Σε αυτή τη σειρά, μιλήσαμε εν συντομία για την τεχνολογία BitLocker, η οποία είναι ένα εργαλείο ασφαλείας στα σύγχρονα λειτουργικά συστήματα Windows. Κατ 'αρχήν, το άρθρο περιγράφει την αρχιτεκτονική αυτού του εργαλείου, το οποίο δεν θα είναι πολύ χρήσιμο κατά την εκτέλεση κρυπτογράφησης δίσκου στο σπίτι ή σε έναν οργανισμό. Επίσης από το πρώτο άρθρο θα μπορούσατε να ανακαλύψετε ότι για να εκμεταλλευτείτε πλήρως αυτή την τεχνολογία, οι υπολογιστές για τους οποίους θα πραγματοποιηθεί κρυπτογράφηση πρέπει να είναι εξοπλισμένοι με μια ενότητα όπως μια μονάδα αξιόπιστης πλατφόρμας (TPM), η οποία, δυστυχώς, μπορεί μπορεί να βρεθεί μακριά από κάθε υπολογιστή. Επομένως, στα ακόλουθα άρθρα αυτής της σειράς, κατά την περιγραφή του τρόπου εργασίας με μια λειτουργική μονάδα αξιόπιστης πλατφόρμας, θα ληφθεί υπόψη μόνο ο εξομοιωτής της σε μια εικονική μηχανή. Επίσης, νομίζω ότι αξίζει να σημειωθεί ότι ούτε αυτό ούτε τα ακόλουθα άρθρα αυτής της σειράς θα συζητήσουν τον αποκλεισμό μονάδων δίσκου δεδομένων κατά τη χρήση έξυπνων καρτών.

Όπως ίσως γνωρίζετε, η τεχνολογία BitLocker σάς επιτρέπει να κρυπτογραφείτε μια ολόκληρη μονάδα δίσκου, ενώ το Encrypting File System (EFS) σας επιτρέπει να κρυπτογραφείτε μόνο μεμονωμένα αρχεία. Φυσικά, σε ορισμένες περιπτώσεις χρειάζεται να κρυπτογραφήσετε μόνο ορισμένα αρχεία και φαίνεται ότι δεν υπάρχει λόγος να κρυπτογραφήσετε ολόκληρο το διαμέρισμα, αλλά συνιστάται να χρησιμοποιείτε το EFS μόνο σε υπολογιστές στο intranet που δεν θα μετακινούνται μεταξύ τμημάτων και γραφείων. Με άλλα λόγια, εάν ο χρήστης σας έχει φορητό υπολογιστή, πρέπει να ταξιδεύει περιοδικά σε επαγγελματικά ταξίδια και ένας τέτοιος χρήστης έχει, ας πούμε, μόνο μερικές δεκάδες αρχεία στον υπολογιστή του που πρέπει να κρυπτογραφηθούν, είναι καλύτερα ο φορητός υπολογιστής του να χρησιμοποιούν την τεχνολογία BitLocker αντί για ένα κρυπτογραφημένο σύστημα αρχείων. Αυτό εξηγείται από το γεγονός ότι με το EFS δεν θα μπορείτε να κρυπτογραφήσετε τόσο ζωτικά στοιχεία του λειτουργικού συστήματος όπως τα αρχεία μητρώου. Και αν ένας εισβολέας φτάσει στο μητρώο του φορητού υπολογιστή σας, μπορεί να βρει πολλές ενδιαφέρουσες πληροφορίες για τον εαυτό του, όπως αποθηκευμένα δεδομένα για τον λογαριασμό τομέα του χρήστη σας, κατακερματισμό κωδικού πρόσβασης και πολλά άλλα, τα οποία στο μέλλον μπορεί να προκαλέσουν σημαντική βλάβη και απώλεια όχι μόνο για αυτόν τον χρήστη, αλλά και για ολόκληρη την εταιρεία στο σύνολό της. Και με τη βοήθεια της τεχνολογίας BitLocker, σε αντίθεση με ένα κρυπτογραφημένο σύστημα αρχείων, όπως σημειώθηκε λίγο παραπάνω, όλα τα δεδομένα που βρίσκονται στον κρυπτογραφημένο δίσκο του φορητού υπολογιστή του χρήστη σας θα κρυπτογραφηθούν στον φορητό υπολογιστή του χρήστη σας. Πολλοί μπορεί να αναρωτηθούν: πώς μπορούν άλλοι χρήστες στον οργανισμό να χρησιμοποιήσουν αρχεία που είναι κρυπτογραφημένα χρησιμοποιώντας αυτήν την τεχνολογία; Στην πραγματικότητα, όλα είναι πολύ απλά: εάν ένας υπολογιστής με κρυπτογραφημένα αρχεία που χρησιμοποιεί τεχνολογία BitLocker είναι κοινόχρηστος, τότε οι εξουσιοδοτημένοι χρήστες θα μπορούν να αλληλεπιδρούν με τέτοια αρχεία τόσο εύκολα σαν να μην υπήρχε κρυπτογράφηση στον υπολογιστή του συγκεκριμένου χρήστη. Επιπλέον, εάν τα αρχεία που βρίσκονται σε έναν κρυπτογραφημένο δίσκο αντιγραφούν σε άλλον υπολογιστή ή σε μη κρυπτογραφημένο δίσκο, τότε αυτά τα αρχεία θα αποκρυπτογραφηθούν αυτόματα.

Στις επόμενες ενότητες, θα μάθετε πώς να κρυπτογραφείτε το σύστημα και τα δευτερεύοντα διαμερίσματα σε φορητό υπολογιστή που δεν είναι TPM με Windows 7.

Ενεργοποιήστε την κρυπτογράφηση BitLocker για το διαμέρισμα συστήματος

Δεν υπάρχει τίποτα περίπλοκο για την ενεργοποίηση της κρυπτογράφησης μονάδας δίσκου BitLocker σε ένα διαμέρισμα συστήματος σε έναν υπολογιστή που δεν αποτελεί μέρος ενός τομέα. Πριν από την κρυπτογράφηση του δίσκου συστήματος, νομίζω ότι πρέπει να προσέξετε το γεγονός ότι στον φορητό υπολογιστή στον οποίο θα κρυπτογραφηθούν οι δίσκοι, έχουν δημιουργηθεί τρία διαμερίσματα και τα δύο πρώτα πρέπει να είναι κρυπτογραφημένα:

Ρύζι. 1. Windows Explorer στον φορητό υπολογιστή στον οποίο θα κρυπτογραφηθούν οι δίσκοι

Για να κρυπτογραφήσετε το διαμέρισμα συστήματος, ακολουθήστε τα εξής βήματα:

1. Πρώτα απ 'όλα, δεδομένου ότι ο φορητός υπολογιστής σε αυτό το παράδειγμα στον οποίο θα κρυπτογραφηθούν οι μονάδες δίσκου δεν έχει TPM, συνιστάται να εκτελέσετε ορισμένα προκαταρκτικά βήματα. Πρέπει να ανοίξετε το κούμπωμα "Επεξεργαστής πολιτικής τοπικής ομάδας"και μεταβείτε στο Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives. Εδώ μπορείτε να βρείτε έξι διαφορετικές ρυθμίσεις πολιτικής. Εφόσον αναφέρθηκε προηγουμένως ότι αυτός ο φορητός υπολογιστής δεν είναι εξοπλισμένος με μονάδα TPM, πρέπει να βεβαιωθείτε ότι πριν φορτώσετε το λειτουργικό σύστημα, χρησιμοποιείτε μια μονάδα USB που περιέχει ένα ειδικό κλειδί που έχει σχεδιαστεί για την επιβεβαίωση της ταυτότητας και την επακόλουθη εκκίνηση του συστήματος. Η ρύθμιση πολιτικής που χρησιμοποιείται για την εκτέλεση αυτής της λειτουργίας είναι "Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση". Στο παράθυρο διαλόγου ιδιότητες για αυτήν τη ρύθμιση πολιτικής, πρέπει να ελέγξετε τις επιλογές "Να επιτρέπεται το BitLocker χωρίς συμβατό TPM". Σε αυτήν την περίπτωση, καθώς αυτή είναι η μόνη επιλογή που μπορεί να μας ενδιαφέρει κατά την κρυπτογράφηση ενός δίσκου σε μια ομάδα εργασίας, αποθηκεύστε τις αλλαγές που έγιναν. Το πλαίσιο διαλόγου ιδιοτήτων για αυτήν τη ρύθμιση πολιτικής εμφανίζεται στην παρακάτω εικόνα:



Ρύζι. 2. Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την έναρξη λειτουργίας Ρύθμιση ιδιοτήτων Πλαίσιο διαλόγου

Υπάρχουν πολλές διαφορετικές ρυθμίσεις πολιτικής ομάδας διαθέσιμες για τη διαχείριση της τεχνολογίας BitLocker. Αυτές οι επιλογές θα συζητηθούν λεπτομερώς σε μελλοντικό άρθρο σχετικά με την τεχνολογία BitLocker.

2. Ανοιξε "Πίνακας Ελέγχου", μεταβείτε στην κατηγορία «Σύστημα και ασφάλεια»και μετά επιλέξτε "Κρυπτογράφηση μονάδας δίσκου BitLocker";
3. Στο παράθυρο του Πίνακα Ελέγχου που εμφανίζεται, επιλέξτε το διαμέρισμα συστήματος και, στη συνέχεια, κάντε κλικ στη σύνδεση "Ενεργοποίηση BitLocker". Αξίζει να δώσετε προσοχή στο γεγονός ότι μπορείτε να κρυπτογραφήσετε ένα διαμέρισμα μόνο εάν βρίσκεται σε έναν βασικό δίσκο. Εάν έχετε δημιουργήσει διαμερίσματα σε έναν δυναμικό δίσκο, πριν από την κρυπτογράφηση τους θα χρειαστεί να μετατρέψετε τον δίσκο από δυναμικό σε βασικό. Η παρακάτω εικόνα δείχνει το παράθυρο "Κρυπτογράφηση μονάδας δίσκου BitLocker":



Ρύζι. 3. Παράθυρο κρυπτογράφησης μονάδας δίσκου BitLocker Πίνακας Ελέγχου

4. Αφού ελέγξετε τη διαμόρφωση του υπολογιστή σας, στην πρώτη σελίδα του BitLocker Drive Encryption Wizard, μπορείτε να καθορίσετε διάφορες επιλογές εκκίνησης. Αλλά επειδή ο φορητός υπολογιστής μου δεν έχει TPM και μια ρύθμιση Πολιτικής ομάδας έχει αλλάξει για να επιτρέπεται η κρυπτογράφηση BitLocker σε υλικό που δεν έχει δυνατότητα TPM, μπορώ μόνο να επιλέξω "Ζητήστε το κλειδί κατά την εκκίνηση". Η πρώτη σελίδα του οδηγού φαίνεται παρακάτω:



Ρύζι. 4. Επιλογή εκκίνησης του BitLocker Drive Encryption Wizard

5. Στη σελίδα "Αποθήκευση του κλειδιού εκκίνησης"Στον οδηγό κρυπτογράφησης μονάδας BitLocker, πρέπει να συνδέσετε μια μονάδα flash στον υπολογιστή σας και, στη συνέχεια, να την επιλέξετε στη λίστα. Αφού επιλέξετε τη μονάδα, κάντε κλικ στο κουμπί "Αποθηκεύσετε";
6. Στην τρίτη σελίδα του οδηγού, θα πρέπει να καθορίσετε τη θέση για το κλειδί ανάκτησης. Το κλειδί ανάκτησης είναι ένα μικρό αρχείο κειμένου που περιέχει ορισμένες οδηγίες, μια ετικέτα μονάδας δίσκου, ένα αναγνωριστικό κωδικού πρόσβασης και ένα κλειδί ανάκτησης 48 χαρακτήρων. Πρέπει να θυμόμαστε ότι αυτό το κλειδί διαφέρει από το κλειδί εκκίνησης στο ότι χρησιμοποιείται για την απόκτηση πρόσβασης σε δεδομένα σε περιπτώσεις όπου είναι αδύνατη η πρόσβαση σε αυτά με οποιοδήποτε άλλο μέσο. Μπορείτε να επιλέξετε μία από τις ακόλουθες τρεις επιλογές: αποθηκεύστε το κλειδί ανάκτησης σε μια μονάδα flash USB, αποθηκεύστε το κλειδί ανάκτησης σε ένα αρχείοή κλειδί ανάκτησης εκτύπωσης. Λάβετε υπόψη ότι όταν επιλέγετε την πρώτη επιλογή, πρέπει να αποθηκεύσετε τα κλειδιά ανάκτησης και εκκίνησης σε διαφορετικές μονάδες flash. Δεδομένου ότι συνιστάται η αποθήκευση πολλών κλειδιών ανάκτησης και σε υπολογιστές διαφορετικούς από αυτόν που είναι κρυπτογραφημένος, στην περίπτωσή μου το κλειδί ανάκτησης αποθηκεύτηκε σε έναν φάκελο δικτύου σε έναν από τους διακομιστές μου, καθώς και σε μια μονάδα HP cloud. Τώρα τα περιεχόμενα του κλειδιού ανάκτησης θα είναι γνωστά μόνο σε εμένα και την HP, αν και, πιθανότατα, μας πείθουν για την πλήρη εμπιστευτικότητα των πληροφοριών. Εάν εκτυπώσετε ένα κλειδί ανάκτησης, η Microsoft συνιστά την αποθήκευση του εγγράφου σε κλειδωμένο χρηματοκιβώτιο. Συνιστώ απλώς να απομνημονεύσετε αυτούς τους 48 αριθμούς και αφού διαβάσετε το έγγραφο απλώς να το κάψετε :). Σελίδα "Πώς να αποθηκεύσετε το κλειδί ανάκτησης;"Ο οδηγός κρυπτογράφησης BitLocker εμφανίζεται στην παρακάτω εικόνα:



Ρύζι. 5. Αποθήκευση του κλειδιού ανάκτησης για δεδομένα κρυπτογραφημένα με BitLocker

7. Αυτή είναι η τελευταία σελίδα του Οδηγού κρυπτογράφησης μονάδας δίσκου, επειδή σε αυτό το σημείο μπορείτε να εκτελέσετε έναν έλεγχο συστήματος BitLocker για να βεβαιωθείτε ότι μπορείτε να χρησιμοποιήσετε εύκολα το κλειδί ανάκτησης εάν είναι απαραίτητο. Για να ολοκληρώσετε τον έλεγχο συστήματος, θα σας ζητηθεί να επανεκκινήσετε τον υπολογιστή σας. Κατ 'αρχήν, αυτό το βήμα δεν είναι υποχρεωτικό, αλλά εξακολουθεί να είναι σκόπιμο να πραγματοποιηθεί αυτός ο έλεγχος. Μπορείτε να δείτε την τελευταία σελίδα του οδηγού παρακάτω:



Ρύζι. 6. Τελευταία σελίδα του Οδηγού κρυπτογράφησης δίσκου

8. Αμέσως μετά τη δοκιμή POST, θα σας ζητηθεί να τοποθετήσετε μια μονάδα flash με ένα κλειδί εκκίνησης για την εκκίνηση του λειτουργικού συστήματος. Μόλις γίνει επανεκκίνηση του υπολογιστή και το BitLocker γνωρίζει ότι δεν θα προκύψουν απρόβλεπτες συνθήκες μετά την κρυπτογράφηση, θα ξεκινήσει η ίδια η διαδικασία κρυπτογράφησης του δίσκου. Θα το γνωρίζετε από το εικονίδιο που εμφανίζεται στην περιοχή ειδοποιήσεων ή αν μεταβείτε στο παράθυρο "Κρυπτογράφηση μονάδας δίσκου BitLocker"από τον πίνακα ελέγχου. Η ίδια η διαδικασία κρυπτογράφησης εκτελείται στο παρασκήνιο, δηλαδή, θα μπορείτε να συνεχίσετε να εργάζεστε στον υπολογιστή σας ενώ εκτελείται η κρυπτογράφηση, αλλά το BitLocker θα χρησιμοποιεί εντατικά τους πόρους του επεξεργαστή και τον ελεύθερο χώρο στον κρυπτογραφημένο δίσκο. Για να δείτε ποιο ποσοστό του δίσκου σας είναι ήδη κρυπτογραφημένο, αναζητήστε το εικονίδιο στην περιοχή ειδοποιήσεων "Κρυπτογράφηση %volume_name% με χρήση κρυπτογράφησης μονάδας δίσκου BitLocker"και κάντε διπλό κλικ πάνω του. Εικονίδιο ειδοποίησης BitLocker και πλαίσιο διαλόγου "Κρυπτογράφηση μονάδας δίσκου BitLocker"Φαίνεται παρακάτω:



Ρύζι. 7. Εκτελέστε κρυπτογράφηση

9. Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης μονάδας δίσκου BitLocker, θα ειδοποιηθείτε ότι η κρυπτογράφηση της μονάδας δίσκου που επιλέξατε ολοκληρώθηκε με επιτυχία. Αυτό το πλαίσιο διαλόγου φαίνεται παρακάτω:





Ρύζι. 8. Ολοκλήρωση κρυπτογράφησης μονάδας δίσκου BitLocker

Για όσους κρυπτογραφούν έναν δίσκο για πρώτη φορά, θα ήθελα να σημειώσω ότι αυτή η διαδικασία δεν εκτελείται άμεσα και, για παράδειγμα, μου πήρε 70 λεπτά για να κρυπτογραφήσω έναν δίσκο συστήματος χωρητικότητας 75 gigabyte.

Τώρα, όπως μπορείτε να δείτε στην παρακάτω εικόνα, στην Εξερεύνηση των Windows υπάρχει ένα κλείδωμα στο εικονίδιο του διαμερίσματος συστήματος, που σημαίνει ότι αυτό το διαμέρισμα είναι κρυπτογραφημένο χρησιμοποιώντας την τεχνολογία BitLocker:

Ρύζι. 9. Εξερεύνηση των Windows με κρυπτογραφημένο διαμέρισμα συστήματος

συμπέρασμα

Σε αυτό το άρθρο, μάθατε πώς να κρυπτογραφείτε μια μονάδα δίσκου χρησιμοποιώντας την τεχνολογία BitLocker. Εξετάζεται η διαδικασία προετοιμασίας για κρυπτογράφηση και κρυπτογράφησης του ίδιου του δίσκου χρησιμοποιώντας μια γραφική διεπαφή. Δεδομένου ότι στην αρχή του άρθρου υπέδειξα ότι δύο μονάδες δίσκου θα είναι κρυπτογραφημένες σε αυτόν τον φορητό υπολογιστή, στο επόμενο άρθρο θα μάθετε πώς μπορείτε να κρυπτογραφήσετε μια μονάδα δίσκου χρησιμοποιώντας την τεχνολογία BitLocker χρησιμοποιώντας ένα βοηθητικό πρόγραμμα γραμμής εντολών διαχειρίζομαι-dbe .

Γεια σας φίλοι! Σε αυτό το άρθρο θα συνεχίσουμε να μελετάμε τα συστήματα που είναι ενσωματωμένα στα Windows που έχουν σχεδιαστεί για να αυξάνουν την ασφάλεια των δεδομένων μας. Σήμερα είναι το σύστημα κρυπτογράφησης δίσκου Bitlocker. Η κρυπτογράφηση δεδομένων είναι απαραίτητη για να αποτραπεί η χρήση των πληροφοριών σας από ξένους. Το πώς θα φτάσει σε αυτούς είναι ένα άλλο ερώτημα.

Η κρυπτογράφηση είναι η διαδικασία μετατροπής δεδομένων έτσι ώστε μόνο τα σωστά άτομα να έχουν πρόσβαση σε αυτά. Τα κλειδιά ή οι κωδικοί πρόσβασης χρησιμοποιούνται συνήθως για την απόκτηση πρόσβασης.

Η κρυπτογράφηση ολόκληρης της μονάδας αποτρέπει την πρόσβαση σε δεδομένα όταν συνδέετε τον σκληρό σας δίσκο σε άλλον υπολογιστή. Το σύστημα του εισβολέα μπορεί να έχει εγκατεστημένο άλλο λειτουργικό σύστημα για να παρακάμψει την προστασία, αλλά αυτό δεν θα βοηθήσει εάν χρησιμοποιείτε το BitLocker.

Η τεχνολογία BitLocker εμφανίστηκε με την κυκλοφορία του λειτουργικού συστήματος Windows Vista και βελτιώθηκε στα Windows 7. Το Bitlocker είναι διαθέσιμο σε εκδόσεις Windows 7 Ultimate και Enterprise καθώς και σε Windows 8 Pro. Οι ιδιοκτήτες άλλων εκδόσεων θα πρέπει να αναζητήσουν εναλλακτική.

Πώς λειτουργεί η κρυπτογράφηση μονάδας δίσκου BitLocker

Χωρίς να μπω σε λεπτομέρειες μοιάζει με αυτό. Το σύστημα κρυπτογραφεί ολόκληρο τον δίσκο και σας δίνει τα κλειδιά του. Εάν κρυπτογραφήσετε το δίσκο συστήματος, ο υπολογιστής δεν θα εκκινήσει χωρίς το κλειδί σας. Το ίδιο πράγμα με τα κλειδιά του διαμερίσματος. Τα έχεις, θα μπεις μέσα. Χάθηκε, πρέπει να χρησιμοποιήσετε έναν εφεδρικό (κωδικό ανάκτησης (εκδόθηκε κατά την κρυπτογράφηση)) και να αλλάξετε το κλείδωμα (κάντε ξανά την κρυπτογράφηση με άλλα κλειδιά)

Για αξιόπιστη προστασία, είναι επιθυμητό να έχετε μια μονάδα TPM (Trusted Platform Module) στον υπολογιστή σας. Εάν υπάρχει και η έκδοσή του είναι 1.2 ή νεότερη, τότε θα ελέγχει τη διαδικασία και θα έχετε ισχυρότερες μεθόδους προστασίας. Εάν δεν υπάρχει, τότε θα μπορείτε να χρησιμοποιήσετε μόνο το κλειδί στη μονάδα USB.

Το BitLocker λειτουργεί ως εξής. Κάθε τομέας του δίσκου κρυπτογραφείται ξεχωριστά χρησιμοποιώντας ένα κλειδί (κλειδί κρυπτογράφησης πλήρους τόμου, FVEK). Χρησιμοποιείται ο αλγόριθμος AES με κλειδί 128 bit και διαχύτη. Το κλειδί μπορεί να αλλάξει σε 256-bit στις πολιτικές ασφαλείας ομάδας.

Για να το κάνετε αυτό, χρησιμοποιήστε την αναζήτηση στα Windows 7. Ανοίξτε το μενού Έναρξη και στο πεδίο αναζήτησης γράψτε "policies" και επιλέξτε Αλλαγή πολιτικής ομάδας

Στο παράθυρο που ανοίγει στην αριστερή πλευρά, ακολουθήστε τη διαδρομή

Διαμόρφωση υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία Windows > Κρυπτογράφηση μονάδας δίσκου BitLocker

Στη δεξιά πλευρά, κάντε διπλό κλικ στην επιλογή Επιλογή μεθόδου κρυπτογράφησης δίσκου και ισχύς κρυπτογράφησης

Στο παράθυρο που ανοίγει, κάντε κλικ στην Ενεργοποίηση πολιτικής. Στην ενότητα Επιλογή μεθόδου κρυπτογράφησης, επιλέξτε την επιθυμητή από την αναπτυσσόμενη λίστα

Το πιο αξιόπιστο είναι το AES με κλειδί 256 bit με διαχύτη. Σε αυτή την περίπτωση, πιθανότατα το φορτίο στον κεντρικό επεξεργαστή θα είναι λίγο μεγαλύτερο, αλλά όχι πολύ, και στους σύγχρονους υπολογιστές δεν θα παρατηρήσετε τη διαφορά. Αλλά τα δεδομένα θα προστατεύονται πιο αξιόπιστα.

Η χρήση ενός διαχύτη αυξάνει περαιτέρω την αξιοπιστία καθώς οδηγεί σε σημαντικές αλλαγές στις κρυπτογραφημένες πληροφορίες με μια μικρή αλλαγή στα αρχικά δεδομένα. Δηλαδή, κατά την κρυπτογράφηση δύο τομέων με σχεδόν ίδια δεδομένα, το αποτέλεσμα θα είναι σημαντικά διαφορετικό.

Το ίδιο το κλειδί FVEK βρίσκεται ανάμεσα στα μεταδεδομένα του σκληρού δίσκου και είναι επίσης κρυπτογραφημένο χρησιμοποιώντας το κύριο κλειδί έντασης ήχου (VMK). Το VMK κρυπτογραφείται επίσης χρησιμοποιώντας τη μονάδα TPM. Εάν το τελευταίο λείπει, χρησιμοποιήστε το κλειδί στη μονάδα USB.

Εάν η μονάδα USB με το κλειδί δεν είναι διαθέσιμη, θα χρειαστεί να χρησιμοποιήσετε τον 48ψήφιο κωδικό ανάκτησης. Μετά από αυτό, το σύστημα θα μπορεί να αποκρυπτογραφήσει το κύριο κλειδί του τόμου, με το οποίο θα αποκρυπτογραφήσει το κλειδί FVEK, με το οποίο θα ξεκλειδωθεί ο δίσκος και θα εκκινηθεί το λειτουργικό σύστημα.

Βελτιώσεις BitLocker στα Windows 7

Κατά την εγκατάσταση των Windows 7 από μονάδα flash ή δίσκο, σας ζητείται να διαμερίσετε ή να ρυθμίσετε τις παραμέτρους του δίσκου. Κατά τη ρύθμιση του δίσκου, δημιουργείται ένα επιπλέον διαμέρισμα εκκίνησης 100 MB. Μάλλον δεν είμαι ο μόνος που είχα ερωτήσεις σχετικά με το ραντεβού του. Αυτό είναι ακριβώς το τμήμα που χρειάζεται για να λειτουργήσει η τεχνολογία Bitlocker.

Αυτό το διαμέρισμα είναι κρυφό και εκκινήσιμο και δεν είναι κρυπτογραφημένο διαφορετικά δεν θα ήταν δυνατή η φόρτωση του λειτουργικού συστήματος.

Στα Windows Vista, αυτό το διαμέρισμα ή ο όγκος πρέπει να είναι 1,5 GB. Στα windows 7 έγινε 100 MB.

Εάν, κατά την εγκατάσταση του λειτουργικού συστήματος, το διαμερίσατε με προγράμματα τρίτων, δηλαδή δεν δημιουργήσατε ένα διαμέρισμα εκκίνησης, τότε στα Windows 7 το BitLocker θα προετοιμάσει το ίδιο το απαραίτητο διαμέρισμα. Στα Windows Vista, θα πρέπει να το δημιουργήσετε χρησιμοποιώντας πρόσθετο λογισμικό που περιλαμβάνεται στο λειτουργικό σύστημα.

Τα Windows 7 εισήγαγαν επίσης την τεχνολογία BitLocker To Go για την κρυπτογράφηση μονάδων flash και εξωτερικών σκληρών δίσκων. Ας το δούμε αργότερα.

Πώς να ενεργοποιήσετε την κρυπτογράφηση μονάδας δίσκου BitLocker

Από προεπιλογή, το BitLocker έχει ρυθμιστεί να εκτελείται με τη μονάδα TPM και δεν θα θέλει να εκκινήσει εάν λείπει. (Πρώτα απλά προσπαθήστε να ενεργοποιήσετε την κρυπτογράφηση και αν ξεκινήσει, δεν χρειάζεται να απενεργοποιήσετε τίποτα στις πολιτικές ομάδας)

Για να ξεκινήσετε την κρυπτογράφηση, μεταβείτε στο Control Panel\System and Security\BitLocker Drive Encryption

Επιλέξτε τον επιθυμητό δίσκο (στο παράδειγμά μας είναι το διαμέρισμα συστήματος) και κάντε κλικ στο Enable BitLocker

Αν δείτε μια εικόνα όπως παρακάτω

πρέπει να επεξεργαστείτε τις πολιτικές ομάδας.

Χρησιμοποιώντας την αναζήτηση από το μενού Έναρξη, καλέστε το Local Group Policy Editor

Ας προχωρήσουμε στην πορεία

Διαμόρφωση υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία Windows > Κρυπτογράφηση μονάδας δίσκου BitLocker > Μονάδες δίσκου λειτουργικού συστήματος

Στα δεξιά, επιλέξτε Απαιτείται πρόσθετος έλεγχος ταυτότητας

Στο παράθυρο που ανοίγει, κάντε κλικ στο Ενεργοποίηση και, στη συνέχεια, πρέπει να βεβαιωθείτε ότι είναι επιλεγμένο το πλαίσιο ελέγχου Να επιτρέπεται η χρήση του BitLocker χωρίς συμβατό TPM και κάντε κλικ στο OK

Μετά από αυτό, το BitLocker μπορεί να ξεκινήσει. Θα σας ζητηθεί να επιλέξετε τη μοναδική επιλογή ασφαλείας - Ζητήστε ένα κλειδί εκκίνησης κατά την εκκίνηση. Αυτό επιλέγουμε

Τοποθετήστε τη μονάδα flash USB στην οποία θα γραφτεί το κλειδί εκκίνησης και κάντε κλικ στην επιλογή Αποθήκευση

Τώρα πρέπει να αποθηκεύσετε το κλειδί ανάκτησης σε περίπτωση που η μονάδα flash με το κλειδί εκκίνησης δεν βρίσκεται στη ζώνη πρόσβασης. Μπορείτε να αποθηκεύσετε το κλειδί σε μια μονάδα flash (κατά προτίμηση σε μια άλλη), να αποθηκεύσετε το κλειδί σε ένα αρχείο για μεταγενέστερη μεταφορά σε άλλον υπολογιστή ή να το εκτυπώσετε αμέσως.

Το κλειδί ανάκτησης θα πρέπει φυσικά να φυλάσσεται σε ασφαλές μέρος. Θα αποθηκεύσω το κλειδί σε ένα αρχείο

Το κλειδί ανάκτησης είναι ένα απλό έγγραφο κειμένου με το ίδιο το κλειδί

Στη συνέχεια, θα δείτε ένα τελευταίο παράθυρο στο οποίο σας συμβουλεύεται να εκτελέσετε μια σάρωση συστήματος BitLocker πριν κρυπτογραφήσετε τη μονάδα δίσκου. Κάντε κλικ στο Continue

Αποθηκεύστε όλα τα ανοιχτά έγγραφα και κάντε κλικ στην Επαναφόρτωση τώρα

Δείτε τι θα δείτε αν κάτι πάει στραβά

Εάν όλα λειτουργούν, τότε μετά την επανεκκίνηση του υπολογιστή, θα ξεκινήσει η κρυπτογράφηση

Ο χρόνος εξαρτάται από την ισχύ του επεξεργαστή σας, τη χωρητικότητα του διαμερίσματος ή του τόμου που κρυπτογραφείτε και την ταχύτητα ανταλλαγής δεδομένων με τη μονάδα δίσκου (SSD ή HDD). Μια μονάδα στερεάς κατάστασης 60 GB γεμάτη σχεδόν στο έπακρο κρυπτογραφείται σε περίπου 30 λεπτά, ενώ ο εθελοντικός κατανεμημένος υπολογισμός εξακολουθεί να λειτουργεί.

Όταν ολοκληρωθεί η κρυπτογράφηση θα δείτε την παρακάτω εικόνα

Κλείστε το παράθυρο και ελέγξτε εάν το κλειδί εκκίνησης και το κλειδί ανάκτησης βρίσκονται σε ασφαλή μέρη.

Κρυπτογράφηση μονάδας flash - BitLocker To Go

Με την έλευση της τεχνολογίας BitLocker To Go στα Windows 7, κατέστη δυνατή η κρυπτογράφηση μονάδων flash, καρτών μνήμης και εξωτερικών σκληρών δίσκων. Αυτό είναι πολύ βολικό γιατί είναι πολύ πιο εύκολο να χάσετε μια μονάδα flash παρά ένα φορητό υπολογιστή ή ένα netbook.

Μέσα από την αναζήτηση ή ακολουθώντας το μονοπάτι

Έναρξη > Πίνακας Ελέγχου > Σύστημα και Ασφάλεια > Κρυπτογράφηση μονάδας δίσκου BitLocker

ανοίξτε το παράθυρο ελέγχου. Τοποθετήστε τη μονάδα flash που θέλετε να κρυπτογραφήσετε και στην ενότητα BitLocker To Go ενεργοποιήστε την κρυπτογράφηση για την επιθυμητή μονάδα USB

Πρέπει να επιλέξετε μια μέθοδο για να ξεκλειδώσετε τη μονάδα δίσκου. Η επιλογή δεν είναι μεγάλη: κωδικός πρόσβασης ή κάρτα SIM με κωδικό PIN. Οι κάρτες SIM εκδίδονται από ειδικά τμήματα μεγάλων εταιρειών. Ας χρησιμοποιήσουμε έναν απλό κωδικό πρόσβασης.

Επιλέξτε το πλαίσιο δίπλα στην επιλογή Χρήση κωδικού πρόσβασης για ξεκλείδωμα του δίσκου και εισαγάγετε τον κωδικό πρόσβασης δύο φορές. Από προεπιλογή, το ελάχιστο μήκος κωδικού πρόσβασης είναι 8 χαρακτήρες (μπορεί να αλλάξει στις πολιτικές ομάδας). Κάντε κλικ στο Επόμενο

Επιλέγουμε πώς θα αποθηκεύσουμε το κλειδί ανάκτησης. Μάλλον θα είναι ασφαλές να το εκτυπώσετε. Αποθήκευση και κάντε κλικ στο Επόμενο

Κάντε κλικ στην Έναρξη κρυπτογράφησης και προστατέψτε τα δεδομένα σας

Ο χρόνος κρυπτογράφησης εξαρτάται από τη χωρητικότητα της μονάδας flash, το πόσο γεμάτη πληροφορίες, την ισχύ του επεξεργαστή σας και την ταχύτητα ανταλλαγής δεδομένων με τον υπολογιστή.

Σε μεγάλες μονάδες flash ή εξωτερικούς σκληρούς δίσκους, αυτή η διαδικασία μπορεί να διαρκέσει πολύ. Θεωρητικά, η διαδικασία μπορεί να ολοκληρωθεί σε άλλον υπολογιστή. Για να το κάνετε αυτό, σταματήστε την κρυπτογράφηση και αφαιρέστε σωστά τη μονάδα δίσκου. Το τοποθετείτε σε άλλον υπολογιστή, τον ξεκλειδώνετε εισάγοντας τον κωδικό πρόσβασής σας και η κρυπτογράφηση θα συνεχιστεί αυτόματα.

Τώρα, όταν εγκαθιστάτε μια μονάδα flash στον υπολογιστή σας, θα εμφανιστεί ένα παράθυρο παρακάτω που σας ζητά να εισαγάγετε έναν κωδικό πρόσβασης.

Εάν εμπιστεύεστε αυτόν τον υπολογιστή και δεν θέλετε να εισάγετε συνεχώς τον κωδικό πρόσβασης, επιλέξτε το πλαίσιο Επόμενο για να ξεκλειδώσετε αυτόματα αυτόν τον υπολογιστή και κάντε κλικ στο Ξεκλείδωμα. Σε αυτόν τον υπολογιστή δεν θα χρειάζεται πλέον να εισάγετε τον κωδικό πρόσβασης για αυτήν τη μονάδα flash.

Προκειμένου οι πληροφορίες σε μια κρυπτογραφημένη μονάδα USB να χρησιμοποιηθούν σε υπολογιστές με Windows Vista ή Windows XP, η μονάδα flash πρέπει να διαμορφωθεί στο σύστημα αρχείων FAT32. Σε αυτά τα λειτουργικά συστήματα, θα είναι δυνατό να ξεκλειδώσετε τη μονάδα flash μόνο με την εισαγωγή κωδικού πρόσβασης και οι πληροφορίες θα είναι μόνο για ανάγνωση. Οι πληροφορίες εγγραφής δεν είναι διαθέσιμες.

Κρυπτογραφημένη διαχείριση διαμερισμάτων

Η διαχείριση πραγματοποιείται από το παράθυρο BitLocker Drive Encryption. Μπορείτε να βρείτε αυτό το παράθυρο χρησιμοποιώντας την αναζήτηση ή μπορείτε να μεταβείτε στη διεύθυνση

Πίνακας ελέγχου > Σύστημα και ασφάλεια > Κρυπτογράφηση μονάδας δίσκου BitLocker

Μπορείτε να απενεργοποιήσετε την κρυπτογράφηση κάνοντας κλικ στο "Turn off BitLocker". Σε αυτήν την περίπτωση, ο δίσκος ή ο τόμος αποκρυπτογραφείται. Αυτό θα πάρει λίγο χρόνο και δεν θα χρειαστούν κλειδιά.

Μπορείτε επίσης να διακόψετε την προστασία εδώ

Αυτή η λειτουργία συνιστάται για χρήση κατά την ενημέρωση του BIOS ή την επεξεργασία ενός δίσκου εκκίνησης. (Το ίδιο με όγκο 100 MB). Μπορείτε να θέσετε σε παύση την προστασία μόνο στη μονάδα δίσκου συστήματος (το διαμέρισμα ή τον τόμο στον οποίο είναι εγκατεστημένα τα Windows).

Γιατί πρέπει να διακόψετε την κρυπτογράφηση; Για να μην αποκλείσει το BitLocker τη μονάδα δίσκου σας και μην καταφύγετε στη διαδικασία ανάκτησης. Οι παράμετροι συστήματος (BIOS και περιεχόμενα διαμερίσματος εκκίνησης) κλειδώνονται κατά την κρυπτογράφηση για πρόσθετη προστασία. Η αλλαγή τους μπορεί να μπλοκάρει τον υπολογιστή σας.

Εάν επιλέξετε Διαχείριση BitLocker, μπορείτε να αποθηκεύσετε ή να εκτυπώσετε το κλειδί ανάκτησης και να αντιγράψετε το κλειδί εκκίνησης

Εάν χαθεί ένα από τα κλειδιά (κλειδί εκκίνησης ή κλειδί ανάκτησης), μπορείτε να τα ανακτήσετε εδώ.

Διαχειριστείτε την κρυπτογράφηση εξωτερικών μονάδων δίσκου

Οι ακόλουθες λειτουργίες είναι διαθέσιμες για τη διαχείριση των ρυθμίσεων κρυπτογράφησης της μονάδας flash:

Μπορείτε να αλλάξετε τον κωδικό πρόσβασης για να τον ξεκλειδώσετε. Μπορείτε να αφαιρέσετε έναν κωδικό πρόσβασης μόνο εάν χρησιμοποιείτε έξυπνη κάρτα για να τον ξεκλειδώσετε. Μπορείτε επίσης να αποθηκεύσετε ή να εκτυπώσετε το κλειδί ανάκτησης και να ενεργοποιήσετε το ξεκλείδωμα του δίσκου αυτόματα για αυτόν τον υπολογιστή.

Ανάκτηση πρόσβασης στο δίσκο

Επαναφορά πρόσβασης στο δίσκο συστήματος

Εάν η μονάδα flash με το κλειδί βρίσκεται εκτός της ζώνης πρόσβασης, τότε το κλειδί ανάκτησης μπαίνει σε λειτουργία. Όταν εκκινείτε τον υπολογιστή σας θα δείτε κάτι σαν το εξής:

Για να επαναφέρετε την πρόσβαση και να φορτώσετε τα παράθυρα, πατήστε Enter

Θα δείτε μια οθόνη που σας ζητά να εισαγάγετε το κλειδί ανάκτησης.

Όταν εισάγετε το τελευταίο ψηφίο, με την προϋπόθεση ότι το κλειδί ανάκτησης είναι σωστό, το λειτουργικό σύστημα θα εκκινήσει αυτόματα.

Επαναφορά της πρόσβασης σε αφαιρούμενες μονάδες δίσκου

Για να επαναφέρετε την πρόσβαση σε πληροφορίες σε μονάδα flash ή εξωτερικό σκληρό δίσκο, κάντε κλικ στην επιλογή Ξεχάσατε τον κωδικό πρόσβασής σας;

Επιλέξτε Εισαγωγή κλειδιού ανάκτησης

και εισάγετε αυτόν τον τρομερό 48ψήφιο κωδικό. Κάντε κλικ στο Επόμενο

Εάν το κλειδί ανάκτησης είναι κατάλληλο, ο δίσκος θα ξεκλειδωθεί

Εμφανίζεται ένας σύνδεσμος για τη Διαχείριση BitLocker, όπου μπορείτε να αλλάξετε τον κωδικό πρόσβασης για να ξεκλειδώσετε τη μονάδα δίσκου.

συμπέρασμα

Σε αυτό το άρθρο, μάθαμε πώς να προστατεύουμε τις πληροφορίες μας κρυπτογραφώντας τις χρησιμοποιώντας το ενσωματωμένο εργαλείο BitLocker. Είναι απογοητευτικό το γεγονός ότι αυτή η τεχνολογία είναι διαθέσιμη μόνο σε παλαιότερες ή προηγμένες εκδόσεις του λειτουργικού συστήματος Windows. Έγινε επίσης σαφές γιατί αυτό το κρυφό και εκκινήσιμο διαμέρισμα μεγέθους 100 MB δημιουργείται κατά τη ρύθμιση ενός δίσκου χρησιμοποιώντας τα Windows.

Ίσως θα χρησιμοποιήσω κρυπτογράφηση μονάδων flash ή εξωτερικών σκληρών δίσκων. Αλλά αυτό είναι απίθανο, καθώς υπάρχουν καλά υποκατάστατα με τη μορφή υπηρεσιών αποθήκευσης δεδομένων cloud, όπως το DropBox, το Google Drive, το Yandex Drive και τα παρόμοια.

Με εκτίμηση, Anton Dyachenko

YouPK.ru

Ενεργοποιήστε ή απενεργοποιήστε το Bitlocker στα παράθυρα

Κανείς δεν εκπλήσσεται καθόλου από το γεγονός ότι καθαρά προσωπικές πληροφορίες ή εταιρικά δεδομένα μεγάλης αξίας μπορούν να αποθηκευτούν σε έναν προσωπικό υπολογιστή. Δεν είναι επιθυμητό εάν τέτοιες πληροφορίες πέσουν στα χέρια τρίτων που μπορούν να τις χρησιμοποιήσουν, προκαλώντας σοβαρά προβλήματα στον πρώην ιδιοκτήτη του Η/Υ.

Ανάλογα με τις περιστάσεις, το Bitlocker μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί.

Γι' αυτόν τον λόγο πολλοί χρήστες εκφράζουν την επιθυμία να προβούν σε κάποια ενέργεια με στόχο τον περιορισμό της πρόσβασης σε όλα τα αρχεία που είναι αποθηκευμένα στον υπολογιστή. Μια τέτοια διαδικασία υπάρχει στην πραγματικότητα. Έχοντας εκτελέσει ορισμένους χειρισμούς, κανένας ξένος, χωρίς να γνωρίζει τον κωδικό πρόσβασης ή το κλειδί για την ανάκτησή του, δεν θα μπορεί να αποκτήσει πρόσβαση στα έγγραφα.

Μπορείτε να προστατεύσετε σημαντικές πληροφορίες από τρίτα μέρη κρυπτογραφώντας τη μονάδα δίσκου σας με το Bitlocker. Τέτοιες ενέργειες συμβάλλουν στη διασφάλιση της πλήρους εμπιστευτικότητας των εγγράφων όχι μόνο σε συγκεκριμένο υπολογιστή, αλλά και στην περίπτωση που κάποιος αφαιρεί τον σκληρό δίσκο και τον τοποθετεί σε άλλον προσωπικό υπολογιστή.

Αλγόριθμος για την ενεργοποίηση και απενεργοποίηση της συνάρτησης

Η κρυπτογράφηση δίσκου Bitlocker λειτουργεί στα Windows 7, 8 και 10, αλλά όχι σε όλες τις εκδόσεις. Υποτίθεται ότι η μητρική πλακέτα που είναι εξοπλισμένη με τον συγκεκριμένο υπολογιστή στον οποίο ο χρήστης θέλει να εκτελέσει κρυπτογράφηση πρέπει να διαθέτει μονάδα TPM.

ΣΥΜΒΟΥΛΗ. Μην στεναχωριέστε αν γνωρίζετε με βεβαιότητα ότι δεν υπάρχει τέτοια ειδική μονάδα στη μητρική σας πλακέτα. Υπάρχουν μερικά κόλπα που σας επιτρέπουν να "αγνοήσετε" μια τέτοια απαίτηση και, κατά συνέπεια, να εγκαταστήσετε χωρίς μια τέτοια ενότητα.

Πριν ξεκινήσετε τη διαδικασία κρυπτογράφησης όλων των αρχείων, είναι σημαντικό να σημειώσετε ότι αυτή η διαδικασία είναι αρκετά χρονοβόρα. Είναι δύσκολο να δοθεί ακριβής χρόνος εκ των προτέρων. Όλα εξαρτώνται από το πόσες πληροφορίες υπάρχουν στον σκληρό δίσκο. Κατά τη διαδικασία κρυπτογράφησης, τα Windows 10 θα συνεχίσουν να λειτουργούν, αλλά είναι απίθανο να σας ευχαριστήσει με την απόδοσή τους, καθώς ο δείκτης απόδοσης θα μειωθεί σημαντικά.

Ενεργοποίηση της δυνατότητας

Εάν έχετε εγκατεστημένα τα Windows 10 στον υπολογιστή σας και έχετε ενεργή επιθυμία να ενεργοποιήσετε την κρυπτογράφηση δεδομένων, χρησιμοποιήστε τις συμβουλές μας ώστε όχι μόνο να πετύχετε, αλλά και ο τρόπος για να πραγματοποιήσετε αυτήν την επιθυμία δεν είναι δύσκολος. Αρχικά, βρείτε το πλήκτρο "Win" στο πληκτρολόγιό σας, μερικές φορές συνοδεύεται από το εικονίδιο των Windows, κρατήστε το πατημένο και ταυτόχρονα κρατήστε πατημένο το πλήκτρο "R". Πατώντας αυτά τα δύο πλήκτρα ταυτόχρονα ανοίγει το παράθυρο Εκτέλεση.

Στο παράθυρο που ανοίγει, θα βρείτε μια κενή γραμμή στην οποία θα πρέπει να εισαγάγετε "gpedit.msc". Αφού κάνετε κλικ στο κουμπί "Ok", θα ανοίξει ένα νέο παράθυρο "Επεξεργαστής πολιτικής τοπικής ομάδας". Σε αυτό το παράθυρο έχουμε έναν σύντομο δρόμο μπροστά μας.

Στην αριστερή πλευρά του παραθύρου, βρείτε και κάντε αμέσως κλικ στη γραμμή "Computer Configuration", στο υπομενού που ανοίγει, βρείτε "Administrative Templates" και, στη συνέχεια, στο επόμενο υπομενού που ανοίγει, μεταβείτε στην επιλογή που βρίσκεται πρώτη στη λίστα και ονομάζεται "Windows Components".

Τώρα μετακινήστε το βλέμμα σας στη δεξιά πλευρά του παραθύρου, βρείτε το "Bitlocker Disk Encryption" σε αυτό και κάντε διπλό κλικ για να το ενεργοποιήσετε. Τώρα θα ανοίξει μια νέα λίστα, στην οποία ο επόμενος στόχος σας θα πρέπει να είναι η γραμμή «Δίσκοι λειτουργικού συστήματος». Κάντε κλικ σε αυτή τη γραμμή επίσης, απλά πρέπει να κάνετε μια ακόμη μετάβαση για να πλησιάσετε πιο κοντά στο παράθυρο όπου θα ρυθμιστεί απευθείας το Bitlocker, επιτρέποντάς σας να το ενεργοποιήσετε, αυτό ακριβώς που θέλετε.

Βρείτε τη γραμμή "Αυτή η ρύθμιση πολιτικής σάς επιτρέπει να διαμορφώσετε την απαίτηση για πρόσθετο έλεγχο ταυτότητας κατά την εκκίνηση", κάντε διπλό κλικ για να αναπτύξετε αυτήν τη ρύθμιση. Στο ανοιχτό παράθυρο θα βρείτε την επιθυμητή λέξη "Ενεργοποίηση", δίπλα στην οποία θα βρείτε ένα πλαίσιο ελέγχου, σε αυτό πρέπει να βάλετε ένα συγκεκριμένο σημάδι με τη μορφή ενός τικ της συγκατάθεσής σας.

Ακριβώς παρακάτω σε αυτό το παράθυρο υπάρχει μια υποενότητα "Πλατφόρμες", σε αυτήν πρέπει να επιλέξετε το πλαίσιο ελέγχου δίπλα στην προσφορά για χρήση του BitLocker χωρίς ειδική μονάδα. Αυτό είναι πολύ σημαντικό, ειδικά εάν τα Windows 10 δεν διαθέτουν μονάδα TPM.

Η διαμόρφωση της επιθυμητής λειτουργίας ολοκληρώνεται σε αυτό το παράθυρο, ώστε να μπορείτε να την κλείσετε. Τώρα μετακινήστε τον κέρσορα του ποντικιού πάνω από το εικονίδιο των Windows, απλώς κάντε δεξί κλικ πάνω του, το οποίο θα επιτρέψει την εμφάνιση ενός επιπλέον υπομενού. Σε αυτό θα βρείτε τη γραμμή "Πίνακας Ελέγχου", μεταβείτε σε αυτήν και, στη συνέχεια, στην επόμενη γραμμή "Κρυπτογράφηση δίσκου Bitlocker".

Φροντίστε να υποδείξετε πού θέλετε να γίνει η κρυπτογράφηση. Αυτό μπορεί να γίνει τόσο σε σκληρούς όσο και σε αφαιρούμενους δίσκους. Αφού επιλέξετε το επιθυμητό αντικείμενο, κάντε κλικ στο κουμπί "Ενεργοποίηση Bitlocker".

Τώρα τα Windows 10 θα ξεκινήσουν μια αυτόματη διαδικασία, προσελκύοντας περιστασιακά την προσοχή σας, ζητώντας σας να προσδιορίσετε τις επιθυμίες σας. Φυσικά, είναι καλύτερο να δημιουργήσετε ένα αντίγραφο ασφαλείας πριν ξεκινήσετε μια τέτοια διαδικασία. Διαφορετικά, εάν χαθεί ο κωδικός πρόσβασης και το κλειδί του, ακόμη και ο κάτοχος του υπολογιστή δεν θα μπορεί να ανακτήσει τις πληροφορίες.

Στη συνέχεια, θα ξεκινήσει η διαδικασία προετοιμασίας του δίσκου για επακόλουθη κρυπτογράφηση. Ενώ εκτελείται αυτή η διαδικασία, δεν επιτρέπεται να απενεργοποιήσετε τον υπολογιστή, καθώς αυτή η ενέργεια μπορεί να προκαλέσει σοβαρή βλάβη στο λειτουργικό σύστημα. Μετά από μια τέτοια αποτυχία, απλά δεν θα μπορείτε να ξεκινήσετε τα Windows 10, επομένως, αντί για κρυπτογράφηση, θα πρέπει να εγκαταστήσετε ένα νέο λειτουργικό σύστημα, χάνοντας επιπλέον χρόνο.

Μόλις ολοκληρωθεί επιτυχώς η προετοιμασία του δίσκου, ξεκινά η πραγματική ρύθμιση του δίσκου για κρυπτογράφηση. Θα σας ζητηθεί να εισαγάγετε έναν κωδικό πρόσβασης, ο οποίος θα παρέχει αργότερα πρόσβαση στα κρυπτογραφημένα αρχεία. Θα σας ζητηθεί επίσης να δημιουργήσετε και να εισαγάγετε ένα κλειδί ανάκτησης. Και τα δύο αυτά σημαντικά εξαρτήματα φυλάσσονται καλύτερα σε ασφαλές μέρος, κατά προτίμηση τυπωμένα. Είναι πολύ ανόητο να αποθηκεύετε τον κωδικό πρόσβασης και το κλειδί ανάκτησης στον ίδιο τον υπολογιστή.

Κατά τη διαδικασία κρυπτογράφησης, το σύστημα μπορεί να σας ρωτήσει ποιο τμήμα θέλετε να κρυπτογραφήσετε συγκεκριμένα. Είναι καλύτερο να υποβάλετε ολόκληρο τον χώρο του δίσκου σε αυτήν τη διαδικασία, αν και υπάρχει η επιλογή κρυπτογράφησης μόνο του κατειλημμένου χώρου.

Το μόνο που απομένει είναι να επιλέξετε μια επιλογή ενέργειας όπως "Νέα λειτουργία κρυπτογράφησης" και στη συνέχεια να εκτελέσετε μια αυτόματη σάρωση του λειτουργικού συστήματος BitLocker. Στη συνέχεια, το σύστημα θα συνεχίσει με ασφάλεια τη διαδικασία, μετά την οποία θα σας ζητηθεί να επανεκκινήσετε τον υπολογιστή σας. Φυσικά, εκπληρώστε αυτήν την απαίτηση και επανεκκινήστε.

Μετά την επόμενη εκκίνηση των Windows 10, θα είστε πεπεισμένοι ότι η πρόσβαση σε έγγραφα χωρίς την εισαγωγή κωδικού πρόσβασης θα είναι αδύνατη. Η διαδικασία κρυπτογράφησης θα συνεχιστεί, μπορείτε να την ελέγξετε κάνοντας κλικ στο εικονίδιο BitLocker που βρίσκεται στον πίνακα ειδοποιήσεων.

Απενεργοποίηση της δυνατότητας

Εάν για κάποιο λόγο τα αρχεία στον υπολογιστή σας δεν έχουν πλέον μεγάλη σημασία και δεν σας αρέσει να εισάγετε έναν κωδικό πρόσβασης κάθε φορά για να έχετε πρόσβαση σε αυτά, προτείνουμε απλώς να απενεργοποιήσετε τη λειτουργία κρυπτογράφησης.

Για να εκτελέσετε τέτοιες ενέργειες, μεταβείτε στον πίνακα ειδοποιήσεων, βρείτε το εικονίδιο BitLocker εκεί και κάντε κλικ σε αυτό. Στο κάτω μέρος του ανοιχτού παραθύρου θα βρείτε τη γραμμή "Manage BitLocker", κάντε κλικ σε αυτήν.

Τώρα το σύστημα θα σας ζητήσει να επιλέξετε ποια ενέργεια είναι προτιμότερη για εσάς:

• αρχειοθέτηση του κλειδιού ανάκτησης.
• αλλαγή του κωδικού πρόσβασης για πρόσβαση σε κρυπτογραφημένα αρχεία.
• αφαιρέστε έναν κωδικό πρόσβασης που έχετε ορίσει προηγουμένως.
• απενεργοποιήστε το BitLocker.

Φυσικά, εάν αποφασίσετε να απενεργοποιήσετε το BitLocker, θα πρέπει να επιλέξετε την τελευταία επιλογή που προσφέρεται. Ένα νέο παράθυρο θα εμφανιστεί αμέσως στην οθόνη, στο οποίο το σύστημα θα θέλει να βεβαιωθεί ότι θέλετε πραγματικά να απενεργοποιήσετε τη λειτουργία κρυπτογράφησης.

ΠΡΟΣΟΧΗ. Μόλις κάνετε κλικ στο κουμπί «Απενεργοποίηση BitLocker», η διαδικασία αποκρυπτογράφησης θα ξεκινήσει αμέσως. Δυστυχώς, αυτή η διαδικασία δεν χαρακτηρίζεται από υψηλή ταχύτητα, οπότε σίγουρα θα πρέπει να προετοιμαστείτε για κάποιο χρονικό διάστημα, κατά το οποίο θα πρέπει απλώς να περιμένετε.

Φυσικά, εάν χρειάζεται να χρησιμοποιήσετε έναν υπολογιστή αυτή τη στιγμή, μπορείτε να το αντέξετε οικονομικά· δεν υπάρχει κατηγορηματική απαγόρευση σε αυτό. Ωστόσο, θα πρέπει να προετοιμαστείτε για το γεγονός ότι η απόδοση του υπολογιστή αυτή τη στιγμή μπορεί να είναι εξαιρετικά χαμηλή. Δεν είναι δύσκολο να κατανοήσουμε τον λόγο αυτής της βραδύτητας, επειδή το λειτουργικό σύστημα πρέπει να ξεκλειδώσει έναν τεράστιο όγκο πληροφοριών.

Έτσι, εάν θέλετε να κρυπτογραφήσετε ή να αποκρυπτογραφήσετε αρχεία στον υπολογιστή σας, πρέπει απλώς να διαβάσετε τις συστάσεις μας, στη συνέχεια, χωρίς βιασύνη, εκτελέστε κάθε βήμα του υποδεικνυόμενου αλγορίθμου και μετά την ολοκλήρωση, χαρείτε για το αποτέλεσμα που επιτεύχθηκε.

NastroyVse.ru

Ρύθμιση του Bitlocker

Το Bitlocker είναι ένα εργαλείο που παρέχει κρυπτογράφηση δεδομένων σε επίπεδο όγκου (ένας τόμος μπορεί να καταλαμβάνει μέρος ενός δίσκου ή μπορεί να περιλαμβάνει μια σειρά από πολλούς δίσκους.) Το Bitlocker χρησιμοποιείται για την προστασία των δεδομένων σας σε περίπτωση απώλειας ή κλοπής ενός φορητού υπολογιστή/υπολογιστή . Στην αρχική του έκδοση, το BitLocker παρείχε προστασία μόνο για έναν τόμο - τον δίσκο με το λειτουργικό σύστημα. Το BitLocker περιλαμβάνεται σε όλες τις εκδόσεις του Server 2008 R2 και του Server 2008 (εκτός από την έκδοση Itanium), συν τα Windows 7 Ultimate and Enterprise και τα Windows Vista. Στις εκδόσεις των Windows Server 2008 και Vista SP1, η Microsoft έχει εφαρμόσει προστασία για διάφορους τόμους, συμπεριλαμβανομένων των τόμων τοπικών δεδομένων. Στις εκδόσεις του Windows Server 2008 R2 και των Windows 7, οι προγραμματιστές πρόσθεσαν υποστήριξη για αφαιρούμενες συσκευές αποθήκευσης δεδομένων (συσκευές μνήμης flash USB και εξωτερικοί σκληροί δίσκοι). Αυτή η δυνατότητα ονομάζεται BitLocker To Go. Η τεχνολογία BitLocker χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης AES· το κλειδί μπορεί να αποθηκευτεί σε ένα TMP (Trusted Platform Module - ένα ειδικό κύκλωμα εγκατεστημένο σε έναν υπολογιστή κατά την κατασκευή του και παρέχει αποθήκευση κλειδιών κρυπτογράφησης) ή σε μια συσκευή USB. Είναι δυνατοί οι ακόλουθοι συνδυασμοί πρόσβασης:

TPM - TPM + PIN - TPM + PIN + Κλειδί USB - TPM + Κλειδί USB - Κλειδί USB Επειδή οι υπολογιστές συχνά δεν διαθέτουν TMP, θέλω να περιγράψω βήμα προς βήμα πώς να ρυθμίσετε το BitLocker με μια μονάδα USB.

Μεταβείτε στον «Υπολογιστή» και κάντε δεξί κλικ στην τοπική μονάδα δίσκου που θέλουμε να κρυπτογραφήσουμε (σε αυτό το παράδειγμα θα κρυπτογραφήσουμε την τοπική μονάδα δίσκου C) και επιλέξτε «Ενεργοποίηση BitLocker».

Μετά από αυτά τα βήματα θα δούμε ένα σφάλμα.

Είναι κατανοητό, όπως έγραψα ήδη - δεν υπάρχει μονάδα TMP σε αυτόν τον υπολογιστή και αυτό είναι το αποτέλεσμα, αλλά όλα μπορούν να διορθωθούν εύκολα, απλώς μεταβείτε στις τοπικές πολιτικές του υπολογιστή και αλλάξτε τις ρυθμίσεις εκεί, για αυτό πρέπει να μεταβείτε στο πρόγραμμα επεξεργασίας τοπικών πολιτικών - γράψτε στο πεδίο αναζήτησης gpedit .msc και πατήστε "Enter".

Ως αποτέλεσμα, θα ανοίξει το παράθυρο τοπικών πολιτικών, μεταβείτε στη διαδρομή "Διαμόρφωση υπολογιστή - Πρότυπα διαχείρισης - Windows Components - Bit-Locker Drive Encryption - Drives Operating System" και στην πολιτική Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση, το ορίσαμε σε Ενεργοποίηση. Πρέπει επίσης να βεβαιωθείτε ότι είναι επιλεγμένο το πλαίσιο ελέγχου Να επιτρέπεται η χρήση του BitLocker χωρίς συμβατό TPM. Κάντε κλικ στο "Ok".

Τώρα, εάν επαναλάβετε τα πρώτα βήματα για να ενεργοποιήσετε το BitLocker σε μια τοπική μονάδα δίσκου, θα ανοίξει ένα παράθυρο για να ρυθμίσετε τις παραμέτρους κρυπτογράφησης δίσκου· επιλέξτε "Αίτηση κλειδιού εκκίνησης" κατά την εκκίνηση (ωστόσο, δεν είχαμε επιλογή, αυτό οφείλεται στην έλλειψη ενός TPM).

Στο επόμενο παράθυρο, επιλέξτε τη συσκευή USB στην οποία θα αποθηκευτεί το κλειδί.

Στη συνέχεια, επιλέγουμε πού θα αποθηκεύσουμε το κλειδί ανάκτησης (αυτό είναι το κλειδί που εισάγεται χειροκίνητα σε περίπτωση απώλειας του μέσου με το κύριο κλειδί), προτείνω να το κάνετε σε άλλη μονάδα USB ή σε άλλον υπολογιστή ή να το εκτυπώσετε εάν αποθηκεύσετε το κλειδί ανάκτησης στον ίδιο υπολογιστή ή στην ίδια μονάδα USB, δεν θα μπορείτε να ξεκινήσετε τα Windows εάν χάσετε το USB στο οποίο είναι αποθηκευμένο το κλειδί. Σε αυτό το παράδειγμα, αποθήκευσα σε άλλη μονάδα USB.

Στο επόμενο παράθυρο, εκτελέστε τον έλεγχο συστήματος Bitlocker κάνοντας κλικ στο κουμπί "Συνέχεια" και μετά θα γίνει επανεκκίνηση του υπολογιστή.

Μετά την εκκίνηση του υπολογιστή, θα εμφανιστεί το παράθυρο διαδικασίας κρυπτογράφησης. Αυτή είναι συχνά μια χρονοβόρα διαδικασία που απαιτεί αρκετές ώρες.

Ως αποτέλεσμα, έχουμε μια κρυπτογραφημένη μονάδα δίσκου C, η οποία δεν θα ξεκινήσει χωρίς μια μονάδα USB με κλειδί ή κλειδί ανάκτησης.

pk-help.com

Πώς να ρυθμίσετε την κρυπτογράφηση δεδομένων BitLocker για Windows

Για προστασία από μη εξουσιοδοτημένη πρόσβαση σε αρχεία που είναι αποθηκευμένα στον σκληρό δίσκο, καθώς και σε αφαιρούμενες μονάδες (εξωτερικές μονάδες ή μονάδες flash USB), οι χρήστες του λειτουργικού συστήματος Windows έχουν τη δυνατότητα να τα κρυπτογραφούν χρησιμοποιώντας το ενσωματωμένο λογισμικό κρυπτογράφησης BitLocker και BitLocker To Go.

Το πρόγραμμα κρυπτογράφησης BitLocker και το BitLocker To Go είναι προεγκατεστημένα στις εκδόσεις Proffessional και Enterprise των Windows 8/8.1 OS, καθώς και στην Ultimate έκδοση των Windows 7. Ωστόσο, οι χρήστες της βασικής έκδοσης των Windows 8.1 έχουν επίσης πρόσβαση στο επιλογή «Κρυπτογράφηση συσκευής», η οποία λειτουργεί ως ανάλογο του BitLocker σε πιο προηγμένες εκδόσεις του λειτουργικού συστήματος.

Ενεργοποιήστε το λογισμικό κρυπτογράφησης BitLocker

Για να ενεργοποιήσετε το πρόγραμμα κρυπτογράφησης BitLocker, ανοίξτε τον Πίνακα Ελέγχου και, στη συνέχεια, μεταβείτε στο Σύστημα και ασφάλεια > Κρυπτογράφηση μονάδας δίσκου BitLocker. Μπορείτε επίσης να ανοίξετε την Εξερεύνηση των Windows ("Υπολογιστής"), να κάνετε δεξί κλικ στην επιλεγμένη μονάδα δίσκου και να επιλέξετε "Ενεργοποίηση BitLocker" από το αναπτυσσόμενο μενού. Εάν η παραπάνω γραμμή δεν βρίσκεται στο μενού, τότε έχετε λάθος έκδοση του λειτουργικού συστήματος Windows.

Για να ενεργοποιήσετε το BitLocker για τη μονάδα δίσκου συστήματος, τη μονάδα δεδομένων ή την αφαιρούμενη μονάδα δίσκου, πρέπει να επιλέξετε Ενεργοποίηση BitLocker.

Σε αυτό το παράθυρο, 2 τύποι κρυπτογράφησης μονάδας δίσκου BitLocker είναι διαθέσιμοι σε εσάς:

• Κρυπτογράφηση μονάδας BitLocker - Σκληροί Δίσκοι: Αυτή η δυνατότητα σάς επιτρέπει να κρυπτογραφήσετε ολόκληρη τη μονάδα δίσκου σας. Όταν εκκινείτε τον υπολογιστή σας, ο φορτωτής εκκίνησης των Windows θα φορτώσει δεδομένα από την περιοχή του σκληρού δίσκου που έχει δεσμευτεί από το σύστημα και θα σας ζητηθεί ο τύπος ξεκλειδώματος που έχετε καθορίσει, για παράδειγμα, να εισαγάγετε έναν κωδικό πρόσβασης. Στη συνέχεια, το BitLocker θα εκτελέσει τη διαδικασία αποκρυπτογράφησης δεδομένων και η διαδικασία εκκίνησης των Windows θα συνεχιστεί. Με άλλα λόγια, η κρυπτογράφηση μπορεί να θεωρηθεί ως μια διαδικασία που συμβαίνει απαρατήρητη από τον χρήστη. Ως συνήθως, εργάζεστε με αρχεία και δεδομένα, τα οποία με τη σειρά τους είναι κρυπτογραφημένα στο δίσκο. Επιπλέον, μπορείτε να χρησιμοποιήσετε κρυπτογράφηση όχι μόνο για μονάδες δίσκου συστήματος.
• "Κρυπτογράφηση μονάδας δίσκου BitLocker - BitLocker To Go": Εξωτερικές συσκευές αποθήκευσης, όπως μονάδες flash USB ή εξωτερικοί σκληροί δίσκοι, μπορούν να κρυπτογραφηθούν χρησιμοποιώντας το βοηθητικό πρόγραμμα BitLocker To Go. Όταν συνδέετε μια κρυπτογραφημένη συσκευή στον υπολογιστή σας, θα σας ζητηθεί, για παράδειγμα, να εισαγάγετε έναν κωδικό πρόσβασης, ο οποίος θα προστατεύει τα δεδομένα σας από αγνώστους.

Χρήση BitLocker χωρίς TPM

Εάν προσπαθήσετε να κρυπτογραφήσετε χρησιμοποιώντας το BitLocker σε υπολογιστή χωρίς εγκατεστημένη μονάδα αξιόπιστης πλατφόρμας (TPM), θα ανοίξει το παρακάτω παράθυρο ζητώντας σας να ενεργοποιήσετε την επιλογή "Να επιτρέπεται το BitLocker χωρίς συμβατό TPM".

Το λογισμικό κρυπτογράφησης BitLocker απαιτεί υπολογιστή με TPM υλικού για την προστασία της μονάδας δίσκου συστήματος για να λειτουργεί σωστά. Η μονάδα TPM είναι ένα μικρό τσιπ εγκατεστημένο στη μητρική πλακέτα. Το BitLocker μπορεί να αποθηκεύσει κλειδιά κρυπτογράφησης εκεί, η οποία είναι μια πιο ασφαλής επιλογή από την αποθήκευσή τους σε μια κανονική μονάδα δεδομένων. Η μονάδα TPM παρέχει κλειδιά μόνο μετά την εκκίνηση και τον έλεγχο της κατάστασης του συστήματος, γεγονός που εξαλείφει τη δυνατότητα αποκρυπτογράφησης δεδομένων σε περίπτωση κλοπής του σκληρού σας δίσκου ή δημιουργίας κρυπτογραφημένης εικόνας δίσκου για παραβίαση σε άλλο υπολογιστή.

Για να ενεργοποιήσετε την παραπάνω επιλογή, πρέπει να έχετε δικαιώματα διαχειριστή. Απλώς πρέπει να ανοίξετε τον "Επεξεργαστή πολιτικής τοπικής ομάδας" και να ενεργοποιήσετε την ακόλουθη επιλογή.

Πατήστε το συνδυασμό πλήκτρων Win + R για να ξεκινήσετε το παράθυρο διαλόγου Εκτέλεση, πληκτρολογήστε την εντολή gpedit.msc. Στη συνέχεια, μεταβείτε στα ακόλουθα σημεία - Διαμόρφωση υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία Windows > Κρυπτογράφηση μονάδας δίσκου BitLocker > Μονάδες δίσκου λειτουργικού συστήματος. Κάντε διπλό κλικ στην επιλογή "Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση", επιλέξτε την επιλογή "Ενεργοποιημένη" και επιλέξτε το πλαίσιο ελέγχου "Να επιτρέπεται το BitLocker χωρίς συμβατό TPM" ). Κάντε κλικ στο «Εφαρμογή» για να αποθηκεύσετε τις ρυθμίσεις.

Επιλογή μεθόδου ξεκλειδώματος δίσκου

Εάν ολοκληρώσετε επιτυχώς τα παραπάνω βήματα, θα σας ζητηθεί το παράθυρο "Επιλέξτε πώς να ξεκλειδώσετε τη μονάδα δίσκου σας κατά την εκκίνηση". Εάν ο υπολογιστής σας δεν διαθέτει μονάδα TPM, τότε έχετε δύο επιλογές: εισαγάγετε έναν κωδικό πρόσβασης ή χρησιμοποιήστε μια ειδική μονάδα flash USB (έξυπνη κάρτα) ως κλειδί ξεκλειδώματος.

Εάν υπάρχει μια μονάδα TPM στη μητρική πλακέτα, τότε θα είναι διαθέσιμες περισσότερες επιλογές. Για παράδειγμα, είναι δυνατό να διαμορφώσετε το αυτόματο ξεκλείδωμα κατά την εκκίνηση του υπολογιστή - όλα τα κλειδιά θα αποθηκευτούν στη μονάδα TPM και θα χρησιμοποιηθούν αυτόματα για την αποκρυπτογράφηση δεδομένων στο δίσκο. Μπορείτε επίσης να βάλετε έναν κωδικό PIN στο bootloader, ο οποίος στη συνέχεια θα ξεκλειδώσει τα κλειδιά αποκρυπτογράφησης που είναι αποθηκευμένα στο TPM και, στη συνέχεια, ολόκληρο το δίσκο.

Επιλέξτε τη μέθοδο που σας ταιριάζει καλύτερα και ακολουθήστε τις οδηγίες του εγκαταστάτη.

Δημιουργία εφεδρικού κλειδιού

Το BitLocker σάς δίνει επίσης τη δυνατότητα να δημιουργήσετε ένα εφεδρικό κλειδί. Αυτό το κλειδί θα χρησιμοποιηθεί για πρόσβαση σε κρυπτογραφημένα δεδομένα εάν ξεχάσατε ή χάσατε το κύριο κλειδί σας, για παράδειγμα, ξεχάσατε τον κωδικό πρόσβασης κλειδιού ή μετακινήσατε τον σκληρό δίσκο σε νέο υπολογιστή με νέα μονάδα TPM κ.λπ.

Μπορείτε να αποθηκεύσετε το κλειδί σε ένα αρχείο, να το εκτυπώσετε, να το τοποθετήσετε σε μια εξωτερική μονάδα USB ή να το αποθηκεύσετε στον λογαριασμό σας Microsoft (για χρήστες Windows 8 και 8.1). Το κύριο πράγμα είναι να βεβαιωθείτε ότι αυτό το εφεδρικό κλειδί είναι αποθηκευμένο σε ασφαλές μέρος, διαφορετικά ένας εισβολέας μπορεί εύκολα να παρακάμψει το BitLocker και να αποκτήσει πρόσβαση σε όλα τα δεδομένα που τον ενδιαφέρουν. Ωστόσο, παρά το γεγονός αυτό, είναι επιτακτική ανάγκη να δημιουργήσετε ένα εφεδρικό κλειδί, καθώς εάν χάσετε το κύριο κλειδί χωρίς εφεδρικό κλειδί, θα χάσετε όλα τα δεδομένα σας.

Κρυπτογράφηση και αποκρυπτογράφηση δίσκου

Το BitLocker θα κρυπτογραφεί αυτόματα τα νέα αρχεία μόλις γίνουν διαθέσιμα, αλλά πρέπει να επιλέξετε πώς θέλετε να κρυπτογραφήσετε τον υπόλοιπο χώρο στο δίσκο σας. Μπορείτε να κρυπτογραφήσετε ολόκληρο τον δίσκο (συμπεριλαμβανομένου του ελεύθερου χώρου) - τη δεύτερη επιλογή στο παρακάτω στιγμιότυπο οθόνης ή απλώς τα αρχεία - την πρώτη επιλογή, η οποία θα επιταχύνει τη διαδικασία κρυπτογράφησης.

Όταν χρησιμοποιείτε το BitLocker σε έναν νέο υπολογιστή (δηλαδή με ένα πρόσφατα εγκατεστημένο λειτουργικό σύστημα), είναι προτιμότερο να χρησιμοποιείτε κρυπτογράφηση του χώρου που καταλαμβάνουν τα αρχεία, καθώς αυτό θα πάρει λίγο χρόνο. Ωστόσο, εάν ενεργοποιήσετε την κρυπτογράφηση για έναν δίσκο που χρησιμοποιείται για μεγάλο χρονικό διάστημα, είναι προτιμότερο να χρησιμοποιήσετε μια μέθοδο στην οποία κρυπτογραφείται ολόκληρος ο δίσκος, ακόμη και με ελεύθερο χώρο. Αυτή η μέθοδος θα καταστήσει αδύνατη την ανάκτηση αρχείων που έχουν διαγραφεί προηγουμένως που δεν ήταν κρυπτογραφημένα. Έτσι, η πρώτη μέθοδος είναι ταχύτερη, αλλά η δεύτερη είναι πιο αξιόπιστη.

Κατά την περαιτέρω ρύθμιση της κρυπτογράφησης, το BitLocker θα αναλύσει το σύστημα και θα επανεκκινήσει τον υπολογιστή. Μετά την επανεκκίνηση του υπολογιστή, θα ξεκινήσει η διαδικασία κρυπτογράφησης. Θα εμφανιστεί στο δίσκο ως εικονίδιο, με τη βοήθεια του οποίου θα δείτε την ποσοστιαία πρόοδο της διαδικασίας. Θα συνεχίσετε να μπορείτε να χρησιμοποιείτε τον υπολογιστή σας, αλλά θα υπάρξει μια μικρή επιβράδυνση του συστήματος λόγω της ταυτόχρονης εκτέλεσης κρυπτογράφησης αρχείων.

Αφού ολοκληρωθεί η κρυπτογράφηση και την επόμενη φορά που θα ξεκινήσετε τον υπολογιστή σας, το BitLocker θα σας εμφανίσει ένα παράθυρο στο οποίο θα χρειαστεί να εισαγάγετε έναν κωδικό πρόσβασης, έναν κωδικό PIN ή μια μονάδα USB ως κλειδί (ανάλογα με τον τρόπο με τον οποίο ρυθμίσατε προηγουμένως την πρόσβαση στο κλειδί).

Πατώντας το πλήκτρο Escape σε αυτό το παράθυρο θα μεταφερθείτε στο παράθυρο για την εισαγωγή του εφεδρικού κλειδιού εάν η πρόσβαση στο πρωτεύον κλειδί έχει χαθεί.

Εάν επιλέξετε τη μέθοδο κρυπτογράφησης BitLocker To Go για εξωτερικές συσκευές, θα εμφανιστεί ένας παρόμοιος οδηγός εγκατάστασης, ωστόσο, σε αυτήν την περίπτωση, δεν θα χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή σας. Μην αποσυνδέετε την εξωτερική μονάδα δίσκου μέχρι να ολοκληρωθεί η διαδικασία κρυπτογράφησης.

Την επόμενη φορά που θα συνδέσετε την κρυπτογραφημένη συσκευή στον υπολογιστή, θα σας ζητηθεί κωδικός πρόσβασης ή έξυπνη κάρτα για να την ξεκλειδώσετε. Μια συσκευή που προστατεύεται με BitLocker θα εμφανιστεί με ένα αντίστοιχο εικονίδιο στη διαχείριση αρχείων ή στην Εξερεύνηση των Windows.

Μπορείτε να διαχειριστείτε την κρυπτογραφημένη μονάδα δίσκου (να αλλάξετε τον κωδικό πρόσβασης, να απενεργοποιήσετε την κρυπτογράφηση, να δημιουργήσετε αντίγραφα ασφαλείας του κλειδιού, κ.λπ.) χρησιμοποιώντας το παράθυρο του Πίνακα Ελέγχου BitLocker. Κάνοντας δεξί κλικ στην κρυπτογραφημένη μονάδα δίσκου και επιλέγοντας "Manage BitLocker" θα μεταφερθείτε στον προορισμό σας.

Όπως κάθε άλλη μέθοδος προστασίας πληροφοριών, η εν κινήσει κρυπτογράφηση σε πραγματικό χρόνο με το BitLocker, φυσικά, θα καταλαμβάνει ορισμένους από τους πόρους του υπολογιστή σας. Αυτό θα οδηγήσει κυρίως σε αυξημένο φόρτο της CPU λόγω της συνεχούς κρυπτογράφησης δεδομένων από δίσκο σε δίσκο. Αλλά από την άλλη πλευρά, για άτομα των οποίων οι πληροφορίες πρέπει να προστατεύονται αξιόπιστα από τα αδιάκριτα βλέμματα, πληροφορίες που μπορούν να παρέχουν κακόβουλα ατού στα χέρια των επιτιθέμενων, αυτή η απώλεια παραγωγικότητας είναι η πιο συμβιβαστική λύση.

osmaster.org.ua

Κρυπτογράφηση στα Windows 7 με χρήση BitLocker

Βλαντιμίρ Μπεζμάλι

Στις 7 Ιανουαρίου 2009, η Microsoft παρουσίασε για δοκιμή την επόμενη έκδοση του λειτουργικού συστήματος για σταθμούς εργασίας - windows 7. Σε αυτό το λειτουργικό σύστημα, όπως συνηθίζεται, αντιπροσωπεύονται ευρέως οι τεχνολογίες ασφαλείας, συμπεριλαμβανομένων εκείνων που παρουσιάστηκαν προηγουμένως στα Windows Vista. Σήμερα θα μιλήσουμε για την τεχνολογία κρυπτογράφησης Windows BitLocker, η οποία έχει υποστεί σημαντικές αλλαγές από την εισαγωγή της στα Windows Vista. Φαίνεται ότι σήμερα κανείς δεν χρειάζεται να πειστεί για την ανάγκη κρυπτογράφησης δεδομένων σε σκληρούς δίσκους και αφαιρούμενα μέσα, ωστόσο, ωστόσο, θα παρουσιάσουμε επιχειρήματα υπέρ αυτής της λύσης.

Απώλεια εμπιστευτικών δεδομένων λόγω κλοπής ή απώλειας κινητών συσκευών

Σήμερα, το κόστος του υλικού είναι πολλές φορές μικρότερο από το κόστος των πληροφοριών που περιέχονται στη συσκευή. Η απώλεια δεδομένων μπορεί να οδηγήσει σε απώλεια φήμης, απώλεια ανταγωνιστικότητας και πιθανές δικαστικές διαφορές.

Σε όλο τον κόσμο, θέματα κρυπτογράφησης δεδομένων ρυθμίζονται εδώ και καιρό από σχετική νομοθεσία. Έτσι, για παράδειγμα, στις ΗΠΑ, οι Η.Π.Α. Ο νόμος για τη μεταρρύθμιση της κρατικής ασφάλειας πληροφοριών (GISRA) απαιτεί κρυπτογράφηση δεδομένων για την προστασία ευαίσθητων κρατικών πληροφοριών. Οι χώρες της ΕΕ έχουν υιοθετήσει την Οδηγία της Ευρωπαϊκής Ένωσης για την Προστασία Προσωπικών Δεδομένων. Ο Καναδάς και η Ιαπωνία έχουν τους δικούς τους κανονισμούς.

Όλοι αυτοί οι νόμοι επιβάλλουν αυστηρές κυρώσεις για την απώλεια προσωπικών ή εταιρικών πληροφοριών. Μόλις κλαπεί (χαθεί) η συσκευή σας, τα δεδομένα σας ενδέχεται να χαθούν μαζί της. Η κρυπτογράφηση δεδομένων μπορεί να χρησιμοποιηθεί για την αποτροπή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα. Επιπλέον, μην ξεχνάτε κινδύνους όπως η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα κατά τις επισκευές (συμπεριλαμβανομένης της εγγύησης) ή την πώληση μεταχειρισμένων συσκευών.

Και το ότι δεν πρόκειται για κενά λόγια, δυστυχώς, έχει επιβεβαιωθεί επανειλημμένα από γεγονότα. Ένας ανεξάρτητος υπάλληλος του Υπουργείου Εσωτερικών του Ηνωμένου Βασιλείου έχασε μια κάρτα μνήμης που περιείχε τα προσωπικά δεδομένα περισσότερων από εκατοντάδων χιλιάδων εγκληματιών, συμπεριλαμβανομένων εκείνων που εκτίουν ποινές φυλάκισης. Αυτό αναφέρεται στο μήνυμα του τμήματος. Τα μέσα ενημέρωσης περιείχαν τα ονόματα, τις διευθύνσεις και, σε ορισμένες περιπτώσεις, λεπτομέρειες για τις κατηγορίες 84.000 κρατουμένων που κρατούνταν σε φυλακές στο Ηνωμένο Βασίλειο. Επίσης στην κάρτα μνήμης υπάρχουν οι διευθύνσεις 30 χιλιάδων ατόμων με ποινικό μητρώο έξι και άνω. Όπως διευκρίνισε το υπουργείο, τα στοιχεία από την κάρτα μνήμης χρησιμοποιήθηκαν από ερευνητή της RA Consulting. «Έχουμε αντιληφθεί μια παραβίαση ασφαλείας που είχε ως αποτέλεσμα ένας συμβασιούχος υπάλληλος να χάσει προσωπικές πληροφορίες σχετικά με παραβάτες του νόμου στην Αγγλία και την Ουαλία. Τώρα βρίσκεται σε εξέλιξη ενδελεχής έρευνα», δήλωσε εκπρόσωπος του υπουργείου Εσωτερικών.

Ο υπουργός Εσωτερικών της «σκιώδης» κυβέρνησης, Ντόμινικ Γκριβ, έχει ήδη κάνει σχόλιο για το θέμα. Σημείωσε ότι οι Βρετανοί φορολογούμενοι θα είναι «απόλυτα σοκαρισμένοι» από τον χειρισμό απόρρητων πληροφοριών από τη βρετανική κυβέρνηση.

Αυτή δεν είναι η πρώτη περίπτωση στο Ηνωμένο Βασίλειο απώλειας εμπιστευτικών πληροφοριών από διάφορους οργανισμούς και τμήματα, υπενθύμισε ο Grieve.

Τον Απρίλιο, μια μεγάλη βρετανική τράπεζα, η HSBC, παραδέχτηκε την απώλεια ενός δίσκου στον οποίο ήταν αποθηκευμένα τα προσωπικά δεδομένα 370 χιλιάδων πελατών της. Στα μέσα Φεβρουαρίου, έγινε γνωστό ότι ένας φορητός υπολογιστής με ιατρικά στοιχεία 5.123 ασθενών κλάπηκε από το βρετανικό νοσοκομείο Russels Hall Hospital στην πόλη Dudley (West Midlands). Στα τέλη Ιανουαρίου, αναφέρθηκε ότι ένας φορητός υπολογιστής με τα προσωπικά δεδομένα 26 χιλιάδων εργαζομένων εκλάπη από τη βρετανική αλυσίδα σούπερ μάρκετ Marks and Spencer. Ο επικεφαλής του βρετανικού υπουργείου Άμυνας Ντε Μπράουν ανακοίνωσε στις 21 Ιανουαρίου ότι από το τμήμα κλάπηκαν τρεις φορητοί υπολογιστές με προσωπικά δεδομένα χιλιάδων ανθρώπων.

Τον περασμένο Δεκέμβριο αποκαλύφθηκε ότι μια ιδιωτική αμερικανική εταιρεία είχε χάσει τα αρχεία τριών εκατομμυρίων αιτούντων άδεια οδήγησης στο Ηνωμένο Βασίλειο. Περιέχονταν στον σκληρό δίσκο του υπολογιστή. Τα χαμένα δεδομένα περιλαμβάνουν τα ονόματα, τις διευθύνσεις και τους αριθμούς τηλεφώνου των αιτούντων άδεια οδήγησης μεταξύ Σεπτεμβρίου 2004 και Απριλίου 2007.

Στα τέλη Οκτωβρίου 2007, δύο δίσκοι που περιείχαν πληροφορίες για 25 εκατομμύρια δικαιούχους παιδικών επιδομάτων και τους τραπεζικούς τους λογαριασμούς εξαφανίστηκαν καθ' οδόν μεταξύ δύο κρατικών υπηρεσιών. Μια τεράστια επιχείρηση αναζήτησης που κοστίζει στους φορολογούμενους 500.000 λίρες δεν έχει αποφέρει αποτελέσματα.

Επίσης, τον Ιούνιο του τρέχοντος έτους, ένα πακέτο με απόρρητα έγγραφα (http://korrespondent.net/world/493585) που περιείχε πληροφορίες για την καταπολέμηση της χρηματοδότησης της τρομοκρατίας, το λαθρεμπόριο ναρκωτικών και το ξέπλυμα βρώμικου χρήματος ανακαλύφθηκε σε ένα από τα τρένα που κατευθύνονταν προς το Λονδίνο. Προηγουμένως, ένα πακέτο που περιείχε μυστικά έγγραφα σχετικά με τις τελευταίες πληροφορίες σχετικά με το τρομοκρατικό δίκτυο της Αλ Κάιντα είχε ανακαλυφθεί (http://korrespondent.net/world/490374) σε θέση τρένου στο Λονδίνο. Το ερώτημα είναι, τι σκέφτονταν οι χρήστες που επέτρεψαν να συμβεί αυτό;

Εδώ είναι ένα άλλο γεγονός που πρέπει να κάνει τους κατόχους κινητών συσκευών να σκεφτούν

Σύμφωνα με μια έκθεση του Ινστιτούτου Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute), περίπου 637.000 φορητοί υπολογιστές χάνονται ετησίως σε μεγάλα και μεσαία αεροδρόμια στις Ηνωμένες Πολιτείες Σύμφωνα με την έρευνα, οι φορητοί υπολογιστές συνήθως χάνονται σε σημεία ελέγχου ασφαλείας.

Περίπου 10.278 φορητοί υπολογιστές χάνονται κάθε εβδομάδα σε 36 μεγάλα αμερικανικά αεροδρόμια και το 65% από αυτά δεν επιστρέφονται στους κατόχους τους. Σε αεροδρόμια μεσαίου μεγέθους, περίπου 2.000 φορητοί υπολογιστές αναφέρονται χαμένοι και το 69% από αυτά δεν επιστρέφονται στους κατόχους τους. Το Ινστιτούτο διεξήγαγε έρευνες σε 106 αεροδρόμια σε 46 χώρες και πήρε συνεντεύξεις από 864 άτομα.

Τα πιο συνηθισμένα μέρη για να χάσετε φορητούς υπολογιστές είναι τα ακόλουθα πέντε αεροδρόμια:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O'Hare
• Newark Liberty International.

Οι ταξιδιώτες δεν είναι σίγουροι ότι οι χαμένοι φορητοί υπολογιστές θα τους επιστραφούν.

Περίπου το 77% των ερωτηθέντων δήλωσε ότι δεν είχε καμία ελπίδα να πάρει πίσω το χαμένο φορητό υπολογιστή του, με το 16% να λέει ότι δεν θα έκανε τίποτα αν έχανε τον φορητό υπολογιστή του. Περίπου το 53% είπε ότι οι φορητοί υπολογιστές περιείχαν εμπιστευτικές πληροφορίες της εταιρείας και το 65% είπε ότι δεν είχαν κάνει τίποτα για να προστατεύσουν τις πληροφορίες.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Τι μπορεί να αντιταχθεί σε αυτό; Μόνο κρυπτογράφηση δεδομένων.

Σε αυτήν την περίπτωση, η κρυπτογράφηση λειτουργεί ως η τελευταία γραμμή φυσικής άμυνας για τον υπολογιστή σας. Υπάρχει μεγάλη ποικιλία τεχνολογιών κρυπτογράφησης σκληρού δίσκου σήμερα. Όπως είναι φυσικό, μετά την επιτυχημένη πρεμιέρα της τεχνολογίας BitLocker ως μέρος των Windows Vista Enterprise και Windows Vista Ultimate, η Microsoft δεν θα μπορούσε παρά να συμπεριλάβει αυτή την τεχνολογία στα Windows 7. Ωστόσο, για να είμαστε δίκαιοι, αξίζει να σημειωθεί ότι στο νέο λειτουργικό σύστημα θα δούμε μια σημαντικά επανασχεδιασμένη τεχνολογία κρυπτογράφησης.

Κρυπτογράφηση στα Windows 7

Έτσι, η γνωριμία μας ξεκινά με την εγκατάσταση των Windows 7 στον υπολογιστή σας. Στα Windows Vista, για να χρησιμοποιήσετε την κρυπτογράφηση, έπρεπε να κάνετε ένα από δύο πράγματα: είτε να προετοιμάσετε τον σκληρό σας δίσκο χρησιμοποιώντας πρώτα τη γραμμή εντολών διαχωρίζοντάς τον κατάλληλα, είτε να το κάνετε αργότερα χρησιμοποιώντας ειδικό λογισμικό από τη Microsoft (BitLocker Disk Preparation Tool). Στα Windows 7, το πρόβλημα λύνεται αρχικά, κατά την κατάτμηση του σκληρού δίσκου. Κατά την εγκατάσταση, λοιπόν, καθόρισα ένα διαμέρισμα συστήματος χωρητικότητας 39 gigabyte και πήρα... 2 διαμερίσματα! Το ένα έχει μέγεθος 200 MB και το δεύτερο είναι λίγο πάνω από 38 gigabyte. Επιπλέον, στο τυπικό παράθυρο του Explorer βλέπετε την παρακάτω εικόνα (Εικ. 1).

Ρύζι. 1. Παράθυρο Explorer

Ωστόσο, ανοίγοντας Έναρξη – Όλα τα προγράμματα – Εργαλεία διαχείρισης – Διαχείριση υπολογιστών – Διαχείριση δίσκων θα δείτε (Εικ. 2) τα εξής:

Ρύζι. 2. Διαχείριση Υπολογιστών

Όπως μπορείτε να δείτε, το πρώτο διαμέρισμα, μεγέθους 200 MB, είναι απλά κρυφό. Από προεπιλογή, είναι το σύστημα, το ενεργό και το κύριο διαμέρισμα. Για όσους είναι ήδη εξοικειωμένοι με την κρυπτογράφηση στα Windows Vista, δεν υπάρχει τίποτα ιδιαίτερα νέο σε αυτό το στάδιο, εκτός από το ότι η κατάτμηση με αυτόν τον τρόπο πραγματοποιείται από προεπιλογή και ο σκληρός δίσκος είναι ήδη προετοιμασμένος για επακόλουθη κρυπτογράφηση στο στάδιο της εγκατάστασης. Η μόνη αξιοσημείωτη διαφορά είναι το μέγεθός του - 200 MB έναντι 1,5 GB στα Windows Vista.

Φυσικά, μια τέτοια κατάτμηση του δίσκου σε διαμερίσματα είναι πολύ πιο βολική, επειδή συχνά ο χρήστης, κατά την εγκατάσταση του λειτουργικού συστήματος, δεν σκέφτεται αμέσως εάν θα κρυπτογραφήσει τον σκληρό δίσκο ή όχι.

Αμέσως μετά την εγκατάσταση του ΛΣ, στον Πίνακα Ελέγχου στην ενότητα Σύστημα και Ασφάλεια μπορούμε να επιλέξουμε (Εικ. 3) BitLocker Drive Encryption

Ρύζι. 3.Σύστημα και Ασφάλεια

Επιλέγοντας Προστασία του υπολογιστή σας με κρυπτογράφηση δεδομένων στο δίσκο σας, εμφανίζεται ένα παράθυρο (Εικόνα 4)

Ρύζι. 4. Κρυπτογράφηση μονάδας δίσκου BitLocker

Σημειώστε (επισημαίνονται με κόκκινο χρώμα στο σχήμα) τις επιλογές που λείπουν στα Windows Vista ή είναι οργανωμένες διαφορετικά. Έτσι, στα Windows Vista, τα αφαιρούμενα μέσα θα μπορούσαν να κρυπτογραφηθούν μόνο εάν χρησιμοποιούσαν το σύστημα αρχείων NTFS και η κρυπτογράφηση πραγματοποιήθηκε σύμφωνα με τους ίδιους κανόνες όπως και για τους σκληρούς δίσκους. Και ήταν δυνατή η κρυπτογράφηση του δεύτερου διαμερίσματος του σκληρού δίσκου (στην περίπτωση αυτή, της μονάδας D:) μόνο μετά την κρυπτογράφηση του διαμερίσματος συστήματος (μονάδα δίσκου C:).

Ωστόσο, μην νομίζετε ότι μόλις επιλέξετε Ενεργοποίηση BitLocker, είστε έτοιμοι. Οχι τόσο! Εάν ενεργοποιήσετε το BitLocker χωρίς πρόσθετες επιλογές, το μόνο που λαμβάνετε είναι κρυπτογράφηση του σκληρού δίσκου σε αυτόν τον υπολογιστή χωρίς τη χρήση TPM, η οποία, όπως έχω ήδη επισημάνει στα άρθρα μου, δεν είναι καλό παράδειγμα. Ωστόσο, οι χρήστες σε ορισμένες χώρες, για παράδειγμα, η Ρωσική Ομοσπονδία ή η Ουκρανία, απλώς δεν έχουν άλλη επιλογή, καθώς η εισαγωγή υπολογιστών με TRM απαγορεύεται σε αυτές τις χώρες. Σε αυτήν την περίπτωση, επιλέγετε Ενεργοποίηση BitLocker και μεταβαίνετε στην Εικ. 5.

Ρύζι. 5. Κρυπτογράφηση μονάδας δίσκου BitLocker

Εάν θέλετε να χρησιμοποιήσετε το TPM για να επωφεληθείτε από την πλήρη ισχύ της κρυπτογράφησης, πρέπει να χρησιμοποιήσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας. Για να το κάνετε αυτό, πρέπει να ξεκινήσετε τη λειτουργία γραμμής εντολών (cmd.exe) και να πληκτρολογήσετε gpedit.msc στη γραμμή εντολών (Εικ. 6), ξεκινώντας το πρόγραμμα επεξεργασίας πολιτικής ομάδας (Εικ. 7).

Ρύζι. 6. Εκκινήστε το πρόγραμμα επεξεργασίας πολιτικής ομάδας

Ρύζι. 7. Επεξεργαστής πολιτικής ομάδας

Ας ρίξουμε μια πιο προσεκτική ματιά στις επιλογές πολιτικής ομάδας που μπορούν να χρησιμοποιηθούν για τη διαχείριση της κρυπτογράφησης BitLocker.

Επιλογές πολιτικής ομάδας κρυπτογράφησης μονάδας δίσκου BitLocker

Αποθηκεύστε πληροφορίες ανάκτησης BitLocker στις υπηρεσίες τομέα Active Directory (windows Server 2008 και Windows Vista)

Με αυτήν την επιλογή Πολιτικής ομάδας, μπορείτε να διαχειριστείτε τις υπηρεσίες τομέα Active Directory (AD DS) για να δημιουργήσετε αντίγραφα ασφαλείας των πληροφοριών για μεταγενέστερη ανάκτηση κρυπτογράφησης μονάδας δίσκου BitLocker. Αυτή η επιλογή ισχύει μόνο για υπολογιστές με Windows Server 2008 ή Windows Vista.

Όταν οριστεί αυτή η επιλογή, όταν το BitLocker είναι ενεργοποιημένο, οι πληροφορίες ανάκτησής του θα αντιγραφούν αυτόματα στο AD DS.

Εάν απενεργοποιήσετε αυτήν την επιλογή πολιτικής ή την αφήσετε στην προεπιλογή της, οι πληροφορίες ανάκτησης του BitLocker δεν θα αντιγραφούν στο AD DS.

Επιλέξτε τον προεπιλεγμένο φάκελο για τον κωδικό πρόσβασης ανάκτησης

Αυτή η επιλογή πολιτικής θα σας επιτρέψει να ορίσετε την προεπιλεγμένη θέση φακέλου για την αποθήκευση του κωδικού πρόσβασης ανάκτησης, η οποία εμφανίζεται από τον οδηγό κρυπτογράφησης μονάδας BitLocker όταν σας ζητηθεί. Αυτή η επιλογή ισχύει όταν ενεργοποιείτε την κρυπτογράφηση BitLocker. Ωστόσο, θα πρέπει να σημειωθεί ότι ο χρήστης μπορεί να αποθηκεύσει τον κωδικό πρόσβασης ανάκτησης σε οποιονδήποτε άλλο φάκελο.

Επιλέξτε πώς οι χρήστες μπορούν να ανακτήσουν μονάδες δίσκου που προστατεύονται από BitLocker (windows Server 2008 και Windows Vista)

Αυτή η επιλογή θα σας επιτρέψει να ελέγξετε τις επιλογές ανάκτησης BitLocker που εμφανίζονται από τον οδηγό εγκατάστασης. Αυτή η πολιτική ισχύει για υπολογιστές με Windows Server 2008 και Windows Vista. Αυτή η επιλογή ισχύει όταν το BitLocker είναι ενεργοποιημένο.

Για την ανάκτηση κρυπτογραφημένων δεδομένων, ο χρήστης μπορεί να χρησιμοποιήσει έναν ψηφιακό κωδικό πρόσβασης 48 ψηφίων ή μια μονάδα USB που περιέχει ένα κλειδί ανάκτησης 256 bit.

Με αυτήν την επιλογή, μπορείτε να επιτρέψετε την αποθήκευση του κλειδιού κωδικού πρόσβασης 256 bit στη μονάδα USB ως αόρατο αρχείο και ως αρχείο κειμένου που περιέχει τον κωδικό πρόσβασης ανάκτησης 48 ψηφίων.

Εάν απενεργοποιήσετε ή δεν διαμορφώσετε αυτόν τον κανόνα πολιτικής ομάδας, ο Οδηγός εγκατάστασης BitLocker θα επιτρέψει στο χρήστη να επιλέξει επιλογές ανάκτησης.

Εάν απενεργοποιήσετε ή δεν διαμορφώσετε αυτήν τη ρύθμιση πολιτικής, ο Οδηγός εγκατάστασης BitLocker θα παρέχει στους χρήστες άλλους τρόπους διατήρησης των επιλογών ανάκτησης.

Επιλέξτε μέθοδο κρυπτογράφησης μονάδας δίσκου και ισχύ κρυπτογράφησης

Χρησιμοποιώντας αυτόν τον κανόνα, μπορείτε να επιλέξετε τον αλγόριθμο κρυπτογράφησης και το μήκος του κλειδιού που θα χρησιμοποιήσετε. Εάν η μονάδα δίσκου είναι ήδη κρυπτογραφημένη και αποφασίσετε να αλλάξετε το μήκος του κλειδιού, δεν θα συμβεί τίποτα. Η προεπιλεγμένη μέθοδος κρυπτογράφησης είναι το AES με κλειδί 128-bit και διαχύτη.

Παρέχετε τα μοναδικά αναγνωριστικά για τον οργανισμό σας

Αυτός ο κανόνας πολιτικής θα σας επιτρέψει να δημιουργήσετε μοναδικά αναγνωριστικά για κάθε νέα μονάδα δίσκου που ανήκει στον οργανισμό σας και προστατεύεται από το BitLocker. Αυτά τα αναγνωριστικά αποθηκεύονται ως το πρώτο και το δεύτερο πεδία του αναγνωριστικού. Το πρώτο πεδίο ID θα σας επιτρέψει να ορίσετε ένα μοναδικό αναγνωριστικό οργανισμού σε μονάδες που προστατεύονται από BitLocker. Αυτό το αναγνωριστικό θα προστεθεί αυτόματα σε νέες μονάδες που προστατεύονται από BitLocker και μπορεί να ενημερωθεί για υπάρχουσες μονάδες κρυπτογραφημένες με BitLocker χρησιμοποιώντας το λογισμικό της γραμμής εντολών Manage-BDE.

Το δεύτερο πεδίο ID χρησιμοποιείται σε συνδυασμό με τον κανόνα πολιτικής "Απαγόρευση πρόσβασης σε αφαιρούμενα μέσα που δεν προστατεύονται από το BitLocker" και μπορεί να χρησιμοποιηθεί για τη διαχείριση αφαιρούμενων μονάδων δίσκου στην εταιρεία σας.

Ένας συνδυασμός αυτών των πεδίων μπορεί να χρησιμοποιηθεί για να προσδιοριστεί εάν μια μονάδα δίσκου ανήκει στον οργανισμό σας ή όχι.

Εάν η τιμή αυτού του κανόνα δεν είναι καθορισμένη ή απενεργοποιημένη, δεν απαιτούνται πεδία αναγνώρισης.

Το πεδίο αναγνώρισης μπορεί να έχει μήκος έως 260 χαρακτήρες.

Αποτρέψτε την αντικατάσταση μνήμης κατά την επανεκκίνηση

Αυτός ο κανόνας θα βελτιώσει την απόδοση του υπολογιστή σας αποτρέποντας την αντικατάσταση της μνήμης, αλλά θα πρέπει να καταλάβετε ότι τα κλειδιά BitLocker δεν θα διαγραφούν από τη μνήμη.

Εάν αυτός ο κανόνας είναι απενεργοποιημένος ή δεν έχει ρυθμιστεί, τα κλειδιά BitLocker θα αφαιρεθούν από τη μνήμη κατά την επανεκκίνηση του υπολογιστή.

Για να βελτιωθεί η ασφάλεια, αυτός ο κανόνας θα πρέπει να παραμείνει ως προεπιλογή.

Διαμόρφωση αναγνωριστικού αντικειμένου πιστοποιητικού έξυπνης κάρτας

Αυτός ο κανόνας θα επιτρέψει στο αναγνωριστικό αντικειμένου πιστοποιητικού έξυπνης κάρτας να συσχετιστεί με μια κρυπτογραφημένη μονάδα δίσκου BitLocker.

Σταθεροί σκληροί δίσκοι

Αυτή η ενότητα περιγράφει τους κανόνες πολιτικής ομάδας που θα ισχύουν για δίσκους δεδομένων (όχι διαμερίσματα συστήματος).

Διαμόρφωση χρήσης έξυπνων καρτών σε σταθερές μονάδες δεδομένων

Αυτός ο κανόνας θα καθορίσει εάν οι έξυπνες κάρτες μπορούν να χρησιμοποιηθούν για να επιτρέπεται η πρόσβαση σε δεδομένα του σκληρού δίσκου του υπολογιστή.

Εάν απενεργοποιήσετε αυτόν τον κανόνα, οι έξυπνες κάρτες δεν μπορούν να χρησιμοποιηθούν.

Από προεπιλογή, μπορούν να χρησιμοποιηθούν έξυπνες κάρτες.

Απαγόρευση πρόσβασης εγγραφής σε σταθερές μονάδες δίσκου που δεν προστατεύονται από το BitLocker

Αυτός ο κανόνας καθορίζει εάν μπορείτε ή όχι να γράψετε σε μονάδες δίσκου που δεν προστατεύονται από το BitLocker. Εάν οριστεί αυτός ο κανόνας, τότε όλες οι μονάδες δίσκου που δεν προστατεύονται από το BitLocker θα είναι μόνο για ανάγνωση. Εάν η μονάδα δίσκου είναι κρυπτογραφημένη χρησιμοποιώντας το BitLocker, θα είναι αναγνώσιμη και εγγράψιμη. Εάν αυτός ο κανόνας είναι απενεργοποιημένος ή δεν έχει οριστεί, τότε όλοι οι σκληροί δίσκοι του υπολογιστή θα είναι προσβάσιμοι για ανάγνωση και εγγραφή.

Να επιτρέπεται η πρόσβαση σε μονάδες σταθερών δεδομένων που προστατεύονται από BitLocker από προηγούμενες εκδόσεις των Windows

Αυτός ο κανόνας πολιτικής ελέγχει εάν οι μονάδες δίσκου με σύστημα αρχείων FAT μπορούν να ξεκλειδωθούν και να διαβαστούν σε υπολογιστές με Windows Server 2008, Windows Vista, Windows XP SP3 και Windows XP SP2.

Εάν αυτός ο κανόνας είναι ενεργοποιημένος ή δεν έχει ρυθμιστεί, οι δίσκοι δεδομένων που έχουν διαμορφωθεί με το σύστημα αρχείων FAT ενδέχεται να είναι αναγνώσιμοι σε υπολογιστές που εκτελούν τα παραπάνω λειτουργικά συστήματα.

Εάν αυτός ο κανόνας είναι απενεργοποιημένος, οι αντίστοιχες μονάδες δίσκου δεν μπορούν να ξεκλειδωθούν σε υπολογιστές με Windows Server 2008, Windows Vista, Windows XP SP3 και Windows XP SP2.

Προσοχή! Αυτός ο κανόνας δεν ισχύει για μονάδες με μορφοποίηση NTFS.

Αυτός ο κανόνας καθορίζει εάν απαιτείται κωδικός πρόσβασης για το ξεκλείδωμα των μονάδων δίσκου που προστατεύονται από BitLocker. Εάν θέλετε να χρησιμοποιήσετε κωδικό πρόσβασης, μπορείτε να ορίσετε απαιτήσεις πολυπλοκότητας κωδικού πρόσβασης και ελάχιστο μήκος κωδικού πρόσβασης. Αξίζει να λάβετε υπόψη ότι για να ορίσετε απαιτήσεις πολυπλοκότητας, πρέπει να ορίσετε την απαίτηση πολυπλοκότητας κωδικού πρόσβασης στην ενότητα Πολιτικές κωδικού πρόσβασης της Πολιτικής ομάδας.

Εάν οριστεί αυτός ο κανόνας, οι χρήστες μπορούν να διαμορφώσουν κωδικούς πρόσβασης που πληρούν τις επιλεγμένες απαιτήσεις.

Ο κωδικός πρόσβασης πρέπει να αποτελείται από τουλάχιστον 8 χαρακτήρες (προεπιλογή).

Επιλέξτε πώς μπορούν να ανακτηθούν οι σταθερές μονάδες δίσκου που προστατεύονται από BitLocker

Αυτός ο κανόνας θα σας επιτρέψει να ελέγξετε την ανάκτηση κρυπτογραφημένων δίσκων.

Εάν αυτός ο κανόνας δεν έχει ρυθμιστεί ή αποκλειστεί, είναι διαθέσιμες οι προεπιλεγμένες επιλογές ανάκτησης.

Δίσκοι λειτουργικού συστήματος

Αυτή η ενότητα περιγράφει τους κανόνες πολιτικής ομάδας που ισχύουν για τα διαμερίσματα του λειτουργικού συστήματος (συνήθως τη μονάδα δίσκου C:).

Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση

Αυτός ο κανόνας πολιτικής ομάδας θα σας επιτρέψει να προσδιορίσετε εάν χρησιμοποιείτε μια μονάδα αξιόπιστης πλατφόρμας (TMP) για έλεγχο ταυτότητας.

Προσοχή! Αξίζει να λάβετε υπόψη ότι μόνο μία από τις επιλογές μπορεί να καθοριστεί κατά την εκκίνηση, διαφορετικά θα λάβετε ένα σφάλμα πολιτικής.

Όταν είναι ενεργοποιημένο, οι χρήστες θα μπορούν να διαμορφώνουν τις σύνθετες επιλογές εκκίνησης στον Οδηγό εγκατάστασης BitLocker

Εάν η πολιτική είναι απενεργοποιημένη ή δεν έχει διαμορφωθεί, οι βασικές επιλογές μπορούν να διαμορφωθούν μόνο σε υπολογιστές που εκτελούν TPM.

Προσοχή! Εάν θέλετε να χρησιμοποιήσετε ένα PIN και μια μονάδα USB, πρέπει να διαμορφώσετε το BitLocker χρησιμοποιώντας τη γραμμή εντολών bde αντί του οδηγού κρυπτογράφησης μονάδας BitLocker.

Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση (windows Server 2008 και Windows Vista)

Αυτή η πολιτική ισχύει μόνο για υπολογιστές με Windows 2008 ή Windows Vista.

Σε υπολογιστές εξοπλισμένους με TPM, μπορείτε να ορίσετε μια πρόσθετη παράμετρο ασφαλείας - έναν κωδικό PIN (από 4 έως 20 ψηφία).

Σε υπολογιστές που δεν είναι εξοπλισμένοι με TRM, θα χρησιμοποιηθεί ένας δίσκος USB με βασικές πληροφορίες.

Εάν αυτή η επιλογή είναι ενεργοποιημένη, ο οδηγός θα εμφανίσει ένα παράθυρο στο οποίο ο χρήστης μπορεί να διαμορφώσει πρόσθετες επιλογές εκκίνησης του BitLocker.

Εάν αυτή η επιλογή είναι απενεργοποιημένη ή δεν έχει ρυθμιστεί, ο οδηγός εγκατάστασης θα εμφανίσει τα βασικά βήματα για την εκτέλεση του BitLocker σε υπολογιστές με TPM.

Διαμόρφωση ελάχιστου μήκους PIN για εκκίνηση

Αυτή η παράμετρος σάς επιτρέπει να διαμορφώσετε το ελάχιστο μήκος του κωδικού PIN για την εκκίνηση του υπολογιστή.

Ο κωδικός PIN μπορεί να είναι από 4 έως 20 ψηφία.

Επιλέξτε πώς μπορούν να ανακτηθούν οι μονάδες λειτουργικού συστήματος που προστατεύονται από BitLocker

Αυτός ο κανόνας πολιτικής ομάδας σάς επιτρέπει να προσδιορίσετε πώς ανακτώνται οι κρυπτογραφημένες μονάδες δίσκου BitLocker εάν λείπει το κλειδί κρυπτογράφησης.

Διαμόρφωση προφίλ επικύρωσης πλατφόρμας TPM

Χρησιμοποιώντας αυτόν τον κανόνα, μπορείτε να διαμορφώσετε το μοντέλο TPM. Εάν δεν υπάρχει αντίστοιχη ενότητα, αυτός ο κανόνας δεν ισχύει.

Εάν ενεργοποιήσετε αυτόν τον κανόνα, μπορείτε να διαμορφώσετε ποια στοιχεία εκκίνησης θα ελέγχονται από το TPM πριν επιτρέψετε την πρόσβαση στην κρυπτογραφημένη μονάδα δίσκου.

Αφαιρούμενα μέσα

Ελέγξτε τη χρήση του BitLocker σε αφαιρούμενες μονάδες δίσκου

Αυτός ο κανόνας πολιτικής ομάδας σάς επιτρέπει να ελέγχετε την κρυπτογράφηση BitLocker σε αφαιρούμενες μονάδες δίσκου.

Μπορείτε να επιλέξετε ποιες ρυθμίσεις μπορούν να χρησιμοποιήσουν οι χρήστες για να διαμορφώσουν το BitLocker.

Συγκεκριμένα, για να επιτρέψετε στον οδηγό ρύθμισης κρυπτογράφησης BitLocker να εκτελείται σε αφαιρούμενη μονάδα δίσκου, πρέπει να επιλέξετε "Να επιτρέπεται στους χρήστες να εφαρμόζουν προστασία BitLocker σε αφαιρούμενες μονάδες δίσκου δεδομένων".

Εάν επιλέξετε "Να επιτρέπεται στους χρήστες να αναστείλουν και να αποκρυπτογραφήσουν το BitLocker σε αφαιρούμενες μονάδες δίσκου δεδομένων", τότε ο χρήστης θα μπορεί να αποκρυπτογραφήσει την αφαιρούμενη μονάδα δίσκου ή να διακόψει την κρυπτογράφηση.

Εάν αυτός ο κανόνας δεν έχει ρυθμιστεί, οι χρήστες μπορούν να χρησιμοποιήσουν το BitLocker σε αφαιρούμενα μέσα.

Εάν αυτός ο κανόνας είναι απενεργοποιημένος, οι χρήστες δεν θα μπορούν να χρησιμοποιούν το BitLocker σε αφαιρούμενες μονάδες δίσκου.

Διαμορφώστε τη χρήση έξυπνων καρτών σε αφαιρούμενες μονάδες δεδομένων

Αυτή η ρύθμιση πολιτικής σάς επιτρέπει να προσδιορίσετε εάν οι έξυπνες κάρτες μπορούν να χρησιμοποιηθούν για τον έλεγχο ταυτότητας ενός χρήστη και την πρόσβαση σε αφαιρούμενες μονάδες δίσκου σε έναν δεδομένο υπολογιστή.

Απαγόρευση πρόσβασης εγγραφής σε αφαιρούμενες μονάδες δίσκου που δεν προστατεύεται από το BitLocker

Με αυτόν τον κανόνα πολιτικής, μπορείτε να αποτρέψετε την εγγραφή σε αφαιρούμενες μονάδες δίσκου που δεν προστατεύονται από το BitLocker. Σε αυτήν την περίπτωση, όλες οι αφαιρούμενες μονάδες δίσκου που δεν προστατεύονται από το BitLocker θα είναι μόνο για ανάγνωση.

Εάν είναι επιλεγμένη η επιλογή "Απαγόρευση πρόσβασης εγγραφής σε συσκευές που έχουν διαμορφωθεί σε άλλο οργανισμό", τότε η εγγραφή θα είναι διαθέσιμη μόνο σε αφαιρούμενους δίσκους που ανήκουν στον οργανισμό σας. Ο έλεγχος πραγματοποιείται σε δύο πεδία αναγνώρισης που ορίζονται σύμφωνα με τον κανόνα πολιτικής ομάδας "Παρέχετε τα μοναδικά αναγνωριστικά για τον οργανισμό σας".

Εάν απενεργοποιήσετε αυτόν τον κανόνα ή δεν έχει ρυθμιστεί, τότε όλοι οι αφαιρούμενοι δίσκοι θα είναι προσβάσιμοι τόσο για ανάγνωση όσο και για εγγραφή.

Προσοχή! Αυτός ο κανόνας μπορεί να παρακαμφθεί από τις ρυθμίσεις της πολιτικής για την πρόσβαση στον αποθηκευτικό χώρο ConfigurationUser ConfigurationAdministrative TemplatesSystemRemovable Storage.

Επιτρέψτε την πρόσβαση σε αφαιρούμενες μονάδες δεδομένων που προστατεύονται από BitLocker από προηγούμενες εκδόσεις των Windows

Αυτός ο κανόνας καθορίζει εάν οι αφαιρούμενες μονάδες δίσκου που έχουν μορφοποιηθεί ως FAT μπορούν να ξεκλειδωθούν και να προβληθούν σε υπολογιστές με Windows 2008, Windows Vista, Windows XP SP3 και Windows XP SP2.

Εάν αυτός ο κανόνας είναι ενεργοποιημένος ή δεν έχει ρυθμιστεί, οι αφαιρούμενες μονάδες δίσκου με σύστημα αρχείων FAT μπορούν να ξεκλειδωθούν και να προβληθούν σε υπολογιστές με Windows 2008, Windows Vista, Windows XP SP3 και Windows XP SP2. Σε αυτήν την περίπτωση, αυτοί οι δίσκοι θα είναι μόνο για ανάγνωση.

Εάν αυτός ο κανόνας είναι αποκλεισμένος, τότε οι αντίστοιχοι αφαιρούμενοι δίσκοι δεν μπορούν να ξεκλειδωθούν και να προβληθούν σε υπολογιστές με Windows 2008, Windows Vista, Windows XP SP3 και Windows XP SP2.

Αυτός ο κανόνας δεν ισχύει για μονάδες δίσκου που έχουν διαμορφωθεί με NTFS.

Διαμόρφωση απαιτήσεων πολυπλοκότητας κωδικού πρόσβασης και ελάχιστου μήκους

Αυτός ο κανόνας πολιτικής καθορίζει εάν οι αφαιρούμενες μονάδες δίσκου που είναι κλειδωμένες με BitLocker πρέπει να ξεκλειδώνονται με κωδικό πρόσβασης. Εάν επιτρέψετε τη χρήση κωδικού πρόσβασης, μπορείτε να ορίσετε απαιτήσεις πολυπλοκότητας κωδικού πρόσβασης και ένα ελάχιστο μήκος κωδικού πρόσβασης. Αξίζει να ληφθεί υπόψη ότι σε αυτήν την περίπτωση οι απαιτήσεις πολυπλοκότητας πρέπει να συμπίπτουν με τις απαιτήσεις της πολιτικής κωδικών πρόσβασης Διαμόρφωση υπολογιστή παραθύρων Ρυθμίσεις Ρυθμίσεις ασφαλείας Πολιτικές λογαριασμού Πολιτική κωδικού πρόσβασης

Επιλέξτε πώς μπορούν να ανακτηθούν αφαιρούμενες μονάδες δίσκου που προστατεύονται από BitLocker

Αυτός ο κανόνας σάς επιτρέπει να επιλέξετε τον τρόπο ανάκτησης των αφαιρούμενων μονάδων δίσκου που προστατεύονται από το BitLocker.

Ωστόσο, ας συνεχίσουμε την κρυπτογράφηση του σκληρού δίσκου. Εφόσον έχετε ήδη δει ότι οι αλλαγές στην Πολιτική ομάδας θα σας επιτρέψουν να χρησιμοποιήσετε τις δυνατότητες κρυπτογράφησης BitLocker πολύ ευρύτερα, ας προχωρήσουμε στην επεξεργασία της Πολιτικής ομάδας. Για να γίνει αυτό, θα διαμορφώσουμε τους στόχους και τις προϋποθέσεις για τη χρήση της κρυπτογράφησης μας.

1. Ο υπό δοκιμή υπολογιστής έχει εγκατεστημένη τη μονάδα TRM

2. Θα κρυπτογραφήσουμε:

• δίσκο συστήματος
• δίσκος δεδομένων
• αφαιρούμενα μέσα, τόσο NTFS όσο και FAT.

Επιπλέον, πρέπει να ελέγξουμε εάν τα αφαιρούμενα μέσα μας που έχουν μορφοποιηθεί με FAT θα είναι διαθέσιμα σε υπολογιστή με Windows XP SP2 και Windows Vista SP1.

Ας προχωρήσουμε στη διαδικασία κρυπτογράφησης.

Αρχικά, στις πολιτικές της ομάδας BitLocker, επιλέξτε τον αλγόριθμο κρυπτογράφησης και το μήκος του κλειδιού (Εικ. 8)

Ρύζι. 8. Επιλογή αλγορίθμου κρυπτογράφησης και μήκους κλειδιού

Στη συνέχεια, στην ενότητα Operation System Drive, επιλέξτε τον κανόνα Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση (Εικ. 9)

Ρύζι. 9. Κανόνας "Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση"

Μετά από αυτό, ορίζουμε το ελάχιστο μήκος PIN σε 6 χαρακτήρες χρησιμοποιώντας τον κανόνα Ρύθμιση ελάχιστου μήκους PIN για εκκίνηση.

Για την κρυπτογράφηση της ενότητας δεδομένων, θα ορίσουμε απαιτήσεις για πολυπλοκότητα και ελάχιστο μήκος κωδικού πρόσβασης 8 χαρακτήρων (Εικόνα 10).

Ρύζι. 10. Ορισμός απαιτήσεων για ελάχιστο μήκος κωδικού πρόσβασης και πολυπλοκότητα

Είναι απαραίτητο να θυμάστε ότι πρέπει να ορίσετε απαιτήσεις για προστασία με κωδικό πρόσβασης (Εικόνα 11).

Ρύζι. 11. Απαιτήσεις προστασίας κωδικού πρόσβασης

Για αφαιρούμενους δίσκους, επιλέξτε τις ακόλουθες ρυθμίσεις:

• Μην επιτρέπεται η ανάγνωση αφαιρούμενων δίσκων με σύστημα αρχείων FAT σε χαμηλότερες εκδόσεις των Windows.
• Οι κωδικοί πρόσβασης πρέπει να πληρούν τις απαιτήσεις πολυπλοκότητας.
• Το ελάχιστο μήκος κωδικού πρόσβασης είναι 8 χαρακτήρες.

Μετά από αυτό, χρησιμοποιήστε την εντολή gpupdate.exe /force στο παράθυρο της γραμμής εντολών για να ενημερώσετε την πολιτική (Εικόνα 12).

Ρύζι. 12. Ενημερώστε τις ρυθμίσεις πολιτικής ομάδας

Εφόσον αποφασίσαμε να χρησιμοποιήσουμε έναν κωδικό PIN σε κάθε επανεκκίνηση, επιλέγουμε (Εικ. 13) Να απαιτείται PIN σε κάθε εκκίνηση.

Ρύζι. 13. Εισάγετε το PIN κάθε φορά που εκκινείτε

Ρύζι. 14. Εισαγωγή κωδικού PIN

Εισαγάγετε έναν κωδικό PIN μήκους 4 χαρακτήρων (Εικ. 15)

Ρύζι. 15. Το PIN δεν πληροί τις απαιτήσεις ελάχιστου μήκους

Το ελάχιστο μήκος του κωδικού PIN που καθορίζεται στην πολιτική είναι 6 ψηφία. Μετά την εισαγωγή του νέου κωδικού PIN, λαμβάνουμε μια πρόσκληση για αποθήκευση του κλειδιού σε μονάδα USB και ως αρχείο κειμένου.

Ρύζι. 16. Αποθήκευση εφεδρικού κλειδιού κρυπτογράφησης

Μετά από αυτό, κάνουμε επανεκκίνηση του συστήματος και ξεκινά η πραγματική διαδικασία κρυπτογράφησης της μονάδας δίσκου C:.

Μετά από αυτό, εσείς και εγώ κρυπτογραφούμε το δεύτερο διαμέρισμα του σκληρού μας δίσκου - μονάδα D: (Εικ. 17)

Ρύζι. 17. Κρυπτογράφηση μονάδας δίσκου D:

Πριν από την κρυπτογράφηση της μονάδας δίσκου D: πρέπει να εισαγάγουμε έναν κωδικό πρόσβασης για αυτήν τη μονάδα. Σε αυτήν την περίπτωση, ο κωδικός πρόσβασης πρέπει να πληροί τις απαιτήσεις ελάχιστου μήκους κωδικού πρόσβασης και πολυπλοκότητας κωδικού πρόσβασης. Αξίζει να ληφθεί υπόψη ότι είναι δυνατό να ανοίξετε αυτόματα αυτόν τον δίσκο σε αυτόν τον υπολογιστή.

Αντίστοιχα, θα αποθηκεύσουμε ομοίως τον κωδικό πρόσβασης ανάκτησης σε μια μονάδα USB.

Αξίζει να σκεφτείτε ότι όταν αποθηκεύετε τον κωδικό πρόσβασής σας για πρώτη φορά, αποθηκεύεται και σε αρχείο κειμένου στην ίδια μονάδα USB!

Πρέπει να ληφθεί υπόψη ότι κατά την κρυπτογράφηση ενός διαμερίσματος δεδομένων μεγέθους 120 GB (εκ των οποίων τα 100 είναι δωρεάν), η Εξερεύνηση των Windows εμφανίζει πάντα ένα μήνυμα σχετικά με την έλλειψη χώρου στο διαμέρισμα (Εικ. 18).

Ρύζι. 18. Παράθυρο Εξερεύνηση των Windows

Ας προσπαθήσουμε να κρυπτογραφήσουμε μια μονάδα USB που έχει διαμορφωθεί με το σύστημα αρχείων FAT.

Η κρυπτογράφηση μιας μονάδας USB ξεκινά όταν μας ζητείται να εισάγουμε έναν κωδικό πρόσβασης για τη μελλοντική κρυπτογραφημένη μονάδα δίσκου. Σύμφωνα με ορισμένους κανόνες πολιτικής, το ελάχιστο μήκος κωδικού πρόσβασης είναι 8 χαρακτήρες. Σε αυτήν την περίπτωση, ο κωδικός πρόσβασης πρέπει να πληροί τις απαιτήσεις πολυπλοκότητας (Εικ. 19)

Ρύζι. 19. Εισαγωγή κωδικού πρόσβασης για την κρυπτογράφηση μιας αφαιρούμενης μονάδας USB

Μετά την ολοκλήρωση της κρυπτογράφησης, προσπάθησα να δω αυτήν τη μονάδα USB σε άλλον υπολογιστή με Windows Vista Home Premium SP1. Το αποτέλεσμα φαίνεται στο Σχ. 21.

Ρύζι. 21. Προσπάθεια ανάγνωσης μιας κρυπτογραφημένης μονάδας USB σε υπολογιστή με Windows Vista SP1

Όπως μπορείτε να δείτε, εάν ο δίσκος σας χαθεί, οι πληροφορίες δεν θα διαβαστούν· επιπλέον, πιθανότατα ο δίσκος απλώς θα μορφοποιηθεί.

Όταν προσπαθείτε να συνδέσετε την ίδια μονάδα USB σε έναν υπολογιστή με Windows 7 Beta1, θα δείτε τα εξής (Εικ. 22).

συμπέρασμα

Έτσι, είδαμε πώς θα πραγματοποιηθεί η κρυπτογράφηση στα Windows 7. Τι να πούμε - σε σύγκριση με τα Windows Vista, έχει πολλούς περισσότερους κανόνες στις πολιτικές ομάδας και, κατά συνέπεια, την ευθύνη του προσωπικού πληροφορικής για τη σωστή εφαρμογή τους και τη σωστή κατασκευή των διασυνδεδεμένων σχέσεων αυξάνεται .

Πώς να διαγράψετε σημεία επαναφοράς συστήματος στα windows 7

BitLocker - νέες δυνατότητες κρυπτογράφησης δίσκου

Η απώλεια εμπιστευτικών δεδομένων συμβαίνει συχνά αφού ένας εισβολέας αποκτήσει πρόσβαση σε πληροφορίες στον σκληρό δίσκο. Για παράδειγμα, εάν ένας απατεώνας είχε με κάποιο τρόπο την ευκαιρία να διαβάσει αρχεία συστήματος, μπορεί να προσπαθήσει να τα χρησιμοποιήσει για να βρει κωδικούς πρόσβασης χρήστη, να εξάγει προσωπικές πληροφορίες κ.λπ.

Τα Windows 7 περιλαμβάνουν ένα εργαλείο που ονομάζεται BitLocker, το οποίο σας επιτρέπει να κρυπτογραφείτε ολόκληρη τη μονάδα δίσκου σας, διατηρώντας τα δεδομένα σε αυτήν προστατευμένα από τα αδιάκριτα βλέμματα. Η τεχνολογία κρυπτογράφησης BitLocker εισήχθη στα Windows Vista και έχει αναπτυχθεί περαιτέρω στο νέο λειτουργικό σύστημα. Ας απαριθμήσουμε τις πιο ενδιαφέρουσες καινοτομίες:

• ενεργοποίηση του BitLocker από το μενού περιβάλλοντος του Explorer.
• αυτόματη δημιουργία ενός κρυφού διαμερίσματος δίσκου εκκίνησης.
• Υποστήριξη Data Recovery Agent (DRA) για όλους τους προστατευμένους τόμους.

Να σας υπενθυμίσουμε ότι αυτό το εργαλείο δεν εφαρμόζεται σε όλες τις εκδόσεις των Windows, αλλά μόνο στις εκδόσεις "Advanced", "Corporate" και "Professional".

Η προστασία δίσκου με χρήση της τεχνολογίας BitLocker θα διατηρήσει τα εμπιστευτικά δεδομένα χρήστη σε σχεδόν οποιεσδήποτε συνθήκες ανωτέρας βίας - σε περίπτωση απώλειας αφαιρούμενων μέσων, κλοπής, μη εξουσιοδοτημένης πρόσβασης στο δίσκο κ.λπ. Η τεχνολογία κρυπτογράφησης δεδομένων BitLocker μπορεί να εφαρμοστεί σε οποιαδήποτε αρχεία στη μονάδα δίσκου συστήματος, καθώς και σε οποιοδήποτε πρόσθετο συνδεδεμένο μέσο. Εάν τα δεδομένα που περιέχονται σε έναν κρυπτογραφημένο δίσκο αντιγραφούν σε άλλο μέσο, ​​οι πληροφορίες θα μεταφερθούν χωρίς κρυπτογράφηση.

Για να παρέχει μεγαλύτερη ασφάλεια, το BitLocker μπορεί να χρησιμοποιήσει κρυπτογράφηση πολλαπλών επιπέδων - ταυτόχρονη χρήση πολλών τύπων προστασίας, συμπεριλαμβανομένων μεθόδων υλικού και λογισμικού. Οι συνδυασμοί μεθόδων προστασίας δεδομένων σάς επιτρέπουν να αποκτήσετε πολλούς διαφορετικούς τρόπους λειτουργίας του συστήματος κρυπτογράφησης BitLocker. Κάθε ένα από αυτά έχει τα δικά του πλεονεκτήματα και παρέχει επίσης το δικό του επίπεδο ασφάλειας:

• λειτουργία χρησιμοποιώντας μια αξιόπιστη μονάδα πλατφόρμας.
• λειτουργία χρησιμοποιώντας μια αξιόπιστη μονάδα πλατφόρμας και μια συσκευή USB.
• λειτουργία χρησιμοποιώντας μια αξιόπιστη μονάδα πλατφόρμας και προσωπικό αριθμό αναγνώρισης (PIN).
• λειτουργία χρησιμοποιώντας μια συσκευή USB που περιέχει ένα κλειδί.

Πριν ρίξουμε μια πιο προσεκτική ματιά στον τρόπο χρήσης του BitLocker, είναι απαραίτητες κάποιες διευκρινίσεις. Πρώτα απ 'όλα, είναι σημαντικό να κατανοήσουμε την ορολογία. Το Trusted Platform Module είναι ένα ειδικό κρυπτογραφικό τσιπ που επιτρέπει την αναγνώριση. Ένα τέτοιο τσιπ μπορεί να ενσωματωθεί, για παράδειγμα, σε ορισμένα μοντέλα φορητών υπολογιστών, επιτραπέζιων υπολογιστών, διαφόρων φορητών συσκευών κ.λπ.

Αυτό το τσιπ αποθηκεύει ένα μοναδικό "κλειδί πρόσβασης ρίζας". Ένα τέτοιο «ραμμένο» τσιπ είναι μια άλλη πρόσθετη αξιόπιστη προστασία από την παραβίαση κλειδιών κρυπτογράφησης. Εάν αυτά τα δεδομένα ήταν αποθηκευμένα σε οποιοδήποτε άλλο μέσο, ​​είτε πρόκειται για σκληρό δίσκο είτε για κάρτα μνήμης, ο κίνδυνος απώλειας πληροφοριών θα ήταν δυσανάλογα υψηλότερος, καθώς είναι ευκολότερη η πρόσβαση σε αυτές τις συσκευές. Χρησιμοποιώντας το "κλειδί πρόσβασης ρίζας", το τσιπ μπορεί να δημιουργήσει τα δικά του κλειδιά κρυπτογράφησης, τα οποία μπορούν να αποκρυπτογραφηθούν μόνο από το TPM. Ο κωδικός πρόσβασης κατόχου δημιουργείται την πρώτη φορά που αρχικοποιείται το TPM. Τα Windows 7 υποστηρίζουν TPM έκδοση 1.2 και απαιτούν επίσης συμβατό BIOS.

Όταν η προστασία εκτελείται αποκλειστικά με χρήση μιας αξιόπιστης μονάδας πλατφόρμας, όταν ο υπολογιστής είναι ενεργοποιημένος, συλλέγονται δεδομένα σε επίπεδο υλικού, συμπεριλαμβανομένων των δεδομένων BIOS, καθώς και άλλων δεδομένων, το σύνολο των οποίων υποδηλώνει την αυθεντικότητα του υλικού. Αυτός ο τρόπος λειτουργίας ονομάζεται "διαφανής" και δεν απαιτεί καμία ενέργεια από τον χρήστη - πραγματοποιείται έλεγχος και, εάν είναι επιτυχής, η λήψη εκτελείται σε κανονική λειτουργία.

Είναι περίεργο το γεγονός ότι οι υπολογιστές που περιέχουν μια αξιόπιστη ενότητα πλατφόρμας εξακολουθούν να αποτελούν μόνο μια θεωρία για τους χρήστες μας, καθώς η εισαγωγή και πώληση τέτοιων συσκευών στη Ρωσία και την Ουκρανία απαγορεύεται από το νόμο λόγω προβλημάτων με την πιστοποίηση. Έτσι, η μόνη επιλογή που παραμένει σχετική για εμάς είναι να προστατεύσουμε τη μονάδα δίσκου συστήματος χρησιμοποιώντας μια μονάδα USB στην οποία είναι γραμμένο το κλειδί πρόσβασης.

Η τεχνολογία BitLocker σάς επιτρέπει να εφαρμόσετε έναν αλγόριθμο κρυπτογράφησης σε μονάδες δίσκου δεδομένων που χρησιμοποιούν συστήματα αρχείων exFAT, FAT16, FAT32 ή NTFS. Εάν εφαρμόζεται κρυπτογράφηση σε δίσκο με λειτουργικό σύστημα, τότε για να χρησιμοποιηθεί η τεχνολογία BitLocker, τα δεδομένα σε αυτόν τον δίσκο πρέπει να είναι γραμμένα σε μορφή NTFS. Η μέθοδος κρυπτογράφησης που χρησιμοποιεί η τεχνολογία BitLocker βασίζεται στον ισχυρό αλγόριθμο AES με κλειδί 128 bit.

Μία από τις διαφορές μεταξύ της δυνατότητας Bitlocker στα Windows 7 και ενός παρόμοιου εργαλείου στα Windows Vista είναι ότι το νέο λειτουργικό σύστημα δεν απαιτεί ειδική κατάτμηση δίσκου. Προηγουμένως, ο χρήστης έπρεπε να χρησιμοποιήσει το Microsoft BitLocker Disk Preparation Tool για να το κάνει αυτό, αλλά τώρα αρκεί απλώς να καθορίσετε ποιος δίσκος θα έπρεπε να προστατεύεται και το σύστημα θα δημιουργήσει αυτόματα ένα κρυφό διαμέρισμα εκκίνησης στο δίσκο που χρησιμοποιείται από το Bitlocker. Αυτό το διαμέρισμα εκκίνησης θα χρησιμοποιηθεί για την εκκίνηση του υπολογιστή, αποθηκεύεται σε μη κρυπτογραφημένη μορφή (διαφορετικά δεν θα ήταν δυνατή η εκκίνηση), αλλά το διαμέρισμα με το λειτουργικό σύστημα θα είναι κρυπτογραφημένο. Σε σύγκριση με τα Windows Vista, το διαμέρισμα εκκίνησης καταλαμβάνει περίπου δέκα φορές λιγότερο χώρο στο δίσκο. Στο πρόσθετο διαμέρισμα δεν εκχωρείται ξεχωριστό γράμμα και δεν εμφανίζεται στη λίστα των κατατμήσεων στη διαχείριση αρχείων.

Για τη διαχείριση της κρυπτογράφησης, είναι βολικό να χρησιμοποιήσετε ένα εργαλείο στον Πίνακα Ελέγχου που ονομάζεται Κρυπτογράφηση μονάδας δίσκου BitLocker. Αυτό το εργαλείο είναι ένας διαχειριστής δίσκων που σας επιτρέπει να κρυπτογραφείτε και να ξεκλειδώνετε γρήγορα δίσκους, καθώς και να εργάζεστε με το TPM. Από αυτό το παράθυρο, μπορείτε να διακόψετε ή να διακόψετε την κρυπτογράφηση BitLocker ανά πάσα στιγμή.

⇡ BitLocker To Go - κρυπτογράφηση εξωτερικών συσκευών

Ένα νέο εργαλείο εμφανίστηκε στα Windows 7 - BitLocker To Go, σχεδιασμένο για να κρυπτογραφεί τυχόν αφαιρούμενες μονάδες δίσκου - μονάδες USB, κάρτες μνήμης κ.λπ. Για να ενεργοποιήσετε την κρυπτογράφηση μιας αφαιρούμενης μονάδας δίσκου, πρέπει να ανοίξετε το "Explorer", κάντε δεξί κλικ στο την επιθυμητή μονάδα δίσκου και Στο μενού περιβάλλοντος, επιλέξτε την εντολή «Ενεργοποίηση BitLocker».

Μετά από αυτό, θα εκκινηθεί ο Οδηγός κρυπτογράφησης για τον επιλεγμένο δίσκο.

Ο χρήστης μπορεί να επιλέξει μία από τις δύο μεθόδους για το ξεκλείδωμα μιας κρυπτογραφημένης μονάδας δίσκου: χρησιμοποιώντας έναν κωδικό πρόσβασης - σε αυτήν την περίπτωση, ο χρήστης θα πρέπει να εισαγάγει έναν συνδυασμό από ένα σύνολο χαρακτήρων και επίσης χρησιμοποιώντας μια έξυπνη κάρτα - σε αυτήν την περίπτωση, θα χρειαστεί για να καθορίσετε έναν ειδικό κωδικό PIN για την έξυπνη κάρτα. Ολόκληρη η διαδικασία κρυπτογράφησης δίσκου απαιτεί πολύ χρόνο - από αρκετά λεπτά έως μισή ώρα, ανάλογα με τον όγκο της κρυπτογραφημένης μονάδας δίσκου, καθώς και την ταχύτητα λειτουργίας της.

Εάν συνδέσετε μια κρυπτογραφημένη αφαιρούμενη μονάδα δίσκου, η πρόσβαση στις μονάδες δίσκου με τον συνήθη τρόπο θα είναι αδύνατη και όταν προσπαθεί να αποκτήσει πρόσβαση στη μονάδα, ο χρήστης θα δει το ακόλουθο μήνυμα:

Στον Explorer, το εικονίδιο του δίσκου στον οποίο εφαρμόζεται το σύστημα κρυπτογράφησης θα αλλάξει επίσης.

Για να ξεκλειδώσετε τα μέσα, πρέπει ξανά να κάνετε δεξί κλικ στο γράμμα πολυμέσων στο μενού περιβάλλοντος της διαχείρισης αρχείων και να επιλέξετε την κατάλληλη εντολή στο μενού περιβάλλοντος. Αφού εισαγάγετε σωστά τον κωδικό πρόσβασης στο νέο παράθυρο, θα ανοίξει η πρόσβαση στα περιεχόμενα του δίσκου και, στη συνέχεια, μπορείτε να εργαστείτε μαζί του, όπως με τα μη κρυπτογραφημένα μέσα.

Εκκινήστε το εργαλείο κρυπτογράφησης στα Windows αναζητώντας "BitLocker" και επιλέγοντας "Manage BitLocker". Στο επόμενο παράθυρο, μπορείτε να ενεργοποιήσετε την κρυπτογράφηση κάνοντας κλικ στο «Ενεργοποίηση BitLocker» δίπλα στον σκληρό δίσκο (εάν εμφανιστεί μήνυμα σφάλματος, διαβάστε την ενότητα «Χρήση του BitLocker χωρίς TPM»).

Τώρα μπορείτε να επιλέξετε εάν θέλετε να χρησιμοποιήσετε μια μονάδα flash USB ή έναν κωδικό πρόσβασης όταν ξεκλειδώνετε μια κρυπτογραφημένη μονάδα δίσκου. Ανεξάρτητα από την επιλογή που θα επιλέξετε, θα χρειαστεί να αποθηκεύσετε ή να εκτυπώσετε το κλειδί ανάκτησης κατά τη διαδικασία εγκατάστασης. Θα το χρειαστείτε εάν ξεχάσετε τον κωδικό πρόσβασής σας ή χάσετε τη μονάδα flash.

Χρήση BitLocker χωρίς TPM

Ρύθμιση του BitLocker.
Το BitLocker λειτουργεί επίσης χωρίς τσιπ TPM - αν και αυτό απαιτεί κάποια διαμόρφωση στον Επεξεργαστή πολιτικής τοπικής ομάδας.

Εάν ο υπολογιστής σας δεν διαθέτει τσιπ TPM (Trusted Platform Module), ίσως χρειαστεί να κάνετε κάποιες προσαρμογές για να ενεργοποιήσετε το BitLocker. Στη γραμμή αναζήτησης των Windows, πληκτρολογήστε "Edit Group Policy" και ανοίξτε την ενότητα "Local Group Policy Editor". Τώρα ανοίξτε στην αριστερή στήλη του προγράμματος επεξεργασίας "Computer Configuration | Διοικητικά Πρότυπα | Στοιχεία Windows | Κρυπτογράφηση μονάδας BitLocker | Δίσκοι λειτουργικού συστήματος» και στη δεξιά στήλη, ελέγξτε την καταχώρηση «Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση».

Στη συνέχεια, στη μεσαία στήλη, κάντε κλικ στο σύνδεσμο "Επεξεργασία ρύθμισης πολιτικής". Επιλέξτε το πλαίσιο δίπλα στο "Ενεργοποίηση" και επιλέξτε το πλαίσιο δίπλα στο "Να επιτρέπεται το BitLocker χωρίς συμβατό TPM" παρακάτω. Αφού κάνετε κλικ στο "Εφαρμογή" και στο "OK", μπορείτε να χρησιμοποιήσετε το BitLocker όπως περιγράφεται παραπάνω.

Μια εναλλακτική με τη μορφή VeraCrypt

Για να κρυπτογραφήσετε το διαμέρισμα συστήματος ή ολόκληρο τον σκληρό δίσκο χρησιμοποιώντας τον διάδοχο του TrueCrypt, VeraCrypt, επιλέξτε "Δημιουργία τόμου" από το κύριο μενού του VeraCrypt και, στη συνέχεια, επιλέξτε "Κρυπτογράφηση του διαμερίσματος συστήματος ή ολόκληρης της μονάδας δίσκου συστήματος". Για να κρυπτογραφήσετε ολόκληρο τον σκληρό δίσκο μαζί με το διαμέρισμα των Windows, επιλέξτε "Encrypt the whole drive" και, στη συνέχεια, ακολουθήστε τις οδηγίες εγκατάστασης βήμα προς βήμα. Σημείωση: Το VeraCrypt δημιουργεί έναν δίσκο διάσωσης σε περίπτωση που ξεχάσετε τον κωδικό πρόσβασής σας. Άρα θα χρειαστείτε ένα κενό CD.

Αφού κρυπτογραφήσετε τη μονάδα δίσκου σας, θα πρέπει να καθορίσετε το PIM (Personal Iterations Multiplier) μετά τον κωδικό πρόσβασής σας κατά την εκκίνηση. Εάν δεν εγκαταστήσατε το PIM κατά τη διάρκεια της εγκατάστασης, απλώς πατήστε Enter.

Η κρυπτογράφηση προσθέτει ένα άλλο επίπεδο ασφάλειας διασφαλίζοντας ότι το αρχείο μπορεί να διαβαστεί μόνο από τον δημιουργό του. Εάν οποιοσδήποτε άλλος χρήστης - ακόμη και ένας με δικαιώματα διαχειριστή - προσπαθήσει να ανοίξει ένα τέτοιο αρχείο, θα δει είτε ένα σύνολο χαρακτήρων χωρίς νόημα είτε τίποτα. Με άλλα λόγια, τα κρυπτογραφημένα δεδομένα σας δεν μπορούν να διαβαστούν αν δεν είστε συνδεδεμένοι στο σύστημα με τον δικό σας λογαριασμό.

Η κρυπτογράφηση αρχείων και φακέλων στα Windows 7 είναι ένας βολικός τρόπος για την προστασία ευαίσθητων δεδομένων, αλλά η αποθήκευση κρυπτογραφημένων και μη κρυπτογραφημένων δεδομένων στην ίδια μονάδα δίσκου μπορεί να οδηγήσει σε απρόβλεπτα αποτελέσματα, όπως συζητείται στην ενότητα Κρυπτογράφηση αρχείων. Ωστόσο, οι κάτοχοι των εκδόσεων Windows 7 Ultimate και Enterprise μπορούν να λύσουν αυτό το πρόβλημα εκμεταλλευόμενοι το εργαλείο κρυπτογράφησης μονάδας δίσκου BitLocker.

Το Bit Locker τοποθετεί όλα τα δεδομένα ενός δίσκου σε ένα τεράστιο αρχείο και το αντιμετωπίζει ως εικονικό σκληρό δίσκο. Στην Εξερεύνηση των Windows, αντιμετωπίζετε τα κρυπτογραφημένα αρχεία BitLocker όπως όλα τα άλλα δεδομένα—τα Windows κάνουν την κρυπτογράφηση και την αποκρυπτογράφηση σιωπηλά στο παρασκήνιο. Το μεγάλο πλεονέκτημα του BitLocker είναι ότι κρυπτογραφεί τα αρχεία των Windows και όλα τα αρχεία συστήματος, καθιστώντας πολύ πιο δύσκολο για κάποιον να χακάρει τον κωδικό πρόσβασής σας και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα. Επιπλέον, όταν ολόκληρη η μονάδα δίσκου είναι κρυπτογραφημένη, δεν χρειάζεται να κρυπτογραφήσετε μεμονωμένα αρχεία.

Για να κρυπτογραφήσετε τη μονάδα δίσκου, ανοίξτε τη σελίδα BitLocker Drive Encryption στον Πίνακα Ελέγχου. Εάν δείτε ένα σφάλμα δεν βρέθηκε το TPM, ελέγξτε αν ο υπολογιστής σας διαθέτει ενημέρωση BIOS που υποστηρίζει TPM.

Το TPM, Trusted Platform Module, είναι ένα τσιπ στη μητρική πλακέτα που αποθηκεύει το κλειδί κρυπτογράφησης BitLocker. Χάρη σε αυτό, ο υπολογιστής μπορεί να εκκινήσει από μια κρυπτογραφημένη μονάδα δίσκου. Εάν το BIOS δεν υποστηρίζει TPM, τότε μια κανονική μονάδα USB μπορεί να χρησιμοποιηθεί ως τέτοιο τσιπ.

Επισημάνετε μόνο το αρχείο ως προοριζόμενο για κρυπτογράφηση. Τα Windows κρυπτογραφούν και αποκρυπτογραφούν αρχεία στο παρασκήνιο ενώ ο δημιουργός του αρχείου το γράφει ή το προβάλλει, αντίστοιχα. Είναι αλήθεια ότι στα Windows 7, η κρυπτογράφηση εν κινήσει μπορεί μερικές φορές να προκαλέσει εκπλήξεις και η ασφάλεια δεν είναι ένας τομέας όπου μπορείτε να βασιστείτε στην τύχη.

Κρυπτογράφηση αρχείων

Η κρυπτογράφηση είναι μια δυνατότητα του συστήματος αρχείων NTFS (που συζητείται στην ενότητα "Επιλέξτε το σωστό σύστημα αρχείων") που δεν είναι διαθέσιμη σε κανένα άλλο σύστημα αρχείων. Αυτό σημαίνει ότι εάν αντιγράψετε ένα κρυπτογραφημένο αρχείο, για παράδειγμα, σε κάρτα μνήμης, μονάδα USB ή CD, θα είναι αδύνατη η αποκρυπτογράφηση του επειδή το σύστημα αρχείων NTFS δεν υποστηρίζεται σε αυτές τις συσκευές.

Πώς να κρυπτογραφήσετε ένα αρχείο:

1. Κάντε δεξί κλικ σε ένα ή περισσότερα αρχεία στον Explorer και επιλέξτε Ιδιότητες από το μενού περιβάλλοντος.
2. Στην καρτέλα Γενικά, κάντε κλικ στην επιλογή Για προχωρημένους.
3. Επιλέξτε το πλαίσιο ελέγχου Κρυπτογράφηση περιεχομένων για ασφάλεια δεδομένων, κάντε κλικ στο OK και, στη συνέχεια, κλείστε το παράθυρο κάνοντας ξανά κλικ στο OK.