Dom komp. alfabetyzacja Włącz lub wyłącz funkcję Bitlocker w systemie Windows. Jak skonfigurować szyfrowanie danych funkcją BitLocker dla systemu Windows. Zarządzanie szyfrowaniem dysków zewnętrznych

Włącz lub wyłącz funkcję Bitlocker w systemie Windows. Jak skonfigurować szyfrowanie danych funkcją BitLocker dla systemu Windows. Zarządzanie szyfrowaniem dysków zewnętrznych

BitLocker — nowe funkcje szyfrowania dysków

Utrata poufnych danych często następuje po uzyskaniu przez atakującego dostępu do informacji na dysku twardym. Na przykład, jeśli oszust w jakiś sposób miał okazję przeczytać pliki systemowe, może spróbować użyć ich do znalezienia haseł użytkowników, wydobycia danych osobowych itp.

Windows 7 zawiera narzędzie BitLocker, które pozwala zaszyfrować cały dysk, dzięki czemu dane na nim pozostają chronione przed wzrokiem ciekawskich. Technologia Szyfrowanie funkcją BitLocker został zaprezentowany Windows Vista, aw nowym systemie operacyjnym została sfinalizowana. Wymieniamy najciekawsze innowacje:

włączenie funkcji BitLocker z menu kontekstowego Eksploratora;
automatyczne tworzenie ukrytej partycji dysku rozruchowego;
obsługa agenta odzyskiwania danych (DRA) dla wszystkich chronionych woluminów.

Odwołaj to to narzędzie zaimplementowane nie we wszystkich wydaniach systemu Windows, a jedynie w wersjach „Advanced”, „Corporate” i „Professional”.

Ochrona dysku przy użyciu technologii BitLocker pozwoli zachować poufne dane użytkownika w niemal każdych okolicznościach siły wyższej — w przypadku utraty nośników wymiennych, kradzieży, nieautoryzowanego dostępu do dysku itp. Technologię szyfrowania danych BitLocker można zastosować do dowolnych plików na dysku systemowym, a także do dowolnego dodatkowo podłączonego nośnika. Jeśli dane zawarte na zaszyfrowanym dysku zostaną skopiowane na inny nośnik, informacje zostaną przesłane bez szyfrowania.

Aby zapewnić większe bezpieczeństwo, funkcja BitLocker może korzystać z szyfrowania wielopoziomowego — jednoczesnej aktywacji kilku rodzajów ochrony, w tym metod sprzętowych i programowych. Kombinacje metod ochrony danych pozwalają uzyskać kilka różne tryby działanie systemu szyfrowania BitLocker. Każdy z nich ma swoje zalety, a także zapewnia własny poziom bezpieczeństwa:

tryb przy użyciu zaufanego modułu platformy;
tryb przy użyciu zaufanego modułu platformy i urządzenia USB;
tryb z wykorzystaniem zaufanego modułu platformy i osobistego numer identyfikacyjny(kod PIN);
w trybie przy użyciu urządzenia USB zawierającego klucz sprzętowy.

Zanim przyjrzymy się bliżej sposobowi korzystania z funkcji BitLocker, należy wprowadzić pewne wyjaśnienia. Przede wszystkim ważne jest zrozumienie terminologii. TPM to specjalny chip kryptograficzny, który umożliwia identyfikację. Taki chip można zintegrować np. w niektórych modelach laptopów, komputerów stacjonarnych, różnych urządzenia mobilne ach itd.

Ten chip przechowuje unikalny "klucz dostępu root". Taki „zszyty” mikroukład to kolejna dodatkowa niezawodna ochrona przed złamaniem kluczy szyfrujących. Gdyby dane te były przechowywane na jakimkolwiek innym nośniku, czy to na dysku twardym, czy na karcie pamięci, ryzyko utraty informacji byłoby nieproporcjonalnie większe, ponieważ dostęp do tych urządzeń jest łatwiejszy do uzyskania. Dzięki „kluczowi dostępu roota” układ może generować własne klucze szyfrowania, które mogą być odszyfrowane tylko przez moduł TPM. Hasło właściciela jest generowane przy pierwszym inicjowaniu modułu TPM. Windows 7 obsługuje TPM 1.2, a także wymaga zgodnego systemu BIOS.

Gdy ochrona jest wykonywana wyłącznie przez moduł TPM, podczas procesu włączania komputera dane są gromadzone na poziomie sprzętowym, w tym informacje o systemie BIOS, a także inne dane, których całość wskazuje na autentyczność sprzętu. Ten tryb działania jest nazywany „przezroczystym” i nie wymaga żadnych działań ze strony użytkownika - następuje sprawdzenie i, jeśli się powiedzie, pobieranie odbywa się w normalnym trybie.

Ciekawe, że komputery zawierające moduł zaufanej platformy są nadal tylko teorią dla naszych użytkowników, ponieważ import i sprzedaż takich urządzeń w Rosji i na Ukrainie jest prawnie zabroniona z powodu problemów z certyfikacją. Tym samym dla nas aktualna pozostaje tylko opcja zabezpieczenia dysku systemowego za pomocą dysku USB z kluczem dostępu.

Technologia BitLocker umożliwia zastosowanie algorytmu szyfrowania do dysków z danymi, które korzystają z systemów plików exFAT, FAT16, FAT32 lub NTFS. Jeśli na dysku systemu operacyjnego zastosowano szyfrowanie, dane na tym dysku muszą być zapisane w formacie NTFS, aby można było używać technologii BitLocker. Metoda szyfrowania wykorzystywana przez technologię BitLocker opiera się na silnym algorytmie AES z kluczem 128-bitowym.

Jedną z różnic między funkcją Bitlocker w systemie Windows 7 a podobnym narzędziem w systemie Windows Vista jest to, że nowy system operacyjny nie wymaga specjalnego partycjonowania dysku. Wcześniej użytkownik musiał użyć Narzędzie Microsoft Narzędzie BitLocker Disk Preparation Tool, teraz wystarczy określić, który dysk powinien być chroniony, a system automatycznie utworzy ukrytą partycję rozruchową na dysku używanym przez funkcję Bitlocker. Ta partycja rozruchowa zostanie użyta do uruchomienia komputera, jest przechowywana w postaci niezaszyfrowanej (w przeciwnym razie rozruch nie byłby możliwy), natomiast partycja z systemem operacyjnym będzie zaszyfrowana. W porównaniu z Windows Vista rozmiar partycji rozruchowej jest około dziesięciokrotnie mniejszy miejsca na dysku. Sekcja rozszerzona nie ma osobnej litery i nie pojawia się na liście sekcji menedżer plików.

Do zarządzania szyfrowaniem wygodnie jest użyć narzędzia w panelu sterowania o nazwie BitLocker Drive Encryption. To narzędzie to menedżer dysków, za pomocą którego można szybko szyfrować i odblokowywać dyski, a także pracować z TPM. W dowolnym momencie możesz anulować lub zawiesić szyfrowanie funkcją BitLocker w tym oknie.

⇡ BitLocker To Go — szyfrowanie urządzeń zewnętrznych

W systemie Windows 7 pojawił się nowe narzędzie- BitLocker To Go, przeznaczony do szyfrowania dowolnych dysków wymiennych - Dyski USB, karty pamięci itp. Aby włączyć szyfrowanie dysku wymiennego, musisz otworzyć „Explorer”, kliknąć prawym przyciskiem myszy żądany nośnik i wybrać „Włącz " polecenie w menu kontekstowym BitLocker" (Włącz funkcję BitLocker).

Spowoduje to uruchomienie Kreatora szyfrowania dla wybranego dysku.

Użytkownik może wybrać jedną z dwóch metod odblokowania zaszyfrowanego dysku: za pomocą hasła - w tym przypadku użytkownik będzie musiał wprowadzić kombinację zestawu znaków oraz za pomocą karty inteligentnej - w tym przypadku specjalnej karty inteligentnej Wymagany będzie kod PIN. Cała procedura szyfrowania dysku trwa dość długo – od kilku minut do pół godziny, w zależności od rozmiaru szyfrowanego dysku, a także szybkości jego działania.

Jeśli podłączysz zaszyfrowane nośniki wymienne, dostęp do dysków w zwykły sposób będzie niemożliwe, a podczas próby uzyskania dostępu do dysku użytkownik zobaczy następujący komunikat:

W Eksploratorze zmieni się również ikona dysku, do którego stosowany jest system szyfrowania.

Aby odblokować nośnik, musisz ponownie kliknąć prawym przyciskiem myszy literę multimedialną w menu kontekstowym menedżera plików i wybrać odpowiednie polecenie w menu kontekstowym. Po wprowadzeniu prawidłowego hasła w nowym oknie otworzy się dostęp do zawartości dysku, a następnie będzie można z nim pracować, a także z niezaszyfrowanymi nośnikami.

Nikogo nie dziwi fakt, że komputer osobisty może przechowywać informacje czysto osobiste lub dane firmowe o zwiększonej wartości. Niepożądane jest, aby takie informacje wpadły w ręce osób trzecich, które mogą z nich korzystać, powodując poważne problemy dla byłego właściciela komputera.

W zależności od okoliczności Bitlocker można aktywować i dezaktywować.

Z tego powodu wielu użytkowników wyraża chęć podjęcia pewnego rodzaju działań mających na celu ograniczenie dostępu do wszystkich plików przechowywanych na komputerze. Taka procedura rzeczywiście istnieje. Po dokonaniu pewnych manipulacji żadna z osób postronnych, nie znająca hasła ani klucza do jego odzyskania, nie będzie mogła uzyskać dostępu do dokumentów.

Chronić ważna informacja przed zapoznaniem się z osobami trzecimi jest możliwe, jeśli zaszyfrujesz dysk Bitlocker. Takie działania pomagają zapewnić pełną poufność dokumentów nie tylko na konkretnym komputerze, ale także w przypadku, gdy ktoś wyjmie dysk twardy i włoży go do innego komputera osobistego.

Algorytm włączania i wyłączania funkcji

Szyfrowanie dysków funkcją Bitlocker działa w systemach Windows 7, 8 i 10, ale nie we wszystkich wersjach. Zakłada się, że na płycie głównej, która jest wyposażona w konkretny komputer, na którym użytkownik chce szyfrować, musi znajdować się moduł TPM.

RADA. Nie zniechęcaj się, jeśli wiesz na pewno, że na twojej płycie głównej nie ma takiego specjalnego modułu. Istnieje kilka sztuczek, które pozwalają odpowiednio „zignorować” taki wymóg, aby zainstalować bez takiego modułu.

Przed przystąpieniem do procesu szyfrowania wszystkich plików należy wziąć pod uwagę, że ta procedura jest dość długa. Trudno podać dokładną ilość czasu. Wszystko zależy od tego, ile informacji jest dostępnych na dysku twardym. Podczas procesu szyfrowania system Windows 10 będzie nadal działał, ale jest mało prawdopodobne, że będzie w stanie zadowolić Cię swoją wydajnością, ponieważ wskaźnik wydajności zostanie znacznie zmniejszony.

Włącz funkcję

Jeśli masz zainstalowany system Windows 10 na swoim komputerze i aktywnie chcesz włączyć szyfrowanie danych, skorzystaj z naszych wskazówek, aby nie tylko odnieść sukces, ale także droga do spełnienia tego pragnienia nie będzie trudna. Początkowo znajdź klawisz „Win” na klawiaturze, czasami towarzyszy mu ikona Windows, przytrzymaj go, jednocześnie przytrzymując klawisz „R”. Jednoczesne naciśnięcie tych dwóch klawiszy otwiera okno Uruchom.

W oknie, które się otworzy, znajdziesz pustą linię, w której musisz wpisać „gpedit.msc”. Po kliknięciu przycisku „OK” otworzy się nowe okno „Edytor lokalnych zasad grupy”. W tym oknie musimy przejść kawałek.

Po lewej stronie okna znajdź i natychmiast kliknij wiersz „Konfiguracja komputera”, w podmenu, które się otworzy, znajdź „Szablony administracyjne”, a następnie w następnym podmenu, które się otworzy, przejdź do parametru znajdującego się na pierwszym miejscu na liście i o nazwie „Składniki systemu Windows”.

Teraz przenieś oczy na prawą stronę okna, w nim znajdź „Szyfrowanie dysków Bitlocker” podwójne kliknięcie przyciski myszy, aby go aktywować. Teraz otworzy się nowa lista, w której następnym celem powinna być linia „Dyski system operacyjny”. Kliknij również tę linię, wystarczy wykonać jeszcze jedno przejście, aby zbliżyć się do okna, w którym Bitlocker zostanie bezpośrednio skonfigurowany, co pozwoli ci go włączyć, co jest dokładnie tym, czego chcesz.

Znajdź wiersz „To ustawienie zasad umożliwia skonfigurowanie wymagania dodatkowego uwierzytelniania podczas uruchamiania”, rozwiń to ustawienie, klikając dwukrotnie. W otwartym oknie znajdziesz żądane słowo „Włącz”, obok którego znajdziesz checkbox, w którym musisz umieścić konkretny checkmark w postaci haczyka Twojej zgody.

Nieco niżej w tym oknie znajduje się podsekcja „Platformy”, w której należy zaznaczyć checkbox przy sugestii korzystania z funkcji BitLocker bez specjalnego modułu. Jest to bardzo ważne, zwłaszcza jeśli twój Windows 10 nie ma modułu TPM.

Ustawienie żądanej funkcji w tym oknie zostało zakończone, więc możesz je zamknąć. Teraz przesuń kursor myszy na ikonę Windows, po prostu kliknij ją prawym przyciskiem myszy, co pozwoli na pojawienie się dodatkowego podmenu. Znajdziesz w nim wiersz „Panel sterowania”, przejdź do niego, a następnie do następnego wiersza „Szyfrowanie dysków Bitlocker”.

Nie zapomnij wskazać, gdzie chcesz zaszyfrować. Można to zrobić zarówno na dyskach twardych, jak i wymiennych. Po wybraniu żądanego obiektu kliknij przycisk „Włącz funkcję Bitlocker”.

Teraz system Windows 10 rozpocznie automatyczny proces, od czasu do czasu zwracając twoją uwagę, prosząc o określenie swoich pragnień. Oczywiście najlepiej zrobić to przed wykonaniem takiego procesu utworzyć kopię zapasową. W przeciwnym razie, jeśli hasło i klucz do niego zostaną utracone, nawet właściciel komputera nie będzie w stanie odzyskać informacji.

Następnie rozpocznie się proces przygotowania dysku do późniejszego szyfrowania. Podczas tego procesu nie wolno wyłączać komputera, ponieważ może to spowodować poważne uszkodzenie systemu operacyjnego. Po takiej awarii po prostu nie będzie można uruchomić odpowiednio systemu Windows 10, zamiast szyfrowania, musisz zainstalować nowy system operacyjny, poświęcając dodatkowy czas.

Gdy tylko przygotowanie dysku zostanie pomyślnie zakończone, rozpoczyna się właściwa konfiguracja dysku pod kątem szyfrowania. Zostaniesz poproszony o podanie hasła, które umożliwi późniejszy dostęp do zaszyfrowanych plików. Zostaniesz również poproszony o wymyślenie i wprowadzenie klucza odzyskiwania. Oba te ważne elementy najlepiej przechowywać w bezpiecznym miejscu, najlepiej wydrukować. Bardzo głupie jest przechowywanie hasła i klucza odzyskiwania na samym komputerze.

Podczas procesu szyfrowania system może zapytać, którą część konkretnie chcesz zaszyfrować. Najlepiej poddać tej procedurze całą przestrzeń dyskową, chociaż istnieje możliwość zaszyfrowania tylko zajętego miejsca.

Pozostaje wybrać opcję „Nowy tryb szyfrowania”, a następnie uruchomić automatyczne sprawdzenie System operacyjny BitLocker. Następnie system będzie bezpiecznie kontynuował proces, po czym zostaniesz poproszony o ponowne uruchomienie komputera. Oczywiście spełnij to wymaganie, uruchom ponownie.

Po kolejnym uruchomieniu systemu Windows 10 upewnisz się, że dostęp do dokumentów bez podania hasła będzie niemożliwy. Proces szyfrowania będzie kontynuowany, możesz go kontrolować, klikając ikonę BitLocker znajdującą się na panelu powiadomień.

Wyłączanie funkcji

Jeśli z jakiegoś powodu pliki na twoim komputerze nie mają już dużego znaczenia i naprawdę nie lubisz wprowadzać hasła za każdym razem, aby uzyskać do nich dostęp, sugerujemy po prostu wyłączenie funkcji szyfrowania.

Aby wykonać takie czynności, przejdź do panelu powiadomień, znajdź tam ikonę BitLocker, kliknij na nią. U dołu otwartego okna znajdziesz wiersz „Zarządzanie funkcją BitLocker”, kliknij go.

Teraz system poprosi Cię o wybranie preferowanej akcji:

wykonaj kopię zapasową klucza odzyskiwania;
zmienić hasło dostępu do zaszyfrowanych plików;
usuń wcześniej Ustaw hasło;
wyłączyć funkcję BitLocker.

Oczywiście, jeśli zdecydujesz się wyłączyć funkcję BitLocker, powinieneś wybrać ostatnią oferowaną opcję. Na ekranie natychmiast pojawi się nowe okno, w którym system chce się upewnić, że naprawdę chcesz wyłączyć funkcję szyfrowania.

UWAGA. Po kliknięciu przycisku „Wyłącz funkcję BitLocker” proces odszyfrowywania rozpocznie się natychmiast. Niestety proces ten nie charakteryzuje się dużą szybkością, więc zdecydowanie trzeba się przez chwilę dostroić, podczas którego trzeba tylko poczekać.

Oczywiście, jeśli musisz w tej chwili korzystać z komputera, możesz sobie na to pozwolić, nie ma na to kategorycznego zakazu. Powinieneś jednak nastawić się na to, że wydajność komputera w tym momencie może być bardzo niska. Zrozumienie przyczyny tego spowolnienia nie jest trudne, ponieważ system operacyjny musi odblokować ogromną ilość informacji.

Tak więc, chcąc zaszyfrować lub odszyfrować pliki na komputerze, wystarczy zapoznać się z naszymi zaleceniami, a następnie bez pośpiechu wykonać każdy krok wskazanego algorytmu, a po zakończeniu cieszyć się osiągniętym wynikiem.

Cześć przyjaciele! W tym artykule będziemy kontynuować badanie systemów wbudowanych w okna, które mają na celu zwiększenie bezpieczeństwa naszych danych. Dziś jest to system szyfrowania dysków Bitlocker. Szyfrowanie danych jest konieczne, aby zapewnić, że Twoje informacje nie będą wykorzystywane przez osoby obce. Jak się tam dostaje, to inna sprawa.

Szyfrowanie to proces przekształcania danych w taki sposób, aby dostęp do nich miały tylko odpowiednie osoby. Klucze lub hasła są zwykle używane do uzyskania dostępu.

Szyfrowanie całego dysku uniemożliwia dostęp do danych po podłączeniu twardy dysk do innego komputera. System osoby atakującej może mieć zainstalowany inny system operacyjny w celu obejścia ochrony, ale nie pomoże to w przypadku korzystania z funkcji BitLocker.

Technologia BitLocker pojawiła się wraz z wydaniem systemu operacyjnego Windows Vista i została ulepszona w systemie Windows 7. Funkcja BitLocker jest dostępna w wersjach Windows 7 Ultimate i Enterprise, a także w Windows 8 Pro. Właściciele innych wersji będą musieli szukać alternatywy.

Jak działa szyfrowanie dysków funkcją BitLocker

Bez wchodzenia w szczegóły wygląda to tak. System szyfruje cały dysk i daje do niego klucze. Jeśli szyfrujesz dysk systemowy wtedy bez klucza komputer się nie uruchomi. Tak samo jak klucze do mieszkania. Masz je, wpadniesz w to. Zgubiony, musisz użyć zapasowego (kod odzyskiwania (nadany podczas szyfrowania)) i zmienić zamek (wykonaj szyfrowanie ponownie innymi kluczami)

W celu zapewnienia niezawodnej ochrony pożądane jest zainstalowanie na komputerze modułu Trusted Platform Module (TPM). Jeśli tak, a jego wersja to 1.2 lub nowsza, będzie zarządzać procesem i będziesz mieć silniejsze metody ochrony. Jeśli go tam nie ma, będzie można użyć tylko klucza na dysku USB.

BitLocker działa w następujący sposób. Każdy sektor dysku jest szyfrowany oddzielnie przy użyciu klucza (klucz szyfrowania pełnego woluminu, FVEK). Wykorzystywany jest algorytm AES z kluczem 128-bitowym i dyfuzorem. Klucz można zmienić na 256 bit zasady grupy bezpieczeństwo.

Aby to zrobić, użyjemy wyszukiwania w systemie Windows 7. Otwórz menu Start i wpisz „polityki” w polu wyszukiwania i wybierz Zmień politykę grupy

W oknie, które otwiera się po lewej stronie, podążaj ścieżką

Konfiguracja komputera > Szablony administracyjne > elementy okien> Szyfrowanie dysków funkcją BitLocker

Po prawej stronie kliknij dwukrotnie Wybierz metodę szyfrowania dysku i siłę szyfrowania

W oknie, które zostanie otwarte, kliknij Włącz profil. W sekcji Wybierz metodę szyfrowania wybierz żądaną metodę szyfrowania z listy rozwijanej

Najbardziej niezawodny jest AES z 256-bitowym kluczem dyfuzora. W takim przypadku najprawdopodobniej obciążenie procesora centralnego będzie nieco wyższe, ale niewiele, a na nowoczesnych komputerach nie zauważysz różnicy. Ale dane będą bezpieczniejsze.

Zastosowanie dyfuzora dodatkowo zwiększa niezawodność, ponieważ prowadzi do znacznej zmiany zaszyfrowanych informacji z niewielką zmianą danych oryginalnych. Oznacza to, że podczas szyfrowania dwóch sektorów z prawie tymi samymi danymi wynik będzie znacznie inny.

Sam klucz FVEK znajduje się wśród metadanych dysku twardego i jest również zaszyfrowany przy użyciu klucza głównego woluminu (VMK). VMK jest również szyfrowany za pomocą modułu TPM. Jeśli brakuje tego ostatniego, użyj klucza na dysku USB.

Jeśli Pamięć USB gdy klucz nie jest dostępny, należy użyć 48-cyfrowego kodu odzyskiwania. Następnie system będzie mógł odszyfrować klucz główny woluminu, za pomocą którego odszyfruje klucz FVEK, za pomocą którego zostanie odblokowany dysk i uruchomi się system operacyjny.

Ulepszenie funkcji BitLocker w systemie Windows 7

Podczas instalowania systemu Windows 7 z dysku flash USB lub dysku pojawi się monit o partycjonowanie lub skonfigurowanie dysku. Podczas konfigurowania dysku tworzona jest dodatkowa partycja rozruchowa o wielkości 100 MB. Prawdopodobnie nie tylko ja miałam pytania dotyczące jego wizyty. To właśnie ta sekcja jest potrzebna do działania technologii Bitlocker.

Ta partycja jest ukryta i bootowalna i nie jest zaszyfrowana, w przeciwnym razie nie byłoby możliwe uruchomienie systemu operacyjnego.

W systemie Windows Vista ta partycja lub wolumin musi mieć 1,5 GB. W Windows 7 było to 100 MB.

Jeśli podczas instalacji systemu operacyjnego zrobiłeś awarię programy stron trzecich, czyli nie utworzyli partycji rozruchowej, a następnie w Windows 7 BitLocker przygotuje pożądana sekcja. W systemie Windows Vista musiałbyś go utworzyć za pomocą dodatkowego oprogramowania dostarczonego z systemem operacyjnym.

Również w systemie Windows 7 pojawiła się technologia BitLocker To Go do szyfrowania dysków flash i zewnętrznych dyski twarde. Przyjrzyjmy się temu później.

Jak włączyć szyfrowanie dysków funkcją BitLocker

Domyślnie funkcja BitLocker jest skonfigurowana do uruchamiania od modułu TPM i nie chce się uruchamiać, jeśli nie jest dostępna. (Najpierw po prostu spróbuj włączyć szyfrowanie, a jeśli się uruchomi, nie musisz niczego wyłączać w zasadach grupy)

Aby rozpocząć szyfrowanie, przejdź do Panel sterowania\System i zabezpieczenia\Szyfrowanie dysków funkcją BitLocker

Wybierać żądany dysk(w naszym przykładzie jest to partycja systemowa) i kliknij Włącz funkcję BitLocker

Jeśli zobaczysz zdjęcie jak poniżej

polityka grupy wymaga edycji.

Korzystając z wyszukiwania z menu Start, nazywamy Edytor lokalnych zasad grupy

jestem w drodze

Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski systemu operacyjnego

Po prawej stronie wybierz Wymagaj dodatkowego uwierzytelnienia

W oknie, które zostanie otwarte, kliknij Włącz, a następnie zaznacz pole wyboru Zezwalaj na korzystanie z funkcji BitLocker bez kompatybilnego modułu TPM i kliknij OK

Następnie można uruchomić funkcję BitLocker. Zostaniesz poproszony o wybranie jedynej opcji ochrony - Monituj o klucz startowy podczas uruchamiania. To właśnie wybieramy

Wkładamy dysk flash USB, na którym zostanie zapisany klucz uruchamiania, i klikamy Zapisz

Teraz musisz zapisać klucz odzyskiwania, na wypadek gdyby dysk flash z kluczem uruchamiania nie znajdował się w strefie dostępu. Możesz zapisać klucz na pendrive (najlepiej innym), zapisać klucz w pliku do późniejszego przeniesienia na inny komputer lub od razu go wydrukować.

Klucz odzyskiwania należy oczywiście przechowywać w bezpiecznym miejscu. zapisz klucz do pliku

Klucz odzyskiwania jest prosty Dokument tekstowy z kluczem

Następnie zobaczysz ostatnie okno, w którym przed zaszyfrowaniem dysku zaleca się uruchomienie sprawdzania systemu BitLocker. Kliknij Kontynuuj

Zapisz wszystko otwarte dokumenty i kliknij Uruchom ponownie teraz

Oto, co zobaczysz, jeśli coś pójdzie nie tak

Jeśli wszystko działa, to po ponownym uruchomieniu komputera rozpocznie się szyfrowanie

Czas zależy od mocy procesora, pojemności szyfrowanej partycji lub woluminu oraz szybkości wymiany danych z dyskiem (SSD lub HDD). Zapełniony prawie po brzegi dysk SSD o pojemności 60 GB jest szyfrowany w 30 minut, podczas gdy dobrowolne przetwarzanie rozproszone nadal działa.

Po zakończeniu szyfrowania zobaczysz następujący obraz

Zamknij okno i sprawdź, czy klucz startowy i klucz odzyskiwania znajdują się w bezpiecznym miejscu.

Szyfrowanie dysków flash — funkcja BitLocker To Go

Wraz z pojawieniem się technologii BitLocker To Go w systemie Windows 7 stało się możliwe szyfrowanie dysków flash, kart pamięci i zewnętrznych dyski twarde. Jest to bardzo wygodne, ponieważ znacznie łatwiej zgubić pamięć flash niż laptop i netbook.

Poprzez poszukiwanie lub chodzenie ścieżką

Start > Panel sterowania > System i zabezpieczenia > Szyfrowanie dysków funkcją BitLocker

otwórz okno sterowania. Włóż dysk flash USB, który chcesz zaszyfrować, i w sekcji BitLocker To Go włącz szyfrowanie dla żądanego dysku USB

Musisz wybrać metodę odblokowania dysku. Wybór nie jest wielki ani hasło, ani karta SIM z kodem PIN. Karty SIM są wydawane przez specjalne działy w dużych korporacjach. Użyjmy proste hasło.

Zaznacz pole, aby użyć hasła do odblokowania dysku i wprowadź hasło dwukrotnie. Domyślnie minimalna długość hasła to 8 znaków (można zmienić w politykach grupowych). Kliknij Następny

Wybierz, w jaki sposób zapiszemy klucz odzyskiwania. Niezawodnie, prawdopodobnie, wydrukuje. Zapisz i kliknij Dalej

Kliknij Rozpocznij szyfrowanie i chroń swoje dane

Czas szyfrowania zależy od pojemności dysku flash, jego zapełnienia informacjami, mocy procesora oraz szybkości wymiany danych z komputerem.

W przypadku pojemnych dysków flash lub zewnętrznych dysków twardych ta procedura może zająć dużo czasu. Teoretycznie proces można zakończyć na innym komputerze. Aby to zrobić, wstrzymaj szyfrowanie i poprawnie usuń dysk. Włóż go do innego komputera, odblokuj, wprowadzając hasło, a szyfrowanie będzie kontynuowane automatycznie.

Teraz, podczas instalowania dysku flash w komputerze, pojawi się poniższe okno z prośbą o podanie hasła

Jeśli ufasz temu komputerowi i nie chcesz ciągle wprowadzać hasła, zaznacz pole Automatycznie odblokuj ten komputer w przyszłości i kliknij Odblokuj. Na tym komputerze nie będziesz już musiał wprowadzać hasła do tego dysku flash.

Aby informacje o zaszyfrowanym dysku USB mogły być używane na komputerach z systemem Windows Vista lub Windows XP, dysk flash USB musi być sformatowany w systemie plików FAT32. W tych systemach operacyjnych możliwe będzie odblokowanie dysku flash tylko poprzez wprowadzenie hasła, a informacje będą tylko do odczytu. Informacje o nagrywaniu nie są dostępne.

Zarządzanie zaszyfrowanymi partycjami

Zarządzanie odbywa się z okna Szyfrowanie dysków funkcją BitLocker. Możesz znaleźć to okno za pomocą wyszukiwania lub możesz przejść do adresu

Panel sterowania > System i zabezpieczenia > Szyfrowanie dysków funkcją BitLocker

Możesz wyłączyć szyfrowanie, klikając opcję Wyłącz funkcję BitLocker. W takim przypadku dysk lub wolumin jest odszyfrowywany. Zajmie to trochę czasu i nie będą potrzebne żadne klucze.

W tym miejscu możesz również wstrzymać ochronę.

Ta funkcja zaleca się używać podczas aktualizacji BIOS-u lub edycji dysku rozruchowego. (Ten sam o pojemności 100 MB). Ochronę można wstrzymać tylko na dysku systemowym (partycji lub woluminie, na którym jest zainstalowany system Windows).

Dlaczego szyfrowanie powinno być wstrzymane? Aby funkcja BitLocker nie blokowała dysku i nie korzystała z procedury odzyskiwania. Ustawienia systemowe (BIOS i zawartość partycji rozruchowej) są naprawione podczas szyfrowania dla dodatkowa ochrona. Ich zmiana może spowodować blokadę komputera.

Jeśli wybierzesz Zarządzaj funkcją BitLocker, będziesz mógł zapisać lub wydrukować klucz odzyskiwania i zduplikować klucz uruchamiania

Jeśli zgubisz jeden z kluczy (klucz startowy lub klucz odzyskiwania), możesz je tutaj przywrócić.

Zarządzanie szyfrowaniem dyski zewnętrzne

Do zarządzania ustawieniami szyfrowania dysku flash dostępne są następujące funkcje

Możesz zmienić hasło odblokowujące. Hasło można usunąć tylko wtedy, gdy do odblokowania blokady używana jest karta inteligentna. Możesz także zapisać lub wydrukować klucz odzyskiwania i automatycznie włączyć zwolnienie blokady dysku dla tego komputera.

Przywracanie dostępu do dysku

Przywracanie dostępu do dysku systemowego

Jeśli dysk flash z kluczem znajduje się poza strefą dostępu, klucz odzyskiwania wchodzi w grę. Po uruchomieniu komputera zobaczysz coś takiego jak na poniższym obrazku

Aby przywrócić dostęp i okna rozruchowe, naciśnij Enter

Zobaczymy ekran z prośbą o wprowadzenie klucza odzyskiwania

Po wprowadzeniu ostatniej cyfry, pod warunkiem, że klucz odzyskiwania jest poprawny, system operacyjny uruchomi się automatycznie.

Przywracanie dostępu do dysków wymiennych

Aby przywrócić dostęp do informacji na dysku flash lub zewnętrzny dysk twardy kliknij Nie pamiętasz hasła?

Wybierz Wprowadź klucz odzyskiwania

i wprowadź ten okropny 48-cyfrowy kod. Kliknij Następny

Jeśli klucz odzyskiwania pasuje, dysk zostanie odblokowany

Pojawi się łącze do Zarządzaj funkcją BitLocker, w którym możesz zmienić hasło, aby odblokować dysk.

Wniosek

W tym artykule dowiedzieliśmy się, jak możemy chronić nasze informacje, szyfrując je za pomocą wbudowanego narzędzia BitLocker. To frustrujące, że ta technologia jest dostępna tylko w starszych lub zaawansowanych wersjach systemu Windows. Stało się również jasne, dlaczego ta ukryta i rozruchowa partycja o rozmiarze 100 MB jest tworzona podczas konfigurowania dysku okna.

Być może skorzystam z szyfrowania dysków flash lub zewnętrznych dysków twardych. Ale jest to mało prawdopodobne, ponieważ w formie istnieją dobre zamienniki usługi w chmurze przechowywanie danych, takie jak DropBox, Google Drive, Yandex Drive i tym podobne.

Z pozdrowieniami, Anton Dyachenko

YouPK.ru

Włącz lub wyłącz funkcję Bitlocker w systemie Windows

W zależności od okoliczności Bitlocker można aktywować i dezaktywować.

Z tego powodu wielu użytkowników wyraża chęć podjęcia pewnego rodzaju działania skoncentrowanego na ograniczony dostęp do wszystkich plików przechowywanych na komputerze. Taka procedura rzeczywiście istnieje. Po dokonaniu pewnych manipulacji żadna z osób postronnych, nie znająca hasła ani klucza do jego odzyskania, nie będzie mogła uzyskać dostępu do dokumentów.

Możliwe jest zabezpieczenie ważnych informacji przed dostępem osób trzecich poprzez szyfrowanie dysku Bitlocker. Takie działania pomagają zapewnić pełną poufność dokumentów nie tylko na konkretnym komputerze, ale także w przypadku, gdy ktoś wyjmie dysk twardy i włoży go do innego komputera osobistego.

Algorytm włączania i wyłączania funkcji

Szyfrowanie dysków funkcją Bitlocker odbywa się w systemach Windows 7, 8 i 10, ale nie we wszystkich wersjach. Zakłada się, że na płycie głównej, która jest wyposażona w konkretny komputer, na którym użytkownik chce szyfrować, musi znajdować się moduł TPM.

Włącz funkcję

Jeśli na twoim komputerze jest zainstalowany system Windows 10 i masz aktywne pragnienie włączenia szyfrowania danych, skorzystaj z naszych wskazówek, aby nie tylko odnieść sukces, ale także droga do spełnienia takiego pragnienia nie będzie trudna. Początkowo znajdź klawisz „Win” na klawiaturze, czasami towarzyszy mu ikona Windows, przytrzymaj go, jednocześnie przytrzymując klawisz „R”. Jednoczesne naciśnięcie tych dwóch klawiszy otwiera okno Uruchom.

Teraz przenieś oczy na prawą stronę okna, znajdź w nim „Szyfrowanie dysków Bitlocker”, kliknij dwukrotnie, aby je aktywować. Teraz otworzy się nowa lista, w której następnym celem powinna być linia „Dyski systemu operacyjnego”. Kliknij również tę linię, wystarczy wykonać jeszcze jedno przejście, aby zbliżyć się do okna, w którym Bitlocker zostanie bezpośrednio skonfigurowany, co pozwoli ci go włączyć, co jest dokładnie tym, czego chcesz.

Ustawienie żądanej funkcji w tym oknie zostało zakończone, więc możesz je zamknąć. Teraz najedź myszą na ikonę Windows, po prostu kliknij ją prawym przyciskiem myszy, co pozwoli na pojawienie się dodatkowego podmenu. Znajdziesz w nim wiersz „Panel sterowania”, przejdź do niego, a następnie do następnego wiersza „Szyfrowanie dysków Bitlocker”.

Nie zapomnij wskazać, gdzie chcesz zaszyfrować. Można to zrobić zarówno na dyskach twardych, jak i wymiennych. Po wybraniu żądanego obiektu kliknij przycisk „Włącz funkcję Bitlocker”.

Teraz system Windows 10 rozpocznie automatyczny proces, od czasu do czasu zwracając twoją uwagę, prosząc o określenie swoich pragnień. Oczywiście najlepiej zrobić kopię zapasową przed wykonaniem takiego procesu. W przeciwnym razie, jeśli hasło i klucz do niego zostaną utracone, nawet właściciel komputera nie będzie w stanie odzyskać informacji.

Następnie rozpocznie się proces przygotowania dysku do późniejszego szyfrowania. Podczas tego procesu nie wolno wyłączać komputera, ponieważ może to spowodować poważne uszkodzenie systemu operacyjnego. Po takiej awarii po prostu nie będziesz mógł uruchomić odpowiednio systemu Windows 10, zamiast szyfrowania, będziesz musiał zainstalować nowy system operacyjny, spędzając dodatkowy czas.

Pozostaje wybrać taką opcję, jak „Nowy tryb szyfrowania”, a następnie uruchomić automatyczne sprawdzenie systemu operacyjnego BitLocker. Następnie system będzie bezpiecznie kontynuował proces, po czym zostaniesz poproszony o ponowne uruchomienie komputera. Oczywiście spełnij to wymaganie, uruchom ponownie.

Wyłączanie funkcji

Teraz system poprosi Cię o wybranie preferowanej akcji:

wykonaj kopię zapasową klucza odzyskiwania;
zmienić hasło dostępu do zaszyfrowanych plików;
usuń wcześniej ustawione hasło;
wyłączyć funkcję BitLocker.

NastroyVse.ru

Konfiguracja Bitlockera

Bitlocker to narzędzie, które zapewnia szyfrowanie danych na poziomie woluminu (wolumin może zajmować część dysku lub może zawierać tablicę kilku dysków). Bitlocker służy do ochrony danych w przypadku utraty lub kradzieży laptopa / komputer. W oryginalnej wersji funkcja BitLocker chroniła tylko jeden wolumin — dysk systemu operacyjnego. Funkcja BitLocker jest dołączona do wszystkich edycji Server 2008 R2 i Server 2008 (z wyjątkiem edycji Itanium), a także do systemów Windows 7 Ultimate i Enterprise oraz Windows Vista. W wersjach Windows Server 2008 i Vista SP1 firma Microsoft wdrożyła zabezpieczenia dla różnych woluminów, w tym lokalnych woluminów danych. W wersjach Windows Server 2008 R2 i Windows 7 programiści dodali obsługę wymiennych urządzeń pamięci masowej (dyski flash USB i zewnętrzne dyski twarde). Ta funkcja nazywa się BitLocker To Go. Technologia BitLocker wykorzystuje algorytm szyfrowania AES, klucz może być przechowywany w module TMP (Trusted Platform Module - specjalnym układzie instalowanym w komputerze podczas jego produkcji, który zapewnia przechowywanie kluczy szyfrowania) lub w urządzeniu USB. Możliwe są następujące kombinacje dostępu:

TPM - TPM + PIN - TPM + PIN + klucz USB - TPM + klucz USB - klucz USB

Przejdź do Komputer i kliknij prawym przyciskiem myszy dysk lokalny, który chcemy zaszyfrować (w ten przykład Zaszyfrujemy dysk lokalny C) i wybierzemy „Włącz funkcję BitLocker”.

Po wykonaniu tych kroków zobaczymy błąd.

Jest to zrozumiałe, jak już pisałem - na tym komputerze nie ma modułu TMP i oto wynik, ale to wszystko można łatwo naprawić, po prostu przejdź do lokalnych polityk komputera i zmień tam ustawienia, w tym celu musisz przejdź do edytora polityka lokalna- piszemy w polu wyszukiwania gpedit.msc i naciskamy „Enter”.

W rezultacie otworzy się okno lokalnych zasad, przejdź do ścieżki "Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Szyfrowanie dysków funkcją Bit-Locker - Dyski systemu operacyjnego" i w zasadach Wymagaj dodatkowego uwierzytelnienia przy uruchomieniu ustaw opcję Włącz, należy również zwrócić uwagę na pole wyboru Zezwalaj na korzystanie z funkcji BitLocker bez kompatybilnego modułu TPM Kliknij „OK”.

Teraz, jeśli powtórzysz pierwsze kroki, aby włączyć funkcję BitLocker na dysku lokalnym, otworzy się okno konfiguracji szyfrowania dysku, podczas uruchamiania wybierz „Zażądaj klucza startowego” (nie mieliśmy jednak wyboru, jest to spowodowane brak TPM).

W kolejnym oknie wybierz urządzenie USB, na którym będzie przechowywany klucz.

Następnie wybieramy, gdzie zapiszemy klucz odzyskiwania (jest to klucz, który jest wprowadzany ręcznie w przypadku utraty nośnika z kluczem głównym), polecam zrobić to na innym dysku USB lub na innym komputerze lub wydrukować go jeśli zapiszesz klucz odzyskiwania na tym samym komputerze lub na tym samym dysku USB, nie będzie można uruchomić systemu Windows, jeśli utracisz pamięć USB, na której zapisany jest klucz. W tym przykładzie zapisałem na innym dysku USB.

W następnym oknie rozpoczynamy sprawdzanie systemu Bitlocker, klikając przycisk „Kontynuuj”, po czym komputer uruchomi się ponownie.

Po uruchomieniu komputera pojawi się okno procesu szyfrowania. Często jest to długa procedura, która zajmuje kilka godzin.

W efekcie mamy zaszyfrowany dysk C, który nie uruchomi się bez dysku USB z kluczem lub kluczem odzyskiwania.

pk-pomoc.com

Jak skonfigurować szyfrowanie danych funkcją BitLocker dla systemu Windows

Aby zabezpieczyć się przed nieautoryzowanym dostępem do plików przechowywanych na dysku twardym, a także na dyskach wymiennych (dyskach zewnętrznych lub dyskach flash USB), użytkownicy systemu Windows mają możliwość ich szyfrowania za pomocą wbudowanego oprogramowania szyfrującego BitLocker i BitLocker To Go.

Program do szyfrowania BitLocker i BitLocker To Go jest preinstalowany w wersjach Professional i Enterprise systemu Windows 8/8.1, a także w wersji Ultimate systemu Windows 7. Jednak użytkownicy podstawowej wersji systemu Windows 8.1 mają również dostęp do takiej opcji jak „Szyfrowanie urządzeń”, które działa jako odpowiednik funkcji BitLocker w bardziej zaawansowanych wersjach systemu operacyjnego.

Włącz szyfrowanie funkcją BitLocker

Aby włączyć program do szyfrowania BitLocker, otwórz Panel sterowania, a następnie wykonaj kroki - System i zabezpieczenia > Szyfrowanie dysków funkcją BitLocker. Możesz też otworzyć Eksplorator Windows(„Komputer”), kliknij prawym przyciskiem myszy wybrany dysk i wybierz „Włącz funkcję BitLocker” z menu rozwijanego. Jeśli powyższej linii nie ma w menu, oznacza to, że masz niewłaściwą wersję okien OC.

Aby włączyć funkcję BitLocker dla dysku systemowego, dysku danych lub dysku wymiennego, należy wybrać opcję Włącz funkcję BitLocker.

W tym oknie dostępne są 2 rodzaje szyfrowania dysków funkcją BitLocker:

„Szyfrowanie dysków funkcją BitLocker — dyski twarde”: ta funkcja umożliwia szyfrowanie całego dysku. Po uruchomieniu komputera bootloader systemu Windows załaduje dane z obszaru dysku twardego, zarezerwowane przez system i zostaniesz poproszony o podanie określonego typu odblokowania, na przykład o podanie hasła. BitLocker wykona następnie proces odszyfrowywania danych, a proces uruchamiania systemu Windows będzie kontynuowany. Innymi słowy, szyfrowanie można traktować jako proces niewidoczny dla użytkownika. Jak zwykle pracujesz z plikami i danymi, które z kolei są zaszyfrowane na dysku. Ponadto możesz zastosować szyfrowanie nie tylko dla dysków systemowych.
„Szyfrowanie dysków funkcją BitLocker — funkcja BitLocker To Go”: dyski zewnętrzne, takie jak Urządzenia USB Pamięć flash lub zewnętrzne dyski twarde można zaszyfrować za pomocą narzędzia BitLocker To Go. Gdy podłączysz zaszyfrowane urządzenie do swojego komputera, zostaniesz poproszony np. o podanie hasła, które uchroni Twoje dane przed obcymi osobami.

Korzystanie z funkcji BitLocker bez modułu TPM

Podczas próby szyfrowania za pomocą funkcji BitLocker na komputerze bez zainstalowanego sprzętowego modułu TPM (Trusted Platform Module) otworzy się następujące okno z komunikatem umożliwiającym włączenie opcji „Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM” (Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM).

Program do szyfrowania BitLocker wymaga komputera ze sprzętowym modułem TPM do ochrony dysku systemowego w celu prawidłowego działania. TPM to mały układ scalony zainstalowany na płycie głównej. Funkcja BitLocker może przechowywać w nim klucze szyfrowania, co jest bezpieczniejszą opcją niż przechowywanie ich na zwykłym dysku danych. Moduł TPM udostępnia klucze tylko po uruchomieniu i sprawdzeniu stanu systemu, co eliminuje możliwość odszyfrowania danych w przypadku kradzieży dysku twardego lub utworzenia obrazu zaszyfrowanego dysku do włamania na innym komputerze.

Aby włączyć powyższą opcję, musisz mieć uprawnienia administratora. Wystarczy otworzyć „Edytor lokalnych zasad grupy” i włączyć następującą opcję.

Kombinacja prasy Wygraj klucze+ R, aby uruchomić okno dialogowe Uruchom, wpisz gpedit.msc. Następnie przejdź do następujących punktów - Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski systemu operacyjnego. Kliknij dwukrotnie element „Wymagaj dodatkowego uwierzytelniania przy starcie” (Wymagaj dodatkowego uwierzytelniania podczas uruchamiania), wybierz opcję „Włącz” (Włączone) i zaznacz pole „Zezwalaj na funkcję BitLocker bez zgodnego TPM” (Zezwalaj na funkcję BitLocker bez zgodnego TPM) . Kliknij „Zastosuj”, aby zapisać ustawienia.

Wybór metody zwalniania blokady dysku

Po pomyślnym wykonaniu powyższych kroków zostaniesz poproszony o okno „Wybierz sposób odblokowania dysku podczas uruchamiania”. Jeśli Twój komputer nie ma modułu TPM, możesz wybrać dwie opcje: wprowadź hasło lub użyj specjalnego dysku flash USB (karty inteligentnej) jako klucza odblokowującego.

Jeśli moduł TPM jest obecny na płycie głównej, dostępnych będzie więcej opcji. Na przykład można ustawić automatyczne odblokowywanie podczas uruchamiania komputera - wszystkie klucze zostaną zapisane w module TPM i zostaną automatycznie użyte do odszyfrowania danych na dysku. Możesz także umieścić hasło na PIN-ie bootloadera, co dodatkowo odblokuje klucze deszyfrujące przechowywane w TPM, a następnie cały dysk.

Wybierz metodę, która najbardziej Ci odpowiada i postępuj zgodnie z instrukcjami instalatora.

Utwórz klucz zapasowy

Funkcja BitLocker daje również możliwość utworzenia klucza zapasowego. Ten klucz będzie używany do uzyskiwania dostępu do zaszyfrowanych danych w przypadku zapomnienia lub utraty klucza głównego, na przykład zapomnienia hasła dostępu do klucza lub przeniesienia dysku twardego na nowy komputer z nowym modułem TPM itp.

Możesz zapisać klucz do pliku, wydrukować go, umieścić na zewnętrzne USB dysk lub zapisz na swoim koncie Microsoft (dla użytkownicy Windows 8 i 8.1). Najważniejsze jest, aby mieć pewność, że ten klucz zapasowy jest przechowywany w bezpiecznym miejscu, w przeciwnym razie atakujący może łatwo ominąć funkcję BitLocker i uzyskać dostęp do wszystkich interesujących go danych. Mimo to konieczne jest utworzenie klucza zapasowego, ponieważ jeśli zgubisz klucz główny bez kopii zapasowej, stracisz wszystkie dane.

Szyfrowanie i odszyfrowywanie dysku

Funkcja BitLocker automatycznie zaszyfruje nowe pliki, gdy staną się dostępne, jednak musisz wybrać sposób szyfrowania pozostałego miejsca na dysku. Możesz zaszyfrować cały dysk (w tym wolne miejsce) - druga opcja na poniższym zrzucie ekranu lub tylko pliki - pierwsza opcja, która przyspieszy proces szyfrowania.

W przypadku korzystania z funkcji BitLocker na nowym komputerze (co oznacza świeżo zainstalowany system operacyjny), lepiej użyć szyfrowania zajęty plikami miejsca, ponieważ zajmie to trochę czasu. Jednak w przypadku włączenia szyfrowania dysku, który jest używany przez długi czas, lepiej jest użyć metody, która szyfruje cały dysk, nawet przy wolnym miejscu. Ta metoda uniemożliwi przywrócenie poprzednio niezaszyfrowanego usunięte pliki. Tak więc pierwsza metoda jest szybsza, a druga bardziej niezawodna.

Jeśli dalej skonfigurujesz szyfrowanie funkcją BitLocker, przeanalizuje on system i ponownie uruchomi komputer. Po ponownym uruchomieniu komputera rozpocznie się proces szyfrowania. Zostanie on wyświetlony w zasobniku jako ikona, za pomocą której zobaczysz procentowy postęp procesu. Nadal będziesz mógł korzystać z komputera, ale nastąpi niewielkie spowolnienie systemu z powodu równoległego szyfrowania plików.

Po zakończeniu szyfrowania i następnym uruchomieniu komputera funkcja BitLocker wyświetli okno, które będzie wymagać wprowadzenia hasła, kodu PIN lub włożenia dysku USB jako klucza (w zależności od tego, jak wcześniej skonfigurowałeś dostęp do klucza ).

Naciśnięcie klawisza Escape w tym oknie przeniesie Cię do okna wprowadzania klucza zapasowego w przypadku utraty dostępu do klucza głównego.

Po wybraniu metody szyfrowania BitLocker To Go dla urządzenia zewnętrzne czeka na Ciebie podobny kreator instalacji, jednak w tym przypadku ponowne uruchomienie komputera nie jest wymagane. Nie odłączaj dysku zewnętrznego do końca procesu szyfrowania.

Następnym razem, gdy połączysz zaszyfrowane urządzenie z komputerem, zostaniesz poproszony o hasło lub kartę inteligentną, aby je odblokować. Urządzenie chronione funkcją BitLocker pojawi się z odpowiednią ikoną w menedżerze plików lub Eksplorator Windows.

Zaszyfrowanym dyskiem można zarządzać (zmienić hasło, wyłączyć szyfrowanie, wykonać kopię zapasową klucza itp.) za pomocą okna Panelu sterowania funkcją BitLocker. Kliknięcie prawym przyciskiem myszy na zaszyfrowany dysk i wybranie „Zarządzaj funkcją BitLocker” przeniesie Cię do miejsca docelowego.

Jak każdy inny sposób ochrony informacji, szyfrowanie w czasie rzeczywistym za pomocą funkcji BitLocker oczywiście zajmie część zasobów komputera. Wyraża się to głównie w zwiększonym obciążeniu procesora ze względu na ciągłe szyfrowanie danych z dysku na dysk. Ale z drugiej strony dla ludzi, których informacje muszą być niezawodnie chronione przed wzrokiem ciekawskich, informacje, które mogą dostarczyć złoczyńcom destrukcyjnych atutów, ta utrata produktywności jest najbardziej kompromisowym rozwiązaniem.

osmaster.org.ua

Szyfrowanie w systemie Windows 7 za pomocą funkcji BitLocker

Władimir Bezmaly

7 stycznia 2009 r. Microsoft przedstawił do testowania kolejną wersję systemu operacyjnego dla stacji roboczych - Windows 7. W tym systemie operacyjnym, jak to było w zwyczaju, szeroko reprezentowane są technologie bezpieczeństwa, w tym te wcześniej prezentowane w systemie Windows Vista. Dzisiaj porozmawiamy o technologii szyfrowania Windows BitLocker, która przeszła znaczące zmiany od czasu jej wprowadzenia w systemie Windows Vista. Wydaje się, że dziś nikogo nie trzeba przekonywać o konieczności szyfrowania danych na dyskach twardych i nośnikach wymiennych, niemniej jednak przedstawimy argumenty na rzecz ta decyzja.

Utrata wrażliwych danych z powodu kradzieży lub utraty urządzeń mobilnych

Dziś koszt sprzętu jest wielokrotnie niższy niż koszt informacji zawartych na urządzeniu. Utrata danych może prowadzić do utraty reputacji, utraty konkurencyjności i potencjalnego postępowania sądowego.

Na całym świecie kwestie szyfrowania danych są od dawna regulowane odpowiednimi aktami prawnymi. Na przykład w USA, USA Ustawa o reformie bezpieczeństwa informacji rządowych (GISRA) wymaga szyfrowania danych w celu ochrony poufnych informacji przechowywanych przez agencje rządowe. W krajach UE przyjęto dyrektywę Unii Europejskiej o ochronie danych. Kanada i Japonia mają swoje odpowiednie przepisy.

Wszystkie te przepisy przewidują surowe kary za utratę danych osobowych lub firmowych. Gdy Twoje urządzenie zostanie skradzione (zgubione), Twoje dane mogą zostać utracone wraz z nim. Szyfrowanie danych może służyć do zapobiegania nieautoryzowanemu dostępowi do danych. Ponadto nie zapomnij o takich niebezpieczeństwach jak: nieautoryzowany dostęp do danych w trakcie naprawy (w tym gwarancji) lub sprzedaży urządzeń, które były w użytkowaniu.

A to, że nie są to puste słowa, niestety wielokrotnie potwierdzały fakty. Wolny strzelec w brytyjskim Ministerstwie Spraw Wewnętrznych zgubił kartę pamięci z danymi osobowymi ponad stu tysięcy przestępców, w tym tych odbywających kary pozbawienia wolności. Jest to określone w komunikacie departamentu. Media zawierały nazwiska, adresy, aw niektórych przypadkach szczegóły zarzutów wobec 84 000 więźniów przetrzymywanych w więzieniach w Wielkiej Brytanii. Na karcie pamięci znajdują się również adresy 30 000 osób z kryminalną przeszłością sześciu lub więcej. Według resortu informacje z karty pamięci wykorzystał badacz z RA Consulting. „Dowiedzieliśmy się o naruszeniu bezpieczeństwa skutkującym utratą przez pracownika na podstawie umowy danych osobowych osób naruszających prawo z Anglii i Walii. Obecnie trwa dokładne śledztwo – powiedział rzecznik MSW.

Dominic Grieve, minister spraw wewnętrznych rządu „cienia”, zdążył już skomentować tę sprawę. Zauważył, że brytyjscy podatnicy byliby „całkowicie zszokowani” tym, jak brytyjski rząd traktuje informacje niejawne.

To nie pierwszy przypadek utraty poufnych informacji przez różne organizacje i departamenty w Wielkiej Brytanii, wspomina Grieve.

W kwietniu HSBC, duży brytyjski bank, przyznał się do utraty dysku zawierającego dane osobowe 370 000 swoich klientów. W połowie lutego dowiedzieliśmy się o kradzieży laptopa z danymi medycznymi 5123 pacjentów z brytyjskiego szpitala Russels Hall Hospital w Dudley (West Midlands). Pod koniec stycznia informowano o kradzieży laptopa z danymi osobowymi 26 tys. pracowników brytyjskiej sieci supermarketów Marks and Spencer. Brytyjski sekretarz obrony Des Brown ogłosił 21 stycznia, że z departamentu skradziono trzy laptopy zawierające dane osobowe tysięcy osób.

W grudniu ubiegłego roku okazało się, że prywatna amerykańska firma straciła informacje o trzech milionach osób ubiegających się o brytyjskie prawo jazdy. Były przechowywane na dysku twardym komputera. Utracone dane obejmowały nazwiska, adresy i numery telefoniczne ubiegających się o prawo jazdy od września 2004 do kwietnia 2007 roku.

Pod koniec października 2007 roku w drodze między dwoma urzędami zaginęły dwa dyskietki zawierające informacje o 25 milionach biorców alimentów i ich kontach bankowych. Zakrojona na szeroką skalę operacja poszukiwania dysków, która kosztowała podatników 500 tys. funtów, nie przyniosła rezultatów.

Również w czerwcu br. w jednym z pociągów jadących do Londynu znaleziono paczkę z tajnymi dokumentami (http://korrespondent.net/world/493585) zawierającymi informacje na temat walki z finansowaniem terroryzmu, przemytem narkotyków i praniem pieniędzy. Wcześniej paczka z tajnymi dokumentami dotyczącymi najnowsze informacje o sieci terrorystycznej Al-Kaidy znaleziono (http://korrespondent.net/world/490374) na siedzeniu pociągu w Londynie. Pytanie brzmi, co myśleli użytkownicy, którzy na to pozwolili?

A oto kolejny fakt, który powinien skłonić właścicieli urządzeń mobilnych do myślenia

Według raportu Instytutu Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute) rocznie na dużych i średnich lotniskach w Stanach Zjednoczonych ginie około 637 000 laptopów. Stany Według ankiety laptopy często się gubią w punkty kontrolne bezpieczeństwo.

Około 10 278 laptopów ginie tygodniowo na 36 głównych lotniskach w USA, a 65% z nich nie wraca do właścicieli. Około 2000 laptopów zostało zgubionych na lotniskach średniej wielkości, a 69% z nich nie zostało zwróconych właścicielom. Instytut przeprowadził ankiety na 106 lotniskach w 46 krajach i przeprowadził wywiady z 864 osobami.

Najczęściej gubione laptopy znajdują się na następujących pięciu lotniskach:

Los Angeles International
Miami International
Międzynarodowy John F. Kennedy
Chicago O'Hare
Newark Liberty International.

Podróżni nie są pewni, czy ich zgubione laptopy zostaną im zwrócone.

Około 77% ankietowanych stwierdziło, że nie ma nadziei na odzyskanie zgubionego laptopa, 16% twierdzi, że nic by nie zrobili, gdyby zgubili laptopa. Około 53% stwierdziło, że laptopy zawierają poufne informacje firmowe, a 65% nie zrobiło nic, aby je chronić.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Co jest przeciwieństwem tego? Tylko szyfrowanie danych.

W takim przypadku szyfrowanie działa jako ostatnia linia obrony fizycznej komputera. Obecnie istnieje wiele technologii szyfrowania dysków twardych. Oczywiście, po udanej premierze swojej technologii BitLocker w ramach systemu Windows Vista Enterprise i Windows Vista Ultimate, Microsoft nie mógł nie włączyć tej technologii do systemu Windows 7. Jednak uczciwie należy zauważyć, że w nowym systemie operacyjnym zobaczymy znacznie zmieniona technologia szyfrowania.

Szyfrowanie w Windows 7

Tak więc nasza znajomość zaczyna się od instalacji systemu Windows 7 na twoim komputerze. W systemie Windows Vista, aby korzystać z szyfrowania, trzeba było wykonać jedną z dwóch rzeczy: albo przygotować dysk twardy za pomocą wiersza poleceń, dzieląc go w odpowiedni sposób, albo zrobić to później za pomocą specjalnego oprogramowania firmy Microsoft (BitLocker Disk Preparation Tool) . W systemie Windows 7 problem jest początkowo rozwiązywany podczas partycjonowania dysku twardego. Tak więc podczas instalacji ustawiłem partycję systemową o pojemności 39 gigabajtów i dostałem ... 2 partycje! Jeden ma rozmiar 200 MB, a drugi ma 38 gigabajtów z niewielką ilością. Ponadto w standardowym oknie eksploratora widać następujący obrazek (rys. 1).

Ryż. 1. Okno Eksploratora

Jednak otwierając Start - Wszystkie programy - Narzędzia administracyjne - Zarządzanie komputerem - Zarządzanie dyskami zobaczysz (ryc. 2), co następuje:

Ryż. 2. Zarządzanie komputerem

Jak widać, pierwsza partycja 200 MB jest po prostu ukryta. Domyślnie jest to partycja systemowa, aktywna i podstawowa. Dla tych, którzy są już zaznajomieni z szyfrowaniem w systemie Windows Vista, na tym etapie nie ma nic szczególnie nowego, poza tym, że awaria odbywa się w ten sposób domyślnie, a dysk twardy jest już przygotowywany do późniejszego szyfrowania na etapie instalacji. Jedyną uderzającą różnicą jest jego rozmiar 200 MB w porównaniu do 1,5 GB w systemie Windows Vista.

Oczywiście takie partycjonowanie dysku na sekcje jest znacznie wygodniejsze, ponieważ często użytkownik podczas instalowania systemu operacyjnego nie myśli od razu o tym, czy zaszyfruje dysk twardy, czy nie.

Natychmiast po zainstalowaniu systemu operacyjnego możemy wybrać w Panelu sterowania w sekcji System i zabezpieczenia (rys. 3) Szyfrowanie dysków funkcją BitLocker

Ryż. 3. System i bezpieczeństwo

Wybranie opcji Chroń swój komputer przez szyfrowanie danych na dysku powoduje wyświetlenie okna (Rysunek 4)

Ryż. 4. Szyfrowanie dysków funkcją BitLocker

Zwróć uwagę (zaznaczone na czerwono na rysunku) na opcje, których brakuje w systemie Windows Vista lub są inaczej zorganizowane. Tak więc w systemie Windows Vista nośniki wymienne mogły być szyfrowane tylko wtedy, gdy używały systemu plików NTFS, a szyfrowanie odbywało się zgodnie z tymi samymi zasadami, co w przypadku dysków twardych. I możliwe było zaszyfrowanie drugiej partycji dysku twardego (w tym przypadku dysku D:) dopiero po zaszyfrowaniu partycji systemowej (dysk C:).

Nie myśl jednak, że po wybraniu opcji Włącz funkcję BitLocker możesz zacząć. Nie było go tam! Po włączeniu funkcji BitLocker bez zaawansowanych opcji otrzymujesz tylko twarde szyfrowanie dysk na tym komputerze bez użycia TRM, co, jak już wspomniałem w moich artykułach, nie jest dobry przykład. Jednak użytkownicy w niektórych krajach, na przykład w Federacji Rosyjskiej lub na Ukrainie, po prostu nie mają innego wyboru, ponieważ kraje te zabraniają importu komputerów z TPM. W takim przypadku wybierz opcję Włącz funkcję BitLocker i przejdź do rysunku 5.

Ryż. 5. Szyfrowanie dysków funkcją BitLocker

Jeśli chcesz korzystać z TPM, aby w pełni wykorzystać możliwości szyfrowania, musisz użyć Edytora zasad grupy. Aby to zrobić, musisz uruchomić tryb wiersza poleceń (cmd.exe) i wpisać gpedit.msc w wierszu poleceń (rys. 6), uruchamiając Edytor zasad grupy (rys. 7).

Ryż. 6. Uruchamianie Edytora zasad grupy

Ryż. 7. Edytor zasad grupy

Przyjrzyjmy się bliżej opcjom zasad grupy, których można użyć do zarządzania szyfrowaniem funkcją BitLocker.

Opcje zasad grupy szyfrowania dysków funkcją BitLocker

Przechowuj informacje o odzyskiwaniu funkcji BitLocker w Active Directory Usługi domenowe (Windows Server 2008 i Windows Vista)

Za pomocą tej opcji zasad grupy można zarządzać usługami domenowymi w usłudze Active Directory (AD DS), aby tworzyć kopie zapasowe informacji w celu późniejszego przywrócenia szyfrowania dysków funkcją BitLocker. Ta opcja dotyczy tylko komputerów z systemem Windows Server 2008 lub Windows Vista.

Gdy ta opcja jest ustawiona, po włączeniu funkcji BitLocker jej informacje o odzyskiwaniu zostaną automatycznie skopiowane do usług AD DS.

Jeśli wyłączysz tę opcję zasad lub pozostawisz ją domyślną, informacje odzyskiwania funkcji BitLocker nie zostaną skopiowane do usług AD DS.

Wybierz domyślny folder dla hasła odzyskiwania

Ta opcja zasad umożliwia zdefiniowanie domyślnej lokalizacji folderu do przechowywania hasła odzyskiwania, które jest wyświetlane przez kreatora szyfrowania dysków funkcją BitLocker po wyświetleniu monitu. Ta opcja ma zastosowanie po włączeniu szyfrowania funkcją BitLocker. Należy jednak zauważyć, że użytkownik może zapisać hasło odzyskiwania w dowolnym innym folderze.

Wybierz sposób odzyskiwania dysków chronionych funkcją BitLocker (Windows Server 2008 i Windows Vista)

Ta opcja umożliwia kontrolowanie opcji odzyskiwania funkcji BitLocker wyświetlanych przez kreatora konfiguracji. Ta zasada dotyczy komputerów z systemem Windows Server 2008 i Windows Vista. Ta opcja ma zastosowanie, gdy włączona jest funkcja BitLocker.

Aby odzyskać zaszyfrowane dane, użytkownik może użyć 48-cyfrowego hasła numerycznego lub dysku USB zawierającego 256-bitowy klucz odzyskiwania.

Dzięki tej opcji możesz zezwolić na zapisanie 256-bitowego klucza hasła na dysku USB jako niewidocznego pliku i pliku tekstowego, który będzie zawierał 48 cyfr hasła odzyskiwania.

W przypadku wyłączenia lub nieskonfigurowania tej reguły zasad grupy Kreator instalacji funkcji BitLocker umożliwi użytkownikowi wybranie opcji odzyskiwania.

Jeśli wyłączysz lub nie skonfigurujesz tego ustawienia zasad, Kreator instalacji funkcji BitLocker zapewni użytkownikom inne sposoby zapisywania opcji odzyskiwania.

Wybierz metodę szyfrowania dysku i siłę szyfrowania

Dzięki tej regule możesz wybrać algorytm szyfrowania i długość używanego klucza. Jeśli dysk jest już zaszyfrowany, a następnie zdecydujesz się zmienić długość klucza, nic się nie stanie. Domyślną metodą szyfrowania jest AES ze 128-bitowym kluczem i dyfuzorem.

Podaj unikalne identyfikatory swojej organizacji

Ta reguła zasad pozwoli Ci utworzyć unikalny identyfikator dla każdego nowego dysku, którego właścicielem jest organizacja chroniona przez funkcję BitLocker. Te identyfikatory są przechowywane jako pierwsze i drugie pole identyfikatora. Pierwsze pole identyfikatora umożliwia ustawienie unikalnego identyfikatora organizacji na dyskach chronionych funkcją BitLocker. Ten identyfikator zostanie automatycznie dodany do nowych dysków chronionych funkcją BitLocker i można go zaktualizować dla istniejących dysków zaszyfrowanych funkcją BitLocker za pomocą oprogramowanie Wiersz poleceń Manage-BDE.

Drugie pole identyfikatora jest używane w połączeniu z regułą Odmów dostępu do nośników wymiennych innych niż BitLocker i może być używane do zarządzania dyskami wymiennymi w firmie.

Kombinacji tych pól można użyć do określenia, czy dysk jest własnością Twojej organizacji, czy nie.

Jeśli wartość tej reguły nie jest zdefiniowana lub wyłączona, pola identyfikacyjne nie są wymagane.

Pole identyfikacyjne może mieć do 260 znaków.

Zapobiegaj nadpisaniu pamięci po ponownym uruchomieniu

Ta reguła zwiększy wydajność komputera, zapobiegając nadpisywaniu pamięci, ale należy rozumieć, że klucze funkcji BitLocker nie zostaną usunięte z pamięci.

Jeśli ta zasada jest wyłączona lub nie jest skonfigurowana, klucze funkcji BitLocker zostaną usunięte z pamięci po ponownym uruchomieniu komputera.

Aby zwiększyć bezpieczeństwo, domyślnie należy pozostawić tę regułę.

Skonfiguruj identyfikator obiektu certyfikatu karty inteligentnej

Ta reguła umożliwi powiązanie identyfikatora obiektu certyfikatu karty inteligentnej z dyskiem zaszyfrowanym funkcją BitLocker.

Stacjonarne dyski twarde

W ta sekcja opisuje zasady zasad grupy, które będą miały zastosowanie do dysków z danymi (nie partycji systemowych).

Skonfiguruj użycie kart inteligentnych na stałych dyskach danych

Ta reguła określi, czy karty inteligentne mogą lub mogą być używane do zezwalania na dostęp do danych na dysku twardym komputera.

Jeśli wyłączysz tę regułę, karty inteligentne nie będą mogły być używane.

Domyślnie można używać kart inteligentnych.

Odmów dostępu do zapisu na dyskach stałych niechronionych funkcją BitLocker

Ta reguła określa, czy zapisywać dane na dyskach, które nie są chronione funkcją BitLocker. Jeśli ta zasada jest zdefiniowana, wszystkie dyski niechronione funkcją BitLocker będą tylko do odczytu. Jeśli dysk jest zaszyfrowany funkcją BitLocker, będzie to odczyt/zapis. Jeśli ta reguła jest wyłączona lub nie jest zdefiniowana, wszystkie dyski twarde komputera będą dostępne do odczytu i zapisu.

Zezwalaj na dostęp do zabezpieczonych funkcją BitLocker stałych dysków danych z wcześniejszych wersji systemu Windows

Ta zasada określa, czy jeździ z: system plików FAT można odblokować i odczytać na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Jeśli ta reguła jest włączona lub nie jest skonfigurowana, dyski z danymi sformatowane w systemie plików FAT mogą być odczytywane na komputerach z powyższymi systemami operacyjnymi.

Jeśli ta zasada jest wyłączona, nie można odblokować odpowiednich dysków na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Uwaga! Ta reguła nie dotyczy dysków sformatowanych w systemie plików NTFS.

Ta reguła określa, czy do odblokowania dysków chronionych funkcją BitLocker wymagane jest hasło. Jeśli chcesz używać hasła, możesz ustawić wymagania dotyczące złożoności hasła i minimalną długość hasła. Warto zauważyć, że aby ustawić wymagania dotyczące złożoności hasła, musisz ustawić wymaganie dotyczące złożoności hasła w sekcji Zasady haseł w Zasadach grupy.

Jeśli ta reguła jest zdefiniowana, użytkownicy mogą konfigurować hasła, które spełniają wybrane wymagania.

Hasło musi mieć co najmniej 8 znaków (domyślnie).

Wybierz sposób odzyskiwania dysków stałych chronionych funkcją BitLocker

Ta reguła pozwoli Ci zarządzać odzyskiwaniem zaszyfrowanych dysków.

Jeśli ta reguła nie jest skonfigurowana lub wyłączona, dostępne są domyślne opcje przywracania.

Napędy systemu operacyjnego

W tej sekcji opisano zasady zasad grupy, które mają zastosowanie do partycji systemu operacyjnego (zwykle dysku C:).

Wymagaj dodatkowego uwierzytelnienia przy starcie

Ta reguła zasad grupy określi, czy do uwierzytelniania używasz modułu Trusted Platform Module (TMP).

Uwaga! Warto wziąć pod uwagę, że tylko jedną z opcji można ustawić podczas uruchamiania, w przeciwnym razie pojawi się błąd zasad.

Jeśli ta zasada jest włączona, użytkownicy będą mogli konfigurować zaawansowane opcje uruchamiania w kreatorze konfiguracji funkcji BitLocker

Jeśli zasada jest wyłączona lub nie jest skonfigurowana, podstawowe opcje można skonfigurować tylko na komputerach z uruchomionym modułem TPM.

Uwaga! Jeśli chcesz użyć kodu PIN i dysku USB, musisz skonfigurować funkcję BitLocker za pomocą wiersza polecenia bde zamiast kreatora szyfrowania dysków funkcją BitLocker.

Wymagaj dodatkowego uwierzytelniania podczas uruchamiania (Windows Server 2008 i Windows Vista)

Ta reguła zasad dotyczy tylko komputerów z systemem Windows 2008 lub Windows Vista.

Na komputerach wyposażonych w TPM można ustawić dodatkowy parametr bezpieczeństwa - kod PIN (od 4 do 20 cyfr).

Komputery niewyposażone w TRM będą korzystać z dysku USB z kluczowymi informacjami.

Jeśli ta opcja jest włączona, kreator wyświetli okno, w którym użytkownik może dokonać konfiguracji Dodatkowe opcje uruchom funkcję BitLocker.

Jeśli to ustawienie jest wyłączone lub nieskonfigurowane, kreator instalacji wyświetli podstawowe kroki, aby uruchomić funkcję BitLocker na komputerach z modułem TPM.

Skonfiguruj minimalną długość kodu PIN do uruchomienia

Ta opcja konfiguruje minimalną długość kodu PIN potrzebnego do uruchomienia komputera.

Kod PIN może mieć od 4 do 20 cyfr.

Wybierz sposób odzyskiwania dysków systemu operacyjnego chronionych funkcją BitLocker

Za pomocą tej reguły zasad grupy można określić, w jaki sposób dyski zaszyfrowane funkcją BitLocker są odzyskiwane w przypadku braku klucza szyfrowania.

Skonfiguruj profil weryfikacji platformy TPM

Za pomocą tej reguły możesz skonfigurować model TPM. Jeśli nie ma odpowiedniego modułu, ta zasada nie ma zastosowania.

Jeśli włączysz tę regułę, będziesz mógł skonfigurować, które komponenty ładowania początkowego będą sprawdzane przez TPM przed odblokowaniem dostępu do zaszyfrowanego dysku.

Nośniki wymienne

Kontroluj użycie funkcji BitLocker na dyskach wymiennych

Dzięki tej regule zasad grupy możesz zarządzać szyfrowaniem funkcją BitLocker na dyskach wymiennych.

Możesz wybrać, których ustawień użytkownicy mogą używać do konfigurowania funkcji BitLocker.

W szczególności należy wybrać opcję „Zezwalaj użytkownikom na stosowanie ochrony funkcją BitLocker na wymiennych dyskach danych”, aby umożliwić uruchomienie Kreatora konfiguracji szyfrowania funkcją BitLocker na dysku wymiennym.

Jeśli wybierzesz opcję „Zezwalaj użytkownikom na zawieszanie i odszyfrowywanie funkcji BitLocker na wymiennych dyskach danych”, użytkownik będzie mógł odszyfrować dysk wymienny lub zawiesić szyfrowanie.

Jeśli ta zasada nie jest skonfigurowana, użytkownicy mogą korzystać z funkcji BitLocker na nośniki wymienne.

Jeśli ta zasada jest wyłączona, użytkownicy nie będą mogli korzystać z funkcji BitLocker na dyskach wymiennych.

Skonfiguruj użycie kart inteligentnych na wymiennych dyskach danych

Za pomocą tego ustawienia zasad można określić, czy karty inteligentne mogą być używane do uwierzytelniania użytkownika i uzyskiwania dostępu do dysków wymiennych na tym komputerze.

Odmów dostępu do zapisu na dyskach wymiennych niechronionych funkcją BitLocker

Dzięki tej regule zasad można uniemożliwić zapis na dyskach wymiennych niechronionych funkcją BitLocker. W takim przypadku wszystkie dyski wymienne niechronione funkcją BitLocker będą tylko do odczytu.

W przypadku wybrania opcji „Odmów dostępu do zapisu urządzeniom skonfigurowanym w innej organizacji” zapis będzie dostępny tylko na dyskach wymiennych należących do Twojej organizacji. Walidacja jest przeprowadzana na podstawie dwóch pól identyfikacyjnych zdefiniowanych zgodnie z regułą zasad grupy „Podaj unikalne identyfikatory dla swojej organizacji”.

Jeśli wyłączysz tę regułę lub nie jest ona skonfigurowana, wszystkie dyski wymienne będą dostępne zarówno do odczytu, jak i do zapisu.

Uwaga! Ta reguła może zostać zastąpiona przez ustawienia zasad Konfiguracja użytkownika Szablony administracyjneSystem Dostęp do magazynu wymiennego.Jeśli włączona jest reguła „Dyski wymienne: Odmów dostępu do zapisu”, ta reguła zostanie zignorowana.

Zezwalaj na dostęp do wymiennych dysków danych chronionych funkcją BitLocker z wcześniejszych wersji systemu Windows

Ta reguła określa, czy dyski wymienne w formacie FAT mogą być odblokowywane i przeglądane na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Jeśli ta reguła jest włączona lub nie jest skonfigurowana, dyski wymienne FAT można odblokowywać i przeglądać na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2. W takim przypadku te dyski będą tylko do odczytu.

Jeśli ta reguła jest wyłączona, odpowiednie dyski wymienne nie mogą być odblokowane i przeglądane na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Ta reguła nie dotyczy dysków sformatowanych w systemie plików NTFS.

Skonfiguruj wymagania dotyczące złożoności hasła i minimalnej długości

Ta reguła zasad określa, czy dyski wymienne zablokowane funkcją BitLocker muszą być odblokowane hasłem. Jeśli zezwolisz na użycie hasła, możesz ustawić wymagania dotyczące jego złożoności i minimalnej długości hasła. Warto wziąć pod uwagę, że w tym przypadku wymagania złożoności muszą odpowiadać wymaganiom polityki haseł Konfiguracja komputeraokna UstawieniaUstawienia bezpieczeństwaPolityka kontaPolityka haseł

Wybierz sposób odzyskiwania dysków wymiennych chronionych funkcją BitLocker

Ta reguła pozwala wybrać sposób odzyskiwania dysków wymiennych chronionych funkcją BitLocker.

Jednak nadal będziemy szyfrować dysk twardy. Ponieważ już zauważyłeś, że zmiany zasad grupy pozwolą ci znacznie lepiej wykorzystać możliwości szyfrowania funkcją BitLocker, przejdźmy do edycji zasad grupy. Aby to zrobić, formułujemy cele i warunki korzystania z naszego szyfrowania.

1. Testowany komputer ma zainstalowany moduł TPM

2. Zaszyfrujemy:

dysk systemowy
dysk danych
nośniki wymienne, zarówno w systemie NTFS, jak i w systemie FAT.

Ponadto musimy sprawdzić, czy nasze nośniki wymienne w formacie FAT będą dostępne na komputerze z systemem Windows XP SP2 i Windows Vista SP1.

Przejdźmy do procesu szyfrowania.

Na początek w zasadach grupy BitLocker wybierz algorytm szyfrowania i długość klucza (rys. 8)

Ryż. 8. Wybór algorytmu szyfrowania i długości klucza

Następnie w sekcji Dysk systemu operacyjnego wybierz regułę Wymagaj dodatkowego uwierzytelnienia przy starcie (rys. 9)

Ryż. 9. Reguła „Wymagaj dodatkowego uwierzytelnienia podczas uruchamiania”

Następnie ustawiamy minimalną długość kodu PIN na 6 znaków za pomocą reguły Konfiguruj minimalną długość kodu PIN do uruchamiania.

Aby zaszyfrować sekcję danych, ustalamy wymagania dotyczące złożoności i minimalnej długości hasła na 8 znaków (rys. 10).

Ryż. 10. Ustaw minimalne wymagania dotyczące długości i złożoności hasła

Jednocześnie musisz pamiętać, że musisz ustawić wymagania dotyczące ochrony hasłem (rys. 11).

Ryż. 11. Wymagania dotyczące ochrony hasłem

W przypadku dysków wymiennych wybierz następujące ustawienia:

Nie zezwalaj na odczytywanie dysków wymiennych z systemem plików FAT w niższych wersjach systemu Windows;
Hasła muszą spełniać wymagania dotyczące złożoności;
Minimalna długość hasła to 8 znaków.

Następnie użyj polecenia gpupdate.exe /force, aby zaktualizować profil w oknie wiersza poleceń (rys. 12).

Ryż. 12. Zaktualizuj ustawienia zasad grupy

Ponieważ zdecydowaliśmy się używać kodu PIN przy każdym ponownym uruchomieniu, wybieramy (rys. 13) Wymagaj kodu PIN przy każdym uruchomieniu.

Ryż. 13. Wpisz PIN przy każdym rozruchu

Ryż. 14. Wprowadzanie kodu PIN

Wprowadź 4-znakowy kod PIN (rys. 15)

Ryż. 15. PIN nie spełnia wymagań dotyczących minimalnej długości

Minimalna długość kodu PIN określona w polisie to 6 cyfr, po wpisaniu nowego kodu PIN otrzymujemy zaproszenie do zapisania klucza na dysku USB oraz jako plik tekstowy.

Ryż. 16. Zapisywanie zapasowego klucza szyfrowania

Następnie ponownie uruchamiamy system i rozpoczyna się właściwy proces szyfrowania dysku C:.

Następnie szyfrujemy drugą partycję naszego dysku twardego - dysk D: (ryc. 17)

Ryż. 17. Szyfrowanie dysku D:

Przed zaszyfrowaniem dysku D: musimy zachować hasło do tego dysku. Hasło musi spełniać nasze wymagania dotyczące minimalnej długości i złożoności hasła. Warto wziąć pod uwagę, że możliwe jest automatyczne otwarcie tego dysku na tym komputerze.

W związku z tym podobnie zapiszemy hasło odzyskiwania na dysku USB.

Należy zauważyć, że przy pierwszym zapisywaniu hasła jest ono jednocześnie zapisywane w plik tekstowy na tym samym dysku USB!

Należy pamiętać, że podczas szyfrowania partycji danych o wielkości 120 GB (z czego 100 wolnych) Eksplorator Windows zawsze wyświetla komunikat o braku miejsca na partycji (rys. 18).

Ryż. osiemnaście. okno okna poszukiwacz

Spróbujmy zaszyfrować dysk USB sformatowany w systemie plików FAT.

Szyfrowanie dysku USB zaczyna się od tego, że zostaniemy poproszeni o wprowadzenie hasła do przyszłego zaszyfrowanego dysku. Zgodnie z pewnymi zasadami polityki minimalna długość hasła to 8 znaków. W takim przypadku hasło musi spełniać wymagania złożoności (rys. 19)

Ryż. 19. Wprowadź hasło, aby zaszyfrować wymienny dysk USB

Po zakończeniu szyfrowania próbowałem wyświetlić ten dysk USB na innym komputerze z systemem Windows Vista Home Premium SP1. Wynik jest na ryc. 21.

Ryż. 21. Próba odczytania zaszyfrowanego dysku USB na komputerze z systemem Windows Vista SP1

Jak widać, jeśli dysk zostanie zgubiony, informacje nie zostaną odczytane, co więcej, najprawdopodobniej dysk zostanie po prostu sformatowany.

Podczas próby podłączenia tego samego dysku USB do komputera z systemem Windows 7 Beta1, można zobaczyć następujące informacje (rys. 22).

Wniosek

Widzieliśmy więc, jak szyfrowanie będzie realizowane w systemie Windows 7. Co możemy powiedzieć – w porównaniu do systemu Windows Vista ma znacznie więcej reguł w politykach grupowych, a co za tym idzie, odpowiedzialność personelu IT za ich prawidłowe zastosowanie i poprawną konstrukcję wzajemnych relacji wzrasta .

Jak usunąć punkty przywracania systemu w systemie Windows 7?

Szyfrowanie dysków bitlocker

Bitlocker — funkcja BitLocker (pełna nazwa BitLockerDrive Encryption) to wbudowana obsługa Systemy Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Serwer Windows 2008 R2, Windows Server 2012 i Windows 8.

Za pomocą funkcji BitLocker można zaszyfrować cały nośnik pamięci (dysk logiczny, karta SD, pamięć USB). Jednocześnie obsługiwane są algorytmy szyfrowania AES 128 i AES 256.

Możesz również zainteresować się artykułem „”, w którym próbowaliśmy dowiedzieć się, czy możliwe jest złamanie szyfrowania dysku Windows.

Klucz odzyskiwania szyfru można przechowywać na komputerze, urządzeniu USB lub układzie sprzętowym TPM (Trusted Platform Module). Możesz także zapisać kopię klucza na swoim koncie Microsoft (ale dlaczego?).

WYJAŚNIENIE Klucz można przechowywać w układzie TPM tylko na tych komputerach, w których układ TPM jest wbudowany w płytę główną. Jeśli płyta główna komputer wyposażony jest w chip TPM, można z niego odczytać klucz albo po uwierzytelnieniu kluczem USB/kartą smart, albo po wprowadzeniu kodu PIN.

W samym prosty przypadek użytkownik może zostać uwierzytelniony normalne hasło. Oczywiście ta metoda nie zadziała dla Jamesa Bonda, ale dla większości zwykli użytkownicy którzy chcą ukryć część swoich danych przed kolegami lub krewnymi, to wystarczy.

Korzystając z funkcji BitLocker, możesz zaszyfrować dowolny wolumin, w tym wolumin rozruchowy - ten, z którego uruchamia się system Windows. Następnie hasło będzie musiało zostać wprowadzone podczas rozruchu (lub użyj innych sposobów uwierzytelniania, takich jak TPM).

RADA Zdecydowanie odradzam szyfrowanie woluminu rozruchowego. Po pierwsze, spada wydajność. Witryna technet.microsoft podaje, że spadek wydajności wynosi zazwyczaj 10%, ale w twoim konkretnym przypadku możesz spodziewać się większego "spowolnienia" komputera - wszystko zależy od jego konfiguracji. W rzeczywistości nie wszystkie dane muszą być szyfrowane. Po co szyfrować te same pliki programu? Nie ma w nich nic poufnego. Po drugie, jeśli coś się stanie z Windowsem, to obawiam się, że wszystko może się źle skończyć – formatowanie woluminu i utrata danych.

Dlatego najlepiej zaszyfrować jeden wolumin - oddzielny dysk logiczny, zewnętrzny dysk USB itp. A następnie umieścić wszystkie swoje tajne pliki na tym zaszyfrowanym dysku. Możesz także instalować programy wymagające ochrony na zaszyfrowanym dysku, na przykład to samo 1C Accounting.

Taki dysk podłączysz tylko wtedy, gdy będzie to konieczne - kliknij dwukrotnie ikonę dysku, wprowadź hasło i uzyskaj dostęp do danych.

Co można zaszyfrować za pomocą funkcji BitLocker?

Możesz zaszyfrować dowolny dysk z wyjątkiem sieci i napędu optycznego. Oto lista obsługiwanych typów połączeń dysków: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Szyfrowanie woluminów podłączonych przez Bluetooth nie jest obsługiwane. I chociaż karta pamięci telefon komórkowy podłączony do komputera przez Bluetooth wygląda jak osobny nośnik pamięci, nie można go zaszyfrować.

Obsługiwane są systemy plików NTFS, FAT32, FAT16, ExFAT. Inne systemy plików nie są obsługiwane, w tym CDFS, NFS, DFS, LFS, programowe macierze RAID (obsługiwane są sprzętowe macierze RAID).

Możesz szyfrować dyski półprzewodnikowe: (dyski SSD, dyski flash, karty SD), dyski twarde (w tym te podłączone przez USB). Szyfrowanie innych typów dysków nie jest obsługiwane.

Szyfrowanie dysków bitlocker

Przejdź na pulpit, uruchom Eksplorator plików i kliknij kliknij prawym przyciskiem myszy na dysk, który chcesz zaszyfrować. Przypomnę, że może to być wolumin logiczny, karta SD, dysk flash, dysk USB, dysk SSD. Z wyświetlonego menu wybierz Włącz funkcję BitLocker.

Włącz polecenie szyfrowania BitLocker

Przede wszystkim zostaniesz zapytany, jak będziesz z zaszyfrowanego dysku: za pomocą hasła lub karty inteligentnej. Musisz wybrać jedną z opcji (lub obie: wtedy zarówno hasło, jak i karta inteligentna będą zaangażowane), w przeciwnym razie przycisk Dalej nie stanie się aktywny.

Jak usuniemy blokadę Bitlocker?

W następnym kroku zostaniesz poproszony o utworzenie kopii zapasowej klucza
powrót do zdrowia.

Wykonaj kopię zapasową klucza odzyskiwania

WYJAŚNIENIE Klucz odzyskiwania służy do odblokowania dysku w przypadku zapomnienia hasła lub utraty karty inteligentnej. Nie możesz zrezygnować z tworzenia klucza odzyskiwania. I to prawda, bo po powrocie z wakacji zapomniałem hasła do zaszyfrowanego dysku. Taka sama sytuacja może przydarzyć się Tobie. Dlatego wybieramy jedną z proponowanych metod archiwizacji klucza odzyskiwania.

Zapisz klucz na koncie Microsoft. Nie polecam tej metody: nie ma połączenia z Internetem - nie będzie można uzyskać klucza.
Najlepszym sposobem jest zapisanie do pliku. Plik z kluczem odzyskiwania zostanie zapisany na pulpicie.

Zapisz klucz odzyskiwania na pulpicie

Rozumiesz, należy go stamtąd przenieść do bardziej niezawodnego miejsca, na przykład na dysk flash USB. Pożądana jest również zmiana jego nazwy, aby z nazwy pliku nie wynikało od razu, że jest to dokładnie ten sam klucz. Możesz otworzyć ten plik (zobaczysz, jak będzie wyglądał później) i skopiować sam klucz odzyskiwania do jakiegoś pliku, aby tylko Ty wiedziałeś, jaki jest ciąg i w jakim pliku się znajduje. Lepiej jest później usunąć oryginalny plik za pomocą klucza odzyskiwania. Więc będzie bardziej niezawodny.
Wydrukowanie klucza odzyskiwania to dość szalony pomysł, chyba że następnie umieścisz tę kartkę w sejfie i zamkniesz ją siedmioma zamkami.

Teraz musisz określić, którą część dysku chcesz zaszyfrować.

Jaka część dysku powinna być zaszyfrowana?

Możesz zaszyfrować tylko zajęte miejsce lub możesz zaszyfrować cały dysk na raz. Jeśli twój dysk jest prawie pusty, znacznie szybciej jest zaszyfrować tylko zajęte miejsce. Rozważ opcje:

Niech na dysku flash o pojemności 16 GB będzie tylko 10 MB danych. Wybierz pierwszą opcję, a dysk zostanie natychmiast zaszyfrowany. Nowe pliki zapisywane na dysku flash będą szyfrowane w locie, czyli automatycznie;
druga opcja jest odpowiednia, jeśli na dysku jest dużo plików i jest prawie całkowicie zapełniony. Jednak dla tego samego dysku flash 16 GB, ale zapełnionego do 15 GB, różnica w czasie szyfrowania według pierwszej lub drugiej opcji będzie praktycznie nie do odróżnienia (czyli 15 GB, czyli 16 - zostanie zaszyfrowana
prawie w tym samym czasie).
jeśli jednak na dysku jest mało danych i wybierzesz drugą opcję, szyfrowanie zajmie boleśnie dużo czasu w porównaniu z pierwszą metodą.

Więc wszystko, co musisz zrobić, to nacisnąć przycisk. Rozpocznij szyfrowanie.

Szyfrowanie dysku za pomocą funkcji Bitlocker

Poczekaj, aż dysk zostanie zaszyfrowany. Nie wyłączaj zasilania komputera ani nie uruchamiaj go ponownie, dopóki szyfrowanie nie zostanie zakończone - otrzymasz odpowiedni komunikat o tym.

W przypadku awarii zasilania szyfrowanie Uruchamianie systemu Windows będzie kontynuowane od miejsca, w którym zostało przerwane. Tak jest napisane w witrynie Microsoftu. Czy to dotyczy dysku systemowego, nie sprawdzałem - nie chciałem ryzykować.

Ciąg dalszy artykułu na następnej stronie. Aby przejść do następnej strony, kliknij przycisk 2, który znajduje się pod przyciskami sieci społecznościowych.

W styczniu 2009 roku firma Microsoft udostępniła każdemu, kto chciał go przetestować, wersję beta nowego systemu operacyjnego dla stacji roboczych, Windows 7. Ten system operacyjny zawiera zaawansowane technologie bezpieczeństwa Windows Vista. W tym artykule skupimy się na technologii szyfrowania Windows BitLocker, która przeszła znaczące zmiany od czasu jej wprowadzenia w systemie Windows Vista.

Dlaczego szyfrować

Wydaje się, że dziś nikogo nie trzeba przekonywać o konieczności szyfrowania danych na dyskach twardych i nośnikach wymiennych, niemniej jednak podamy kilka argumentów przemawiających za tym rozwiązaniem. Dziś koszt sprzętu jest wielokrotnie niższy niż koszt informacji zawartych na urządzeniach. Utrata danych może prowadzić do utraty reputacji, konkurencyjności i potencjalnego postępowania sądowego. Urządzenie zostało skradzione lub zgubione - informacje są dostępne dla osób postronnych. Szyfrowanie musi być stosowane, aby zapobiec nieautoryzowanemu dostępowi do danych. Ponadto nie zapominaj o takim niebezpieczeństwie jak nieuprawniony dostęp do danych podczas napraw (w tym gwarancyjnych) czy sprzedaży używanych urządzeń.

Pomoc BitLockera

Co jest przeciwieństwem tego? Tylko szyfrowanie danych. W takim przypadku szyfrowanie działa jako ostatnia linia obrony danych na komputerze. Istnieje wiele technologii szyfrowania dysku twardego. Oczywiście, po udanym wdrożeniu technologii BitLocker w ramach systemów Windows Vista Enterprise i Windows Vista Ultimate, Microsoft nie mógł nie włączyć tej technologii do systemu Windows 7. Jednak uczciwie należy zauważyć, że w Nowa wersja zobaczymy znacznie przeprojektowaną technologię szyfrowania.

Tak więc nasza znajomość zaczyna się od Instalacja systemu Windows 7. Jeżeli w systemie Windows Vista do późniejszego użycia szyfrowania konieczne było wcześniejsze przygotowanie dysku twardego za pomocą wiersza poleceń, oznaczenie go w odpowiedni sposób, lub zrobienie tego później za pomocą specjalnego Program Microsoft Narzędzie BitLocker Disk Preparation Tool, a następnie w systemie Windows 7 problem jest początkowo rozwiązywany podczas partycjonowania dysku twardego. W moim przypadku podczas instalacji ustawiłem jedną partycję systemową o pojemności 39 GB, a otrzymałem dwie! Jeden z nich ma rozmiar 38 GB z małym, a drugi to 200 MB.

Otwórzmy konsolę zarządzania dyskami (Start, Wszystkie programy, Narzędzia administracyjne, Zarządzanie komputerem, Zarządzanie dyskami), patrz.

Jak widać, pierwsza partycja 200 MB jest po prostu ukryta. Domyślnie jest to partycja systemowa, aktywna i podstawowa. Dla tych, którzy są już zaznajomieni z szyfrowaniem w systemie Windows Vista, na tym etapie nie ma nic nowego poza tym, że partycjonowanie odbywa się domyślnie, a dysk twardy jest już przygotowany do późniejszego szyfrowania w fazie instalacji. Jedyne, co rzuca się w oczy, to rozmiar 200 MB w porównaniu do 1,5 GB w systemie Windows Vista. Oczywiście takie partycjonowanie dysku na sekcje jest znacznie wygodniejsze, ponieważ często użytkownik podczas instalacji systemu operacyjnego nie myśli od razu, czy zaszyfruje dysk twardy.

W przypadku Windows 7, zaraz po zainstalowaniu systemu operacyjnego w Panelu sterowania, w sekcji System i zabezpieczenia można wybrać Szyfrowanie dysków funkcją BitLocker. Kliknięcie w link Chroń swój komputer przez szyfrowanie danych na dysku przeniesie Cię do okna pokazanego w .

Zwróć uwagę (zaznaczone na czerwono na rysunku) na funkcje, których brakuje lub są inaczej zorganizowane w systemie Windows Vista. Na przykład w systemie Windows Vista nośniki wymienne mogły być szyfrowane tylko wtedy, gdy używały systemu plików NTFS, a szyfrowanie odbywało się zgodnie z tymi samymi zasadami, co w przypadku dysków twardych. I możliwe było zaszyfrowanie drugiej partycji dysku twardego (w tym przypadku dysku D:) dopiero po zaszyfrowaniu partycji systemowej (dysk C:).

Nie myśl jednak, że po wybraniu opcji Włącz funkcję BitLocker wszystko będzie działać tak, jak powinno. Po włączeniu funkcji BitLocker bez zaawansowanych opcji otrzymujesz tylko włączone szyfrowanie dysku twardego ten komputer bez użycia modułu TPM. Jednak użytkownicy w niektórych krajach, na przykład Federacja Rosyjska lub na Ukrainie po prostu nie ma innego wyjścia, ponieważ w tych krajach import komputerów z TPM jest zabroniony. W takim przypadku po kliknięciu na Włącz funkcję BitLocker przechodzimy do ekranu 3.

Jeśli możliwe jest użycie TPM lub istnieje potrzeba wykorzystania pełnej mocy szyfrowania, należy użyć Edytora zasad grupy, wpisując gpedit.msc w wierszu poleceń. Otworzy się okno edytora (patrz ).

Przyjrzyjmy się bliżej ustawieniom zasad grupy, których można używać do zarządzania szyfrowaniem funkcją BitLocker.

Ustawienia zasad grupy funkcji BitLocker

Przechowuj informacje o odzyskiwaniu funkcji BitLocker w usługach domenowych Active Directory (Windows Server 2008 i Windows Vista). Dzięki temu ustawieniu zasad grupy można utworzyć kopię zapasową informacji usług domenowych w usłudze Active Directory (AD DS) w celu późniejszego przywrócenia szyfrowania dysków funkcją BitLocker. Ta funkcja dotyczy tylko komputerów z systemem Windows Server 2008 lub Windows Vista.

Jeśli ta opcja jest ustawiona, po włączeniu funkcji BitLocker informacje potrzebne do jej przywrócenia zostaną automatycznie skopiowane do usług AD DS. Jeśli wyłączysz to ustawienie zasad lub pozostawisz je jako domyślne, informacje odzyskiwania funkcji BitLocker nie zostaną skopiowane do usług AD DS.

Wybierz domyślny folder dla hasła odzyskiwania. Ta opcja umożliwia ustawienie domyślnego katalogu wyświetlanego przez Kreatora szyfrowania dysków funkcją BitLocker po wyświetleniu monitu o lokalizację folderu w celu zapisania hasła odzyskiwania. To ustawienie ma zastosowanie, gdy włączone jest szyfrowanie funkcją BitLocker. Użytkownik może zapisać hasło odzyskiwania w dowolnym innym folderze.

Wybierz, w jaki sposób użytkownicy mogą odzyskiwać dyski chronione funkcją BitLocker (Windows Server 2008 i Windows Vista). Ta opcja umożliwia sterowanie trybami odzyskiwania funkcji BitLocker wyświetlanymi przez kreatora konfiguracji. Ta zasada dotyczy komputerów z systemem Windows Server 2008 i Windows Vista. To ustawienie ma zastosowanie, gdy funkcja BitLocker jest włączona.

Aby odzyskać zaszyfrowane dane, użytkownik może użyć 48-cyfrowego hasła numerycznego lub dysku USB zawierającego 256-bitowy klucz odzyskiwania.

Dzięki tej opcji możesz zezwolić na zapisanie 256-bitowego klucza hasła na dysku USB jako pliku ukrytego i pliku tekstowego, który będzie zawierał 48 cyfr hasła odzyskiwania. W przypadku wyłączenia lub nieskonfigurowania tej reguły zasad grupy Kreator instalacji funkcji BitLocker umożliwi wybór opcji odzyskiwania.

Wybierz metodę szyfrowania dysku i siłę szyfrowania. Dzięki tej regule możesz wybrać algorytm szyfrowania i długość używanego klucza. Jeśli dysk jest już zaszyfrowany, a następnie zdecydujesz się zmienić długość klucza, nic się nie stanie. Domyślną metodą szyfrowania jest AES ze 128-bitowym kluczem i dyfuzorem.

Podaj unikalne identyfikatory swojej organizacji. Ta reguła zasad pozwoli Ci utworzyć unikalne identyfikatory dla każdego nowego dysku należącego do Twojej organizacji, który jest chroniony przez funkcję BitLocker. Te identyfikatory są przechowywane jako pierwsze i drugie pole identyfikatora. Pierwsze pole identyfikatora umożliwia ustawienie unikalnego identyfikatora organizacji na dyskach chronionych funkcją BitLocker. Ten identyfikator zostanie automatycznie dodany do nowych dysków chronionych funkcją BitLocker i można go zaktualizować dla istniejących dysków zaszyfrowanych funkcją BitLocker za pomocą oprogramowania wiersza polecenia Manage-BDE.

Drugie pole identyfikatora jest używane w połączeniu z regułą Odmów dostępu do nośników wymiennych bez funkcji BitLocker i może być używane do zarządzania dyskami wymiennymi. Kombinacji tych pól można użyć do określenia, czy dysk jest własnością Twojej organizacji.

Jeśli wartość tej reguły nie jest zdefiniowana lub wyłączona, pola identyfikacyjne nie są wymagane. Pole identyfikacyjne może mieć do 260 znaków.

Zapobiegaj nadpisaniu pamięci po ponownym uruchomieniu. Ta reguła zwiększy wydajność komputera, zapobiegając nadpisywaniu pamięci, ale pamiętaj, że klucze funkcji BitLocker nie zostaną usunięte z pamięci.

Jeśli ta zasada jest wyłączona lub nie jest skonfigurowana, klucze funkcji BitLocker zostaną usunięte z pamięci po ponownym uruchomieniu komputera. Aby zwiększyć bezpieczeństwo, regułę tę należy pozostawić w stanie domyślnym.

Skonfiguruj identyfikator obiektu certyfikatu karty inteligentnej. Ta reguła umożliwi powiązanie identyfikatora obiektu certyfikatu karty inteligentnej z dyskiem zaszyfrowanym funkcją BitLocker.

Stałe dyski danych

W tej sekcji opisano zasady zasad grupy, które będą miały zastosowanie do dysków z danymi (nie do partycji systemowych).

Skonfiguruj użycie kart inteligentnych na stałych dyskach danych. Ta reguła określi, czy karty inteligentne mogą być używane do zezwalania na dostęp do danych na dysku twardym komputera. Jeśli wyłączysz tę regułę, karty inteligentne nie będą mogły być używane. Domyślnie można zastosować karty inteligentne.

Odmów dostępu do zapisu na dyskach stałych niechronionych funkcją BitLocker. Ta reguła określa, czy zapisywać dane na dyskach, które nie są chronione funkcją BitLocker. Jeśli ta zasada jest zdefiniowana, wszystkie dyski niechronione funkcją BitLocker będą tylko do odczytu. Jeśli dysk jest zaszyfrowany funkcją BitLocker, będzie to odczyt/zapis. Jeśli ta reguła jest wyłączona lub nie jest zdefiniowana, wszystkie dyski twarde komputera będą dostępne do odczytu i zapisu.

Zezwalaj na dostęp do zabezpieczonych funkcją BitLocker stałych dysków danych z wcześniejszych wersji systemu Windows. Ta reguła zasad określa, czy dyski w formacie FAT mogą być odblokowywane i odczytywane na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Jeśli ta zasada jest włączona lub nie jest skonfigurowana, dyski z danymi sformatowane w systemie plików FAT mogą być odczytywane na komputerach z systemami operacyjnymi wymienionymi powyżej. Jeśli ta reguła jest wyłączona, odpowiednie dyski nie mogą być odblokowane na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP SP3 i Windows XP SP2. Ta reguła nie dotyczy dysków sformatowanych w systemie plików NTFS.

Ta reguła określa, czy do odblokowania dysków chronionych funkcją BitLocker wymagane jest hasło. Jeśli chcesz używać hasła, możesz ustawić wymagania dotyczące złożoności hasła i minimalną długość hasła. Warto zauważyć, że aby ustawić wymagania dotyczące złożoności, należy ustawić wymaganie dotyczące złożoności hasła w sekcji „Zasady haseł” zasad grupy.

Jeśli ta reguła jest zdefiniowana, użytkownicy mogą konfigurować hasła, które spełniają wybrane wymagania. Hasło musi mieć co najmniej 8 znaków (domyślnie).

Wybierz sposób odzyskiwania dysków twardych chronionych funkcją BitLocker. Ta reguła pozwoli Ci zarządzać odzyskiwaniem zaszyfrowanych dysków. Jeśli nie jest skonfigurowany lub wyłączony, dostępne są domyślne opcje odzyskiwania.

Napędy systemu operacyjnego

W tej sekcji opisano zasady zasad grupy, które mają zastosowanie do partycji systemu operacyjnego (zwykle dysku C:).

Wymagaj dodatkowego uwierzytelnienia podczas uruchamiania. Ta reguła zasad grupy umożliwia określenie użycia modułu Trusted Platform Module (TMP) do uwierzytelniania. Warto wziąć pod uwagę, że tylko jedną z funkcji można ustawić podczas uruchamiania, w przeciwnym razie wystąpi błąd podczas realizacji polityki.

Jeśli ta zasada jest włączona, użytkownicy będą mogli konfigurować zaawansowane opcje uruchamiania w Kreatorze konfiguracji funkcji BitLocker. Jeśli zasada jest wyłączona lub nie jest skonfigurowana, podstawowe funkcje można skonfigurować tylko na komputerach z włączonym modułem TPM. Jeśli chcesz użyć kodu PIN i dysku USB, musisz skonfigurować funkcję BitLocker za pomocą wiersza polecenia bde zamiast Kreatora szyfrowania dysków funkcją BitLocker.

Wymagaj dodatkowego uwierzytelnienia przy starcie (Windows Server 2008 i Windows Vista). Ta reguła zasad dotyczy tylko komputerów z systemem Windows 2008 lub Windows Vista. Na komputerach wyposażonych w TPM można ustawić dodatkową opcję zabezpieczeń, kod PIN (od 4 do 20 cyfr). Komputery niewyposażone w TRM będą korzystać z dysku USB z kluczowymi informacjami.

Jeśli to ustawienie jest włączone, kreator wyświetli okno, w którym użytkownik może skonfigurować dodatkowe opcje uruchamiania funkcji BitLocker. Jeśli jednak to ustawienie jest wyłączone lub nieskonfigurowane, kreator instalacji wyświetli podstawowe kroki, aby uruchomić funkcję BitLocker na komputerach z modułem TPM.

Skonfiguruj minimalną długość kodu PIN do uruchomienia. Ta opcja określa ustawienia minimalnej długości kodu PIN przy uruchamianiu komputera. Kod PIN może zawierać od 4 do 20 cyfr.

Wybierz sposób odzyskiwania dysków systemu operacyjnego chronionych funkcją BitLocker. Za pomocą tej reguły zasad grupy można określić, w jaki sposób dyski zaszyfrowane funkcją BitLocker zostaną odzyskane w przypadku braku klucza szyfrowania.

Skonfiguruj profil weryfikacji platformy TPM. Korzystając z tej reguły, możesz skonfigurować moduł TPM. Jeśli nie ma odpowiedniego modułu, ta zasada nie ma zastosowania.

Jeśli włączysz tę regułę, będziesz mógł określić, które komponenty ładowania początkowego będą sprawdzane przez TRM przed odblokowaniem dostępu do zaszyfrowanego dysku.

Wymienne dyski danych

Kontroluj użycie funkcji BitLocker na dyskach wymiennych. Ta reguła zasad grupy kontroluje szyfrowanie funkcją BitLocker na dyskach wymiennych. Możesz wybrać, których ustawień użytkownicy mogą używać do konfigurowania funkcji BitLocker. W szczególności należy wybrać opcję Zezwalaj użytkownikom na stosowanie ochrony funkcją BitLocker na wymiennych dyskach danych, aby umożliwić uruchomienie Kreatora konfiguracji szyfrowania funkcją BitLocker na wymiennych dyskach danych.

W przypadku wybrania opcji Zezwalaj użytkownikom na zawieszanie i odszyfrowywanie funkcji BitLocker na wymiennych dyskach danych użytkownik będzie mógł odszyfrować dysk wymienny lub zawiesić szyfrowanie.

Jeśli ta zasada nie jest skonfigurowana, użytkownicy mogą włączyć funkcję BitLocker na nośnikach wymiennych. Jeśli ta zasada jest wyłączona, użytkownicy nie będą mogli zastosować funkcji BitLocker na dyskach wymiennych.

Skonfiguruj użycie kart inteligentnych na wymiennych dyskach danych. Przy tym ustawieniu zasady określają, czy karty inteligentne mogą być używane do uwierzytelniania użytkownika i uzyskiwania dostępu do dysków wymiennych na komputerze.

Odmów dostępu do zapisu na dyskach wymiennych niechronionych funkcją BitLocker. Możesz użyć tej reguły zasad, aby zapobiec zapisywaniu na dyskach wymiennych, które nie są chronione funkcją BitLocker. W takim przypadku wszystkie dyski wymienne, które nie są chronione funkcją BitLocker, będą tylko do odczytu.

Jeśli wybierzesz Odmów dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji, zapis będzie dostępny tylko na dyskach wymiennych należących do Twojej organizacji. Walidacja odbywa się w odniesieniu do dwóch pól identyfikacyjnych zdefiniowanych w regule zasad grupy organizacji Podaj unikatowe identyfikatory.

Jeśli wyłączysz tę regułę lub nie jest ona skonfigurowana, wszystkie dyski wymienne będą dostępne zarówno do odczytu, jak i do zapisu. Ta reguła może zostać zastąpiona przez ustawienia zasad Konfiguracja użytkownika Szablony administracyjneSystem Dostęp do magazynu wymiennego.Jeśli włączona jest reguła Dyski wymienne: Odmów dostępu do zapisu, reguła ta zostanie zignorowana.

Zezwól na dostęp do wymiennych dysków danych chronionych funkcją BitLocker we wcześniejszych wersjach systemu Windows. Ta reguła określa, czy dyski wymienne w formacie FAT mogą być odblokowywane i wyświetlane na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2.

Jeśli ta zasada jest włączona lub nie jest skonfigurowana, dyski wymienne w formacie FAT można odblokowywać i wyświetlać na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2. W takim przypadku te dyski będą tylko do odczytu.

Jeśli ta reguła jest wyłączona, odpowiednie dyski wymienne nie mogą być odblokowane i przeglądane na komputerach z systemem Windows 2008, Windows Vista, Windows XP SP3 i Windows XP SP2. Ta reguła nie dotyczy dysków sformatowanych w systemie plików NTFS.

Skonfiguruj wymagania dotyczące złożoności hasła i minimalnej długości. Ta reguła zasad określa, czy dyski wymienne zablokowane funkcją BitLocker muszą być odblokowane hasłem. Jeśli zezwolisz na użycie hasła, możesz ustawić wymagania dotyczące jego złożoności i minimalnej długości. Warto wziąć pod uwagę, że w tym przypadku wymagania złożoności muszą odpowiadać wymaganiom polityki haseł Konfiguracja komputeraUstawienia systemu WindowsUstawienia bezpieczeństwaPolityka kontPolityka haseł

Wybierz sposób odzyskiwania dysków wymiennych chronionych funkcją BitLocker. Ta reguła pozwala wybrać sposób odzyskiwania dysków wymiennych chronionych funkcją BitLocker.

Przejdźmy do procesu szyfrowania. Zmiany w zasadach grupy umożliwiają szersze wykorzystanie możliwości szyfrowania funkcją BitLocker, a dla utrwalenia umiejętności pracy z nim postaramy się zaszyfrować: dysk systemowy, dysk danych, nośniki wymienne, zarówno w systemie NTFS, jak i w systemie FAT (założymy, że komputer ma zainstalowany moduł TPM).

Ponadto musimy sprawdzić, czy nasze nośniki wymienne w formacie FAT będą dostępne na komputerze z systemem Windows XP SP2 i Windows Vista SP1.

Na początek w zasadach grupy funkcji BitLocker wybierzemy algorytm szyfrowania i długość klucza (patrz).

Następnie w sekcji Dysk systemu operacyjnego wybierz regułę Wymagaj dodatkowego uwierzytelniania przy starcie (patrz).

Następnie ustawiamy minimalną długość kodu PIN na 6 znaków za pomocą reguły Konfiguruj minimalną długość kodu PIN do uruchamiania. Aby zaszyfrować sekcję danych, ustawimy wymagania dotyczące złożoności i minimalnej długości hasła na 8 znaków.

W takim przypadku należy pamiętać, że te same wymagania dotyczące ochrony hasłem należy ustawić w edytorze strategii.

W przypadku dysków wymiennych wybierz następujące ustawienia:

nie zezwalaj na odczytywanie dysków wymiennych z systemem plików FAT pod starymi Wersje Windows;
hasła muszą spełniać wymagania dotyczące złożoności;
minimalna długość hasła to 8 znaków.

Następnie za pomocą polecenia gpupdate.exe / force w oknie wiersza poleceń zaktualizujemy zasady.

Ponieważ zdecydowaliśmy się używać kodu PIN przy każdym ponownym uruchomieniu, wybieramy opcję Wymagaj kodu PIN przy każdym uruchomieniu (patrz Rysunek 7).

Następnie ponownie uruchamiamy system i rozpoczyna się proces szyfrowania dysku C.

Podobnie zaszyfrowana jest druga partycja naszego dysku twardego - dysk D (patrz ekran 8).

Przed zaszyfrowaniem dysku D musimy ustawić hasło do tego dysku. Jednocześnie hasło musi spełniać nasze wymagania dotyczące minimalnej długości i złożoności hasła. Pamiętaj, że możesz automatycznie otworzyć ten dysk na swoim komputerze. Tak jak poprzednio, zapisz hasło odzyskiwania na dysku USB. Pamiętaj, że przy pierwszym zapisaniu hasła jest ono również zapisywane w pliku tekstowym na tym samym dysku USB!

Spróbujmy teraz zaszyfrować dysk USB sformatowany w systemie plików FAT.

Po zakończeniu szyfrowania spróbuj wyświetlić ten dysk USB na innym komputerze z systemem Windows Vista Home Premium SP1. Wynik jest wyświetlany na ekranie 9.

Jak widać, jeśli dysk zostanie zgubiony, informacje nie zostaną odczytane, co więcej, najprawdopodobniej dysk zostanie po prostu sformatowany.

Podczas próby podłączenia tego samego dysku USB do komputera z systemem Windows 7 Beta1 może zostać wyświetlony komunikat przedstawiony na rysunku 10.

Dlatego przyjrzeliśmy się, jak szyfrowanie będzie wykonywane w systemie Windows 7. W porównaniu z systemem Windows Vista w zasadach grupowych jest znacznie więcej reguł, a zatem wzrośnie odpowiedzialność personelu IT za prawidłowe stosowanie i interakcję z pracownikami.

Tylko o kompleksie. Programy. Żelazo. Internet. Okna

Włącz lub wyłącz funkcję Bitlocker w systemie Windows. Jak skonfigurować szyfrowanie danych funkcją BitLocker dla systemu Windows. Zarządzanie szyfrowaniem dysków zewnętrznych

⇡ BitLocker To Go — szyfrowanie urządzeń zewnętrznych

Algorytm włączania i wyłączania funkcji

Włącz funkcję

Wyłączanie funkcji

Jak działa szyfrowanie dysków funkcją BitLocker

Jak włączyć szyfrowanie dysków funkcją BitLocker

Szyfrowanie dysków flash — funkcja BitLocker To Go

Zarządzanie zaszyfrowanymi partycjami

Przywracanie dostępu do dysku

Wniosek

Włącz lub wyłącz funkcję Bitlocker w systemie Windows

Algorytm włączania i wyłączania funkcji

Włącz funkcję

Wyłączanie funkcji

Konfiguracja Bitlockera

Jak skonfigurować szyfrowanie danych funkcją BitLocker dla systemu Windows

Włącz szyfrowanie funkcją BitLocker

Korzystanie z funkcji BitLocker bez modułu TPM

Wybór metody zwalniania blokady dysku

Utwórz klucz zapasowy

Szyfrowanie i odszyfrowywanie dysku

Szyfrowanie w systemie Windows 7 za pomocą funkcji BitLocker

Utrata wrażliwych danych z powodu kradzieży lub utraty urządzeń mobilnych

Szyfrowanie w Windows 7

Opcje zasad grupy szyfrowania dysków funkcją BitLocker

Stacjonarne dyski twarde

Nośniki wymienne

Wniosek

Co można zaszyfrować za pomocą funkcji BitLocker?

Szyfrowanie dysków bitlocker