Obnovitev podatkov Bitlocker brez ključa. Ali je mogoče vdreti v Bitlocker? BitLocker: kako onemogočiti. Prva stopnja
Mnogi uporabljajo funkcijo šifriranja sistema Windows, vendar vsi ne razmišljajo o varnosti te metode zaščite podatkov. Danes bomo govorili o šifriranju Bitlocker in poskušali ugotoviti, kako dobro je implementirana zaščita diska Windows.
Mimogrede, o tem, kako nastaviti Bitlocker, lahko preberete v članku "".
- Predgovor
- Kako deluje Bitlocker?
- Ranljivosti
- Ključi za obnovitev
- Odpiranje BitLockerja
- BitLocker To Go
- Zaključek
Članek je napisan v raziskovalne namene. Vse informacije v njem so zgolj informativne narave. Namenjena je varnostnim strokovnjakom in tistim, ki to želijo postati.
Kako deluje Bitlocker?
Kaj je Bitlocker?
BitLocker je izvorna funkcija šifriranja diska v operacijskih sistemih Windows 7, 8, 8.1, 10. Ta funkcija vam omogoča varno šifriranje zaupnih podatkov v vašem računalniku, tako na HDD in SSD kot na izmenljivem mediju.
Kako je BitLocker nastavljen?
Zanesljivosti BitLockerja ne bi smeli ocenjevati po ugledu AES. Priljubljen šifrirni standard lahko odkrito ali ne slabosti, vendar so njegove implementacije v specifičnih kriptografskih izdelkih pogosto polne. Microsoft ne razkriva celotne kode za tehnologijo BitLocker. Znano je le, da je v različnih različicah sistema Windows temeljil na različnih shemah, spremembe pa niso bile komentirane na noben način. Poleg tega je v različici 10586 sistema Windows 10 preprosto izginil in se je po dveh različicah ponovno pojavil. Vendar pa najprej.
Prva različica BitLockerja je uporabljala način veriženja blokov šifriranega besedila (CBC). Že takrat so bile njegove pomanjkljivosti očitne: enostavnost napada na znano besedilo, slaba odpornost na napade po vrsti zamenjave itd. Zato se je Microsoft takoj odločil za okrepitev zaščite. Že v Visti je bil shemi AES-CBC dodan algoritem Elephant Diffuser, kar otežuje neposredno primerjavo blokov šifriranega besedila. Pri njem je enaka vsebina dveh sektorjev po šifriranju z enim ključem dala povsem drugačen rezultat, kar je zapletlo izračun skupnega vzorca. Vendar je bil sam privzeti ključ kratek - 128 bitov. Z upravnimi politikami ga je mogoče razširiti na 256 bitov, a ali se splača?
Za uporabnike se po zamenjavi ključa navzven ne spremeni nič - niti dolžina vnesenih gesel niti subjektivna hitrost delovanja. Kot večina sistemov za šifriranje polnega diska tudi BitLocker uporablja več ključev ... in nobeden od njih ni viden uporabnikom. Tukaj shema vezja BitLocker.
- Ko je BitLocker aktiviran z generatorjem psevdonaključnih števil, se ustvari zaporedje glavnih bitov. To je šifrirni ključ za obseg - FVEK (full volume encryption key). On je tisti, ki zdaj šifrira vsebino vsakega sektorja.
- FVEK pa je šifriran z drugim ključem - VMK (glavni ključ nosilca) - in shranjen v šifrirani obliki med metapodatki nosilca.
- Tudi sam VMK je šifriran, a že različne poti po izbiri uporabnika.
- Na novih matičnih ploščah je ključ VMK privzeto šifriran s ključem SRK (storage root key), ki je shranjen v ločenem kriptoprocesorju – modulu zaupanja vredne platforme (TPM). Uporabnik nima dostopa do vsebine TPM in je edinstvena za vsak računalnik.
- Če na plošči ni ločenega čipa TPM, se namesto SRK za šifriranje ključa VMK uporabi pin koda, ki jo vnese uporabnik, ali pa se na zahtevo priključi bliskovni pogon USB z vnaprej zapisanimi ključnimi informacijami.
- Poleg TPM ali bliskovnega pogona lahko ključ VMK zaščitite z geslom.
Takšna splošna shema Delo BitLockerja je bilo do zdaj ohranjeno v naslednjih izdajah sistema Windows. Vendar so se načini generiranja ključev in šifriranja BitLockerja spremenili. Tako je Microsoft oktobra 2014 tiho odstranil dodatni algoritem Elephant Diffuser, tako da je ostala samo shema AES-CBC z znanimi pomanjkljivostmi. Uradnih izjav o tem sprva ni bilo. Ljudem je pod krinko posodobitve preprosto dana oslabljena tehnologija šifriranja z istim imenom. Nejasna pojasnila za to potezo so sledila potem, ko so poenostavitve v BitLockerju opazili neodvisni raziskovalci.
Elephant Diffuser je bil formalno opuščen, da bi zagotovili skladnost s sistemom Windows zvezni standardi United States Information Processing Service (FIPS), vendar en argument ovrže to različico: Vista in Windows 7, ki sta uporabljala Elephant Diffuser, sta se brez težav prodajala v Ameriki.
Drug namišljen razlog za zavrnitev dodatnega algoritma je pomanjkanje strojnega pospeševanja za Elephant Diffuser in izguba hitrosti pri njegovi uporabi. Vendar jim je prejšnja leta, ko so bili procesorji počasnejši, iz nekega razloga ustrezala hitrost šifriranja. In isti AES je bil pogosto uporabljen, še preden so obstajali ločeni nizi navodil in specializirani čipi za njegovo pospeševanje. Sčasoma je bilo možno strojno pospešiti tudi za Elephant Diffuser ali pa strankam vsaj omogočiti izbiro med hitrostjo in varnostjo.
Druga, neuradna različica je videti bolj realistična. "Slon" je bil v napoto zaposlenim, ki so želeli porabiti manj truda za dešifriranje naslednjega diska, Microsoft pa voljno sodeluje z oblastmi tudi v primerih, ko njihove zahteve niso povsem zakonite. Posredno potrjuje teorijo zarote in dejstvo, da je bil pred Windows 8 pri ustvarjanju šifrirnih ključev v BitLockerju uporabljen generator psevdonaključnih števil, vgrajen v Windows. V mnogih (če ne v vseh) izdajah sistema Windows je bil to Dual_EC_DRBG - "kriptografsko močan PRNG", ki ga je razvila Agencija za nacionalno varnost ZDA in je vseboval številne inherentne ranljivosti.
Seveda je skrivna oslabitev vgrajenega šifriranja povzročila močan val kritik. Pod njenim pritiskom je Microsoft znova napisal BitLocker in v novih izdajah sistema Windows zamenjal PRNG s CTR_DRBG. Poleg tega je v sistemu Windows 10 (začenši z gradnjo 1511) privzeta šifrirna shema AES-XTS, ki je odporna na manipulacijo blokov šifriranega besedila. AT najnovejše gradnje"desetke" so bile odpravljene in druge znane pomanjkljivosti BitLockerja, vendar je glavni problem še vedno ostal. To je tako absurdno, da druge inovacije naredijo nesmiselne. Gre za principe upravljanja ključev.
Naloga dešifriranja pogonov BitLocker je poenostavljena tudi zaradi dejstva, da Microsoft aktivno promovira alternativna metoda obnovitev dostopa do podatkov prek agenta za obnovitev podatkov. Pomen "Agenta" je, da šifrira šifrirne ključe vseh pogonov v omrežju podjetja z enim samim dostopnim ključem. Ko ga imate, lahko dešifrirate kateri koli ključ in s tem kateri koli disk, ki ga uporablja isto podjetje. Udobno? Da, še posebej za hekanje.
Zamisel o uporabi enega ključa za vse ključavnice je bila že večkrat ogrožena, vendar se zaradi udobja še vedno vrača v takšni ali drugačni obliki. Takole je Ralph Leighton zapisal spomine Richarda Feynmana o eni značilni epizodi njegovega dela na projektu Manhattan v laboratoriju v Los Alamosu: »... Odprl sem tri sefe - in vse tri z eno kombinacijo. Naredil sem vse: odprl sefe z vsemi skrivnostmi atomska bomba- tehnologija pridobivanja plutonija, opis postopka čiščenja, podatki o tem, koliko materiala je potrebno, kako bomba deluje, kako so narejeni nevtroni, kako je bomba urejena, kakšne so njene dimenzije - skratka vse, kar so vedeli pri Los Alamos, cela kuhinja! .
BitLocker nekoliko spominja na varno napravo, opisano v drugem fragmentu knjige "Seveda se šalite, gospod Feynman!". Najbolj impozanten sef v tajnem laboratoriju je imel enako ranljivost kot preprosta omara za dokumente. »... Bil je polkovnik in imel je veliko bolj zapleten sef z dvema vratoma in velikimi ročaji, ki so iz okvirja potegnili štiri jeklene palice, debele tri četrt palca. Pogledal sem zadnjo stran enih od mogočnih bronastih vrat in ugotovil, da je digitalna številčnica povezana z majhno ključavnico, ki je bila videti natanko tako kot ključavnica moje omare v Los Alamosu. Očitno je bilo, da je sistem vzvodov odvisen od iste majhne palice, ki je zaklenila kartotečne omare .. V prikazu neke vrste dejavnosti sem začel naključno obračati številčnico. Dve minuti kasneje - klik! - Sef je bil odprt. Ko so vrata sefa ali zgornji predal omare za dokumente odprt, je kombinacijo zelo enostavno najti. To sem storil, ko ste prebrali moje poročilo, samo da vam pokažem nevarnost."
Kripto vsebniki BitLocker so sami po sebi precej varni. Če vam nekdo prinese bliskovni pogon, ki je prišel od nikoder, šifriran z BitLocker To Go, potem ga verjetno ne boste dešifrirali v razumnem času. Vendar pa je v resničnem scenariju z uporabo šifriranih pogonov in izmenljivih medijev veliko ranljivosti, ki jih je enostavno uporabiti za obhod BitLockerja.
Ranljivosti BitLockerja
Zagotovo ste opazili, da morate, ko prvič aktivirate Bitlocker, dolgo čakati. To ni presenetljivo - proces šifriranja po sektorjih lahko traja več ur, saj niti ni mogoče hitreje prebrati vseh blokov terabajtnih trdih diskov. Vendar se BitLocker onemogoči skoraj v trenutku - kako to?
Dejstvo je, da Bitlocker ne dešifrira podatkov, ko je onemogočen. Vsi sektorji bodo ostali šifrirani s ključem FVEK. Preprosto, dostop do tega ključa ne bo več na noben način omejen. Vsa preverjanja bodo onemogočena, VMK pa bo ostal zabeležen med metapodatki v odprta oblika. Vsakič, ko vklopite računalnik, bo nalagalnik OS prebral VMK (že brez preverjanja TPM, zahteval ključ na bliskovnem pogonu ali geslo), z njim samodejno dešifriral FVEK in nato vse datoteke, ko se do njih dostopa. Za uporabnika bo vse videti kot popolna odsotnost šifriranja, vendar bodo najbolj pozorni opazili rahlo zmanjšanje zmogljivosti diskovnega podsistema. Natančneje - pomanjkanje povečanja hitrosti po onemogočanju šifriranja.
V tej shemi je še nekaj zanimivega. Kljub imenu (tehnologija polnega šifriranja diska) nekateri podatki pri uporabi BitLockerja še vedno ostanejo nešifrirani. MBR in BS ostaneta v odprti obliki (razen če je bil disk inicializiran v GPT), slabi sektorji in metapodatki. Odprt zagonski nalagalnik daje prostor domišljiji. V psevdo-slabih sektorjih je priročno skriti drugo zlonamerno programsko opremo, metapodatki pa vsebujejo veliko zanimivih stvari, vključno s kopijami ključev. Če je Bitlocker aktiven, bodo šifrirani (vendar šibkeje kot FVEK šifrira vsebino sektorjev), in če je deaktiviran, bodo preprosto ležali na čistem. Vse to so potencialni vektorji napada. Potencial so zato, ker poleg njih obstajajo veliko enostavnejši in bolj univerzalni.
Obnovitveni ključ za Bitlocker
BitLocker poleg FVEK, VMK in SRK uporablja še eno vrsto ključa, ki se generira "za vsak slučaj". To so obnovitveni ključi, s katerimi je povezan drug priljubljen vektor napadov. Uporabniki se bojijo pozabiti geslo in izgubiti dostop do sistema, sam Windows pa priporoča, da se prijavijo v sili. Če želite to narediti, vklopite čarovnika za šifriranje BitLocker zadnji korak vas pozove, da ustvarite obnovitveni ključ. Zavrnitev ustvarjanja ni predvidena. Izberete lahko le eno od ključnih izvoznih možnosti, od katerih je vsaka zelo ranljiva.
V privzetih nastavitvah se ključ izvozi kot preprosta besedilna datoteka s prepoznavnim imenom: "BitLocker recovery key #", kjer je namesto # zapisan ID računalnika (ja, prav v imenu datoteke!). Sam ključ izgleda takole.
Če ste pozabili (ali nikoli niste vedeli) gesla, nastavljenega v BitLockerju, preprosto poiščite datoteko z obnovitvenim ključem. Zagotovo bo shranjen med dokumenti trenutnega uporabnika ali na njegovem bliskovnem pogonu. Morda je celo natisnjen na kos papirja, kot priporoča Microsoft.
Za hitro iskanje obnovitvenega ključa je priročno omejiti iskanje po končnici (txt), datumu ustvarjanja (če približno veste, kdaj bi lahko bil omogočen BitLocker) in velikosti datoteke (1388 bajtov, če datoteka ni bila urejena) . Ko najdete obnovitveni ključ, ga kopirajte. Z njim lahko kadar koli obidete standardno avtorizacijo v BitLockerju. Če želite to narediti, samo pritisnite Esc in vnesite obnovitveni ključ. Brez težav se boste prijavili in celo lahko spremenili geslo v BitLockerju v poljubno, ne da bi navedli staro!
Odpiranje BitLockerja
Resnično kriptografski sistem je kompromis med udobjem, hitrostjo in zanesljivostjo. Vključevati mora postopke za transparentno šifriranje s sprotnim dešifriranjem, metode za obnovitev pozabljenih gesel in priročno delo s ključi. Vse to oslabi vsak sistem, ne glede na to, na kako močnih algoritmih temelji. Zato ni treba iskati ranljivosti neposredno v algoritmu Rijndael ali v različnih shemah standarda AES. Veliko lažje jih je najti v posebnostih posamezne izvedbe.
V primeru Microsofta je ta "specifika" dovolj. Na primer, kopije ključev BitLocker so privzeto poslane v SkyDrive in deponirane v Active Directory.
No, kaj če jih izgubiš... ali vpraša agent Smith. Neprijetno je, da stranka čaka, še bolj pa agent. Zaradi tega primerjava kriptografska moč AES-XTS in AES-CBC z difuzorjem Elephant zbledita v ozadje, prav tako priporočila za povečanje dolžine ključa. Ne glede na to, kako dolgo je, ga bo napadalec zlahka dobil nešifrirano oblika .
Pridobivanje deponiranih ključev iz računa Microsoft ali AD je glavni način za zlom BitLockerja. Če uporabnik ni registriral računa v Microsoftovem oblaku in njegov računalnik ni v domeni, bodo še vedno na voljo načini za ekstrahiranje šifrirnih ključev. Pri normalnem delovanju so njihove odprte kopije vedno shranjene v RAM-u (sicer ne bi bilo "transparentnega šifriranja"). To pomeni, da so na voljo v njeni datoteki izpisa in mirovanja.
Zakaj jih sploh zadržujejo tam?
Kot je smešno - za udobje nasmeh. BitLocker je bil zasnovan samo za zaščito pred napadi brez povezave. Vedno jih spremlja ponovni zagon in povezovanje diska z drugim OS, kar vodi do čiščenja RAM-a. Vendar pa v privzetih nastavitvah operacijski sistem izpusti RAM, ko pride do okvare (ki jo je mogoče izzvati), in zapiše vso njegovo vsebino v datoteko mirovanja vsakič, ko računalnik preklopi v stanje globokega spanja. Torej, če ste se nedavno prijavili v Windows z omogočenim BitLockerjem, obstaja velika verjetnost, da boste dobili dešifrirano kopijo VMK in jo uporabili za dešifriranje FVEK in nato samih podatkov po verigi.
Preverimo? Vse zgoraj opisane metode hekanja BitLocker so zbrane v enem programu - Forensic Disk Decryptor, ki ga je razvilo domače podjetje Elcomsoft. Samodejno lahko izvleče šifrirne ključe in priklopi šifrirane nosilce kot navidezne pogone ter jih dešifrira sproti.
Poleg tega EFDD izvaja še en netrivialen način pridobivanja ključev - z napadom prek vrat FireWire, ki ga je priporočljivo uporabiti v primeru, ko vaše programske opreme ni mogoče zagnati na napadenem računalniku. Na svoj računalnik vedno namestimo sam program EFDD, na vdrtega pa poskušamo upravljati z najmanj potrebnimi dejanji.
Na primer, samo zaženimo testni sistem z aktivnim BitLockerjem in "nevidno" naredimo izpis pomnilnika. Tako bomo simulirali situacijo, v kateri je šel kolega ven na kosilo in ni zaklenil računalnika. Zaženemo RAM Capture in v manj kot minuti dobimo popoln izpis v datoteki s končnico .mem in velikostjo, ki ustreza količini RAM-a, nameščenega v računalniku žrtve.
Kako narediti dump - by na splošno ni važno. Ne glede na končnico se bo izkazalo, da je to binarna datoteka, ki jo bo nato samodejno analiziral EFDD v iskanju ključev.
Dump zapišemo na ključek USB ali ga prenesemo po omrežju, nakar se usedemo za računalnik in poženemo EFDD.
Izberite možnost "Extract keys" in vnesite pot do datoteke z izpisom pomnilnika kot virom ključev.
BitLocker je tipičen kripto vsebnik, kot je PGP Disk ali TrueCrypt. Izkazalo se je, da so ti vsebniki sami po sebi precej zanesljivi, vendar odjemalske aplikacije za delo z njimi v sistemu Windows zamašijo šifrirne ključe v RAM-u. Zato je v EFDD implementiran scenarij univerzalnega napada. Program takoj poišče šifrirne ključe iz vseh treh vrst priljubljenih kripto vsebnikov. Zato lahko vse elemente pustite označene - kaj če žrtev na skrivaj uporablja ali PGP!
Po nekaj sekundah Elcomsoft Forensic Disk Decryptor v svojem oknu prikaže vse najdene ključe. Za udobje jih lahko shranite v datoteko - to bo v prihodnosti prišlo prav.
Zdaj BitLocker ni več ovira! Izvedete lahko klasičen napad brez povezave - na primer izvlečenje HDD in kopirajte njeno vsebino. Če želite to narediti, ga preprosto povežite z računalnikom in zaženite EFDD v načinu "dešifriraj ali priklopi disk".
Ko določite pot do datotek s shranjenimi ključi, bo EFDD po vaši izbiri izvedel popolno dešifriranje nosilca ali ga takoj odprl kot virtualni disk. V slednjem primeru se datoteke dešifrirajo, ko se do njih dostopa. Kakor koli že, izvirna glasnost ni spremenjena, tako da jo lahko vrnete naslednji dan, kot da se ni nič zgodilo. Delo z EFDD poteka brez sledi in samo s kopijami podatkov, zato ostane nevidno.
BitLocker To Go
Od "sedmice" v sistemu Windows je postalo mogoče šifrirati bliskovne pogone, USB-HDD in druge zunanje medije. Tehnologija, imenovana BitLocker To Go, šifrira izmenljive pogone na enak način kot lokalne pogone. Šifriranje je omogočeno z ustreznim elementom v kontekstnem meniju Raziskovalca.
Za nove pogone lahko uporabite šifriranje samo zasedenega območja - vseeno je prosti prostor particije poln ničel in tam ni ničesar, kar bi lahko skrili. Če je bil disk že uporabljen, je priporočljivo, da na njem omogočite popolno šifriranje. V nasprotnem primeru bo lokacija, označena kot prosta, ostala nešifrirana. V navadnem besedilu lahko vsebuje nedavno izbrisane datoteke, ki še niso bile prepisane.
Tudi hitro šifriranje samo zasedenega območja traja od nekaj minut do nekaj ur. Ta čas je odvisen od količine podatkov, pasovne širine vmesnika, lastnosti pogona in hitrosti kriptografskih izračunov procesorja. Ker šifriranje spremlja stiskanje, se prosti prostor na šifriranem disku običajno nekoliko poveča.
Ko naslednjič povežete šifriran bliskovni pogon s katerim koli računalnikom z operacijskim sistemom Windows 7 ali novejšim, se samodejno zažene čarovnik BitLocker, da odklene pogon. V Raziskovalcu bo pred odklepanjem prikazan kot zaklenjen disk.
Tukaj lahko uporabite tako že obravnavane možnosti za obhod BitLockerja (na primer iskanje ključa VMK v izpisu pomnilnika ali datoteki mirovanja), kot tudi nove, povezane z obnovitvenimi ključi.
Če ne poznate gesla, vendar ste uspeli najti enega od ključev (ročno ali z uporabo EFDD), potem obstajata dve glavni možnosti za dostop do šifriranega bliskovnega pogona:
- uporabite vgrajenega čarovnika BitLocker za neposredno delo z bliskovnim pogonom;
- uporabite EFDD za popolno dešifriranje bliskovnega pogona in ustvarjanje njegove slike po sektorjih.
Prva možnost vam omogoča takojšen dostop do datotek, posnetih na bliskovnem pogonu, njihovo kopiranje ali spreminjanje in tudi zapisovanje lastnih. Druga možnost traja veliko dlje (od pol ure), vendar ima svoje prednosti. Dešifrirana slika po sektorjih vam omogoča nadaljnjo izvedbo bolj subtilne analize datotečnega sistema na ravni forenzičnega laboratorija. V tem primeru sam bliskovni pogon ni več potreben in ga je mogoče vrniti nespremenjenega.
Nastalo sliko lahko takoj odprete v katerem koli programu, ki podpira format IMA, ali najprej pretvorite v drug format (na primer z uporabo UltraISO).
Seveda so v EFDD poleg iskanja obnovitvenega ključa za BitLocker2Go podprte tudi vse druge obhodne metode BitLocker. Preprosto preglejte vse razpoložljive možnosti v vrsti, dokler ne najdete ključa katere koli vrste. Ostalo (do FVEK) bodo dešifrirali sami po verigi, vi pa boste dobili popoln dostop do diska.
Zaključek
Tehnologija šifriranja celotnega diska BitLocker se razlikuje med različicami sistema Windows. Ko je pravilno konfiguriran, vam omogoča ustvarjanje kripto vsebnikov, ki so po moči teoretično primerljivi s TrueCrypt ali PGP. Vendar pa vgrajeni mehanizem za delo s tipkami v sistemu Windows zanika vse algoritemske trike. Zlasti ključ VMK, ki se uporablja za dešifriranje glavnega ključa v BitLockerju, se obnovi z uporabo EFDD v nekaj sekundah iz deponiranega dvojnika, izpisa pomnilnika, datoteke mirovanja ali napada na vrata FireWire.
Ko imate ključ, lahko izvedete klasičen napad brez povezave, prikrito kopirate in samodejno dešifrirate vse podatke na "zaščitenem" disku. Zato je treba BitLocker uporabljati samo v povezavi z drugimi zaščitami: šifrirnim datotečnim sistemom (EFS), storitvijo upravljanja pravic (RMS), nadzorom zagona programa, nadzorom namestitve naprave in povezav ter strožjimi lokalnimi pravilniki in splošnimi varnostnimi ukrepi.
V članku so bili uporabljeni materiali spletnega mesta:
In zaščiti občutljive podatke. Geslo nastavimo s standardno aplikacijo Windows - BitLocker. To je zelo močan šifrirni sistem, ki vam omogoča, da preprečite nepooblaščen dostop do informacij z vašega bliskovnega pogona. Če želite vnesti geslo na bliskovni pogon USB, vam priporočam to metodo.
Toda mnogi uporabniki vnesejo geslo na bliskovni pogon USB, ki je edini v hiši in se uporablja za reševanje univerzalnih težav. Nekdo predvaja glasbo iz njega v avtu, nekdo gleda filme na televiziji ali ga vstavi v igralno konzolo. Zato po šifriranju podatkov z BitLockerjem vsa ta dejanja ne bodo mogoča. Torej bo treba onemogočiti BitLocker in odkleniti vaš USB ključek. Toda kako onemogočiti BitLocker in ali je to mogoče storiti z vgrajenimi orodji Windows?
Da, lahko onemogočite šifriranje podatkov na bliskovnem pogonu in to je zelo enostavno. In če ne veste, kako to storiti, vam bom dal preprosta in razumljiva navodila. Podatkov pred dešifriranjem ni treba izbrisati ali prenesti v računalnik, vsi bodo ostali na bliskovnem pogonu, zaščita bo preprosto odstranjena.
Kako onemogočiti BitLocker:
- 1Vstavite bliskovni pogon v računalnik, ga odprite in vnesite geslo za dostop do njegove vsebine. Zdaj morate iti na nadzorno ploščo. To lahko storite prek začetka ali pa držite gumba win + R in v vrstico, ki se prikaže, vnesete ukaz »control«.
- Na nadzorni plošči moramo iti v meni "Sistem in varnost".
- Zdaj morate najti in izbrati element "Šifriranje pogona BitLocker"
- Na tej stopnji morate najti bliskovni pogon, na katerem je nameščena zaščita, v obliki gesla. Po tem boste videli element "Izklopi BitLocker" in ga morate izbrati.
- Počakajte, da se dešifriranje diska zaključi. Postopek lahko traja dolgo, vse je odvisno od števila datotek na disku. Po zaključku bo zaščita odstranjena z bliskovnega pogona in jo lahko uporabljate v običajnem načinu.
Nikogar sploh ne preseneča dejstvo, da lahko osebni računalnik hrani čisto osebne podatke ali podatke podjetja večje vrednosti. Nezaželeno je, če takšni podatki padejo v roke tretjim osebam, ki jih lahko uporabijo in povzročijo resne težave nekdanjemu lastniku računalnika.
Odvisno od okoliščin lahko Bitlocker aktivirate in deaktivirate.
Zaradi tega mnogi uporabniki izražajo željo po kakršnih koli ukrepih, katerih cilj je omejiti dostop do vseh datotek, shranjenih v računalniku. Tak postopek res obstaja. Po določenih manipulacijah nihče od zunanjih oseb, ki ne pozna gesla ali ključa za njegovo obnovitev, ne bo mogel dostopati do dokumentov.
Pomembne informacije je mogoče zaščititi pred dostopom tretjih oseb s šifriranjem pogona Bitlocker. Takšna dejanja pomagajo zagotoviti popolno zaupnost dokumentov ne samo na določenem računalniku, ampak tudi v primeru, ko nekdo odstrani trdi disk in ga vstavi v drug osebni računalnik.
Algoritem za vklop in izklop funkcije
Šifriranje pogona Bitlocker deluje v sistemih Windows 7, 8 in 10, vendar ne v vseh različicah. Predpostavlja se, da mora biti na matični plošči, ki je opremljena z določenim računalnikom, na katerem uporabnik želi šifrirati, modul TPM.
NASVET. Naj vas ne obupa, če zagotovo veste, da na vaši matični plošči ni takega posebnega modula. Obstaja nekaj trikov, ki vam omogočajo, da "ignorirate" takšno zahtevo oziroma namestite brez takega modula.
Preden nadaljujete s postopkom šifriranja vseh datotek, je pomembno upoštevati, da je ta postopek precej dolgotrajen. Težko je navesti točen čas. Vse je odvisno od tega, koliko informacij je na voljo na trdem disku. Med postopkom šifriranja bo Windows 10 še naprej deloval, vendar je malo verjetno, da vas bo lahko razveselil s svojo zmogljivostjo, saj se bo indikator uspešnosti znatno zmanjšal.
Omogočite funkcijo
Če imate na vašem računalniku nameščen operacijski sistem Windows 10 in imate aktivno željo omogočiti šifriranje podatkov, uporabite naše nasvete, da vam ne le uspe, ampak tudi pot do uresničitve takšne želje ne bo težka. Najprej poiščite tipko "Win" na tipkovnici, včasih jo spremlja ikona Windows, jo pridržite, hkrati pa držite tipko "R". Če pritisnete ti dve tipki hkrati, se odpre okno Zaženi.
V oknu, ki se odpre, boste našli prazno vrstico, v katero boste morali vnesti "gpedit.msc". Po kliku na gumb "V redu" se odpre novo okno "Urejevalnik pravilnika lokalne skupine". V tem oknu moramo iti malo naprej.
Na levi strani okna poiščite in takoj kliknite vrstico "Konfiguracija računalnika", v podmeniju, ki se odpre, poiščite "Upravne predloge" in nato v naslednjem podmeniju, ki se odpre, pojdite na parameter, ki se nahaja na prvem mestu na seznamu in se imenuje "Komponente sistema Windows".
Zdaj premaknite pogled na desna stran okno, v njem poiščite »Bitlocker Drive Encryption«, dvokliknite, da ga aktivirate. Zdaj se bo odprl nov seznam, v katerem naj bo vaš naslednji cilj vrstica "Pogoni operacijskega sistema". Kliknite tudi na to vrstico, samo še en prehod morate narediti, da se približate oknu, kjer bo Bitlocker neposredno konfiguriran, kar vam bo omogočilo, da ga vklopite, kar je točno to, kar želite.
Poiščite vrstico "Ta nastavitev pravilnika vam omogoča, da konfigurirate zahtevo za dodatno avtentikacijo ob zagonu", razširite to nastavitev z dvojnim klikom. V odprtem oknu boste našli želeno besedo »Omogoči«, poleg katere boste našli potrditveno polje poleg njega, v katerem morate postaviti določeno kljukico v obliki kljukice vašega soglasja.
Malo nižje v tem oknu je pododdelek »Platforme«, v katerem morate potrditi potrditveno polje poleg predloga za uporabo BitLockerja brez posebnega modula. To je zelo pomembno, še posebej, če vaš Windows 10 nima modula TPM.
Nastavitev želene funkcije v tem oknu je končana, zato ga lahko zaprete. Zdaj premaknite kazalec miške nad ikono Windows, samo z desno miškino tipko kliknite nanjo, kar bo omogočilo prikaz dodatnega podmenija. V njej boste našli vrstico "Nadzorna plošča", pojdite nanjo in nato na naslednjo vrstico "Šifriranje pogona Bitlocker".
Ne pozabite navesti, kje želite šifrirati. To je mogoče storiti na trdih in izmenljivih diskih. Ko izberete želeni predmet, kliknite na gumb "Omogoči Bitlocker".
Zdaj bo Windows 10 začel samodejni postopek, občasno bo pritegnil vašo pozornost in vas pozval, da določite svoje želje. Seveda je najbolje, da to storite pred izvedbo takega postopka rezerva. V nasprotnem primeru, če izgubite geslo in ključ do njega, niti lastnik računalnika ne bo mogel obnoviti informacij.
Nato se bo začel postopek priprave diska za naknadno šifriranje. Med tem postopkom ni dovoljeno izklopiti računalnika, saj lahko to povzroči resno škodo operacijskemu sistemu. Po takšni napaki preprosto ne boste mogli zagnati svojega sistema Windows 10, oziroma namesto šifriranja morate namestiti nov operacijski sistem in porabiti dodaten čas.
Takoj ko je priprava diska uspešno zaključena, se začne dejanska konfiguracija diska za šifriranje. Kasneje boste pozvani, da vnesete geslo, ki omogoča dostop do šifriranih datotek. Prav tako boste pozvani, da pripravite in vnesete obnovitveni ključ. Obe pomembni komponenti je najbolje hraniti na varnem mestu, najbolje jih je natisniti. Zelo neumno je shranjevati geslo in obnovitveni ključ na samem računalniku.
Med postopkom šifriranja vas lahko sistem vpraša, kateri del konkretno želite šifrirati. Najbolje je, da temu postopku podvržemo ves prostor na disku, čeprav obstaja možnost šifriranja samo zasedenega prostora.
Ostaja, da izberete takšno možnost, kot je "Nov način šifriranja", nato pa zaženete samodejno preverjanje operacijskega sistema BitLocker. Nato bo sistem varno nadaljeval postopek, nato pa boste pozvani, da znova zaženete računalnik. Seveda izpolnite to zahtevo, znova zaženite.
Po naslednjem zagonu sistema Windows 10 se boste prepričali, da bo dostop do dokumentov brez vnosa gesla nemogoč. Postopek šifriranja se bo nadaljeval, nadzirate ga lahko s klikom na ikono BitLocker, ki se nahaja na obvestilni plošči.
Onemogočanje funkcije
Če iz nekega razloga datoteke v vašem računalniku niso več tako pomembne in vam ni všeč, da vsakič vnesete geslo za dostop do njih, predlagamo, da preprosto izklopite funkcijo šifriranja.
Če želite izvesti takšna dejanja, pojdite na ploščo z obvestili, tam poiščite ikono BitLocker in jo kliknite. Na dnu odprtega okna boste našli vrstico "Upravljanje BitLocker", kliknite nanjo.
Zdaj vas bo sistem pozval, da izberete, katero dejanje je za vas prednostno:
- varnostno kopirajte ključ za obnovitev;
- spremenite geslo za dostop do šifriranih datotek;
- odstranite predhodno nastavljeno geslo;
- onemogočite BitLocker.
Seveda, če se odločite onemogočiti BitLocker, morate izbrati zadnjo ponujeno možnost. Na zaslonu se takoj prikaže novo okno, v katerem se želi sistem prepričati, ali res želite onemogočiti funkcijo šifriranja.
POZOR. Takoj ko kliknete gumb »Izklopi BitLocker«, se takoj začne postopek dešifriranja. Na žalost za ta proces ni značilna visoka hitrost, zato se morate nekaj časa uglasiti, med katerim morate samo počakati.
Seveda, če morate v tem trenutku uporabljati računalnik, si to lahko privoščite, za to ni nobene kategorične prepovedi. Vendar se morate pripraviti na dejstvo, da je zmogljivost računalnika v tem trenutku lahko zelo nizka. Razumeti razlog za to počasnost ni težko, saj mora operacijski sistem odkleniti ogromno informacij.
Torej, če želite šifrirati ali dešifrirati datoteke v računalniku, je dovolj, da se seznanite z našimi priporočili, nato pa brez naglice izvedete vsak korak navedenega algoritma in se po zaključku veselite doseženega rezultata.
Šifrirajte trdi disk, dostopajte do njega samo z geslom ali USB pogonom z zagonskim ključem in blokirajte dostop v primeru poskusa zunanjega vpliva. Vse to in v primeru šifriranja zunanjih medijev se morate sklicevati na . S tem smo se ukvarjali. Kaj pa, če ste pozabili geslo? Kaj storiti, če ste izgubili USB ključek s ključem za zagon? Kaj storiti, če morate spremeniti zagonsko okolje računalnika, zaradi česar (iz varnostnih razlogov) ni mogoče brati trdi disk? Ali če povzamem vse to, kako obnoviti BitLocker?
Obnovitveni način BitLocker
V primerih, ko:
- Spremenjeno je bilo zagonsko okolje, zlasti ena od zagonskih datotek sistema Windows.
- Onemogočeno ali odstranjeno.
- Zagon brez predložitve TPM, PIN-a ali pogona USB z zagonskim ključem.
- Volumen operacijske sobe sistem Windows povezan z drugim računalnikom.
Nato računalnik preide v obnovitveni način BitLocker. V takih primerih se boste morali spomniti trenutka, ko ste šifrirali trdi disk. Pri nastavitvi šifriranja je bilo okno, ki je omogočalo shranjevanje obnovitvenega ključa BitLocker na različne načine: v datoteko, tiskanje itd. Obnovitveni ključ je preprosto zapisan v datoteki .txt, od koder lahko preprosto preberete in vnesete ta ključ v obnovitveno okno BitLocker. Če vnesete pravilen ključ za obnovitev, se bo računalnik normalno zagnal.
Zgoraj navedeni koraki veljajo za primer izgube ključa za dostop do trdega diska. Če morate spremeniti zagonsko okolje, spremenite nekaj v BIOS-u, lahko iz okna Šifriranje pogona BitLocker V sistemu Windows začasno onemogočite BitLocker. In po nadgradnji zagonskega okolja ga znova omogočite. Vse je precej preprosto.
V primeru šifriranih izmenljivih medijev boste pozvani, da obnovitveni ključ vnesete neposredno v okno Raziskovalca, takoj ko sporočite, da ste pozabili ali izgubili ključ za dostop. Zato bi rad povedal: skrbno hranite obnovitvene ključe!
pripomoček za upravljanje-bde.exe
Ogledali smo si BitLocker, razpravljali o njegovih zmožnostih in pogledali, kako ga upravljati. Ta metoda precej preprosta je uporaba vmesnika Explorer. Danes v studiu je še en način za upravljanje BitLockerja pripomoček manage-bde.exe, ki bo končal naš uvod v tehnologijo BitLocker.
Upam, da ste uganili nov način ne bo tako kot prej. In namignil sem, da je razlika v vmesniku. Torej mislim, da ste uganili management-bde.exe je pripomoček ukazne vrstice.
Ukazi Manage-BDE.exe
S pomočjo različnih možnosti, ki jih bom navedel spodaj, lahko BitLocker konfigurirate tako, da deluje tako, kot želite. Funkcionalnost tega pripomočka je enaka funkcionalnosti Raziskovalca za delo z BitLockerjem. Spoznajmo ga.
management-bde.exe -stanje
Prikaže stanje BitLockerja.
management-bde.exe -on
Šifrira nosilec in omogoči BitLocker.
management-bde.exe -off
Dešifrira nosilec in onemogoči BitLocker.
management-bde.exe -pause/-resume
Začasno ustavi ali nadaljuje šifriranje ali dešifriranje.
management-bde.exe -lock
Zavrne dostop do podatkov, šifriranih z BitLockerjem.
management-bde.exe -odklepanje
Omogoča dostop do podatkov, šifriranih z BitLockerjem.
manage-bde.exe -setidentifier
Nastavi identifikator nosilca.
management-bde.exe -changepin
Spremeni pin kodo.
management-bde.exe -sprememba gesla
Spremeni geslo.
management-bde.exe -changekey
Spremeni tipko za zagon glasnosti.
Vse te ukaze je treba izvesti v oknu ukaznega poziva, odprtem s skrbniškimi pravicami. Če potrebujete dodatno pomoč pri katerem koli ukazu, vnesite ta ukaz
management-bde.exe /?
Na to zahtevo boste prejeli popolno pomoč pri tem ukazu z danimi parametri ter več primerov dela. To je vse, uporabljajte tehnologijo BitLocker za svoje zdravje in ne pozabite, da boste morda morali obnoviti BitLocker.
Za šifriranje vaših osebnih podatkov je mogoče uporabiti številne metode, natančneje, programsko opremo podjetja tretjih oseb. Toda zakaj, če obstaja BitLocker od Microsofta. Na žalost imajo nekateri ljudje težave z obnovitvijo datotek po šifriranju z BitLockerjem. Ko šifrirate BitLocker, morate ustvariti poseben obnovitveni ključ, ga morate shraniti in ni pomembno, kje, glavna stvar je varna. Lahko ga natisnete ali shranite z računom, vendar ne lokalnim, ampak Microsoftovim. Če se disk ne odklene sam, potem morate uporabiti isti ključ, sicer nič.
So pa tudi primeri, ko se ključ izgubi. Kaj potem narediti? Včasih lahko pozabite geslo za vstop v sistem, kar zelo oteži postopek dešifriranja. Poskusimo preučiti vse te težave in razumeti, kako naprej. Ta članek bi vam moral pomagati pri reševanju težav z BitLockerjem .
Nekaj člankov o šifriranju podatkov:
Kaj storiti z obnovitvenim ključem, kaj če se izgubi?
Torej, človeški faktor je taka stvar, da nam, ko gre za spomin, ki je v določenem trenutku zelo potreben, odpove. Pozabili ste, kam ste dali obnovitveni ključ, nato pa se spomnite, kako ste ga shranili v BitLocker. Ker pripomoček ponuja tri načine za shranjevanje ključa - tiskanje, shranjevanje v datoteko in shranjevanje v račun. V vsakem primeru bi morali izbrati eno od teh metod.
Torej, če ste ključ shranili v svoj račun, morate iti v OneDrive iz brskalnika in vnesti razdelek "Ključi za obnovitev BitLocker". Prijavimo se s svojimi poverilnicami. Ključ bo zagotovo tam, pod pogojem, da ste ga tja naložili. Če ne obstaja, ste ga morda shranili v drug račun?
Zgodi se, da uporabnik ustvari več kot en ključ, potem lahko določite določenega z identifikatorjem v pripomočku BitLocker in ga primerjate s tistim iz ključa, če se ujemata, potem je to pravi ključ.
Če se računalnik noče zagnati v sistem zaradi BitLockerja?
Recimo, da ste šifrirali sistemski pogon in je prišlo do težave, pri kateri se sistem noče odkleniti, potem je verjetno kakšna težava z modulom TPM. Sistem bi moral samodejno odkleniti. Če je to res, se vam bo pred očmi prikazala slika, kjer piše: in morali boste vnesti ključ za obnovitev. In če ga nimate, ker ste ga izgubili, potem je malo verjetno, da se boste lahko prijavili v sistem. Najverjetneje bo pomagala le ponovna namestitev sistema. Zaenkrat ne vem, kako lahko odklenete BitLocker brez ključa, vendar bom poskusil preučiti to težavo.
Kako odkleniti šifrirane pogone BitLocker v sistemu Windows?
Če imate nekaj particij ali zunanjih trdih diskov, šifriranih z BitLockerjem, vendar jih morate odkleniti, vam bom poskušal pomagati.
Povežite napravo z osebnim računalnikom (če je zunanji). Zaženite "Nadzorno ploščo", lahko iz iskanja, in pojdite na razdelek "Sistem in varnost". Poiščite razdelek "Šifriranje pogona BitLocker". Mimogrede, to operacijo je mogoče izvesti samo v različicah PRO, upoštevajte to.
Na seznamu poiščite pogon, ki ste ga šifrirali in ga želite dešifrirati. Kliknite poleg možnosti "Odkleni Drive".
Zdaj vnesite podatke za odklepanje, ki jih potrebujete (PIN ali geslo). Nimate teh podatkov? Se jih spomnite? Nato kliknite "Dodatne možnosti" in izberite predmet.
Za zaključek bi rad povedal eno stvar. Če izgubite geslo ali kodo PIN, lahko obnovite dostop do pogona z obnovitvenim ključem, to je 100%. Shraniti ga morate na varnem mestu in si vedno zapomniti, kje je. Če ste ta ključ izgubili, se lahko poslovite od svojih podatkov. Doslej nisem našel metode, s katero bi lahko dešifriral BitLocker brez ključa.