системного администратора предоставить им доступ к пользовательским данным.
Известные проблемы безопасности
Хотя официальной уязвимости к бэкдору нет, ни одна система не защищена на 100%. В начале 2008 года группа исследователей онлайн-безопасности опубликовала отчет об «атаке с холодной загрузкой». Для хакеров это способ обойти полное шифрование диска, которое предоставляет BitLocker, путем загрузки ОС со съемного диска, подключенного к другому компьютеру и другой операционной системе. Затем они смогли сбросить содержимое предзагрузочной памяти на новый диск и получить доступ к данным.
Профессор Принстонского университета опубликовал статью с двумя рекомендациями по защите данных.
- Выключите компьютер, если вы не можете его физически контролировать. Это полное выключение, а не просто перевод устройства в режим сна.
- Всегда настраивайте программу шифрования таким образом, чтобы она загружалась только с паролем, который владелец устройства вводит вручную.
В ноябре 2015 года Microsoft выпустила обновление, закрывающее основную уязвимость. Некоторые хакеры обнаружили способ обойти процесс аутентификации ключа шифрования с помощью вредоносного центра распространения ключей Kerberos. Чтобы эта атака сработала, хакеру необходим физический доступ к компьютеру, он должен быть частью сетевого домена и не иметь защиты PIN-кода или USB-накопителя.
Потеря данных
Одна из основных проблем, которые могут возникнуть при работе с BitLocker, является непреднамеренное удаление или потеря ваших данных. Наиболее распространенная причина потери данных BitLocker — случайное форматирование жесткого диска, USB-накопителя или других внешних дисков. Вы должны найти способ восстановить файлы с дисков, зашифрованных BitLocker, иначе данные, хранящиеся в зашифрованной среде, будут для вас практически потеряны. Другая форма потери данных — потеря пароля и ключа восстановления. Есть несколько методов, которые можно использовать для разблокировки BitLocker без пароля или ключа восстановления.
Заключительные идеи
BitLocker для вас, если вы ищете простое в использовании и надежное решение для защиты данных на жестком диске. Программа для полного шифрования диска интегрируется с Windows Vista и более поздними версиями при наличии TPM 1.2+. Предусмотрено несколько мер безопасности, включая 48-значный код восстановления, чтобы гарантировать, что никакие неавторизованные пользователи не смогут получить доступ к вашим данным без разрешения.