Новая функция Windows Vista обеспечивает шифрование всего диска

Сегодня уже сложно найти организацию, в которой не задумывались бы о необходимости защиты данных на жестких дисках мобильных компьютеров. Для этого создано довольно много разнообразных программных средств. Однако теперь одно из таких средств, осуществляющее шифрование всего диска, будет поставляться вместе с новой операционной системой компании Microsoft — Windows Vista. Данная функция включена в состав двух наиболее дорогих и многофункциональных версий операционной системы, Vista Enterprise и Vista Ultimate. Они предназначены для той категории пользователей, которая больше всего страдает от краж и потерь хранящейся на ноутбуках информации.

Совместно с аппаратно реализуемой микросхемой TPM (Trusted Platform Module), которая устанавливается на материнской плате, функция BitLocker осуществляет шифрование всего жесткого диска компьютера. При этом используется классическая модель двухфакторной аутентификации (пароль, хранящийся в ТРМ, и PIN-код для доступа к микросхеме). Такая схема достаточно устойчива к взлому, хотя, несомненно, возможны атаки на PIN-код путем простого перебора (метод «грубой силы», brute force).

Принцип действия BitLocker Drive Encryption основан на механизме шифрования по алгоритму Advanced Encryption Standard (AES) со 128- или 256-разрядным ключом. Это программное обеспечение интегрировано с микросхемой ТРМ версии 1.2 или выше. Вместе с тем данное программное обеспечение можно использовать и на компьютерах, не оснащенных ТРМ, однако для доступа к системе необходимо задействовать накопители USB или пароль восстановления. Но в таком случае степень защищенности будет зависеть прежде всего от самого пользователя. Именно такой вариант применения BitLocker (без ТРМ) мы и рассмотрим в данной статье.

Подготовка

Для установки BitLocker нам необходимо разметить жесткий диск согласно предложенным требованиям, а именно:

  1. Создать новый первичный раздел объемом 1,5 Гбайт.
  2. Сделать этот раздел активным.
  3. Создать другой первичный раздел на оставшемся месте на жестком диске.
  4. Отформатировать оба раздела, используя NTFS.
  5. Установить Windows Vista на больший из разделов.

Чтобы выполнить все эти шаги, для начала необходимо загрузить компьютер, используя установочный DVD с файлами Windows Vista. На экране установки нужно выбрать язык и нажать System Recovery Options. В окне System Recovery Options следует убедиться, что флажок для отметки операционной системы не выбран. Для этого требуется выбрать пустую область в списке операционных систем и нажать Next. Далее необходимо запустить командную строку и использовать утилиту diskpart для создания раздела. Для этого в командной строке надо набрать diskpart, выбрать disk 0 (select disk0) и ввести команду clean для удаления существующих разделов на диске. Затем указываем следующие настройки:

  • create partition primary size=1500. Создаем первый раздел на диске и назначаем его первичным;
  • assign letter=D. Присваиваем данному разделу букву D;
  • active. Делаем данный раздел активным;
  • assign letter=C. Назначаем данному разделу букву C;
  • list volume. Проверяем все разделы на диске.

После этого набираем Exit для выхода из утилиты diskpart и выполняем форматирование разделов С и D:

format c: /y /q /fs:NTFS format d: /y /q /fs:NTFS

Теперь в окне System Recovery Options следует нажать Alt+F4 для возврата в главное окно программы установки, и остается только установить Windows Vista на больший из разделов.

После выполнения установки Windows Vista этап подготовки к запуску функции шифрования не закончен, мы подошли только к середине этой процедуры.

Установка BitLocker

Экран 1. Задание политик в Group Policy Editor
Для установки BitLocker на компьютер, не оборудованный ТРМ или оборудованный ТРМ с версией ниже 1.2, необходимо еще выполнить некоторые дополнительные действия с помощью групповых политик:
  1. Нажать на кнопку Start и набрать gpedit.msc в строке Start Search, а затем нажать Enter.
  2. В Group Policy Object Editor указать Local Computer Policy-Administrative Templates-Windows Components-BitLocker Drive Encryption (см. экран 1).
  3. Дважды щелкнуть на Control Panel Setup: Enable Advanced Startup Options.
  4. Выбрать режим Enabled, затем установить флажок Allow BitLocker without a compatible TPM (см. экран 2).
  5. Закрыть Group Policy Object Editor. Чтобы изменения в групповой политике вступили в силу, нужно нажать Start, и ввести gpupdate.exe /force в строке Start Search. Теперь следует подождать завершения процесса применения групповых политик (см. экран 3).
Экран 2. Окно Control Panel Setup: Enable Advanced Startup Options
Затем для того, чтобы запустить мастер BitLocker Drive Encryption, указываем Turn On BitLocker. На странице Set BitLocker Startup Preferences выбираем вариант Require Startup USB Key at every startup. Данный вариант доступен лишь при отсутствии ТРМ. USB-ключ должен быть вставлен всякий раз, когда загружается компьютер (см. экран 4). В диалоговом окне Save your Startup Key нужно указать в качестве места хранения ключа свой USB-накопитель и нажать Save. На странице Save the recovery password можно выполнить следующие действия (см. экран 5):
  1. Save the password on a USB drive — сохранить пароль восстановления в текстовый файл на USB-диске.
  2. Save the password in a folder — сохранить пароль восстановления в текстовый файл на другое устройство или в сетевую папку.
  3. Print the password — распечатать пароль восстановления.
Экран 3. Применение групповых политик
Важно! Пароль восстановления должен храниться в защищенном месте.

На странице Encrypt the selected disk volume page следует отметить флажок Run BitLocker System Check и нажать Continue.

Экран 4. Окно настроек Set BitLocker
После этого необходимо перезагрузить компьютер, чтобы убедиться, что BitLocker будет запущен, а затем можно начинать процесс шифрования (экран 6). Если проверка прошла нормально, появится строка состояния Encryption in Progress. После окончания этой процедуры диск будет зашифрован.

Восстановление доступа к зашифрованным данным

Восстановление доступа к зашифрованным данным может потребоваться в следующих случаях:

  • произошла ошибка чтения ТРМ;
  • загрузочная запись модифицирована, соответственно ТРМ не разрешает продолжить загрузку; отсутствует доступ к шифрованным данным;
  • содержимое ТРМ стерто и компьютер выключен.
Экран 5. Страница Save the recovery password
Если операционная система заблокирована, процесс восстановления доступа будет весьма прост, потому что операционная система уже запущена. Можно восстановить пароль либо записав его с другого носителя, на котором он был предварительно сохранен, на USB-диск, либо используя функциональные клавиши F1-F10, где F1-F9 соответствуют цифрам 1-9, а F10 — 0.

Восстановление доступа к данным, зашифрованным с помощью BitLocker Drive Encryption.

  1. Включить компьютер.
  2. Если система заблокирована, появится окно BitLocker Drive Encryption Recovery Console. Пользователю будет предложено вставить USB-диск, содержащий пароль восстановления.
  3. Если имеется USB-диск, содержащий пароль восстановления, нужно вставить его и нажать Esc. Компьютер будет перезагружен автоматически и вводить пароль восстановления вручную не потребуется.
  4. Если USB-диска с паролем восстановления нет, следует нажать Enter. Система предложит ввести пароль восстановления вручную.
  5. Если вы знаете пароль восстановления, нужно ввести его вручную и нажать Enter.
  6. Если вы не знаете пароля восстановления, следует нажать Enter дважды и выключить компьютер.
  7. Если пароль восстановления сохранен в файле, который находится в папке на другом компьютере или на сменном носителе, можно использовать другой компьютер для прочтения файла, содержащего пароль.
  8. Для того чтобы узнать имя файла, содержащего пароль, следует записать идентификатор пароля, который будет выведен на монитор заблокированного компьютера. Этот идентификатор и будет именем файла, содержащего ключ восстановления.

Выключение BitLocker

Экран 6. Страница Encrypt the selected disk volume
Данная процедура одинакова как для компьютеров, оборудованных ТРМ, так и для компьютеров без ТРМ. При выключении BitLocker можно временно отключить BitLocker или расшифровать весь диск. Отключение BitLocker позволяет заменить ТРМ или провести обновление операционной системы. Если же администратор решит расшифровать весь диск, то для повторного шифрования необходимо будет сгенерировать новые ключи и повторить процесс шифрования целиком.

Для выключения BitLocker нужно выполнить следующие действия:

  1. Выбрать в меню StartControl PanelSecurityBitLocker Drive Encryption.
  2. На странице BitLocker Drive Encryption найти том, на котором требуется отключить BitLocker Drive Encryption, и выбрать Turn Off BitLocker Drive Encryption.
  3. В диалоговом окне What level of decryption do you want выбрать Disable BitLocker Drive Encryption или Decrypt the volume.

По окончании этой процедуры будет либо отключена функция BitLocker Drive Encryption, либо расшифрован весь том.

Использование BitLocker

Как показало наше небольшое исследование, процедура использования BitLocker проста, однако само применение порождает много вопросов, начиная от стандартных полицейских вроде «а если эту процедуру возьмут на вооружение преступники, ведь тогда полиция не сможет прочесть содержимое их жестких дисков?» и заканчивая более серьезными, по хранению ключей шифрования.

Экран 7. Текстовый файл с паролем восстановления следует удалить
Об этом хотелось бы рассказать чуть подробнее.

Хранение ключей с использованием ТРМ. Если с хранением ключей шифрования посредством ТРМ и PIN-кода все ясно (фактически мы имеем двухфакторную аутентификацию), то в случае хранения ключей в ТРМ без PIN-кода возникает вопрос. Мы загружаем систему, которая ничего у нас не спрашивает, т. е. в случае попадания компьютера в руки злоумышленника он сможет воспользоваться им практически так же, как если бы он вообще не был зашифрован. Единственное, от чего при таком варианте хранения ключей защищает шифрование, так это от несанкционированного прочтения данных в случае сдачи в ремонт жесткого диска (без самого компьютера) и от компрометации информации в случае кражи жесткого диска (без самого компьютера). Понятно, что безопасным такой режим назвать достаточно сложно.

Хранение ключей на USB-диске. В данном случае мы имеем USB-диск, отчуждаемый от владельца, а так как он нужен лишь на момент старта системы, то на пользователя накладывается еще больше обязанностей по хранению самого устройства. В случае если пользователь в ходе описанной выше процедуры сохранил предложенный пароль на USB-диск, то на диске мы имеем два файла. Один скрытый, с расширением BEK, а второй — текстовый файл. Содержимое текстового файла представлено на экране 7.

Увы, большинство пользователей не думают о том, что данный текстовый файл необходимо просто удалить с USB-диска, предварительно его распечатав. Если этого не сделать, то, поскольку USB-диск нам нужен лишь на этапе запуска системы, возможен сценарий, при котором пользователь оставляет USB-диск в компьютере и в какой-то момент покидает свое рабочее место. Пароль восстановления в текстовом файле становится доступен посторонним. Конечно же, знать только для взлома BitLocker недостаточно, но в данном случае для обеспечения защищенности пароля восстановления администраторам придется проводить дополнительную работу.

Безусловно, BitLocker, полезен и необходим. Однако, на мой взгляд, наиболее приемлемым с точки зрения защищенности вариантом его использования является его применение на компьютерах, оборудованных микросхемой ТРМ версии не ниже 1.2 в сочетании с PIN-кодом.

Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com) — инструктор по информационной безопасности учебного центра «Академия БМС Консалтинг», MVP in Windows Security