Шифрование дисков BitLocker — одно из новшеств, которые появятся в Windows Server 2008. Вероятно, большинство администраторов еще не испытали возможности BitLocker в Windows Vista, и в этой статье мы рассмотрим, что и как делается на компьютере, оборудованном модулем Trusted Platform Module (ТРМ) под управлением Windows Server 2008.

Область применения технологии шифрования BitLocker в серверной и клиентской версиях, Windows Server 2008 и Microsoft Windows Vista, такова.

  • Сервер: физическая безопасность данных на сервере — защита данных при физическом изъятии жесткого диска и копировании данных.
  • Клиент: физическая безопасность данных, особенно актуально применение этой технологии шифрования для ноутбуков, которые могут быть потеряны или украдены.

Начнем с краткого описания основ технологии BitLocker.

Диски и тома

Прежде всего уточним некоторые термины, используемые при обсуждении темы дисков и томов.

Раздел — секция на физическом диске. Это логическая структура, определяемая в таблице разделов диска.

Том — логическая структура в Windows, состоящая из одного или нескольких разделов, определяемая диспетчером томов Windows. Все приложения и все компоненты операционной системы, кроме диспетчера томов и загрузочных модулей, работают с томами, а не с разделами. В клиентских операционных системах Windows, включая Windows Vista, один раздел обычно соответствует одному тому. У серверов том часто составляется из нескольких разделов, например при использовании массива дисков RAID.

Активный раздел — это раздел, содержащий загрузочный сектор, используемый при запуске операционной системы. Только один раздел может быть помечен как активный. Активный раздел также иногда называют системным разделом или системным томом, но эти названия не имеют никакого отношения к системным файлам и папкам операционной системы Windows.

BitLocker выполняет две взаимодополняющие функции. Во-первых, он обеспечивает шифрование всего тома с Windows. Во-вторых, на компьютерах с совместимым доверенным аппаратно-платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска Windows Server 2008.

Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимой микросхемой TPM и BIOS. Под совместимыми понимаются TPM версии 1.2 и BIOS, поддерживающая TPM и технологию Static Root of Trust Measurement, определенную в спецификациях TCG. Однако стоит учесть, что компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker, но при этом надежность хранения ключей будет снижена.

Совместно с аппаратно реализуемой микросхемой TPM (Trusted Platform Module), которая устанавливается на материнской плате, функция BitLocker осуществляет шифрование всех томов (кроме системного) жесткого диска компьютера. При этом используется классическая модель двухфакторной аутентификации (пароль, хранящийся в ТРМ, и PIN-код для доступа к микросхеме). Такая схема достаточно устойчива к взлому, хотя, несомненно, возможны атаки на PIN-код путем простого перебора (метод «грубой силы», brute force). Хотя ТРМ поддерживает много различных функций, BitLocker использует только некоторые из них.

Защита файлов с помощью шифрования диска BitLocker

Включение шифрования диска BitLocker поможет защитить все тома Windows. Вместе с тем следует помнить, что BitLocker не может шифровать файлы на разделах, не определенных в качестве томов Windows, а также файлы системного раздела (тома).

Нужно понимать, что в отличие от EFS (Encrypted File System), позволяющей шифровать отдельные файлы, BitLocker шифрует весь том Windows целиком, в том числе и системные файлы Windows Server 2008, которые необходимы для загрузки компьютера и регистрации в системе. BitLocker автоматически зашифровывает все файлы, добавляемые в защищенный раздел. Естественно, файлы будут защищены только при хранении в защищенном разделе. При копировании на другой носитель они будут расшифрованы.

В том случае если при загрузке компьютера BitLocker обнаружит возможные угрозы безопасности (ошибки диска, изменения BIOS, изменения файлов загрузки), раздел будет заблокирован и для его разблокирования потребуется пароль восстановления BitLocker. Не забудьте создать этот пароль при первом запуске BitLocker.

Стоит упомянуть, что шифрование BitLocker можно отключить на короткое время или совсем расшифровать диск.

Что такое модуль ТРМ?

TPM (Trusted Platform Module) — это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль ТРМ, как правило, устанавливается на материнской плате сервера, настольного или мобильного компьютера и связан с остальными компонентами посредством системной шины.

Компьютеры, оборудованные модулем ТРМ, могут создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только с помощью модуля ТРМ. Данный процесс, часто называемый «сокрытием» ключа (wrapping key) или «привязкой» ключа (binding key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища Storage Root Key (SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю.

Кроме того, имеется возможность делать ключи не только зашифрованными, но и привязанными к определенной системной конфигурации. Таким образом, в сочетании с BitLocker Drive Encryption вы сможете гарантировать защищенность корпоративных данных. При этом, поскольку для работы ТРМ используется встроенное программное обеспечение и логические алгоритмы, его работа не зависит от операционной системы, что обеспечивает защиту от возможных ошибок самой операционной системы.

Принцип действия BitLocker Drive Encryption основан на механизме шифрования с использованием алгоритма Advanced Encryption Standard (AES) со 128- или 256-разрядным ключом. Данное программное обеспечение может использоваться с микросхемой ТРМ версии 1.2 или выше. Вместе с тем его можно применять и на компьютерах, не оснащенных ТРМ, однако для доступа к системе необходимо задействовать накопители USB или пароль восстановления. Но в таком случае степень защищенности будет зависеть прежде всего от самого пользователя, вернее от того, насколько внимательно он будет относиться к хранению USB-накопителя с ключом шифрования.

Далее мы рассмотрим применение BitLocker Drive Encryption на компьютерах, оборудованных микросхемой ТРМ.

Использование BitLocker Drive Encryption на компьютерах без установленной микросхемы ТРМ ранее рассматривалось мною в статье «BitLocker Drive Encryption» (http://www.osp.ru/win2000/2007/02/4102348/ ).

Подготовка

Для установки BitLocker нам необходимо разметить жесткий диск согласно заданным требованиям, а именно:

  1. Создать новый первичный раздел объемом 1,5 Гбайт.
  2. Сделать этот раздел активным.
  3. Создать другой первичный раздел на жестком диске.
  4. Отформатировать оба раздела, используя NTFS.
  5. Установить Windows Server 2008 на больший из разделов.

Чтобы выполнить все эти шаги, для начала необходимо загрузить компьютер, используя установочный DVD с файлами Windows Server 2008. На экране установки нужно выбрать язык и нажать System Recovery Options. В окне System Recovery Options следует убедиться, что флажок для указания операционной системы не выбран. Необходимо выбрать пустую область в списке операционных систем и нажать Next. Далее требуется запустить командную строку и задействовать утилиту diskpart для создания раздела. Для этого в командной строке надо набрать diskpart, выбрать disk 0 (select disk0) и ввести команду clean для удаления существующих разделов на диске. Затем указываются следующие настройки:

  • create partition primary size=1500. Создаем первый раздел на диске и назначаем его первичным;
  • assign letter=D. Присваиваем данному разделу букву D;
  • active. Делаем данный раздел активным;
  • create partition primary. Создаем второй раздел на диске и назначаем его первичным;
  • assign letter=C. Назначаем данному разделу букву C;
  • list volume. Проверяем все разделы на диске.
  • После этого набираем Exit для выхода из утилиты diskpart и выполняем форматирование разделов С и D:
  • format c: /y /q /fs:NTFS
  • format d: /y /q /fs:NTFS

Теперь в окне System Recovery Options следует нажать Alt+F4 для возврата в главное окно программы установки, и остается только установить Windows Server на больший из разделов. В ходе установки свой загрузчик операционная система запишет на первый раздел, который меньше по размеру.

После выполнения установки Windows Server 2008 этап подготовки к запуску функции шифрования не закончен, мы подошли только к середине этой процедуры.

Установка BitLocker как дополнения в Windows Server 2008

После установки Windows Server 2008 стоит учесть, что 35 дополнительных возможностей данной версии, по сравнению с предыдущей версией Windows Server, по умолчанию не устанавливаются. Для их установки нужно воспользоваться Control Panel — Administrative Tools — Server Manager — Features — Add Features (экран 1).

Экран 1. Окно Server Manager для установки дополнительных функций

В появившемся окне (экран 2) необходимо выбрать BitLocker Drive Encription. Запустится процесс установки BitLocker Drive Encription (экран 3). Далее необходимо перейти в панель управления, запустить модуль BitLocker Drive Encription и выбрать Turn on BitLocker, как показано на экране 4. После этого появится окно, изображенное на экране 5.

Экран 2. Список дополнительных функций

Экран 3. Идет процесс установки BitLocker Drive Encription

Экран 4. Приложение панели управления BitLocker Drive Encription

Экран 5. Запуск функции шифрования BitLocker Drive Encription

Если вы уверены в своем желании продолжить шифрование диска, выберите Continue with BitLocker Drive Encription. Далее вам будет предложено выбрать вариант использования шифрования BitLocker (см. экран 6).

Экран 6. Выбор варианта использования BitLocker

Если вы хотите задействовать BitLocker и ТРМ с использованием PIN-кода, выберите Require PIN at every startup. Данный вариант фактически задает двухфакторную аутентификацию (у пользователя запрашивается PIN-код доступа к ТРМ, в котором хранится ключ шифрования). Это повышает устойчивость ключа шифрования.

После этого от вас потребуется задать PIN-код (экран 7). Длина PIN-кода от 4 до 20 символов. Для задания PIN-кода можно использовать только цифры.

Экран 7. Задание PIN-кода

После задания PIN-кода администратору потребуется создать резервный пароль восстановления, как указано на экране 8.

Экран 8. Создание пароля восстановления

Для создания пароля восстановления вам будет предложено на выбор создать его на USB-накопителе (экран 9), сохранить пароль в папке или распечатать пароль.

Экран 9. В качестве места хранения пароля выбран USB-накопитель

Следует помнить, что от надежности места хранения пароля будет зависеть безопасность вашего компьютера. Специалисты Microsoft рекомендуют иметь несколько копий пароля восстановления. Однако при этом необходимо понимать, что в таком случае вам придется гарантировать сохранность всех резервных копий пароля восстановления. После этого нужно запустить сам процесс шифрования тома (экран 10).

Экран 10. Последний шаг перед шифрованием диска

До начала шифрования необходимо убедиться, что BitLocker сможет корректно прочесть ключи восстановления и шифрования. Для этого требуется вставить USB-устройство с паролем восстановления и выполнить перезагрузку компьютера (экран 11).

Экран 11. Перезагрузка компьютера для использования пароля восстановления

Признаком успешной перезагрузки будет требование ввести PIN-код для продолжения загрузки. Для ввода PIN-кода необходимо пользоваться клавишами F1–F10, где цифрам от 1 до 9 будут соответствовать клавиши F1–F9, а цифре 0 — F10.

Если проверка прошла нормально, появится строка состояния Encryption in Progress (экран 12). После окончания этой процедуры диск будет зашифрован.

Экран 12. Шифрование диска началось

Шифрование с использованием командной строки

Для любого администратора будет полезно знать, что зашифровать диски можно, используя и командную строку. Это дает целый ряд преимуществ по сравнению с использованием графического интерфейса.

Шифрование с помощью BitLocker без поддержки TPM. В меню Start Menu выбираем ярлык командной строки. Щелкните правой кнопкой мыши на значке и выберите Run as administrator (запустить от имени администратора). Далее введите следующую команду:

cscript manage-bde.wsf -on -startupkey

:-recoverypassword

–recoverykey :

Где  — это название диска, присвоенное USB-накопителю с ключом шифрования, который используется вместо микросхемы TPM. Не забудьте добавить двоеточие после имени диска. может быть либо жестким диском, либо USB-накопителем с ключом шифрования, либо сетевым диском. И снова не забудьте поставить двоеточие после названия диска.

Шифрование томов данных с помощью BitLocker

Эта процедура аналогична той, которая приведена в двух предыдущих примерах. Просто замените название диска, который хотите зашифровать. Однако будьте осторожны, иначе можете столкнуться с некоторыми проблемами. Первая заключается в том, что весь процесс будет работать, только если вы зашифровали том операционной системы также с помощью утилиты командной строки. Вторая проблема состоит в том, что после того, как том данных (Data Volume) будет зашифрован, вы не сможете получить доступ к данным после перезагрузки компьютера до тех пор, пока автоматически не разблокируете том данных. Далее показано, как можно избежать этой проблемы.

Предположим, что вы зашифровали том данных с помощью одного из наших примеров или ваших собственных предпочтений. Перед перезагрузкой компьютера введите следующую команду:

cscript manage-bde.wsf

–autounlock -enable

где  — это название диска, присвоенное тому данных. Не забудьте включить двоеточие после названия диска данных.

Команда, представленная выше, позволит сформировать внешнюю защиту ключа (external key protector) на томе данных, и хранить криптографический ключ на томе операционной системы (обычно диск C:), который мы зашифровали ранее. Таким образом, ключ шифрования для тома данных будет защищен ключом для тома операционной системы, но будет по-прежнему автоматически загружаться.

Восстановление доступа к зашифрованным данным

Восстановление доступа к зашифрованным данным может потребоваться в следующих случаях:

  • произошла ошибка чтения ТРМ;
  • загрузочная запись модифицирована, соответственно ТРМ не разрешает продолжить загрузку;
  • отсутствует доступ к шифрованным данным;
  • содержимое ТРМ стерто.

Если операционная система заблокирована, то можно восстановить пароль, записав его с другого носителя, на котором он был предварительно сохранен, на USB-диск либо использовать клавиши F1–F10, где цифрам от 1 до 9 будут соответствовать клавиши F1–F9, а цифре 0 — F10.

Последовательность действий для восстановления доступа к данным, зашифрованным с помощью BitLocker Drive Encryption:

  1. Включить компьютер.
  2. Если система заблокирована, появится окно BitLocker Drive Encryption Recovery Console. Пользователю будет предложено вставить USB-диск, содержащий пароль восстановления.
  3. Если имеется USB-диск, содержащий пароль восстановления, нужно вставить его и нажать Esc. Компьютер будет перезагружен автоматически и вводить пароль восстановления вручную не потребуется.
  4. Если USB-диска с паролем восстановления нет, следует нажать Enter. Система предложит ввести пароль восстановления вручную.
  5. Если вы знаете пароль восстановления, нужно ввести его вручную и нажать Enter.
  6. Если вы не знаете пароля восстановления, следует нажать Enter дважды и выключить компьютер.
  7. Если пароль восстановления сохранен в файле, который находится в папке на другом компьютере или на сменном носителе, можно использовать другой компьютер для прочтения файла, содержащего пароль.
  8. Для того чтобы узнать имя файла, содержащего пароль, следует записать идентификатор пароля, который будет выведен на мониторе заблокированного компьютера (экран 13). Этот идентификатор и будет именем файла, содержащего ключ восстановления.

Экран 13. Идентификатор пароля при блокировке компьютера

Выключение BitLocker

Данная процедура одинакова как для компьютеров, оборудованных ТРМ, так и для компьютеров без ТРМ. При выключении BitLocker можно временно отключить BitLocker или расшифровать весь диск. Отключение BitLocker позволяет заменить ТРМ или выполнить обновление операционной системы. Если же администратор решит расшифровать весь диск, то для повторного шифрования будет необходимо сгенерировать новые ключи и повторить процесс шифрования целиком.

Для выключения BitLocker нужно выполнить следующие действия:

  1. Выбрать в меню Start — Control Panel — Security — BitLocker Drive Encryption.
  2. В окне BitLocker Drive Encryption указать том, на котором требуется отключить функцию BitLocker Drive Encryption, и выбрать Turn Off BitLocker Drive Encryption.
  3. В диалоговом окне What level of decryption do you want выбрать Disable BitLocker Drive Encryption или Decrypt the volume.

По окончании этой процедуры будет либо отключена функция BitLocker Drive Encryption, либо расшифрован весь том.

Хранение ключей BitLocker

Как показало наше небольшое исследование, процедура использования BitLocker проста, однако встает вопрос о том, как хранить ключи шифрования. Об этом хотелось бы рассказать чуть подробнее.

Хранение ключей с использованием ТРМ. Если с хранением ключей шифрования посредством ТРМ и PIN-кода все ясно (фактически мы имеем двухфакторную аутентификацию), то в случае хранения ключей в ТРМ без PIN-кода возникает вопрос. Мы загружаем систему, которая ничего у нас не спрашивает, т. е. в случае попадания компьютера в руки злоумышленника он сможет воспользоваться им практически так же, как если бы он вообще не был зашифрован. Единственное, от чего при таком варианте хранения ключей защищает шифрование, так это от несанкционированного прочтения данных в случае сдачи в ремонт жесткого диска (без самого компьютера) и от раскрытия информации в случае кражи жесткого диска (без самого компьютера). Понятно, что безопасным такой режим назвать достаточно сложно.

Хранение ключей на USB-диске

В данном случае мы имеем USB-диск, отчуждаемый от владельца, а так как он нужен лишь на момент старта системы, на пользователя накладывается еще больше обязанностей по хранению устройства. В случае если пользователь в ходе описанной выше процедуры сохранил предложенный пароль на USB-диск, мы имеем на диске два файла. Один скрытый, с расширением .BEK, а второй — текстовый файл с паролем восстановления. Увы, большинство пользователей не думают о том, что данный текстовый файл необходимо просто удалить с USB-диска, предварительно распечатав его. Если этого не сделать, то, поскольку USB-диск нам нужен лишь на этапе запуска системы, возможна ситуация, когда администратор оставит USB-диск в компьютере и в какой-то момент покинет свое рабочее место. Пароль восстановления в текстовом файле станет доступен посторонним. Конечно же, знать его только для взлома BitLocker недостаточно, но в данном случае для обеспечения защищенности пароля восстановления администраторам придется проводить дополнительную работу.

Отсюда, на мой взгляд, следует вывод, что наиболее приемлемым вариантом использования BitLocker с точки зрения защищенности является применение данной технологии на компьютерах, оборудованных микросхемой ТРМ версии не ниже 1.2 в сочетании с PIN-кодом.

Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com ) — руководитель программы подготовки администраторов информационной безопасности учебного центра «Академия БМС Консалтинг», MVP по Windows Security