Bitlockeri andmete taastamine ilma võtmeta. Kas Bitlockerit on võimalik häkkida? BitLocker: kuidas keelata. Esimene aste
Paljud kasutavad Windowsi krüpteerimisfunktsiooni, kuid mitte kõik ei mõtle selle andmekaitsemeetodi turvalisusele. Täna räägime Bitlockeri krüptimisest ja proovime välja selgitada, kui hästi on Windowsi kettakaitse rakendatud.
Muide, Bitlockeri seadistamise kohta saate lugeda artiklist "".
- Eessõna
- Kuidas Bitlocker töötab?
- Haavatavused
- Taastevõtmed
- BitLockeri avamine
- BitLocker To Go
- Järeldus
Artikkel on kirjutatud uurimise eesmärgil. Kogu selles sisalduv teave on ainult informatiivsel eesmärgil. See on suunatud turvaspetsialistidele ja neile, kes soovivad selleks saada.
Kuidas Bitlocker töötab?
Mis on Bitlocker?
BitLocker on ketta krüptimise funktsioon operatsioonisüsteemides Windows 7, 8, 8.1, 10. See funktsioon võimaldab turvaliselt krüpteerida konfidentsiaalseid andmeid arvutis nii HDD-l ja SSD-l kui ka irdkandjal.
Kuidas on BitLocker seadistatud?
BitLockeri töökindlust ei tohiks hinnata AES-i maine järgi. Populaarne krüpteerimisstandard võib ausalt öeldes olla või mitte nõrkused, kuid selle rakendused konkreetsetes krüptotoodetes on neid sageli küllaga. Microsoft ei avalda BitLockeri tehnoloogia täielikku koodi. On vaid teada, et Windowsi erinevates versioonides põhines see erinevatel skeemidel ning muudatusi ei kommenteeritud kuidagi. Veelgi enam, Windows 10 järgus 10586 see lihtsalt kadus ja pärast kahte järge ilmus see uuesti. Siiski kõigepealt kõigepealt.
BitLockeri esimene versioon kasutas šifreeritud tekstiploki aheldamise (CBC) režiimi. Juba siis olid selle puudused ilmselged: tuntud teksti ründamise lihtsus, halb vastupanu rünnakutele asendustüübi järgi jne. Seetõttu otsustas Microsoft kohe kaitset tugevdada. Juba Vistas lisati AES-CBC skeemile Elephant Diffuser algoritm, mis raskendas šifritekstiplokkide otsest võrdlemist. Sellega andis kahe sektori sama sisu pärast ühe võtmega krüptimist täiesti erineva tulemuse, mis raskendas ühise mustri arvutamist. Vaikimisi võti ise oli aga lühike – 128 bitti. Halduspoliitika abil saab seda laiendada 256 bitti, kuid kas see on seda väärt?
Kasutajate jaoks ei muutu pärast võtme vahetamist midagi väliselt - ei sisestatud paroolide pikkus ega toimingute subjektiivne kiirus. Nagu enamik täisketta krüpteerimissüsteeme, kasutab BitLocker mitut võtit... ja ükski neist pole kasutajatele nähtav. Siin elektriskeem bitlocker.
- Kui BitLocker aktiveeritakse pseudojuhuslike numbrite generaatori abil, genereeritakse põhibitijada. See on helitugevuse krüpteerimisvõti - FVEK (täismahu krüpteerimisvõti). See on tema, kes nüüd krüpteerib iga sektori sisu.
- FVEK omakorda krüpteeritakse teise võtmega - VMK (volume master key) - ja salvestatakse krüpteeritud kujul köite metaandmete hulka.
- VMK ise on ka krüpteeritud, aga juba erinevatel viisidel kasutaja valikul.
- Uutel emaplaatidel krüpteeritakse VMK võti vaikimisi SRK-võtmega (salvestusjuure võti), mis on salvestatud eraldi krüptoprotsessorisse - usaldusväärsesse platvormimoodulisse (TPM). Kasutajal pole juurdepääsu TPM-i sisule ja see on iga arvuti jaoks ainulaadne.
- Kui plaadil pole eraldi TPM-kiipi, siis SRK asemel kasutatakse VMK võtme krüpteerimiseks kasutaja sisestatud pin-koodi või soovi korral ühendatud USB-mälupulka, millele on eelnevalt kirjutatud võtmeinfo.
- Lisaks TPM-ile või mälupulgale saate VMK-võtit kaitsta parooliga.
Sellised üldine skeem BitLockeri tööd on Windowsi järgmistes väljaannetes siiani säilinud. Kuid BitLockeri võtme genereerimise ja krüpteerimisrežiimid on muutunud. Nii eemaldas Microsoft 2014. aasta oktoobris vaikselt täiendava Elephant Diffuseri algoritmi, jättes alles vaid AES-CBC skeemi selle teadaolevate puudustega. Esialgu selle kohta ametlikke avaldusi ei tehtud. Inimestele anti uuenduse varjus lihtsalt sama nimega nõrgestatud krüpteerimistehnoloogia. Selle sammu ebamäärased selgitused järgnesid pärast seda, kui sõltumatud teadlased märkasid BitLockeri lihtsustusi.
Elephant Diffuser jäeti ametlikult maha, et tagada Windowsi vastavus föderaalsed standardid Ameerika Ühendriikide teabetöötlusteenus (FIPS), kuid üks argument lükkab selle versiooni ümber: Vista ja Windows 7, mis kasutasid Elephant Diffuserit, müüdi Ameerikas probleemideta.
Teine lisaalgoritmi keeldumise väljamõeldud põhjus on Elephant Diffuseri riistvaralise kiirenduse puudumine ja kiiruse kaotus selle kasutamisel. Kuid varasematel aastatel, kui protsessorid olid aeglasemad, sobis neile krüpteerimise kiirus millegipärast. Ja sama AES-i kasutati laialdaselt isegi enne, kui selle kiirendamiseks olid olemas eraldi juhiskomplektid ja spetsiaalsed kiibid. Aja jooksul oli võimalik teha ka Elephant Diffuserile riistvaraline kiirendus või vähemalt anda klientidele valida kiiruse ja turvalisuse vahel.
Teine, mitteametlik versioon tundub realistlikum. "Elevant" sattus töötajate teele, kes soovisid järgmise ketta dekrüpteerimiseks vähem vaeva näha ning Microsoft suhtleb meelsasti ametiasutustega isegi juhtudel, kui nende taotlused pole täiesti seaduslikud. Kaudselt kinnitab vandenõuteooriat ja seda, et enne Windows 8 kasutati BitLockeris krüpteerimisvõtmete loomisel Windowsi sisseehitatud pseudojuhuslike numbrite generaatorit. Paljudes (kui mitte kõigis) Windowsi versioonides oli selleks Dual_EC_DRBG – "krüptograafiline tugev PRNG", mille töötas välja USA Riiklik Julgeolekuagentuur ja mis sisaldab mitmeid loomupäraseid haavatavusi.
Muidugi tekitas sisseehitatud krüptimise salajane nõrgenemine võimsa kriitikalaine. Tema survel kirjutas Microsoft uuesti BitLockeri ümber, asendades Windowsi uutes versioonides PRNG-ga CTR_DRBG. Lisaks on Windows 10-s (alates järgust 1511) vaikimisi krüpteerimisskeem AES-XTS, mis on immuunne šifreeritud tekstiplokkide manipuleerimisele. AT uusimad konstruktsioonid"kümneid" parandati ja muid teadaolevaid BitLockeri puudusi, kuid põhiprobleem jäi siiski alles. See on nii absurdne, et muudab muud uuendused mõttetuks. See puudutab võtmehalduse põhimõtteid.
BitLockeri draivide dekrüpteerimise ülesannet lihtsustab ka asjaolu, et Microsoft aktiivselt reklaamib alternatiivne meetod andmetele juurdepääsu taastamine Data Recovery Agenti kaudu. "Agendi" tähendus seisneb selles, et see krüpteerib kõigi ettevõtte võrgus olevate draivide krüpteerimisvõtmed ühe juurdepääsuvõtmega. Kui teil on see olemas, saate dekrüpteerida mis tahes võtme ja seega ka kõik sama ettevõtte kasutatavad kettad. Mugav? Jah, eriti häkkimise puhul.
Mõtet kasutada kõikide lukkude jaoks ühte võtit on juba korduvalt ohustatud, kuid mugavuse huvides tagastatakse seda ühel või teisel kujul jätkuvalt. Ralph Leighton salvestas järgmiselt Richard Feynmani memuaarid ühest iseloomulikust episoodist tema tööst Manhattani projektiga Los Alamose laboris: „... Ma avasin kolm seifi – ja kõik kolm ühe kombinatsiooniga. Tegin neid kõiki: avasin seifid kõigi saladustega aatompomm- plutooniumi saamise tehnoloogia, puhastusprotsessi kirjeldus, teave selle kohta, kui palju materjali on vaja, kuidas pomm töötab, kuidas neutroneid valmistatakse, kuidas pomm on paigutatud, millised on selle mõõtmed - ühesõnaga kõik, millest nad teadsid Los Alamos, kogu köök!
BitLocker meenutab mõneti raamatu teises fragmendis kirjeldatud turvaseadet "Muidugi teete nalja, Mr. Feynman!". Ülisalajase labori kõige muljetavaldavamal seifil oli sama haavatavus kui lihtsal kartoteekapil. “... See oli kolonel ja tal oli palju keerulisem kaheukseline suurte käepidemetega seif, mis tõmbas raami küljest ära neli kolmveerand tolli paksust terasvarda. Vaatasin ühe imposantse pronksukse tagakülge ja avastasin, et digitaalne numbrilaud oli ühendatud väikese tabalukuga, mis nägi välja täpselt nagu mu Los Alamose kapi lukk. Oli näha, et hoobade süsteem sõltus sellestsamast väikesest vardast, mis kaustakapid lukustas .. Kujutades mingit tegevust, hakkasin suvaliselt sihverplaati keerama. Kaks minutit hiljem - klõpsake! - Seif avati. Kui seifi uks või arhiivikapi ülemine sahtel on avatud, on kombinatsiooni väga lihtne leida. Seda ma tegin, kui te mu raportit lugesite, et näidata teile ohtu."
BitLockeri krüptokonteinerid on iseenesest üsna turvalised. Kui keegi toob teile välkmälu, mis tuleb eikusagilt ja on krüptitud BitLocker To Go-ga, siis tõenäoliselt te seda mõistliku aja jooksul lahti ei krüpteeri. Kuid tegelikus stsenaariumis, kus kasutatakse krüpteeritud draive ja irdkandjat, on palju turvaauke, mida on lihtne kasutada BitLockerist mööda hiilimiseks.
BitLockeri haavatavused
Kindlasti olete märganud, et Bitlockeri esmakordsel aktiveerimisel peate kaua ootama. See pole üllatav – sektoripõhise krüptimise protsess võib kesta mitu tundi, sest kõiki terabaidiste kõvaketaste plokke pole isegi võimalik kiiremini lugeda. BitLockeri keelamine toimub aga peaaegu kohe – kuidas nii?
Fakt on see, et kui see on keelatud, ei dekrüpteeri Bitlocker andmeid. Kõik sektorid jäävad FVEK-võtmega krüpteerituks. Lihtsalt juurdepääs sellele võtmele ei ole enam mingil viisil piiratud. Kõik kontrollid keelatakse ja VMK jääb salvestatud metaandmete hulka avatud vorm. Iga kord, kui arvuti sisse lülitate, loeb OS-i laadija VMK-d (juba ilma TPM-i kontrollimata, mälupulgalt võtit või parooli küsimata), dekrüpteerib sellega automaatselt FVEK-i ja seejärel kõiki faile, kui neile juurde pääseb. Kasutaja jaoks näeb kõik välja nagu täielik krüptimise puudumine, kuid kõige tähelepanelikumad võivad märgata ketta alamsüsteemi jõudluse mõningast langust. Täpsemalt - kiiruse suurenemise puudumine pärast krüptimise keelamist.
Selles skeemis on veel midagi huvitavat. Vaatamata nimele (täieliku ketta krüptimise tehnoloogia), jääb osa BitLockeri kasutamisel andmeid siiski krüptimata. MBR ja BS jäävad avatud kujul (välja arvatud juhul, kui ketas on GPT-s lähtestatud), vigased sektorid ja metaandmed. Avatud alglaadur annab ruumi kujutlusvõimele. Pseudohalbades sektorites on mugav muud pahavara peita ja metaandmed sisaldavad palju huvitavat, sealhulgas võtmete koopiaid. Kui Bitlocker on aktiivne, siis need krüpteeritakse (kuid nõrgem kui FVEK krüpteerib sektorite sisu) ja kui see deaktiveeritakse, jäävad need lihtsalt tühjaks. Need kõik on potentsiaalsed rünnakuvektorid. Need on potentsiaalsed, sest lisaks neile on palju lihtsamaid ja universaalsemaid.
Bitlockeri taastevõti
Lisaks FVEK-ile, VMK-le ja SRK-le kasutab BitLocker teist tüüpi võtit, mis genereeritakse "igaks juhuks". Need on taastevõtmed, millega on seotud teine populaarne ründevektor. Kasutajad kardavad unustada oma parooli ja kaotada juurdepääsu süsteemile ning Windows ise soovitab neil teha erakorraline sisselogimine. Selleks lülitage BitLockeri krüpteerimisviisard sisse viimane samm palub teil luua taastevõti. Selle loomisest keeldumist ei esitata. Saate valida ainult ühe peamistest ekspordivalikutest, millest igaüks on väga haavatav.
Vaikeseadetes eksporditakse võti lihtsa tekstifailina äratuntava nimega: "BitLockeri taastevõti #", kus # asemel kirjutatakse arvuti ID (jah, otse failinimesse!). Võti ise näeb välja selline.
Kui unustasite (või ei teadnud kunagi) BitLockeris määratud parooli, otsige lihtsalt taastevõtmega fail. Kindlasti salvestatakse see praeguse kasutaja dokumentide hulka või tema mälupulgale. Võib-olla on see isegi paberile trükitud, nagu Microsoft soovitab.
Taastevõtme kiireks leidmiseks on mugav piirata otsingut laiendi (txt), loomise kuupäeva (kui teate ligikaudselt, millal BitLocker võis olla lubatud) ja faili suuruse (1388 baiti, kui faili pole redigeeritud) järgi. . Kui olete taastevõtme leidnud, kopeerige see. Sellega saate BitLockeri tavapärasest autoriseerimisest igal ajal mööda minna. Selleks vajutage lihtsalt Esc ja sisestage taastevõti. Logite sisse probleemideta ja saate isegi BitLockeri parooli suvaliseks muuta, ilma vana parooli määramata!
BitLockeri avamine
Päris krüptograafiline süsteem on kompromiss mugavuse, kiiruse ja töökindluse vahel. See peaks sisaldama läbipaistva krüptimise protseduure koos käigupealse dekrüpteerimisega, unustatud paroolide taastamise meetodeid ja mugavat võtmetega töötamist. Kõik see nõrgestab iga süsteemi, olenemata sellest, kui tugevatel algoritmidel see põhineb. Seetõttu ei ole vaja turvaauke otsida otse Rijndaeli algoritmis või AES-standardi erinevates skeemides. Konkreetse teostuse spetsiifikast on neid palju lihtsam leida.
Microsofti puhul sellest "spetsiifilisusest" piisab. Näiteks BitLockeri võtmete koopiad saadetakse vaikimisi SkyDrive'i ja deponeeritakse Active Directorysse.
Noh, mis siis, kui te kaotate need... või agent Smith küsib. Ebamugav on panna klienti ootama ja veel enam agenti. Sel põhjusel on võrdlus krüptograafiline tugevus AES-XTS ja AES-CBC koos elevandihajutiga jäävad taustale, nagu ka soovitused võtme pikkuse suurendamiseks. Ükskõik kui pikk see ka poleks, saab ründaja selle kergesti sisse krüpteerimata vorm .
Deponeeritud võtmete hankimine Microsofti või AD kontolt on peamine viis BitLockeri katkestamiseks. Kui kasutaja pole Microsofti pilves kontot registreerinud ja tema arvuti pole domeenis, on krüpteerimisvõtmete ekstraheerimiseks siiski võimalusi. Tavalise töö käigus salvestatakse nende avatud koopiad alati RAM-i (muidu poleks "läbipaistvat krüptimist"). See tähendab, et need on saadaval tema prügi- ja talveunerežiimi failis.
Miks neid seal üldse hoitakse?
Kuna see on naeruväärne - mugavuse huvides naeratage. BitLocker on loodud kaitsma ainult võrguühenduseta rünnakute eest. Nendega kaasneb alati taaskäivitamine ja ketta ühendamine teise OS-iga, mis viib RAM-i tühjendamiseni. Vaikeseadetes jätab OS aga tõrke korral RAM-i (mida võib esile kutsuda) ja kirjutab kogu selle sisu talveunefaili iga kord, kui arvuti sügavasse unerežiimi läheb. Seega, kui olete hiljuti Windowsi sisse loginud, kui BitLocker on lubatud, on suur tõenäosus, et saate VMK dekrüpteeritud koopia ja kasutate seda FVEK-i ja seejärel andmete enda dekrüpteerimiseks.
Kontrollime? Kõik ülalkirjeldatud BitLockeri häkkimismeetodid on kogutud ühte programmi - Forensic Disk Decryptor, mille on välja töötanud kodumaine ettevõte Elcomsoft. See suudab automaatselt eraldada krüpteerimisvõtmed ja ühendada krüptitud köiteid virtuaalsete draividena, dekrüpteerides need käigu pealt.
Lisaks rakendab EFDD veel üht mittetriviaalset võtmete hankimise viisi – rünnata läbi FireWire pordi, mida on soovitatav kasutada juhul, kui rünnatavas arvutis pole võimalik tarkvara käivitada. Installime oma arvutisse alati EFDD programmi enda ja häkitud programmiga püüame hakkama saada minimaalsete vajalike toimingutega.
Näiteks käivitame lihtsalt testimissüsteemi, kus BitLocker on aktiivne, ja teeme "nähtamatult" mälutõmmise. Seega simuleerime olukorda, kus kolleeg läks lõunale ega lukustanud oma arvutit. Käivitame RAM Capture'i ja vähem kui minutiga saame täieliku tõmmise faili laiendiga .mem ja suurusega, mis vastab ohvri arvutisse installitud RAM-i hulgale.
Kuidas teha prügimäele - poolt suures plaanis vahet pole. Olenemata laiendist osutub see binaarfailiks, mida EFDD seejärel võtmete otsimisel automaatselt analüüsib.
Kirjutame prügimälu USB-mälupulgale või edastame selle võrgu kaudu, pärast mida istume arvuti taha ja käivitame EFDD.
Valige suvand "Võtmete ekstraktimine" ja sisestage faili tee, mille võtmete allikaks on mälutõmmis.
BitLocker on tüüpiline krüptokonteiner, nagu PGP Disk või TrueCrypt. Need konteinerid osutusid iseenesest üsna töökindlaks, kuid nendega töötamiseks mõeldud klientrakendused Windowsi pesakonna krüpteerimisvõtmete all RAM-is. Seetõttu rakendatakse EFDD-s universaalset rünnakustsenaariumit. Programm otsib koheselt krüpteerimisvõtmeid kõigist kolme tüüpi populaarsetest krüptokonteineritest. Seetõttu võite jätta kõik esemed kontrollituks – mis siis, kui ohver kasutab salaja või PGP-d!
Mõne sekundi pärast näitab Elcomsoft Forensic Disk Decryptor oma aknas kõiki leitud võtmeid. Mugavuse huvides saab need faili salvestada – see tuleb tulevikus kasuks.
Nüüd ei ole BitLocker enam takistuseks! Saate läbi viia klassikalise võrguühenduseta rünnaku – näiteks välja tõmmata HDD ja kopeerige selle sisu. Selleks ühendage see lihtsalt arvutiga ja käivitage EFDD režiimis "dekrüpt või ühenda ketas".
Pärast salvestatud võtmetega failide tee määramist teostab teie valitud EFDD köite täieliku dekrüpteerimise või avab selle kohe virtuaalse kettana. Viimasel juhul dekrüpteeritakse failid neile juurdepääsu ajal. Mõlemal juhul algset helitugevust ei muudeta, nii et saate selle järgmisel päeval tagastada, nagu poleks midagi juhtunud. EFDD-ga töötamine toimub jäljetult ja ainult andmete koopiatega ning jääb seetõttu nähtamatuks.
BitLocker To Go
Alates Windowsi "seitsmest" sai võimalikuks krüptida välkmäluseadmeid, USB-kõvakettaid ja muid väliseid meediume. Tehnoloogia nimega BitLocker To Go krüpteerib irdkettad samamoodi nagu kohalikud kettad. Krüptimise lubab Exploreri kontekstimenüü vastav üksus.
Uute draivide jaoks saate kasutada ainult hõivatud ala krüptimist - partitsiooni vaba ruum on siiski nulli täis ja seal pole midagi varjata. Kui draivi on juba kasutatud, on soovitatav lubada sellel täielik krüptimine. Vastasel juhul jääb vabaks märgitud asukoht krüptimata. See võib lihttekstina sisaldada hiljuti kustutatud faile, mida pole veel üle kirjutatud.
Isegi ainult hõivatud piirkonna kiire krüpteerimine võtab aega mõnest minutist mitme tunnini. See aeg sõltub andmemahust, liidese ribalaiusest, draivi omadustest ja protsessori krüptograafiliste arvutuste kiirusest. Kuna krüpteerimisega kaasneb tihendamine, suureneb krüptitud ketta vaba ruum tavaliselt veidi.
Järgmine kord, kui ühendate krüptitud välkmäluseadme mis tahes arvutiga, milles töötab Windows 7 või uuem, käivitub draivi avamiseks automaatselt BitLockeri viisard. Exploreris kuvatakse see enne avamist lukustatud kettana.
Siin saab kasutada nii juba käsitletud võimalusi BitLockerist mööda hiilimiseks (näiteks VMK-võtme otsimine mälutõmmis- või talveunefailist), kui ka uusi, mis on seotud taastevõtmetega.
Kui te parooli ei tea, kuid teil õnnestus üks võtmetest leida (käsitsi või EFDD abil), siis on krüptitud välkmäluseadmele juurdepääsuks kaks peamist võimalust:
- kasutage välkmäluseadmega otse töötamiseks sisseehitatud BitLockeri viisardit;
- kasutage mälupulga täielikuks dekrüpteerimiseks ja sektoripõhise pildi loomiseks EFDD-d.
Esimene võimalus võimaldab teil kohe juurde pääseda mälupulgal salvestatud failidele, neid kopeerida või muuta ning ka oma faile põletada. Teine võimalus võtab palju kauem aega (alates poolest tunnist), kuid sellel on oma eelised. Dekrüpteeritud sektor-sektori pilt võimaldab edaspidi teha failisüsteemi peenemat analüüsi kohtuekspertiisi labori tasemel. Sel juhul pole mälupulka ennast enam vaja ja selle saab muutmata kujul tagastada.
Saadud pildi saab kohe avada mis tahes IMA-vormingut toetavas programmis või teisendada esmalt teise vormingusse (näiteks UltraISO abil).
Loomulikult toetab EFDD lisaks BitLocker2Go taastevõtme leidmisele ka kõiki teisi BitLockeri möödaviigumeetodeid. Lihtsalt korrake kõiki saadaolevaid valikuid järjest, kuni leiate mis tahes tüüpi võtme. Ülejäänud (kuni FVEK-ni) dekrüpteeritakse ahelas ise ja saate täieliku juurdepääsu kettale.
Järeldus
BitLockeri täisketta krüptimise tehnoloogia erineb Windowsi versioonide vahel. Kui see on õigesti konfigureeritud, võimaldab see luua krüptokonteinereid, mis on teoreetiliselt võrreldavad TrueCrypti või PGP-ga. Kuid Windowsi võtmetega töötamise sisseehitatud mehhanism tühistab kõik algoritmilised trikid. Eelkõige taastatakse BitLockeris põhivõtme dekrüpteerimiseks kasutatav VMK-võti EFDD abil mõne sekundi jooksul deponeeritud duplikaadist, mälutõmmisest, talveunefailist või FireWire'i pordirünnakust.
Kui teil on võti, saate sooritada klassikalise võrguühenduseta rünnaku, kopeerides varjatult ja dekrüpteerides automaatselt kõik „kaitstud” draivil olevad andmed. Seetõttu tuleks BitLockerit kasutada ainult koos teiste kaitsemeetmetega: krüpteeriv failisüsteem (EFS), õiguste haldusteenus (RMS), programmi käivitamise kontroll, seadme installimine ja ühenduse juhtimine ning rangemad kohalikud poliitikad ja üldised turvameetmed.
Artiklis kasutati saidi materjale:
Ja kaitske tundlikke andmeid. Seadsime parooli standardse Windowsi rakenduse - BitLocker - abil. See on väga tugev krüpteerimissüsteem, mis võimaldab teil vältida volitamata juurdepääsu teie mälupulgal olevale teabele. Kui soovite USB-mälupulgale parooli panna, soovitan teile seda meetodit.
Kuid paljud kasutajad panevad parooli USB-mälupulgale, mis on majas ainus ja mida kasutatakse universaalsete probleemide lahendamiseks. Keegi mängib sellest autos muusikat, keegi vaatab telekast filme või sisestab selle mängukonsooli. Seetõttu pole pärast andmete krüptimist BitLockeriga kõik need toimingud võimalikud. Seega tuleb BitLocker keelata ja USB-mälupulk avada. Aga kuidas BitLockerit keelata ja kas seda saab teha sisseehitatud Windowsi tööriistadega?
Jah, saate mälupulgal andmete krüptimise keelata ja seda on üsna lihtne teha. Ja kui te ei tea, kuidas seda teha, annan teile lihtsa ja arusaadava juhise. Andmeid ei pea enne dekrüpteerimist kustutama ega arvutisse üle kandma, need jäävad kõik mälupulgale, kaitse eemaldatakse lihtsalt.
Kuidas BitLockerit keelata:
- 1Sisestage mälupulk arvutisse, avage see ja sisestage selle sisule juurdepääsuks parool. Nüüd peate minema juhtpaneelile. Saate seda teha alguses või hoidke all win + R nuppe ja sisestage ilmuvale reale käsk "control".
- Juhtpaneelil peame minema menüüsse "Süsteem ja turvalisus".
- Nüüd peate leidma ja valima üksuse "BitLockeri draivi krüptimine"
- Selles etapis peate parooli kujul leidma välkmälu, millele kaitse on installitud. Pärast seda näete üksust "Lülita BitLocker välja" ja peate selle valima.
- Oodake, kuni ketta dekrüpteerimine on lõppenud. Protseduur võib võtta kaua aega, kõik sõltub kettal olevate failide arvust. Pärast selle valmimist eemaldatakse mälupulgalt kaitse ja saate seda kasutada tavarežiimis.
Kedagi ei üllata asjaolu, et personaalarvuti suudab salvestada puhtalt isiklikku teavet või ettevõtte andmeid, millel on suurem väärtus. On ebasoovitav, kui selline teave satub kolmandate isikute kätte, kes saavad seda kasutada, põhjustades tõsiseid probleeme arvuti endisele omanikule.
Olenevalt asjaoludest saab Bitlockeri aktiveerida ja deaktiveerida.
Just sel põhjusel väljendavad paljud kasutajad soovi võtta meetmeid, mille eesmärk on piirata juurdepääsu kõigile arvutisse salvestatud failidele. Selline protseduur on tõepoolest olemas. Pärast teatud manipulatsioonide tegemist ei pääse ükski kõrvalistest isikutest, kes ei tea parooli ega selle taastamise võtit, dokumentidele juurde pääseda.
Olulist teavet on võimalik kaitsta kolmandate isikute juurdepääsu eest, krüpteerides Bitlockeri draivi. Sellised toimingud aitavad tagada dokumentide täielikku konfidentsiaalsust mitte ainult konkreetses arvutis, vaid ka juhul, kui keegi eemaldab kõvaketta ja sisestab selle teise personaalarvutisse.
Funktsiooni lubamise ja keelamise algoritm
Bitlockeri draivi krüptimine töötab opsüsteemides Windows 7, 8 ja 10, kuid mitte kõigis versioonides. Eeldatakse, et emaplaadil, mis on varustatud konkreetse arvutiga, millel kasutaja soovib krüpteerida, peab olema TPM-moodul.
NÕUANNE. Ärge heitke meelt, kui teate kindlalt, et teie emaplaadil pole sellist spetsiaalset moodulit. On mõned nipid, mis võimaldavad teil sellist nõuet vastavalt "ignoreerida", installida ilma sellise moodulita.
Enne kõigi failide krüptimise jätkamist on oluline arvestada, et see protseduur on üsna pikk. Täpset aega on raske anda. Kõik sõltub sellest, kui palju teavet kõvakettal on. Krüpteerimisprotsessi ajal jätkab Windows 10 tööd, kuid on ebatõenäoline, et see suudab teid oma jõudlusega rõõmustada, kuna jõudlusnäitaja väheneb oluliselt.
Luba funktsioon
Kui teie arvutisse on installitud Windows 10 ja teil on aktiivne soov lubada andmete krüptimist, kasutage meie näpunäiteid, et teil mitte ainult ei õnnestuks, vaid ka tee sellise soovi täitmiseni pole keeruline. Esialgu leidke klaviatuurilt klahv "Win", mõnikord kaasneb sellega Windowsi ikoon, hoidke seda all, hoides samal ajal all klahvi "R". Nende kahe klahvi samaaegsel vajutamisel avaneb aken Run.
Avanevas aknas leiate tühja rea, kuhu peate sisestama "gpedit.msc". Pärast nupu "Ok" klõpsamist avaneb uus aken "Kohalik rühmapoliitika redaktor". Selles aknas peame minema veidi edasi.
Akna vasakpoolsest servast otsige üles ja klõpsake kohe rida "Arvuti konfiguratsioon", avanevast alammenüüst otsige üles "Administrative Templates" ja seejärel järgmises avanevas alammenüüs minge esimeses kohas asuvale parameetrile. loendis ja nimega "Windowsi komponendid".
Nüüd suuna oma pilk sellele parem pool aken, leidke sealt "Bitlocker Drive Encryption", topeltklõpsake selle aktiveerimiseks. Nüüd avaneb uus loend, milles teie järgmine sihtmärk peaks olema rida "Operatsioonisüsteemi draivid". Klõpsake ka sellel real, peate lihtsalt tegema veel ühe ülemineku, et jõuda lähemale aknale, kus Bitlocker otse konfigureeritakse, võimaldades teil selle sisse lülitada, mis on täpselt see, mida soovite.
Otsige üles rida "See poliitika säte võimaldab teil seadistada käivitamisel täiendava autentimise nõude", laiendage seda sätet topeltklõpsuga. Avanenud aknast leiate soovitud sõna "Luba", mille kõrvalt leiate linnukese, millesse peate oma nõusoleku linnukese kujul tegema konkreetse linnukese.
Selles aknas veidi madalamal on alajaotis "Platvormid", kus tuleb märkida märkeruut soovituse kõrval kasutada BitLockerit ilma spetsiaalse moodulita. See on väga oluline, eriti kui teie Windows 10-l pole TPM-moodulit.
Soovitud funktsiooni seadistamine selles aknas on lõpetatud, nii et saate selle sulgeda. Nüüd liigutage hiirekursor Windowsi ikooni kohale, tehke sellel lihtsalt paremklõps, mis võimaldab kuvada täiendava alammenüü. Selles leiate rea "Juhtpaneel", minge sellele ja seejärel järgmisele reale "Bitlockeri draivi krüptimine".
Ärge unustage märkida, kuhu soovite krüpteerida. Seda saab teha nii kõva- kui ka irdketaste puhul. Pärast soovitud objekti valimist klõpsake nuppu "Luba Bitlocker".
Nüüd käivitab Windows 10 automaatse protsessi, juhtides aeg-ajalt teie tähelepanu ja paludes teil oma soove täpsustada. Loomulikult on kõige parem seda teha enne sellise protsessi läbiviimist varukoopia. Vastasel juhul, kui parool ja selle võti on kadunud, ei saa isegi arvuti omanik teavet taastada.
Järgmisena algab ketta ettevalmistamine järgnevaks krüptimiseks. Selle protsessi käigus ei ole lubatud arvutit välja lülitada, kuna see võib operatsioonisüsteemi tõsiselt kahjustada. Pärast sellist tõrget ei saa te lihtsalt oma Windows 10 käivitada, krüptimise asemel peate installima uue operatsioonisüsteemi, kulutades lisaaega.
Niipea kui ketta ettevalmistamine on edukalt lõpule viidud, algab ketta tegelik konfigureerimine krüptimiseks. Teil palutakse sisestada parool, mis võimaldab hiljem krüptitud failidele juurdepääsu. Samuti palutakse teil välja mõelda ja sisestada taastevõti. Neid mõlemaid olulisi komponente on kõige parem hoida kindlas kohas, kõige parem välja printida. Parooli ja taastevõtme salvestamine arvutisse on väga rumal.
Krüpteerimisprotsessi ajal võib süsteem küsida, millist osa soovite konkreetselt krüpteerida. Kõige parem on sellele protseduurile allutada kogu kettaruum, kuigi on võimalus krüpteerida ainult hõivatud ruum.
Jääb üle valida selline suvand nagu "Uus krüpteerimisrežiim" ja seejärel käivitada BitLockeri operatsioonisüsteemi automaatne kontroll. Järgmisena jätkab süsteem turvaliselt protsessi, mille järel palutakse teil arvuti taaskäivitada. Loomulikult täitke see nõue, taaskäivitage.
Pärast Windows 10 järgmist käivitamist veendute, et dokumentidele juurdepääs ilma parooli sisestamata oleks võimatu. Krüpteerimisprotsess jätkub, saate seda juhtida, klõpsates teavituspaneelil asuval BitLockeri ikoonil.
Funktsiooni keelamine
Kui teie arvutis olevad failid pole mingil põhjusel enam olulised ja teile ei meeldi neile juurdepääsuks iga kord parooli sisestada, siis soovitame krüpteerimisfunktsiooni lihtsalt välja lülitada.
Selliste toimingute tegemiseks minge teavituspaneelile, leidke sealt BitLockeri ikoon ja klõpsake sellel. Avatud akna allservast leiate rea "BitLockeri haldus", klõpsake sellel.
Nüüd palub süsteem teil valida, milline toiming on teie jaoks eelistatavam:
- varundage taastevõti;
- muutke krüptitud failidele juurdepääsu parooli;
- eemaldage varem määratud parool;
- keelake BitLocker.
Muidugi, kui otsustate BitLockeri keelata, peaksite valima viimase pakutava valiku. Ekraanile ilmub koheselt uus aken, milles süsteem soovib veenduda, et soovite krüpteerimisfunktsiooni tõesti keelata.
TÄHELEPANU. Niipea kui klõpsate nupul "Lülita BitLocker välja", algab kohe dekrüpteerimisprotsess. Kahjuks ei iseloomusta seda protsessi suur kiirus, mistõttu tuleb kindlasti mõnda aega end häälestada, mille jooksul tuleb lihtsalt oodata.
Muidugi, kui teil on praegu vaja arvutit kasutada, saate seda endale lubada, selles pole kategoorilist keeldu. Peaksite siiski häälestama asjaolule, et arvuti jõudlus võib praegu olla äärmiselt madal. Selle aegluse põhjuse mõistmine pole keeruline, sest operatsioonisüsteem peab avama tohutul hulgal teavet.
Seega, kui on soov faile arvutis krüptida või dekrüpteerida, piisab meie soovitustega tutvumisest, pärast seda tehke kiirustamata näidatud algoritmi iga samm ja pärast lõpetamist rõõmustage saavutatud tulemuse üle.
Krüptige kõvaketas, pääsete sellele juurde ainult parooliga või käivitusvõtmega USB-draiviga ja blokeerige juurdepääs välismõjude katsete korral. Kõik see ja välise andmekandja krüptimise korral peate viidata . Oleme sellega tegelenud. Aga mis siis, kui unustasite parooli? Mida teha, kui olete USB-mälupulga koos käivitusvõtmega kaotanud? Mida teha, kui teil on vaja muuta arvuti alglaadimiskeskkonda, mis muudab (turvakaalutlustel) võimatuks arvutist lugemise kõvaketas? Või kui seda kõike kokku võtta, kuidas BitLockerit taastada?
BitLockeri taasterežiim
Juhtudel, kui:
- Alglaadimiskeskkonda on muudetud, eelkõige on muudetud ühte Windowsi alglaadimisfailidest.
- Keelatud või eemaldatud.
- Käivitatud ilma TPM-i, PIN-koodi või käivitusvõtmega USB-draivi esitamata.
- Operatsiooniruumi maht Windowsi süsteemühendatud teise arvutiga.
Seejärel läheb arvuti BitLockeri taasterežiimi. Sellistel juhtudel peate meeles pidama hetke, mil kõvaketta krüpteerisite. Krüptimise seadistamisel oli aken, mis andis võimaluse salvestada BitLockeri taastevõtit mitmel viisil: faili, printida jne. Taastevõti kirjutatakse lihtsalt .txt-faili, kust saate seda võtit hõlpsasti lugeda ja BitLockeri taasteaknasse sisestada. Kui sisestate õige taastevõtme, käivitub arvuti tavapäraselt.
Eespool loetletud sammud kehtivad juhul, kui kõvaketta juurdepääsuvõti on kadunud. Kui peate alglaadimiskeskkonda muutma, muutke midagi BIOS-is, saate seda teha aknast BitLockeri draivi krüptimine Windowsis keelake BitLocker ajutiselt. Ja pärast alglaadimiskeskkonna uuendamist lubage see uuesti. Kõik on üsna lihtne.
Krüpteeritud irdkandja puhul palutakse teil sisestada taastevõti otse Exploreri aknasse kohe pärast seda, kui olete juurdepääsuvõtme unustanud või kaotanud. Seetõttu tahaksin öelda: hoidke oma taastevõtmeid hoolikalt!
manage-bde.exe utiliit
Oleme uurinud BitLockerit, arutanud selle võimalusi ja uurinud, kuidas seda hallata. See meetodüsna lihtne on Exploreri liidese kasutamine. Täna on stuudios veel üks viis BitLockeri haldamiseks utiliit manage-bde.exe, mis lõpetab meie tutvustuse BitLockeri tehnoloogiasse.
Loodan, et arvasite seda uus viis ei saa olema sama, mis varem. Ja andsin vihje, et erinevus on liideses. Nii et ma arvan, et arvasite ära manager-bde.exe on käsurea utiliit.
Manage-BDE.exe käsud
Erinevate valikute abil, mille ma allpool annan, saate konfigureerida BitLockeri nii, et see töötaks nii, nagu soovite. Selle utiliidi funktsionaalsus on identne Exploreri funktsioonidega BitLockeriga töötamiseks. Saame temaga tuttavaks.
manager-bde.exe -status
Kuvab BitLockeri oleku.
manager-bde.exe -on
Krüpteerib helitugevuse ja lubab BitLockeri.
manager-bde.exe -off
Dekrüpteerib helitugevuse ja keelab BitLockeri.
manager-bde.exe -pause/-resume
Peatab või jätkab krüptimist või dekrüpteerimist.
manager-bde.exe -lock
Keelab juurdepääsu BitLockeriga krüptitud andmetele.
manager-bde.exe -unlock
Võimaldab juurdepääsu BitLockeriga krüptitud andmetele.
manager-bde.exe -setidentifier
Määrab helitugevuse identifikaatori.
manager-bde.exe -changepin
Muudab pin-koodi.
manager-bde.exe -muuta parooli
Muudab parooli.
manager-bde.exe -changekey
Muudab helitugevuse käivitusklahvi.
Kõik need käsud tuleb täita administraatori õigustega avatud käsuviiba aknas. Kui vajate mis tahes käsu osas täiendavat abi, tippige see käsk
manage-bde.exe /?
Selle päringu korral saate antud parameetritega käsu kohta täielikku abi, aga ka mitmeid näiteid tööst. See on kõik, kasutage BitLockeri tehnoloogiat oma tervise heaks ja ärge unustage, et peate võib-olla BitLockeri taastama.
Isikuandmete krüpteerimiseks saab kasutada paljusid meetodeid, täpsemalt tarkvara kolmandate osapoolte ettevõtted. Aga miks, kui on olemas Microsofti BitLocker. Kahjuks on mõnel inimesel probleeme pärast BitLockeriga krüptimist failide taastamisega. BitLockeri krüptimisel peate looma spetsiaalse taastevõtme, peate selle salvestama ja pole vahet, kus, peamine on turvaline. Saate selle printida või salvestada konto abil, kuid mitte kohalikult, vaid Microsoftilt. Kui ketas ise ei avane, peate kasutama sama võtit, muidu mitte midagi.
Kuid on ka juhtumeid, kui võti on kadunud. Mida siis teha? Mõnikord võite süsteemi sisenemiseks parooli unustada, mis muudab dekrüpteerimisprotsessi äärmiselt keeruliseks. Proovime kõiki neid probleeme uurida ja mõista, kuidas edasi minna. See artikkel peaks aitama teil BitLockeriga seotud probleeme lahendada .
Mõned artiklid andmete krüptimise kohta:
Mida teha taastevõtmega, mis siis, kui see kaob?
Niisiis, inimfaktor on selline asi, et kui rääkida mälust, mis on teatud hetkel väga vajalik, siis see veab meid alt. Unustasite, kuhu taastevõtme asetasite, ja pidage meeles, kuidas selle BitLockeris salvestasite. Kuna utiliit pakub võtme salvestamiseks kolme võimalust – printimine, faili salvestamine ja faili salvestamine konto. Igal juhul oleksite pidanud valima ühe neist meetoditest.
Seega, kui salvestasite võtme oma kontole, peate brauserist minema OneDrive'i ja sisestama jaotise "BitLockeri taastevõtmed". Logime sisse oma mandaatidega. Võti on kindlasti olemas, eeldusel, et laadisite selle sinna üles. Kui seda pole, siis võib-olla salvestasite selle teisele kontole?
Juhtub, et kasutaja loob rohkem kui ühe võtme, siis saate BitLockeri utiliidis oleva identifikaatori abil määrata konkreetse ja võrrelda seda võtme võtmega, kui need kattuvad, siis on see õige võti.
Kui arvuti ei taha BitLockeri tõttu süsteemi käivitada?
Oletame, et krüpteerisite süsteemi draivi ja tekkis probleem, mille korral süsteem ei taha lukust lahti saada, siis on tõenäoliselt mingi probleem TPM-moodulis. See peaks süsteemi automaatselt avama. Kui see on tõsi, ilmub teie silme ette pilt, kus on kirjas: ja teil palutakse sisestada taastevõti. Ja kui teil seda pole, kuna olete selle kaotanud, siis on ebatõenäoline, et saate süsteemi sisse logida. Tõenäoliselt aitab ainult süsteemi uuesti installimine. Siiani ei tea ma, kuidas saate BitLockeri ilma võtmeta avada, kuid proovin seda probleemi uurida.
Kuidas avada BitLockeri krüptitud draive Windowsis?
Kui teil on paar partitsiooni või BitLockeriga krüpteeritud välist kõvaketast, kuid need tuleb avada, proovin aidata.
Ühendage seade arvutiga (kui see on väline). Käivitage "Juhtpaneel" ja minge jaotisse "Süsteem ja turvalisus". Leidke jaotis "BitLockeri draivi krüptimine". Muide, seda toimingut saab teha ainult PRO versioonidel, pidage seda meeles.
Otsige loendist üles krüptitud draiv, mille soovite dekrüpteerida. Klõpsake valiku kõrval "Ava Drive".
Nüüd sisestage vajalikud avamisandmed (PIN või parool). Kas teil pole neid andmeid? Kas sa mäletad neid? Seejärel klõpsake "Lisavalikud" ja valige üksus.
Kokkuvõtteks tahan öelda üht. Kui kaotate oma parooli või PIN-koodi, saate taastada juurdepääsu draivile taastevõtme abil, see on 100%. Peate seda hoidma kindlas kohas ja alati meeles pidama, kus see asub. Kui olete selle võtme kaotanud, võite oma andmetega hüvasti jätta. Siiani pole ma leidnud meetodit, mille abil saaks BitLockerit ilma võtmeta dekrüpteerida.