Obnova dát Bitlocker bez kľúča. Je možné hacknúť Bitlocker? BitLocker: ako vypnúť. Prvé štádium
Mnohí používajú funkciu šifrovania systému Windows, ale nie každý myslí na bezpečnosť tejto metódy ochrany údajov. Dnes budeme hovoriť o šifrovaní Bitlocker a pokúsime sa zistiť, ako dobre je implementovaná ochrana disku Windows.
Mimochodom, o tom, ako nastaviť Bitlocker, si môžete prečítať v článku „“.
- Predslov
- Ako funguje Bitlocker?
- Zraniteľnosť
- Kľúče na obnovenie
- Otvára sa nástroj BitLocker
- BitLocker To Go
- Záver
Článok je napísaný na výskumné účely. Všetky informácie v ňom uvedené slúžia len na informačné účely. Je určený bezpečnostným profesionálom a tým, ktorí sa nimi chcú stať.
Ako funguje Bitlocker?
Čo je Bitlocker?
BitLocker je natívna funkcia šifrovania disku v operačných systémoch Windows 7, 8, 8.1, 10. Táto funkcia vám umožňuje bezpečne šifrovať dôverné údaje vo vašom počítači na pevnom disku a jednotke SSD a na vymeniteľných médiách.
Ako je nastavený nástroj BitLocker?
Spoľahlivosť BitLockeru by sa nemala posudzovať podľa reputácie AES. Populárny šifrovací štandard môže, ale nemusí, úprimne povedané slabiny, ale jeho implementácie v konkrétnych kryptografických produktoch nimi často oplývajú. Microsoft nezverejňuje úplný kód pre technológiu BitLocker. Je známe len to, že v rôznych verziách Windowsu to vychádzalo z rôznych schém a zmeny neboli nijako komentované. Navyše v zostavení 10586 Windowsu 10 jednoducho zmizol a po dvoch zostavách sa znova objavil. Najprv však.
Prvá verzia nástroja BitLocker používala režim blokového reťazenia šifrovaného textu (CBC). Už vtedy boli zjavné jeho nedostatky: jednoduchosť útoku na známy text, slabá odolnosť voči útokom podľa typu substitúcie atď. Microsoft sa preto okamžite rozhodol posilniť ochranu. Už vo Windows Vista bol do schémy AES-CBC pridaný algoritmus Elephant Diffuser, čo sťažuje priame porovnávanie blokov šifrovaného textu. Pri ňom rovnaký obsah dvoch sektorov po zašifrovaní jedným kľúčom dal úplne iný výsledok, čo skomplikovalo výpočet spoločného vzoru. Samotný predvolený kľúč bol však krátky – 128 bitov. Prostredníctvom administratívnych politík sa dá rozšíriť na 256 bitov, ale stojí to za to?
Pre používateľov sa po zmene kľúča navonok nič nezmení – ani dĺžka zadávaných hesiel, ani subjektívna rýchlosť operácií. Ako väčšina systémov na šifrovanie celého disku, aj BitLocker používa viacero kľúčov... a žiadny z nich nie je pre používateľov viditeľný. Tu schému zapojenia bitlocker.
- Keď sa BitLocker aktivuje pomocou generátora pseudonáhodných čísel, vygeneruje sa hlavná bitová sekvencia. Toto je šifrovací kľúč zväzku – FVEK (šifrovací kľúč plného objemu). Je to on, kto teraz šifruje obsah každého sektora.
- Na druhej strane je FVEK zašifrovaný pomocou iného kľúča - VMK (hlavný kľúč zväzku) - a uložený v zašifrovanej forme medzi metadáta zväzku.
- Samotný VMK je tiež šifrovaný, ale už rôzne cesty podľa výberu užívateľa.
- Na nových základných doskách je kľúč VMK štandardne šifrovaný pomocou kľúča SRK (koreňový kľúč úložiska), ktorý je uložený v samostatnom kryptoprocesore – module dôveryhodnej platformy (TPM). Používateľ nemá prístup k obsahu TPM a ten je jedinečný pre každý počítač.
- Ak na doske nie je samostatný čip TPM, potom sa namiesto SRK na zašifrovanie kľúča VMK použije užívateľom zadaný PIN kód alebo USB flash disk na požiadanie s predpísanými informáciami o kľúči.
- Okrem TPM alebo flash disku môžete kľúč VMK chrániť heslom.
Takéto všeobecná schéma Práca nástroja BitLocker sa v nasledujúcich vydaniach systému Windows zachovala až doteraz. Generovanie kľúčov a režimy šifrovania nástroja BitLocker sa však zmenili. Takže v októbri 2014 spoločnosť Microsoft potichu odstránila ďalší algoritmus Elephant Diffuser a ponechala iba schému AES-CBC so známymi nedostatkami. Spočiatku k tomu neboli poskytnuté žiadne oficiálne vyhlásenia. Ľudia jednoducho dostali pod rúškom aktualizácie oslabenú šifrovaciu technológiu s rovnakým názvom. Vágne vysvetlenia tohto kroku nasledovali po tom, čo si nezávislí výskumníci všimli zjednodušenia v BitLockeri.
Elephant Diffuser bol formálne opustený, aby sa zabezpečil súlad so systémom Windows federálne normy United States Information Processing Service (FIPS), ale jeden argument túto verziu vyvracia: Vista a Windows 7, ktoré používali Elephant Diffuser, sa v Amerike predávali bez problémov.
Ďalším imaginárnym dôvodom odmietnutia dodatočného algoritmu je chýbajúca hardvérová akcelerácia pre Elephant Diffuser a strata rýchlosti pri jeho používaní. V predchádzajúcich rokoch, keď boli procesory pomalšie, im však rýchlosť šifrovania z nejakého dôvodu vyhovovala. A rovnaký AES bol široko používaný ešte predtým, ako existovali samostatné inštrukčné sady a špecializované čipy na jeho zrýchlenie. Postupom času bolo možné urobiť hardvérovú akceleráciu aj pre Elephant Diffuser alebo aspoň dať zákazníkom na výber medzi rýchlosťou a bezpečnosťou.
Iná, neoficiálna verzia vyzerá realistickejšie. „Slon“ sa postavil do cesty zamestnancom, ktorí chceli vynaložiť menej úsilia na dešifrovanie ďalšieho disku a Microsoft ochotne spolupracuje s úradmi aj v prípadoch, keď ich požiadavky nie sú úplne legálne. Nepriamo potvrdzuje konšpiračnú teóriu a fakt, že pred Windowsom 8 sa pri vytváraní šifrovacích kľúčov v BitLockeri používal generátor pseudonáhodných čísel zabudovaný vo Windows. V mnohých (ak nie vo všetkých) vydaniach Windowsu to bol Dual_EC_DRBG – „silný kryptografický PRNG“ vyvinutý Národnou bezpečnostnou agentúrou USA a obsahujúci množstvo inherentných zraniteľností.
Samozrejme, tajné oslabenie vstavaného šifrovania vyvolalo silnú vlnu kritiky. Pod jej tlakom Microsoft znova prepísal BitLocker a v nových vydaniach Windows nahradil PRNG CTR_DRBG. Okrem toho v systéme Windows 10 (od zostavenia 1511) je predvolená schéma šifrovania AES-XTS, ktorá je odolná voči manipulácii s blokmi šifrovaného textu. AT najnovšie zostavy„desiatky“ boli opravené a ďalšie známe nedostatky BitLockera, no hlavný problém stále ostal. Je to také absurdné, že to robí ostatné inovácie bezvýznamnými. Ide o princípy manažmentu kľúčov.
Úloha dešifrovania jednotiek BitLocker je tiež zjednodušená skutočnosťou, že spoločnosť Microsoft aktívne podporuje alternatívna metóda obnovenie prístupu k údajom cez Data Recovery Agent. Význam „Agenta“ je, že šifruje šifrovacie kľúče všetkých diskov v rámci podnikovej siete jediným prístupovým kľúčom. Keď ho máte, môžete dešifrovať ľubovoľný kľúč, a teda akýkoľvek disk, ktorý používa tá istá spoločnosť. Pohodlne? Áno, najmä na hackovanie.
Myšlienka použitia jedného kľúča pre všetky zámky už bola mnohokrát ohrozená, ale stále sa vracia v tej či onej forme kvôli pohodliu. Takto Ralph Leighton zaznamenal spomienky Richarda Feynmana o jednej charakteristickej epizóde jeho práce na projekte Manhattan v laboratóriu v Los Alamos: „...Otvoril som tri trezory – a všetky tri s jednou kombináciou. Urobil som ich všetky: otvoril som trezory so všetkými tajomstvami atómová bomba- technológia na získanie plutónia, popis procesu čistenia, informácie o tom, koľko materiálu je potrebné, ako funguje bomba, ako sa vyrábajú neutróny, ako je bomba usporiadaná, aké sú jej rozmery - skrátka všetko, o čom vedeli v Los Alamos, celá kuchyňa! .
BitLocker trochu pripomína bezpečné zariadenie opísané v inom fragmente knihy „Samozrejme, že žartujete, pán Feynman!“. Najimpozantnejší trezor v prísne tajnom laboratóriu mal rovnakú zraniteľnosť ako jednoduchá kartotéka. „... Bol to plukovník a mal oveľa zložitejší, dvojdverový trezor s veľkými madlami, ktoré ťahali štyri oceľové tyče hrubé trištvrte palca z rámu. Pozrel som sa na zadnú časť jedných z impozantných bronzových dverí a zistil som, že digitálny ciferník je spojený s malým visiacim zámkom, ktorý vyzeral presne ako zámok na mojej skrini v Los Alamos. Bolo zrejmé, že systém pák závisí od tej istej malej tyče, ktorá zamykala kartotéky. O dve minúty neskôr – kliknite! - Trezor bol otvorený. Keď sú otvorené dvierka trezoru alebo horná zásuvka kartotéky, je veľmi ľahké nájsť kombináciu. To som urobil, keď si si prečítal moju správu, len aby som ti ukázal nebezpečenstvo."
Kryptokontajnery BitLocker sú samy o sebe celkom bezpečné. Ak vám niekto prinesie flash disk, ktorý pochádza odnikiaľ, zašifrovaný pomocou BitLocker To Go, je nepravdepodobné, že ho dešifrujete v primeranom čase. V skutočnom scenári s použitím šifrovaných jednotiek a vymeniteľných médií však existuje veľa zraniteľností, ktoré sa dajú ľahko použiť na obídenie nástroja BitLocker.
Chyby zabezpečenia nástroja BitLocker
Určite ste si všimli, že pri prvej aktivácii Bitlockeru musíte dlho čakať. To nie je prekvapujúce - proces sektorového šifrovania môže trvať niekoľko hodín, pretože ani nie je možné rýchlejšie prečítať všetky bloky terabajtových HDD. Vypnutie nástroja BitLocker sa však deje takmer okamžite – ako to?
Faktom je, že keď je zakázaný, Bitlocker nedešifruje údaje. Všetky sektory zostanú zašifrované kľúčom FVEK. Jednoducho, prístup k tomuto kľúču už nebude nijako obmedzený. Všetky kontroly budú deaktivované a VMK zostane zaznamenaný medzi metadátami v otvorený formulár. Zakaždým, keď zapnete počítač, zavádzač OS načíta VMK (už bez kontroly TPM, vyžiadania kľúča na flash disku alebo hesla), automaticky s ním dešifruje FVEK a potom všetky súbory, keď sa k nim pristupuje. Pre používateľa bude všetko vyzerať ako úplný nedostatok šifrovania, no tí najpozornejší si môžu všimnúť mierny pokles výkonu diskového subsystému. Presnejšie - nedostatok zvýšenia rýchlosti po vypnutí šifrovania.
V tejto schéme je ešte niečo zaujímavé. Napriek názvu (technológia úplného šifrovania disku) zostávajú niektoré údaje pri používaní nástroja BitLocker stále nezašifrované. MBR a BS zostávajú v otvorenej forme (pokiaľ disk nebol inicializovaný v GPT), chybné sektory a metadáta. Otvorený bootloader dáva priestor fantázii. V pseudo-zlých sektoroch je vhodné skryť ďalší malvér a metadáta obsahujú veľa zaujímavých vecí vrátane kópií kľúčov. Ak je Bitlocker aktívny, potom budú šifrované (ale slabšie ako FVEK šifruje obsah sektorov) a ak je deaktivovaný, jednoducho budú ležať v čistote. To všetko sú potenciálne vektory útoku. Sú potenciálne, pretože okrem nich existujú oveľa jednoduchšie a univerzálnejšie.
Obnovovací kľúč Bitlocker
Okrem FVEK, VMK a SRK používa BitLocker ďalší typ kľúča, ktorý sa generuje „pre každý prípad“. Toto sú kľúče na obnovenie, s ktorými je spojený ďalší populárny vektor útoku. Používatelia sa boja zabudnúť heslo a stratiť prístup do systému a samotný Windows im odporúča núdzové prihlásenie. Ak to chcete urobiť, zapnite Sprievodcu šifrovaním BitLocker posledný krok vás vyzve na vytvorenie kľúča na obnovenie. Odmietnutie jeho vytvorenia nie je poskytnuté. Môžete si vybrať iba jednu z kľúčových možností exportu, pričom každá z nich je veľmi zraniteľná.
V predvolenom nastavení sa kľúč exportuje ako jednoduchý textový súbor s rozpoznateľným názvom: „Kľúč obnovy BitLocker #“, kde je namiesto # napísané ID počítača (áno, priamo v názve súboru!). Samotný kľúč vyzerá takto.
Ak ste zabudli (alebo ste nikdy nevedeli) heslo nastavené v nástroji BitLocker, vyhľadajte súbor s kľúčom na obnovenie. Určite sa uloží medzi dokumenty aktuálneho používateľa alebo na jeho flash disk. Možno je to dokonca vytlačené na papieri, ako odporúča Microsoft.
Ak chcete rýchlo nájsť kľúč na obnovenie, je vhodné obmedziť vyhľadávanie podľa prípony (txt), dátumu vytvorenia (ak viete, kedy približne mohol byť povolený nástroj BitLocker) a veľkosti súboru (1388 bajtov, ak súbor nebol upravený) . Keď nájdete kľúč na obnovenie, skopírujte ho. S ním môžete kedykoľvek obísť štandardnú autorizáciu v BitLockeri. Ak to chcete urobiť, stlačte kláves Esc a zadajte kľúč na obnovenie. Bez problémov sa prihlásite a dokonca budete môcť zmeniť heslo v BitLocker na ľubovoľné bez zadania starého!
Otvára sa nástroj BitLocker
Reálny kryptografických systém je kompromisom medzi pohodlím, rýchlosťou a spoľahlivosťou. Mal by obsahovať postupy pre transparentné šifrovanie s dešifrovaním za chodu, metódy na obnovenie zabudnutých hesiel a pohodlnú prácu s kľúčmi. To všetko oslabuje akýkoľvek systém, bez ohľadu na to, na akých silných algoritmoch je založený. Preto nie je potrebné hľadať zraniteľné miesta priamo v Rijndaelovom algoritme alebo v rôznych schémach štandardu AES. Je oveľa jednoduchšie ich nájsť v špecifikách konkrétnej implementácie.
V prípade Microsoftu toto „špecifikum“ stačí. Napríklad kópie kľúčov BitLocker sa štandardne odosielajú do SkyDrive a ukladajú sa do služby Active Directory.
No, čo ak ich stratíte... alebo sa pýta agent Smith. Je nepohodlné nechať klienta čakať, a ešte viac agenta. Z tohto dôvodu porovnanie kryptografická sila AES-XTS a AES-CBC s difúzorom Elephant ustupujú do pozadia, rovnako ako odporúčania na zvýšenie dĺžky kľúča. Bez ohľadu na to, aká je dlhá, útočník ju ľahko dostane nezašifrované formulár .
Získanie uložených kľúčov z účtu Microsoft alebo AD je hlavným spôsobom, ako prelomiť nástroj BitLocker. Ak používateľ nezaregistroval účet v cloude spoločnosti Microsoft a jeho počítač nie je v doméne, stále budú existovať spôsoby, ako extrahovať šifrovacie kľúče. Pri bežnej prevádzke sú ich otvorené kópie vždy uložené v pamäti RAM (inak by neexistovalo žiadne „transparentné šifrovanie“). To znamená, že sú dostupné v jej výpise a súbore hibernácie.
Prečo ich tam vôbec držia?
Ako je to smiešne - pre pohodlie úsmev. BitLocker bol navrhnutý tak, aby chránil iba pred offline útokmi. Vždy sú sprevádzané reštartom a pripojením disku k inému OS, čo vedie k vyčisteniu RAM. V predvolenom nastavení však OS vypíše pamäť RAM, keď dôjde k zlyhaniu (ktoré môže byť vyprovokované) a zapíše celý jeho obsah do súboru hibernácie vždy, keď počítač prejde do hlbokého spánku. Ak ste sa teda nedávno prihlásili do systému Windows s povoleným nástrojom BitLocker, je veľká šanca, že získate dešifrovanú kópiu VMK a použijete ju na dešifrovanie FVEK a potom samotných údajov v reťazci.
Skontrolujme to? Všetky metódy hackovania BitLocker opísané vyššie sú zhromaždené v jednom programe - Forensic Disk Decryptor, ktorý vyvinula domáca spoločnosť Elcomsoft. Dokáže automaticky extrahovať šifrovacie kľúče a pripojiť šifrované zväzky ako virtuálne disky a dešifrovať ich za chodu.
EFDD navyše implementuje ďalší netriviálny spôsob získavania kľúčov - útokom cez FireWire port, ktorý je vhodné použiť v prípade, keď nie je možné spustiť váš softvér na napadnutom počítači. Samotný program EFDD vždy nainštalujeme do nášho počítača a na hacknutom sa snažíme zvládnuť s minimom potrebných úkonov.
Napríklad len spustíme testovací systém s aktívnym BitLockerom a „neviditeľne“ urobíme výpis pamäte. Budeme teda simulovať situáciu, v ktorej kolega vyšiel na obed a nezamkol si počítač. Spustíme RAM Capture a za menej ako minútu dostaneme kompletný výpis v súbore s príponou .mem a veľkosťou zodpovedajúcou množstvu RAM nainštalovanej v počítači obete.
Ako urobiť skládku - podľa celkovo nevadí. Bez ohľadu na príponu sa ukáže, že ide o binárny súbor, ktorý potom EFDD automaticky analyzuje pri hľadaní kľúčov.
Výpis zapíšeme na USB flash disk alebo ho prenesieme cez sieť, potom si sadneme k počítaču a spustíme EFDD.
Vyberte možnosť „Extrahovať kľúče“ a ako zdroj kľúčov zadajte cestu k súboru s výpisom pamäte.
BitLocker je typický kryptografický kontajner, ako napríklad PGP Disk alebo TrueCrypt. Tieto kontajnery sa ukázali ako celkom spoľahlivé samy o sebe, ale klientske aplikácie na prácu s nimi pod Windowsom obsahujú šifrovacie kľúče v RAM. Preto je v EFDD implementovaný scenár univerzálneho útoku. Program okamžite vyhľadá šifrovacie kľúče zo všetkých troch typov populárnych krypto kontajnerov. Preto môžete nechať všetky položky začiarknuté - čo ak obeť tajne používa alebo PGP!
Po niekoľkých sekundách Elcomsoft Forensic Disk Decryptor zobrazí všetky nájdené kľúče vo svojom okne. Pre pohodlie ich možno uložiť do súboru - v budúcnosti sa to bude hodiť.
BitLocker už nie je prekážkou! Môžete vykonať klasický offline útok – napríklad vytiahnuť HDD a skopírujte jeho obsah. Ak to chcete urobiť, jednoducho ho pripojte k počítaču a spustite EFDD v režime „dešifrovať alebo pripojiť disk“.
Po zadaní cesty k súborom s uloženými kľúčmi EFDD podľa vášho výberu vykoná úplné dešifrovanie zväzku alebo ho okamžite otvorí ako virtuálny disk. V druhom prípade sa súbory dešifrujú, keď sa k nim pristupuje. Tak či onak, na pôvodnom zväzku sa nerobia žiadne zmeny, takže ho môžete na druhý deň vrátiť, akoby sa nič nestalo. Práca s EFDD prebieha bez stopy a iba s kópiami údajov, a preto zostáva neviditeľná.
BitLocker To Go
Počnúc "sedmičkami" v systéme Windows bolo možné šifrovať flash disky, USB-HDD a ďalšie externé médiá. Technológia s názvom BitLocker To Go šifruje vymeniteľné jednotky rovnakým spôsobom ako lokálne jednotky. Šifrovanie je povolené príslušnou položkou v kontextovej ponuke Prieskumníka.
Pre nové disky môžete použiť šifrovanie iba obsadenej oblasti - napriek tomu je voľný priestor oddielu plný núl a nie je tam čo skrývať. Ak sa už disk používal, odporúča sa na ňom povoliť úplné šifrovanie. V opačnom prípade zostane miesto označené ako voľné nezašifrované. Môže obsahovať ako obyčajný text nedávno zmazané súbory, ktoré ešte neboli prepísané.
Aj rýchle šifrovanie len rušnej oblasti trvá niekoľko minút až niekoľko hodín. Tento čas závisí od množstva dát, šírky pásma rozhrania, vlastností disku a rýchlosti kryptografických výpočtov procesora. Keďže šifrovanie je sprevádzané kompresiou, voľné miesto na šifrovanom disku sa zvyčajne mierne zväčší.
Keď nabudúce pripojíte šifrovaný flash disk k akémukoľvek počítaču so systémom Windows 7 alebo novším, automaticky sa spustí sprievodca BitLocker na odomknutie disku. V Prieskumníkovi sa pred odomknutím zobrazí ako uzamknutý disk.
Tu môžete použiť už diskutované riešenia BitLocker (napríklad hľadanie kľúča VMK vo výpise pamäte alebo súbore hibernácie), ako aj nové riešenia súvisiace s kľúčmi na obnovenie.
Ak nepoznáte heslo, ale podarilo sa vám nájsť jeden z kľúčov (manuálne alebo pomocou EFDD), potom existujú dve hlavné možnosti prístupu k šifrovanej jednotke Flash:
- použite vstavaného sprievodcu BitLocker na priamu prácu s jednotkou flash;
- použite EFDD na úplné dešifrovanie flash disku a vytvorenie jeho sektora po sektore.
Prvá možnosť vám umožňuje okamžite pristupovať k súborom zaznamenaným na flash disku, kopírovať ich alebo meniť a tiež napaľovať svoje vlastné. Druhá možnosť trvá oveľa dlhšie (od pol hodiny), ale má svoje výhody. Dešifrovaný obraz sektor po sektore umožňuje ďalej vykonávať jemnejšiu analýzu súborového systému na úrovni forenzného laboratória. V tomto prípade už samotný flash disk nie je potrebný a možno ho vrátiť bez zmeny.
Výsledný obrázok je možné okamžite otvoriť v akomkoľvek programe, ktorý podporuje formát IMA, alebo najskôr previesť do iného formátu (napríklad pomocou UltraISO).
Samozrejme, okrem nájdenia kľúča na obnovenie pre BitLocker2Go sú v EFDD podporované všetky ostatné metódy obchádzania BitLockera. Len iterujte cez všetky dostupné možnosti v rade, kým nenájdete kľúč akéhokoľvek typu. Zvyšok (až do FVEK) sa sám dešifruje v reťazci a vy získate plný prístup k disku.
Záver
Technológia šifrovania celého disku BitLocker sa medzi verziami systému Windows líši. Po správnej konfigurácii vám umožňuje vytvárať krypto kontajnery, ktoré sú teoreticky svojou silou porovnateľné s TrueCrypt alebo PGP. Vstavaný mechanizmus pre prácu s kľúčmi v systéme Windows však neguje všetky algoritmické triky. Najmä kľúč VMK používaný na dešifrovanie hlavného kľúča v nástroji BitLocker sa pomocou EFDD obnoví v priebehu niekoľkých sekúnd z duplikátu uloženého v úschove, výpisu pamäte, súboru hibernácie alebo útoku na port FireWire.
Keď máte kľúč, môžete vykonať klasický offline útok, skryte skopírovať a automaticky dešifrovať všetky údaje na „chránenom“ disku. BitLocker by sa preto mal používať iba v spojení s inými ochranami: Systém šifrovania súborov (EFS), Služby správy práv (RMS), Kontrola spustenia programu, Kontrola inštalácie zariadenia a pripojenia a prísnejšie miestne zásady a všeobecné bezpečnostné opatrenia.
V článku boli použité materiály stránky:
A chrániť citlivé údaje. Heslo nastavujeme pomocou štandardnej aplikácie Windows – BitLocker. Ide o veľmi silný šifrovací systém, ktorý vám umožní zabrániť neoprávnenému prístupu k informáciám z vášho flash disku. Ak chcete vložiť heslo na USB flash disk, potom by som vám odporučil túto metódu.
Mnoho používateľov však vkladá heslo na USB flash disk, ktorý je jediný v dome a používa sa na riešenie univerzálnych problémov. Niekto si z neho púšťa hudbu v aute, niekto pozerá filmy v televízii alebo si ho vloží do hernej konzoly. Preto po zašifrovaní údajov pomocou nástroja BitLocker nebudú všetky tieto akcie možné. Takže bude potrebné vypnúť BitLocker a odomknúť USB flash disk. Ale ako vypnúť BitLocker a dá sa to urobiť pomocou vstavaných nástrojov Windows?
Áno, môžete zakázať šifrovanie údajov na jednotke flash a je to celkom jednoduché. A ak neviete, ako na to, dám vám jednoduchý a zrozumiteľný návod. Dáta pred dešifrovaním nie je potrebné vymazávať ani prenášať do počítača, všetky zostanú na flash disku, ochrana sa jednoducho odstráni.
Ako vypnúť BitLocker:
- 1 Vložte flash disk do počítača, otvorte ho a zadajte heslo, aby ste získali prístup k jeho obsahu. Teraz musíte prejsť do ovládacieho panela. Môžete to urobiť na začiatku alebo môžete podržať tlačidlá win + R a zadať príkaz „ovládanie“ do riadku, ktorý sa zobrazí.
- Na ovládacom paneli musíme prejsť do ponuky „Systém a zabezpečenie“.
- Teraz musíte nájsť a vybrať položku „BitLocker Drive Encryption“
- V tejto fáze musíte nájsť flash disk, na ktorom je nainštalovaná ochrana, vo forme hesla. Potom uvidíte položku „Vypnúť BitLocker“ a musíte ju vybrať.
- Počkajte, kým sa dokončí dešifrovanie disku. Postup môže trvať dlho, všetko závisí od počtu súborov na disku. Po jeho dokončení sa ochrana z jednotky flash odstráni a môžete ju používať v normálnom režime.
Nikoho vôbec neprekvapí, že osobný počítač môže uchovávať čisto osobné informácie alebo firemné dáta so zvýšenou hodnotou. Je nežiaduce, ak sa takéto informácie dostanú do rúk tretích strán, ktoré ich môžu použiť, čo spôsobí bývalému majiteľovi PC vážne problémy.
V závislosti od okolností je možné Bitlocker aktivovať a deaktivovať.
Z tohto dôvodu mnohí používatelia vyjadrujú túžbu podniknúť nejaké opatrenie zamerané na obmedzenie prístupu ku všetkým súborom uloženým v počítači. Takýto postup skutočne existuje. Po vykonaní určitých manipulácií nebude mať nikto z cudzincov, ktorí nepoznajú heslo alebo kľúč na jeho obnovenie, prístup k dokumentom.
Zašifrovaním jednotky Bitlocker je možné chrániť dôležité informácie pred prístupom tretích strán. Takéto akcie pomáhajú zabezpečiť úplnú dôvernosť dokumentov nielen na konkrétnom počítači, ale aj v prípade, keď niekto vyberie pevný disk a vloží ho do iného osobného počítača.
Algoritmus na zapnutie a vypnutie funkcie
Šifrovanie jednotiek Bitlocker funguje v systémoch Windows 7, 8 a 10, ale nie vo všetkých verziách. Predpokladá sa, že na základnej doske, ktorá je vybavená konkrétnym počítačom, na ktorom chce používateľ šifrovať, musí byť modul TPM.
RADY. Nenechajte sa odradiť, ak s istotou viete, že na vašej základnej doske takýto špeciálny modul nie je. Existuje niekoľko trikov, ktoré vám umožňujú „ignorovať“ takúto požiadavku, respektíve nainštalovať bez takéhoto modulu.
Pred pokračovaním v procese šifrovania všetkých súborov je dôležité zvážiť, že tento postup je dosť zdĺhavý. Je ťažké uviesť presný čas. Všetko závisí od toho, koľko informácií je dostupných na pevnom disku. Počas procesu šifrovania bude systém Windows 10 naďalej fungovať, ale je nepravdepodobné, že vás bude môcť potešiť svojím výkonom, pretože ukazovateľ výkonu sa výrazne zníži.
Aktivujte funkciu
Ak máte na počítači nainštalovaný Windows 10 a máte aktívnu túžbu povoliť šifrovanie dát, využite naše tipy, aby ste nielen uspeli, ale aby cesta k splneniu takejto túžby nebola náročná. Najprv nájdite na klávesnici kláves „Win“, niekedy je sprevádzaný ikonou Windows, podržte ju stlačenú a súčasne podržte kláves „R“. Súčasným stlačením týchto dvoch klávesov sa otvorí okno Spustiť.
V okne, ktoré sa otvorí, nájdete prázdny riadok, do ktorého budete musieť zadať „gpedit.msc“. Po kliknutí na tlačidlo „Ok“ sa otvorí nové okno „Editor lokálnej skupinovej politiky“. V tomto okne musíme prejsť kúsok.
Na ľavej strane okna nájdite a okamžite kliknite na riadok „Konfigurácia počítača“, v podponuke, ktorá sa otvorí, nájdite „Šablóny pre správu“ a potom v ďalšej podponuke, ktorá sa otvorí, prejdite na parameter, ktorý sa nachádza na prvom mieste. v zozname a nazvané "Komponenty systému Windows".
Teraz presuňte svoj pohľad na pravá strana nájdite v ňom „Bitlocker Drive Encryption“, dvojitým kliknutím ho aktivujte. Teraz sa otvorí nový zoznam, v ktorom by mal byť vaším ďalším cieľom riadok „Jednotky operačného systému“. Kliknite aj na tento riadok, len musíte urobiť ešte jeden prechod, aby ste sa priblížili k oknu, kde bude Bitlocker priamo nakonfigurovaný, čo vám umožní zapnúť, čo je presne to, čo chcete.
Nájdite riadok „Toto nastavenie politiky vám umožňuje nakonfigurovať požiadavku na dodatočné overenie pri spustení“, rozbaľte toto nastavenie dvojitým kliknutím. V otvorenom okne nájdete požadované slovo „Povoliť“, vedľa ktorého nájdete začiarkavacie políčko, do ktorého musíte zadať konkrétne začiarknutie vo forme zaškrtnutia vášho súhlasu.
O niečo nižšie v tomto okne je podsekcia "Platformy", v ktorej musíte začiarknuť políčko vedľa návrhu na používanie nástroja BitLocker bez špeciálneho modulu. To je veľmi dôležité, najmä ak váš Windows 10 nemá modul TPM.
Nastavenie požadovanej funkcie v tomto okne je dokončené, takže ho môžete zavrieť. Teraz presuňte kurzor myši na ikonu Windows, stačí na ňu kliknúť pravým tlačidlom myši, čím sa zobrazí ďalšia podponuka. V ňom nájdete riadok "Ovládací panel", prejdite naň a potom na ďalší riadok "Bitlocker Drive Encryption".
Nezabudnite uviesť, kde chcete šifrovať. Dá sa to urobiť na pevných aj vymeniteľných jednotkách. Po výbere požadovaného objektu kliknite na tlačidlo „Povoliť Bitlocker“.
Teraz systém Windows 10 spustí automatický proces, ktorý vás občas upozorní a vyzve vás, aby ste špecifikovali svoje želania. Samozrejme, najlepšie je to urobiť pred vykonaním takéhoto procesu zálohovanie. V opačnom prípade, ak sa stratí heslo a kľúč k nemu, ani vlastník počítača nebude môcť obnoviť informácie.
Ďalej sa začne proces prípravy disku na následné šifrovanie. Počas tohto procesu nie je dovolené vypnúť počítač, pretože táto akcia môže spôsobiť vážne poškodenie operačného systému. Po takomto zlyhaní jednoducho nebudete môcť spustiť svoj Windows 10, respektíve namiesto šifrovania musíte nainštalovať nový operačný systém a stráviť viac času.
Akonáhle je príprava disku úspešne dokončená, začína sa samotná konfigurácia disku na šifrovanie. Neskôr sa zobrazí výzva na zadanie hesla, ktoré poskytuje prístup k zašifrovaným súborom. Budete tiež vyzvaní, aby ste prišli s kľúčom na obnovenie a zadali ho. Obe tieto dôležité súčasti je najlepšie uchovávať na bezpečnom mieste, najlepšie vytlačiť. Je veľmi hlúpe ukladať heslo a kľúč na obnovenie na samotnom počítači.
Počas procesu šifrovania sa vás systém môže opýtať, ktorú časť konkrétne chcete šifrovať. Tomuto postupu je najlepšie podrobiť celý priestor na disku, aj keď existuje možnosť šifrovať iba obsadené miesto.
Zostáva vybrať takú možnosť ako "Nový režim šifrovania" a potom spustiť automatickú kontrolu operačného systému BitLocker. Ďalej bude systém bezpečne pokračovať v procese, po ktorom budete vyzvaní na reštartovanie počítača. Samozrejme, splňte túto požiadavku, reštartujte.
Po ďalšom spustení systému Windows 10 sa ubezpečíte, že prístup k dokumentom bez zadania hesla nebude možný. Proces šifrovania bude pokračovať, môžete ho ovládať kliknutím na ikonu BitLocker umiestnenú na paneli oznámení.
Vypnutie funkcie
Ak z nejakého dôvodu už nie sú súbory vo vašom počítači veľmi dôležité a naozaj sa vám nepáči zadávať heslo pri každom prístupe k nim, odporúčame vám jednoducho vypnúť funkciu šifrovania.
Ak chcete vykonať takéto akcie, prejdite na panel oznámení, nájdite tam ikonu BitLocker a kliknite na ňu. V spodnej časti otvoreného okna nájdete riadok „Správa BitLockera“, kliknite naň.
Teraz vás systém vyzve, aby ste si vybrali, ktorá akcia je pre vás výhodnejšia:
- zálohujte kľúč na obnovenie;
- zmeniť heslo pre prístup k šifrovaným súborom;
- odstráňte predtým nastavené heslo;
- vypnúť BitLocker.
Samozrejme, ak sa rozhodnete vypnúť BitLocker, mali by ste zvoliť poslednú ponúkanú možnosť. Na obrazovke sa okamžite objaví nové okno, v ktorom sa chce systém uistiť, že naozaj chcete deaktivovať funkciu šifrovania.
POZOR. Hneď ako kliknete na tlačidlo „Vypnúť BitLocker“, okamžite sa spustí proces dešifrovania. Tento proces sa, žiaľ, nevyznačuje vysokou rýchlosťou, takže sa určite musíte na chvíľu naladiť, počas čoho stačí počkať.
Samozrejme, ak v tejto chvíli potrebujete používať počítač, môžete si to dovoliť, neexistuje žiadny kategorický zákaz. Mali by ste sa však pripraviť na to, že výkon počítača môže byť v súčasnosti extrémne nízky. Pochopiť dôvod tejto pomalosti nie je ťažké, pretože operačný systém musí odomknúť obrovské množstvo informácií.
Ak teda chcete šifrovať alebo dešifrovať súbory v počítači, stačí sa zoznámiť s našimi odporúčaniami, potom bez spěchu vykonajte každý krok uvedeného algoritmu a po dokončení sa radujte z dosiahnutého výsledku.
Zašifrujte pevný disk, pristupujte k nemu iba pomocou hesla alebo USB disku so štartovacím kľúčom a zablokujte prístup v prípade akéhokoľvek pokusu z vonkajšieho vplyvu. To všetko a v prípade šifrovania externých médií sa musíte obrátiť na . Toto sme riešili. Ale čo ak ste zabudli svoje heslo? Čo robiť, ak ste stratili USB kľúč so štartovacím kľúčom? Čo robiť, ak potrebujete zmeniť zavádzacie prostredie počítača, ktoré znemožní (z bezpečnostných dôvodov) čítanie z pevný disk? Alebo, aby som to všetko zhrnul, ako obnoviť BitLocker?
Režim obnovenia BitLocker
V prípadoch, keď:
- Zmenilo sa zavádzacie prostredie, konkrétne sa zmenil jeden zo zavádzacích súborov systému Windows.
- Zakázané alebo odstránené.
- Spustenie bez poskytnutia TPM, PIN alebo USB disku so spúšťacím kľúčom.
- Hlasitosť operačnej sály systém Windows pripojený k inému počítaču.
Potom počítač prejde do režimu obnovenia BitLocker. V takýchto prípadoch si budete musieť zapamätať moment, kedy ste zašifrovali pevný disk. Pri nastavovaní šifrovania sa objavilo okno, ktoré poskytovalo možnosť uložiť obnovovací kľúč BitLocker rôznymi spôsobmi: do súboru, vytlačiť atď. Obnovovací kľúč je zapísaný jednoducho, v súbore .txt, odkiaľ ho môžete jednoducho prečítať a zadať do okna obnovy BitLockera. Ak zadáte správny obnovovací kľúč, počítač sa spustí normálne.
Vyššie uvedené kroky sa vzťahujú na prípad, keď sa stratí prístupový kľúč pevného disku. Ak potrebujete zmeniť zavádzacie prostredie, zmeniť niečo v systéme BIOS, môžete z okna BitLocker Drive Encryption V systéme Windows dočasne zakážte nástroj BitLocker. A po inovácii zavádzacieho prostredia ho znova povoľte. Všetko je celkom jednoduché.
V prípade šifrovaných vymeniteľných médií budete vyzvaní na zadanie obnovovacieho kľúča priamo v okne Prieskumníka, hneď po tom, čo ste zabudli alebo stratili prístupový kľúč. Preto by som chcel povedať: kľúče na obnovenie si starostlivo uschovajte!
pomôcka manage-bde.exe
Pozreli sme sa na BitLocker, diskutovali o jeho možnostiach a pozreli sme sa na to, ako ho spravovať. Táto metóda celkom jednoduché je použiť rozhranie Prieskumníka. Dnes v štúdiu je ďalším spôsobom, ako spravovať BitLocker, utilita manage-bde.exe, ktorá ukončí náš úvod do technológie BitLocker.
Dúfam, že ste to uhádli Nová cesta nebude taký ako predtým. A naznačil som, že rozdiel je v rozhraní. Takže myslím, že ste uhádli čo manage-bde.exe je nástroj príkazového riadku.
Príkazy Manage-BDE.exe
Pomocou rôznych možností, ktoré uvediem nižšie, môžete nakonfigurovať BitLocker tak, aby fungoval tak, ako chcete. Funkcionalita tejto pomôcky je identická s funkcionalitou Prieskumníka pre prácu s BitLockerom. Poďme sa s ním zoznámiť.
Správa-bde.exe - stav
Zobrazuje stav nástroja BitLocker.
manage-bde.exe -on
Zašifruje zväzok a povolí BitLocker.
manage-bde.exe -vypnuté
Dešifruje zväzok a zakáže nástroj BitLocker.
manage-bde.exe -pauza/-obnoviť
Pozastaví alebo obnoví šifrovanie alebo dešifrovanie.
manage-bde.exe -lock
Zamietne prístup k údajom šifrovaným pomocou BitLocker.
manage-bde.exe -odomknúť
Umožňuje prístup k údajom šifrovaným pomocou nástroja BitLocker.
manage-bde.exe -setidentifier
Nastaví identifikátor zväzku.
manage-bde.exe -changepin
Zmení kód PIN.
manage-bde.exe -zmena hesla
Zmení heslo.
manage-bde.exe -changekey
Zmení tlačidlo spustenia hlasitosti.
Všetky tieto príkazy sa musia vykonať v okne príkazového riadka otvorenom s právami správcu. Ak potrebujete ďalšiu pomoc s ľubovoľným príkazom, zadajte tento príkaz
manage-bde.exe /?
Na túto žiadosť dostanete úplnú pomoc k tomuto príkazu s danými parametrami, ako aj niekoľko príkladov práce. To je všetko, používajte technológiu BitLocker pre svoje zdravie a nezabudnite, že možno budete musieť obnoviť BitLocker.
Na šifrovanie vašich osobných údajov je možné použiť mnoho metód, konkrétnejšie softvér spoločnostiam tretích strán. Ale prečo, ak existuje BitLocker od Microsoftu. Bohužiaľ, niektorí ľudia majú problémy s obnovou súborov po zašifrovaní pomocou BitLocker. Pri šifrovaní BitLocker musíte vytvoriť špeciálny kľúč na obnovenie, musíte ho uložiť a nezáleží na tom, kde, hlavná vec je bezpečná. Môžete si ho vytlačiť alebo uložiť pomocou účtu, nie však lokálneho, ale od spoločnosti Microsoft. Ak sa disk sám neodomkne, tak treba použiť rovnaký kľúč, inak nič.
Sú však aj prípady, keď sa kľúč stratí. čo robiť potom? Niekedy môžete zabudnúť heslo na vstup do systému, čo značne sťažuje proces dešifrovania. Pokúsme sa študovať všetky tieto problémy a pochopiť, ako postupovať. Tento článok by vám mal pomôcť vyriešiť problémy s nástrojom BitLocker .
Niekoľko článkov o šifrovaní údajov:
Čo robiť s kľúčom na obnovenie, čo ak sa stratí?
Ľudský faktor je teda taká vec, že keď príde na pamäť, ktorá je v istom momente veľmi potrebná, zlyhá nám. Zabudli ste, kam ste vložili kľúč na obnovenie, a potom si pamätajte, ako ste ho uložili v nástroji BitLocker. Keďže pomôcka ponúka tri spôsoby uloženia kľúča – tlač, uloženie do súboru a uloženie do účtu. V každom prípade by ste si mali zvoliť jednu z týchto metód.
Ak ste teda kľúč uložili do svojho účtu, musíte prejsť z prehliadača na OneDrive a zadať sekciu "Kľúče na obnovenie nástroja BitLocker". Prihlasujeme sa pomocou svojich prihlasovacích údajov. Kľúč tam určite bude, za predpokladu, že ste ho tam nahrali. Ak neexistuje, možno ste ho uložili na iný účet?
Stáva sa, že používateľ vytvorí viac ako jeden kľúč, potom môžete určiť konkrétny pomocou identifikátora v nástroji BitLocker a porovnať ho s kľúčom, ak sa zhodujú, potom je to správny kľúč.
Ak sa počítač nechce spustiť do systému kvôli BitLocker?
Povedzme, že ste zašifrovali systémový disk a vyskytol sa problém, pri ktorom sa systém nechce odomknúť, potom je pravdepodobne nejaký problém s modulom TPM. Systém by mal odomknúť automaticky. Ak je to pravda, pred vašimi očami sa objaví obrázok, na ktorom je napísané: a budete požiadaní o zadanie kľúča na obnovenie. A ak ho nemáte, pretože ste ho stratili, je nepravdepodobné, že sa budete môcť prihlásiť do systému. S najväčšou pravdepodobnosťou pomôže iba preinštalovanie systému. Zatiaľ neviem, ako môžete odomknúť BitLocker bez kľúča, ale pokúsim sa túto problematiku naštudovať.
Ako odomknúť šifrované jednotky BitLocker v systéme Windows?
Ak máte niekoľko oddielov alebo externých pevných diskov zašifrovaných pomocou BitLocker, ale potrebujete ich odomknúť, pokúsim sa pomôcť.
Pripojte zariadenie k PC (ak je externé). Spustite "Ovládací panel", môžete z vyhľadávania a prejdite do časti "Systém a zabezpečenie". Nájdite sekciu "BitLocker Drive Encryption". Mimochodom, túto operáciu je možné vykonať iba na verziách PRO, majte to na pamäti.
Nájdite v zozname jednotku, ktorú ste zašifrovali a ktorú chcete dešifrovať. Kliknite vedľa možnosti "Odomknúť Disk".
Teraz zadajte potrebné údaje na odomknutie (PIN alebo heslo). Nemáte tieto údaje? pamätáte si ich? Potom kliknite "Ďalšie možnosti" a vyberte položku.
Na záver chcem povedať jednu vec. Ak stratíte heslo alebo PIN kód, môžete obnoviť prístup k disku pomocou obnovovacieho kľúča, je to 100%. Musíte ho uložiť na bezpečnom mieste a vždy si pamätať, kde sa nachádza. Ak ste tento kľúč stratili, môžete sa so svojimi dátami rozlúčiť. Zatiaľ som nenašiel spôsob, ako dešifrovať BitLocker bez kľúča.