I denne serien snakket vi kort om BitLocker-teknologien, som er et sikkerhetsverktøy i moderne Windows-operativsystemer. I prinsippet beskrev artikkelen arkitekturen til dette verktøyet, som ikke vil være til stor nytte når du utfører diskkryptering selv hjemme eller i en organisasjon. Også fra den første artikkelen kunne du finne ut at for å dra full nytte av denne teknologien, må datamaskinene som kryptering skal utføres for være utstyrt med en slik modul som en Trusted Platform Module (TPM), som dessverre kan finnes langt fra på alle datamaskiner. Derfor, i de følgende artiklene i denne serien, når du beskriver hvordan du arbeider med en pålitelig plattformmodul, vil bare emulatoren på en virtuell maskin bli vurdert. Dessuten synes jeg det er verdt å merke seg at verken denne eller de følgende artiklene i denne serien vil diskutere blokkering av datastasjoner ved bruk av smartkort.

Som du sikkert vet lar BitLocker-teknologien deg kryptere en hel stasjon, mens Encrypting File System (EFS) lar deg kryptere kun individuelle filer. Naturligvis trenger du i noen tilfeller bare å kryptere visse filer, og det ser ut til at det ikke er noen vits i å kryptere hele partisjonen, men det er tilrådelig å bruke EFS kun på datamaskiner på intranettet som ikke vil bli flyttet mellom avdelinger og kontorer. Med andre ord, hvis brukeren din har en bærbar datamaskin, må han med jevne mellomrom reise på forretningsreiser, og en slik bruker har for eksempel bare noen få dusin filer på datamaskinen som må krypteres, det er bedre for den bærbare datamaskinen å bruke BitLocker-teknologi i stedet for et kryptert filsystem. Dette forklares av det faktum at med EFS vil du ikke være i stand til å kryptere så viktige elementer i operativsystemet som registerfiler. Og hvis en angriper kommer til registeret til den bærbare datamaskinen din, kan han finne mye interessant informasjon for seg selv, for eksempel hurtigbufrede data for brukerens domenekonto, en passordhash og mye mer, som i fremtiden kan forårsake betydelig skade og tap ikke bare for denne brukeren, men og hele selskapet som helhet. Og med hjelp av BitLocker-teknologi, i motsetning til et kryptert filsystem, som nevnt litt ovenfor, vil alle data som ligger på den krypterte disken til brukerens bærbare datamaskin, bli kryptert på brukerens bærbare datamaskin. Mange spør kanskje: hvordan kan andre brukere i organisasjonen bruke filer som er kryptert med denne teknologien? Faktisk er alt veldig enkelt: hvis en datamaskin med krypterte filer ved hjelp av BitLocker-teknologi deles, vil autoriserte brukere kunne samhandle med slike filer like enkelt som om det ikke var noen kryptering på den brukerens datamaskin. I tillegg, hvis filer som ligger på en kryptert disk kopieres til en annen datamaskin eller til en ukryptert disk, vil disse filene automatisk dekrypteres.

I de følgende delene vil du lære hvordan du krypterer systemet og sekundære partisjoner på en ikke-TPM bærbar PC som kjører Windows 7.

Aktiver BitLocker-kryptering for systempartisjonen

Det er ikke noe komplisert med å aktivere BitLocker-stasjonskryptering på en systempartisjon på en datamaskin som ikke er en del av et domene. Før du krypterer systemdisken, tror jeg du bør ta hensyn til det faktum at på den bærbare datamaskinen som diskene skal krypteres på, er det opprettet tre partisjoner, og de to første må krypteres:

Ris. 1. Windows Utforsker på den bærbare datamaskinen der diskene skal krypteres

Følg disse trinnene for å kryptere systempartisjonen:

1. Først av alt, siden den bærbare datamaskinen i dette eksemplet som stasjonene skal krypteres på ikke har en TPM, er det tilrådelig å utføre noen foreløpige trinn. Du må åpne snappen "Redigering av lokal gruppepolicy" og gå til Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives. Her kan du finne seks ulike policyinnstillinger. Siden det ble nevnt tidligere at denne bærbare datamaskinen ikke er utstyrt med en TPM-modul, må du sørge for at før du laster inn operativsystemet, bruker du en USB-stasjon som inneholder en spesiell nøkkel designet for å bekrefte autentisering og påfølgende oppstart av systemet. Policyinnstillingen som brukes til å utføre denne operasjonen er "Krever ekstra autentisering ved oppstart". I egenskapsdialogboksen for denne policyinnstillingen bør du sjekke alternativene "Tillat BitLocker uten en kompatibel TPM". I dette tilfellet, siden dette er det eneste alternativet som kan interessere oss når du krypterer en disk i en arbeidsgruppe, lagre endringene som er gjort. Egenskapsdialogboksen for denne policyinnstillingen vises i følgende illustrasjon:



Ris. 2. Krev tilleggsgodkjenning ved dialogboksen Egenskaper for oppstartspolicyinnstilling

Det er mange forskjellige gruppepolicyinnstillinger tilgjengelig for å administrere BitLocker-teknologi. Disse alternativene vil bli diskutert i detalj i en fremtidig artikkel om BitLocker-teknologi.

2. Åpen "Kontrollpanel", gå til kategori "System og sikkerhet" og velg deretter "BitLocker Drive Encryption";
3. I kontrollpanelvinduet som vises, velg systempartisjonen, og klikk deretter på koblingen "Aktiver BitLocker". Det er verdt å ta hensyn til det faktum at du bare kan kryptere en partisjon hvis den er plassert på en grunnleggende disk. Hvis du har opprettet partisjoner på en dynamisk disk, må du konvertere disken fra dynamisk til grunnleggende før du krypterer dem. Følgende illustrasjon viser vinduet "BitLocker Drive Encryption":



Ris. 3. Kontrollpanel BitLocker Drive Encryption-vinduet

4. Etter å ha kontrollert datamaskinens konfigurasjon, på den første siden av BitLocker Drive Encryption Wizard, kan du spesifisere ulike oppstartsalternativer. Men siden min bærbare datamaskin ikke har en TPM, og en gruppepolicy-innstilling er endret for å tillate BitLocker-kryptering på ikke-TPM-aktivert maskinvare, kan jeg bare velge "Be om nøkkel ved oppstart". Den første siden i veiviseren vises nedenfor:



Ris. 4. Oppstartsalternativet for BitLocker Drive Encryption Wizard

5. På siden "Lagre oppstartsnøkkelen" I BitLocker Drive Encryption-veiviseren må du koble en flash-stasjon til datamaskinen og deretter velge den i listen. Etter at du har valgt stasjonen, klikker du på knappen "Lagre";
6. På den tredje siden av veiviseren må du spesifisere plasseringen for gjenopprettingsnøkkelen. Gjenopprettingsnøkkelen er en liten tekstfil som inneholder noen instruksjoner, en stasjonsetikett, en passord-ID og en gjenopprettingsnøkkel på 48 tegn. Det må huskes at denne nøkkelen skiller seg fra lanseringsnøkkelen ved at den brukes for å få tilgang til data i tilfeller hvor det er umulig å få tilgang til den på noen annen måte. Du kan velge ett av følgende tre alternativer: lagre gjenopprettingsnøkkelen på en USB-flashstasjon, lagre gjenopprettingsnøkkelen til en fil eller skrive ut gjenopprettingsnøkkel. Vær oppmerksom på at når du velger det første alternativet, må du lagre gjenopprettings- og oppstartsnøklene på forskjellige flash-stasjoner. Siden det anbefales å lagre flere gjenopprettingsnøkler, og på andre datamaskiner enn den som er kryptert, ble gjenopprettingsnøkkelen i mitt tilfelle lagret i en nettverksmappe på en av mine servere, samt på en HP skystasjon. Nå vil innholdet i gjenopprettingsnøkkelen bare være kjent for meg og HP, selv om de mest sannsynlig overbeviser oss om den fullstendige konfidensialiteten til informasjonen. Hvis du skriver ut en gjenopprettingsnøkkel, anbefaler Microsoft at du oppbevarer dokumentet i en låst safe. Jeg anbefaler bare å huske disse 48 tallene og etter å ha lest dokumentet bare brenn det :). Side "Hvordan lagrer jeg gjenopprettingsnøkkelen?" BitLocker-krypteringsveiviseren vises i følgende illustrasjon:



Ris. 5. Lagre gjenopprettingsnøkkelen for data kryptert med BitLocker

7. Dette er den siste siden av Drive Encryption Wizard fordi du på dette tidspunktet kan kjøre en BitLocker-systemsjekk for å sikre at du enkelt kan bruke gjenopprettingsnøkkelen din om nødvendig. For å fullføre systemkontrollen vil du bli bedt om å starte datamaskinen på nytt. I prinsippet er ikke dette trinnet obligatorisk, men det er likevel tilrådelig å utføre denne kontrollen. Du kan se den siste siden av veiviseren nedenfor:



Ris. 6. Siste side i veiviseren for diskkryptering

8. Umiddelbart etter POST-testen vil du bli bedt om å sette inn en flash-stasjon med en oppstartsnøkkel for å starte operativsystemet. Når datamaskinen er startet på nytt og BitLocker vet at ingen uforutsette omstendigheter vil oppstå etter kryptering, vil selve diskkrypteringsprosessen begynne. Du vil vite dette fra ikonet som vises i varslingsområdet eller hvis du går til vinduet "BitLocker Drive Encryption" fra kontrollpanelet. Selve krypteringsprosessen kjører i bakgrunnen, det vil si at du vil kunne fortsette å jobbe på datamaskinen mens kryptering kjører, men BitLocker vil intensivt bruke prosessorressurser og ledig plass på den krypterte disken. For å se hvor mange prosent av stasjonen som allerede er kryptert, se etter ikonet i systemstatusfeltet "Krypterer %volume_name% ved hjelp av BitLocker Drive Encryption" og dobbeltklikk på den. BitLocker-varslingsikon og dialogboks "BitLocker Drive Encryption" Vist under:



Ris. 7. Utfør kryptering

9. Når BitLocker-stasjonskrypteringsprosessen er fullført, vil du bli varslet om at kryptering av stasjonen du valgte er fullført. Denne dialogboksen kan sees nedenfor:





Ris. 8. Fullføre BitLocker Drive Encryption

For de som krypterer en disk for første gang, vil jeg merke at denne prosedyren ikke utføres umiddelbart, og for eksempel tok det meg 70 minutter å kryptere en systemdisk med en kapasitet på 75 gigabyte.

Nå, som du kan se i følgende illustrasjon, er det i Windows Utforsker en lås på systempartisjonsikonet, noe som betyr at denne partisjonen er kryptert med BitLocker-teknologi:

Ris. 9. Windows Utforsker med en kryptert systempartisjon

Konklusjon

I denne artikkelen lærte du hvordan du krypterer en stasjon ved hjelp av BitLocker-teknologi. Prosessen med å forberede kryptering og kryptere selve disken ved hjelp av et grafisk grensesnitt vurderes. Siden jeg i begynnelsen av artikkelen indikerte at to stasjoner vil bli kryptert på denne bærbare datamaskinen, vil du i neste artikkel lære hvordan du kan kryptere en stasjon ved hjelp av BitLocker-teknologi ved hjelp av et kommandolinjeverktøy administrere-dbe .

Hei venner! I denne artikkelen vil vi fortsette å studere systemene innebygd i Windows designet for å øke sikkerheten til dataene våre. I dag er det Bitlocker-diskkrypteringssystemet. Datakryptering er nødvendig for å hindre fremmede fra å bruke informasjonen din. Hvordan hun skal komme til dem er et annet spørsmål.

Kryptering er prosessen med å transformere data slik at bare de rette personene kan få tilgang til dem. Nøkler eller passord brukes vanligvis for å få tilgang.

Kryptering av hele stasjonen forhindrer tilgang til data når du kobler harddisken til en annen datamaskin. Angriperens system kan ha et annet operativsystem installert for å omgå beskyttelsen, men dette vil ikke hjelpe hvis du bruker BitLocker.

BitLocker-teknologi dukket opp med utgivelsen av Windows Vista-operativsystemet og ble forbedret i Windows 7. Bitlocker er tilgjengelig i Windows 7 Ultimate og Enterprise-versjoner samt i Windows 8 Pro. Eiere av andre versjoner må se etter et alternativ.

Hvordan BitLocker Drive Encryption fungerer

Uten å gå i detaljer ser det slik ut. Systemet krypterer hele disken og gir deg nøklene til den. Hvis du krypterer systemdisken, vil ikke datamaskinen starte opp uten nøkkelen din. Det samme som leilighetsnøkler. Du har dem, du kommer inn i det. Tapt, du må bruke en ekstra (gjenopprettingskode (utstedt under kryptering)) og endre låsen (gjør krypteringen på nytt med andre nøkler)

For pålitelig beskyttelse er det ønskelig å ha en TPM (Trusted Platform Module) i datamaskinen. Hvis den eksisterer og versjonen er 1.2 eller høyere, vil den kontrollere prosessen og du vil ha sterkere beskyttelsesmetoder. Hvis den ikke er der, vil det være mulig å bruke bare nøkkelen på USB-stasjonen.

BitLocker fungerer som følger. Hver sektor av disken krypteres separat ved hjelp av en nøkkel (full-volum krypteringsnøkkel, FVEK). AES-algoritmen med 128-bits nøkkel og diffuser brukes. Nøkkelen kan endres til 256-bit i gruppesikkerhetspolicyer.

For å gjøre dette, bruk søket i Windows 7. Åpne Start-menyen og skriv "policyer" i søkefeltet og velg Endre gruppepolicy

Følg stien i vinduet som åpnes på venstre side

Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > BitLocker-stasjonskryptering

På høyre side dobbeltklikker du på Velg diskkrypteringsmetode og krypteringsstyrke

Klikk på Aktiver policy i vinduet som åpnes. I delen Velg krypteringsmetode velger du ønsket fra rullegardinlisten

Den mest pålitelige er AES med en 256-bits nøkkel med diffuser. I dette tilfellet vil mest sannsynlig belastningen på sentralprosessoren være litt høyere, men ikke mye, og på moderne datamaskiner vil du ikke merke forskjellen. Men dataene vil være mer pålitelig beskyttet.

Bruken av en diffuser øker påliteligheten ytterligere da det fører til betydelige endringer i den krypterte informasjonen med en liten endring i de originale dataene. Det vil si at når du krypterer to sektorer med nesten identiske data, vil resultatet bli vesentlig forskjellig.

Selve FVEK-nøkkelen er plassert blant harddiskens metadata og er også kryptert med volumhovednøkkelen (VMK). VMK er også kryptert med TPM-modulen. Hvis sistnevnte mangler, bruk nøkkelen på USB-stasjonen.

Hvis USB-stasjonen med nøkkelen ikke er tilgjengelig, må du bruke den 48-sifrede gjenopprettingskoden. Etter dette vil systemet kunne dekryptere volumets hovednøkkel, som det vil dekryptere FVEK-nøkkelen med, som disken låses opp med og operativsystemet vil starte opp.

BitLocker-forbedringer i Windows 7

Når du installerer Windows 7 fra en flash-stasjon eller disk, blir du bedt om å partisjonere eller konfigurere disken. Når du setter opp disken, opprettes det en ekstra 100 MB oppstartspartisjon. Jeg er nok ikke den eneste som hadde spørsmål om utnevnelsen hans. Dette er akkurat den delen som trengs for at Bitlocker-teknologien skal fungere.

Denne partisjonen er skjult og oppstartbar, og den er ikke kryptert ellers ville det ikke vært mulig å laste operativsystemet.

I Windows Vista bør denne partisjonen eller volumet være 1,5 GB. I Windows 7 ble det laget 100 MB.

Hvis du, når du installerte operativsystemet, partisjonerte det med tredjepartsprogrammer, det vil si at du ikke opprettet en oppstartspartisjon, vil BitLocker i Windows 7 selv forberede den nødvendige partisjonen. I Windows Vista må du lage den ved å bruke tilleggsprogramvare som følger med operativsystemet.

Windows 7 introduserte også BitLocker To Go-teknologi for kryptering av flash-stasjoner og eksterne harddisker. La oss se på det senere.

Slik aktiverer du BitLocker-stasjonskryptering

Som standard er BitLocker konfigurert til å kjøre med TPM-modulen og vil ikke starte hvis den mangler. (Først bare prøv å aktivere kryptering, og hvis den starter, trenger du ikke deaktivere noe i gruppepolicyer)

For å starte kryptering, gå til Kontrollpanel\System og sikkerhet\BitLocker Drive Encryption

Velg ønsket disk (i vårt eksempel er det systempartisjonen) og klikk Aktiver BitLocker

Hvis du ser et bilde som nedenfor

du må redigere gruppepolicyer.

Ved å bruke søk fra Start-menyen, åpne Local Group Policy Editor

La oss gå underveis

Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > BitLocker-stasjonskryptering > Operativsystemstasjoner

Til høyre velger du Påkrevd ekstra autentisering

I vinduet som åpnes klikker du på Aktiver, så må du sørge for at avmerkingsboksen Tillat bruk av BitLocker uten en kompatibel TPM er merket og klikk OK

Etter dette kan BitLocker startes. Du vil bli bedt om å velge det eneste sikkerhetsalternativet - Be om en oppstartsnøkkel ved oppstart. Det er dette vi velger

Sett inn USB-flashstasjonen som oppstartsnøkkelen skal skrives på, og klikk på Lagre

Nå må du lagre gjenopprettingsnøkkelen i tilfelle flash-stasjonen med startnøkkelen ikke er i tilgangssonen. Du kan lagre nøkkelen på en flash-stasjon (helst en annen), lagre nøkkelen i en fil for senere overføring til en annen datamaskin, eller skrive den ut umiddelbart.

Gjenopprettingsnøkkelen bør naturligvis oppbevares på et trygt sted. Jeg vil lagre nøkkelen til en fil

Gjenopprettingsnøkkelen er et enkelt tekstdokument med selve nøkkelen

Deretter vil du se et siste vindu der du anbefales å kjøre en BitLocker-systemskanning før du krypterer stasjonen. Klikk på Fortsett

Lagre alle åpne dokumenter og klikk Last inn på nytt nå

Her er hva du vil se hvis noe går galt

Hvis alt fungerer, vil kryptering starte etter omstart av datamaskinen

Tiden avhenger av kraften til prosessoren din, kapasiteten til partisjonen eller volumet du krypterer og hastigheten på datautvekslingen med stasjonen (SSD eller HDD). En 60 GB solid-state-stasjon som er fylt nesten til kapasitet, krypteres på omtrent 30 minutter, mens frivillig distribuert databehandling fortsatt fungerer.

Når krypteringen er fullført, vil du se følgende bilde

Lukk vinduet og kontroller om oppstartsnøkkelen og gjenopprettingsnøkkelen er på trygge steder.

Kryptering av en flash-stasjon - BitLocker To Go

Med bruken av BitLocker To Go-teknologien i Windows 7 ble det mulig å kryptere flash-stasjoner, minnekort og eksterne harddisker. Dette er veldig praktisk fordi det er mye lettere å miste en flash-stasjon enn en bærbar PC eller netbook.

Gjennom å søke eller følge stien

Start > Kontrollpanel > System og sikkerhet > BitLocker-stasjonskryptering

åpne kontrollvinduet. Sett inn flash-stasjonen du vil kryptere og i BitLocker To Go-delen aktiver kryptering for ønsket USB-stasjon

Du må velge en metode for å låse opp stasjonen. Valget er ikke stort: ​​et passord eller et SIM-kort med PIN-kode. SIM-kort utstedes av spesielle avdelinger i store selskaper. La oss bruke et enkelt passord.

Merk av i boksen ved siden av Bruk et passord for å låse opp disken og skriv inn passordet to ganger. Som standard er minimum passordlengde 8 tegn (kan endres i gruppepolicyer). Klikk Neste

Vi velger hvordan vi skal lagre gjenopprettingsnøkkelen. Det vil trolig være trygt å skrive det ut. Lagre og klikk Neste

Klikk på Start kryptering og beskytt dataene dine

Krypteringstiden avhenger av kapasiteten til flash-stasjonen, hvor full den er med informasjon, kraften til prosessoren og hastigheten på datautvekslingen med datamaskinen.

På store flash-stasjoner eller eksterne harddisker kan denne prosedyren ta lang tid. I teorien kan prosessen gjennomføres på en annen datamaskin. For å gjøre dette, pause kryptering og fjern stasjonen på riktig måte. Du setter den inn i en annen datamaskin, låser den opp ved å skrive inn passordet ditt, og kryptering vil fortsette automatisk.

Når du nå installerer en flash-stasjon på datamaskinen din, vises et vindu nedenfor som ber deg skrive inn et passord.

Hvis du stoler på denne datamaskinen og ikke ønsker å skrive inn passordet hele tiden, merk av i boksen Neste for å låse opp denne datamaskinen automatisk og klikk Lås opp. På denne datamaskinen trenger du ikke lenger å skrive inn passordet for denne flash-stasjonen.

For at informasjonen på en kryptert USB-stasjon skal kunne brukes på datamaskiner som kjører Windows Vista eller Windows XP, må flash-stasjonen formateres til FAT32-filsystemet. I disse operativsystemene vil det være mulig å låse opp flash-stasjonen bare ved å skrive inn et passord, og informasjonen vil være skrivebeskyttet. Opptaksinformasjon er ikke tilgjengelig.

Kryptert partisjonsbehandling

Behandlingen utføres fra vinduet BitLocker Drive Encryption. Du finner dette vinduet ved å bruke søket, eller du kan gå til adressen

Kontrollpanel > System og sikkerhet > BitLocker-stasjonskryptering

Du kan slå av kryptering ved å klikke på "Slå av BitLocker". I dette tilfellet er disken eller volumet dekryptert. Dette vil ta litt tid og ingen nøkler vil være nødvendig.

Du kan også sette beskyttelsen på pause her

Denne funksjonen anbefales for bruk når du oppdaterer BIOS eller redigerer en oppstartsdisk. (Den samme med et volum på 100 MB). Du kan pause beskyttelsen bare på systemstasjonen (partisjonen eller volumet som Windows er installert på).

Hvorfor bør du pause kryptering? Slik at BitLocker ikke blokkerer stasjonen din og ikke tyr til gjenopprettingsprosedyren. Systemparametere (BIOS- og oppstartspartisjonsinnhold) låses under kryptering for ekstra beskyttelse. Hvis du endrer dem, kan det blokkere datamaskinen din.

Hvis du velger Administrer BitLocker, kan du lagre eller skrive ut gjenopprettingsnøkkelen og duplisere oppstartsnøkkelen

Hvis en av nøklene (oppstartsnøkkel eller gjenopprettingsnøkkel) går tapt, kan du gjenopprette dem her.

Administrer kryptering av eksterne stasjoner

Følgende funksjoner er tilgjengelige for å administrere krypteringsinnstillingene til flash-stasjonen:

Du kan endre passordet for å låse det opp. Du kan bare fjerne et passord hvis du bruker et smartkort til å låse det opp. Du kan også lagre eller skrive ut gjenopprettingsnøkkelen og aktivere diskopplåsing for denne datamaskinen automatisk.

Gjenoppretter disktilgang

Gjenoppretter tilgang til systemdisken

Hvis flash-stasjonen med nøkkelen er ute av tilgangssonen, kommer gjenopprettingsnøkkelen inn. Når du starter datamaskinen din vil du se noe sånt som følgende:

For å gjenopprette tilgang og laste inn vinduer, trykk Enter

Du vil se en skjerm som ber deg angi gjenopprettingsnøkkelen.

Når du skriver inn det siste sifferet, forutsatt at gjenopprettingsnøkkelen er riktig, starter operativsystemet automatisk.

Gjenoppretter tilgang til flyttbare stasjoner

For å gjenopprette tilgang til informasjon på en flash-stasjon eller ekstern HDD, klikk på Glemt passordet ditt?

Velg Angi gjenopprettingsnøkkel

og skriv inn denne forferdelige 48-sifrede koden. Klikk Neste

Hvis gjenopprettingsnøkkelen er egnet, låses disken opp

En lenke vises til Administrer BitLocker, der du kan endre passordet for å låse opp stasjonen.

Konklusjon

I denne artikkelen lærte vi hvordan vi beskytter informasjonen vår ved å kryptere den ved hjelp av det innebygde BitLocker-verktøyet. Det er skuffende at denne teknologien kun er tilgjengelig i eldre eller avanserte versjoner av Windows OS. Det ble også klart hvorfor denne skjulte og oppstartbare partisjonen på 100 MB i størrelse opprettes når du setter opp en disk med Windows.

Kanskje jeg vil bruke kryptering av flash-stasjoner eller eksterne harddisker. Men dette er lite sannsynlig siden det finnes gode substitutter i form av skydatalagringstjenester som DropBox, Google Drive, Yandex Drive og lignende.

Med vennlig hilsen Anton Dyachenko

YouPK.ru

Aktiver eller deaktiver Bitlocker i Windows

Ingen er i det hele tatt overrasket over det faktum at rent personlig informasjon eller bedriftsdata av høy verdi kan lagres på en personlig datamaskin. Det er uønsket hvis slik informasjon faller i hendene på tredjeparter som kan bruke den, og forårsaker alvorlige problemer for den tidligere eieren av PC-en.

Avhengig av omstendighetene kan Bitlocker aktiveres eller deaktiveres.

Det er av denne grunn at mange brukere uttrykker et ønske om å iverksette tiltak for å begrense tilgangen til alle filer som er lagret på datamaskinen. En slik prosedyre eksisterer faktisk. Etter å ha utført visse manipulasjoner, vil ingen utenforstående, uten å kjenne passordet eller nøkkelen til å gjenopprette det, kunne få tilgang til dokumentene.

Du kan beskytte viktig informasjon fra tredjeparter ved å kryptere stasjonen din med Bitlocker. Slike handlinger bidrar til å sikre fullstendig konfidensialitet for dokumenter, ikke bare på en bestemt PC, men også i tilfelle når noen fjerner harddisken og setter den inn i en annen personlig datamaskin.

Algoritme for å aktivere og deaktivere funksjonen

Bitlocker-diskkryptering fungerer på Windows 7, 8 og 10, men ikke alle versjoner. Det forutsettes at hovedkortet utstyrt med den spesifikke datamaskinen som brukeren ønsker å utføre kryptering på må ha en TPM-modul.

RÅD. Ikke bli opprørt hvis du vet med sikkerhet at det ikke finnes en slik spesialmodul på hovedkortet ditt. Det er noen triks som lar deg "ignorere" et slikt krav og følgelig installere uten en slik modul.

Før du begynner prosessen med å kryptere alle filer, er det viktig å merke seg at denne prosedyren er ganske lang. Det er vanskelig å gi en eksakt tid på forhånd. Alt avhenger av hvor mye informasjon som er på harddisken. Under krypteringsprosessen vil Windows 10 fortsette å fungere, men det er usannsynlig å glede deg med ytelsen, siden ytelsesindikatoren vil bli betydelig redusert.

Aktiverer funksjonen

Hvis du har Windows 10 installert på datamaskinen din, og du har et aktivt ønske om å aktivere datakryptering, bruk tipsene våre slik at du ikke bare lykkes, men også måten å realisere dette ønsket på er ikke vanskelig. Først finner du "Win"-tasten på tastaturet, noen ganger er den ledsaget av Windows-ikonet, hold den nede og hold nede "R"-tasten samtidig. Ved å trykke på disse to tastene samtidig åpnes Kjør-vinduet.

I vinduet som åpnes, vil du finne en tom linje der du må skrive inn "gpedit.msc". Etter å ha klikket på "Ok"-knappen, åpnes et nytt "Local Group Policy Editor"-vindu. I dette vinduet har vi en kort vei å gå.

På venstre side av vinduet, finn og klikk umiddelbart på linjen "Datamaskinkonfigurasjon", i undermenyen som åpnes, finn "Administrative maler", og deretter i den neste undermenyen som åpnes, gå til alternativet som ligger først i listen og kalt "Windows-komponenter".

Flytt nå blikket til høyre side av vinduet, finn "Bitlocker Disk Encryption" i det, og dobbeltklikk for å aktivere det. Nå åpnes en ny liste, der ditt neste mål skal være linjen "Operativsystemdisker". Klikk på denne linjen også, du må bare gjøre en overgang til for å komme nærmere vinduet der Bitlocker vil bli direkte konfigurert, slik at du kan slå den på, som er akkurat det du ønsker.

Finn linjen "Denne policyinnstillingen lar deg konfigurere kravet til ekstra autentisering ved oppstart," dobbeltklikk for å utvide denne innstillingen. I det åpne vinduet finner du det ønskede ordet "Aktiver", ved siden av vil du finne en avmerkingsboks, i den må du sette et spesifikt merke i form av en hake av ditt samtykke.

Rett under i dette vinduet er det en underseksjon "Plattformer", i den må du merke av i boksen ved siden av tilbudet om å bruke BitLocker uten en spesiell modul. Dette er veldig viktig, spesielt hvis Windows 10 ikke har en TPM-modul.

Konfigurasjonen av ønsket funksjon er fullført i dette vinduet, slik at du kan lukke det. Flytt nå musepekeren over "windows"-ikonet, bare høyreklikk på det, noe som lar en ekstra undermeny vises. I den finner du linjen "Kontrollpanel", gå til den og deretter til neste linje "Bitlocker-diskkryptering".

Sørg for å angi hvor du vil at krypteringen skal skje. Dette kan gjøres på både harddisker og flyttbare disker. Etter å ha valgt ønsket objekt, klikk på "Aktiver Bitlocker"-knappen.

Nå vil Windows 10 starte en automatisk prosess, som av og til tiltrekker deg oppmerksomheten og ber deg spesifisere dine ønsker. Selvfølgelig er det best å ta en sikkerhetskopi før du foretar en slik prosess. Ellers, hvis passordet og nøkkelen går tapt, vil ikke PC-eieren kunne gjenopprette informasjonen.

Deretter vil prosessen med å forberede disken for påfølgende kryptering begynne. Mens denne prosessen kjører, har du ikke lov til å slå av datamaskinen, siden denne handlingen kan forårsake alvorlig skade på operativsystemet. Etter en slik feil vil du ganske enkelt ikke kunne starte Windows 10, derfor må du installere et nytt operativsystem i stedet for kryptering, og kaste bort ekstra tid.

Så snart diskforberedelsen er fullført, begynner selve oppsettet av disken for kryptering. Du vil bli bedt om å angi et passord, som vil gi senere tilgang til de krypterte filene. Du vil også bli bedt om å opprette og angi en gjenopprettingsnøkkel. Begge disse viktige komponentene oppbevares best på et trygt sted, helst trykt. Det er veldig dumt å lagre passordet og gjenopprettingsnøkkelen på selve PC-en.

Under krypteringsprosessen kan systemet spørre deg hvilken del spesifikt du ønsker å kryptere. Det er best å utsette hele diskplassen for denne prosedyren, selv om det er et alternativ å kryptere bare den okkuperte plassen.

Alt som gjenstår er å velge et handlingsalternativ som "Ny krypteringsmodus", og deretter kjøre en automatisk skanning av BitLocker-operativsystemet. Deretter vil systemet trygt fortsette prosessen, hvoretter du vil bli bedt om å starte PC-en på nytt. Oppfyll selvfølgelig dette kravet og start på nytt.

Etter neste lansering av Windows 10 vil du være overbevist om at tilgang til dokumenter uten å angi passord vil være umulig. Krypteringsprosessen vil fortsette, du kan kontrollere den ved å klikke på BitLocker-ikonet i varslingspanelet.

Deaktiverer funksjonen

Hvis filene på datamaskinen din av en eller annen grunn ikke lenger er av stor betydning, og du ikke liker å skrive inn et passord hver gang for å få tilgang til dem, foreslår vi at du ganske enkelt deaktiverer krypteringsfunksjonen.

For å utføre slike handlinger, gå til varslingspanelet, finn BitLocker-ikonet der og klikk på det. Nederst i det åpne vinduet finner du linjen "Administrer BitLocker", klikk på den.

Nå vil systemet be deg om å velge hvilken handling som er å foretrekke for deg:

• arkiver gjenopprettingsnøkkelen;
• endre passordet for tilgang til krypterte filer;
• fjerne et tidligere angitt passord;
• deaktiver BitLocker.

Selvfølgelig, hvis du bestemmer deg for å deaktivere BitLocker, bør du velge det siste alternativet som tilbys. Et nytt vindu vil umiddelbart dukke opp på skjermen, der systemet vil forsikre seg om at du virkelig vil deaktivere krypteringsfunksjonen.

MERK FØLGENDE. Så snart du klikker på "Deaktiver BitLocker" -knappen, starter dekrypteringsprosessen umiddelbart. Dessverre er ikke denne prosessen preget av høy hastighet, så du må definitivt forberede deg på en stund, hvor du ganske enkelt må vente.

Selvfølgelig, hvis du trenger å bruke en datamaskin for øyeblikket, har du råd til det; det er ingen kategorisk forbud mot dette. Du bør imidlertid forberede deg på at PC-ytelsen for øyeblikket kan være ekstremt lav. Det er ikke vanskelig å forstå årsaken til denne tregheten, fordi operativsystemet må låse opp en enorm mengde informasjon.

Så hvis du vil kryptere eller dekryptere filer på datamaskinen din, trenger du bare å lese anbefalingene våre, og deretter uten hastverk utføre hvert trinn i den angitte algoritmen, og etter fullføring glede deg over resultatet som er oppnådd.

NastroyVse.ru

Setter opp Bitlocker

Bitlocker er et verktøy som gir datakryptering på volumnivå (et volum kan oppta en del av en disk, eller kan inkludere en rekke med flere disker.) Bitlocker brukes til å beskytte dataene dine i tilfelle tap eller tyveri av en bærbar datamaskin/datamaskin . I sin originalversjon ga BitLocker beskyttelse for bare ett volum - disken med operativsystemet. BitLocker er inkludert i alle utgavene av Server 2008 R2 og Server 2008 (unntatt Itanium-utgaven), pluss Windows 7 Ultimate og Enterprise, og Windows Vista. I versjoner av Windows Server 2008 og Vista SP1 har Microsoft implementert beskyttelse for ulike volumer, inkludert lokale datavolumer. I versjoner av Windows Server 2008 R2 og Windows 7 la utviklere til støtte for flyttbare datalagringsenheter (USB flash-minneenheter og eksterne harddisker). Denne funksjonen kalles BitLocker To Go. BitLocker-teknologien bruker AES-krypteringsalgoritmen; nøkkelen kan lagres i en TMP (Trusted Platform Module - en spesiell krets installert i en datamaskin under produksjonen som gir lagring av krypteringsnøkler) eller i en USB-enhet. Følgende tilgangskombinasjoner er mulige:

TPM - TPM + PIN - TPM + PIN + USB-nøkkel - TPM + USB-nøkkel - USB-nøkkel Siden datamaskiner ofte ikke har TMP, ønsker jeg å beskrive trinn for trinn hvordan du konfigurerer BitLocker med en USB-stasjon.

Gå til "Datamaskin" og høyreklikk på den lokale stasjonen som vi vil kryptere (i dette eksemplet vil vi kryptere lokal stasjon C) og velg "Aktiver BitLocker".

Etter disse trinnene vil vi se en feil.

Det er forståelig, som jeg allerede skrev - det er ingen TMP-modul på denne datamaskinen, og dette er resultatet, men alt dette kan enkelt fikses, bare gå til de lokale retningslinjene til datamaskinen og endre innstillingene der, for dette må du gå til redigeringsprogrammet for lokale retningslinjer - skriv i gpedit-søkefeltet .msc og trykk "Enter".

Som et resultat vil vinduet for lokale retningslinjer åpnes, gå til banen "Datamaskinkonfigurasjon - Administrative maler - Windows-komponenter - Bit-Locker Drive Encryption - Operating System Drives" og i I Required additional authentication at startup-policyen satte vi den til Aktiver. Du må også sørge for at det er merket av for Tillat bruk av BitLocker uten en kompatibel TPM. Klikk på "Ok."

Nå, hvis du gjentar de første trinnene for å aktivere BitLocker på en lokal stasjon, åpnes et vindu for å konfigurere diskkryptering; velg "Be om oppstartsnøkkel" ved oppstart (men vi hadde ikke noe valg, dette er på grunn av mangelen av en TPM).

I neste vindu velger du USB-enheten som nøkkelen skal lagres på.

Deretter velger vi hvor vi skal lagre gjenopprettingsnøkkelen (dette er nøkkelen som legges inn manuelt i tilfelle tap av media med hovednøkkelen), jeg anbefaler å gjøre det på en annen USB-stasjon, eller på en annen datamaskin, eller skrive den ut hvis du lagrer gjenopprettingsnøkkelen på den samme datamaskinen eller på den samme USB-stasjonen, vil du ikke kunne starte Windows hvis du mister USB-en som nøkkelen er lagret på. I dette eksemplet lagret jeg på en annen USB-stasjon.

I neste vindu, kjør Bitlocker-systemsjekken ved å klikke på "Fortsett"-knappen, hvoretter datamaskinen starter på nytt.

Etter at datamaskinen har startet, vil krypteringsprosessvinduet vises. Dette er ofte en langvarig prosedyre som krever flere timer.

Som et resultat har vi en kryptert stasjon C, som ikke vil starte uten en USB-stasjon med en nøkkel eller en gjenopprettingsnøkkel.

pk-help.com

Slik setter du opp BitLocker-datakryptering for Windows

For å beskytte mot uautorisert tilgang til filer som er lagret på harddisken, så vel som på flyttbare stasjoner (eksterne stasjoner eller USB-flash-stasjoner), har Windows OS-brukere muligheten til å kryptere dem ved hjelp av den innebygde BitLocker og BitLocker To Go-krypteringsprogramvaren.

BitLocker-krypteringsprogrammet og BitLocker To Go er forhåndsinstallert i Proffessional- og Enterprise-versjonene av Windows 8/8.1 OS, samt i Ultimate-versjonen av Windows 7. Men brukere av grunnversjonen av Windows 8.1 har også tilgang til alternativet "Device Encryption", som fungerer som en analog av BitLocker i mer avanserte versjoner av operativsystemet.

Aktiver BitLocker-krypteringsprogramvare

For å aktivere BitLocker-krypteringsprogrammet, åpne Kontrollpanel og gå deretter til System og sikkerhet > BitLocker Drive Encryption. Du kan også åpne Windows Utforsker ("Datamaskin"), høyreklikke på den valgte stasjonen og velge "Aktiver BitLocker" fra rullegardinmenyen. Hvis linjen ovenfor ikke er i menyen, har du feil versjon av Windows OS.

For å aktivere BitLocker for systemstasjonen, datastasjonen eller flyttbare stasjonen, må du velge Aktiver BitLocker.

I dette vinduet er 2 typer BitLocker-stasjonskryptering tilgjengelig for deg:

• BitLocker Drive Encryption - Harddisker: Denne funksjonen lar deg kryptere hele stasjonen. Når du starter datamaskinen din, vil Windows-oppstartslasteren laste inn data fra området på harddisken som er reservert av systemet, og du vil bli bedt om typen opplåsing du har spesifisert, for eksempel å angi et passord. BitLocker vil deretter utføre datadekrypteringsprosessen og Windows-oppstartsprosessen vil fortsette. Med andre ord kan kryptering betraktes som en prosess som skjer ubemerket av brukeren. Som vanlig jobber du med filer og data, som igjen er kryptert på disken. I tillegg kan du bruke kryptering ikke bare for systemstasjoner.
• "BitLocker Drive Encryption - BitLocker To Go": Eksterne lagringsenheter som USB-flash-stasjoner eller eksterne harddisker kan krypteres ved hjelp av BitLocker To Go-verktøyet. Når du kobler en kryptert enhet til datamaskinen din, blir du for eksempel bedt om å angi et passord, som vil beskytte dataene dine mot fremmede.

Bruke BitLocker uten en TPM

Hvis du prøver å kryptere ved hjelp av BitLocker på en PC uten en Trusted Platform Module (TPM) installert, åpnes vinduet nedenfor og ber deg aktivere alternativet "Tillat BitLocker uten en kompatibel TPM".

BitLocker-krypteringsprogramvare krever en PC med en maskinvare-TPM for å beskytte systemstasjonen for å fungere skikkelig. TPM-modulen er en liten brikke installert på hovedkortet. BitLocker kan lagre krypteringsnøkler der, noe som er et sikrere alternativ enn å lagre dem på en vanlig datastasjon. TPM-modulen gir kun nøkler etter oppstart og kontroll av systemstatus, noe som eliminerer muligheten for datadekryptering i tilfelle harddisken din blir stjålet eller et kryptert diskbilde opprettes for hacking på en annen PC.

For å aktivere alternativet ovenfor, må du ha administratorrettigheter. Du trenger bare å åpne "Local Group Policy Editor" og aktivere følgende alternativ.

Trykk på Win + R-tastekombinasjonen for å starte Kjør-dialogen, skriv inn kommandoen gpedit.msc. Gå deretter til følgende punkter - Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > BitLocker-stasjonskryptering > Operativsystemstasjoner. Dobbeltklikk på alternativet "Krev ekstra autentisering ved oppstart", velg alternativet "Aktivert" og merk av for "Tillat BitLocker uten en kompatibel TPM" ). Klikk "Apply" for å lagre innstillingene.

Velge en diskopplåsingsmetode

Hvis du fullfører trinnene ovenfor, vil du bli spurt med vinduet "Velg hvordan du låser opp stasjonen ved oppstart". Hvis PC-en din ikke har en TPM-modul, har du to alternativer: angi et passord eller bruk en spesiell USB-flash-stasjon (smartkort) som opplåsingsnøkkel.

Hvis en TPM-modul er til stede på hovedkortet, vil flere alternativer være tilgjengelige for deg. For eksempel er det mulig å konfigurere automatisk opplåsing når datamaskinen starter - alle nøkler vil bli lagret i TPM-modulen og vil automatisk bli brukt til å dekryptere data på disken. Du kan også legge inn et PIN-passord på oppstartslasteren, som deretter låser opp dekrypteringsnøklene som er lagret i TPM, og deretter hele disken.

Velg den metoden som passer deg best og følg installatørens instruksjoner.

Opprette en sikkerhetskopinøkkel

BitLocker gir deg også muligheten til å lage en sikkerhetskopinøkkel. Denne nøkkelen vil bli brukt for å få tilgang til krypterte data hvis du har glemt eller mistet hovednøkkelen din, for eksempel glemt nøkkeltilgangspassordet eller flyttet harddisken til en ny PC med en ny TPM-modul osv.

Du kan lagre nøkkelen til en fil, skrive den ut, plassere den på en ekstern USB-stasjon eller lagre den på Microsoft-kontoen din (for Windows 8- og 8.1-brukere). Det viktigste er å være sikker på at denne sikkerhetskopinøkkelen er lagret på et trygt sted, ellers kan en angriper enkelt omgå BitLocker og få tilgang til alle dataene som er av interesse for ham. Men til tross for dette er det viktig å lage en sikkerhetskopinøkkel, siden hvis du mister hovednøkkelen uten en sikkerhetskopinøkkel, vil du miste alle dataene dine.

Diskkryptering og dekryptering

BitLocker vil automatisk kryptere nye filer etter hvert som de blir tilgjengelige, men du må velge hvordan du vil kryptere resten av diskplassen. Du kan kryptere hele disken (inkludert ledig plass) - det andre alternativet i skjermbildet nedenfor, eller bare filene - det første alternativet, som vil fremskynde krypteringsprosessen.

Når du bruker BitLocker på en ny PC (det vil si med et nylig installert OS), er det bedre å bruke kryptering av plassen som er okkupert av filer, da dette vil ta litt tid. Men hvis du aktiverer kryptering for en disk som har vært i bruk lenge, er det bedre å bruke en metode der hele disken er kryptert, selv med ledig plass. Denne metoden vil gjøre det umulig å gjenopprette tidligere slettede filer som ikke var kryptert. Dermed er den første metoden raskere, men den andre er mer pålitelig.

Når du konfigurerer kryptering videre, vil BitLocker analysere systemet og starte datamaskinen på nytt. Etter omstart av PC-en starter krypteringsprosessen. Det vil vises i skuffen som et ikon, ved hjelp av dette vil du se fremdriften i prosent av prosessen. Du vil fortsatt kunne bruke datamaskinen din, men det vil være en liten nedgang i systemet på grunn av filkryptering som kjører samtidig.

Etter at kryptering er fullført og neste gang du starter PC-en, vil BitLocker vise deg et vindu der du må angi et passord, PIN-kode eller sette inn en USB-stasjon som nøkkel (avhengig av hvordan du tidligere har konfigurert tilgang til nøkkel).

Hvis du trykker på Escape-tasten i dette vinduet, kommer du til vinduet for inntasting av sikkerhetskopinøkkelen hvis tilgangen til primærnøkkelen har gått tapt.

Hvis du velger BitLocker To Go-krypteringsmetoden for eksterne enheter, vil du bli presentert med en lignende oppsettveiviser, men i dette tilfellet trenger du ikke å starte datamaskinen på nytt. Ikke koble fra den eksterne stasjonen før krypteringsprosessen er fullført.

Neste gang du kobler den krypterte enheten til PC-en, vil du bli bedt om et passord eller smartkort for å låse den opp. En enhet beskyttet med BitLocker vil vises med et tilsvarende ikon i filbehandlingen eller Windows Utforsker.

Du kan administrere den krypterte stasjonen (endre passord, slå av kryptering, lage sikkerhetskopier av nøkkelen osv.) ved å bruke BitLocker-kontrollpanelvinduet. Høyreklikk på den krypterte stasjonen og velg "Administrer BitLocker" vil ta deg til målet ditt.

Som alle andre metoder for å beskytte informasjon, vil sanntidskryptering på farten med BitLocker selvfølgelig ta opp noen av datamaskinens ressurser. Dette vil hovedsakelig resultere i økt CPU-belastning på grunn av kontinuerlig kryptering av data fra disk til disk. Men på den annen side, for personer hvis informasjon må være pålitelig beskyttet mot nysgjerrige øyne, informasjon som kan gi ondsinnede trumfkort i hendene på angripere, er dette tapet av produktivitet den mest kompromissløse løsningen.

osmaster.org.ua

Kryptering i Windows 7 ved hjelp av BitLocker

Vladimir Bezmaly

Den 7. januar 2009 presenterte Microsoft for testing av neste versjon av operativsystemet for arbeidsstasjoner - Windows 7. Dette operativsystemet, som har blitt vanlig, inneholder mye sikkerhetsteknologier, inkludert de som tidligere ble presentert i Windows Vista. I dag skal vi snakke om Windows BitLocker-krypteringsteknologien, som har gjennomgått betydelige endringer siden introduksjonen i Windows Vista. Det ser ut til at ingen i dag trenger å bli overbevist om behovet for å kryptere data på harddisker og flyttbare medier, men likevel vil vi presentere argumenter for denne løsningen.

Tap av konfidensielle data på grunn av tyveri eller tap av mobile enheter

I dag er kostnadene for maskinvare mange ganger mindre enn kostnadene for informasjonen på enheten. Tapte data kan føre til tap av omdømme, tap av konkurranseevne og potensielle rettssaker.

Over hele verden har spørsmål om datakryptering lenge vært regulert av relevant lovgivning. Så, for eksempel, i USA, U.S. Government Information Security Reform Act (GISRA) krever datakryptering for å beskytte sensitiv myndighetsinformasjon. EU-land har vedtatt EUs personverndirektiv. Canada og Japan har egne regler.

Alle disse lovene pålegger strenge straffer for tap av personlig eller bedriftsinformasjon. Når enheten din er stjålet (tapt), kan dataene dine gå tapt sammen med den. Datakryptering kan brukes for å hindre uautorisert tilgang til data. I tillegg, ikke glem slike farer som uautorisert tilgang til data under reparasjoner (inkludert garanti) eller salg av brukte enheter.

Og det faktum at dette ikke er tomme ord, dessverre, har gjentatte ganger blitt bekreftet av fakta. En frilansmedarbeider ved det britiske innenrikskontoret mistet et minnekort som inneholder personopplysningene til mer enn hundretusener av kriminelle, inkludert de som soner fengselsstraff. Dette fremgår av avdelingens melding. Media inneholdt navn, adresser og, i noen tilfeller, detaljer om anklagene til 84 000 fanger som ble holdt i fengsler i Storbritannia. Også på minnekortet er adressene til 30 tusen personer med en kriminell rekord på seks eller mer. Som departementet presiserte ble informasjonen fra minnekortet brukt av en forsker fra RA Consulting. «Vi har blitt oppmerksomme på et sikkerhetsbrudd som resulterte i at en kontraktsansatt mistet personlig informasjon om lovbrytere i England og Wales. Det pågår nå en grundig etterforskning, sier en representant for innenriksdepartementet.

Innenriksministeren til «skygge»-regjeringen, Dominic Grieve, har allerede kommentert denne saken. Han bemerket at britiske skattebetalere ville bli "absolutt sjokkert" over den britiske regjeringens håndtering av gradert informasjon.

Dette er ikke det første tilfellet i Storbritannia av tap av konfidensiell informasjon fra ulike organisasjoner og avdelinger, husket Grieve.

I april innrømmet en stor britisk bank, HSBC, tapet av en disk der personopplysningene til 370 tusen av kundene var lagret. I midten av februar ble det kjent at en bærbar datamaskin med medisinske data på 5 tusen 123 pasienter ble stjålet fra det britiske sykehuset Russels Hall Hospital i byen Dudley (West Midlands). I slutten av januar ble det rapportert at en bærbar PC med personopplysningene til 26 tusen ansatte ble stjålet fra den britiske supermarkedskjeden Marks and Spencer. Sjefen for det britiske forsvarsdepartementet Des Brown kunngjorde 21. januar at tre bærbare datamaskiner med personopplysninger om tusenvis av mennesker ble stjålet fra avdelingen.

I desember i fjor ble det avslørt at et privat amerikansk selskap hadde mistet registrene til tre millioner britiske førerkortsøkere. De lå på datamaskinens harddisk. De tapte dataene inkluderer navn, adresser og telefonnumre til førerkortsøkere mellom september 2004 og april 2007.

I slutten av oktober 2007 forsvant to disker med informasjon om 25 millioner barnetrygdmottakere og deres bankkontoer på vei mellom to offentlige etater. En massiv leteaksjon som koster skattebetalerne 500 000 pund har ikke gitt resultater.

Også i juni i år ble det oppdaget en pakke med hemmelige dokumenter (http://korrespondent.net/world/493585) som inneholder informasjon om kampen mot terrorfinansiering, narkotikasmugling og hvitvasking på et av togene på vei til London. Tidligere ble en pakke med hemmelige dokumenter knyttet til den siste informasjonen om terrornettverket Al-Qaida oppdaget (http://korrespondent.net/world/490374) på ​​et togsete i London. Spørsmålet er, hva tenkte brukerne som lot dette skje?

Her er et annet faktum som bør få eiere av mobilenheter til å tenke

I følge en rapport fra Ponemon Institute (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute), går ca. 637 000 bærbare datamaskiner tapt årlig på store og mellomstore flyplasser i USA Ifølge undersøkelsen går bærbare datamaskiner ofte tapt ved sikkerhetskontroller.

Omtrent 10 278 bærbare datamaskiner går tapt hver uke på 36 store amerikanske flyplasser, og 65 % av dem blir ikke returnert til eierne. Rundt 2000 bærbare datamaskiner er rapportert tapt på mellomstore flyplasser, og 69 % av dem blir ikke returnert til eierne. Instituttet gjennomførte undersøkelser ved 106 flyplasser i 46 land og intervjuet 864 personer.

De vanligste stedene å miste bærbare datamaskiner er følgende fem flyplasser:

• Los Angeles internasjonale
• Miami International
• John F. Kennedy International
• Chicago O'Hare
• Newark Liberty International.

Reisende er ikke sikre på at tapte bærbare datamaskiner vil bli returnert til dem.

Omtrent 77 % av de spurte sa at de ikke hadde noe håp om å få tilbake den tapte bærbare datamaskinen, mens 16 % sa at de ikke ville gjøre noe hvis de mistet den bærbare datamaskinen. Omtrent 53 % sa at de bærbare datamaskinene inneholdt konfidensiell selskapsinformasjon, og 65 % sa at de ikke hadde gjort noe for å beskytte informasjonen.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Hva kan være imot dette? Kun datakryptering.

I dette tilfellet fungerer kryptering som den siste linjen i fysisk forsvar for din PC. Det finnes et stort utvalg av krypteringsteknologier for harddisker i dag. Naturligvis, etter den vellykkede premieren på BitLocker-teknologien som en del av Windows Vista Enterprise og Windows Vista Ultimate, kunne Microsoft ikke la være å inkludere denne teknologien i Windows 7. Men i rettferdighet er det verdt å merke seg at i det nye operativsystemet vil vi se en betydelig redesignet krypteringsteknologi.

Kryptering i Windows 7

Så, vårt bekjentskap begynner med å installere Windows 7 på din PC. I Windows Vista, for å bruke kryptering, måtte du gjøre en av to ting: enten klargjøre harddisken først ved å bruke kommandolinjen ved å partisjonere den på riktig måte, eller gjøre det senere ved å bruke spesiell programvare fra Microsoft (BitLocker Disk Preparation Tool). I Windows 7 løses problemet i utgangspunktet, når du partisjonerer harddisken. Så under installasjonen spesifiserte jeg en systempartisjon med en kapasitet på 39 gigabyte, og fikk... 2 partisjoner! Den ene er på 200 MB, og den andre er på litt over 38 gigabyte. Dessuten, i standard Explorer-vinduet ser du følgende bilde (fig. 1).

Ris. 1. Utforsker-vindu

Men ved å åpne Start – Alle programmer – Administrative verktøy – Databehandling – Diskbehandling vil du se (fig. 2) følgende:

Ris. 2. Databehandling

Som du kan se, er den første partisjonen, 200 MB i størrelse, ganske enkelt skjult. Som standard er det system-, aktiv- og primærpartisjonen. For de som allerede er kjent med kryptering i Windows Vista, er det ikke noe spesielt nytt på dette stadiet, bortsett fra at partisjonering på denne måten utføres som standard og harddisken er allerede klargjort for etterfølgende kryptering på installasjonsstadiet. Den eneste merkbare forskjellen er størrelsen - 200 MB mot 1,5 GB i Windows Vista.

Selvfølgelig er slik partisjonering av disken i partisjoner mye mer praktisk, fordi ofte brukeren, når han installerer operativsystemet, ikke umiddelbart tenker på om han vil kryptere harddisken eller ikke.

Umiddelbart etter installasjon av operativsystemet, i kontrollpanelet i delen System og sikkerhet kan vi velge (fig. 3) BitLocker Drive Encryption

Ris. 3.System og sikkerhet

Ved å velge Beskytt datamaskinen ved å kryptere data på disken, vises et vindu (Figur 4)

Ris. 4. BitLocker-stasjonskryptering

Vær oppmerksom på (uthevet i rødt i figuren) alternativene som mangler i Windows Vista eller er organisert annerledes. I Windows Vista kunne flyttbare medier kun krypteres hvis de brukte NTFS-filsystemet, og kryptering ble utført i henhold til de samme reglene som for harddisker. Og det var mulig å kryptere den andre partisjonen på harddisken (i dette tilfellet stasjon D:) først etter at systempartisjonen (stasjon C:) ble kryptert.

Men ikke tro at når du velger Slå på BitLocker, er du i gang. Ikke så! Hvis du aktiverer BitLocker uten ekstra alternativer, er alt du får kryptering av harddisken på denne PC-en uten å bruke TPM, som, som jeg allerede har påpekt i artiklene mine, ikke er et godt eksempel. Imidlertid har brukere i noen land, for eksempel den russiske føderasjonen eller Ukraina, rett og slett ikke noe annet valg, siden import av datamaskiner med TRM er forbudt i disse landene. I dette tilfellet velger du Slå på BitLocker og kommer til Fig. 5.

Ris. 5. BitLocker-stasjonskryptering

Hvis du vil bruke TPM for å dra nytte av krypteringens fulle kraft, må du bruke Group Policy Editor. For å gjøre dette må du starte kommandolinjemodus (cmd.exe) og skrive gpedit.msc på kommandolinjen (fig. 6), og starte gruppepolicyredigereren (fig. 7).

Ris. 6. Start Group Policy Editor

Ris. 7. Redigerer for gruppepolicy

La oss se nærmere på gruppepolicyalternativene som kan brukes til å administrere BitLocker-kryptering.

Gruppepolicyalternativer for BitLocker Drive Encryption

Lagre BitLocker-gjenopprettingsinformasjon i Active Directory Domain Services (Windows Server 2008 og Windows Vista)

Med dette alternativet for gruppepolicy kan du administrere Active Directory Domain Services (AD DS) for å sikkerhetskopiere informasjon for senere gjenoppretting av BitLocker Drive Encryption. Dette alternativet gjelder bare for datamaskiner som kjører Windows Server 2008 eller Windows Vista.

Når dette alternativet er angitt, når BitLocker er aktivert, blir gjenopprettingsinformasjonen automatisk kopiert til AD DS.

Hvis du deaktiverer dette policyalternativet eller lar det stå som standard, vil BitLocker-gjenopprettingsinformasjonen ikke bli kopiert til AD DS.

Velg standardmappe for gjenopprettingspassord

Dette policyalternativet lar deg definere standard mappeplassering for lagring av gjenopprettingspassordet, som vises av BitLocker Drive Encryption-veiviseren når du blir bedt om det. Dette alternativet gjelder når du aktiverer BitLocker-kryptering. Det skal imidlertid bemerkes at brukeren kan lagre gjenopprettingspassordet i en hvilken som helst annen mappe.

Velg hvordan brukere kan gjenopprette BitLocker-beskyttede stasjoner (Windows Server 2008 og Windows Vista)

Dette alternativet lar deg kontrollere gjenopprettingsalternativene for BitLocker som vises av installasjonsveiviseren. Denne policyen gjelder for datamaskiner som kjører Windows Server 2008 og Windows Vista. Dette alternativet gjelder når BitLocker er aktivert.

For å gjenopprette krypterte data kan brukeren bruke et 48-sifret digitalt passord eller en USB-stasjon som inneholder en 256-bits gjenopprettingsnøkkel.

Med dette alternativet kan du la 256-biters passordnøkkel lagres på USB-stasjonen som en usynlig fil og en tekstfil som inneholder det 48-sifrede gjenopprettingspassordet.

Hvis du deaktiverer eller ikke konfigurerer denne gruppepolicyregelen, vil BitLocker Setup Wizard tillate brukeren å velge gjenopprettingsalternativer.

Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, vil BitLocker-oppsettveiviseren gi brukere andre måter å bevare gjenopprettingsalternativer på.

Velg stasjonskrypteringsmetode og chifferstyrke

Ved å bruke denne regelen kan du velge krypteringsalgoritmen og lengden på nøkkelen som skal brukes. Hvis stasjonen allerede er kryptert og du deretter bestemmer deg for å endre nøkkellengden, vil ingenting skje. Standard krypteringsmetode er AES med en 128-bits nøkkel og diffuser.

Oppgi de unike identifikatorene for organisasjonen din

Denne policyregelen lar deg lage unike IDer for hver nye stasjon som eies av organisasjonen din og beskyttes av BitLocker. Disse identifikatorene lagres som det første og andre feltet i identifikatoren. Det første ID-feltet lar deg angi en unik organisasjons-ID på BitLocker-beskyttede stasjoner. Denne IDen blir automatisk lagt til nye BitLocker-beskyttede stasjoner, og den kan oppdateres for eksisterende BitLocker-krypterte stasjoner ved å bruke Manage-BDE-kommandolinjeprogramvaren.

Det andre ID-feltet brukes i kombinasjon med policyregelen "Nekt tilgang til flyttbare medier som ikke er beskyttet av BitLocker", og kan brukes til å administrere flyttbare stasjoner i bedriften din.

En kombinasjon av disse feltene kan brukes til å bestemme om en stasjon tilhører din organisasjon eller ikke.

Hvis verdien av denne regelen er udefinert eller deaktivert, er det ikke nødvendig med identifikasjonsfelt.

Identifikasjonsfeltet kan være opptil 260 tegn langt.

Forhindre minneoverskriving ved omstart

Denne regelen vil forbedre datamaskinens ytelse ved å forhindre at minne overskrives, men du bør forstå at BitLocker-nøkler ikke vil bli slettet fra minnet.

Hvis denne regelen er deaktivert eller ikke konfigurert, vil BitLocker-nøkler bli fjernet fra minnet når datamaskinen startes på nytt.

For å øke sikkerheten bør denne regelen stå som standard.

Konfigurerikator

Denne regelen vil tillate objektidentifikatoren for smartkortsertifikatet å knyttes til en BitLocker-kryptert stasjon.

Stasjonære harddisker

Denne delen beskriver gruppepolicyreglene som vil gjelde for datadisker (ikke systempartisjoner).

Konfigurer bruk av smartkort på faste datastasjoner

Denne regelen vil avgjøre om smartkort kan brukes for å gi tilgang til data på PC-harddisken.

Hvis du deaktiverer denne regelen, kan ikke smartkort brukes.

Som standard kan smartkort brukes.

Nekt skrivetilgang til faste stasjoner som ikke er beskyttet av BitLocker

Denne regelen bestemmer om du kan skrive til stasjoner som ikke er beskyttet av BitLocker. Hvis denne regelen er definert, vil alle stasjoner som ikke er beskyttet av BitLocker være skrivebeskyttet. Hvis stasjonen er kryptert med BitLocker, vil den være lesbar og skrivbar. Hvis denne regelen er deaktivert eller ikke definert, vil alle harddiskene på datamaskinen være lese- og skrivetilgjengelige.

Tillat tilgang til BitLocker-beskyttede faste datastasjoner fra tidligere versjoner av Windows

Denne policyregelen kontrollerer om stasjoner med FAT-filsystemet kan låses opp og leses på datamaskiner som kjører Windows Server 2008, Windows Vista, Windows XP SP3 og Windows XP SP2.

Hvis denne regelen er aktivert eller ikke konfigurert, kan datadisker formatert med FAT-filsystemet være lesbare på datamaskiner som kjører operativsystemene ovenfor.

Hvis denne regelen er deaktivert, kan ikke de tilsvarende stasjonene låses opp på datamaskiner som kjører Windows Server 2008, Windows Vista, Windows XP SP3 og Windows XP SP2.

Merk følgende! Denne regelen gjelder ikke for NTFS-formaterte stasjoner.

Denne regelen avgjør om et passord kreves for å låse opp BitLocker-beskyttede stasjoner. Hvis du vil bruke et passord, kan du angi krav til passordkompleksitet og minimumspassordlengde. Det er verdt å vurdere at for å stille krav til kompleksitet, må du angi kravet til passordkompleksitet i delen Passordpolicyer i gruppepolicy.

Hvis denne regelen er definert, kan brukere konfigurere passord som oppfyller de valgte kravene.

Passordet må være minst 8 tegn langt (standard).

Velg hvordan BitLocker-beskyttede faste stasjoner kan gjenopprettes

Denne regelen lar deg kontrollere gjenopprettingen av krypterte disker.

Hvis denne regelen ikke er konfigurert eller blokkert, er standard gjenopprettingsalternativer tilgjengelige.

Driftssystemstasjoner

Denne delen beskriver gruppepolicyreglene som gjelder for operativsystempartisjoner (vanligvis C:-stasjonen).

Krev ekstra autentisering ved oppstart

Denne gruppepolicyregelen lar deg avgjøre om du bruker en Trusted Platform Module (TMP) for autentisering.

Merk følgende! Det er verdt å vurdere at bare ett av alternativene kan spesifiseres ved oppstart, ellers vil du få en policyfeil.

Når den er aktivert, vil brukere kunne konfigurere avanserte oppstartsalternativer i BitLocker Setup Wizard

Hvis policyen er deaktivert eller ikke konfigurert, kan grunnleggende alternativer bare konfigureres på datamaskiner som kjører TPM.

Merk følgende! Hvis du vil bruke en PIN-kode og en USB-stasjon, må du konfigurere BitLocker ved å bruke bde-kommandolinjen i stedet for BitLocker Drive Encryption-veiviseren.

Krev ekstra autentisering ved oppstart (Windows Server 2008 og Windows Vista)

Denne policyen gjelder bare for datamaskiner som kjører Windows 2008 eller Windows Vista.

På datamaskiner utstyrt med TPM kan du angi en ekstra sikkerhetsparameter - en PIN-kode (fra 4 til 20 sifre).

På datamaskiner som ikke er utstyrt med TRM, vil en USB-disk med nøkkelinformasjon brukes.

Hvis dette alternativet er aktivert, vil veiviseren vise et vindu der brukeren kan konfigurere flere BitLocker-oppstartsalternativer.

Hvis dette alternativet er deaktivert eller ikke konfigurert, vil installasjonsveiviseren vise de grunnleggende trinnene for å kjøre BitLocker på datamaskiner med TPM.

Konfigurer minimum PIN-lengde for oppstart

Denne parameteren lar deg konfigurere minimumslengden på PIN-koden for å starte datamaskinen.

PIN-koden kan være fra 4 til 20 sifre.

Velg hvordan BitLocker-beskyttede OS-stasjoner kan gjenopprettes

Denne gruppepolicyregelen lar deg bestemme hvordan BitLocker-krypterte stasjoner gjenopprettes hvis krypteringsnøkkelen mangler.

Konfigurer TPM-plattformvalideringsprofil

Ved å bruke denne regelen kan du konfigurere TPM-modellen. Hvis det ikke finnes en tilsvarende modul, gjelder ikke denne regelen.

Hvis du aktiverer denne regelen, kan du konfigurere hvilke bootstrap-komponenter som skal sjekkes av TPM før du gir tilgang til den krypterte stasjonen.

Flyttbare medier

Kontroller bruken av BitLocker på flyttbare stasjoner

Denne gruppepolicyregelen lar deg kontrollere BitLocker-kryptering på flyttbare stasjoner.

Du kan velge hvilke innstillinger brukere kan bruke til å konfigurere BitLocker.

Nærmere bestemt, for å la veiviseren for oppsett av BitLocker-kryptering kjøre på en flyttbar stasjon, må du velge "Tillat brukere å bruke BitLocker-beskyttelse på flyttbare datastasjoner."

Hvis du velger "Tillat brukere å suspendere og dekryptere BitLocker på flyttbare datastasjoner", vil brukeren kunne dekryptere den flyttbare stasjonen eller sette kryptering på pause.

Hvis denne regelen ikke er konfigurert, kan brukere bruke BitLocker på flyttbare medier.

Hvis denne regelen er deaktivert, vil ikke brukere kunne bruke BitLocker på flyttbare stasjoner.

Konfigurer bruk av smartkort på flyttbare datastasjoner

Denne policyinnstillingen lar deg bestemme om smartkort kan brukes til å autentisere en bruker og få tilgang til flyttbare stasjoner på en gitt PC.

Nekt skrivetilgang til flyttbare stasjoner som ikke er beskyttet BitLocker

Med denne policyregelen kan du forhindre skriving til flyttbare stasjoner som ikke er beskyttet av BitLocker. I dette tilfellet vil alle flyttbare stasjoner som ikke er beskyttet av BitLocker være skrivebeskyttet.

Hvis alternativet "Nekt skrivetilgang til enheter konfigurert i en annen organisasjon" er valgt, vil skriving kun være tilgjengelig på flyttbare disker som tilhører organisasjonen din. Kontrollen utføres mot to identifikasjonsfelt definert i henhold til gruppepolicyregelen "Oppgi de unike identifikatorene for organisasjonen din."

Hvis du deaktiverer denne regelen eller den ikke er konfigurert, vil alle flyttbare disker være både lese- og skrivetilgjengelige.

Merk følgende! Denne regelen kan overstyres av policyinnstillingene for User ConfigurationAdministrative TemplatesSystemRemovable Storage Access. Hvis regelen "Flyttbare disker: Nekt skrivetilgang" er aktivert, vil denne regelen bli ignorert.

Tillat tilgang til BitLocker-beskyttede flyttbare datastasjoner fra tidligere versjoner av Windows

Denne regelen avgjør om flyttbare stasjoner formatert som FAT kan låses opp og vises på datamaskiner som kjører Windows 2008, Windows Vista, Windows XP SP3 og Windows XP SP2.

Hvis denne regelen er aktivert eller ikke konfigurert, kan flyttbare stasjoner med FAT-filsystemet låses opp og vises på datamaskiner som kjører Windows 2008, Windows Vista, Windows XP SP3 og Windows XP SP2. I dette tilfellet vil disse diskene være skrivebeskyttet.

Hvis denne regelen er blokkert, kan de tilsvarende flyttbare diskene ikke låses opp og vises på datamaskiner som kjører Windows 2008, Windows Vista, Windows XP SP3 og Windows XP SP2.

Denne regelen gjelder ikke for stasjoner som er formatert med NTFS.

Konfigurer krav til passordkompleksitet og minimumslengde

Denne policyregelen bestemmer om flyttbare stasjoner som er låst med BitLocker, må låses opp med et passord. Hvis du tillater bruk av et passord, kan du angi krav til passordkompleksitet og en minimumspassordlengde. Det er verdt å tenke på at i dette tilfellet må kompleksitetskravene sammenfalle med kravene i passordpolicyen Datamaskinkonfigurasjonvinduer Innstillinger SikkerhetsinnstillingerKontopolitikkPassordpolicy

Velg hvordan BitLocker-beskyttede flyttbare stasjoner kan gjenopprettes

Denne regelen lar deg velge hvordan BitLocker-beskyttede flyttbare stasjoner gjenopprettes.

La oss imidlertid fortsette å kryptere harddisken. Siden du allerede har sett at endringer i gruppepolicy vil tillate deg å bruke BitLocker-krypteringsfunksjonene mye mer, la oss gå videre til å redigere gruppepolicy. For å gjøre dette vil vi formulere målene og betingelsene for bruk av krypteringen vår.

1. Datamaskinen som testes har TRM-modulen installert

2. Vi krypterer:

• systemdisk
• datadisk
• flyttbare medier, både NTFS og FAT.

Dessuten må vi sjekke om våre flyttbare medier formatert under FAT vil være tilgjengelig på en datamaskin som kjører både Windows XP SP2 og Windows Vista SP1.

La oss gå videre til krypteringsprosessen.

Til å begynne med, i BitLocker-gruppepolicyene, velg krypteringsalgoritmen og nøkkellengden (fig. 8)

Ris. 8. Velge en krypteringsalgoritme og nøkkellengde

Velg deretter regelen Krev ekstra autentisering ved oppstart i delen Operasjonssystemstasjon (fig. 9)

Ris. 9. Regel "Krev ytterligere autentisering ved oppstart"

Etter dette setter vi minimum PIN-lengde til 6 tegn ved å bruke regelen Konfigurer minimum PIN-kode for oppstart.

For å kryptere datadelen vil vi stille krav til kompleksitet og en minimumspassordlengde på 8 tegn (Figur 10).

Ris. 10. Stille krav til minimum passordlengde og kompleksitet

Det er nødvendig å huske at du må stille krav til passordbeskyttelse (Figur 11).

Ris. 11. Krav til passordbeskyttelse

For flyttbare disker, velg følgende innstillinger:

• Ikke tillat lesing av flyttbare disker med FAT-filsystemet under lavere versjoner av Windows;
• Passord må oppfylle kravene til kompleksitet;
• Minste passordlengde er 8 tegn.

Etter dette bruker du kommandoen gpupdate.exe /force i kommandolinjevinduet for å oppdatere policyen (Figur 12).

Ris. 12. Oppdater gruppepolicyinnstillinger

Siden vi bestemte oss for å bruke en PIN-kode ved hver omstart, velger vi (fig. 13) Krev en PIN-kode ved hver oppstart.

Ris. 13. Skriv inn PIN-koden hver gang du starter opp

Ris. 14. Tast inn PIN-kode

Skriv inn en PIN-kode på 4 tegn (fig. 15)

Ris. 15. PIN-koden oppfyller ikke kravene til minimumslengde

Minimumslengden på PIN-koden som er spesifisert i policyen er 6 sifre; etter å ha tastet inn den nye PIN-koden mottar vi en invitasjon om å lagre nøkkelen på en USB-stasjon og som en tekstfil.

Ris. 16. Lagre en sikkerhetskopikrypteringsnøkkel

Etter dette starter vi systemet på nytt, og selve prosessen med å kryptere C:-stasjonen begynner.

Etter dette krypterer du og jeg den andre partisjonen på harddisken vår - stasjon D: (fig. 17)

Ris. 17. Kryptering av stasjon D:

Før du krypterer stasjon D: vi må angi et passord for denne stasjonen. I dette tilfellet må passordet oppfylle våre minimumskrav for passordlengde og passordkompleksitet. Det er verdt å vurdere at det er mulig å åpne denne disken automatisk på denne PC-en.

Følgelig vil vi på samme måte lagre gjenopprettingspassordet til en USB-stasjon.

Det er verdt å tenke på at når du lagrer passordet ditt for første gang, blir det også lagret i en tekstfil på samme USB-stasjon!

Det er nødvendig å huske på at når du krypterer en datapartisjon på 120 GB (hvorav 100 er gratis), viser Windows Utforsker alltid en melding om mangel på plass på partisjonen (fig. 18).

Ris. 18. Windows Utforsker-vindu

La oss prøve å kryptere en USB-stasjon formatert med FAT-filsystemet.

Kryptering av en USB-stasjon begynner med at vi blir bedt om å angi et passord for den fremtidige krypterte stasjonen. I henhold til visse retningslinjer er minimum passordlengde 8 tegn. I dette tilfellet må passordet oppfylle kompleksitetskravene (fig. 19)

Ris. 19. Angi et passord for å kryptere en flyttbar USB-stasjon

Etter at krypteringen var fullført, prøvde jeg å se denne USB-stasjonen på en annen datamaskin som kjører Windows Vista Home Premium SP1. Resultatet er vist i fig. 21.

Ris. 21. Prøver å lese en kryptert USB-stasjon på en datamaskin som kjører Windows Vista SP1

Som du kan se, hvis disken din går tapt, vil informasjonen ikke bli lest; dessuten vil mest sannsynlig disken ganske enkelt bli formatert.

Når du prøver å koble den samme USB-stasjonen til en datamaskin som kjører Windows 7 Beta1, vil du se følgende (fig. 22).

Konklusjon

Dermed har vi sett hvordan kryptering vil bli utført i Windows 7. Hva kan vi si - sammenlignet med Windows Vista har det mange flere regler i gruppepolicyer, og følgelig ansvaret til IT-personalet for riktig applikasjon og riktig konstruksjon av sammenhengende relasjoner øker.

Slik sletter du systemgjenopprettingspunkter i Windows 7

BitLocker - nye funksjoner for diskkryptering

Tap av konfidensielle data skjer ofte etter at en angriper har fått tilgang til informasjon på harddisken. For eksempel, hvis en svindler på en eller annen måte fikk muligheten til å lese systemfiler, kan han prøve å bruke dem til å finne brukerpassord, trekke ut personlig informasjon osv.

Windows 7 inkluderer et verktøy som heter BitLocker, som lar deg kryptere hele stasjonen, og holder dataene på den beskyttet mot nysgjerrige øyne. BitLocker-krypteringsteknologi ble introdusert i Windows Vista og har blitt videreutviklet i det nye operativsystemet. La oss liste opp de mest interessante innovasjonene:

• aktivere BitLocker fra Explorer-kontekstmenyen;
• automatisk opprettelse av en skjult oppstartsdiskpartisjon;
• Data Recovery Agent (DRA) støtte for alle beskyttede volumer.

La oss minne deg på at dette verktøyet ikke er implementert i alle utgaver av Windows, men bare i versjonene "Avansert", "Bedrift" og "Professionell".

Diskbeskyttelse ved hjelp av BitLocker-teknologi vil bevare konfidensielle brukerdata under nesten alle force majeure-omstendigheter - i tilfelle tap av flyttbare medier, tyveri, uautorisert tilgang til disken, etc. BitLocker datakrypteringsteknologi kan brukes på alle filer på systemstasjonen, så vel som på alle ekstra tilkoblede medier. Hvis dataene på en kryptert disk kopieres til et annet medium, vil informasjonen bli overført uten kryptering.

For å gi større sikkerhet kan BitLocker bruke flernivåkryptering – samtidig bruk av flere typer beskyttelse, inkludert maskinvare- og programvaremetoder. Kombinasjoner av databeskyttelsesmetoder lar deg få flere forskjellige driftsmoduser for BitLocker-krypteringssystemet. Hver av dem har sine egne fordeler og gir også sitt eget sikkerhetsnivå:

• modus ved hjelp av en pålitelig plattformmodul;
• modus ved hjelp av en pålitelig plattformmodul og en USB-enhet;
• modus ved hjelp av en pålitelig plattformmodul og personlig identifikasjonsnummer (PIN);
• modus ved hjelp av en USB-enhet som inneholder en nøkkel.

Før vi ser nærmere på hvordan BitLocker brukes, er det nødvendig med noen avklaringer. Først av alt er det viktig å forstå terminologien. En Trusted Platform Module er en spesiell kryptografisk brikke som tillater identifikasjon. En slik brikke kan for eksempel integreres i enkelte modeller av bærbare datamaskiner, stasjonære PC-er, ulike mobile enheter, etc.

Denne brikken lagrer en unik "root access key". En slik "sydd" brikke er en annen pålitelig beskyttelse mot hacking av krypteringsnøkler. Hvis disse dataene ble lagret på et annet medium, det være seg en harddisk eller et minnekort, ville risikoen for tap av informasjon vært uforholdsmessig høyere, siden disse enhetene er lettere tilgjengelige. Ved å bruke "rottilgangsnøkkelen" kan brikken generere sine egne krypteringsnøkler, som kun kan dekrypteres av TPM. Eierpassordet opprettes første gang TPM initialiseres. Windows 7 støtter TPM versjon 1.2 og krever også en kompatibel BIOS.

Når beskyttelse utføres utelukkende ved hjelp av en klarert plattformmodul, når datamaskinen er slått på, samles data inn på maskinvarenivå, inkludert BIOS-data, så vel som andre data, hvis helhet indikerer ektheten til maskinvaren. Denne driftsmodusen kalles "gjennomsiktig" og krever ingen handling fra brukeren - en sjekk skjer, og hvis den lykkes, utføres nedlastingen i normal modus.

Det er merkelig at datamaskiner som inneholder en pålitelig plattformmodul fortsatt bare er en teori for våre brukere, siden import og salg av slike enheter i Russland og Ukraina er forbudt ved lov på grunn av problemer med sertifisering. Dermed er det eneste alternativet som fortsatt er relevant for oss å beskytte systemstasjonen ved hjelp av en USB-stasjon som tilgangsnøkkelen er skrevet på.

BitLocker-teknologi lar deg bruke en krypteringsalgoritme på datastasjoner som bruker filsystemene exFAT, FAT16, FAT32 eller NTFS. Hvis kryptering brukes på en disk med et operativsystem, må dataene på denne disken skrives i NTFS-format for å kunne bruke BitLocker-teknologi. Krypteringsmetoden som BitLocker-teknologien bruker er basert på den sterke AES-algoritmen med en 128-bits nøkkel.

En av forskjellene mellom Bitlocker-funksjonen i Windows 7 og et lignende verktøy i Windows Vista er at det nye operativsystemet ikke krever spesiell diskpartisjonering. Tidligere måtte brukeren bruke Microsoft BitLocker Disk Preparation Tool for å gjøre dette, men nå er det nok å spesifisere hvilken disk som skal beskyttes, og systemet vil automatisk opprette en skjult oppstartspartisjon på disken som brukes av Bitlocker. Denne oppstartspartisjonen vil bli brukt til å starte datamaskinen, den er lagret i ukryptert form (ellers ville oppstart ikke vært mulig), men partisjonen med operativsystemet vil være kryptert. Sammenlignet med Windows Vista tar oppstartspartisjonen omtrent ti ganger mindre diskplass. Tilleggspartisjonen er ikke tildelt en egen bokstav, og den vises ikke i listen over partisjoner i filbehandlingen.

For å administrere kryptering er det praktisk å bruke et verktøy i kontrollpanelet kalt BitLocker Drive Encryption. Dette verktøyet er en diskbehandler som lar deg raskt kryptere og låse opp disker, samt jobbe med TPM. Fra dette vinduet kan du stoppe eller stoppe BitLocker-kryptering når som helst.

⇡ BitLocker To Go - kryptering av eksterne enheter

Et nytt verktøy har dukket opp i Windows 7 - BitLocker To Go, designet for å kryptere eventuelle flyttbare stasjoner - USB-stasjoner, minnekort osv. For å aktivere kryptering av en flyttbar stasjon, må du åpne "Utforsker", høyreklikk på ønsket stasjon og I kontekstmenyen velger du kommandoen "Slå på BitLocker".

Etter dette vil krypteringsveiviseren for den valgte disken startes.

Brukeren kan velge en av to metoder for å låse opp en kryptert stasjon: ved å bruke et passord - i dette tilfellet må brukeren angi en kombinasjon av et sett med tegn, og også bruke et smartkort - i dette tilfellet trenger de for å angi en spesiell PIN-kode for smartkortet. Hele diskkrypteringsprosedyren tar ganske mye tid - fra flere minutter til en halv time, avhengig av volumet på den krypterte stasjonen, så vel som hastigheten på driften.

Hvis du kobler til en kryptert flyttbar stasjon, vil det være umulig å få tilgang til stasjonene på vanlig måte, og når du prøver å få tilgang til stasjonen, vil brukeren se følgende melding:

I Utforsker vil også ikonet for disken som krypteringssystemet brukes på, endres.

For å låse opp mediet, må du igjen høyreklikke på mediebokstaven i kontekstmenyen til filbehandlingen og velge riktig kommando i kontekstmenyen. Etter at passordet er skrevet inn riktig i det nye vinduet, åpnes tilgang til innholdet på disken, og du kan deretter jobbe med det, som med ukrypterte medier.

Start krypteringsverktøyet på Windows ved å søke etter "BitLocker" og velge "Administrer BitLocker". I det neste vinduet kan du aktivere kryptering ved å klikke på "Aktiver BitLocker" ved siden av harddisken (hvis en feilmelding vises, les avsnittet "Bruke BitLocker uten TPM").

Du kan nå velge om du vil bruke en USB-flash-stasjon eller et passord når du låser opp en kryptert stasjon. Uavhengig av alternativet du velger, må du lagre eller skrive ut gjenopprettingsnøkkelen under oppsettprosessen. Du trenger det hvis du glemmer passordet ditt eller mister flash-stasjonen.

Bruker BitLocker uten TPM

Setter opp BitLocker.
BitLocker fungerer også uten en TPM-brikke - selv om dette krever noe konfigurasjon i Local Group Policy Editor.

Hvis datamaskinen din ikke har en TPM-brikke (Trusted Platform Module), kan det hende du må gjøre noen justeringer for å aktivere BitLocker. I Windows-søkefeltet skriver du "Rediger gruppepolicy" og åpner delen "Local Group Policy Editor". Åpne nå i venstre kolonne i editoren "Computer Configuration | Administrative maler | Windows-komponenter | BitLocker Drive Encryption | Operativsystemdisker", og i høyre kolonne, sjekk oppføringen "Påkrevd ekstra autentisering ved oppstart".

Klikk deretter på koblingen "Rediger policyinnstilling" i den midterste kolonnen. Merk av i boksen ved siden av "Aktiver" og merk av i boksen ved siden av "Tillat BitLocker uten en kompatibel TPM" nedenfor. Etter å ha klikket på "Bruk" og "OK", kan du bruke BitLocker som beskrevet ovenfor.

Et alternativ i form av VeraCrypt

For å kryptere systempartisjonen eller hele harddisken ved å bruke TrueCrypts etterfølger, VeraCrypt, velg "Create Volume" fra VeraCrypt hovedmenyen, og velg deretter "Krypter systempartisjonen eller hele systemstasjonen." For å kryptere hele harddisken sammen med Windows-partisjonen, velg "Krypter hele stasjonen", og følg deretter trinn-for-trinn-instruksjonene. Merk: VeraCrypt oppretter en redningsdisk i tilfelle du glemmer passordet ditt. Så du trenger en tom CD.

Når du har kryptert stasjonen din, må du spesifisere PIM (Personal Iterations Multiplier) etter passordet når du starter opp. Hvis du ikke installerte PIM under oppsettet, trykker du bare på Enter.

Kryptering legger til enda et lag med sikkerhet ved å sikre at filen bare kan leses av den som har opprettet den. Hvis en annen bruker - selv en med administratorrettigheter - prøver å åpne en slik fil, vil han se enten et meningsløst sett med tegn eller ingenting i det hele tatt. Dine krypterte data kan med andre ord ikke leses med mindre du er logget inn på systemet under din egen konto.

Kryptering av filer og mapper i Windows 7 er en praktisk måte å beskytte sensitive data på, men lagring av krypterte og ukrypterte data på samme stasjon kan føre til uforutsigbare resultater, som diskutert i delen Filkryptering. Eiere av Windows 7 Ultimate og Enterprise-versjoner kan imidlertid løse dette problemet ved å dra nytte av BitLocker Drive Encryption-verktøyet.

Bit Locker legger alle dataene på en disk i ett stort arkiv og behandler det som en virtuell harddisk. I Windows Utforsker behandler du BitLocker-krypterte filer som alle andre data – Windows utfører krypteringen og dekrypteringen stille i bakgrunnen. Den store fordelen med BitLocker er at den krypterer Windows-filer og alle systemfiler, noe som gjør det mye vanskeligere for noen å hacke passordet ditt og få uautorisert tilgang til systemet. I tillegg, når hele stasjonen er kryptert, er det ikke nødvendig å kryptere individuelle filer.

For å kryptere stasjonen, åpne BitLocker Drive Encryption-siden i Kontrollpanel. Hvis du ser en feil med TPM ble ikke funnet, sjekk om datamaskinen din har en BIOS-oppdatering som støtter TPM.

TPM, Trusted Platform Module, er en brikke på hovedkortet som lagrer BitLocker-krypteringsnøkkelen Takket være den kan datamaskinen starte opp fra en kryptert stasjon. Hvis BIOS ikke støtter TPM, kan en vanlig USB-stasjon brukes som en slik brikke.

Du merker kun filen som ment for kryptering. Windows krypterer og dekrypterer filer i bakgrunnen mens filens skaper henholdsvis skriver eller viser den. Riktignok i Windows 7 kan kryptering underveis noen ganger skape overraskelser, og sikkerhet er ikke et område hvor du kan stole på tilfeldigheter.

Filkryptering

Kryptering er en funksjon i NTFS-filsystemet (diskutert i delen "Velg riktig filsystem") som ikke er tilgjengelig i andre filsystemer. Dette betyr at hvis du kopierer en kryptert fil til for eksempel et minnekort, USB-stasjon eller CD, vil det være umulig å dekryptere den fordi NTFS-filsystemet ikke støttes på disse enhetene.

Slik krypterer du en fil:

1. Høyreklikk en eller flere filer i Utforsker og velg Egenskaper fra hurtigmenyen.
2. Klikk på Avansert i kategorien Generelt.
3. Merk av for Krypter innhold for å sikre data, klikk OK, og lukk deretter vinduet ved å klikke OK igjen.