Bitlocker відновлення інформації без ключа. Чи можливий злом Bitlocker? BitLocker: як вимкнути. Початковий етап
Багато хто використовує функцію шифрування Windows, але не всі замислюються про безпеку такого способу захисту даних. Сьогодні ми поговоримо про шифрування Bitlocker і спробуємо розібратися, наскільки добре реалізований захист дисків Windows.
До речі, про те, як налаштувати Бітлокер, ви можете прочитати у статті ««.
- Передмова
- Як працює Bitlocker
- Вразливості
- Ключі відновлення
- Розкриваємо BitLocker
- BitLocker To Go
- Висновок
Стаття написана у дослідницьких цілях. Вся інформація в ній має ознайомлювальний характер. Вона адресована фахівцям з безпеки та тим, хто хоче ними стати.
Як працює Bitlocker
Що таке Bitlocker?
BitLocker - це рідна функція шифрування дисків в операційних системах Windows 7, 8, 8.1, 10. Ця функція дозволяє надійно зашифрувати конфіденційні дані на комп'ютері як на HDD і SSD, так і на носіях, що знімаються.
Як влаштований BitLocker?
Про надійність BitLocker не слід судити з репутації AES. Популярний стандарт шифрування може і не мати відверто слабких місць, А ось його реалізації в конкретних криптографічних продуктах ними часто рясніють. Повний код технології BitLocker компанія Microsoft не розкриває. Відомо лише, що в різних версіях Windows вона базувалася на різних схемах, а зміни не коментувалися. Більше того, у збірці 10586 Windows 10 він просто зник, а через два білди з'явився знову. Проте про все по порядку.
Перша версія BitLocker використала режим зчеплення блоків шифртексту (CBC). Вже тоді були очевидні його недоліки: легкість атаки за відомим текстом, слабка стійкість до атак на кшталт підміни тощо. Тому в Microsoft одразу вирішили посилити захист. Вже до Vista до схеми AES-CBC було додано алгоритм Elephant Diffuser, що утрудняє пряме порівняння блоків шифртексту. З ним однакові вміст двох секторів давало після шифрування одним ключем зовсім різний результат, що ускладнювало обчислення загального патерну. Однак сам ключ за умовчанням використовувався короткий – 128 біт. Через адміністративні політики його можна подовжити до 256 біт, але чи це варто робити?
Для користувачів після зміни ключа зовні нічого не зміниться - ні довжина паролів, що вводяться, ні суб'єктивна швидкість виконання операцій. Як і більшість систем повнодискового шифрування, BitLocker використовує кілька ключів... і жоден користувач не бачать. Ось принципова схема BitLocker.
- При активації BitLocker за допомогою генератора псевдовипадкових чисел створюється основна бітова послідовність. Це ключ шифрування тому - FVEK (full volume encryption key). Саме їм відтепер шифрується вміст кожного сектора.
- У свою чергу, FVEK шифрується за допомогою іншого ключа – VMK (volume master key) – і зберігається у зашифрованому вигляді серед метаданих томів.
- Сам VMK теж шифрується, але вже різними способамина вибір користувача.
- На нових материнських платах ключ VMK за умовчанням шифрується за допомогою ключа SRK (storage root key), який зберігається в окремому криптопроцесорі – довіреному модулі (TPM, trusted platform module). Користувач не має доступу до вмісту TPM і унікальний для кожного комп'ютера.
- Якщо окремого чіпа TPM на платі немає, то замість SRK для шифрування ключа VMK використовується введений користувачем пін-код або USB-Flash-накопичувач, що підключається за запитом, з попередньо записаною на ньому ключовою інформацією.
- Додатково до TPM або флешки можна захистити VMK ключем паролем.
Така загальна схемаРобота BitLocker зберігалася і в наступних випусках Windows аж до теперішнього часу. Однак способи генерації ключів та режими шифрування в BitLocker змінювалися. Так, у жовтні 2014 року Microsoft по-тихому прибрала додатковий алгоритм Elephant Diffuser, залишивши лише схему AES-CBC із її відомими недоліками. Спочатку про це не було зроблено жодних офіційних заяв. Людям просто видали ослаблену технологію шифрування з колишньою назвою під виглядом поновлення. Туманні пояснення цього кроку були вже після того, як спрощення в BitLocker помітили незалежні дослідники.
Формально відмова від Elephant Diffuser була потрібна для забезпечення відповідності Windows вимогам федеральних стандартівобробки інформації США (FIPS), однак один аргумент спростовує цю версію: Vista та Windows 7, у яких використовувався Elephant Diffuser, без проблем продавалися в Америці.
Ще одна уявна причина відмови від додаткового алгоритму - відсутність апаратного прискорення для Elephant Diffuser і втрата в швидкості при його використанні. Однак у колишні роки, коли процесори були повільнішими, швидкість шифрування чомусь влаштовувала. Та й той самий AES широко застосовувався ще до того, як з'явилися окремі набори команд та спеціалізовані чіпи для його прискорення. Згодом можна було зробити апаратне прискорення і для Elephant Diffuser або хоча б надати клієнтам вибір між швидкістю та безпекою.
Реалістичнішою виглядає інша, неофіційна версія. "Слон" заважав співробітникам, яким хотілося витрачати менше зусиль при розшифровці чергового диска, а Microsoft охоче взаємодіє з органами влади навіть у тих випадках, коли їхні запити не цілком законні. Побічно підтверджує теорію змови і те що, що до Windows 8 під час створення ключів шифрування в BitLocker застосовувався вбудований у Windows генератор псевдовипадкових чисел. У багатьох (якщо не в усіх) випусках Windows це був Dual_EC_DRBG - «криптографічний стійкий ГПСЧ», розроблений Агентством національної безпеки США і що містить ряд закладених у нього вразливостей.
Зрозуміло, таємне ослаблення вбудованого шифрування викликало сильну хвилю критики. Під її тиском Microsoft знову переписала BitLocker, замінивши нові випуски Windows ГПСЧ на CTR_DRBG. Додатково у Windows 10 (починаючи зі складання 1511) схемою шифрування за умовчанням стала AES-XTS, імунна до маніпуляцій із блоками шифртексту. У останніх зборках"десятки" були усунені й інші відомі недоліки BitLocker, але головна проблема, як і раніше, залишилася. Вона настільки абсурдна, що робить безглуздими решту нововведень. Йдеться принципи управління ключами.
Завдання дешифрування дисків BitLocker полегшує ще й те, що в Microsoft активно просувають альтернативний методвідновлення доступу до даних через Data Recovery Agent. Сенс «Агента» у цьому, що він шифрує ключі шифрування всіх накопичувачів межах мережі підприємства єдиним ключем доступу. Отримавши його, можна розшифрувати будь-який ключ, а значить, і будь-який диск, який використовується в тій же компанії. Зручно? Так, особливо для злому.
Ідея використовувати один ключ для всіх замків вже скомпрометувала себе багаторазово, проте до неї продовжують повертатися в тій чи іншій формі задля зручності. Ось як записав Ральф Лейтон спогади Річарда Фейнмана про один характерний епізод його роботи над проектом «Манхеттен» у Лос-Аламоській лабораторії: «…я відкрив три сейфи – і всі три однією комбінацією. Я вділив їх усіх: відкрив сейфи з усіма секретами атомної бомби- технологією отримання плутонію, описом процесу очищення, відомостями про те, скільки потрібно матеріалу, як працює бомба, як виходять нейтрони, як влаштована бомба, які її розміри, - словом, усе, що знали в Лос-Аламосі, всю кухню!» .
BitLocker чимось нагадує пристрій сейфів, описаний в іншому фрагменті книги «Ви, звичайно, жартуєте, містере Фейнман!». Найбільший сейф надсекретної лабораторії мав ту саму вразливість, що й проста шафка для документів. «…Це був полковник, і в нього був набагато хитріший, дводверніший сейф з великими ручками, які витягували з рами чотири сталеві стрижні товщиною три чверті дюйми. Я оглянув задню сторону однієї з значних бронзових дверей і виявив, що цифровий лімб з'єднаний з маленьким замочком, який виглядав так само, як і замок моєї шафи в Лос-Аламосі. Було очевидно, що система важелів залежить від того ж маленького стрижня, який замикав шафи для документів. Зображуючи якусь діяльність, я почав навмання крутити лімб. Через дві хвилини – клац! – сейф відкрився. Коли дверцята сейфа або верхній ящик шафи для документів відчинені, дуже легко знайти комбінацію. Саме це я зробив, коли Ви читали мій звіт лише для того, щоб продемонструвати Вам небезпеку».
Криптоконтейнери BitLocker власними силами досить надійні. Якщо вам принесуть невідомо звідки флешку, зашифровану BitLocker To Go, то ви навряд чи розшифруєте її за прийнятний час. Однак у реальному сценарії використання зашифрованих дисків та знімних носіїв повно вразливостей, які легко використовуватиме обхід BitLocker.
Вразливості BitLocker
Напевно, ви помітили, що при першій активації Бітлокер доводиться довго чекати. Це не дивно – процес посекторного шифрування може зайняти кілька годин, адже навіть прочитати всі терабайтні блоки HDD швидше не вдається. Однак відключення BitLocker відбувається практично миттєво – як же так?
Справа в тому, що при відключенні Бітлокер не розшифровує дані. Всі сектори залишаться зашифрованими ключем FVEK. Просто доступ до цього ключа більше не обмежуватиметься. Усі перевірки відключаться, а VMK залишиться записаним серед метаданих у відкритому вигляді. При кожному включенні комп'ютера завантажувач ОС зчитуватиме VMK (вже без перевірки TPM, запиту ключа на флешці або пароля), автоматично розшифровуватиме ним FVEK, а потім і всі файли в міру звернення до них. Для користувача все буде виглядати як повна відсутність шифрування, але уважні можуть помітити незначне зниження швидкодії дискової підсистеми. Точніше - відсутність збільшення швидкості після відключення шифрування.
Цікаво у цій схемі та інше. Незважаючи на назву (технологія повнодискового шифрування), частина даних при використанні BitLocker все одно залишається незашифрованою. У відкритому вигляді залишаються MBR і BS (якщо диск не був проініціалізований в GPT), пошкоджені сектори і метадані. Відкритий завантажувач дає простір фантазії. У псевдозбійних секторах зручно ховати й іншу малечу, а метадані містять багато всього цікавого, у тому числі копії ключів. Якщо бітлокер активний, то вони будуть зашифровані (але слабше, ніж FVEK шифрує вміст секторів), а якщо деактивований, то просто будуть лежати у відкритому вигляді. Це все потенційні вектори атаки. Потенційні вони тому, що, крім них, є набагато простіші й універсальніші.
Ключ відновлення Bitlocker
Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення, із якими пов'язаний ще один популярний вектор атаки. Користувачі бояться забути свій пароль та втратити доступ до системи, а Windows сама рекомендує їм зробити аварійний вхід. Для цього майстер шифрування BitLocker на останньому етапіпропонує створити ключ відновлення. Відмову від його створення не передбачено. Можна тільки вибрати один з варіантів експорту ключа, кожен з яких дуже вразливий.
У налаштуваннях за замовчуванням ключ експортується як простий текстовий файл із впізнаваним ім'ям: "Ключ відновлення BitLocker #", де замість # пишеться ідентифікатор комп'ютера (так, прямо в імені файлу!). Сам ключ має такий вигляд.
Якщо ви забули (або ніколи не знали) заданий у BitLocker пароль, просто пошукайте файл з ключем відновлення. Напевно, він буде збережений серед документів поточного користувача або на його флешці. Можливо, він навіть надрукований на листку, як це рекомендує зробити Microsoft.
Для швидкого виявлення ключа відновлення зручно обмежити пошук розширення (txt), дату створення (якщо знаєте, коли приблизно могли включити BitLocker) і розмір файлу (1388 байт, якщо файл не редагували). Знайшовши ключ відновлення, скопіюйте його. З ним ви зможете будь-якої миті обійти стандартну авторизацію в BitLocker. Для цього достатньо натиснути Esc та ввести ключ відновлення. Ви затримаєтеся без проблем і навіть зможете змінити пароль у BitLocker на довільний, не вказуючи старий!
Розкриваємо BitLocker
Реальна криптографічнасистема - це компроміс між зручністю, швидкістю та надійністю. У ній треба передбачити процедури прозорого шифрування з дешифруванням на льоту, методи відновлення забутих паролів та зручної роботи з ключами. Все це послаблює будь-яку систему, на яких би стійких алгоритмах вона не базувалася. Тому необов'язково шукати вразливості безпосередньов алгоритмі Rijndael або у різних схемах стандарту AES. Набагато простіше їх знайти саме у специфіці конкретної реалізації.
У випадку Microsoft такої "специфіки" вистачає. Наприклад, копії ключів BitLocker за замовчуванням надсилаються до SkyDrive і депонуються в Active Directory.
Ну, раптом ви їх втратите... або агент Сміт спитає. Клієнта незручно змушувати чекати, а вже агента – тим більше. З цієї причини порівняння криптостійкості AES-XTS і AES-CBC з Elephant Diffuser відходить на другий план, як і рекомендації збільшити довжину ключа. Яким би довгим він не був, атакуючий легко отримає його в незашифрованомувигляді.
Отримання депонованих ключів з облікового запису Microsoft або AD - основний спосіб відкриття BitLocker . Якщо користувач не реєстрував облік у хмарі Microsoft, а його комп'ютер не знаходиться в домені, то все одно знайдуться способи витягти ключі шифрування. Під час звичайної роботи їх відкриті копії завжди зберігаються в оперативній пам'яті (інакше не було б «прозорого шифрування»). Це означає, що вони доступні в її дампі та файлі глибокого сну.
Чому вони взагалі там зберігаються?
Як це не смішно - для зручності. BitLocker розроблявся для захисту лише від офлайнових атак. Вони завжди супроводжуються перезавантаженням та підключенням диска до іншої ОС, що призводить до очищення оперативної пам'яті. Однак у налаштуваннях за замовчуванням ОС виконує дамп оперативної пам'яті при виникненні збою (який можна спровокувати) і записує весь її вміст у файл глибокого сну при кожному переході комп'ютера в глибокий сон. Тому, якщо у Windows з активованим BitLocker нещодавно виконувався вхід, є хороший шанс отримати копію ключа VMK у розшифрованому вигляді, а з його допомогою розшифрувати FVEK і потім самі дані по ланцюжку.
Перевіримо? Всі описані вище методи злому BitLocker зібрані в одній програмі – Forensic Disk Decryptor, розробленій у вітчизняній компанії «Елкомсофт». Вона вміє автоматично витягувати ключі шифрування та монтувати зашифровані томи як віртуальні диски, виконуючи їх розшифровку на льоту.
Додатково в EFDD реалізований ще один нетривіальний спосіб отримання ключів-атакою через порт FireWire, яку доцільно використовувати в тому випадку, коли немає можливості запускати свій софт на комп'ютері, що атакується. Саму програму EFDD ми завжди встановлюємо на свій комп'ютер, а на намагаємося обійтися мінімально необхідними діями.
Наприклад просто запустимо тестову систему з активним BitLocker і «непомітно» зробимо дамп пам'яті. Так ми змоделюємо ситуацію, коли колега вийшов на обід і не заблокував свій комп'ютер. Запускаємо RAM Capture і менше ніж за хвилину отримуємо повний дамп у файлі з розширенням.mem та розміром, що відповідає обсягу оперативної пам'яті, встановленої на комп'ютері жертви.
Чим робити дамп - по великому рахункубез різниці. Незалежно від розширення це вийде бінарний файл, який буде автоматично проаналізований EFDD у пошуках ключів.
Записуємо дамп на флешку або передаємо його по мережі, після чого сідаємо за свій комп'ютер та запускаємо EFDD.
Вибираємо опцію «Вилучити ключі» і як джерело ключів вводимо шлях до файлу з дампом пам'яті.
BitLocker - типовий кріптоконтейнер, на зразок PGP Disk або TrueCrypt. Ці контейнери вийшли досить надійними самі по собі, але клієнтські програми для роботи з ними під Windows смітять ключами шифрування в оперативній пам'яті. Тому в EFDD реалізовано сценарій універсальної атаки. Програма миттєво шукає ключі шифрування від усіх трьох видів популярних криптоконтейнерів. Тому можна залишити зазначеними всі пункти - раптом жертва потай використовує або PGP!
За кілька секунд Elcomsoft Forensic Disk Decryptor показує всі знайдені ключі у своєму вікні. Для зручності їх можна зберегти у файл - це знадобиться надалі.
Тепер BitLocker більше не завада! Можна провести класичну офлайнову атаку – наприклад, витягнути жорсткий дискта скопіювати його вміст. Для цього просто підключіть його до свого комп'ютера та запустіть EFDD у режимі "розшифрувати або змонтувати диск".
Після вказівки шляху до файлів із збереженими ключами EFDD на ваш вибір виконає повне розшифрування тома або відразу відкриє його як віртуальний диск. У разі файли розшифровуються у міру звернення до них. У будь-якому варіанті жодних змін до оригінального тому не вноситься, так що наступного дня можеш повернути його як ні в чому не бувало. Робота з EFDD відбувається безвісти і тільки з копіями даних, а тому залишається непомітною.
BitLocker To Go
Починаючи з "сімки" у Windows з'явилася можливість шифрувати флешки, USB-HDD та інші зовнішні носії. Технологія під назвою BitLocker To Go шифрує знімні накопичувачі так само, як і локальні диски. Шифрування включається відповідним пунктом у контекстному меню "Провідника".
Для нових накопичувачів можна використовувати шифрування тільки зайнятої області - все одно вільне місце поділу забите нулями і приховувати там нічого. Якщо накопичувач вже використовувався, то рекомендується включити на ньому повне шифрування. Інакше місце, позначене як вільне, залишиться незашифрованим. Воно може містити у відкритому вигляді недавно видалені файли, які ще не були перезаписані.
Навіть швидке шифрування тільки зайнятої області займає від кількох хвилин до кількох годин. Цей час залежить від обсягу даних, пропускної спроможності інтерфейсу, характеристик накопичувача та швидкості криптографічних обчислень процесора. Оскільки шифрування супроводжується стисненням, вільне місце на зашифрованому диску зазвичай дещо збільшується.
При наступному підключенні зашифрованої флешки до будь-якого комп'ютера з Windows 7 і вище, автоматично викличеться майстер BitLocker для розблокування диска. У «Провіднику» до розблокування вона буде відображатися як диск, закритий на замок.
Тут можна використовувати як вже розглянуті варіанти обходу BitLocker (наприклад, пошук ключа VMK у дампі пам'яті або файлі глибокого сну), так і нові, пов'язані з ключами відновлення.
Якщо ви не знаєте пароль, але вам вдалося знайти один із ключів (вручну або за допомогою EFDD), то для доступу до зашифрованої флешки є два основні варіанти:
- використовувати вбудований майстер BitLocker для безпосередньої роботи з флешкою;
- використовувати EFDD для повної розшифровки флешки та створення її посекторного образу.
Перший варіант дозволяє отримати доступ до записаних на флешці файлів, скопіювати або змінити їх, а також записати свої. Другий варіант виконується набагато довше (від півгодини), проте має переваги. Розшифрований посекторний образ дозволяє надалі виконувати більш тонкий аналіз файлової системи лише на рівні криміналістичної лабораторії. При цьому сама флешка вже не потрібна і може бути повернена без змін.
Отриманий образ можна відкрити відразу в будь-якій програмі, що підтримує формат IMA, або спочатку конвертувати в інший формат (наприклад, UltraISO).
Зрозуміло, крім виявлення ключа відновлення для BitLocker2Go, в EFDD підтримуються й інші методи обходу BitLocker. Просто перебирайте всі доступні варіанти поспіль, доки не знайдете ключ будь-якого типу. Інші (аж до FVEK) самі будуть розшифровані по ланцюжку, і ви отримаєте повний доступ до диска.
Висновок
Технологія повнодискового шифрування BitLocker відрізняється різними версіями Windows. Після адекватного налаштування вона дозволяє створювати криптоконтейнери, які теоретично можна порівняти за стійкістю з TrueCrypt або PGP. Однак вбудований у Windows механізм роботи з ключами зводить нанівець усі алгоритмічні хитрощі. Зокрема, ключ VMK, який використовується для дешифрування основного ключа BitLocker, відновлюється за допомогою EFDD за кілька секунд з депонованого дубліката, дампа пам'яті, файлу гібернації або атакою на порт FireWire.
Отримавши ключ, можна виконати класичну офлайнову атаку, непомітно скопіювати та автоматично розшифрувати всі дані на «захищеному» диску. Тому BitLocker доцільно використовувати лише разом з іншими засобами захисту: шифрованою файловою системою (EFS), службою управління правами (RMS), контролем запуску програм, контролем встановлення та підключення пристроїв, а також жорсткішими локальними політиками та загальними заходами безпеки.
У статті використано матеріали сайту:
І захистити конфіденційні дані. Встановили пароль за допомогою стандартної програми Windows - BitLocker. Це дуже надійна система шифрування, яка дозволяє запобігти несанкціонованому отриманню інформації з вашої флешки. Якщо ви бажаєте поставити пароль на флешку, то я вам рекомендував би саме цей спосіб.
Але багато користувачів ставлять пароль на флешку, яка є єдиною в будинку і застосовується для вирішення універсальних завдань. Хтось програє з неї музику в машині, хтось дивиться фільми на телевізорі або вставляє її в ігрову консоль. Тому після шифрування даних за допомогою BitLocker усі ці дії будуть неможливі. Отже, з'явиться необхідність відключити BitLocker і розблокувати свою флешку. Але як відключити BitLocker і чи можна це зробити вбудованими засобами Windows?
Так, відключити шифрування даних на флешці можна і зробити це досить легко. І якщо ви не знаєте, як це зробити, я дам вам просту і зрозумілу інструкцію. Дані перед розшифруванням не потрібно видаляти або переносити на комп'ютер, всі вони залишаться на флешці, просто буде знято захист.
Як вимкнути BitLocker:
- 1Вставте флешку в комп'ютер, відкрийте її та введіть пароль, щоб отримати доступ до вмісту. Тепер потрібно зайти до Панелі керування. Можете зробити це через пуск, а можете затиснути кнопки win+R і в рядку, що з'явився, введіть команду «control».
- На панелі керування нам необхідно перейти в меню «Система та безпека»
- Тепер необхідно знайти та вибрати пункт "Шифрування диска BitLocker"
- На цьому етапі вам необхідно знайти флешку, на якій встановлений захист у вигляді пароля. Після цього ви побачите пункт «Вимкнути BitLocker», його потрібно вибрати.
- Зачекайте, поки закінчиться розшифровка диска. Процедура може тривати багато часу, все залежить від кількості файлів на диску. Після закінчення з флешки буде знято захист, і ви можете використовувати її в штатному режимі.
Нікого зовсім не дивує той факт, що на персональному комп'ютері може зберігатися суто особиста інформація або корпоративні дані, що становлять підвищену цінність. Небажано, якщо такі відомості потраплять до рук сторонніх осіб, які можуть скористатися ними, провокуючи серйозні проблеми у колишнього власника ПК.
Залежно від обставин Bitlocker можна активувати та деактивувати.
Саме з цієї причини багато користувачів висловлюють бажання зробити якісь дії, орієнтовані на обмежений доступ до всіх файлів, що зберігаються на комп'ютері. Така процедура справді існує. Виконавши певні маніпуляції, ніхто зі сторонніх, не знаючи пароль або ключ до його відновлення, не зможе отримати доступ до документів.
Захистити важливу інформацію від ознайомлення сторонніми особами вдається, якщо шифрувати диск Bitlocker. Такі дії допомагають забезпечити повну конфіденційність документам не лише на конкретному ПК, а й у тому випадку, коли кимось жорсткий диск вилучено та вставлено до іншого персонального комп'ютера.
Алгоритм включення та вимкнення функції
Шифрування диска Bitlocker здійснюється на Windows 7, 8 і 10, але не всіх версій . Передбачається, що на материнській платі, якою оснащений конкретний комп'ютер, на якому користувач бажає провести шифрування, має бути модуль TPM.
ПОРАДА. Не засмучуйтесь, якщо ви точно знаєте, що такого спеціального модуля на вашій материнці немає. Існують деякі хитрощі, що дозволяють «ігнорувати» таку вимогу, відповідно встановлювати і без такого модуля.
Перш ніж розпочати процес шифрування всіх файлів, важливо врахувати, що ця процедура досить тривала. Точну кількість часу назвати заздалегідь важко. Все залежить від того, який обсяг інформації є на жорсткому диску. У процесі шифрування Windows 10 продовжуватиме працювати, але навряд чи своєю працездатністю зможе порадувати вас, оскільки показник продуктивності буде значно знижений.
Увімкнення функції
Якщо на вашому комп'ютері встановлено Windows 10, при цьому ви відчуваєте активне бажання увімкнути шифрування даних, скористайтеся нашими порадами, щоб вам не тільки все вдалося, але і шлях реалізації такого бажання не був скрутним. Спочатку знайдіть на своїй клавіатурі клавішу Win, іноді вона супроводжується піктограмою Windows, затисніть її, одночасно з нею затисніть клавішу R. Затискання цих двох клавіш одночасно викликає відкриття вікна "Виконати".
У вікні, ви відкриєте порожній рядок, в який вам потрібно ввести «gpedit.msc». Після натискання на кнопку «Ok» відкриється нове вікно «Редактор локальної групової політики». У цьому вікні нам доведеться пройти невеликий шлях.
З лівого боку вікна знайдіть і відразу ж клацніть по рядку «Конфігурація комп'ютера», у підменю, що відкрилося, знайдіть «Адміністративні шаблони», а потім в черговому підменю, що відкрилося, перейдіть на параметр, розташований на першому місці в списку і іменований «Компоненти Windows».
Тепер переведіть свій погляд на правий біквікна, у ньому знайдіть "Шифрування диска Bitlocker", подвійним клацанням клавіші мишки активуйте його. Тепер відкриється новий список, у якому вашою черговою метою має стати рядок «Диски операційної системи». Клікніть також і по цьому рядку, вам залишається зробити ще один перехід, щоб наблизитися до вікна, де буде здійснюватися безпосереднє налаштування Bitlocker, що дозволяє його включити, чого вам так хочеться.
Знайдіть рядок «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску», розкрийте цей параметр подвійним клацанням. У відкритому вікні ви знайдете бажане слово "Увімкнути", біля якого поруч виявите чекбокс, у ньому вам потрібно поставити специфічну позначку у вигляді галочки своєї згоди.
Трохи нижче у цьому вікні знаходиться підрозділ «Платформи», в ньому вам потрібно встановити галочку в чекбоксі біля використання BitLocker без спеціального модуля. Це дуже важливо, особливо якщо у Windows 10 немає модуля TPM.
Налаштування бажаної функції у цьому вікні завершується, тому його можна закрити. Тепер наведіть курсор мишки на значок Windows, тільки клацніть по ньому правою клавішею, що дозволить з'явитися додатковому підменю. У ньому ви знайдете рядок "Панель управління", перейдіть на нього, а потім на наступний рядок "Шифрування диска Bitlocker".
Не забудьте позначити, де ви хочете здійснити шифрування. Це можна зробити і на жорсткому, і на знімному диску. Після вибору бажаного об'єкта натисніть клавішу Включити Bitlocker.
Тепер Windows 10 запустить автоматичний процес, зрідка привертаючи вашу увагу, пропонуючи конкретизувати ваші бажання. Безперечно, найкраще перед виконанням такого процесу зробити резервну копію. В іншому випадку при втраті пароля та ключа до нього навіть власник ПК не зможе відновити інформацію.
Далі розпочнеться процес підготовки диска до подальшого шифрування. Під час виконання цього процесу не дозволяється вимикати комп'ютер, оскільки такою дією можна завдати серйозної шкоди операційній системі. Після такого збою ви просто не зможете запустити ваш Windows 10, відповідно замість шифрування вам доведеться встановити нову операційну систему, витративши зайвий час.
Як тільки підготовка диска успішно завершується, починається саме налаштування диска до шифрування. Вам буде запропоновано ввести пароль, який згодом забезпечує доступ до зашифрованих файлів. Також буде запропоновано придумати та ввести ключ відновлення. Обидва ці важливі компоненти найкраще зберегти в надійному місці, найкраще роздрукувати. Дуже безглуздо зберігати пароль та ключ до відновлення на самому ПК.
У процесі шифрування система може поцікавитися у вас, яку частину саме ви хочете зашифрувати. Найкраще такій процедурі повністю піддати весь простір диска, хоча є варіант зашифрувати тільки зайнятий простір.
Залишається вибрати такий варіант дій, як Новий режим шифрування, а після цього запустити автоматичну перевірку операційної системи BitLocker. Далі система продовжить процес, після чого до вас надійде пропозиція перезавантажити ваш ПК. Безумовно, виконайте цю вимогу, здійсніть перезавантаження.
Після чергового запуску Windows 10 ви переконаєтеся, що доступ до документів без введення пароля буде неможливим. Процес шифрування буде продовжуватися, контролювати його можна при натисканні на значок BitLocker, що знаходиться на панелі повідомлень.
Вимкнення функції
Якщо з якихось причин файли на вашому комп'ютері перестали представляти підвищену важливість, а вам не дуже подобається щоразу вводити пароль, щоб отримати доступ до них, тоді пропонуємо вам просто вимкнути функцію шифрування.
Щоб виконати такі дії, перейдіть до панелі повідомлень, знайдіть там значок BitLocker, клацніть по ньому. У нижній частині відкритого вікна ви знайдете рядок «Керування BitLocker», натисніть на нього.
Тепер система запропонує вам вибрати, яка дія для вас є кращою:
- провести архівацію ключа відновлення;
- змінити пароль доступу до зашифрованих файлів;
- видалити раніше встановлений пароль;
- вимкнути BitLocker.
Безумовно, якщо ви вирішили відключити BitLocker, вам слід вибрати останній варіант. На екрані відразу виникне нове вікно, в якому система забажає переконатися, що ви дійсно бажаєте вимкнути функцію шифрування.
УВАГА. Як тільки ви натиснете кнопку «Вимкнути BitLocker», відразу почнеться процес дешифрування. На жаль, і цей процес не характеризується високою стрімкістю, тому вам однозначно доведеться налаштуватися на деякий час, в ході якого вам просто доведеться чекати.
Звичайно, якщо вам потрібно користуватися комп'ютером, ви можете собі це дозволити, ніякої категоричної заборони на це немає. Однак слід налаштувати себе на те, що продуктивність ПК в цей момент може бути вкрай низькою. Зрозуміти причину такої повільності нескладно, адже операційній системі доводиться розблокувати величезний обсяг інформації.
Отже, маючи бажання зашифрувати або дешифрувати файли на комп'ютері, достатньо ознайомитися з нашими рекомендаціями, після цього без поспішності виконувати кожен крок позначеного алгоритму, а після завершення порадіти досягнутому результату.
Зашифрувати жорсткий диск, допускати до нього лише за паролем чи USB-носії з ключем запуску і блокувати доступ за будь-якої спроби зовнішнього впливу. Усе це , а разі шифруванням зовнішніх носіїв, необхідно звертатися до . Ми з цим розібралися. Але що робити, якщо ви забули пароль? Що робити, якщо Ви втратили USB-носій із ключем запуску? Що робити, якщо потрібно змінити завантажувальне середовище комп'ютера, що унеможливить (з метою безпеки) читання з жорсткого диска? Або якщо узагальнити все це, як відновити BitLocker?
Режим відновлення BitLocker
У випадках, коли:
- Змінено завантажувальне середовище, зокрема, змінено один із завантажувальних файлів Windows.
- Вимкнено або видалено.
- Здійснено завантаження без надання TPM, PIN-коду або USB-носія з ключем запуску.
- Том з операційною системою Windows підключено до іншого комп'ютера.
Це комп'ютер йде в режим відновлення BitLocker. У таких випадках необхідно згадати той момент, коли Ви шифрували жорсткий диск. Під час налаштування шифрування було вікно, що надає можливість зберегти ключ відновлення BitLocker у різний спосіб: у файл, роздрукувати і так далі. Ключ відновлення записаний просто, в.txt файл, звідки Ви з легкістю можете прочитати та ввести цей ключ у вікно відновлення BitLocker. У разі введення правильного ключа відновлення комп'ютер завантажиться в штатному режимі.
Ці дії належать до втрати ключа доступу до жорсткого диска. Якщо Вам потрібно змінити завантажувальне середовище, щось змінити в BIOS, Ви можете з вікна Шифрування диска BitLockerу Windows тимчасово вимкнути BitLocker. А після модернізації завантажувального середовища включити його заново. Все досить просто.
У випадку із зашифрованими знімними носіями, Вас попросять ввести ключ відновлення прямо у вікні Провідника, одразу після того, як Ви дасте знати, що забули або втратили ключ доступу. Тому хотілося б сказати: зберігайте ваші ключі відновлення дбайливо!
Утиліта manage-bde.exe
Ми ознайомилися з технологією BitLocker, обговорили її можливості та розглянули спосіб управління ним. Цей спосібДосить простий - це використання інтерфейсу Провідника. Сьогодні в студії інший спосіб управління BitLocker - утиліта manage-bde.exe, на якій ми закінчимо наше знайомство з технологією BitLocker.
Сподіваюся Ви здогадалися, що новий спосіб не буде схожим на попередній. І я підказав, що відмінність полягає в інтерфейсі. Так що думаю Ви здогадалися, що manage-bde.exe- Це утиліта командного рядка.
Команди Manage-BDE.exe
За допомогою різних параметрів, які я наведу нижче, можна налаштувати роботу BitLocker так, як захочете. Функціонал даної утиліти ідентичний функціоналу Провідника для роботи з BitLocker`ом. Ознайомимося із ним.
manage-bde.exe -status
Відображає стан BitLocker.
manage-bde.exe -on
Шифрує том і включає BitLocker.
manage-bde.exe -off
Дешифрує том і вимикає BitLocker.
manage-bde.exe -pause/-resume
Зупиняє або відновлює шифрування чи дешифрування.
manage-bde.exe -lock
Забороняє доступ до даних, зашифрованих за допомогою BitLocker.
manage-bde.exe -unlock
Дозволяє доступ до даних, зашифрованих за допомогою BitLocker.
manage-bde.exe -setidentifier
Настроювання ідентифікатора тома.
manage-bde.exe -changepin
Змінює пін-код.
manage-bde.exe -changepassword
Змінює пароль.
manage-bde.exe -changekey
Змінює ключ запуску тома.
Усі дані команди повинні бути виконані у вікні командного рядка, відкритого з правами адміністратора. Якщо потрібна якась додаткова довідка за якоюсь командою, наберіть цю команду
manage-bde.exe /?
На даний запит Ви отримаєте повну довідку по даній команді із заданими параметрами, а також кілька прикладів роботи. На цьому все, використовуйте технологію BitLocker на здоров'я і не забувайте, що можливо доведеться відновлювати BitLocker.
Щоб зашифрувати ваші особисті дані, можна використовувати багато методів, а конкретніше, програмне забезпеченнясторонніх компаній. Але для чого, якщо є BitLocker від Microsoft. На жаль, у деяких виникають проблеми відновлення файлів після шифрування через BitLocker. При шифруванні BitLocker вам потрібно створити спеціальний ключ відновлення, його потрібно зберегти, причому не важливо, де головне надійно. Ви можете роздрукувати або зберегти його за допомогою облікового запису, але не локального, а від Microsoft. Якщо диск не розблокується сам, то потрібно використовувати цей ключ, інакше ніяк.
Але ж бувають і випадки, коли ключ загублений. Що тоді робити? Іноді можна забути пароль від входу в систему, що вкрай ускладнює процес розшифровки. Спробуймо всі ці проблеми вивчити і зрозуміти, як вчинити. Ця стаття повинна допомогти вам у вирішенні проблем з BitLocker. .
Небагато статей про шифрування даних:
Що робити з ключем відновлення, як бути, якщо він загублений?
Отже, людський фактор така штука, що коли справа стосується пам'яті, яка в певний момент дуже необхідна — вона нас підводить. Ось забули ви, куди поділи ключ відновлення, тоді згадайте, яким чином ви його зберігали у BitLocker. Оскільки утиліта пропонує три способи збереження ключа – друк, збереження файлу та збереження в обліковий запис. Ви у будь-якому випадку повинні були вибрати один із цих способів.
Отже, якщо ви зберегли ключ в обліковому записі, то вам потрібно зайти в OneDrive з браузера і увійти в розділ "Ключі відновлення BitLocker". Входимо у систему зі своїми обліковими даними. Ключ буде точно там, за умови, що він був вами туди завантажений. Якщо його немає, може ви зберігали його в іншому обліковому записі?
Буває користувач створює не один ключ, тоді можна визначити конкретний за допомогою ідентифікатора в утиліті BitLocker і порівняти його з тим, що від ключа, якщо збігаються, то це вірний ключ.
Якщо комп'ютер не хоче завантажуватися в систему через BitLocker?
Припустимо, ви шифрували системний диск і виникла проблема, коли система не хоче розблокуватися, то ймовірно виникла якась неполадка з модулем ТРМ. Він повинен автоматично розблокувати систему. Якщо це дійсно так, то перед вашими очима постане картинка, де сказано: і попросять запровадити ключ відновлення. А якщо його у вас немає, бо втратили, то увійти до системи навряд чи вдасться. Швидше за все допоможе лише переустановка системи. Поки що я не в курсі, як можна розблокувати BitLocker без ключа, але намагатимуся вивчити це питання.
Як розблокувати зашифровані диски BitLocker у Windows?
За наявності парочки розділів або зовнішніх жорстких дисків, зашифрованих за допомогою BitLocker, але потрібно розблокувати, я спробую допомогти.
Підключіть пристрій до комп'ютера (якщо зовнішній). Запустіть «Панель управління», можна з пошуку, та перейдіть до розділу «Система та безпека». Знайдіть там розділ "Шифрування диска BitLocker". До речі, цю операцію можна провести тільки на версіях PRO, майте це на увазі.
Знайдіть серед списку зашифрований диск, який необхідно розшифрувати. Натисніть поруч опції «Розблокувати диск».
Тепер вводимо дані для розблокування, які потрібні (ПІН-код або пароль). Немає цих даних? Ви не пам'ятаєте їх? Тоді тиснемо "Додаткові параметри"і вибираємо пункт.
Як висновок я хочу сказати одну річ. При втраті пароля або PIN-коду відновити доступ до накопичувача можливо за допомогою ключа відновлення, це 100%. Його ви повинні зберігати у надійному місці та завжди пам'ятати, де він знаходиться. Якщо ви втратили цей ключ, можете попрощатися зі своїми даними. Поки я не знайшов методу, де можна розшифрувати BitLocker без ключа.