bitlocker windows 10 что это такое
Вопросы и ответы по BitLocker
Область применения
Можно ли автоматизировать развертывание BitLocker в корпоративной среде?
Да, развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструментария WMI или сценариев Windows PowerShell. Способ реализации сценариев зависит от среды. Локальную или удаленную настройку BitLocker можно выполнить с помощью Manage-bde.exe. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker. Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье Командлеты для BitLocker в Windows PowerShell.
Может ли BitLocker шифровать другие диски, кроме диска операционной системы?
Насколько снижается производительность при включении BitLocker на компьютере?
Как правило, существует небольшая накладная часть производительности, часто в однозначных процентах, что относительно пропускной способности операций хранилища, на которых она должна работать.
Сколько времени занимает первоначальное шифрование после включения BitLocker?
Хотя шифрование BitLocker выполняется в фоновом режиме, пока вы продолжаете работу, и система остается доступной, время шифрования зависит от типа диска, его размера и скорости. Если вы шифруете большие диски, может потребоваться установить шифрование в периоды, когда вы не будете использовать диск.
При включении BitLocker вы также можете выбрать, следует ли шифровать весь диск или только занятое пространство. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.
Что будет, если выключить компьютер во время шифрования или расшифровки?
Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. То же происходит в случае сбоя подачи электропитания.
Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?
Нет, BitLocker не выполняет шифрование и расшифровку всего диска при считывании и записи данных. Секторы, зашифрованные на защищенном при помощи BitLocker диске, расшифровываются только по запросу системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.
Как запретить пользователям в сети сохранять данные на незашифрованном диске?
Вы можете настроить параметры групповой политики, чтобы требовать, чтобы диски данных были защищены BitLocker, прежде чем компьютер с защитой BitLocker сможет записывать данные на них. Дополнительные сведения см. в статье Параметры групповой политики BitLocker. Если включены соответствующие параметры политики, то операционная система с защитой BitLocker будет подключать диски с данными, не защищенные BitLocker, в режиме только для чтения.
Что такое шифрование Только для использования дискового пространства?
BitLocker в Windows10 позволяет пользователям шифровать только свои данные. Хотя это не самый безопасный способ шифрования диска, этот параметр может сократить время шифрования более чем на 99 процентов в зависимости от того, сколько данных необходимо шифровать. Дополнительные сведения см. в сообщении шифрования Used Disk Space Only.
Какие изменения системы приводят к появлению ошибки при проверке целостности диска с операционной системой?
Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.
В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?
Так как компонент BitLocker предназначен для защиты компьютера от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. Пример
В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. Доверенный платформенный модуль не участвует ни в одном сценарии восстановления. Это значит, что восстановление возможно даже при появлении ошибки во время проверки компонентов загрузки с помощью этого модуля, а также при его сбое или удалении.
Что может предотвратить привязку BitLocker к PCR 7?
BitLocker можно запретить связывать с PCR 7, если не Windows ОС, загружаемая до Windows года, или если безопасная загрузка недоступна устройству, либо из-за отключения, либо из-за того, что оборудование не поддерживает его.
Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?
Да, на одном компьютере с включенным шифрованием BitLocker можно менять жесткие диски, но при условии, что для них включалась защита BitLocker на этом же компьютере. Клавиши BitLocker уникальны для диска TPM и операционной системы. Поэтому если вы хотите подготовить резервную операционную систему или накопитель данных в случае сбой диска, убедитесь, что они соответствуют правильной TPM. Можно также настроить разные жесткие диски для различных операционных систем, а затем включить для каждого диска BitLocker, указав разные методы проверки подлинности (например, на одном диске только доверенный платформенный модуль, а на другом — доверенный платформенный модуль с вводом ПИН-кода), и это не приведет к конфликтам.
Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?
Да, если это диск с данными, его можно разблокировать обычным образом, выбрав элемент Шифрование диска BitLocker на панели управления (с помощью пароля или смарт-карты). Если для диска с данными настроено только автоматическое снятие блокировки, вам придется использовать ключ восстановления, чтобы разблокировать этот диск. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.
Почему недоступна команда «Включить BitLocker», если щелкнуть диск правой кнопкой мыши?
Некоторые диски невозможно зашифровать при помощи BitLocker. Это происходит по нескольким причинам. Например, размер диска может быть слишком мал, файловая система может быть несовместимой, диск может быть динамическим либо назначенным в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Но если диск (или раздел) не был скрыт при выборочной установке операционной системы, его можно отобразить, но не зашифровать.
Какие типы конфигураций дисков поддерживаются BitLocker?
Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA.
Руководство по использованию шифрования BitLocker в Windows 10 Pro/Enterprise
Проблема защиты данных в случае физической утраты компьютера или внешнего носителя (флешки) особенно актуальна для мобильных пользователей, число которых непрерывно растет.
Windows Insider MVP
Проблема защиты данных в случае физической утраты компьютера или внешнего носителя (флешки) особенно актуальна для мобильных пользователей, число которых непрерывно растет.
С момента выпуска Windows Vista компания Microsoft представила новую функцию безопасности под названием BitLocker Drive Encryption. В составе Windows 7 была представлена функция BitLocker To Go для портативных устройств хранения, таких как флэш-накопители и SD-карты.
В случае если вы используете Windows 10, для использования шифрования вам необходимо использовать версию Pro или Enterprise. Почему Microsoft не сделает это стандартной функцией во всех версиях операционной системы, все еще непонятно, учитывая, что шифрование данных является одним из наиболее эффективных способов обеспечения безопасности. Если вы используете Windows 10 Home, вам нужно выполнить Easy Upgrade до Windows 10 Pro, чтобы провести обновление.
Что такое шифрование?
Шифрование — это способ сделать читаемую информацию неузнаваемой для неавторизованных пользователей. Если вы отправите зашифрованный документ Word другу, ему сначала потребуется его расшифровать. Windows 10 включает в себя различные типы технологий шифрования: шифрованную файловую систему (EFS) и шифрование диска BitLocker.
Что вы должны знать и сделать заранее
· Начиная с версии 1809 для шифрования используется новый более безопасный стандарт, которым вы можете воспользоваться, но обратите внимание, что он совместим только с системами Windows 10 1809 и выше.
· Если вы используете Windows 10 на более старом компьютере без чипа Trusted Platform Module (TPM 1.2), вы не сможете настроить BitLocker. Пожалуйста, помните об этом. Как выйти из этой ситуации, мы рассмотрим ниже в этой статье.
Включение шифрования диска BitLocker в Windows 10
Нажмите Проводник> Этот компьютер. Затем щелкните правой кнопкой мыши системный диск, на котором установлена Windows 10, затем нажмите «Включить BitLocker».
Рисунок 1 Включить BitLocker
Введите пароль, чтобы разблокировать диск; это будет важный тест, чтобы убедиться, что вы можете загрузить систему, если вы потеряли ключ восстановления.
Рисунок 2 Создание пароля расшифровки диска
Выберите способ резервного копирования ключа восстановления, вы можете использовать свою учетную запись Microsoft, если она у вас есть, сохранить его на флэш-накопителе USB, сохранить в другом месте, кроме локального диска, или распечатать копию.
Рисунок 3 Сохранить ключ восстановления
Рисунок 4 Шифровать весь диск
Если вы используете Windows 10 November Update, он включает более надежный режим шифрования под названием XTS-AES, обеспечивающий дополнительную поддержку целостности с улучшенным алгоритмом. Если это жесткий диск, выберите эту опцию.
Рисунок 5 Выбор режима шифрования
Когда вы будете готовы к шифрованию, нажмите «Продолжить».
Рисунок 6 Проверка системы до начала шифрования
Перезагрузите компьютер при появлении соответствующего запроса.
Помните тот пароль, который вы создали ранее? Сейчас самое время ввести его.
Рисунок 7 Ввод пароля
После входа в Windows 10 вы заметите, что ничего особенного не происходит. Щелкните правой кнопкой мыши на системном диске и выберите «Управление BitLocker».
Рисунок 8 Управление BitLocker
Вы увидите текущее состояние. Это займет некоторое время, поэтому вы можете продолжать пользоваться компьютером, пока шифрование выполняется в фоновом режиме, и вы получите уведомление, когда оно будет завершено.
Когда шифрование BitLocker завершено, вы можете использовать компьютер как обычно. Любой контент, записываемый на такой диск, будет защищен.
Устранение неполадок при установке BitLocker
Если при попытке установить BitLocker появляется следующая ошибка, это, вероятно, означает, что ваш компьютер не поддерживает микросхему Trusted Platform Module (1.2).
Рисунок 9 Ваш компьютер не оборудован Trusted Platform Module
На самом деле, прежде чем идти дальше в групповые политики, рекомендую вначале зайти в BIOS и проверить, а включена ли там поддержка ТРМ. В моем случае решение было именно таким.
Если же ваш компьютер действительно не оборудован ТРМ, то в групповой политике вы сможете задать исключение. Для этого нажмите клавиши Windows+R, а затем введите gpedit.msc и нажмите Enter. Выберите Административные шаблоны – Компоненты Windows – Шифрование BitLocker – Диски операционной системы.
Рисунок 10 Редактор групповой политики
Выберите параметр «Этот параметр позволяет настроить требование дополнительной проверки подлинности при запуске»
Рисунок 11 Разрешить шифрование без ТРМ
Щелкните правой кнопкой мыши « Требовать дополнительную аутентификацию при запуске» и нажмите « Изменить».
Выберите «Включено», а затем установите флажок, чтобы разрешить BitLocker без совместимого доверенного платформенного модуля в разделе «Параметры».
Нажмите Пуск, затем введите: gpforce.exe /update, чтобы убедиться, что изменения вступили в силу. Я также рекомендовал бы перезагрузить компьютер после выполнения этой команды.
Рисунок 12 Обновление политики
Помните, что вы также можете шифровать флэш-диски и SD-диски.
BitLocker: AES-XTS (новый тип шифрования)
Вот почему математики разработали несколько других, более безопасных и менее предсказуемых блочных режимов, называемых «режимами работы блочного шифра», таких как CBC, XTS, LRW, CFB, CCM, OFB и OCB. Общая концепция этих режимов состоит в том, чтобы ввести рандомизацию незашифрованных данных на основе дополнительного ввода (вектора инициализации).
В BitLocker AES работает в 2 режимах:
Оба режима поддерживают длину ключа 128 и 256 бит.
Выбор этих двух может быть проконтролирован через объект групповой политики в разделе Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Выберите метод шифрования диска и надежность шифра:
Рисунок 13 Выбор режима шифрования
Для версии Windows 10 1511 и выше мы можем выбрать разные алгоритмы для каждого типа диска (ОС, диск с данными, съемный диск с данными):
Рисунок 14 Выбор алгоритма шифрования
Примечание: в Windows 7 был также AES CBC с Elephant Diffuser, который был удален в Windows 8.
Вышеуказанная конфигурация алгоритмов для Windows 10 (сборка 1511) хранится как REG_DWORD с:
HKLM \ SOFTWARE \ Policies \ Microsoft \ FVE
Диски с операционной системой: EncryptionMethodWithXtsOs
Фиксированные диски данных: EncryptionMethodWithXtsFdv
Съемные диски с данными: EncryptionMethodWithXtsRdv
Тип шифрования для Windows 8 и Windows 10 (ранее 1511) сохраняется как REG_DWORD в:
HKLM \ SOFTWARE \ Policies \ Microsoft \ FVE
Тип шифрования для Windows Vista и Windows 7 сохраняется как REG_DWORD в:
HKLM \ SOFTWARE \ Policies \ Microsoft \ FVE
Так в чем же режим безопасности XTS лучше, чем CBC? Если мы говорим о Bitlocker, мы ясно видим преимущество в производительности:
Начальное время шифрования тома 10 ГБ
Режим AES:
время шифрования:
Ваш индивидуальный тест может отличаться, поскольку производительность шифрования Bitlocker зависит от нескольких факторов, таких как: тип диска (SSD / HDD), прошивка, рабочая нагрузка и многое другое.
Вместе с тем необходимо отметить, что далеко не всегда вы можете доверять BitLocker для шифрования вашего SSD в Windows 10. Почему? Увы, причина достаточно проста.
Некоторые SSD объявляют о поддержке «аппаратного шифрования». Если вы включите BitLocker в Windows, Microsoft доверяет вашему SSD и ничего не делает. Но исследователи обнаружили, что многие твердотельные накопители выполняют шифрование просто ужасно, а это означает, что BitLocker не обеспечивает безопасное шифрование.
Microsoft выпустила уведомление по безопасности об этой проблеме. И сегодня для того чтобы проверить используете ли вы аппаратное или программное шифрование вам необходимо сделать следующее:
Если ни один из перечисленных дисков не отображает «Аппаратное шифрование» для поля «Метод шифрования», то это устройство использует программное шифрование и не подвержено уязвимостям, связанным с самошифрованием вашего диска.
Рисунок 15 Сведения о шифровании томов
Для дисков, которые зашифрованы с использованием уязвимой формы аппаратного шифрования, вы можете уменьшить уязвимость, переключившись на программное шифрование с помощью Bitlocker с групповой политикой.
Увы, но многие твердотельные накопители не выполняют шифрование должным образом
Это вывод из новой статьи исследователей из Radbound University. Они пересмотрели микропрограммы многих твердотельных накопителей и обнаружили множество проблем с «аппаратным шифрованием», обнаруженным во многих твердотельных накопителях.
Исследователи протестировали диски Crucial и Samsung, но нет гарантии, что у других производителей нет серьезных проблем с шифрованием.
Как заставить BitLocker использовать только программное шифрование?
Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Фиксированные диски с данными
Дважды щелкните параметр «Этот параметр политики позволяет настроить использование аппаратного шифрования для несъемных дисков с данными» на правой панели.
Рисунок 16 Использование аппаратного шифрования
Выберите опцию «Отключено» и нажмите «ОК».
Если у вас использовалось аппаратное шифрование, то вы должны расшифровать и повторно зашифровать диск после того, как это изменение вступит в силу.
Почему BitLocker доверяет твердотельным накопителям?
При наличии аппаратного шифрования, процесс шифрования может происходить быстрее, чем используя программное шифрование. Таким образом, если SSD имеет надежную аппаратную технологию шифрования, использование SSD приведет к повышению производительности.
К сожалению, оказывается, что многим производителям твердотельных накопителей нельзя доверять. Мы не можем быть уверены в правильной реализации шифрования.
В идеальном мире аппаратно-ускоренное шифрование безусловно лучше. Это одна из причин, почему Apple включает чип безопасности T2 на своих новых Mac. Чип T2 использует аппаратно-ускоренный механизм шифрования для быстрого шифрования и дешифрования данных, хранящихся на внутреннем SSD Mac.
Еще один часто задаваемый вопрос, а не является ли нарушением приватности хранение ключей шифрования BitLocker в облаке?
В последнее время масса публикаций о конфиденциальности в Windows 10 заполонила Интернет. Microsoft обвиняют в нарушении конфиденциальности, в хранении в облаке ключей шифрования, в отслеживании географических координат нахождения смартфона (планшета) и т. д. Проблема же главным образом в том, что пользователи не читают документацию и тем более не готовы настраивать параметры конфиденциальности. Хотя есть данные, что Windows 10 может отправлять в Microsoft некоторые сведения о пользователе и при включенном в настройках конфиденциальности запрете.
Для сравнения, iOS пока позволяет только частично управлять приватностью, а Android вообще шлёт всё, не учитывая пожелания пользователей на этот счёт (не считая варианта «не пользоваться», конечно).
Что касается ключей шифрования BitLocker, то на самом деле в облаке Microsoft хранятся не ключи шифрования, а ключ для расшифровки в том случае, если по какой-то причине вы не можете расшифровать диск стандартным способом. Единственный сценарий, для которого этот ключ понадобится, это если вас остановят на границе и потребуют расшифровать ваш диск. Если вы подозреваете Microsoft в краже ваших данных, то BitLocker от такого сценария не спасёт в любом случае, ведь когда ОС включена, он ничего не защищает.
При шифровании вам предлагают:
• Сохранить резервный ключ в облаке.
• Сохранить резервный ключ в файле на другом носителе.
• Распечатать резервный ключ.
Запомните, вы сами выбираете что вы будете делать! Единственное — помните, что вы должны его не потерять, следовательно, наиболее оптимальным является сохранить его в нескольких местах.
Запомните: существует несколько мест, в которых может храниться ключ восстановления BitLocker. Вот что нужно проверить:
• Подключенную к Интернету учетную запись Microsoft. Это возможно только на компьютерах, не входящих в домен. Чтобы получить ключ восстановления, перейдите на страницу Ключи восстановления BitLocker.
• Сохраненную копию ключа восстановления. Возможно, копия ключа восстановления BitLocker сохранена в файле, на USB-флэшке либо имеется печатная бумажная копия.
• Если ключ сохранен в файл или напечатан, найдите эту копию, следуйте инструкциям на заблокированном компьютере и введите ключ при отображении запроса.
• Если ключ сохранен на флэшке, вставьте ее и следуйте инструкциям на экране компьютера. Если ключ восстановления сохранен в качестве файла на флэшке, потребуется открыть файл и ввести ключ вручную.
Что же касается того, что некоторые пользователи считают, что хранение ключа BitLocker в облаке является нарушением закона о персональных данных, спешу их огорчить и порекомендовать прочесть ФЗ «О персональных данных».
Согласно п.1 ст.3 152-ФЗ «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», а ключ расшифрования BitLocker относится в первую очередь к ПК, а не к его пользователю.
Использование ключа восстановления BitLocker
В ходе использования шифрования BitLocker ключевым вопросом является хранение ключа восстановления. В Windows 7 ключ восстановления мы могли хранить либо в текстовом файле на внешнем носителе, либо распечатать его и хранить на бумаге. И тот и другой способ были явно недостаточно безопасны. Безусловно, у вас мог быть и третий путь – хранить файл с ключом восстановления в облаке. Но снова-таки, этот файл нужно было бы заархивировать с паролем. А пароли пользователи имеют обыкновение просто забывать. Итак, круг замкнулся. Для того, чтобы не забыть – нужно хранить. Для того чтобы хранить – нужно зашифровать с паролем. Для того чтобы зашифровать – нужно не забыть. Короче – замкнутый круг.
В Windows 10 пользователям при использовании BitLocker на не доменном компьютере предложили другой вариант. Хранить ключ восстановления в облаке. Этот вариант можно использовать наряду с традиционным распечатыванием или хранением в файле на внешнем носителе.
Вариант хранить ключ восстановления в файле на том же жестком диске не рассматривается ввиду явной небезопасности.
Если вы решите включить шифрование, то вам предложат создать ключ восстановления
Безусловно, лучше хранить ключ восстановления в нескольких местах.
Итак, мы выбираем «Сохранить в вашу учетную запись Майкрософт». При этом в вашем облачном хранилище будет создан текстовый файл, содержащий ваш ключ восстановления. Стоит отметить, что, просматривая ваш OneDrive, вы не увидите этот файл. То есть дать общий доступ к файлу ключа восстановления невозможно ни случайно, ни специально.
Для того чтобы получить доступ к файлу восстановления, который вам может потребоваться в экстренной ситуации, вы можете войти в вашу учетную запись Microsoft на любом другом ПК (планшете, смартфоне) и выбрать ссылку Ключ восстановления BitLocker.
Эту информацию вы можете скопировать в файл и затем использовать для расшифровывания ключ восстановления.
Для многих из моих читателей, как и для некоторых экспертов, написавших вот это, такой способ хранения ключа восстановления оказался новостью. Почему? Не знаю.
Да. Если вы так храните ваши ключи восстановления, вам нужно позаботиться о надежности вашего пароля к учетной записи Microsoft. Я рекомендую использовать 2FA (2 factor authentication – двухэтапную аутентификацию), об этом я уже говорил. Но все же хранить ключи восстановления таким образом гораздо удобнее, что я вам и рекомендую.