Je možné hacknout Bitlocker? II. Šifrujte data na disku pomocí nástroje BitLocker. Jak moc se výkon zpomalí, když je v počítači povolen nástroj BitLocker

Tento článek, určený pro IT profesionály, poskytuje odpovědi na často kladené otázky týkající se použití, upgradu, nasazení a požadavků na správu a zásad správy klíčů pro BitLocker.

BitLocker je součást ochrany dat, která umožňuje šifrovat pevné disky v počítači. Snižuje se tak pravděpodobnost odcizení dat a také neoprávněný přístup k nim v případě krádeže nebo ztráty počítačů a vyměnitelných médií. Tato součást navíc poskytuje spolehlivější mazání dat při vyřazování z provozu počítačů chráněných nástrojem BitLocker, protože obnovení smazaných dat na šifrovaném disku je mnohem obtížnější než na nešifrovaném disku.

Obecné informace a požadavky

Aktualizace

Správa klíčů

• Bezpečnost

  Další otázky

Obecné informace a požadavky

Jak BitLocker funguje?

Jak BitLocker pracuje s jednotkami operačního systému

BitLocker sníží riziko neoprávněného přístupu k datům na ztracených nebo odcizených počítačích šifrováním všech uživatelských a systémových souborů na jednotce operačního systému, včetně odkládacích souborů a souborů hibernace, a ověřováním integrity komponent pro předčasné spouštění a konfiguračních dat spouštění.

Jak BitLocker funguje s vestavěnými jednotkami a vyměnitelnými médii

Pomocí nástroje BitLocker můžete zašifrovat celý datový disk. Pomocí zásad skupiny můžete určit, že před zápisem dat na jednotku musí být povolen nástroj BitLocker. BitLocker lze nakonfigurovat s různými metodami odemykání datových jednotek a datové jednotky podporují více metod odemykání.

Podporuje BitLocker vícefaktorové ověřování?

Ano, BitLocker podporuje vícefaktorové ověřování pro disky operačního systému. Pokud povolíte nástroj BitLocker v počítači s modulem Trusted Platform Module (TPM) verze 1.2 nebo novější, budou k dispozici další možnosti ověřování.

Jaké jsou hardwarové a softwarové požadavky nástroje BitLocker?

Poznámka

BitLocker nepodporuje dynamické disky. Dynamické objemy dat se na ovládacím panelu nezobrazí. Svazek operačního systému se vždy zobrazí v Ovládacích panelech bez ohledu na to, zda se jedná o dynamický disk nebo ne. Pokud je však dynamický, nelze jej chránit pomocí nástroje BitLocker.

Proč jsou dvě sekce? Proč musí být systémový disk tak velký?

Aby nástroj BitLocker fungoval, jsou nutné dva oddíly, protože ověřování před spuštěním a kontroly integrity systému musí být prováděny na oddílu, který není přidružen k šifrované jednotce operačního systému. Tato konfigurace pomáhá chránit operační systém a data na šifrovaném disku.

Jaké moduly Trusted Platform Modules (TPM) podporuje BitLocker?

BitLocker podporuje modul platformy verze 1.2 nebo novější.

Jak zjistím, zda je v počítači nainstalován modul Trusted Platform Module (TPM)?

Otevřete konzolu pro správu TPM (tpm.msc) a vyhledejte TPM pod Stát.

Mohu použít BitLocker na jednotce s operačním systémem bez TPM?

Ano, můžete povolit BitLocker na jednotce s jiným operačním systémem než TPM 1.2 nebo novější, pokud firmware BIOS nebo UEFI podporuje čtení z USB flash disku ve spouštěcím prostředí. Je to možné, protože nástroj BitLocker neodemkne chráněnou jednotku, dokud nezískáte hlavní klíč svazku nástroje BitLocker z modulu TPM v počítači nebo z jednotky USB flash, která obsahuje spouštěcí klíč nástroje BitLocker pro daný počítač. Počítače bez čipu TPM však nebudou moci provádět kontroly integrity systému, které umožňuje nástroj BitLocker.

Chcete-li zjistit, zda váš počítač může při spouštění číst data ze zařízení USB, použijte možnost zkontrolovat systém pomocí nástroje BitLocker během instalace nástroje BitLocker. Tato kontrola spouští testy, aby bylo zajištěno, že zařízení USB lze číst ve správný čas a že počítač splňuje další požadavky nástroje BitLocker.

Jak povolím podporu TPM v systému BIOS na počítači?

Ověřte si u výrobce počítače firmware BIOS nebo UEFI, který splňuje standardy TCG a následující požadavky:

dodržování standardů TCG pro klientský počítač;

bezpečný aktualizační mechanismus, který zabraňuje instalaci škodlivého firmwaru BIOS nebo bootwaru do počítače.

Jaké přihlašovací údaje jsou vyžadovány k používání nástroje BitLocker?

Chcete-li nástroj BitLocker zapnout nebo vypnout nebo změnit jeho nastavení na jednotkách operačního systému a pevných datových jednotkách, musíte být členem místní skupiny Správci. Běžní uživatelé mohou BitLocker zapnout nebo vypnout nebo změnit jeho konfiguraci na vyměnitelných datových jednotkách.

Jaké pořadí spouštění se doporučuje pro počítače, které by měly být chráněny nástrojem BitLocker?

Je nutné nakonfigurovat nastavení spouštění počítače tak, aby byl pevný disk v pořadí spouštění na prvním místě před všemi ostatními jednotkami, jako jsou disky CD, DVD nebo USB. Pokud pevný disk není uveden jako první, ale normálně z pevného disku zavádíte systém, může systém zjistit nebo předpokládat změnu pořadí zavádění, když je během zavádění detekováno vyměnitelné médium. Pořadí spouštění obvykle ovlivňuje systémové metriky, které BitLocker kontroluje. Změna tohoto pořadí způsobí, že budete vyzváni k zadání klíče pro obnovení nástroje BitLocker. Ze stejného důvodu, pokud máte notebook s dokovací stanicí, ujistěte se, že pevný disk je první v pořadí spouštění při dokování i odpojování.

Aktualizace

Mohu upgradovat operační systém v počítači se systémem Windows 7 nebo Windows 8 na systém Windows 10, pokud je povoleno šifrování BitLocker?

Ano. Na ovládacím panelu najděte položku BitLocker Drive Encryption, vyberte příkaz Správa BitLocker a pak příkaz Pozastavit. Pokud je ochrana pozastavena, disk není dešifrován. Tím zakážete ověřovací mechanismy, které BitLocker používá, a pro přístup k jednotce použije nezabezpečený klíč. Po dokončení aktualizace otevřete Průzkumníka souborů, klikněte pravým tlačítkem na jednotku a vyberte příkaz Obnovit ochranu. Metody ověřování BitLocker se znovu použijí a nezabezpečený klíč bude smazán.

Jaký je rozdíl mezi pozastavením nástroje BitLocker a dešifrováním jednotky chráněným nástrojem BitLocker?

tým rozluštit zcela přepíše ochranu BitLocker a dešifruje celý disk.

tým Pozastavit ponechá data zašifrovaná, ale zašifruje hlavní klíč svazku BitLocker pomocí nechráněného klíče. Nezabezpečený klíč je kryptografický klíč, který je uložen na disku bez šifrování nebo ochrany. Uložení tohoto klíče bez šifrování umožňuje příkaz Pozastavit provádějte změny a aktualizace v počítači, aniž byste plýtvali časem a prostředky na dešifrování a opětovné šifrování celého disku. Poté, co znovu povolíte BitLocker a provedete změny, tento program zapečetí šifrovací klíč pomocí nových hodnot komponent, které se změnily během upgradu, změní se hlavní klíč svazku, aktualizují se chrániče a nechráněný klíč se odstraní. .

Musím dešifrovat disk chráněný nástrojem BitLocker, abych mohl stáhnout a nainstalovat aktualizace systému?

Níže uvedená tabulka uvádí kroky, které je třeba provést před aktualizací operačního systému nebo instalací aktualizací.

Poznámka

Pozastavenou ochranu BitLockerem lze obnovit po instalaci aktualizace. Po obnovení ochrany BitLocker zapečetí šifrovací klíč pomocí nových metrik funkcí, které se během aktualizace změnily. Pokud jsou tyto aktualizace nainstalovány bez pozastavení nástroje BitLocker, počítač po restartu přejde do režimu obnovení a pro přístup k němu vyžaduje klíč nebo heslo pro obnovení.

Nasazení a správa

Může být nasazení BitLockeru v podnikovém prostředí automatizováno?

Ano, nasazení a konfiguraci BitLocker a TPM lze automatizovat pomocí skriptů WMI nebo Windows PowerShell. Způsob implementace skriptů závisí na prostředí. BitLocker můžete nakonfigurovat lokálně nebo vzdáleně pomocí Manage-bde.exe. Další informace o psaní skriptů, které používají poskytovatele WMI BitLocker, najdete v článku Poskytovatel šifrování jednotek BitLocker. Další informace o používání rutin prostředí Windows PowerShell s nástrojem BitLocker Drive Encryption naleznete v tomto článku.

Může nástroj BitLocker šifrovat jiné jednotky než jednotku operačního systému?

Jak moc se sníží výkon, když je v počítači povolen nástroj BitLocker?

Obvykle je snížení výkonu až deset procent.

Jak dlouho trvá počáteční šifrování po povolení nástroje BitLocker?

Přestože šifrování BitLocker běží na pozadí, zatímco vy pokračujete v práci a systém zůstává dostupný, doba šifrování se liší podle typu jednotky, velikosti a rychlosti. Šifrování velmi velkých disků se doporučuje naplánovat, když se nepoužívají.

Když povolíte BitLocker, můžete si také vybrat, zda chcete šifrovat celý disk, nebo jen použité místo. Na novém pevném disku je šifrování pouze využívaného prostoru mnohem rychlejší než šifrování celého disku. Po výběru této možnosti šifrování BitLocker automaticky zašifruje data v době, kdy jsou uložena. Tato metoda zajišťuje, že žádná data nebudou uložena bez šifrování.

Co se stane, když během šifrování nebo dešifrování vypnete počítač?

Pokud se počítač vypne nebo přejde do režimu hibernace, při příštím spuštění systému Windows se proces šifrování a dešifrování nástrojem BitLocker obnoví od místa, kde skončil. Totéž se děje v případě výpadku proudu.

Šifruje BitLocker a dešifruje celý disk při čtení a zápisu dat?

Ne, BitLocker nešifruje a nedešifruje celý disk, když čte a zapisuje data. Sektory zašifrované na jednotce chráněné nástrojem BitLocker se dešifrují pouze na žádost systémového čtení. Bloky zapsané na disk jsou zašifrovány předtím, než je systém zapíše na fyzický disk. Na disku chráněném nástrojem BitLocker nezůstanou data nikdy nezašifrovaná.

Jak zabránit uživatelům v síti v ukládání dat na nezašifrovaný disk?

Nastavení zásad skupiny můžete nakonfigurovat tak, aby nebylo možné zapisovat data na jednotky v počítači chráněném nástrojem BitLocker, aniž byste pro tyto jednotky nejprve povolili ochranu nástrojem BitLocker. .

Pokud jsou povolena příslušná nastavení zásad, operační systém chráněný nástrojem BitLocker připojí datové jednotky nechráněné nástrojem BitLocker v režimu pouze pro čtení.

Jaké systémové změny vedou k chybě při kontrole integrity disku s operačním systémem?

Chyby kontroly integrity mohou způsobit následující typy systémových změn. V tomto scénáři modul TPM neposkytuje klíč BitLocker k dešifrování chráněné jednotky operačního systému.

Přesunutí disku chráněného nástrojem BitLocker do nového počítače.

Instalace nové základní desky s novým TPM.

Vypněte, deaktivujte nebo vymažte TPM.

Změňte všechny možnosti konfigurace spouštění.

Úprava firmwaru BIOS nebo UEFI, hlavního spouštěcího záznamu (MBR), spouštěcího sektoru, správce spouštění, volitelné paměti ROM nebo jiných komponent pro včasné spouštění nebo konfiguračních dat spouštění.

Kdy se BitLocker spustí v režimu obnovení při pokusu o spuštění jednotky operačního systému?

Protože je BitLocker navržen tak, aby chránil váš počítač před více útoky, existuje mnoho důvodů, proč se BitLocker může spustit v režimu obnovení. V BitLockeru spočívá obnova v dešifrování kopie hlavního klíče svazku pomocí obnovovacího klíče uloženého na USB disku nebo kryptografického klíče získaného pomocí hesla pro obnovení. TPM se neúčastní žádného scénáře obnovy. To znamená, že obnova je možná i v případě, že dojde k chybě při ověřování zaváděcích komponent pomocí tohoto modulu, stejně jako v případě, že selže nebo je odstraněn.

Mohu změnit pevné disky v počítači, pokud je pro jeho jednotku operačního systému povoleno šifrování BitLocker?

Ano, na stejném počítači s povoleným šifrováním BitLocker můžete vyměnit pevné disky za předpokladu, že mají ve stejném počítači povolenou ochranu BitLocker. Klíče BitLocker jsou jedinečné pro TPM a jednotku operačního systému. Chcete-li tedy připravit záložní disk operačního systému nebo datový disk pro případ selhání disku, ujistěte se, že používají stejný modul TPM. Můžete také nastavit různé pevné disky pro různé operační systémy a poté povolit BitLocker pro každý disk zadáním různých metod ověřování (například pouze TPM na jednom disku a TPM na základě kódu PIN na jiném disku), což nepovede k ke konfliktům.

Mohu získat přístup k pevnému disku chráněnému nástrojem BitLocker, pokud jej nainstaluji do jiného počítače?

Ano, pokud se jedná o datadisk, lze jej odemknout běžným způsobem výběrem položky BitLocker Drive Encryption na ovládacím panelu (pomocí hesla nebo čipové karty). Pokud je datový disk nastaven pouze na automatické odemykání, budete muset k odemknutí disku použít obnovovací klíč. Šifrovaný pevný disk lze odemknout pomocí agenta pro obnovu dat (je-li nakonfigurován) nebo obnovovacího klíče.

Proč není příkaz „Turn on BitLocker“ dostupný, když kliknu pravým tlačítkem na jednotku?

Některé disky nelze šifrovat pomocí nástroje BitLocker. To se děje z několika důvodů. Například velikost disku může být příliš malá, systém souborů může být nekompatibilní, disk může být dynamický nebo označený jako systémový oddíl. Ve výchozím nastavení se systémový disk (nebo systémový oddíl) nezobrazuje. Pokud však disk (nebo oddíl) nebyl během vlastní instalace operačního systému skryt, lze jej zobrazit, ale ne zašifrovat.

Jaké typy konfigurací jednotek podporuje nástroj BitLocker?

Ochrana BitLockerem je možná pro libovolný počet interních pevných disků. V některých verzích jsou podporovány disky ATA nebo SATA s přímým připojením.

Správa klíčů

Jaký je rozdíl mezi heslem vlastníka TPM, heslem pro obnovení, klíčem pro obnovení, heslem, kódem PIN, rozšířeným kódem PIN a spouštěcím klíčem?

BitLocker může vytvářet a používat různé klíče. Některé z nich je nutné použít, jiné lze použít jako doplňkové pojistky v závislosti na požadované úrovni bezpečnosti.

Kam uložit heslo pro obnovení a klíč pro obnovení?

Heslo pro obnovení nebo klíč pro obnovení pro jednotku operačního systému nebo pevný datový disk lze uložit do složky, na jedno nebo více zařízení USB, do účtu Microsoft nebo vytisknout.

Heslo pro obnovení a klíč pro obnovení pro vyměnitelné datové jednotky lze uložit do složky nebo účtu Microsoft nebo vytisknout. Ve výchozím nastavení nelze klíč pro obnovení vyměnitelných médií uložit na vyměnitelné médium.

Správce domény může nakonfigurovat volitelné zásady skupiny tak, aby automaticky generovaly hesla pro obnovení a ukládala je ve službě Active Directory Domain Services (AD DS) pro všechny disky chráněné nástrojem BitLocker.

Je možné přidat další metodu ověřování bez dešifrování jednotky, pokud je povolena pouze metoda ověřování TPM?

Pomocí nástroje příkazového řádku Manage-bde.exe můžete nahradit režim ověřování pouze pomocí TPM režimem vícefaktorového ověřování. Pokud je například BitLocker povolen pouze s ověřováním na základě TPM, pak chcete-li přidat ověřování PIN, zadejte následující příkazy z příkazového řádku se zvýšenými oprávněními a nahraďte <4-20 digit numeric PIN> na požadovaný číselný PIN kód:

manage-bde --protectors --delete %systemdrive% -type tpm

manage-bde --protectors --add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Mohu obnovit data chráněná nástrojem BitLocker v případě ztráty nástrojů pro obnovu?

BitLocker je navržen tak, aby šifrovaný disk nebylo možné obnovit bez povinného ověření. V režimu obnovení potřebuje uživatel heslo pro obnovení nebo klíč pro obnovení k odemknutí šifrovaného disku.

Důležité

Ukládejte data potřebná pro obnovu ve službě AD DS, na svém účtu Microsoft nebo na jiném důvěryhodném místě.

Mohu uložit klíč pro obnovení na stejnou jednotku USB flash jako spouštěcí klíč?

Uložení obou klíčů na stejný USB flash disk je technicky možné, ale nedoporučuje se. Pokud dojde ke ztrátě nebo odcizení jednotky USB flash se spouštěcím klíčem, dojde také ke ztrátě přístupu k obnovovacímu klíči. Po vložení takového klíče se navíc počítač automaticky spustí pomocí klíče pro obnovení, i když se soubory, jejichž indikátory jsou určeny modulem TPM, změnily, a kontrola integrity systému nebude provedena.

Mohu uložit spouštěcí klíč na více USB flash disků?

Ano, spouštěcí klíč počítače lze uložit na více USB flash disků. Klepněte pravým tlačítkem myši na jednotku chráněnou nástrojem BitLocker a vyberte příkaz Příkaz Správa BitLocker otevřete možnosti pro kopírování klíčů pro obnovení.

Mohu uložit více různých spouštěcích klíčů na stejnou jednotku USB flash?

Ano, spouštěcí klíče nástroje BitLocker pro různé počítače můžete uložit na stejnou jednotku USB flash.

Je možné vytvořit několik různých spouštěcích klíčů pro jeden počítač?

Pomocí skriptů můžete vygenerovat různé spouštěcí klíče pro stejný počítač. U počítačů s čipem TPM však vytvoření různých spouštěcích klíčů zabrání nástroji BitLocker v použití kontroly integrity systému, kterou čip TPM provádí.

Mohu vytvořit více kombinací PIN?

Nelze vytvořit více kombinací PIN.

Jaké šifrovací klíče používá BitLocker? Jak probíhá jejich spolupráce?

Nezpracovaná data jsou zašifrována úplným šifrovacím klíčem svazku, který je poté zašifrován hlavním klíčem svazku. Hlavní klíč svazku je zase zašifrován pomocí jedné z několika možných metod v závislosti na typu ověřování (pomocí ochrany klíčů nebo TPM) a scénářích obnovy.

Kde jsou uloženy šifrovací klíče?

Šifrovací klíč celého svazku je zašifrován pomocí hlavního klíče svazku a uložen na šifrovaném disku. Hlavní klíč svazku je zašifrován pomocí vhodné ochrany klíčů a uložen na šifrovaném disku. Pokud je ochrana BitLocker pozastavena, nechráněný klíč, který šifruje hlavní klíč svazku, je také uložen na šifrované jednotce spolu se zašifrovaným hlavním klíčem svazku.

Tento postup ukládání zajišťuje, že hlavní klíč svazku nebude nikdy uložen bez šifrování a bude vždy chráněn, pokud není deaktivováno šifrování BitLocker. Klíče jsou z důvodu redundance také uloženy na dvou dalších místech na disku. Správce stahování může číst a zpracovávat klíče.

Proč musím k zadání kódu PIN nebo 48místného hesla pro obnovení používat funkční klávesy?

Klávesy F1-F10 mají univerzální pollingové kódy dostupné v prostředí před spuštěním na všech počítačích pro všechny jazyky. Číselné klávesy 0 až 9 se nepoužívají v prostředí před spuštěním na všech klávesnicích.

Pokud je použit vylepšený kód PIN, uživatelům se doporučuje provést během nastavování nástroje BitLocker další kontrolu systému, aby bylo zajištěno, že v prostředí před spuštěním lze zadat správný kód PIN.

Jak nástroj BitLocker chrání kód PIN, který odemyká jednotku operačního systému před vetřelci?

Útočník se může naučit PIN kód během útoku hrubou silou. Útok hrubou silou se provádí pomocí automatizovaného nástroje, který kontroluje různé kombinace PIN, dokud není nalezen správný kód. U počítačů chráněných nástrojem BitLocker tento typ útoku, známý také jako slovníkový útok, vyžaduje, aby útočník měl fyzický přístup k počítači.

TPM má vestavěné schopnosti detekovat a čelit těmto útokům. Vzhledem k tomu, že čipy TPM od různých výrobců mají různá opatření proti prolomení kódu PIN, obraťte se na výrobce čipu TPM, abyste zjistili, jak čip TPM ve vašem počítači brání prolomení kódu PIN při útoku hrubou silou.

Jakmile určíte výrobce TPM, kontaktujte jej a získejte informace o TPM, které může poskytnout pouze výrobce TPM. Většina výrobců exponenciálně prodlužuje dobu uzamčení rozhraní pro zadávání PIN, když se zvyšuje počet chyb při zadávání PIN. Každý výrobce má ale svá pravidla pro vynulování nebo snížení počítadla chyb.

Jak zjistím výrobce svého TPM?

Výrobce TPM můžete určit v sekci Podrobnosti výrobce TPM na konzole pro správu TPM (tpm.msc).

Jak vyhodnotit protiopatření slovníkového útoku použitá v TPM?

Zeptejte se výrobce TPM na následující otázky, jak čelit slovníkovým útokům:

Jaký algoritmus se používá k určení doby trvání blokace s ohledem na počet neúspěšných pokusů o autorizaci a další významné parametry?

Jaké akce mohou vést k vynulování počítadla chyb, snížení jeho hodnot nebo trvání blokování?

Mohu změnit délku a složitost PIN pomocí zásad skupiny?

Ano i ne. Minimální délku kódu PIN můžete nastavit v nastavení zásad skupiny Toto nastavení zásad umožňuje nastavit minimální délku kódu PIN pro spuštění a povolit alfanumerické kódy PIN povolením nastavení Zásady skupiny Toto nastavení zásad umožňuje povolit použití rozšířených kódů PIN při spouštění počítače. V zásadách skupiny však není možné nastavit požadavky na složitost kódu PIN.

Další informace najdete v části Nastavení zásad skupiny BitLocker.

BitLocker To Go

BitLocker To Go umožňuje provádět šifrování jednotek BitLocker pro vyměnitelné datové jednotky. USB flash disky, SD karty, externí pevné disky a další disky se systémem souborů NTFS, FAT16, FAT32 nebo exFAT jsou šifrovány.

Active Directory Domain Services (AD DS)

Co se stane, když povolíte nástroj BitLocker v počítači před připojením k doméně?

Pokud je na disku povolen nástroj BitLocker před použitím zásad skupiny k vynucení zálohování, data pro obnovení nebudou automaticky zálohována do služby AD DS, když je počítač připojen k doméně nebo jsou použity zásady skupiny. Můžete však použít nastavení zásad skupiny Toto nastavení zásad vám umožňuje vybrat metodu obnovy jednotek operačního systému chráněných nástrojem BitLocker a toto nastavení zásad vám umožňuje vybrat metodu obnovení vyměnitelných médií chráněných nástrojem BitLocker, která vyžaduje připojení počítače. do domény před aktivací nástroje BitLocker. Tím zajistíte, že služba Active Directory Domain Services bude zálohovat data potřebná k obnově jednotek chráněných nástrojem BitLocker ve vaší organizaci.

Další informace najdete v části Nastavení zásad skupiny BitLocker.

Rozhraní nástroje BitLocker Windows Management Instrumentation (WMI) umožňuje správcům napsat skript pro zálohování nebo synchronizaci existujících dat pro obnovu klienta v režimu online, ale nástroj BitLocker tento proces nespravuje automaticky. Nástroj příkazového řádku Manage-bde vám také umožňuje ručně zálohovat data pro obnovu do služby AD DS. Chcete-li například zálohovat všechna data pro obnovu na jednotce C, spusťte ve službě AD DS následující příkaz z příkazového řádku se zvýšenými oprávněními: manage-bde -protectors -adbackup C:.

Důležité

První věc, kterou musíte udělat s novým počítačem ve vaší organizaci, je připojit jej k doméně. Po připojení počítačů k doméně je uložení klíče pro obnovení nástroje BitLocker do služby AD DS automatické (pokud to povolují zásady skupiny).

Je výsledek zálohy služby Active Directory zapsán do protokolu událostí v klientském počítači?

Ano, do protokolu událostí na klientském počítači se zapíše záznam označující úspěch nebo selhání zálohy služby Active Directory. Ale i když protokol událostí indikuje úspěch, data zálohy mohou být ze služby AD DS odstraněna. Konfigurace nástroje BitLocker se navíc může změnit tak, že data ze služby Active Directory neumožňují odemknutí disku (například pokud je odstraněn chránič klíčů pro heslo pro obnovení). Je také možné, že se záznamem protokolu bude manipulováno.

Abyste zajistili, že máte platnou zálohu ve službě AD DS, musíte se dotázat služby AD DS na pověření správce domény pomocí nástroje BitLocker Password Viewer.

Pokud změním heslo pro obnovení nástroje BitLocker v místním počítači a uložím nové heslo ve službě Active Directory Domain Services, přepíše služba Domain Services staré heslo?

Ne. Hesla pro obnovení nástroje BitLocker se ze služby AD DS neodstraňují, a proto se pro každou jednotku může zobrazit více hesel. Chcete-li zjistit poslední heslo, zkontrolujte datum objektu.

Co se stane, když selže počáteční zálohování? Bude BitLocker opakovat zálohování?

Pokud se počáteční záloha nezdaří (například když řadič domény přestane být dostupný, když je spuštěn Průvodce nastavením nástroje BitLocker), nástroj BitLocker se nepokusí znovu zálohovat data pro obnovení ve službě AD DS.

Pokud správce zaškrtne políčko Toto nastavení zásad umožňuje vyžadovat zálohování nástrojem BitLocker ve službě AD DS v nastavení zásad Toto nastavení zásad umožňuje ukládat informace pro obnovení nástroje BitLocker ve službě AD DS (Windows 2008 a Windows Vista) nebo (ekvivalentně) vybrat možnost Nepovolit nástroj BitLocker, dokud nebudou informace pro obnovení uloženy ve službě AD DS pro jednotky operačního systému | vyměnitelná paměťová média | pevné datové jednotky v libovolném nastavení zásad Toto nastavení zásad umožňuje vybrat metodu obnovy pro disky operačního systému chráněné nástrojem BitLocker, Toto nastavení zásad umožňuje vybrat metodu obnovení pro pevné disky chráněné nástrojem BitLocker a Toto nastavení zásad umožňuje vybrat metodu obnovení pro vyměnitelná média chráněná nástrojem BitLocker, uživatelé nebudou moci zapnout nástroj BitLocker, pokud počítač není připojen k doméně a data pro obnovení nástroje BitLocker nebyla zálohována do služby AD DS. Pokud jsou tyto možnosti nastaveny a zálohování se nezdaří, BitLocker nelze povolit. To zajišťuje, že správci mohou obnovit všechny jednotky chráněné nástrojem BitLocker v organizaci.

Další informace najdete v části Nastavení zásad skupiny BitLocker.

Pokud správce zruší zaškrtnutí těchto políček, může být jednotka chráněna nástrojem BitLocker, aniž by bylo nutné úspěšně zálohovat data pro obnovení do služby AD DS. BitLocker se však nepokusí o automatické zálohování, pokud se nezdaří. Místo toho mohou správci vytvořit záložní skript, jak je popsáno dříve v odpovědi na otázku Co se stane, když povolíte nástroj BitLocker v počítači před připojením k doméně?, aby shromažďoval data po obnovení připojení.

Bezpečnost

Jaký formát šifrování používá BitLocker? Dá se to přizpůsobit?

BitLocker používá šifrovací algoritmus AES s konfigurovatelnou délkou klíče (128 nebo 256 bitů). Výchozí šifrování je AES-128, ale nastavení můžete nakonfigurovat pomocí zásad skupiny.

Jaký je nejlepší způsob použití nástroje BitLocker na jednotce operačního systému?

Chcete-li implementovat nástroj BitLocker na jednotku operačního systému, doporučujeme v počítači použít modul TPM verze 1.2 nebo novější, firmware BIOS nebo UEFI kompatibilní s TCG a kód PIN. Vyžadování uživatelem zadaného PIN kromě ověření TPM brání útočníkovi, který získá přístup k počítači, aby jej jednoduše spustil.

Jaké jsou důsledky použití možností správy napájení (uspání a hibernace)?

Ve své základní konfiguraci poskytuje BitLocker na discích operačního systému (s TPM, ale bez dalšího ověřování) další ochranu pro hibernaci. Použití volitelného ověřování BitLocker (zadání TPM a PIN, TPM a USB klíč nebo TPM, zadání PIN a USB klíč) poskytuje rozšířenou ochranu hibernace. Tato metoda je bezpečnější, protože pro návrat z hibernace je vyžadováno ověřování BitLocker. Doporučujeme deaktivovat režim spánku a použít k ověření kombinaci TPM a PIN.

Jaké jsou výhody TPM?

Většina operačních systémů využívá sdílený paměťový prostor a operační systém je zodpovědný za správu fyzické paměti. TPM je hardwarová komponenta, která používá svůj vlastní firmware a interní logiku ke zpracování instrukcí a chrání tak před zranitelností externího softwaru. Hackování TPM vyžaduje fyzický přístup k počítači. Navíc crackování hardwaru obvykle vyžaduje dražší nástroje a dovednosti, které nejsou tak běžné jako crackovací software. Protože je TPM na každém počítači jedinečný, hackování více počítačů TPM by vyžadovalo spoustu času a úsilí.

Poznámka

Nastavení dodatečného ověřovacího faktoru v BitLockeru poskytuje další ochranu před hackováním hardwarového TPM.

Odemknutí sítě BitLocker

BitLocker Network Unlock usnadňuje správu počítačů a serverů chráněných nástrojem BitLocker pomocí TPM a PIN v prostředí domény. Když restartujete počítač, který je připojen ke kabelové podnikové síti, odemknutí sítě vám umožní obejít výzvu k zadání kódu PIN. Svazky operačního systému chráněné nástrojem BitLocker se automaticky odemykají pomocí důvěryhodného klíče poskytnutého serverem Windows Deployment Services jako další metody ověřování.

Chcete-li použít odemknutí sítě, musíte také nastavit kód PIN pro váš počítač. Pokud váš počítač není připojen k síti, musíte jej odemknout zadáním kódu PIN.

Nástroj BitLocker Network Unlock má požadavky na software a hardware pro klientské počítače, služby pro nasazení systému Windows a řadiče domény, které je nutné splnit, abyste jej mohli používat.

Odemknutí sítě používá dva chrániče: chránič TPM a chránič poskytovaný sítí nebo kódem PIN, zatímco automatické odemykání používá pouze jeden chránič uložený v TPM. Pokud se počítač připojí k síti bez ochrany klíčů, budete vyzváni k zadání kódu PIN. Pokud kód PIN není k dispozici, budete k odemknutí počítače, který nelze přepnout do režimu online, potřebovat klíč pro obnovení.

Další informace najdete v části BitLocker: Povolení síťového odemykání.

Další otázky

Může ladicí program jádra pracovat s nástrojem BitLocker?

Ano. Před povolením nástroje BitLocker však musí být povolen ladicí program. Povolení ladicího programu předem zajistí, že metriky stavu budou správně vypočítány, když jsou zapečetěny v TPM, což umožňuje správné spuštění počítače. Pokud potřebujete zapnout nebo vypnout ladění při používání nástroje BitLocker, nejprve nástroj BitLocker pozastavte, aby se počítač nedostal do režimu obnovení.

Jak BitLocker pracuje s výpisy paměti?

BitLocker obsahuje zásobník ovladačů velkokapacitního úložiště, které šifrují výpisy paměti, když je povolen BitLocker.

Podporuje nástroj BitLocker čipové karty pro ověřování před spuštěním?

BitLocker nepodporuje čipové karty pro ověřování před spuštěním. Neexistuje jediný průmyslový standard pro podporu čipových karet ve firmwaru a většina počítačů nepodporuje čipové karty ve firmwaru nebo podporuje pouze určité typy čipových karet a čteček. Kvůli nedostatku standardizace je podpora čipových karet příliš obtížná.

Mohu použít ovladač TPM od jiného výrobce než Microsoft?

Společnost Microsoft nepodporuje ovladače TPM třetích stran a důrazně nedoporučuje jejich použití s ​​nástrojem BitLocker. Použití ovladače TPM jiného výrobce s nástrojem BitLocker může vést k situaci, kdy nástroj BitLocker oznámí, že modul TPM není v počítači přítomen, a že jej nebudete moci používat s nástrojem BitLocker.

Mohou ve spojení s nástrojem BitLocker fungovat další nástroje, které manipulují nebo upravují hlavní spouštěcí záznam (MBR)?

Nedoporučuje se upravovat hlavní spouštěcí záznam (MBR) na počítačích, kde jsou jednotky operačního systému chráněny nástrojem BitLocker z důvodů zabezpečení, spolehlivosti a podpory produktu. Úprava hlavního spouštěcího záznamu (MBR) může změnit bezpečnostní prostředí a zabránit normálnímu spuštění počítače a také ztížit opravu poškozeného hlavního spouštěcího záznamu MBR. Změny MBR provedené mimo systém Windows mohou uvést počítač do režimu obnovy nebo jej zcela nezavést.

Proč se nezdaří kontrola systému při šifrování disku pomocí operačního systému?

Kontrola systému vám umožní ověřit, že firmware vašeho počítače (BIOS nebo UEFI) je kompatibilní s BitLockerem a že TPM funguje správně. Kontrola systému může selhat z následujících důvodů:

Firmware počítače (BIOS nebo UEFI) nepodporuje čtení z USB flash disků;

Firmware vašeho počítače (BIOS nebo UEFI) nebo spouštěcí nabídka nelze číst z jednotek USB flash.

Do počítače je vloženo více USB flash disků;

nesprávně zadaný PIN kód;

Firmware počítače (BIOS nebo UEFI) podporuje pouze funkční klávesy (F1-F10) pro zadávání čísel v prostředí před spuštěním;

spouštěcí klíč je odstraněn před dokončením restartu počítače;

Kvůli poruše TPM nebylo možné zřídit klíče.

Co mám dělat, když nemohu přečíst obnovovací klíč z USB flash disku?

Některé počítače nepodporují čtení z USB flash disků v prostředí před spuštěním. Nejprve zkontrolujte nastavení firmwaru BIOS nebo UEFI a možnosti spouštění, abyste se ujistili, že je povoleno úložiště USB. Povolte úložiště USB v systému BIOS nebo UEFI, pokud není povoleno, a znovu načtěte klíč pro obnovení z jednotky USB flash. Pokud stále nemůžete přečíst klíč, musíte připojit pevný disk jako datovou jednotku k jinému počítači s operačním systémem, abyste mohli přečíst klíč pro obnovení z jednotky USB flash. Pokud je jednotka USB flash poškozena, možná budete muset zadat heslo pro obnovení nebo použít data pro obnovení, která jsou zálohována ve službě Active Directory Domain Services. Pokud je klíč pro obnovení použit v prostředí před spuštěním, ujistěte se, že je disk NTFS, FAT16 nebo FAT32.

Proč nemohu uložit svůj obnovovací klíč na USB flash disk?

Položka nabídky Uložit na USB se u vyměnitelných médií ve výchozím nastavení nezobrazuje. Pokud tato položka není k dispozici, znamená to, že správce systému zakázal použití klíčů pro obnovení.

Proč nelze disk automaticky odemknout?

Chcete-li automaticky odemknout pevné datové jednotky, musí být také jednotka operačního systému chráněna nástrojem BitLocker. Pokud používáte počítač, kde není jednotka operačního systému chráněna nástrojem BitLocker, nelze jednotku automaticky odemknout. U vyměnitelných datových jednotek můžete přidat automatické odemykání kliknutím pravým tlačítkem na jednotku v Průzkumníku souborů a výběrem Správa BitLocker. Toto vyměnitelné médium lze na jiných počítačích odemknout zadáním hesla nebo pověření čipové karty, které jste poskytli při aktivaci nástroje BitLocker.

Mohu používat BitLocker v nouzovém režimu?

V nouzovém režimu jsou k dispozici omezené funkce nástroje BitLocker. Disky chráněné nástrojem BitLocker lze odemknout a dešifrovat výběrem BitLocker Drive Encryption na ovládacím panelu. V nouzovém režimu nelze nastavení nástroje BitLocker otevřít kliknutím pravým tlačítkem na ikonu jednotky.

Jak zamknout datový disk?

Nástroj příkazového řádku Manage-bde a příkaz --lock umožňují uzamknout jak vyměnitelná média, tak vestavěné datové jednotky.

Poznámka

Před uzamčením disku se ujistěte, že jsou na něm uložena všechna data. Po uzamčení se disk stane nepřístupným.

Syntaxe příkazu:

spravovat-bde -zámek

Kromě použití tohoto příkazu jsou datové jednotky uzamčeny během vypínání nebo restartování operačního systému. Vyměnitelné úložné médium, které je odpojeno od počítače, je také automaticky zablokováno.

Lze BitLocker používat se službou Stínová kopie svazku?

Ano. Stínové kopie vytvořené před aktivací nástroje BitLocker se však automaticky odstraní, když je povolen nástroj BitLocker pro softwarově šifrované jednotky. Při použití hardwarově šifrované jednotky jsou stínové kopie zachovány.

Podporuje nástroj BitLocker virtuální pevné disky (VHD)?

BitLocker není podporován pro spouštěcí VHD, ale je podporován pro datové svazky VHD (jako jsou ty, které se používají v clusterech), když běží na Windows 10, Windows 8.1, Windows 8, Windows Server 2012 nebo Windows Server 2012 R2.

Právě krádež notebooku je podle odborníků jedním z hlavních problémů v oblasti informační bezpečnosti (IS).

Na rozdíl od jiných kybernetických hrozeb je povaha problémů s „ukradeným notebookem“ nebo „ukradeným flash diskem“ spíše primitivní. A pokud náklady na ztracená zařízení zřídka přesahují několik tisíc amerických dolarů, pak se hodnota informací na nich uložených často měří v milionech.

Podle Dellu a Ponemon Institute se jen na amerických letištích ročně ztratí 637 000 notebooků. A představte si, kolik flash disků zmizí, protože jsou mnohem menší a náhodně upustit flash disk je stejně snadné jako loupání hrušek.

Když se ztratí notebook patřící vrcholovému manažerovi velké společnosti, škoda z jedné takové krádeže může dosáhnout desítek milionů dolarů.

Jak chránit sebe a svou firmu?

Pokračujeme v sérii článků o zabezpečení domény Windows. V prvním článku série jsme hovořili o nastavení zabezpečeného přihlášení k doméně a ve druhém článku jsme hovořili o nastavení zabezpečeného přenosu dat v poštovním klientovi:

V tomto článku budeme hovořit o nastavení šifrování informací uložených na pevném disku. Pochopíte, jak zajistit, aby nikdo kromě vás nemohl číst informace uložené ve vašem počítači.

Málokdo ví, že systém Windows má vestavěné nástroje, které vám pomohou bezpečně ukládat informace. Uvažujme o jednom z nich.

Určitě někteří z vás slyšeli slovo „BitLocker“. Podívejme se, co to je.

Co je BitLocker?

BitLocker (přesný název je BitLocker Drive Encryption) je technologie pro šifrování obsahu počítačových jednotek vyvinutá společností Microsoft. Poprvé se objevil ve Windows Vista.

Pomocí BitLockeru bylo možné šifrovat svazky pevných disků, ale později se ve Windows 7 objevila podobná technologie BitLocker To Go, která je určena k šifrování vyměnitelných disků a flash disků.

BitLocker je standardní funkcí edic Windows Professional a Server systému Windows, což znamená, že je již k dispozici pro většinu případů podnikového použití. V opačném případě budete muset upgradovat licenci Windows na Professional.

Jak BitLocker funguje?

Tato technologie je založena na šifrování celého svazku pomocí algoritmu AES (Advanced Encryption Standard). Šifrovací klíče musí být uloženy bezpečně a v BitLockeru k tomu existuje několik mechanismů.

Nejjednodušší, ale zároveň nejnebezpečnější metodou je heslo. Klíč se získává z hesla pokaždé stejným způsobem, a pokud tedy někdo zjistí vaše heslo, bude šifrovací klíč známý.

Aby se klíč neukládal jako prostý text, lze jej zašifrovat buď v modulu TPM (Trusted Platform Module) nebo na kryptografickém tokenu či čipové kartě, která podporuje algoritmus RSA 2048.

TPM je čip navržený k implementaci základních funkcí souvisejících se zabezpečením, zejména pomocí šifrovacích klíčů.

Modul TPM je obvykle instalován na základní desce počítače, v Rusku je však velmi obtížné zakoupit počítač s vestavěným modulem TPM, protože dovoz zařízení bez upozornění FSB do naší země je zakázán.

Použití čipové karty nebo tokenu k odemknutí disku je jedním z nejbezpečnějších způsobů, jak kontrolovat, kdo a kdy provedl daný proces. K odemknutí je v tomto případě vyžadována jak samotná čipová karta, tak její PIN kód.

Jak BitLocker funguje:

1. Když je BitLocker aktivován pomocí generátoru pseudonáhodných čísel, vygeneruje se hlavní bitová sekvence. Toto je šifrovací klíč svazku - FVEK (šifrovací klíč plného svazku). Šifruje obsah každého sektoru. Klíč FVEK je držen v nejpřísnější tajnosti.
2. FVEK je šifrován pomocí klíče VMK (volume master key). Klíč FVEK (zašifrovaný klíčem VMK) je uložen na disku v metadatech svazku. Nikdy by však neměl skončit na disku v dešifrované podobě.
3. Samotný VMK je také šifrován. Způsob šifrování si volí uživatel.
4. VMK je standardně šifrován pomocí SRK (kořenový klíč úložiště), který je uložen na kryptografické čipové kartě nebo tokenu. Podobně se to děje s TPM.
   Mimochodem, šifrovací klíč systémové jednotky v BitLockeru nelze chránit pomocí čipové karty nebo tokenu. To je způsobeno tím, že pro přístup k čipovým kartám a tokenům se používají knihovny od dodavatele, které samozřejmě nejsou dostupné před načtením OS.
   Pokud není TPM, pak BitLocker navrhuje uložit klíč systémového oddílu na USB flash disk, což samozřejmě není nejlepší nápad. Pokud váš systém nemá TPM, nedoporučujeme šifrovat systémové disky.
   Obecně je šifrování systémové jednotky špatný nápad. Při správné konfiguraci jsou všechna důležitá data uchovávána odděleně od systémových dat. To je alespoň pohodlnější z hlediska jejich zálohování. Šifrování systémových souborů navíc snižuje výkon systému jako celku a nešifrovaný systémový disk se zašifrovanými soubory funguje bez ztráty rychlosti.
5. Šifrovací klíče pro jiné nesystémové a vyměnitelné jednotky lze chránit pomocí čipové karty nebo tokenu a také pomocí TPM.
   Pokud neexistuje TPM nebo čipová karta, pak se místo SRK k zašifrování klíče VMK použije klíč vygenerovaný na základě vámi zadaného hesla.

Při spuštění ze zašifrovaného spouštěcího disku se systém dotáže na všechna možná úložiště klíčů – zkontroluje TPM, zkontroluje porty USB nebo v případě potřeby vyzve uživatele (což se nazývá obnovení). Zjištění úložiště klíčů umožňuje systému Windows dešifrovat VMK, který dešifruje FVEK, který již dešifruje data na disku.

Každý sektor svazku je šifrován samostatně, přičemž část šifrovacího klíče je určena číslem sektoru. V důsledku toho budou dva sektory obsahující stejná nezašifrovaná data vypadat v zašifrované podobě odlišně, což značně zkomplikuje proces určování šifrovacích klíčů zápisem a dešifrováním dříve známých dat.

Kromě FVEK, VMK a SRK používá BitLocker další typ klíče, který se generuje „pro jistotu“. Toto jsou klíče pro obnovení.

V případě nouze (uživatel ztratil token, zapomněl svůj PIN atd.) BitLocker nabízí vytvoření obnovovacího klíče v posledním kroku. Odmítnutí vytvořit v systému není poskytováno.

Jak povolit šifrování dat na pevném disku?

Než budete pokračovat v procesu šifrování svazků na pevném disku, je důležité vzít v úvahu, že tento postup bude nějakou dobu trvat. Jeho trvání bude záviset na množství informací na pevném disku.

Pokud se váš počítač během šifrování nebo dešifrování vypne nebo přejde do režimu spánku, budou tyto procesy při příštím spuštění systému Windows pokračovat tam, kde skončily.

I během procesu šifrování lze systém Windows používat, ale je nepravděpodobné, že vás bude moci potěšit svým výkonem. Výsledkem je, že po zašifrování se výkon disku sníží asi o 10 %.

Pokud je ve vašem systému k dispozici nástroj BitLocker, po kliknutí pravým tlačítkem myši na název jednotky, kterou chcete zašifrovat, se položka zobrazí v nabídce, která se otevře. Zapněte nástroj BitLocker.

Na serverových verzích Windows musíte přidat roli BitLocker Drive Encryption.

Začněme konfigurovat šifrování nesystémového svazku a chraňme šifrovací klíč pomocí kryptografického tokenu.

Použijeme token vyrobený společností Aktiv. Zejména token Rutoken EDS PKI.

I. Připravte Rutoken EDS PKI pro práci.

Ve většině běžně konfigurovaných systémů Windows se po prvním připojení Rutoken EDS PKI automaticky stáhne a nainstaluje speciální knihovna pro práci s tokeny vyrobenými Aktiv - Aktiv Rutoken minidriver.

Proces instalace takové knihovny je následující.

Přítomnost knihovny minidriveru Aktiv Rutoken lze zkontrolovat prostřednictvím správce zařízení.

Pokud z nějakého důvodu ke stažení a instalaci knihovny nedošlo, měli byste nainstalovat sadu Rutoken Drivers for Windows.

II. Šifrujte data na disku pomocí nástroje BitLocker.

Klikněte na název disku a vyberte položku Zapněte nástroj BitLocker.

Jak jsme řekli dříve, k ochraně šifrovacího klíče disku použijeme token.
Je důležité si uvědomit, že aby bylo možné používat token nebo čipovou kartu s BitLockerem, musí obsahovat klíče RSA 2048 a certifikát.

Pokud používáte službu Certifikační autorita v doméně Windows, pak šablona certifikátu musí obsahovat rozsah certifikátu „Disk Encryption“ (více o nastavení certifikační autority v naší sérii článků o zabezpečení domény Windows).

Pokud nemáte doménu nebo nemůžete změnit zásady vydávání certifikátů, můžete použít alternativní cestu pomocí certifikátu s vlastním podpisem, podrobnosti o tom, jak vydat certifikát s vlastním podpisem, jsou popsány.
Nyní zaškrtneme příslušné políčko.

V dalším kroku zvolíme způsob uložení obnovovacího klíče (doporučujeme zvolit Vytiskněte obnovovací klíč).

Papír s vytištěným obnovovacím klíčem musí být uložen na bezpečném místě, nejlépe v trezoru.

Dalším krokem je spuštění procesu šifrování disku. Po dokončení tohoto procesu budete možná muset restartovat systém.

Když je šifrování povoleno, změní se ikona šifrovaného disku.

A nyní, když se pokusíme otevřít tento disk, systém vás požádá o vložení tokenu a zadání jeho PIN.

Nasazení a konfiguraci BitLockeru a TPM lze automatizovat pomocí nástroje WMI nebo skriptů Windows PowerShell. Způsob implementace skriptů bude záviset na prostředí. Příkazy pro BitLocker v prostředí Windows PowerShell jsou popsány v článku.

Jak obnovit data zašifrovaná nástrojem BitLocker, pokud se token ztratí?

Pokud chcete otevřít šifrovaná data v systému Windows

K tomu budete potřebovat obnovovací klíč, který jsme vytiskli dříve. Stačí jej zadat do příslušného pole a otevře se zašifrovaná sekce.

Pokud chcete otevřít šifrovaná data na systémech GNU/Linux a Mac OS X

To vyžaduje nástroj DisLocker a klíč pro obnovení.

Nástroj DisLocker funguje ve dvou režimech:

• SOUBOR – celý oddíl šifrovaný nástrojem BitLocker je dešifrován na soubor.
• FUSE - dešifruje se pouze blok, ke kterému systém přistupuje.

Využijeme například operační systém Linux a obslužný režim FUSE.

V posledních verzích běžných linuxových distribucí je balíček dislocker již součástí distribuce, například v Ubuntu od verze 16.10.

Pokud z nějakého důvodu neexistoval žádný balíček odblokování, musíte si stáhnout obslužný program a zkompilovat jej:

tar -xvjf dislocker.tar.gz

Otevřeme soubor INSTALL.TXT a zkontrolujeme, které balíčky musíme nainstalovat.

V našem případě musíme nainstalovat balíček libfuse-dev:

sudo apt-get install libfuse-dev

Začněme sestavovat balíček. Pojďme do složky src a použijte příkazy make a make install:

cd src/ make make install

Až se vše zkompiluje (nebo nainstalujete balíček), začněme jej nastavovat.

Přejdeme do složky mnt a vytvoříme v ní dvě složky:

• Encrypted-partition- pro šifrovaný oddíl;
• Decrypted-partition - pro dešifrovaný oddíl.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Pojďme najít šifrovaný oddíl. Pojďme to dešifrovat pomocí nástroje a přesunout do složky Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(nahraďte recovery_key svým obnovovacím klíčem)

Zobrazme seznam souborů ve složce Encrypted-partition:

ls Encrypted-partition/

Zadejte příkaz pro připojení oddílu:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Chcete-li zobrazit dešifrovaný oddíl, přejděte do složky Encrypted-partition.

Shrnutí

Povolení šifrování svazku pomocí nástroje BitLocker je velmi jednoduché. To vše probíhá bez námahy a zdarma (samozřejmě za předpokladu, že máte profesionální nebo serverovou verzi Windows).

K ochraně šifrovacího klíče, který šifruje disk, můžete použít kryptografický token nebo čipovou kartu, což výrazně zvyšuje úroveň zabezpečení.

Přemýšleli jste o otázce: jak chránit informace umístěné na HDD? Ukazuje se, že k tomu není nutné instalovat další software. Pomůže speciální služba BitLocker zabudovaná ve Windows 7 a vyšších. Pojďme se blíže podívat, jak to funguje.

co to je

BitLocker je technologie, která chrání informace šifrováním oddílů pevného disku. Jedná se o službu Windows, která nezávisle chrání adresáře a soubory tím, že je šifruje a vytváří textový klíč TPM.
TPM je kryptoprocesor, ve kterém jsou umístěny klíče, které chrání přístup k informacím. Používá se pro:

1. Ochrana informací, kopírování dat;
2. Autentizace.

Jak to funguje

Ukazuje se, že počítač zpracovává zašifrované informace, které jsou zobrazeny v čitelné podobě. Přístup k němu není blokován. Ochrana bude fungovat, když se pokusíte získat přístup k informacím zvenčí.
Technologie je založena na šifrování pomocí algoritmu AES 128 a 256. Nejjednodušší způsob uložení klíčů je .

Zvláštnosti

Šifrovat můžete jakýkoli HDD (kromě sítě), informace z SD karty, flash disku. Klíč pro obnovení šifry je uložen v počítači, vyměnitelném médiu nebo čipu TPM.
Proces šifrování trvá dlouho. Závisí na výkonu PC a množství informací na HDD. Díky šifrování bude systém schopen pracovat s menším výkonem.
V moderních operačních systémech je tato technologie podporována. Proto nebudete muset stahovat BitLocker pro Windows 7 a novější. Je k dispozici zcela zdarma.

Windows 10 Disk Encryption, pokud je na desce nainstalován TPM

Pokud se zobrazí chybová zpráva, že služba může běžet bez TPM, není na desce. Zvažme, co dělat.

BitLocker Windows 10, jak povolit bez TPM

Chcete-li zašifrovat jednotku BitLocker, postupujte takto:

1. Stiskněte "Win + R", poté napište "gpedit.msc";
2. Projdeme jako na snímku obrazovky;
3. Klikněte na "Disky";
4. Dále, jako na snímku obrazovky;
5. Vyberte "Povoleno";
6. Zavřete editor;
7. Klikněte na "Start" - "Programy" - "Systémové nástroje" - "Ovládací panely";
8. Klikněte na odkaz "Šifrování";
9. Dále "Povolit";
10. Počkejte, až kontrola skončí;
11. Pokud ztratíte heslo, přístup k informacím bude uzavřen, proto si vytvořte záložní kopii;
12. Začne proces přípravy. Nevypínejte počítač, jinak může dojít k poškození zaváděcího oddílu a Windows se nespustí;
13. Klikněte na "Další";
14. Napište, kterou použijete k odemykání. Doporučuji, aby to nebylo stejné jako při přihlášení;
15. Určete, jak je klíč uložen. Používá se pro přístup k disku, pokud zapomenete heslo. Uložte to do: Záznam společnosti Microsoft, textový dokument, zapište si to na papír;
    

    Uložte jej odděleně od PC.

16. Doporučuji zvolit šifrování celého disku. Je to spolehlivější. Klikněte na "Další";
17. Vyberte "Nový režim";
18. Zaškrtněte políčko vedle položky "Spustit skenování";
19. Na hlavním panelu se zobrazí ikona BitLocker a upozornění, že je třeba restartovat počítač;
20. Dále se zobrazí okno pro zadání hesla. Zapište si ten, který byl označen během šifrování;
    
21. Šifrování se spustí po spuštění systému. Kliknutím na ikonu na systémové liště zjistíte, kolik procent práce je hotovo;

Jak zakázat BitLocker Windows 10

BitLocker Windows 7 jak povolit

Mnoho uživatelů se bude ptát: jak stáhnout BitLocker pro Windows 7? Ukázalo se, že nemusíte nic stahovat. Stejně jako pro Windows desáté řady. Služba je aktivována v systému. Akce podobné těm popsaným výše.

BitLocker to Go

Technologie se používá k šifrování informací na vyměnitelných médiích: SD karty, externí HDD, USB zařízení. Chrání informace před krádeží médií.
Zařízení je detekováno automaticky systémem. K dešifrování musí osoba zaregistrovat přihlašovací údaje pro odemknutí. Technologie odstraňuje ochranu, pokud uživatel zná uživatelské jméno, heslo nebo obnovovací klíč. Používá se k ochraně všech souborů na médiu. BitLocker si můžete stáhnout z oficiálních stránek Microsoftu.
K šifrování použijte výše uvedené kroky. V zásadách místní skupiny zkontrolujte možnosti jako na snímku obrazovky.

Bitlocker windows 10 jak odemknout

K odemknutí dat se používá heslo nebo obnovovací klíč. Při šifrování je vyžadováno heslo. Najdeme klíč pro obnovení a poté postupujte podle následujících kroků:

Pokud nástroj BitLocker zamkl disk a klíč se ztratí, vraťte systém zpět k systému, který jste vytvořili dříve. Pokud ne, vraťte systém do původního stavu. Chcete-li to provést, přejděte na: "Nastavení" (Win + I) - "Aktualizace" - "Obnovení" - "Start".

Závěr

Probrali jsme, jak povolit nástroj BitLocker ve Windows 10. Pomocí výše uvedených metod udržíte svá data v bezpečí. Hlavní je zapamatovat si heslo. Používá se, i když vyjmete HDD z jednoho PC a připojíte jej k jinému.

Nikoho vůbec nepřekvapí, že osobní počítač může uchovávat čistě osobní informace nebo firemní data zvýšené hodnoty. Je nežádoucí, pokud se takové informace dostanou do rukou třetích stran, které je mohou využít, což bývalému majiteli PC způsobí vážné problémy.

V závislosti na okolnostech lze Bitlocker aktivovat a deaktivovat.

Z tohoto důvodu mnoho uživatelů vyjadřuje přání podniknout nějakou akci zaměřenou na omezení přístupu ke všem souborům uloženým v počítači. Takový postup skutečně existuje. Po provedení určitých manipulací nebude mít žádný z cizinců, kteří nezná heslo nebo klíč k jeho obnovení, přístup k dokumentům.

Je možné chránit důležité informace před přístupem třetích stran šifrováním jednotky Bitlocker. Takové akce pomáhají zajistit úplnou důvěrnost dokumentů nejen na konkrétním počítači, ale také v případě, že někdo vyjme pevný disk a vloží jej do jiného osobního počítače.

Algoritmus pro povolení a zakázání funkce

Šifrování jednotky Bitlocker funguje ve Windows 7, 8 a 10, ale ne ve všech verzích. Předpokládá se, že na základní desce, která je vybavena konkrétním počítačem, na kterém chce uživatel šifrovat, musí být modul TPM.

RADA. Nenechte se odradit, pokud s jistotou víte, že žádný takový speciální modul na vaší základní desce není. Existuje několik triků, které vám umožní "ignorovat" takový požadavek, respektive nainstalovat bez takového modulu.

Než budete pokračovat v procesu šifrování všech souborů, je důležité vzít v úvahu, že tento postup je poměrně zdlouhavý. Je těžké uvést přesné množství času. Vše závisí na tom, kolik informací je k dispozici na pevném disku. Během procesu šifrování bude systém Windows 10 nadále fungovat, ale je nepravděpodobné, že vás bude moci potěšit svým výkonem, protože ukazatel výkonu bude výrazně snížen.

Povolte funkci

Pokud máte v počítači nainstalovaný Windows 10 a máte aktivní touhu povolit šifrování dat, využijte naše tipy, aby se vám to nejen povedlo, ale aby cesta ke splnění takového přání nebyla složitá. Zpočátku najděte na klávesnici klávesu „Win“, někdy je doprovázena ikonou Windows, podržte ji a současně držte klávesu „R“. Současným stisknutím těchto dvou kláves se otevře okno Spustit.

V okně, které se otevře, najdete prázdný řádek, do kterého budete muset zadat „gpedit.msc“. Po kliknutí na tlačítko "Ok" se otevře nové okno "Editor místních zásad skupiny". V tomto okně musíme jít kousek cesty.

Na levé straně okna najděte a okamžitě klikněte na řádek „Konfigurace počítače“, v podnabídce, která se otevře, najděte „Šablony pro správu“ a poté v dalším podnabídce, které se otevře, přejděte na parametr umístěný na prvním místě v seznamu a nazvané "Součásti systému Windows".

Nyní přesuňte oči na pravou stranu okna, najděte v něm „Bitlocker Drive Encryption“, poklepáním jej aktivujte. Nyní se otevře nový seznam, ve kterém by měl být vaším dalším cílem řádek „Disky operačního systému“. Klikněte na tento řádek také, stačí udělat ještě jeden přechod, abyste se dostali blíže k oknu, kde bude Bitlocker přímo nakonfigurován, což vám umožní jej zapnout, což je přesně to, co chcete.

Najděte řádek "Toto nastavení zásad umožňuje nakonfigurovat požadavek na další ověřování při spuštění", rozbalte toto nastavení poklepáním. V otevřeném okně najdete požadované slovo „Povolit“, vedle kterého najdete zaškrtávací políčko, do kterého je třeba vložit konkrétní zaškrtnutí ve formě zaškrtnutí vašeho souhlasu.

O něco níže v tomto okně je podsekce „Platformy“, ve které je třeba zaškrtnout políčko vedle návrhu na použití nástroje BitLocker bez speciálního modulu. To je velmi důležité, zvláště pokud váš Windows 10 nemá modul TPM.

Nastavení požadované funkce v tomto okně je dokončeno, takže jej můžete zavřít. Nyní najeďte kurzorem myši na ikonu Windows, stačí na ni kliknout pravým tlačítkem, čímž se zobrazí další podnabídka. V něm najdete řádek "Ovládací panely", přejděte na něj a poté na další řádek "Bitlocker Drive Encryption".

Nezapomeňte uvést, kam chcete šifrovat. To lze provést na pevných i vyměnitelných discích. Po výběru požadovaného objektu klikněte na tlačítko „Povolit Bitlocker“.

Nyní Windows 10 zahájí automatický proces, občas přitáhne vaši pozornost a vyzve vás k zadání vašich přání. Před provedením takového procesu je samozřejmě nejlepší provést zálohu. V opačném případě, pokud dojde ke ztrátě hesla a klíče k němu, ani vlastník počítače nebude moci informace obnovit.

Dále začne proces přípravy disku pro následné šifrování. Během tohoto procesu není dovoleno vypínat počítač, protože tato akce může způsobit vážné poškození operačního systému. Po takovém selhání jednoduše nebudete moci spustit svůj Windows 10, respektive namísto šifrování musíte nainstalovat nový operační systém a trávit čas navíc.

Jakmile je příprava disku úspěšně dokončena, začíná vlastní konfigurace disku pro šifrování. Později budete vyzváni k zadání hesla, které umožní přístup k zašifrovaným souborům. Budete také vyzváni, abyste vymysleli a zadali klíč pro obnovení. Obě tyto důležité součásti je nejlepší uchovávat na bezpečném místě, nejlépe vytištěné. Je velmi hloupé ukládat heslo a obnovovací klíč na samotném PC.

Během procesu šifrování se vás systém může zeptat, kterou část konkrétně chcete šifrovat. Tomuto postupu je nejlepší podrobit celé místo na disku, i když existuje možnost šifrovat pouze obsazené místo.

Zbývá vybrat takovou možnost, jako je „Nový režim šifrování“, a poté spustit automatickou kontrolu operačního systému BitLocker. Dále bude systém bezpečně pokračovat v procesu a poté budete vyzváni k restartování počítače. Samozřejmě splňte tento požadavek, restartujte počítač.

Po dalším spuštění Windows 10 se ujistíte, že přístup k dokumentům bez zadání hesla nebude možný. Proces šifrování bude pokračovat, můžete jej ovládat kliknutím na ikonu BitLocker umístěnou na panelu oznámení.

Vypnutí funkce

Pokud z nějakého důvodu již nejsou soubory ve vašem počítači důležité a opravdu se vám nelíbí zadávat heslo pokaždé, abyste k nim měli přístup, doporučujeme vám jednoduše vypnout funkci šifrování.

Chcete-li takové akce provést, přejděte na panel oznámení, najděte tam ikonu BitLocker a klikněte na ni. V dolní části otevřeného okna najdete řádek „Správa BitLockeru“, klikněte na něj.

Nyní vás systém vyzve, abyste si vybrali, která akce je pro vás výhodnější:

• zálohujte obnovovací klíč;
• změnit heslo pro přístup k šifrovaným souborům;
• odstranit dříve nastavené heslo;
• zakázat BitLocker.

Pokud se rozhodnete zakázat BitLocker, měli byste samozřejmě zvolit poslední nabízenou možnost. Na obrazovce se okamžitě objeví nové okno, ve kterém se chce systém ujistit, že opravdu chcete deaktivovat funkci šifrování.

POZORNOST. Jakmile kliknete na tlačítko „Vypnout BitLocker“, okamžitě začne proces dešifrování. Tento proces se bohužel nevyznačuje vysokou rychlostí, takže se určitě musíte na chvíli naladit, během čehož stačí počkat.

Samozřejmě, pokud v tuto chvíli potřebujete používat počítač, můžete si to dovolit, neexistuje žádný kategorický zákaz. Měli byste se však připravit na to, že výkon počítače může být v tuto chvíli extrémně nízký. Pochopení důvodu této pomalosti není těžké, protože operační systém musí odemknout obrovské množství informací.

Pokud tedy chcete šifrovat nebo dešifrovat soubory v počítači, stačí se seznámit s našimi doporučeními, poté bez spěchu proveďte každý krok uvedeného algoritmu a po dokončení se radujte z dosaženého výsledku.

Mnoho z nich používá funkci šifrování Windows, ale ne každý myslí na bezpečnost této metody ochrany dat. Dnes budeme hovořit o šifrování Bitlocker a pokusíme se zjistit, jak dobře je implementována ochrana disku Windows.

Mimochodem, o tom, jak nastavit Bitlocker, si můžete přečíst v článku "".

• Úvodní slovo
• Jak Bitlocker funguje?
• Zranitelnosti
• Klíče pro obnovení
• Spuštění nástroje BitLocker
• BitLocker To Go
• Závěr

Článek je napsán pro výzkumné účely. Všechny informace v něm jsou pouze pro informační účely. Je určena bezpečnostním profesionálům a těm, kteří se jimi chtějí stát.

Jak Bitlocker funguje?

Co je Bitlocker?

BitLocker je nativní funkce šifrování disku v operačních systémech Windows 7, 8, 8.1, 10. Tato funkce umožňuje bezpečně šifrovat důvěrná data v počítači, a to jak na HDD a SSD, tak na vyměnitelných médiích.

Jak je BitLocker nastaven?

Spolehlivost BitLockeru by neměla být posuzována podle pověsti AES. Populární šifrovací standard nemusí mít upřímně slabá místa, ale jeho implementace ve specifických kryptografických produktech jimi často překypují. Microsoft nezveřejňuje úplný kód pro technologii BitLocker. Ví se pouze, že v různých verzích Windows vycházel z různých schémat a změny nebyly nijak komentovány. Navíc v sestavení 10586 Windows 10 jednoduše zmizel a po dvou sestaveních se znovu objevil. Nicméně první věci.

První verze BitLockeru používala režim ciphertext block chaining (CBC). Již tehdy byly jeho nedostatky zřejmé: snadnost útoku na známý text, špatná odolnost vůči útokům podle typu substituce a tak dále. Microsoft se proto okamžitě rozhodl ochranu posílit. Již ve Vista byl do schématu AES-CBC přidán algoritmus Elephant Diffuser, což ztěžuje přímé porovnání bloků šifrovaného textu. S ním stejný obsah dvou sektorů po zašifrování jedním klíčem dal úplně jiný výsledek, což zkomplikovalo výpočet společného vzoru. Samotný výchozí klíč byl však krátký – 128 bitů. Prostřednictvím administrativních politik jej lze rozšířit na 256 bitů, ale vyplatí se to?

Pro uživatele se po změně klíče navenek nic nezmění – ani délka zadávaných hesel, ani subjektivní rychlost operací. Jako většina systémů šifrování celého disku používá BitLocker více klíčů... a žádný z nich není pro uživatele viditelný. Zde je schematický diagram nástroje BitLocker.

• Když je BitLocker aktivován pomocí generátoru pseudonáhodných čísel, vygeneruje se hlavní bitová sekvence. Toto je šifrovací klíč svazku - FVEK (šifrovací klíč plného svazku). Je to on, kdo nyní šifruje obsah každého sektoru.
• Na druhé straně je FVEK zašifrován pomocí jiného klíče - VMK (hlavní klíč svazku) - a uložen v zašifrované podobě mezi metadata svazku.
• Samotný VMK je také šifrován, ale různými způsoby podle volby uživatele.
• Na nových základních deskách je klíč VMK standardně zašifrován pomocí klíče SRK (kořenový klíč úložiště), který je uložen v samostatném kryptoprocesoru – modulu důvěryhodné platformy (TPM). Uživatel nemá přístup k obsahu TPM a je jedinečný pro každý počítač.
• Pokud na desce není samostatný čip TPM, pak se místo SRK použije k zašifrování klíče VMK uživatelsky zadaný PIN kód, nebo se použije na požádání připojený USB flash disk s předem napsanými informacemi o klíči.
• Kromě TPM nebo flash disku můžete klíč VMK chránit heslem.

Toto obecné chování nástroje BitLocker pokračovalo v následujících verzích systému Windows až do současnosti. Generování klíčů a režimy šifrování nástroje BitLocker se však změnily. V říjnu 2014 tedy Microsoft v tichosti odstranil další algoritmus Elephant Diffuser a ponechal pouze schéma AES-CBC se známými nedostatky. Zpočátku k tomu nepadla žádná oficiální prohlášení. Lidé prostě dostali pod rouškou aktualizace oslabenou šifrovací technologii se stejným názvem. Vágní vysvětlení tohoto kroku následovalo poté, co si nezávislí výzkumníci všimli zjednodušení v BitLockeru.

Formálně bylo odstranění Elephant Diffuser vyžadováno pro zajištění souladu Windows s americkými federálními standardy zpracování informací (FIPS), ale jeden argument tuto verzi vyvrací: Vista a Windows 7, které používaly Elephant Diffuser, se v Americe prodávaly bez problémů.

Dalším pomyslným důvodem pro odmítnutí dodatečného algoritmu je chybějící hardwarová akcelerace pro Elephant Diffuser a ztráta rychlosti při jeho používání. V minulých letech, kdy byly procesory pomalejší, jim však z nějakého důvodu rychlost šifrování vyhovovala. A stejný AES byl široce používán ještě předtím, než existovaly samostatné instrukční sady a specializované čipy pro jeho akceleraci. Postupem času bylo možné udělat hardwarovou akceleraci i pro Elephant Diffuser nebo alespoň dát zákazníkům na výběr mezi rychlostí a bezpečností.

Realističtěji vypadá jiná, neoficiální verze. „Slon“ se postavil do cesty zaměstnancům, kteří chtěli vynaložit méně úsilí na dešifrování dalšího disku, a Microsoft ochotně spolupracuje s úřady i v případech, kdy jejich požadavky nejsou zcela legální. Nepřímo potvrzuje konspirační teorii a fakt, že před Windows 8 se při vytváření šifrovacích klíčů v BitLockeru používal generátor pseudonáhodných čísel zabudovaný ve Windows. V mnoha (ne-li ve všech) vydáních Windows to byl Dual_EC_DRBG – „silný kryptografický PRNG“ vyvinutý americkou Národní bezpečnostní agenturou a obsahující řadu inherentních zranitelností.

Tajné oslabení vestavěného šifrování samozřejmě vyvolalo silnou vlnu kritiky. Pod jejím tlakem Microsoft znovu přepsal BitLocker a v nových verzích Windows nahradil PRNG CTR_DRBG. Ve Windows 10 (počínaje sestavením 1511) je navíc výchozí schéma šifrování AES-XTS, které je imunní vůči manipulaci s bloky šifrovaného textu. V nejnovějších sestaveních „desítek“ byly opraveny další známé nedostatky BitLockeru, ale hlavní problém stále přetrvával. Je to tak absurdní, že to ostatní inovace ztrácí smysl. Jde o principy správy klíčů.

Úkol dešifrovat jednotky BitLocker je také usnadněn tím, že Microsoft aktivně propaguje alternativní způsob obnovení přístupu k datům prostřednictvím Data Recovery Agent. Význam „Agenta“ spočívá v tom, že šifruje šifrovací klíče všech disků v rámci podnikové sítě pomocí jediného přístupového klíče. Jakmile jej máte, můžete dešifrovat jakýkoli klíč, a tím i jakýkoli disk používaný stejnou společností. Komfortní? Ano, zejména pro hackování.

Myšlenka použití jednoho klíče pro všechny zámky byla již mnohokrát ohrožena, ale stále se vrací v té či oné podobě kvůli pohodlí. Takto Ralph Leighton zaznamenal paměti Richarda Feynmana o jedné charakteristické epizodě jeho práce na projektu Manhattan v laboratoři v Los Alamos: „...Otevřel jsem tři trezory – a všechny tři s jednou kombinací. Udělal jsem všechny: otevřel jsem sejfy se všemi tajemstvími atomové bomby – technologie získávání plutonia, popis procesu čištění, informace o tom, kolik materiálu je potřeba, jak funguje bomba, jak se vyrábějí neutrony, jak je bomba uspořádána, jaké jsou její rozměry - jedním slovem všechno, co věděli v Los Alamos, celá kuchyně!

BitLocker trochu připomíná bezpečné zařízení popsané v jiném fragmentu knihy „Samozřejmě si děláte legraci, pane Feynmane!“. Nejimpozantnější trezor v přísně tajné laboratoři měl stejnou zranitelnost jako jednoduchá kartotéka. „... Byl to plukovník a měl mnohem složitější, dvoudveřový trezor s velkými madly, které vytahovaly z rámu čtyři ocelové tyče o tloušťce tři čtvrtě palce. Podíval jsem se na zadní stranu jedněch z impozantních bronzových dveří a zjistil jsem, že digitální ciferník je spojen s malým visacím zámkem, který vypadal přesně jako zámek na mé skříni v Los Alamos. Bylo zřejmé, že systém pák závisí na stejné malé tyči, která zamykala kartotéky. O dvě minuty později – klikněte! - Trezor byl otevřen. Když jsou otevřená dvířka trezoru nebo horní zásuvka kartotéky, je velmi snadné najít kombinaci. To jsem udělal, když jsi četl moji zprávu, jen abych ti ukázal nebezpečí."

Kryptokontejnery BitLocker jsou samy o sobě docela bezpečné. Pokud vám někdo přinese flash disk, který pochází odnikud, zašifrovaný pomocí BitLocker To Go, pak je nepravděpodobné, že jej dešifrujete v rozumném čase. Ve skutečném scénáři využívajícím šifrované jednotky a vyměnitelná média však existuje mnoho zranitelností, které lze snadno použít k obejití nástroje BitLocker.

Chyby zabezpečení nástroje BitLocker

Jistě jste si všimli, že při první aktivaci Bitlockeru musíte dlouho čekat. To není překvapivé - proces šifrování sektor po sektoru může trvat několik hodin, protože ani není možné číst všechny bloky terabajtových HDD rychleji. K deaktivaci nástroje BitLocker však dojde téměř okamžitě – jak to?

Faktem je, že když je deaktivován, Bitlocker data nedešifruje. Všechny sektory zůstanou zašifrovány klíčem FVEK. Jednoduše, přístup k tomuto klíči již nebude nijak omezen. Všechny kontroly budou deaktivovány a VMK zůstane zaznamenán mezi metadaty čistého textu. Při každém zapnutí počítače načte zavaděč OS VMK (již bez kontroly TPM, vyžádání klíče na flash disku nebo hesla), automaticky s ním dešifruje FVEK a poté všechny soubory, jak se k nim přistupuje. Pro uživatele bude vše vypadat jako naprosté chybějící šifrování, ale ti nejpozornější si mohou všimnout mírného poklesu výkonu diskového subsystému. Přesněji - nedostatek zvýšení rychlosti po zakázání šifrování.

Na tomto schématu je ještě něco zajímavého. Navzdory názvu (technologie úplného šifrování disku) zůstávají některá data při používání nástroje BitLocker stále nezašifrována. MBR a BS zůstávají v otevřené podobě (pokud disk nebyl inicializován v GPT), chybné sektory a metadata. Otevřený bootloader dává prostor fantazii. V pseudošpatných sektorech je vhodné skrýt další malware a metadata obsahují spoustu zajímavých věcí, včetně kopií klíčů. Pokud je Bitlocker aktivní, pak budou zašifrovány (ale slabší než FVEK zašifruje obsah sektorů) a pokud bude deaktivován, budou prostě ležet v čistotě. To vše jsou potenciální vektory útoku. Jsou potenciální, protože kromě nich existují mnohem jednodušší a univerzálnější.

Klíč pro obnovení bitlockeru

Kromě FVEK, VMK a SRK používá BitLocker další typ klíče, který se generuje „pro jistotu“. Jedná se o obnovovací klíče, se kterými je spojen další oblíbený útočný vektor. Uživatelé se bojí zapomenout heslo a ztratit přístup do systému a samotný Windows jim doporučuje nouzové přihlášení. Chcete-li to provést, Průvodce šifrováním BitLocker vás v posledním kroku vyzve k vytvoření klíče pro obnovení. Odmítnutí jeho vytvoření není poskytováno. Můžete si vybrat pouze jednu z klíčových možností exportu, z nichž každá je velmi zranitelná.

Ve výchozím nastavení je klíč exportován jako jednoduchý textový soubor s rozpoznatelným názvem: „BitLocker recovery key #“, kde je místo # zapsáno ID počítače (ano, přímo v názvu souboru!). Samotný klíč vypadá takto.

Pokud jste zapomněli (nebo jste nikdy nevěděli) heslo nastavené v BitLockeru, pak stačí vyhledat soubor s obnovovacím klíčem. Jistě se uloží mezi dokumenty aktuálního uživatele nebo na jeho flash disk. Možná je to dokonce vytištěné na kusu papíru, jak doporučuje Microsoft.

Pro rychlé nalezení obnovovacího klíče je vhodné omezit vyhledávání podle přípony (txt), data vytvoření (pokud víte, kdy přibližně mohl být povolen BitLocker) a velikosti souboru (1388 bajtů, pokud soubor nebyl upravován) . Jakmile najdete klíč pro obnovení, zkopírujte jej. S ním můžete kdykoli obejít standardní autorizaci v BitLockeru. Chcete-li to provést, stiskněte klávesu Esc a zadejte klíč pro obnovení. Bez problémů se přihlásíte a dokonce budete moci změnit heslo v BitLockeru na libovolné, aniž byste uváděli staré!

Spuštění nástroje BitLocker

Nemovitý kryptografických systém je kompromisem mezi pohodlím, rychlostí a spolehlivostí. Měl by obsahovat postupy pro transparentní šifrování s dešifrováním za běhu, metody pro obnovu zapomenutých hesel a pohodlnou práci s klíči. To vše oslabuje jakýkoli systém, bez ohledu na to, na jak silných algoritmech je založen. Není tedy nutné hledat zranitelnosti přímo v Rijndaelově algoritmu nebo v různých schématech standardu AES. Je mnohem snazší je najít ve specifikách konkrétní implementace.

V případě Microsoftu toto „specifikum“ stačí. Například kopie klíčů BitLocker jsou ve výchozím nastavení odesílány do SkyDrive a uloženy do služby Active Directory.

No, co když je ztratíte... nebo se ptá agent Smith. Je nepohodlné nechat klienta čekat, a ještě více agenta. Z tohoto důvodu srovnání kryptografická síla AES-XTS a AES-CBC s difuzorem Elephant ustupují do pozadí, stejně jako doporučení ke zvýšení délky klíče. Bez ohledu na to, jak je dlouhý, útočník ho snadno dostane dovnitř nešifrované formulář .

Získání uložených klíčů z účtu Microsoft nebo AD je hlavním způsobem, jak prolomit BitLocker. Pokud uživatel nezaregistroval účet v cloudu společnosti Microsoft a jeho počítač není v doméně, budou stále existovat způsoby, jak extrahovat šifrovací klíče. Při běžném provozu jsou jejich otevřené kopie vždy uloženy v paměti RAM (jinak by nedocházelo k „průhlednému šifrování“). To znamená, že jsou k dispozici v jejím výpisu a souboru hibernace.

Proč je tam vůbec drží?

Jak je to směšné - pro pohodlí úsměv. BitLocker byl navržen tak, aby chránil pouze před offline útoky. Vždy jsou doprovázeny restartem a připojením disku k jinému OS, což vede k vymazání RAM. Ve výchozím nastavení však operační systém vypíše RAM, když dojde k selhání (které může být vyprovokováno) a zapíše veškerý jeho obsah do souboru hibernace pokaždé, když počítač přejde do hlubokého spánku. Pokud jste se tedy nedávno přihlásili do Windows s povoleným BitLockerem, je velká šance, že získáte dešifrovanou kopii VMK a použijete ji k dešifrování FVEK a následně i samotných dat v řetězci.

Pojďme zkontrolovat? Všechny výše popsané metody hackování BitLockeru jsou shromážděny v jednom programu - vyvinutém domácí společností Elcomsoft. Dokáže automaticky extrahovat šifrovací klíče a připojit zašifrované svazky jako virtuální disky a dešifrovat je za běhu.

EFDD navíc implementuje další netriviální způsob získávání klíčů - útokem přes FireWire port, který je vhodné použít v případě, kdy není možné spustit váš software na napadeném počítači. Samotný program EFDD si vždy nainstalujeme na svůj počítač a na hacknutém se snažíme hospodařit s minimem nutných úkonů.

Například jen spustíme testovací systém s aktivním BitLockerem a „neviditelně“ uděláme výpis paměti. Budeme tedy simulovat situaci, kdy kolega šel na oběd a nezamkl si počítač. Spustíme ho a za necelou minutu získáme kompletní výpis v souboru s příponou .mem a velikostí odpovídající velikosti paměti RAM nainstalované v počítači oběti.

Než udělat skládku – celkem bez rozdílu. Bez ohledu na příponu se ukáže, že se jedná o binární soubor, který pak bude EFDD automaticky analyzovat při hledání klíčů.

Výpis zapíšeme na USB flash disk nebo jej přeneseme po síti, poté si sedneme k počítači a spustíme EFDD.

Vyberte možnost "Extrahovat klíče" a jako zdroj klíčů zadejte cestu k souboru s výpisem paměti.

BitLocker je typický kryptografický kontejner, jako je PGP Disk nebo TrueCrypt. Tyto kontejnery se samy o sobě ukázaly jako docela spolehlivé, ale klientské aplikace pro práci s nimi pod Windows obsahují šifrovací klíče v RAM. Proto je v EFDD implementován scénář univerzálního útoku. Program okamžitě vyhledává šifrovací klíče ze všech tří typů oblíbených krypto kontejnerů. Proto můžete nechat všechny položky zaškrtnuté – co když oběť tajně používá nebo PGP!

Po několika sekundách Elcomsoft Forensic Disk Decryptor zobrazí všechny nalezené klíče ve svém okně. Pro pohodlí je lze uložit do souboru - to se v budoucnu bude hodit.

BitLocker již není překážkou! Můžete provést klasický offline útok – například vytáhnout pevný disk a zkopírovat jeho obsah. Chcete-li to provést, jednoduše jej připojte k počítači a spusťte EFDD v režimu „dešifrovat nebo připojit disk“.

Po zadání cesty k souborům s uloženými klíči provede EFDD dle vašeho výběru úplné dešifrování svazku nebo jej okamžitě otevře jako virtuální disk. V druhém případě jsou soubory dešifrovány při přístupu. V každém případě se na původním svazku neprovádějí žádné změny, takže jej můžete druhý den vrátit, jako by se nic nestalo. Práce s EFDD probíhá beze stopy a pouze s kopiemi dat, a proto zůstává neviditelná.

BitLocker To Go

Počínaje "sedmičkou" ve Windows bylo možné šifrovat flash disky, USB-HDD a další externí média. Technologie BitLocker To Go šifruje vyměnitelné jednotky stejným způsobem jako místní jednotky. Šifrování je povoleno příslušnou položkou v kontextové nabídce Průzkumníka.

U nových disků můžete použít šifrování pouze obsazené oblasti - stejně je volné místo oddílu plné nul a není tam co skrývat. Pokud byl disk již používán, doporučuje se na něm povolit plné šifrování. V opačném případě zůstane místo označené jako volné nezašifrováno. Může obsahovat jako prostý text nedávno smazané soubory, které ještě nebyly přepsány.

I rychlé šifrování pouze rušné oblasti trvá několik minut až několik hodin. Tato doba závisí na množství dat, šířce pásma rozhraní, vlastnostech disku a rychlosti kryptografických výpočtů procesoru. Jelikož je šifrování doprovázeno kompresí, volné místo na šifrovaném disku se obvykle mírně zvětší.

Při příštím připojení šifrované jednotky flash k libovolnému počítači se systémem Windows 7 nebo novějším se automaticky spustí průvodce nástrojem BitLocker, který jednotku odemkne. V Průzkumníku se před odemknutím zobrazí jako zamčený disk.

Zde můžete využít jak již diskutované možnosti pro obcházení BitLockeru (například hledání klíče VMK ve výpisu paměti nebo souboru hibernace), tak i nové související s obnovovacími klíči.

Pokud neznáte heslo, ale podařilo se vám najít jeden z klíčů (ručně nebo pomocí EFDD), existují dvě hlavní možnosti přístupu k šifrované jednotce flash:

• použijte vestavěného průvodce BitLocker pro přímou práci s flash diskem;
• použijte EFDD k úplnému dešifrování flash disku a vytvoření jeho obrazu sektor po sektoru.

První možnost umožňuje okamžitě přistupovat k souborům zaznamenaným na flash disku, kopírovat je nebo měnit a také vypalovat své vlastní. Druhá možnost trvá mnohem déle (od půl hodiny), ale má své výhody. Dešifrovaný obraz sektor po sektoru umožňuje dále provádět jemnější analýzu souborového systému na úrovni forenzní laboratoře. V tomto případě již samotný flash disk není potřeba a lze jej vrátit beze změny.

Výsledný obrázek lze okamžitě otevřít v jakémkoli programu, který podporuje formát IMA, nebo jej nejprve převést do jiného formátu (například pomocí UltraISO).

Kromě nalezení klíče pro obnovení pro BitLocker2Go jsou samozřejmě v EFDD podporovány všechny ostatní metody obcházení BitLockeru. Stačí iterovat všechny dostupné možnosti v řadě, dokud nenajdete klíč jakéhokoli typu. Zbytek (až do FVEK) bude dešifrován samy v řetězci a vy získáte plný přístup k disku.

Závěr

Technologie šifrování celého disku BitLocker se mezi verzemi systému Windows liší. Jakmile je správně nakonfigurován, umožňuje vytvářet krypto kontejnery, které jsou teoreticky svou silou srovnatelné s TrueCrypt nebo PGP. Vestavěný mechanismus pro práci s klávesami ve Windows však neguje všechny algoritmické triky. Konkrétně klíč VMK používaný k dešifrování hlavního klíče v BitLockeru je obnoven pomocí EFDD během několika sekund z duplikátu uloženého v úschově, výpisu paměti, souboru hibernace nebo útoku na port FireWire.

Jakmile budete mít klíč, můžete provést klasický offline útok, kdy skrytě zkopírujete a automaticky dešifrujete všechna data na „chráněném“ disku. BitLocker by se proto měl používat pouze ve spojení s dalšími ochranami: Encrypting File System (EFS), Rights Management Service (RMS), Program Startup Control, Device Installation and Connection Control a přísnější místní zásady a obecná bezpečnostní opatření.

V článku byly použity materiály webu: (84ckf1r3), .