Обзор BitLocker

Bitlocker — это функция шифрования дисков Windows, предназначенная для защиты данных путем шифрования для всех томов.
BitLocker устраняет угрозы кражи или раскрытия данных с потерянных, украденных или неправильно списанных устройств.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM). TPM — это аппаратный компонент, установленный на многих устройствах, и он работает с BitLocker для защиты данных пользователей и обеспечения того, что компьютер не был изменен, пока система находится в автономном режиме.

На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы Windows. Однако эта реализация требует, чтобы пользователь вставлял usb-ключ запуска, чтобы запустить устройство или возобновить режим гибернации. Пароль тома операционной системы можно использовать для защиты тома операционной системы на компьютере без доверенного платформенного модуля. Тем не менее, ни в одном из этих случаев не обеспечивается проверка целостности системы перед запуском, которая доступна при использовании BitLocker с TPM.

Помимо использования TPM, решение BitLocker дает возможность заблокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, флэш-накопитель USB) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или возобновление работы компьютера после режима гибернации, пока не будет введен правильный ПИН-код или предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном устройстве могут быть уязвимы для несанкционированного доступа либо путем запуска программного средства атаки на него, либо путем передачи жесткого диска компьютера на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. BitLocker также помогает отображать данные недоступными, когда устройства, защищенные BitLocker, выводятся из эксплуатации или перезапускаются.

Системные требования

Требования BitLocker к аппаратному обеспечению

• На компьютере должен быть установлен модуль TPM версии 1.2 или более поздней, чтобы компонент BitLocker мог использовать проверку целостности системы, доступную благодаря TPM. Если на компьютере нет доверенного платформенного модуля, сохранение ключа запуска на съемном диске, таком как USB-устройство флэш-памяти, становится обязательным при включении BitLocker.
• Устройство с TPM также должно иметь встроенное ПО BIOS или UEFI, совместимое с группой доверенных вычислений (TCG). Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Компьютеру без доверенного платформенного модуля не требуется встроенное ПО, совместимое с TCG
• Bios системы или встроенное ПО UEFI (для TPM и компьютеров, отличных от TPM) должно поддерживать класс запоминающего устройства USB, включая чтение небольших файлов на USB-устройстве флэш-памяти в среде предварительной операционной системы.

Примечание. TPM 2.0 не поддерживается в традиционном режиме (“Legacy”) и в режиме “Модуль поддержки совместимости (CSM)” в BIOS. На устройствах с TPM 2.0 необходимо выбрать в BIOS режим “Только UEFI”. Параметры “Legacy” и “CSM” необходимо отключить. Для дополнительной безопасности включите безопасную загрузку. Если операционная система была установлена, когда в BIOS был выбран режим “Legacy”, то после переключения BIOS в режим UEFI она перестанет загружаться. Перед переключением режима BIOS используйте инструмент MBR2GPT, чтобы подготовить операционную систему и диск к поддержке UEFI.

• Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с помощью файловой системы NTFS.
• Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. Решение BitLocker не включено на этом диске. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска — около 350 МБ. После включения BitLocker у него должно быть примерно 250 МБ свободного места.

При установке на новом устройстве Windows автоматически создает разделы, необходимые для BitLocker.

Зашифрованная секция не может быть помечена как активная.

При установке необязательного компонента BitLocker на сервере также необходимо установить компонент “Расширенное хранилище”. Компонент “Расширенное хранилище” используется для поддержки дисков с аппаратным шифрованием.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, в которых поддерживается включение BitLocker:

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Лицензионные права на включение BitLocker предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Решетки на «Окна». Защищаем компьютеры с Windows 10 и особенно — с Windows 11

За­щитить компь­ютер с Windows не прос­то, а очень прос­то: нес­коль­ко щел­чков мышью — и сис­темный раз­дел зашиф­рован BitLocker. Но может слу­чить­ся так, что взло­мать этот компь­ютер будет еще про­ще: дос­таточ­но узнать пароль от тво­ей учет­ной записи Microsoft, что­бы раз­бло­киро­вать сис­тему, нес­мотря на шиф­рование. Оче­ред­ной шаг в борь­бе щита и меча сде­лан в Windows 11: здесь исполь­зует­ся аппа­рат­ный кон­троль безопас­ности, а взлом пароля при соб­людении опре­делен­ных усло­вий будет не толь­ко совер­шенно бес­полез­ным, но и невоз­можным.

Нас­коль­ко безопас­нее ста­ла Windows 11 в срав­нении с «десят­кой» и почему? Мож­но ли обе­зопа­сить Windows 10 штат­ными средс­тва­ми, не при­бегая к VeraCrypt и подоб­ным инс­тру­мен­там? И для чего же, в кон­це кон­цов, Windows 11 так нужен TPM?

Ког­да я начал раз­бирать­ся в том, как имен­но, а глав­ное — для чего в один­надца­той вер­сии Windows исполь­зуют­ся модули TPM, я чуть не сло­мал голову. Тра­дици­онно для Microsoft докумен­тация сущес­тву­ет, ее мно­го, но написан­ное в ней далеко не всег­да соот­ветс­тву­ет дей­стви­тель­нос­ти; ряд утвер­жде­ний (мы рас­смот­рим их ниже) все­ляет лож­ную уве­рен­ность в безопас­ности. Пом­нишь, сколь­ко копий было сло­мано по поводу сис­темных тре­бова­ний Windows 11? Теперь я готов поверить, что решение огра­ничить сов­мести­мость Windows 11 исклю­читель­но сис­темами, обо­рудо­ван­ными TPM, было не волей мар­кетоло­гов, а уль­тимату­мом коман­ды раз­работ­чиков: «Или компь­юте­ры без TPM идут лесом, или мы умы­ваем руки!»

Включаем BitLocker

Шиф­рование сис­темно­го раз­дела — пер­вый, необ­ходимый, но не всег­да дос­таточ­ный шаг к обес­печению безопас­ности сис­темы. На безопас­ность зашиф­рован­ных дан­ных может пов­лиять такая неоче­вид­ная на пер­вый взгляд вещь, как спо­соб вхо­да в сис­тему.

При­мем за акси­ому, что в тво­ем компь­юте­ре уста­нов­лен и акти­виро­ван в нас­трой­ках UEFI BIOS модуль TPM 2.0 или его ана­лог (Intel Platform Trust Technology или AMD firmware TPM). Чуть поз­же я рас­ска­жу о том, что мож­но сде­лать при его отсутс­твии, но пока рас­смот­рим работу отно­ситель­но сов­ремен­ных сис­тем.

Но ведь TPM у нас запрещен?

В сети ходит мно­го неп­роверен­ной информа­ции о закон­ности или незакон­ности TPM. По слу­хам, ФСБ зап­реща­ет модули TPM из‑за того, что те могут исполь­зовать­ся для шиф­рования без зак­ладок. Не буду утом­лять тебя юри­дичес­кими под­робнос­тями (сос­тавлен­ная юрис­тами док­ладная запис­ка занима­ет нес­коль­ко лис­тов), огра­ничусь лишь крат­кими вывода­ми.

Во‑пер­вых, на ввоз в стра­ну аппа­рат­ных модулей TPM тре­бует­ся нотифи­кация (то есть для импорте­ров дей­ству­ет раз­решитель­ный режим). Во‑вто­рых, исполь­зование TPM час­тны­ми лицами внут­ри стра­ны никаких законов не наруша­ет. Наконец, в‑треть­их: эму­ляция TPM впол­не легаль­но при­сутс­тву­ет во всех про­цес­сорах Intel Core с 8-го поколе­ния, а так­же во всех про­цес­сорах с архи­тек­турой AMD Zen и более новых. Исполь­зование соот­ветс­тву­ющих фун­кций закон­ным обра­зом вве­зен­ных в стра­ну ком­плек­тующих никаких пра­вил не наруша­ет.

Что­бы вклю­чить шиф­рование сис­темно­го дис­ка, поль­зовате­лям Windows 10 и 11 всех редак­ций за исклю­чени­ем домаш­ней (Home) дос­таточ­но открыть апплет BitLocker Drive Encryption в панели управле­ния Windows. Далее нуж­но вклю­чить шиф­рование (для твер­дотель­ных накопи­телей впол­не дос­таточ­но зашиф­ровать толь­ко дан­ные; сво­бод­ное мес­то накопи­тель очи­щает самос­тоятель­но по коман­де trim ) и где‑то сох­ранить (или рас­печатать) ключ вос­ста­нов­ления дос­тупа. Шиф­рование про­исхо­дит в фоновом режиме; через некото­рое вре­мя дан­ные будут зашиф­рованы, накопи­тель будет выг­лядеть сле­дующим обра­зом.

Для чего нужен ключ восстановления доступа (BitLocker Recovery Key)

Не хотелось бы в этой статье глу­боко вда­вать­ся в под­робнос­ти механиз­ма шиф­рования BitLocker (о нем мож­но про­читать, нап­ример, здесь. В двух сло­вах: имен­но ключ вос­ста­нов­ления дос­тупа поможет тебе раз­бло­киро­вать накопи­тель, если модуль TPM по какой‑то при­чине решит не отда­вать сис­теме ключ.

В каких слу­чаях TPM может «зажать» ключ? В прин­ципе, это может про­изой­ти пос­ле любого обновле­ния про­шив­ки либо BIOS самого компь­юте­ра или любого под­клю­чен­ного устрой­ства (кро­ме USB). Еще при изме­нении аппа­рат­ной кон­фигура­ции (уста­новил новую виде­окар­ту), при обновле­нии Windows или одно­го из драй­веров, учас­тву­ющих в цепоч­ке заг­рузки. Если такое событие про­изой­дет, то цепоч­ка заг­рузки нарушит­ся (не сов­падут вычис­ленные в ре­гис­трах PCR кон­троль­ные сум­мы) и TPM не отдаст опе­раци­онной сис­теме ключ, который нужен для раз­бло­киров­ки дис­ка. Как резуль­тат — при заг­рузке сис­тема поп­росит ввес­ти код вос­ста­нов­ления дос­тупа.

Пос­коль­ку при исполь­зовании TPM дру­гого метода раз­бло­киров­ки дис­ка по умол­чанию не пре­дус­мотре­но, ключ вос­ста­нов­ления дос­тупа оста­ется единс­твен­ным спо­собом получить дос­туп к дан­ным.

По­чему же это­го не про­исхо­дит каж­дый раз, ког­да ты обновля­ешь ОС через Windows Update? Дело в том, что сис­тема зна­ет об этой осо­бен­ности BitLocker и на вре­мя уста­нов­ки отклю­чает защиту. Ров­но то же самое ты можешь про­делать вруч­ную, вос­поль­зовав­шись коман­дой Suspend protection .

Пос­ле это­го ты можешь спо­кой­но обно­вить BIOS, заменить виде­окар­ту или обно­вить про­шив­ку одно­го из устрой­ств. Пос­ле перезаг­рузки сис­тема вычис­лит новую цепоч­ку заг­рузки, которая будет счи­тать­ся доверен­ной, а шиф­рование авто­мати­чес­ки вклю­чит­ся.

Какие есть риски при шифровании BitLocker с использованием TPM

Шиф­рование BitLocker дос­таточ­но надеж­но, хотя исполь­зующий­ся 128-бит­ный ключ вызыва­ет некото­рые сом­нения в кон­тек­сте потен­циаль­ной уяз­вимос­ти для кван­товых компь­юте­ров. Если тебя это бес­поко­ит — вклю­чи 256-бит­ное шиф­рование в нас­трой­ках груп­повых политик, как показа­но на скрин­шоте. Сде­лать это необ­ходимо до того, как диск будет зашиф­рован; нас­трой­ка не вли­яет на уже соз­данные зашиф­рован­ные дис­ки.

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Олег Афонин

Эксперт по мобильной криминалистике компании «Элкомсофт»

Стоит ли включать шифрование в Windows 10

В Windows 10 встроена бесплатная система шифрования BitLocker. Она доступна всем пользователям Pro-версии. Но вот насколько необходима эта защита и в каких случаях она помогает?

Что это такое?

Это встроенная в Windows система, которая может зашифровать ваши диски, чтобы защитить данных на них.

В настройках операционной системы введите BitLocker в поисковой строке, чтобы перейти к ее настройке.

В каких случаях она поможет?

Система шифрует все данные на выбранных дисках, так что в случае, если ваш компьютер украдут, злоумышленники не смогут получить доступ к данным на нем. По сути, для них это будет набор нулей и единичек, которые они не смогут расшифровать без специального пароля.

Стоит ли использовать ее на домашнем ПК?

По большому счету, данный инструмент стоит использовать везде, где есть важные конфиденциальные данные. Если же вы используете ПК только для просмотра фильмов, прослушивания музыки и ничего ценного для вас на нем нет, то можно и не активировать данный механизм защиты.

Когда BitLocker бесполезен?

В тот момент, когда вы включили устройство, вошли в свою учетную запись на нем, вы расшифровали данные. Так что если злоумышленник проберется к вашему ПК в тот момент, когда вы отлучились и не заблокировали его, то он сможет открывать все ваши файлы, копировать их или удалять.

Посему при использовании BitLocker важно блокировать ПК каждый раз, когда вы отходите покурить, в туалет или налить чаю.

Быстро заблокировать компьютер можно комбинацией Win-L на клавиатуре.

В тот момент, когда вы пользуетесь Windows, данные на нем не зашифрованы. Это значит:

1. Любой человек, который подойдет к незаблокированному компьютеру в ваше отсутствие сможет получить доступ ко всем вашим секретам.

2. Любой процесс, который будет запущен во время вашей работы получит полный доступ к вашим тайнам.

Потому не стоит полагаться на эту защиту, как панацею. Она работает тогда, когда ваш компьютер выключен и защищает от доступа к данным при краже устройства.

Понравилась статья? Поделитесь!

Читайте также:

1. Защищаем телефон: разрешения приложений в Android 6 и выше
2. Почему опасно хранить файлы за пределами «Документов»
3. Что случилось после месяца активного использования Windows 10
4. Бесплатное обновление до Windows 10 для пользователей Windows 7 SP1 и 8.1
5. 5 мифов и правдивых высказываний про Windows 10

При подготовке материала использовались источники:
https://learn.microsoft.com/ru-ru/windows/security/operating-system-security/data-protection/bitlocker/
https://xakep.ru/2022/04/28/windows-11-tpm/
https://myfreesoft.ru/stoit-li-vklyuchat-shifrovanie-v-windows-10.html