Domov Comp. gramotnosti Povoľte alebo zakážte Bitlocker v systéme Windows. Ako nastaviť šifrovanie údajov BitLocker pre Windows. Správa šifrovania pre externé disky

Povoľte alebo zakážte Bitlocker v systéme Windows. Ako nastaviť šifrovanie údajov BitLocker pre Windows. Správa šifrovania pre externé disky

BitLocker – nové funkcie šifrovania disku

K strate citlivých údajov často dochádza po tom, čo útočník získal prístup k informáciám na pevnom disku. Napríklad, ak podvodník nejako dostal príležitosť čítať systémové súbory, môže s ich pomocou skúsiť nájsť používateľské heslá, extrahovať osobné informácie atď.

Windows 7 obsahuje nástroj BitLocker, ktorý umožňuje zašifrovať celý disk, takže údaje na ňom ostanú chránené pred zvedavými očami. Bola predstavená technológia šifrovania BitLocker Windows Vista a v novom operačnom systéme bola dokončená. Uvádzame najzaujímavejšie inovácie:

povoliť BitLocker z kontextovej ponuky Prieskumníka;
automatické vytvorenie skrytého oddielu zavádzacieho disku;
podpora agenta obnovy dát (DRA) pre všetky chránené zväzky.

Pripomeňme, že tento nástroj nie je implementovaný vo všetkých vydaniach systému Windows, ale iba vo verziách "Advanced", "Corporate" a "Professional".

Ochrana disku pomocou technológie BitLocker zachová dôverné údaje používateľa takmer za akýchkoľvek okolností vyššej moci – v prípade straty vymeniteľného média, krádeže, neoprávneného prístupu k disku atď. Technológia šifrovania údajov BitLocker sa dá použiť na ľubovoľné súbory na systémovej jednotke, ako aj na akékoľvek dodatočne pripojené médium. Ak sa údaje obsiahnuté na šifrovanom disku skopírujú na iné médium, informácie sa prenesú bez šifrovania.

Na zabezpečenie vyššej bezpečnosti môže BitLocker použiť viacúrovňové šifrovanie – súčasnú aktiváciu niekoľkých typov ochrany vrátane hardvérových a softvérových metód. Kombinácie metód ochrany údajov vám umožňujú získať niekoľko rôzne režimy fungovanie šifrovacieho systému BitLocker. Každý z nich má svoje výhody a tiež poskytuje svoju vlastnú úroveň bezpečnosti:

režim využívajúci modul dôveryhodnej platformy;
režim s použitím modulu dôveryhodnej platformy a zariadenia USB;
pomocou modulu dôveryhodnej platformy a osobného identifikačné číslo(PIN kód);
pomocou USB zariadenia obsahujúceho dongle.

Predtým, ako sa bližšie pozrieme na to, ako sa používa BitLocker, je potrebné urobiť určité objasnenie. V prvom rade je dôležité porozumieť terminológii. TPM je špeciálny kryptografický čip, ktorý umožňuje identifikáciu. Takýto čip môže byť integrovaný napríklad v niektorých modeloch notebookov, stolných počítačov, rôznych mobilné zariadenia ach atď.

V tomto čipe je uložený jedinečný „kľúč koreňového prístupu“. Takýto "zošitý" mikroobvod je ďalšou dodatočnou spoľahlivou ochranou proti prasknutiu šifrovacích kľúčov. Ak by boli tieto údaje uložené na akomkoľvek inom médiu, či už ide o pevný disk alebo pamäťovú kartu, riziko straty informácií by bolo neúmerne vyššie, keďže prístup k týmto zariadeniam je jednoduchší. Pomocou „root access key“ môže čip generovať svoje vlastné šifrovacie kľúče, ktoré dokáže dešifrovať iba modul TPM. Heslo vlastníka sa vygeneruje pri prvej inicializácii modulu TPM. Windows 7 podporuje modul TPM 1.2 a vyžaduje aj kompatibilný systém BIOS.

Keď ochranu vykonáva výlučne modul TPM, počas procesu zapínania počítača sa údaje zhromažďujú na úrovni hardvéru vrátane informácií o systéme BIOS, ako aj ďalších údajov, ktorých súhrn naznačuje pravosť hardvéru. Tento režim prevádzky sa nazýva „transparentný“ a nevyžaduje od používateľa žiadnu akciu – vykoná sa kontrola a v prípade úspechu sa sťahovanie vykoná v normálnom režime.

Je zvláštne, že počítače obsahujúce modul dôveryhodnej platformy sú pre našich používateľov stále len teóriou, keďže dovoz a predaj takýchto zariadení v Rusku a na Ukrajine je zákonom zakázaný kvôli problémom s certifikáciou. Relevantná tak pre nás zostáva iba možnosť ochrany systémového disku pomocou USB disku s prístupovým kľúčom.

Technológia BitLocker umožňuje použiť šifrovací algoritmus na dátové jednotky, ktoré používajú súborové systémy exFAT, FAT16, FAT32 alebo NTFS. Ak sa na jednotku operačného systému použije šifrovanie, údaje na tejto jednotke musia byť zapísané vo formáte NTFS, aby sa mohla použiť technológia BitLocker. Metóda šifrovania, ktorú používa technológia BitLocker, je založená na silnom algoritme AES so 128-bitovým kľúčom.

Jedným z rozdielov medzi funkciou Bitlocker v systéme Windows 7 a podobným nástrojom v systéme Windows Vista je, že nový operačný systém nevyžaduje špeciálne rozdelenie disku. Predtým musel používateľ použiť Pomôcka Microsoft Nástroj na prípravu disku BitLocker, teraz stačí určiť, ktorá jednotka má byť chránená, a systém automaticky vytvorí skrytú zavádzaciu oblasť na jednotke používanej Bitlockerom. Táto bootovacia partícia bude slúžiť na spustenie počítača, je uložená nezašifrovane (inak by nebolo možné nabootovať), pričom partícia s operačným systémom bude zašifrovaná. V porovnaní so systémom Windows Vista je veľkosť zavádzacej oblasti približne desaťkrát menšia miesto na disku. Rozšírená sekcia nemá priradené samostatné písmeno a neobjavuje sa v zozname sekcií Správca súborov.

Na správu šifrovania je vhodné použiť nástroj v ovládacom paneli s názvom „Šifrovanie Jednotka BitLocker" (BitLocker Drive Encryption). Tento nástroj je správca jednotiek, ktorý umožňuje rýchle šifrovanie a odomykanie jednotiek, ako aj prácu s TPM. V tomto okne môžete šifrovanie BitLocker kedykoľvek zrušiť alebo pozastaviť.

⇡ BitLocker To Go – šifrovanie externého zariadenia

V systéme Windows 7 sa objavil nový nástroj- BitLocker To Go, určený na šifrovanie akýchkoľvek vymeniteľných jednotiek - USB diskov, pamäťových kariet atď. Ak chcete povoliť šifrovanie vymeniteľnej jednotky, musíte otvoriť "Prieskumník" a kliknúť kliknite pravým tlačidlom myši kliknite na požadované médium a v kontextovej ponuke vyberte príkaz „Zapnúť BitLocker“.

Tým sa spustí Sprievodca šifrovaním pre vybratú jednotku.

Používateľ si môže vybrať jednu z dvoch metód na odomknutie šifrovaného disku: pomocou hesla – v tomto prípade bude musieť používateľ zadať kombináciu množiny znakov, a pomocou čipovej karty – v tomto prípade špeciálnej čipovej karty. Bude sa vyžadovať PIN kód. Celý proces šifrovania disku trvá pomerne dlho - od niekoľkých minút až po pol hodiny, v závislosti od veľkosti šifrovaného disku, ako aj od rýchlosti jeho činnosti.

Ak pripojíte šifrované vymeniteľné médiá, získate prístup k jednotkám obvyklým spôsobom nebude možné a pri pokuse o prístup na disk sa používateľovi zobrazí nasledujúca správa:

V Prieskumníkovi sa zmení aj ikona disku, na ktorom je aplikovaný šifrovací systém.

Ak chcete médium odomknúť, musíte znova kliknúť pravým tlačidlom myši na písmeno média v kontextovej ponuke správcu súborov a vybrať príslušný príkaz v kontextovej ponuke. Po zadaní správneho hesla v novom okne sa otvorí prístup k obsahu disku a následne s ním bude možné pracovať aj s nešifrovanými médiami.

Nikoho vôbec neprekvapí, že osobný počítač môže uchovávať čisto osobné informácie alebo firemné dáta so zvýšenou hodnotou. Je nežiaduce, ak sa takéto informácie dostanú do rúk tretích strán, ktoré ich môžu použiť, čo spôsobí bývalému majiteľovi počítača vážne problémy.

V závislosti od okolností je možné Bitlocker aktivovať a deaktivovať.

Z tohto dôvodu mnohí používatelia vyjadrujú túžbu podniknúť nejaké opatrenie zamerané na obmedzenie prístupu ku všetkým súborom uloženým v počítači. Takýto postup skutočne existuje. Po vykonaní určitých manipulácií nebude mať nikto z cudzincov, ktorí nepoznajú heslo alebo kľúč na jeho obnovenie, prístup k dokumentom.

Chrániť dôležitá informácia od oboznámenia sa tretími stranami je možné, ak zašifrujete disk Bitlocker. Takéto akcie pomáhajú zabezpečiť úplnú dôvernosť dokumentov nielen na konkrétnom počítači, ale aj v prípade, keď niekto vyberie pevný disk a vloží ho do iného osobného počítača.

Algoritmus na zapnutie a vypnutie funkcie

Šifrovanie jednotiek Bitlocker funguje v systémoch Windows 7, 8 a 10, ale nie vo všetkých verziách. Predpokladá sa, že na základnej doske, ktorá je vybavená konkrétnym počítačom, na ktorom chce používateľ šifrovať, musí byť modul TPM.

RADY. Nenechajte sa odradiť, ak s istotou viete, že na vašej základnej doske takýto špeciálny modul nie je. Existuje niekoľko trikov, ktoré vám umožňujú „ignorovať“ takúto požiadavku, respektíve nainštalovať bez takéhoto modulu.

Pred pokračovaním v procese šifrovania všetkých súborov je dôležité zvážiť, že tento postup je dosť zdĺhavý. Je ťažké uviesť presný čas. Všetko závisí od toho, koľko informácií je dostupných na pevnom disku. Počas procesu šifrovania bude systém Windows 10 naďalej fungovať, ale je nepravdepodobné, že vás bude môcť potešiť svojím výkonom, pretože ukazovateľ výkonu sa výrazne zníži.

Aktivujte funkciu

Ak máte na počítači nainštalovaný Windows 10 a máte aktívnu túžbu povoliť šifrovanie dát, využite naše tipy, aby ste nielen uspeli, ale aby cesta k splneniu takejto túžby nebola náročná. Najprv nájdite na klávesnici kláves „Win“, niekedy je sprevádzaný ikonou Windows, podržte ju stlačenú a súčasne podržte kláves „R“. Súčasným stlačením týchto dvoch klávesov sa otvorí okno Spustiť.

V okne, ktoré sa otvorí, nájdete prázdny riadok, do ktorého budete musieť zadať „gpedit.msc“. Po kliknutí na tlačidlo „Ok“ sa otvorí nové okno „Editor lokálnej skupinovej politiky“. V tomto okne musíme prejsť kúsok.

Na ľavej strane okna nájdite a okamžite kliknite na riadok „Konfigurácia počítača“, v podponuke, ktorá sa otvorí, nájdite „Šablóny pre správu“ a potom v ďalšej podponuke, ktorá sa otvorí, prejdite na parameter, ktorý sa nachádza na prvom mieste. v zozname a nazvané "Komponenty systému Windows".

Teraz presuňte oči na pravú stranu okna, nájdite v ňom „Bitlocker Drive Encryption“ a dvojitým kliknutím ho aktivujte. Teraz sa otvorí nový zoznam, v ktorom by mal byť vaším ďalším cieľom riadok „Disky operačný systém". Kliknite aj na tento riadok, len musíte urobiť ešte jeden prechod, aby ste sa priblížili k oknu, kde bude Bitlocker priamo nakonfigurovaný, čo vám umožní zapnúť, čo je presne to, čo chcete.

Nájdite riadok „Toto nastavenie politiky vám umožňuje nakonfigurovať požiadavku na dodatočné overenie pri spustení“, rozbaľte toto nastavenie dvojitým kliknutím. V otvorenom okne nájdete požadované slovo „Povoliť“, vedľa ktorého nájdete začiarkavacie políčko, do ktorého musíte zadať konkrétne začiarknutie vo forme začiarknutia pre váš súhlas.

O niečo nižšie v tomto okne je podsekcia "Platformy", v ktorej musíte začiarknuť políčko vedľa návrhu na používanie nástroja BitLocker bez špeciálneho modulu. To je veľmi dôležité, najmä ak váš Windows 10 nemá modul TPM.

Nastavenie požadovanej funkcie v tomto okne je dokončené, takže ho môžete zavrieť. Teraz presuňte kurzor myši na ikonu Windows, stačí na ňu kliknúť pravým tlačidlom myši, čím sa zobrazí ďalšia podponuka. V ňom nájdete riadok "Ovládací panel", prejdite naň a potom na ďalší riadok "Bitlocker Drive Encryption".

Nezabudnite uviesť, kde chcete šifrovať. Dá sa to urobiť na pevných aj vymeniteľných jednotkách. Po výbere požadovaného objektu kliknite na tlačidlo „Povoliť Bitlocker“.

Teraz systém Windows 10 spustí automatický proces, ktorý vás občas upozorní a vyzve vás, aby ste špecifikovali svoje želania. Samozrejme, najlepšie je to urobiť pred vykonaním takéhoto procesu zálohovanie. V opačnom prípade, ak sa stratí heslo a kľúč k nemu, ani vlastník počítača nebude môcť obnoviť informácie.

Ďalej sa začne proces prípravy disku na následné šifrovanie. Počas tohto procesu nie je dovolené vypnúť počítač, pretože táto akcia môže spôsobiť vážne poškodenie operačného systému. Po takomto zlyhaní jednoducho nebudete môcť spustiť svoj Windows 10, respektíve namiesto šifrovania musíte nainštalovať nový operačný systém a stráviť viac času.

Akonáhle je príprava disku úspešne dokončená, začína sa samotná konfigurácia disku na šifrovanie. Neskôr sa zobrazí výzva na zadanie hesla, ktoré poskytuje prístup k zašifrovaným súborom. Budete tiež vyzvaní, aby ste prišli s kľúčom na obnovenie a zadali ho. Obe tieto dôležité súčasti je najlepšie uchovávať na bezpečnom mieste, najlepšie vytlačiť. Je veľmi hlúpe ukladať heslo a kľúč na obnovenie na samotnom počítači.

Počas procesu šifrovania sa vás systém môže opýtať, ktorú časť konkrétne chcete šifrovať. Tomuto postupu je najlepšie podrobiť celý priestor na disku, aj keď existuje možnosť šifrovať iba obsadené miesto.

Zostáva vybrať takú možnosť ako "Nový režim šifrovania" a potom spustiť automatická kontrola Operačný systém BitLocker. Ďalej bude systém bezpečne pokračovať v procese, po ktorom budete vyzvaní na reštartovanie počítača. Samozrejme, splňte túto požiadavku, reštartujte.

Po ďalšom spustení systému Windows 10 sa ubezpečíte, že prístup k dokumentom bez zadania hesla nebude možný. Proces šifrovania bude pokračovať, môžete ho ovládať kliknutím na ikonu BitLocker umiestnenú na paneli oznámení.

Vypnutie funkcie

Ak z nejakého dôvodu už nie sú súbory vo vašom počítači veľmi dôležité a naozaj sa vám nepáči zadávať heslo pri každom prístupe k nim, odporúčame vám jednoducho vypnúť funkciu šifrovania.

Ak chcete vykonať takéto akcie, prejdite na panel oznámení, nájdite tam ikonu BitLocker a kliknite na ňu. V spodnej časti otvoreného okna nájdete riadok „Správa BitLockera“, kliknite naň.

Teraz vás systém vyzve, aby ste si vybrali, ktorá akcia je pre vás výhodnejšia:

zálohujte kľúč na obnovenie;
zmeniť heslo pre prístup k šifrovaným súborom;
vymazať skôr nastaviť heslo;
vypnúť BitLocker.

Samozrejme, ak sa rozhodnete vypnúť BitLocker, mali by ste zvoliť poslednú ponúkanú možnosť. Na obrazovke sa okamžite objaví nové okno, v ktorom sa chce systém uistiť, že naozaj chcete deaktivovať funkciu šifrovania.

POZOR. Hneď ako kliknete na tlačidlo „Vypnúť BitLocker“, okamžite sa spustí proces dešifrovania. Tento proces sa, žiaľ, nevyznačuje vysokou rýchlosťou, takže sa určite musíte na chvíľu naladiť, počas čoho stačí počkať.

Samozrejme, ak v tejto chvíli potrebujete používať počítač, môžete si to dovoliť, neexistuje žiadny kategorický zákaz. Mali by ste sa však pripraviť na to, že výkon počítača môže byť v súčasnosti extrémne nízky. Pochopiť dôvod tejto pomalosti nie je ťažké, pretože operačný systém musí odomknúť obrovské množstvo informácií.

Ak teda chcete šifrovať alebo dešifrovať súbory v počítači, stačí sa zoznámiť s našimi odporúčaniami, potom bez spěchu vykonajte každý krok uvedeného algoritmu a po dokončení sa radujte z dosiahnutého výsledku.

Dobrý deň, priatelia! V tomto článku budeme pokračovať v štúdiu systémov zabudovaných do okien určených na zvýšenie bezpečnosti našich údajov. Dnes je to systém šifrovania jednotiek Bitlocker. Šifrovanie údajov je nevyhnutné na zabezpečenie toho, aby vaše informácie nepoužívali cudzie osoby. Ako sa tam dostane, je iná vec.

Šifrovanie je proces transformácie údajov tak, aby k nim mali prístup len tí správni ľudia. Na získanie prístupu sa zvyčajne používajú kľúče alebo heslá.

Šifrovanie celého disku zabraňuje prístupu k údajom pri pripojení pevný disk do iného počítača. Systém útočníka môže mať nainštalovaný iný operačný systém na obídenie ochrany, ale to nepomôže, ak používate BitLocker.

Technológia BitLocker sa objavila s vydaním operačného systému Windows Vista a bola vylepšená vo Windows 7. BitLocker je dostupný vo verziách Windows 7 Ultimate a Enterprise, ako aj vo Windows 8 Pro. Majitelia iných verzií budú musieť hľadať alternatívu.

Ako funguje šifrovanie jednotiek BitLocker

Bez zachádzania do detailov to vyzerá takto. Systém zašifruje celý disk a dá vám k nemu kľúče. Ak zašifrujete systémový disk potom bez vášho kľúča sa počítač nespustí. Rovnako ako kľúče od bytu. Máš ich, spadneš do toho. Stratené, musíte použiť náhradný (obnovovací kód (vydaný počas šifrovania)) a zmeniť zámok (znova vykonať šifrovanie s inými kľúčmi)

Pre spoľahlivú ochranu je žiaduce mať v počítači nainštalovaný modul Trusted Platform Module (TPM). Ak je a jeho verzia je 1.2 alebo vyššia, potom bude riadiť proces a budete mať silnejšie metódy ochrany. Ak tam nie je, potom bude možné použiť iba kľúč na USB disku.

BitLocker funguje nasledovne. Každý sektor disku je šifrovaný samostatne pomocou kľúča (full-volume encryption key, FVEK). Používa sa algoritmus AES so 128-bitovým kľúčom a difúzorom. Kľúč je možné zmeniť na 256 bit skupinové politiky bezpečnosť.

Na tento účel použijeme vyhľadávanie v systéme Windows 7. Otvorte ponuku Štart a do vyhľadávacieho poľa napíšte „zásady“ a vyberte možnosť Zmeniť politiku skupiny

V okne, ktoré sa otvorí na ľavej strane, nasledujte cestu

Konfigurácia počítača > Šablóny pre správu > komponenty windows> Šifrovanie jednotky BitLocker

Na pravej strane dvakrát kliknite na Vyberte metódu šifrovania disku a silu šifry

V okne, ktoré sa otvorí, kliknite na položku Povoliť politiku. V časti Vybrať metódu šifrovania vyberte z rozbaľovacieho zoznamu požadovanú metódu šifrovania

Najspoľahlivejší je AES s 256-bitovým difúznym kľúčom. V tomto prípade bude s najväčšou pravdepodobnosťou zaťaženie centrálneho procesora o niečo vyššie, ale nie o veľa a na moderných počítačoch si rozdiel nevšimnete. Dáta však budú bezpečnejšie.

Použitie difúzora ďalej zvyšuje spoľahlivosť, pretože vedie k výraznej zmene šifrovaných informácií s miernou zmenou pôvodných údajov. To znamená, že pri šifrovaní dvoch sektorov s takmer rovnakými údajmi bude výsledok výrazne odlišný.

Samotný kľúč FVEK sa nachádza medzi metadátami pevného disku a je tiež šifrovaný pomocou hlavného kľúča zväzku (VMK). VMK je tiež šifrovaný pomocou modulu TPM. Ak chýba, použite kľúč na jednotke USB.

Ak jednotka USB s kľúčom nie je k dispozícii, musíte použiť 48-miestny obnovovací kód. Potom bude systém schopný dešifrovať hlavný kľúč zväzku, pomocou ktorého dešifruje kľúč FVEK, pomocou ktorého sa odomkne disk a spustí sa operačný systém.

Vylepšenie nástroja BitLocker v systéme Windows 7

Pri inštalácii systému Windows 7 z jednotky USB flash alebo z disku sa zobrazí výzva na rozdelenie alebo konfiguráciu disku. Keď nakonfigurujete jednotku, vytvorí sa dodatočná zavádzacia oblasť s veľkosťou 100 MB. Asi nie som jediný, kto mal otázky ohľadom jeho menovania. Práve táto sekcia je potrebná na fungovanie technológie Bitlocker.

Tento oddiel je skrytý a bootovateľný a nie je šifrovaný, inak by nebolo možné zaviesť operačný systém.

V systéme Windows Vista musí mať tento oddiel alebo zväzok veľkosť 1,5 GB. Vo Windows 7 to bolo 100 MB.

Ak ste pri inštalácii operačného systému vykonali poruchu s programami tretích strán, to znamená, že ste nevytvorili zavádzaciu oblasť, potom v systéme Windows 7 BitLocker pripraví potrebnú oblasť sám. V systéme Windows Vista by ste ho museli vytvoriť pomocou dodatočného softvéru, ktorý bol dodaný s operačným systémom.

Aj v systéme Windows 7 sa objavila technológia BitLocker To Go na šifrovanie flash diskov a externých zariadení pevné disky. Pozrime sa na to neskôr.

Ako povoliť šifrovanie jednotiek BitLocker

BitLocker je predvolene nakonfigurovaný tak, aby sa spúšťal s modulom TPM a nebude sa chcieť spustiť, ak nie je prítomný. (Najskôr skúste povoliť šifrovanie a ak sa spustí, nemusíte nič deaktivovať v skupinových zásadách)

Ak chcete spustiť šifrovanie, prejdite do časti Ovládací panel\Systém a zabezpečenie\BitLocker Drive Encryption

Vyberte požadovaný disk (v našom príklade je to systémový oddiel) a kliknite na položku Zapnúť BitLocker

Ak vidíte obrázok ako nižšie

skupinovú politiku je potrebné upraviť.

Pomocou vyhľadávania z ponuky Štart zavoláme Editor miestnej politiky skupiny

som na ceste

Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Šifrovanie jednotiek BitLocker > Jednotky operačného systému

Vpravo vyberte možnosť Vyžadovať ďalšie overenie

V okne, ktoré sa otvorí, kliknite na položku Povoliť, potom musíte začiarknuť políčko Povoliť používanie nástroja BitLocker bez kompatibilného modulu TPM a kliknite na tlačidlo OK

Potom je možné spustiť BitLocker. Budete vyzvaní, aby ste vybrali jedinú možnosť ochrany - Pri spustení požiadať o kľúč pri spustení. Toto si vyberáme

Vložíme USB flash disk, na ktorom bude napísaný spúšťací kľúč, a klikneme na Uložiť

Teraz musíte uložiť kľúč na obnovenie pre prípad, že by sa jednotka flash so spúšťacím kľúčom nenachádzala v prístupovej zóne. Kľúč si môžete uložiť na flash disk (najlepšie iný), uložiť kľúč do súboru na neskorší prenos do iného počítača alebo si ho rovno vytlačiť.

Obnovovací kľúč musí byť prirodzene uložený na bezpečnom mieste. uložiť kľúč do súboru

Obnovovací kľúč je jednoduchý Textový dokument s kľúčom

Potom sa zobrazí posledné okno, v ktorom sa odporúča spustiť kontrolu systému BitLocker pred zašifrovaním disku. Kliknite na Pokračovať

Uložte všetko otvorené dokumenty a kliknite na Reštartovať teraz

Tu je to, čo uvidíte, ak sa niečo pokazí

Ak všetko funguje, po reštartovaní počítača sa spustí šifrovanie

Čas závisí od výkonu vášho procesora, kapacity oddielu alebo zväzku, ktorý šifrujete, a rýchlosti výmeny údajov s jednotkou (SSD alebo HDD). 60 GB SSD zaplnený takmer na kapacitu je zašifrovaný za 30 minút, zatiaľ čo dobrovoľné distribuované počítače stále fungujú.

Po dokončení šifrovania uvidíte nasledujúci obrázok

Zatvorte okno a skontrolujte, či sú spúšťací kľúč a obnovovací kľúč na bezpečných miestach.

Šifrovanie jednotky Flash – BitLocker To Go

S príchodom technológie BitLocker To Go v systéme Windows 7 bolo možné šifrovať flash disky, pamäťové karty a externé pevné disky. To je veľmi výhodné, pretože je oveľa jednoduchšie stratiť flash disk ako laptop a netbook.

Prostredníctvom hľadania alebo chôdze po ceste

Štart > Ovládací panel > Systém a zabezpečenie > Šifrovanie jednotiek BitLocker

otvorte ovládacie okno. Vložte USB flash disk, ktorý chcete zašifrovať, a v časti BitLocker To Go povoľte šifrovanie pre požadovaný USB disk

Musíte vybrať spôsob odomknutia disku. Výber nie je veľký ani heslo, ani SIM karta s PIN. SIM karty vydávajú špeciálne oddelenia vo veľkých korporáciách. Využime jednoduché heslo.

Začiarknite políčko, ak chcete použiť heslo na odomknutie disku a zadajte heslo dvakrát. Štandardne je minimálna dĺžka hesla 8 znakov (dá sa zmeniť v skupinových pravidlách). Kliknite na tlačidlo Ďalej

Vyberte, ako uložíme kľúč na obnovenie. Pravdepodobne to spoľahlivo vytlačí. Uložte a kliknite na Ďalej

Kliknite na položku Spustiť šifrovanie a chráňte svoje údaje

Doba šifrovania závisí od kapacity flash disku, jeho plnosti informácií, výkonu vášho procesora a rýchlosti výmeny dát s počítačom.

Na priestranných jednotkách flash alebo externých pevných diskoch môže tento postup trvať dlho. Teoreticky môže byť proces dokončený na inom počítači. Ak to chcete urobiť, pozastavte šifrovanie a správne odstráňte disk. Vložte ho do iného počítača, odomknite ho zadaním hesla a šifrovanie bude automaticky pokračovať.

Teraz, keď inštalujete flash disk do počítača, nižšie sa zobrazí okno s výzvou na zadanie hesla

Ak tomuto počítaču dôverujete a nechcete neustále zadávať heslo, začiarknite políčko Automaticky odomknúť tento počítač v budúcnosti a kliknite na Odomknúť. Na tomto počítači už nebudete musieť zadávať heslo pre tento flash disk.

Aby sa informácie na zašifrovanej jednotke USB mohli použiť na počítačoch so systémom Windows Vista alebo Windows XP, jednotka USB Flash musí byť naformátovaná v systéme súborov FAT32. V týchto operačných systémoch bude možné flash disk odomknúť iba zadaním hesla a informácie budú len na čítanie. Informácie o nahrávaní nie sú k dispozícii.

Správa šifrovaných oddielov

Správa sa vykonáva z okna BitLocker Drive Encryption. Toto okno nájdete pomocou vyhľadávania alebo môžete prejsť na adresu

Ovládací panel > Systém a zabezpečenie > Šifrovanie jednotiek BitLocker

Šifrovanie môžete vypnúť kliknutím na položku Vypnúť BitLocker. V tomto prípade je disk alebo zväzok dešifrovaný. Bude to chvíľu trvať a nebudú potrebné žiadne kľúče.

Tu môžete tiež pozastaviť ochranu.

Táto funkcia odporúčame použiť pri aktualizácii systému BIOS alebo úprave zavádzacieho disku. (Ten istý s objemom 100 MB). Ochranu môžete pozastaviť iba na systémovej jednotke (oddiel alebo zväzok, na ktorom je nainštalovaný systém Windows).

Prečo by malo byť šifrovanie pozastavené? Aby nástroj BitLocker nezablokoval váš disk a neuchýlil sa k postupu obnovenia. Systémové nastavenia (BIOS a obsah zavádzacej oblasti) sú počas šifrovania opravené kvôli dodatočnej ochrane. Ich zmena môže viesť k uzamknutiu počítača.

Ak vyberiete možnosť Spravovať nástroj BitLocker, budete môcť uložiť alebo vytlačiť obnovovací kľúč a duplikovať spúšťací kľúč

Ak sa jeden z kľúčov (spúšťací kľúč alebo obnovovací kľúč) stratí, môžete ho obnoviť tu.

Správa šifrovania pre externé disky

Na správu nastavení šifrovania jednotky Flash sú k dispozícii nasledujúce funkcie

Heslo na odomknutie môžete zmeniť. Heslo môžete odstrániť iba vtedy, ak sa na odomknutie zámku použije čipová karta. Môžete si tiež uložiť alebo vytlačiť obnovovací kľúč a automaticky povoliť uvoľnenie zámku disku pre tento počítač.

Obnovenie prístupu na disk

Obnovenie prístupu k systémovej jednotke

Ak je jednotka flash s kľúčom mimo prístupovej zóny, do hry vstupuje kľúč na obnovenie. Keď spustíte počítač, uvidíte niečo ako nasledujúci obrázok

Ak chcete obnoviť prístupové a zavádzacie okná, stlačte kláves Enter

Zobrazí sa obrazovka s výzvou na zadanie kľúča na obnovenie

Po zadaní poslednej číslice, za predpokladu, že kľúč na obnovenie je správny, sa operačný systém automaticky spustí.

Obnovenie prístupu k vymeniteľným jednotkám

Na obnovenie prístupu k informáciám na flash disku resp externý HDD kliknite Zabudli ste heslo?

Vyberte možnosť Zadajte kľúč na obnovenie

a zadajte tento hrozný 48-miestny kód. Kliknite na tlačidlo Ďalej

Ak sa obnovovací kľúč zhoduje, disk sa odomkne

Zobrazí sa prepojenie Spravovať nástroj BitLocker, kde môžete zmeniť heslo na odomknutie disku.

Záver

V tomto článku sme sa dozvedeli, ako môžeme chrániť naše informácie ich šifrovaním pomocou vstavaného nástroja BitLocker. Je frustrujúce, že táto technológia je dostupná len v starších alebo pokročilých verziách okien. Taktiež sa ukázalo, prečo pri nastavovaní disku vzniká táto skrytá a bootovacia partícia o veľkosti 100 MB okná.

Možno použijem šifrovanie flash diskov alebo externých pevných diskov. Je to však nepravdepodobné, pretože existujú dobré náhrady vo forme služieb cloudového úložiska, ako sú DropBox, Disk Google, Yandex Drive a podobne.

S pozdravom Anton Dyachenko

YouPK.ru

Povoľte alebo zakážte Bitlocker v systéme Windows

V závislosti od okolností je možné Bitlocker aktivovať a deaktivovať.

Zašifrovaním jednotky Bitlocker je možné chrániť dôležité informácie pred prístupom tretích strán. Takéto akcie pomáhajú zabezpečiť úplnú dôvernosť dokumentov nielen na konkrétnom počítači, ale aj v prípade, keď niekto vyberie pevný disk a vloží ho do iného osobného počítača.

Algoritmus na zapnutie a vypnutie funkcie

Šifrovanie jednotky Bitlocker sa vykonáva v systéme Windows 7, 8 a 10, ale nie vo všetkých verziách. Predpokladá sa, že na základnej doske, ktorá je vybavená konkrétnym počítačom, na ktorom chce používateľ šifrovať, musí byť modul TPM.

Aktivujte funkciu

Ak je na vašom počítači nainštalovaný Windows 10 a máte aktívnu túžbu povoliť šifrovanie údajov, použite naše tipy, aby ste nielen uspeli, ale ani cesta k splneniu takejto túžby nebola náročná. Najprv nájdite na klávesnici kláves „Win“, niekedy je sprevádzaný ikonou Windows, podržte ju stlačenú a súčasne podržte kláves „R“. Súčasným stlačením týchto dvoch klávesov sa otvorí okno Spustiť.

Teraz presuňte oči na pravú stranu okna, nájdite v ňom „Bitlocker Drive Encryption“ a dvojitým kliknutím ho aktivujte. Teraz sa otvorí nový zoznam, v ktorom by mal byť vaším ďalším cieľom riadok „Jednotky operačného systému“. Kliknite aj na tento riadok, len musíte urobiť ešte jeden prechod, aby ste sa priblížili k oknu, kde bude Bitlocker priamo nakonfigurovaný, čo vám umožní zapnúť, čo je presne to, čo chcete.

Nastavenie požadovanej funkcie v tomto okne je dokončené, takže ho môžete zavrieť. Teraz prejdite myšou na ikonu okna, kliknite na ňu pravým tlačidlom myši, čím sa zobrazí ďalšia podponuka. V ňom nájdete riadok "Ovládací panel", prejdite naň a potom na ďalší riadok "Bitlocker Drive Encryption".

Nezabudnite uviesť, kde chcete šifrovať. Dá sa to urobiť na pevných aj vymeniteľných jednotkách. Po výbere požadovaného objektu kliknite na tlačidlo „Povoliť Bitlocker“.

Teraz systém Windows 10 spustí automatický proces, príležitostne vás upozorní a vyzve vás, aby ste špecifikovali svoje želania. Pred vykonaním takéhoto procesu je samozrejme najlepšie urobiť zálohu. V opačnom prípade, ak sa stratí heslo a kľúč k nemu, ani vlastník počítača nebude môcť obnoviť informácie.

Ďalej sa začne proces prípravy disku na následné šifrovanie. Počas tohto procesu nie je dovolené vypnúť počítač, pretože táto akcia môže spôsobiť vážne poškodenie operačného systému. Po takomto zlyhaní jednoducho nebudete môcť spustiť systém Windows 10, respektíve namiesto šifrovania budete musieť nainštalovať nový operačný systém a stráviť viac času.

Zostáva vybrať takú možnosť ako "Nový režim šifrovania" a potom spustiť automatickú kontrolu operačného systému BitLocker. Ďalej bude systém bezpečne pokračovať v procese, po ktorom budete vyzvaní na reštartovanie počítača. Samozrejme, splňte túto požiadavku, reštartujte.

Vypnutie funkcie

Teraz vás systém vyzve, aby ste si vybrali, ktorá akcia je pre vás výhodnejšia:

zálohujte kľúč na obnovenie;
zmeniť heslo pre prístup k šifrovaným súborom;
odstráňte predtým nastavené heslo;
vypnúť BitLocker.

NastroyVse.ru

Nastavenie bitlockera

Bitlocker je nástroj, ktorý poskytuje šifrovanie dát na úrovni zväzku (zväzok môže zaberať časť disku, alebo môže obsahovať pole viacerých diskov.) Bitlocker slúži na ochranu vašich dát v prípade straty alebo krádeže notebooku / počítač. V pôvodnej verzii nástroj BitLocker chránil iba jeden zväzok, jednotku operačného systému. BitLocker je súčasťou všetkých vydaní Server 2008 R2 a Server 2008 (okrem vydania Itanium), ako aj Windows 7 Ultimate a Enterprise a Windows Vista. Vo verziách Windows Server 2008 a Vista SP1 Microsoft implementoval ochranu pre rôzne zväzky vrátane lokálnych dátových zväzkov. Vo verziách Windows Server 2008 R2 a Windows 7 vývojári pridali podporu pre vymeniteľné úložné zariadenia (USB flash disky a externé pevné disky). Táto funkcia sa nazýva BitLocker To Go. Technológia BitLocker využíva šifrovací algoritmus AES, kľúč môže byť uložený v TMP (Trusted Platform Module – špeciálny obvod inštalovaný v počítači pri jeho výrobe, ktorý zabezpečuje ukladanie šifrovacích kľúčov) alebo v USB zariadení. Pre prístup sú možné tieto kombinácie:

TPM - TPM + PIN - TPM + PIN + USB kľúč - TPM + USB kľúč - USB kľúč

Prejdite na Počítač a kliknite pravým tlačidlom myši lokálny disk, ktorý chceme zašifrovať (v tento príklad Zašifrujeme lokálny disk C) a vyberieme „Povoliť BitLocker“.

Po týchto krokoch sa zobrazí chyba.

Je to pochopiteľné, ako som už napísal - na tomto počítači nie je modul TMP a tu je výsledok, ale všetko sa dá ľahko opraviť, stačí prejsť do miestnych zásad počítača a zmeniť tam nastavenia, na to musíte prejdite do editora miestnych politík- do vyhľadávacieho poľa napíšeme gpedit.msc a stlačíme "Enter".

V dôsledku toho sa otvorí okno miestnych politík, prejdite na cestu "Konfigurácia počítača - Šablóny na správu - Komponenty systému Windows - Šifrovanie jednotiek Bit-Locker - Jednotky operačného systému" a v zásade Vyžadovať dodatočné overenie pri spustení nastavte na Povoliť, musíte tiež venovať pozornosť začiarkavaciemu políčku Povoliť používanie nástroja BitLocker bez kompatibilného modulu TPM Kliknite na „OK“.

Ak teraz zopakujete prvé kroky na povolenie nástroja BitLocker na lokálnom disku, otvorí sa okno na nastavenie šifrovania disku, pri spustení vyberte možnosť „Vyžiadať spúšťací kľúč“ (nemali sme však na výber, je to kvôli nedostatok TPM).

V ďalšom okne vyberte USB zariadenie, na ktorom bude kľúč uložený.

Potom si vyberieme, kam uložíme obnovovací kľúč (to je kľúč, ktorý sa zadáva ručne v prípade straty média s hlavným kľúčom), odporúčam to urobiť na inom USB disku, prípadne na inom počítači, prípadne vytlačiť ak uložíte kľúč na obnovenie na rovnakom počítači alebo na rovnakom disku USB, nebudete môcť spustiť systém Windows, ak stratíte USB, na ktorom je kľúč uložený. V tomto príklade som uložil na inú jednotku USB.

V ďalšom okne spustíme kontrolu systému Bitlocker kliknutím na tlačidlo "Pokračovať", po ktorom sa počítač reštartuje.

Po spustení počítača sa zobrazí okno procesu šifrovania. Často ide o zdĺhavý postup, ktorý trvá niekoľko hodín.

Vďaka tomu máme zašifrovaný disk C, ktorý sa bez USB disku s kľúčom alebo obnovovacím kľúčom nespustí.

pk-help.com

Ako nastaviť šifrovanie údajov BitLocker pre Windows

Na ochranu pred neoprávneným prístupom k súborom uloženým na pevnom disku, ako aj na vymeniteľných jednotkách (externé disky alebo USB flash disky), majú používatelia systému Windows možnosť ich zašifrovať pomocou vstavaného šifrovacieho softvéru BitLocker a BitLocker To Go.

Šifrovací program BitLocker a BitLocker To Go je predinštalovaný vo verziách Proffessional a Enterprise Windows 8/8.1, ako aj vo verzii Ultimate Windows 7. Používatelia základnej verzie Windows 8.1 však majú prístup aj k takej možnosti, ako je napr. „Device Encryption“, ktorý funguje ako analóg BitLockeru v pokročilejších verziách operačného systému.

Povoliť šifrovanie BitLocker

Ak chcete povoliť program Šifrovanie BitLocker, otvorte Ovládací panel a potom postupujte podľa krokov – Systém a zabezpečenie > Šifrovanie jednotiek BitLocker. Môžete tiež otvoriť prieskumník okien("Počítač"), kliknite pravým tlačidlom myši na vybranú jednotku a v rozbaľovacej ponuke vyberte možnosť "Zapnúť BitLocker". Ak vyššie uvedený riadok nie je v ponuke, potom máte nesprávnu verziu OC okien.

Ak chcete povoliť BitLocker pre systémovú jednotku, dátovú jednotku alebo vymeniteľnú jednotku, musíte vybrať možnosť Povoliť BitLocker.

V tomto okne máte k dispozícii 2 typy šifrovania jednotiek BitLocker:

"BitLocker Drive Encryption - Hard Drives": Táto funkcia vám umožňuje šifrovať celý disk. Keď sa počítač spustí, zavádzač systému Windows načíta údaje z oblasti pevného disku, rezervované systémom a zobrazí sa výzva na zadanie typu odomknutia, ktorý ste zadali, napríklad zadajte heslo. BitLocker potom vykoná proces dešifrovania údajov a proces zavádzania systému Windows bude pokračovať. Inými slovami, šifrovanie možno považovať za proces, ktorý je pre používateľa neviditeľný. Vy, ako obvykle, pracujete so súbormi a dátami, ktoré sú zase zašifrované na disku. Okrem toho môžete použiť šifrovanie nielen pre systémové disky.
„BitLocker Drive Encryption – BitLocker To Go“: Externé jednotky, ako sú USB flash disky alebo externé pevné disky, je možné zašifrovať pomocou pomôcky BitLocker To Go. Keď k počítaču pripojíte šifrované zariadenie, budete vyzvaní napríklad na zadanie hesla, ktoré ochráni vaše dáta pred cudzími ľuďmi.

Používanie nástroja BitLocker bez modulu TPM

Pri pokuse o šifrovanie pomocou nástroja BitLocker na počítači bez nainštalovaného hardvérového modulu TPM (Trusted Platform Module) sa otvorí nasledujúce okno so správou umožňujúcou možnosť „Povoliť nástroj BitLocker bez kompatibilného modulu TPM“ (Povoliť nástroj BitLocker bez kompatibilného modulu TPM).

Šifrovací program BitLocker vyžaduje počítač s hardvérovým modulom TPM na ochranu systémovej jednotky, aby správne fungoval. TPM je malý čip nainštalovaný na základnej doske. BitLocker v ňom dokáže ukladať šifrovacie kľúče, čo je bezpečnejšia možnosť ako ich ukladanie na bežnú dátovú jednotku. TPM poskytuje kľúče až po spustení a kontrole stavu systému, čo eliminuje možnosť dešifrovania údajov v prípade odcudzenia pevného disku alebo vytvorenia obrazu zašifrovaného disku na hacknutie na inom počítači.

Ak chcete povoliť vyššie uvedenú možnosť, musíte mať práva správcu. Stačí otvoriť „Editor lokálnych zásad skupiny“ a povoliť nasledujúcu možnosť.

Stlačením kombinácie klávesov Win + R spustíte dialógové okno Spustiť, zadajte príkaz gpedit.msc. Ďalej prejdite na nasledujúce body – Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Šifrovanie jednotiek BitLocker > Jednotky operačného systému. Dvakrát kliknite na položku „Vyžadovať dodatočné overenie pri spustení“ (Vyžadovať dodatočné overenie pri spustení), vyberte možnosť „Povoliť“ (Povolené) a začiarknite políčko „Povoliť BitLocker bez kompatibilného TPM“ (Povoliť BitLocker bez kompatibilného TPM ) . Kliknutím na „Použiť“ uložíte nastavenia.

Výber spôsobu uvoľnenia zámku disku

Po úspešnom dokončení vyššie uvedených krokov sa zobrazí výzva s oknom „Vyberte spôsob odomknutia disku pri spustení“. Ak váš počítač nemá modul TPM, môžete si vybrať z dvoch možností: zadať heslo alebo použiť špeciálnu jednotku USB flash (smart kartu) ako kľúč na odomknutie.

Ak je modul TPM prítomný na základnej doske, budete mať k dispozícii viac možností. Napríklad je možné nastaviť automatické odomykanie pri štarte počítača – všetky kľúče budú uložené v module TPM a automaticky sa použijú na dešifrovanie dát na disku. Môžete tiež zadať heslo na kód PIN zavádzača, ktorý ďalej odomkne vaše dešifrovacie kľúče uložené v TPM a potom celý disk.

Vyberte si spôsob, ktorý vám najviac vyhovuje, a postupujte podľa pokynov inštalatéra.

Vytvorte záložný kľúč

BitLocker vám tiež dáva možnosť vytvoriť záložný kľúč. Tento kľúč sa použije na prístup k zašifrovaným údajom v prípade, že ste zabudli alebo stratili hlavný kľúč, napríklad ste zabudli prístupové heslo kľúča alebo presunuli pevný disk na nový počítač s novým modulom TPM atď.

Kľúč môžete uložiť do súboru, vytlačiť, umiestniť na externú jednotku USB alebo do konta Microsoft (napr. používatelia systému Windows 8 a 8.1). Hlavná vec je mať istotu, že tento záložný kľúč je uložený na bezpečnom mieste, inak môže útočník ľahko obísť BitLocker a získať prístup ku všetkým údajom, ktoré ho zaujímajú. Napriek tomu je však nevyhnutné vytvoriť záložný kľúč, pretože ak stratíte hlavný kľúč bez zálohy, stratíte všetky svoje údaje.

Šifrovanie a dešifrovanie disku

BitLocker automaticky zašifruje nové súbory, keď budú k dispozícii, musíte si však vybrať, ako chcete šifrovať zostávajúce miesto na disku. Môžete zašifrovať celý disk (vrátane voľného miesta) – druhá možnosť na snímke obrazovky nižšie, alebo len súbory – prvá možnosť, čo urýchli proces šifrovania.

Pri používaní nástroja BitLocker na novom počítači (čo znamená čerstvo nainštalovaný operačný systém) je lepšie použiť šifrovanie zaneprázdnený súbormi priestor, pretože to bude chvíľu trvať. V prípade, že povolíte šifrovanie pre disk, ktorý sa používa dlhší čas, je lepšie použiť metódu, ktorá zašifruje celý disk aj s voľným miestom. Táto metóda znemožní obnovenie predtým nezašifrovaného odstránené súbory. Prvý spôsob je teda rýchlejší, zatiaľ čo druhý spoľahlivejší.

Ak ďalej konfigurujete šifrovanie BitLocker, analyzuje systém a reštartuje počítač. Po reštartovaní počítača sa spustí proces šifrovania. V zásobníku sa zobrazí ako ikona, pomocou ktorej uvidíte percentuálny priebeh procesu. Počítač budete môcť používať aj naďalej, dôjde však k miernemu spomaleniu systému v dôsledku paralelného šifrovania súborov.

Po dokončení šifrovania a pri ďalšom spustení počítača vám nástroj BitLocker zobrazí okno, ktoré bude vyžadovať zadanie hesla, kódu PIN alebo vloženie jednotky USB ako kľúča (v závislosti od toho, ako ste predtým nakonfigurovali prístup ku kľúču ).

Stlačením klávesu Escape v tomto okne sa dostanete do okna na zadanie záložného kľúča v prípade, že ste stratili prístup k hlavnému kľúču.

Keď vyberiete metódu šifrovania BitLocker To Go pre externých zariadeníčaká vás podobný sprievodca nastavením, v tomto prípade však nie je potrebný reštart počítača. Neodpájajte externý disk, kým sa neskončí proces šifrovania.

Pri ďalšom pripojení šifrovaného zariadenia k počítaču sa zobrazí výzva na zadanie hesla alebo čipovej karty na jeho odomknutie. Zariadenie chránené nástrojom BitLocker sa zobrazí s príslušnou ikonou v správcovi súborov resp prieskumník okien.

Zašifrovanú jednotku môžete spravovať (zmeniť heslo, vypnúť šifrovanie, zálohovať kľúč atď.) pomocou okna Ovládací panel BitLocker. Kliknutím pravým tlačidlom myši na šifrovanú jednotku a výberom možnosti „Spravovať nástroj BitLocker“ sa dostanete do cieľa.

Ako každý iný spôsob ochrany informácií, aj šifrovanie v reálnom čase na cestách pomocou nástroja BitLocker samozrejme zaberie časť zdrojov vášho počítača. Prejaví sa to najmä vo zvýšenej záťaži CPU v dôsledku neustáleho šifrovania dát z disku na disk. Ale na druhej strane, pre ľudí, ktorých informácie musia byť spoľahlivo chránené pred zvedavými očami, informácie, ktoré môžu zločincom poskytnúť deštruktívne tromfy, je táto strata produktivity najkompromisnejším riešením.

osmaster.org.ua

Šifrovanie v systéme Windows 7 pomocou nástroja BitLocker

Vladimír Bezmalý

7. januára 2009 spoločnosť Microsoft predstavila na testovanie ďalšiu verziu operačného systému pre pracovné stanice - Windows 7. V tomto operačnom systéme, ako sa už stalo zvykom, sú široko zastúpené bezpečnostné technológie, vrátane tých, ktoré boli predtým prezentované vo Windows Vista. Dnes si povieme niečo o šifrovacej technológii Windows BitLocker, ktorá od svojho uvedenia vo Windows Vista prešla výraznými zmenami. Zdá sa, že dnes už nikoho netreba presviedčať o potrebe šifrovania údajov na pevných diskoch a vymeniteľných médiách, napriek tomu však uvedieme argumenty v prospech toto rozhodnutie.

Strata citlivých údajov v dôsledku krádeže alebo straty mobilných zariadení

Dnes sú náklady na hardvér mnohonásobne nižšie ako náklady na informácie obsiahnuté v zariadení. Strata údajov môže viesť k strate reputácie, strate konkurencieschopnosti a možným súdnym sporom.

Na celom svete je problematika šifrovania údajov už dlho regulovaná príslušnými legislatívnymi aktmi. Takže napríklad v USA, U.S. Vládny zákon o reforme bezpečnosti informácií (GISRA) vyžaduje šifrovanie údajov na ochranu citlivých informácií uchovávaných vládnymi agentúrami. V krajinách EÚ bola prijatá smernica Európskej únie o ochrane osobných údajov. Kanada a Japonsko majú svoje príslušné predpisy.

Všetky tieto zákony stanovujú prísne sankcie za stratu osobných alebo firemných informácií. Akonáhle je vaše zariadenie odcudzené (stratené), môžu sa spolu s ním stratiť aj vaše dáta. Aby sa zabránilo neoprávnenému prístupu k údajom, možno použiť šifrovanie údajov. Okrem toho nezabudnite na také nebezpečenstvá, ako sú nepovolený prístup k údajom pri oprave (vrátane záruky) alebo predaji zariadení, ktoré boli v prevádzke.

A to, že to nie sú prázdne slová, bohužiaľ, opakovane potvrdzujú fakty. Nezávislý pracovník ministerstva vnútra Spojeného kráľovstva stratil pamäťovú kartu s osobnými údajmi viac ako stotisíc zločincov vrátane tých, ktorí si odpykávajú tresty odňatia slobody. Uvádza sa to v správe rezortu. Médiá obsahovali mená, adresy a v niektorých prípadoch aj podrobnosti o obvineniach proti 84 000 väzňom zadržiavaným vo väzniciach v Spojenom kráľovstve. Na pamäťovej karte sú aj adresy 30 000 ľudí so šiestimi a viac trestnými činmi. Informácie z pamäťovej karty podľa ministerstva použil výskumník z RA Consulting. „Dozvedeli sme sa o porušení bezpečnosti, ktoré malo za následok stratu osobných údajov zamestnanca na základe zmluvy o porušovateľoch zákona z Anglicka a Walesu. V súčasnosti prebieha dôkladné vyšetrovanie,“ uviedol hovorca ministerstva vnútra.

Minister vnútra „tieňovej“ vlády Dominic Grieve sa už k tejto záležitosti stihol vyjadriť. Poznamenal, že britskí daňoví poplatníci budú „úplne šokovaní“ tým, ako britská vláda zaobchádza s tajnými informáciami.

Toto nie je prvý prípad straty dôverných informácií v Spojenom kráľovstve rôznymi organizáciami a oddeleniami, pripomenul Grieve.

V apríli HSBC, veľká britská banka, priznala, že stratila disk s osobnými údajmi 370 000 svojich zákazníkov. V polovici februára sa dozvedeli o krádeži notebooku s lekárskymi údajmi 5 123 pacientov z britskej nemocnice Russels Hall Hospital v Dudley (West Midlands). Koncom januára bolo oznámené, že britskému reťazcu supermarketov Marks and Spencer ukradli laptop s osobnými údajmi 26-tisíc zamestnancov. Britský minister obrany Des Brown 21. januára oznámil, že z ministerstva boli ukradnuté tri notebooky obsahujúce osobné údaje tisícov ľudí.

V decembri minulého roka vyšlo najavo, že súkromná americká spoločnosť stratila informácie o troch miliónoch žiadateľov o britský vodičský preukaz. Boli uložené na pevnom disku počítača. Stratené údaje zahŕňali mená, adresy a telefónne číslažiadateľov o vodičský preukaz v období od septembra 2004 do apríla 2007.

Koncom októbra 2007 sa na ceste medzi dvoma vládnymi úradmi stratili dva disky obsahujúce informácie o 25 miliónoch poberateľov výživného na deti a ich bankových účtoch. Rozsiahla operácia hľadania diskov, ktorá stála daňových poplatníkov 500-tisíc libier, nepriniesla výsledky.

Aj v júni tohto roku sa v jednom z vlakov smerujúcich do Londýna našiel balík s tajnými dokumentmi (http://korrespondent.net/world/493585) s informáciami o boji proti financovaniu terorizmu, pašovaniu drog a praniu špinavých peňazí. Predtým sa na sedadle vlaku v Londýne našiel balík s tajnými dokumentmi, ktoré sa zaoberali najnovšími informáciami o teroristickej sieti Al-Káida (http://korrespondent.net/world/490374). Otázkou je, čo si mysleli používatelia, ktorí to umožnili?

A tu je ďalší fakt, ktorý by mal prinútiť majiteľov mobilných zariadení zamyslieť sa

Podľa správy Ponemon Institute (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute) sa na veľkých a stredne veľkých letiskách v Spojených štátoch ročne stratí približne 637 000 notebookov. Štáty Podľa prieskumu sa notebooky zvyčajne strácajú kontrolné body bezpečnosť.

Týždenne sa na 36 veľkých amerických letiskách stratí približne 10 278 notebookov a 65 % z nich sa nevráti svojim majiteľom. Približne 2 000 notebookov sa stratilo na stredne veľkých letiskách a 69 % z nich nebolo vrátených svojim majiteľom. Inštitút uskutočnil prieskumy na 106 letiskách v 46 krajinách a opýtal sa 864 ľudí.

Najčastejšie stratené notebooky sú na týchto piatich letiskách:

Los Angeles International
Miami International
John F. Kennedy International
Chicago O'Hare
Newark Liberty International.

Cestovatelia si nie sú istí, či sa im stratené notebooky vrátia.

Približne 77 % opýtaných uviedlo, že nemajú žiadnu nádej na vrátenie strateného notebooku, 16 % tvrdí, že by neurobili nič, ak by notebook stratili. Približne 53 % uviedlo, že notebooky obsahujú dôverné firemné informácie a 65 % neurobilo nič na ochranu týchto informácií.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Čo je opakom tohto? Iba šifrovanie údajov.

V tomto prípade funguje šifrovanie ako posledná línia fyzickej obrany vášho počítača. V súčasnosti existuje veľa technológií na šifrovanie pevných diskov. Prirodzene, po úspešnej premiére svojej technológie BitLocker ako súčasti Windows Vista Enterprise a Windows Vista Ultimate, Microsoft nemohol nezaradiť túto technológiu do Windows 7. Aby sme však boli spravodliví, treba poznamenať, že v novom OS uvidíme výrazne prepracovaná technológia šifrovania.

Šifrovanie v systéme Windows 7

Takže naše zoznámenie začína inštaláciou systému Windows 7 na vašom počítači. V systéme Windows Vista ste na použitie šifrovania museli urobiť jednu z dvoch vecí: buď pripraviť pevný disk pomocou príkazového riadka najskôr jeho rozdelením na oddiely vhodným spôsobom, alebo to urobiť neskôr pomocou špeciálneho softvéru od spoločnosti Microsoft (BitLocker Disk Preparation Tool) . V systéme Windows 7 je problém najskôr vyriešený pri rozdeľovaní pevného disku. Počas inštalácie som teda nastavil systémový oddiel s kapacitou 39 gigabajtov a dostal som ... 2 oddiely! Jeden má veľkosť 200 MB a druhý má 38 gigabajtov s trochou. Navyše v štandardnom okne prieskumníka vidíte nasledujúci obrázok (obr. 1).

Ryža. 1. Okno Prieskumníka

Otvorením Štart - Všetky programy - Nástroje na správu - Správa počítača - Správa diskov však uvidíte (obr. 2) nasledovné:

Ryža. 2. Správa počítača

Ako vidíte, prvý oddiel s veľkosťou 200 MB je jednoducho skrytý. Štandardne je to systémový, aktívny a primárny oddiel. Pre tých, ktorí už poznajú šifrovanie v systéme Windows Vista, nie je v tejto fáze nič mimoriadne nové, okrem toho, že rozdelenie sa štandardne vykonáva týmto spôsobom a pevný disk sa už vo fáze inštalácie pripravuje na následné šifrovanie. Jediným markantným rozdielom je jeho veľkosť 200 MB oproti 1,5 GB vo Windows Vista.

Takéto rozdelenie disku na sekcie je samozrejme oveľa pohodlnejšie, pretože často používateľ pri inštalácii OS hneď nerozmýšľa, či bude pevný disk šifrovať alebo nie.

Ihneď po nainštalovaní OS môžeme vybrať v Ovládacom paneli v časti Systém a zabezpečenie (obr. 3) BitLocker Drive Encryption

Ryža. 3. Systém a bezpečnosť

Výberom možnosti Chrániť počítač šifrovaním údajov na disku sa zobrazí okno (obrázok 4)

Ryža. 4. BitLocker Drive Encryption

Venujte pozornosť (na obrázku zvýraznené červenou farbou) možnostiam, ktoré v systéme Windows Vista chýbajú alebo sú inak usporiadané. Takže v systéme Windows Vista bolo možné vymeniteľné médiá šifrovať iba vtedy, ak používali súborový systém NTFS a šifrovanie sa vykonávalo podľa rovnakých pravidiel ako pre pevné disky. Druhú oblasť pevného disku (v tomto prípade jednotku D:) bolo možné zašifrovať až po zašifrovaní systémovej oblasti (jednotka C:).

Nemyslite si však, že keď vyberiete možnosť Zapnúť BitLocker, môžete začať. To tam nebolo! Povolením nástroja BitLocker bez rozšírených možností získate iba šifrovanie pevného disku na tomto počítači bez použitia TPM, čo, ako som už zdôraznil vo svojich článkoch, nie je dobrý príklad. Používatelia v niektorých krajinách, napríklad v Ruskej federácii alebo na Ukrajine, však jednoducho nemajú inú možnosť, pretože tieto krajiny zakazujú dovoz počítačov s TPM. V tomto prípade vyberte Zapnúť BitLocker a dostanete sa na obrázok 5.

Ryža. 5. BitLocker Drive Encryption

Ak chcete pomocou modulu TPM využiť plný potenciál šifrovania, musíte použiť Editor zásad skupiny. Ak to chcete urobiť, musíte spustiť režim príkazového riadka (cmd.exe) a do príkazového riadka napísať gpedit.msc (obr. 6), čím sa spustí Editor zásad skupiny (obr. 7).

Ryža. 6. Spustenie Editora zásad skupiny

Ryža. 7. Editor zásad skupiny

Pozrime sa bližšie na možnosti skupinovej politiky, ktoré môžete použiť na správu šifrovania BitLocker.

Možnosti skupinovej politiky šifrovania jednotiek BitLocker

Uložte informácie na obnovenie nástroja BitLocker Aktívny adresár Doménové služby (Windows Server 2008 a Windows Vista)

Pomocou tejto možnosti skupinovej politiky môžete spravovať služby Active Directory Domain Services (AD DS) na zálohovanie informácií pre neskoršie obnovenie šifrovania jednotiek BitLocker. Táto možnosť platí len pre počítače so systémom Windows Server 2008 alebo Windows Vista.

Keď je táto možnosť nastavená a je povolený nástroj BitLocker, informácie o obnovení sa automaticky skopírujú do služby AD DS.

Ak túto možnosť politiky zakážete alebo ju ponecháte v predvolenom nastavení, informácie na obnovenie nástroja BitLocker sa neskopírujú do služby AD DS.

Vyberte predvolený priečinok pre heslo na obnovenie

Táto možnosť politiky vám umožní definovať predvolené umiestnenie priečinka na uloženie hesla na obnovenie, ktoré po zobrazení výzvy zobrazí sprievodca šifrovaním jednotky BitLocker. Táto možnosť platí, keď povolíte šifrovanie BitLocker. Treba však poznamenať, že používateľ si môže heslo na obnovenie uložiť do akéhokoľvek iného priečinka.

Vyberte, ako môžu používatelia obnoviť disky chránené nástrojom BitLocker (Windows Server 2008 a Windows Vista)

Táto možnosť vám umožní ovládať možnosti obnovenia nástroja BitLocker zobrazené v sprievodcovi nastavením. Táto zásada sa vzťahuje na počítače so systémom Windows Server 2008 a Windows Vista. Táto možnosť platí, keď je povolený nástroj BitLocker.

Na obnovenie zašifrovaných údajov môže používateľ použiť 48-miestne číselné heslo alebo USB disk s 256-bitovým kľúčom na obnovenie.

Pomocou tejto možnosti môžete povoliť uloženie kľúča s 256-bitovým heslom na jednotku USB ako neviditeľný súbor a textový súbor, ktorý bude obsahovať 48 číslic hesla na obnovenie.

V prípade, že zakážete alebo nenakonfigurujete toto pravidlo skupinovej politiky, Sprievodca nastavením nástroja BitLocker umožní používateľovi vybrať možnosti obnovenia.

Ak toto nastavenie politiky zakážete alebo nenakonfigurujete, Sprievodca nastavením nástroja BitLocker poskytne používateľom ďalšie spôsoby uloženia možností obnovenia.

Vyberte metódu šifrovania jednotky a silu šifry

Pomocou tohto pravidla si môžete vybrať šifrovací algoritmus a dĺžku kľúča, ktorý sa má použiť. Ak je disk už zašifrovaný a potom sa rozhodnete zmeniť dĺžku kľúča, nič sa nestane. Predvolená metóda šifrovania je AES so 128-bitovým kľúčom a difúzorom.

Poskytnite jedinečné identifikátory vašej organizácie

Toto pravidlo politiky vám umožní vytvoriť jedinečné identifikátory pre každý nový disk, ktorý vlastní organizácia, ktorá je chránená nástrojom BitLocker. Tieto identifikátory sú uložené ako prvé a druhé polia identifikátora. Prvé pole ID vám umožní nastaviť jedinečné ID organizácie na diskoch chránených nástrojom BitLocker. Toto ID sa automaticky pridá k novým jednotkám chráneným nástrojom BitLocker a možno ho aktualizovať pre existujúce jednotky šifrované nástrojom BitLocker pomocou softvér Príkazový riadok Manage-BDE.

Druhé pole ID sa používa v kombinácii s pravidlom politiky Zakázať prístup k vymeniteľným médiám, ktoré nie sú súčasťou BitLocker, a možno ho použiť na správu vymeniteľných jednotiek vo vašej spoločnosti.

Kombinácia týchto polí sa môže použiť na určenie, či je jednotka vo vlastníctve vašej organizácie alebo nie.

Ak hodnota tohto pravidla nie je definovaná alebo zakázaná, identifikačné polia nie sú povinné.

Identifikačné pole môže mať dĺžku až 260 znakov.

Zabráňte prepisu pamäte pri reštarte

Toto pravidlo zvýši výkon počítača tým, že zabráni prepisovaniu pamäte, ale treba si uvedomiť, že kľúče BitLocker sa z pamäte neodstránia.

Ak je táto zásada zakázaná alebo nie je nakonfigurovaná, kľúče BitLocker sa po reštartovaní počítača odstránia z pamäte.

Na zvýšenie bezpečnosti by toto pravidlo malo byť predvolene ponechané.

Nakonfigurujte identifikátor objektu certifikátu čipovej karty

Toto pravidlo umožní priradiť ID objektu certifikátu čipovej karty k jednotke šifrovanej BitLockerom.

Stacionárne pevné disky

AT túto sekciu popisuje pravidlá skupinovej politiky, ktoré sa budú vzťahovať na dátové jednotky (nie systémové oddiely).

Nakonfigurujte používanie čipových kariet na pevných dátových jednotkách

Toto pravidlo určí, či sa inteligentné karty môžu alebo môžu použiť na umožnenie prístupu k údajom na pevnom disku počítača.

Ak toto pravidlo zakážete, smart karty sa nebudú dať používať.

Štandardne je možné použiť čipové karty.

Zakázať prístup k zápisu na pevné disky, ktoré nie sú chránené nástrojom BitLocker

Toto pravidlo určuje, či sa má zapisovať na jednotky, ktoré nie sú chránené nástrojom BitLocker. Ak je toto pravidlo definované, všetky disky, ktoré nie sú chránené nástrojom BitLocker, budú iba na čítanie. Ak je disk zašifrovaný pomocou nástroja BitLocker, bude sa čítať aj zapisovať. Ak je toto pravidlo zakázané alebo nie je definované, všetky pevné disky počítača budú dostupné na čítanie a zápis.

Povoliť prístup k pevným dátovým jednotkám chráneným nástrojom BitLocker zo starších verzií systému Windows

Toto pravidlo politiky určuje, či disky s systém súborov FAT je možné odomknúť a prečítať na počítačoch so systémom Windows Server 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Ak je toto pravidlo povolené alebo nie je nakonfigurované, dátové disky naformátované v systéme súborov FAT môžu byť čitateľné na počítačoch s vyššie uvedenými operačnými systémami.

Ak je táto zásada zakázaná, príslušné jednotky nemožno odomknúť na počítačoch so systémom Windows Server 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Pozor! Toto pravidlo sa nevzťahuje na disky naformátované v systéme NTFS.

Toto pravidlo určuje, či sa na odomknutie jednotiek chránených nástrojom BitLocker vyžaduje heslo. Ak chcete použiť heslo, môžete nastaviť požiadavky na zložitosť hesla a minimálnu dĺžku hesla. Stojí za zmienku, že ak chcete nastaviť požiadavky na zložitosť, musíte nastaviť požiadavku na zložitosť hesla v sekcii Zásady hesiel v Zásadách skupiny.

Ak je toto pravidlo definované, používatelia môžu konfigurovať heslá, ktoré spĺňajú vybrané požiadavky.

Heslo musí mať aspoň 8 znakov (predvolené).

Vyberte, ako možno obnoviť pevné disky chránené nástrojom BitLocker

Toto pravidlo vám umožní spravovať obnovu zašifrovaných diskov.

Ak toto pravidlo nie je nakonfigurované alebo zakázané, k dispozícii sú predvolené možnosti obnovenia.

Jednotky operačného systému

Táto časť popisuje pravidlá skupinovej politiky, ktoré sa vzťahujú na oddiely operačného systému (zvyčajne disk C:).

Vyžadovať dodatočné overenie pri spustení

Toto pravidlo skupinovej politiky určí, či na autentifikáciu používate modul Trusted Platform Module (TMP).

Pozor! Stojí za zváženie, že pri spustení je možné nastaviť iba jednu z možností, inak sa zobrazí chyba politiky.

Ak je táto zásada povolená, používatelia budú môcť nakonfigurovať rozšírené možnosti spustenia v sprievodcovi nastavením nástroja BitLocker

Ak je politika zakázaná alebo nie je nakonfigurovaná, základné možnosti je možné nakonfigurovať iba na počítačoch s TPM.

Pozor! Ak chcete použiť kód PIN a jednotku USB, musíte nakonfigurovať nástroj BitLocker pomocou príkazového riadka bde namiesto sprievodcu šifrovaním jednotky BitLocker.

Vyžadovať dodatočné overenie pri spustení (Windows Server 2008 a Windows Vista)

Toto pravidlo politiky sa vzťahuje iba na počítače so systémom Windows 2008 alebo Windows Vista.

Na počítačoch vybavených TPM môžete nastaviť dodatočný bezpečnostný parameter - PIN kód (od 4 do 20 číslic).

Počítače, ktoré nie sú vybavené TRM, budú používať USB disk s kľúčovými informáciami.

Ak je toto nastavenie povolené, sprievodca zobrazí okno, v ktorom môže používateľ nakonfigurovať ďalšie možnosti spustenia nástroja BitLocker.

Ak je toto nastavenie zakázané alebo nie je nakonfigurované, sprievodca inštaláciou zobrazí základné kroky na spustenie nástroja BitLocker na počítačoch s TPM.

Nakonfigurujte minimálnu dĺžku kódu PIN pre spustenie

Táto možnosť konfiguruje minimálnu dĺžku kódu PIN na spustenie počítača.

PIN kód môže mať 4 až 20 číslic.

Vyberte, ako možno obnoviť jednotky OS chránené nástrojom BitLocker

Pomocou tohto pravidla skupinovej politiky môžete určiť, ako sa obnovia jednotky šifrované nástrojom BitLocker, ak chýba šifrovací kľúč.

Nakonfigurujte profil overenia platformy TPM

Pomocou tohto pravidla môžete nakonfigurovať model TPM. Ak neexistuje zodpovedajúci modul, toto pravidlo neplatí.

Ak toto pravidlo povolíte, budete môcť nakonfigurovať, ktoré súčasti bootstrapu budú skontrolované modulom TPM pred odomknutím prístupu k šifrovanému disku.

Vymeniteľné médiá

Ovládajte používanie nástroja BitLocker na vymeniteľných jednotkách

Pomocou tohto pravidla skupinovej politiky môžete spravovať šifrovanie BitLocker na vymeniteľných jednotkách.

Môžete si vybrať, ktoré nastavenia môžu používatelia použiť na konfiguráciu nástroja BitLocker.

Ak chcete povoliť spustenie Sprievodcu nastavením šifrovania BitLocker na vymeniteľnej jednotke, musíte vybrať možnosť „Povoliť používateľom použiť ochranu BitLocker na vymeniteľné dátové jednotky“.

Ak vyberiete možnosť „Povoliť používateľom pozastaviť a dešifrovať nástroj BitLocker na vymeniteľných dátových jednotkách“, používateľ bude môcť dešifrovať vašu vymeniteľnú jednotku alebo pozastaviť šifrovanie.

Ak toto pravidlo nie je nakonfigurované, používatelia môžu používať BitLocker na vymeniteľných médiách.

Ak je táto zásada zakázaná, používatelia nebudú môcť používať BitLocker na vymeniteľných jednotkách.

Nakonfigurujte používanie čipových kariet na vymeniteľných dátových jednotkách

Pomocou tohto nastavenia politiky môžete určiť, či je možné na autentifikáciu používateľa a prístup k vymeniteľným jednotkám na tomto počítači použiť karty Smart Card.

Zakázať prístup k zápisu na vymeniteľné jednotky, ktoré nie sú chránené BitLockerom

Pomocou tohto pravidla politiky môžete zabrániť zápisu na vymeniteľné jednotky nechránené nástrojom BitLocker. V tomto prípade budú všetky vymeniteľné jednotky, ktoré nie sú chránené nástrojom BitLocker, iba na čítanie.

Ak je vybratá možnosť „Odmietnuť prístup k zápisu zariadeniam nakonfigurovaným v inej organizácii“, zápis bude dostupný iba na vymeniteľné disky, ktoré patria vašej organizácii. Overenie sa vykonáva na základe dvoch identifikačných polí definovaných podľa pravidla skupinovej politiky „Poskytnite jedinečné identifikátory pre vašu organizáciu“.

Ak ste toto pravidlo zakázali alebo nie je nakonfigurované, všetky vymeniteľné disky budú dostupné na čítanie aj zápis.

Pozor! Toto pravidlo možno prepísať nastaveniami politiky User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Ak je povolené pravidlo "Vymeniteľné disky: Zakázať prístup k zápisu", toto pravidlo bude ignorované.

Povoľte prístup k vymeniteľným dátovým jednotkám chráneným nástrojom BitLocker zo starších verzií systému Windows

Toto pravidlo určuje, či je možné odomknúť a prezerať vymeniteľné jednotky naformátované systémom FAT na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Ak je toto pravidlo povolené alebo nie je nakonfigurované, vymeniteľné jednotky FAT možno odomknúť a zobraziť na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2. V tomto prípade budú tieto disky len na čítanie.

Ak je toto pravidlo zakázané, príslušné vymeniteľné jednotky nemožno odomknúť a zobraziť na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Toto pravidlo sa nevzťahuje na disky naformátované v systéme NTFS.

Nakonfigurujte požiadavky na zložitosť hesla a minimálnu dĺžku

Toto pravidlo politiky určuje, či sa vymeniteľné jednotky uzamknuté pomocou nástroja BitLocker musia odomknúť heslom. Ak povolíte používanie hesla, môžete nastaviť požiadavky na jeho zložitosť a minimálnu dĺžku hesla. Stojí za zváženie, že v tomto prípade musia požiadavky na zložitosť zodpovedať požiadavkám politiky hesiel Konfigurácia počítača Nastavenia okien Nastavenia zabezpečeniaPolitiky účtu Politika hesiel

Vyberte, ako možno obnoviť vymeniteľné jednotky chránené nástrojom BitLocker

Toto pravidlo vám umožňuje vybrať spôsob obnovy vymeniteľných jednotiek chránených nástrojom BitLocker.

V šifrovaní pevného disku však budeme pokračovať. Keďže ste už videli, že zmeny skupinovej politiky vám umožnia oveľa viac využívať možnosti šifrovania BitLocker, prejdime k úprave skupinovej politiky. Aby sme to dosiahli, formulujeme ciele a podmienky používania nášho šifrovania.

1. Testovaný počítač má nainštalovaný modul TPM

2. Zašifrujeme:

systémový disk
dátový disk
vymeniteľné médiá pod NTFS aj pod FAT.

Okrem toho musíme skontrolovať, či bude naše vymeniteľné médium vo formáte FAT dostupné na počítači so systémom Windows XP SP2 aj Windows Vista SP1.

Prejdime k procesu šifrovania.

Na začiatok vyberte v skupinových pravidlách BitLocker šifrovací algoritmus a dĺžku kľúča (obr. 8)

Ryža. 8. Voľba šifrovacieho algoritmu a dĺžky kľúča

Potom v časti Operačný systémový disk vyberte pravidlo Vyžadovať dodatočné overenie pri spustení (obr. 9)

Ryža. 9. Pravidlo „Vyžadovať dodatočné overenie pri spustení“

Potom nastavíme minimálnu dĺžku PIN na 6 znakov pomocou pravidla Konfigurovať minimálnu dĺžku PIN pri spustení.

Pre šifrovanie dátovej časti sme nastavili požiadavky na zložitosť a minimálnu dĺžku hesla na 8 znakov (obr. 10).

Ryža. 10. Nastavte minimálnu dĺžku hesla a požiadavky na zložitosť

Zároveň musíte pamätať na to, že je potrebné nastaviť požiadavky na ochranu heslom (obr. 11).

Ryža. 11. Požiadavky na ochranu heslom

Pre vymeniteľné disky vyberte nasledujúce nastavenia:

Nepovoliť čítanie vymeniteľných diskov so súborovým systémom FAT v nižších verziách systému Windows;
Heslá musia spĺňať požiadavky na zložitosť;
Minimálna dĺžka hesla je 8 znakov.

Potom pomocou príkazu gpupdate.exe /force aktualizujte politiku v okne príkazového riadka (obr. 12).

Ryža. 12. Aktualizujte nastavenia skupinovej politiky

Keďže sme sa rozhodli použiť PIN kód pri každom reštarte, zvolíme (obr. 13) Vyžadovať PIN pri každom spustení.

Ryža. 13. Zadajte PIN pri každom spustení

Ryža. 14. Zadanie PIN

Zadajte 4-miestny PIN kód (obr. 15)

Ryža. 15. PIN nespĺňa požiadavky na minimálnu dĺžku

Minimálna dĺžka PIN kódu uvedená v politike je 6 číslic, po zadaní nového PIN kódu dostaneme výzvu na uloženie kľúča na USB disk a ako textový súbor.

Ryža. 16. Uloženie záložného šifrovacieho kľúča

Potom reštartujeme systém a začne sa skutočný proces šifrovania jednotky C:.

Potom zašifrujeme druhý oddiel nášho pevného disku - disk D: (obr. 17)

Ryža. 17. Šifrovanie jednotky D:

Pred zašifrovaním jednotky D: musíme zachovať heslo pre túto jednotku. Heslo musí spĺňať naše požiadavky na minimálnu dĺžku hesla a zložitosť hesla. Stojí za zváženie, že tento disk je možné automaticky otvoriť na tomto počítači.

Podobne uložíme heslo na obnovenie na jednotku USB.

Je potrebné poznamenať, že pri prvom uložení hesla sa heslo súčasne uloží textový súbor na rovnakom USB disku!

Treba si uvedomiť, že pri šifrovaní dátovej partície s veľkosťou 120 GB (z toho 100 voľných) sa v programe Windows Explorer vždy zobrazí hlásenie o nedostatku miesta na partícii (obr. 18).

Ryža. osemnásť. okno windows prieskumník

Skúsme zašifrovať USB disk naformátovaný súborovým systémom FAT.

Šifrovanie jednotky USB začína tým, že sme vyzvaní na zadanie hesla pre budúcu šifrovanú jednotku. Podľa určitých pravidiel je minimálna dĺžka hesla 8 znakov. V tomto prípade musí heslo spĺňať požiadavky na zložitosť (obr. 19)

Ryža. 19. Zadajte heslo na zašifrovanie vymeniteľného USB disku

Po dokončení šifrovania som sa pokúsil zobraziť túto jednotku USB na inom počítači so systémom Windows Vista Home Premium SP1. Výsledok je na obr. 21.

Ryža. 21. Pokúšate sa prečítať zašifrovanú jednotku USB na počítači so systémom Windows Vista SP1

Ako vidíte, ak sa váš disk stratí, informácie sa neprečítajú, navyše s najväčšou pravdepodobnosťou bude disk jednoducho naformátovaný.

Keď sa pokúsite pripojiť rovnaký USB disk k počítaču so systémom Windows 7 Beta1, uvidíte nasledovné (obr. 22).

Záver

Videli sme teda, ako bude prebiehať šifrovanie vo Windows 7. Čo môžeme povedať – v porovnaní s Windows Vista má oveľa viac pravidiel v skupinových politikách a podľa toho aj zodpovednosť IT pracovníkov za ich správnu aplikáciu a správnu konštrukciu prepojených vzťahov sa zvyšuje.

Ako odstrániť body obnovenia systému v systéme Windows 7

Bitlocker Drive Encryption

Bitlocker – BitLocker (celý názov BitLockerDrive Encryption) je vstavaná operácia systémy Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 a Windows 8.

Pomocou BitLockera môžete zašifrovať celé pamäťové médium (logický disk, SD kartu, USB kľúč). Zároveň sú podporované šifrovacie algoritmy AES 128 a AES 256.

Možno vás bude zaujímať aj článok „“, v ktorom sme sa pokúsili zistiť, či je možné prelomiť šifrovanie disku Windows.

Obnovovací kľúč k šifre môže byť uložený v počítači, na zariadení USB alebo na hardvérovom čipe TPM (Trusted Platform Module). Kópiu kľúča si môžete uložiť aj do svojho účtu Microsoft (ale prečo?).

VYSVETLENIE Kľúč môžete uložiť do čipu TPM iba na tých počítačoch, kde je čip TPM zabudovaný na základnej doske. Ak základná doska počítač je vybavený čipom TPM, potom je možné z neho kľúč prečítať buď po autentifikácii USB kľúčom/smart kartou, alebo po zadaní PIN kódu.

Vo veľmi jednoduchý prípad používateľ môže byť overený normálne heslo. Samozrejme, táto metóda nebude fungovať pre Jamesa Bonda, ale pre väčšinu bežných používateľov ktorí chcú skryť niektoré svoje údaje pred kolegami alebo príbuznými, bude to stačiť.

Pomocou nástroja BitLocker môžete zašifrovať akýkoľvek zväzok vrátane spúšťacieho zväzku – zväzku, z ktorého Spustenie systému Windows. Potom bude potrebné zadať heslo pri zavádzaní (alebo použiť iné prostriedky overenia, ako je TPM).

RADY Dôrazne vás neodporúčam šifrovať váš bootovací zväzok. Po prvé, výkon je znížený. Webová stránka technet.microsoft uvádza, že zníženie výkonu je zvyčajne 10 %, no vo vašom konkrétnom prípade môžete očakávať väčšie „spomalenie“ počítača – všetko závisí od jeho konfigurácie. A v skutočnosti nie všetky údaje musia byť šifrované. Prečo šifrovať rovnaké programové súbory? Nie je na nich nič dôverné. Po druhé, ak sa niečo stane s Windowsom, obávam sa, že všetko môže skončiť zle – formátovanie zväzku a strata dát.

Preto je najlepšie zašifrovať jeden zväzok - samostatný logický disk, externý USB disk atď. A potom vložte všetky svoje tajné súbory na tento šifrovaný disk. Na šifrovaný disk môžete nainštalovať aj programy, ktoré vyžadujú ochranu, napríklad rovnaké účtovníctvo 1C.

Takýto disk pripojíte len v prípade potreby – dvakrát kliknite na ikonu disku, zadajte heslo a získajte prístup k údajom.

Čo je možné šifrovať pomocou nástroja BitLocker?

Môžete zašifrovať akýkoľvek disk okrem sieťového a optického. Tu je zoznam podporovaných typov pripojenia jednotiek: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Šifrovanie zväzkov pripojených cez Bluetooth nie je podporované. A to aj napriek pamäťovej karte mobilný telefón pripojený k počítaču cez Bluetooth vyzerá ako samostatné pamäťové médium, nedá sa zašifrovať.

Podporované sú súborové systémy NTFS, FAT32, FAT16, ExFAT. Iné súborové systémy nie sú podporované, vrátane CDFS, NFS, DFS, LFS, softvérových polí RAID (podporované sú hardvérové polia RAID).

Môžete šifrovať pevné disky: (SSD, flash disky, SD karty), pevné disky (vrátane tých, ktoré sú pripojené cez USB). Šifrovanie iných typov jednotiek nie je podporované.

Bitlocker Drive Encryption

Prejdite na plochu, spustite Prieskumníka a kliknite na kliknite pravým tlačidlom myši na disk, ktorý chcete zašifrovať. Pripomínam, že to môže byť logický zväzok, SD karta, flash disk, USB disk, SSD disk. V zobrazenej ponuke vyberte možnosť Zapnúť BitLocker.

Povoliť príkaz šifrovania BitLocker

V prvom rade sa vás opýta, ako na tom budete zo šifrovaného disku: pomocou hesla alebo čipovej karty. Musíte vybrať jednu z možností (alebo obe: potom sa použije heslo aj čipová karta), inak sa tlačidlo Ďalej nestane aktívnym.

Ako odstránime zámok Bitlocker?

V ďalšom kroku sa zobrazí výzva na vytvorenie záložnej kópie kľúča
zotavenie.

Zálohujte kľúč na obnovenie

VYSVETLENIE Obnovovací kľúč sa používa na odomknutie disku v prípade, že zabudnete heslo alebo stratíte čipovú kartu. Nemôžete sa odhlásiť z vytvárania kľúča na obnovenie. A to je správne, pretože po návrate z dovolenky som zabudol svoje heslo k šifrovanému disku. Rovnaká situácia sa môže stať aj vám. Preto vyberáme jednu z navrhovaných metód archivácie kľúča na obnovenie.

Uložte kľúč do účtu Microsoft. Neodporúčam túto metódu: nie je pripojenie na internet - nebudete môcť získať svoj kľúč.
Uloženie do súboru je najlepší spôsob. Súbor s kľúčom na obnovenie sa zapíše na pracovnú plochu.

Uložte kľúč na obnovenie na pracovnú plochu

Rozumiete, že by sa mal odtiaľ preniesť na spoľahlivejšie miesto, napríklad na USB flash disk. Je tiež žiaduce premenovať ho, aby z názvu súboru nebolo hneď jasné, že ide o presne ten istý kľúč. Tento súbor môžete otvoriť (neskôr uvidíte, ako vyzerá) a skopírovať samotný kľúč na obnovenie do nejakého súboru, aby ste len vy vedeli, aký je reťazec a v akom súbore sa nachádza. Je lepšie odstrániť pôvodný súbor s kľúčom na obnovenie neskôr. Takže to bude spoľahlivejšie.
Vytlačiť obnovovací kľúč je dosť divoký nápad, pokiaľ potom tento papier nevložíte do trezoru a nezamknete ho na sedem zámkov.

Teraz musíte určiť, ktorú časť disku chcete zašifrovať.

Ktorá časť disku by mala byť šifrovaná?

Šifrovať môžete len obsadené miesto, alebo môžete zašifrovať celý disk naraz. Ak je váš disk takmer prázdny, potom je oveľa rýchlejšie šifrovať iba použité miesto. Zvážte možnosti:

Nech je na 16 GB flash disku len 10 MB dát. Vyberte prvú možnosť a disk bude okamžite zašifrovaný. Nové súbory zapísané na flash disk budú zašifrované za behu, t.j. automaticky;
druhá možnosť je vhodná, ak je na disku veľa súborov a je takmer úplne plný. Avšak pre rovnaký 16 GB flash disk, ale zaplnený až do 15 GB, bude rozdiel v čase šifrovania pre prvú alebo druhú možnosť prakticky nerozoznateľný (čo je 15 GB, čo je 16 - bude šifrované
takmer v rovnakom čase).
ak je však na disku málo údajov a vyberiete si druhú možnosť, potom bude šifrovanie v porovnaní s prvou metódou trvať strašne dlho.

Stačí teda stlačiť tlačidlo. Spustite šifrovanie.

Šifrovanie disku pomocou Bitlocker

Počkajte, kým sa disk zašifruje. Nevypínajte napájanie počítača a nereštartujte ho, kým sa nedokončí šifrovanie - dostanete o tom zodpovedajúcu správu.

Ak dôjde k výpadku napájania, šifrovanie Spustenie systému Windows bude pokračovať tam, kde skončilo. Tak sa píše na webovej stránke Microsoftu. Či to platí pre systémový disk, som neoveroval - nechcel som riskovať.

Pokračovanie článku na ďalšej strane. Ak chcete prejsť na ďalšiu stránku, kliknite na tlačidlo 2, ktoré sa nachádza pod tlačidlami sociálnych sietí.

V januári 2009 spoločnosť Microsoft vydala beta verziu nového operačného systému pre pracovné stanice, Windows 7, pre každého, kto si ho chcel otestovať.Tento operačný systém obsahuje pokročilé bezpečnostné technológie Windows Vista. Tento článok sa zameria na technológiu šifrovania Windows BitLocker, ktorá od svojho uvedenia v systéme Windows Vista prešla významnými zmenami.

Prečo šifrovať

Zdá sa, že dnes už nikoho netreba presviedčať o potrebe šifrovania dát na pevných diskoch a vymeniteľných médiách, no napriek tomu uvedieme niekoľko argumentov v prospech tohto riešenia. Dnes sú náklady na hardvér mnohonásobne nižšie ako náklady na informácie obsiahnuté v zariadeniach. Strata údajov môže viesť k strate reputácie, konkurencieschopnosti a možným súdnym sporom. Zariadenie je ukradnuté alebo stratené - informácie sú dostupné pre cudzincov. Aby sa zabránilo neoprávnenému prístupu k údajom, musí sa použiť šifrovanie. Okrem toho nezabudnite na také nebezpečenstvo, ako je neoprávnený prístup k údajom pri opravách (vrátane záruky) alebo predaj použitých zariadení.

Pomôžte nástroju BitLocker

Čo je opakom tohto? Iba šifrovanie údajov. V tomto prípade funguje šifrovanie ako posledná obranná línia pre údaje v počítači. Existuje veľa technológií šifrovania pevného disku. Prirodzene, po úspešnej implementácii technológie BitLocker ako súčasti Windows Vista Enterprise a Windows Vista Ultimate si Microsoft nemohol pomôcť a nezahrnul túto technológiu do Windows 7. Pre spravodlivosť však treba poznamenať, že v r. Nová verzia dočkáme sa výrazne prepracovanej technológie šifrovania.

Takže naše zoznámenie sa začína Inštalácia systému Windows 7. Ak bolo v systéme Windows Vista pre následné použitie šifrovania potrebné najskôr pripraviť pevný disk pomocou príkazového riadka, príslušným spôsobom ho označiť, alebo to urobiť neskôr pomocou špeciálny program Nástroj Microsoft BitLocker Disk Preparation Tool, potom v systéme Windows 7 je problém vyriešený na začiatku pri rozdeľovaní pevného disku. V mojom prípade som pri inštalácii nastavil jeden systémový oddiel s kapacitou 39 GB a dostal som dva! Jeden z nich má veľkosť 38 GB s malým a druhý 200 MB.

Otvorme si konzolu na správu diskov (Štart, Všetky programy, Nástroje na správu, Správa počítača, Správa diskov), viď.

Ako vidíte, prvý oddiel s veľkosťou 200 MB je jednoducho skrytý. Štandardne je to systémový, aktívny a primárny oddiel. Pre tých, ktorí už poznajú šifrovanie vo Windows Vista, nie je v tejto fáze nič nové, okrem toho, že rozdelenie na partície sa vykonáva štandardne a pevný disk je už pripravený na následné šifrovanie počas inštalácie. Jediné, čo vás upúta, je jeho veľkosť 200 MB oproti 1,5 GB v systéme Windows Vista. Takéto rozdelenie disku na sekcie je samozrejme oveľa pohodlnejšie, pretože často používateľ pri inštalácii operačného systému hneď nerozmýšľa, či bude pevný disk šifrovať.

V prípade Windows 7 môžete ihneď po nainštalovaní operačného systému v Ovládacom paneli v časti Systém a zabezpečenie vybrať BitLocker Drive Encryption. Kliknutím na odkaz Chráňte svoj počítač šifrovaním údajov na disku sa dostanete do okna zobrazeného v .

Venujte pozornosť (na obrázku zvýraznené červenou farbou) funkciám, ktoré v systéme Windows Vista chýbajú alebo sú inak usporiadané. Napríklad v systéme Windows Vista bolo možné vymeniteľné médiá šifrovať iba vtedy, ak používali súborový systém NTFS a šifrovanie sa vykonávalo podľa rovnakých pravidiel ako pre pevné disky. Druhú oblasť pevného disku (v tomto prípade jednotku D:) bolo možné zašifrovať až po zašifrovaní systémovej oblasti (jednotka C:).

Nemyslite si však, že keď vyberiete možnosť Zapnúť BitLocker, všetko bude fungovať tak, ako má. Keď povolíte BitLocker bez rozšírených možností, získate iba zapnuté šifrovanie pevného disku tento počítač bez použitia modulu TPM. Používatelia v niektorých krajinách, ako napr Ruská federácia alebo na Ukrajine proste ine vychodisko nie je, kedze v tychto krajinach je zakazany dovoz pocitacov s TPM. V tomto prípade sa po kliknutí na Zapnúť BitLocker dostaneme na obrazovku 3.

Ak je možné použiť TPM alebo ak je potrebné využiť plný výkon šifrovania, mali by ste použiť Editor zásad skupiny zadaním gpedit.msc do príkazového riadka. Otvorí sa okno editora (pozri ).

Pozrime sa bližšie na nastavenia skupinovej politiky, ktoré môžete použiť na správu šifrovania BitLocker.

Nastavenia skupinovej politiky BitLocker

Uložte informácie na obnovenie nástroja BitLocker v doménových službách Active Directory (Windows Server 2008 a Windows Vista). Pomocou tohto nastavenia skupinovej politiky môžete nechať zálohovať informácie službou Active Directory Domain Services (AD DS) pre neskoršie obnovenie šifrovania jednotiek BitLocker. Táto funkcia sa vzťahuje len na počítače so systémom Windows Server 2008 alebo Windows Vista.

Ak je táto možnosť nastavená, keď je povolený nástroj BitLocker, informácie potrebné na jeho obnovenie sa automaticky skopírujú do služby AD DS. Ak toto nastavenie politiky zakážete alebo ho ponecháte v predvolenom nastavení, informácie na obnovenie nástroja BitLocker sa neskopírujú do služby AD DS.

Vyberte predvolený priečinok pre heslo na obnovenie. Táto možnosť vám umožňuje nastaviť predvolený adresár, ktorý zobrazí Sprievodca šifrovaním jednotky BitLocker, keď sa zobrazí výzva na zadanie umiestnenia priečinka na uloženie hesla na obnovenie. Toto nastavenie platí, keď je zapnuté šifrovanie BitLocker. Používateľ si môže heslo na obnovenie uložiť do ľubovoľného iného priečinka.

Vyberte, ako môžu používatelia obnoviť jednotky chránené nástrojom BitLocker (Windows Server 2008 a Windows Vista). Táto možnosť vám umožňuje ovládať režimy obnovenia nástroja BitLocker zobrazené v sprievodcovi nastavením. Táto zásada sa vzťahuje na počítače so systémom Windows Server 2008 a Windows Vista. Toto nastavenie platí, keď je povolený nástroj BitLocker.

Na obnovenie zašifrovaných údajov môže používateľ použiť 48-miestne číselné heslo alebo USB disk s 256-bitovým kľúčom na obnovenie.

Pomocou tejto možnosti môžete povoliť, aby sa kľúč s 256-bitovým heslom uložil na jednotku USB ako skrytý súbor a textový súbor, ktorý bude obsahovať 48 číslic hesla na obnovenie. V prípade, že zakážete alebo nenakonfigurujete toto pravidlo skupinovej politiky, Sprievodca nastavením nástroja BitLocker vám umožní vybrať možnosti obnovenia.

Vyberte metódu šifrovania jednotky a silu šifry. Pomocou tohto pravidla si môžete vybrať šifrovací algoritmus a dĺžku kľúča, ktorý sa má použiť. Ak je disk už zašifrovaný a potom sa rozhodnete zmeniť dĺžku kľúča, nič sa nestane. Predvolená metóda šifrovania je AES so 128-bitovým kľúčom a difúzorom.

Poskytnite jedinečné identifikátory vašej organizácie. Toto pravidlo politiky vám umožní vytvoriť jedinečné identifikátory pre každý nový disk vo vlastníctve vašej organizácie, ktorý je chránený nástrojom BitLocker. Tieto identifikátory sú uložené ako prvé a druhé polia identifikátora. Prvé pole ID vám umožní nastaviť jedinečné ID organizácie na diskoch chránených nástrojom BitLocker. Toto ID sa automaticky pridá k novým jednotkám chráneným nástrojom BitLocker a možno ho aktualizovať pre existujúce jednotky šifrované nástrojom BitLocker pomocou softvéru príkazového riadka Manage-BDE.

Druhé pole ID sa používa v spojení s pravidlom politiky Zakázať prístup k vymeniteľným médiám, ktoré nie sú súčasťou BitLocker, a možno ho použiť na správu vymeniteľných jednotiek. Kombinácia týchto polí sa môže použiť na určenie, či je jednotka vo vlastníctve vašej organizácie.

Ak hodnota tohto pravidla nie je definovaná alebo zakázaná, identifikačné polia nie sú povinné. Identifikačné pole môže mať dĺžku až 260 znakov.

Zabráňte prepisu pamäte pri reštarte. Toto pravidlo zvýši výkon vášho počítača tým, že zabráni prepisovaniu pamäte, ale uvedomte si, že kľúče BitLocker sa z pamäte neodstránia.

Ak je táto zásada zakázaná alebo nie je nakonfigurovaná, kľúče BitLocker sa po reštartovaní počítača odstránia z pamäte. Pre zvýšenie bezpečnosti by toto pravidlo malo zostať v predvolenom stave.

Nakonfigurujte identifikátor objektu certifikátu čipovej karty. Toto pravidlo umožní priradiť ID objektu certifikátu čipovej karty k jednotke šifrovanej BitLockerom.

Pevné dátové disky

Táto časť popisuje pravidlá skupinovej politiky, ktoré sa budú vzťahovať na dátové jednotky (nie systémové oddiely).

Nakonfigurujte používanie čipových kariet na pevných dátových jednotkách. Toto pravidlo určí, či je možné použiť inteligentné karty na umožnenie prístupu k údajom na pevnom disku počítača. Ak toto pravidlo zakážete, smart karty sa nebudú dať používať. Štandardne je možné použiť čipové karty.

Zakázať prístup k zápisu na pevné disky, ktoré nie sú chránené nástrojom BitLocker. Toto pravidlo určuje, či sa má zapisovať na jednotky, ktoré nie sú chránené nástrojom BitLocker. Ak je toto pravidlo definované, všetky disky, ktoré nie sú chránené nástrojom BitLocker, budú iba na čítanie. Ak je disk zašifrovaný pomocou nástroja BitLocker, bude sa čítať aj zapisovať. Ak je toto pravidlo zakázané alebo nie je definované, všetky pevné disky počítača budú dostupné na čítanie a zápis.

Povoliť prístup k pevným dátovým jednotkám chráneným nástrojom BitLocker zo starších verzií systému Windows. Toto pravidlo politiky určuje, či je možné odomknúť a čítať jednotky naformátované systémom FAT na počítačoch so systémom Windows Server 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Ak je táto zásada povolená alebo nie je nakonfigurovaná, dátové jednotky naformátované systémom súborov FAT môžu byť čitateľné na počítačoch s operačnými systémami uvedenými vyššie. Ak je toto pravidlo zakázané, príslušné jednotky nemožno odomknúť na počítačoch so systémom Windows Server 2008, Windows Vista, Windows XP SP3 a Windows XP SP2. Toto pravidlo sa nevzťahuje na disky naformátované v systéme NTFS.

Ak je toto pravidlo definované, používatelia môžu konfigurovať heslá, ktoré spĺňajú vybrané požiadavky. Heslo musí mať aspoň 8 znakov (predvolené).

Vyberte, ako možno obnoviť pevné disky chránené nástrojom BitLocker. Toto pravidlo vám umožní spravovať obnovu zašifrovaných diskov. Ak nie je nakonfigurovaný alebo vypnutý, k dispozícii sú predvolené možnosti obnovenia.

Jednotky operačného systému

Táto časť popisuje pravidlá skupinovej politiky, ktoré sa vzťahujú na oddiely operačného systému (zvyčajne disk C:).

Vyžadovať dodatočné overenie pri spustení. Toto pravidlo skupinovej politiky vám umožní určiť použitie modulu Trusted Platform Module (TMP) na overenie. Stojí za zváženie, že pri spustení je možné nastaviť iba jednu z funkcií, inak dôjde k chybe pri implementácii politiky.

Ak je táto zásada povolená, používatelia budú môcť nakonfigurovať rozšírené možnosti spustenia v Sprievodcovi nastavením nástroja BitLocker. Ak je politika zakázaná alebo nie je nakonfigurovaná, základné funkcie možno nakonfigurovať iba na počítačoch s povoleným modulom TPM. Ak chcete použiť kód PIN a jednotku USB, musíte nakonfigurovať BitLocker pomocou príkazového riadka bde namiesto Sprievodcu šifrovaním jednotky BitLocker.

Vyžadovať dodatočné overenie pri spustení (Windows Server 2008 a Windows Vista). Toto pravidlo politiky sa vzťahuje iba na počítače so systémom Windows 2008 alebo Windows Vista. Na počítačoch vybavených modulom TPM môžete nastaviť dodatočnú možnosť zabezpečenia, kód PIN (4 až 20 číslic). Počítače, ktoré nie sú vybavené TRM, budú používať USB disk s kľúčovými informáciami.

Ak je toto nastavenie povolené, sprievodca zobrazí okno, v ktorom môže používateľ nakonfigurovať ďalšie možnosti spustenia nástroja BitLocker. Ak je však toto nastavenie zakázané alebo nie je nakonfigurované, sprievodca inštaláciou zobrazí základné kroky na spustenie nástroja BitLocker na počítačoch s TPM.

Nakonfigurujte minimálnu dĺžku kódu PIN pre spustenie. Táto možnosť určuje minimálnu dĺžku PIN kódu na spustenie počítača. PIN kód môže obsahovať 4 až 20 číslic.

Vyberte, ako možno obnoviť jednotky OS chránené nástrojom BitLocker. Toto pravidlo skupinovej politiky môžete použiť na určenie spôsobu obnovenia jednotiek šifrovaných nástrojom BitLocker, ak chýba šifrovací kľúč.

Nakonfigurujte profil overenia platformy TPM. Pomocou tohto pravidla môžete nakonfigurovať modul TPM. Ak neexistuje zodpovedajúci modul, toto pravidlo neplatí.

Ak toto pravidlo povolíte, budete môcť určiť, ktoré súčasti bootstrapu skontroluje modul TPM pred odomknutím prístupu k šifrovanému disku.

Vymeniteľné dátové disky

Ovládajte používanie nástroja BitLocker na vymeniteľných jednotkách. Toto pravidlo skupinovej politiky riadi šifrovanie BitLocker na vymeniteľných jednotkách. Môžete si vybrať, ktoré nastavenia môžu používatelia použiť na konfiguráciu nástroja BitLocker. Konkrétne musíte vybrať možnosť Povoliť používateľom použiť ochranu BitLocker na vymeniteľné dátové jednotky, aby ste umožnili spustenie Sprievodcu nastavením šifrovania BitLocker na vymeniteľných dátových jednotkách.

Ak vyberiete možnosť Povoliť používateľom pozastaviť a dešifrovať nástroj BitLocker na vymeniteľných dátových jednotkách, používateľ bude môcť dešifrovať vašu vymeniteľnú jednotku alebo pozastaviť šifrovanie.

Ak toto pravidlo nie je nakonfigurované, používatelia môžu povoliť nástroj BitLocker na vymeniteľných médiách. Ak je politika zakázaná, používatelia nebudú môcť použiť BitLocker na vymeniteľné jednotky.

Nakonfigurujte používanie čipových kariet na vymeniteľných dátových jednotkách. Pri tomto nastavení politiky určujú, či je možné použiť inteligentné karty na overenie používateľa a prístup k vymeniteľným jednotkám v počítači.

Zakázať prístup k zápisu na vymeniteľné jednotky, ktoré nie sú chránené nástrojom BitLocker. Toto pravidlo politiky môžete použiť na zabránenie zápisu na vymeniteľné jednotky, ktoré nie sú chránené nástrojom BitLocker. V tomto prípade budú všetky vymeniteľné jednotky, ktoré nie sú chránené nástrojom BitLocker, iba na čítanie.

Ak vyberiete možnosť Zakázať prístup k zápisu do zariadení nakonfigurovaných v inej organizácii, zápis bude dostupný iba na vymeniteľné jednotky, ktoré patria vašej organizácii. Overenie prebieha proti dvom identifikačným poliam definovaným v pravidle politiky skupiny organizácie Poskytnite jedinečné identifikátory.

Ak toto pravidlo zakážete alebo nie je nakonfigurované, všetky vymeniteľné jednotky budú dostupné na čítanie aj zápis. Toto pravidlo možno prepísať nastaveniami politiky User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Ak je povolené pravidlo Vymeniteľné disky: Zakázať prístup na zápis, toto pravidlo bude ignorované.

Povoľte prístup k vymeniteľným dátovým jednotkám chráneným nástrojom BitLocker zo starších verzií systému Windows. Toto pravidlo určuje, či je možné odomknúť a zobraziť vymeniteľné jednotky vo formáte FAT na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2.

Ak je táto zásada povolená alebo nie je nakonfigurovaná, vymeniteľné jednotky vo formáte FAT možno odomknúť a zobraziť na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2. V tomto prípade budú tieto disky len na čítanie.

Ak je toto pravidlo zakázané, príslušné vymeniteľné jednotky nemožno odomknúť a zobraziť na počítačoch so systémom Windows 2008, Windows Vista, Windows XP SP3 a Windows XP SP2. Toto pravidlo sa nevzťahuje na disky naformátované v systéme NTFS.

Nakonfigurujte požiadavky na zložitosť hesla a minimálnu dĺžku. Toto pravidlo politiky určuje, či sa vymeniteľné jednotky uzamknuté pomocou nástroja BitLocker musia odomknúť heslom. Ak povolíte používanie hesla, môžete nastaviť požiadavky na jeho zložitosť a minimálnu dĺžku. Stojí za zváženie, že v tomto prípade musia požiadavky na zložitosť zodpovedať požiadavkám politiky hesiel Konfigurácia počítača Nastavenia systému Windows Nastavenia zabezpečeniaPolitiky účtu Politika hesiel

Vyberte, ako možno obnoviť vymeniteľné jednotky chránené nástrojom BitLocker. Toto pravidlo vám umožňuje vybrať spôsob obnovy vymeniteľných jednotiek chránených nástrojom BitLocker.

Prejdime k procesu šifrovania. Zmeny v skupinovej politike umožňujú širšie využitie možností šifrovania BitLocker a na upevnenie zručností pri práci s ním sa pokúsime šifrovať: systémovú jednotku, dátovú jednotku, vymeniteľné médiá v systéme NTFS aj v systéme FAT. (predpokladáme, že počítač má nainštalovaný modul TPM).

Okrem toho musíme skontrolovať, či bude naše vymeniteľné médium vo formáte FAT dostupné na počítači so systémom Windows XP SP2 aj Windows Vista SP1.

Najprv v zásadách skupiny BitLocker vyberieme šifrovací algoritmus a dĺžku kľúča (pozri).

Potom v časti Operačný systémový disk vyberte pravidlo Vyžadovať dodatočné overenie pri spustení (pozri).

Potom nastavíme minimálnu dĺžku PIN na 6 znakov pomocou pravidla Konfigurovať minimálnu dĺžku PIN pri spustení. Pre šifrovanie dátovej časti nastavíme požiadavky na zložitosť a minimálnu dĺžku hesla na 8 znakov.

V tomto prípade si musíte pamätať, že musíte nastaviť rovnaké požiadavky na ochranu heslom prostredníctvom editora zásad.

Pre vymeniteľné disky vyberte nasledujúce nastavenia:

neumožňujú čítanie vymeniteľných diskov so súborovým systémom FAT pod starými Verzie systému Windows;
heslá musia spĺňať požiadavky na zložitosť;
minimálna dĺžka hesla je 8 znakov.

Potom pomocou príkazu gpupdate.exe / force v okne príkazového riadka aktualizujeme politiku.

Keďže sme sa rozhodli použiť kód PIN pri každom reštarte, vybrali sme možnosť Vyžadovať kód PIN pri každom spustení (pozri obrázok 7).

Potom reštartujeme systém a začne sa proces šifrovania jednotky C.

Podobne je zašifrovaný aj druhý oddiel nášho pevného disku – jednotka D (pozri obrazovku 8).

Pred zašifrovaním jednotky D musíme nastaviť heslo pre túto jednotku. Heslo zároveň musí spĺňať naše požiadavky na minimálnu dĺžku a zložitosť hesla. Upozorňujeme, že tento disk môžete v počítači otvoriť automaticky. Ako predtým, uložte heslo na obnovenie na jednotku USB. Majte na pamäti, že pri prvom uložení hesla sa heslo uloží aj do textového súboru na rovnakom disku USB!

Skúsme teraz zašifrovať USB disk naformátovaný v systéme súborov FAT.

Po dokončení šifrovania sa pokúsime zobraziť túto jednotku USB na inom počítači so systémom Windows Vista Home Premium SP1. Výsledok sa zobrazí na obrazovke 9.

Ako vidíte, ak sa disk stratí, informácie sa neprečítajú, navyše s najväčšou pravdepodobnosťou bude disk jednoducho naformátovaný.

Keď sa pokúsite pripojiť rovnakú jednotku USB k počítaču so systémom Windows 7 Beta1, môže sa zobraziť hlásenie zobrazené na obrázku 10.

Pozreli sme sa teda na to, ako bude prebiehať šifrovanie vo Windows 7. V porovnaní s Windows Vista je v skupinových politikách oveľa viac pravidiel a podľa toho sa zvýši aj zodpovednosť IT pracovníkov za ich správnu aplikáciu a interakciu so zamestnancami.

Len o komplexe. programy. Železo. internet. Windows

Povoľte alebo zakážte Bitlocker v systéme Windows. Ako nastaviť šifrovanie údajov BitLocker pre Windows. Správa šifrovania pre externé disky

⇡ BitLocker To Go – šifrovanie externého zariadenia

Algoritmus na zapnutie a vypnutie funkcie

Aktivujte funkciu

Vypnutie funkcie

Ako funguje šifrovanie jednotiek BitLocker

Ako povoliť šifrovanie jednotiek BitLocker

Šifrovanie jednotky Flash – BitLocker To Go

Správa šifrovaných oddielov

Obnovenie prístupu na disk

Záver

Povoľte alebo zakážte Bitlocker v systéme Windows

Algoritmus na zapnutie a vypnutie funkcie

Aktivujte funkciu

Vypnutie funkcie

Nastavenie bitlockera

Ako nastaviť šifrovanie údajov BitLocker pre Windows

Povoliť šifrovanie BitLocker

Používanie nástroja BitLocker bez modulu TPM

Výber spôsobu uvoľnenia zámku disku

Vytvorte záložný kľúč

Šifrovanie a dešifrovanie disku

Šifrovanie v systéme Windows 7 pomocou nástroja BitLocker

Strata citlivých údajov v dôsledku krádeže alebo straty mobilných zariadení

Šifrovanie v systéme Windows 7

Možnosti skupinovej politiky šifrovania jednotiek BitLocker

Stacionárne pevné disky

Vymeniteľné médiá

Záver

Čo je možné šifrovať pomocou nástroja BitLocker?

Bitlocker Drive Encryption