BitLocker Drive Encryption з підтримкою ТРМ

Наша взаимовыгодная связь https://banwar.org/

Нова функція Windows Vista в зв'язці з апаратною підтримкою

Кожен день приносить нові і нові повідомлення про випадки крадіжки ноутбуків. Сьогодні складно знайти організацію, в якій би не замислювалися про необхідність впровадження строгих правил для захисту інформації на жорстких дисках ноутбуків.

В середньому організації втрачають в рік 1-2% ноутбуків. У багатьох випадках вартість втрати самих пристроїв для організації істотно нижче вартості втраченої інформації. А вилучивши жорсткий диск з ноутбука і підключивши його до іншого комп'ютера для зчитування, легко отримати доступ до незахищеної інформації. Що ж робити? Єдиним виходом з ситуації, що склалася є шифрування всього жорсткого диска цілком.

Для цього існує маса програмних і програмно-апаратних рішень. Однак тепер одне з таких засобів, здійснює шифрування всього диска, буде поставлятися разом з новою операційною системою компанії Microsoft - Windows Vista. Ця функція включена до складу двох найбільш дорогих і багатофункціональних версій операційної системи, Vista Enterprise і Vista Ultimate. Вони призначені для тієї категорії користувачів, яка найбільше страждає від крадіжок і втрат зберігається на ноутбуках інформації.

Спільно з апаратно реалізованої мікросхемою TPM (Trusted Platform Module), яка встановлюється на материнській платі, функція BitLocker здійснює шифрування всього жорсткого диска комп'ютера. При цьому використовується класична модель двофакторної аутентифікації (пароль, що зберігається в ТРМ, і PIN-код для доступу до мікросхеми). Така схема досить стійка до злому, хоча, безсумнівно, можливі атаки на PIN-код шляхом простого перебору (метод «грубої сили», brute force).

Хоча ТРМ підтримує багато різних функцій захисту, BitLocker використовує тільки деякі з них.

Захист файлів за допомогою BitLocker

Включення шифрування диска BitLocker допоможе захистити всі файли, що зберігаються на диску, на якому встановлена ​​система Windows.

Слід розуміти, що на відміну від EFS (Encrypted File System), що дозволяє шифрувати окремі файли, BitLocker шифрує весь системний розділ цілком, в тому числі і системні файли Windows Vista, які необхідні для завантаження комп'ютера та реєстрації в системі. BitLocker може захищати тільки файли, що зберігаються на диску, на якому встановлена ​​Windows. Що зберігаються на інших дисках файли можна захистити за допомогою EFS.

BitLocker автоматично зашифровує всі файли, що додаються в захищений розділ. Природно, файли будуть захищені тільки при зберіганні в захищеному розділі. При копіюванні на інший носій вони будуть розшифровані.

У тому випадку якщо при завантаженні комп'ютера BitLocker виявить загрозу безпеці (помилки диска, зміни BIOS, зміни файлів завантаження), розділ буде заблокований і для його розблокування потрібно пароль відновлення BitLocker. Не забудьте створити цей пароль при першому запуску BitLocker.

Варто згадати про те, що шифрування BitLocker можна в будь-який момент відключити, на час або назовсім, тобто розшифрувати вміст диска.

Що таке модуль ТРМ?

TPM (Trusted Platform Module) - мікросхема, призначена для реалізації основних функцій, пов'язаних із забезпеченням безпеки, головним чином з використанням ключів шифрування. Модуль ТРМ, як правило, встановлюється на материнській платі настільного або мобільного комп'ютера і пов'язаний з іншими компонентами за допомогою системної шини.

Комп'ютери, обладнані модулем ТРМ, можуть створювати криптографічні ключі та зашифровувати їх таким чином, що вони можуть бути розшифровані тільки за допомогою модуля ТРМ. Даний процес, який часто називають «приховуванням» ключа (wrapping key) або «прив'язкою» ключа (binding key), допомагає захистити ключ від розкриття. У кожному модулі TPM є головний прихований ключ, званий ключем кореневого сховища Storage Root Key (SRK), який зберігається в самому модулі TPM. Закрита частина ключа, створена в TPM, ніколи не стане доступна будь-якого компонента системи, програмного забезпечення, процесу або користувачеві.

Крім того, є можливість створювати ключі не тільки зашифрованими, а й прив'язаними до певної системної конфігурації. Такий тип ключа може бути розшифрований тільки на комп'ютері з відповідною конфігурацією. Таким чином, в поєднанні з BitLocker Drive Encryption можна забезпечити надійний захист даних.

При цьому, оскільки для роботи ТРМ використовується вбудоване програмне забезпечення та логічні мікросхеми, його робота не залежить від операційної системи, що забезпечує захист від її можливих несправностей.

Принцип дії BitLocker Drive Encryption заснований на механізмі шифрування з використанням алгоритму Advanced Encryption Standard (AES) з 256-розрядним ключем.

Це програмне забезпечення може бути використане з мікросхемою ТРМ версії 1,2 або вище. Разом з тим його можна застосовувати і на комп'ютерах, не оснащених ТРМ, однак для доступу до системи необхідно задіяти накопичувачі USB або пароль відновлення. Але в такому випадку ступінь захищеності залежатиме насамперед від правильних дій самого користувача. У даній статті ми розглянемо застосування BitLocker Drive Encryption з мікросхемою ТРМ. Використання BitLocker Drive Encryption на комп'ютерах без встановленої мікросхеми ТРМ розглянуто в статті « BitLocker Drive Encryption », Опублікованій в журналі Windows IT Pro / RE № 2 за 2007 р

підготовка

Для установки BitLocker необхідно розмітити жорсткий диск згідно із запропонованими вимогам, а саме:

1. Створити новий первинний розділ обсягом 1,5 Гбайт.

2. Зробити цей розділ активним.

3. Створити інший первинний розділ на останньому місці на жорсткому диску.

4. Відформатувати обидва розділу, використовуючи NTFS.

5. Встановити Windows Vista на більший з розділів.

Щоб виконати всі ці кроки, для початку слід запустити комп'ютер, використовуючи інсталяційний DVD з файлами Windows Vista. На екрані установки потрібно вибрати мову і натиснути System Recovery Options. У вікні System Recovery Options слід переконатися, що прапорець для позначки операційної системи не обраний. Для цього потрібно вибрати порожню область в списку операційних систем і натиснути Next. Далі необхідно запустити командний рядок і використовувати утиліту diskpart для створення розділу. Для цього в командному рядку треба набрати diskpart, вибрати disk 0 (select disk0) і ввести команду clean для видалення існуючих розділів на диску. Потім вказуємо наступні настройки:

• create partition primary size = 1500. Створюємо перший розділ на диску і призначаємо його первинним;

• assign letter = D. Надаємо цього розділу букву D;

• active. Робимо даний розділ активним;

• create partition primary size = ... Створюємо другий розділ на диску і призначаємо його первинним. Розмір диска встановлюємо максимально можливий;

• assign letter = C. Призначаємо цього розділу букву C;

• list volume. Перевіряємо всі розділи на диску.

Після цього набираємо Exit для виходу з утиліти diskpart і виконуємо форматування розділів З: і D:

Тепер у вікні System Recovery Options слід натиснути Alt + F4 для повернення в головне вікно програми установки, і залишається тільки встановити Windows Vista на більший з розділів.

Після виконання установки Windows Vista етап підготовки до запуску функції шифрування не закінчений, ми підійшли тільки до середини цієї процедури.

установка BitLocker

Для установки BitLocker на комп'ютер, обладнаний ТРМ з версією 1.2 і вище, необхідно виконати деякі додаткові дії з допомогою групових політик:

1. Натиснути кнопку Start і набрати gpedit.msc в рядку Start Search, а потім натиснути Enter.

2. У Group Policy Object Editor вказати Local Computer Policy-Administrative Templates-Windows Components-BitLocker Drive Encryption (див. Екран 1).

3. Двічі клацнути на Control Panel Setup: Enable Advanced Startup Options.

4. Вибрати режим Enabled (див. Екран 2).

5. Закрити Group Policy Object Editor. Щоб зміни в груповій політиці вступили в силу, потрібно натиснути Start і ввести gpupdate.exe / force в рядку Start Search. Тепер слід почекати завершення процесу застосування групових політик (див. Екран 3).

Далі необхідно увійти в панель управління, «Шифрування диска за допомогою BitLocker», і вибрати «Включити BitLocker».

Після цього з'явиться вікно, зображене на екрані 4.

Якщо ви хочете задіяти BitLocker і ТРМ з використанням PIN-коду, виберіть варіант «Запитувати PIN-код при запуску».

Після цього від вас буде потрібно задати PIN-код (екран 5). Довжина PIN-коду від 4 до 20 розрядів, причому можна використовувати тільки цифри.

Після завдання PIN-коду потрібно створити резервний пароль відновлення (екран 6).

Рекомендується створити пароль відновлення і зберігати його в безпечному місці, так як безпека вашого комп'ютера буде цілком залежати від місця зберігання пароля відновлення. Microsoft рекомендує мати кілька копій пароля відновлення. Однак при цьому необхідно розуміти, що в такому випадку вам доведеться гарантувати збереження всіх резервних копій пароля відновлення.

Після цього необхідно запустити сам процес шифрування томи (Екран 7).

До початку шифрування необхідно переконатися, що BitLocker зможе коректно прочитати ключі відновлення і шифрування. Для цього потрібно вставити USB-пристрій з паролем відновлення і виконати перезавантаження комп'ютера.

Для введення PIN-коду слід користуватися клавішами F1-F10, де цифрам від 1 до 9 відповідатимуть клавіші F1-F9, а цифрі 0 - F10.

Якщо перевірка пройшла нормально, з'явиться рядок стану Encryption in Progress. Після закінчення цієї процедури диск буде зашифрований (Екран 8).

Відновлення доступу до зашифрованих даних

Відновлення доступу до зашифрованих даних може знадобитися в наступних випадках:

• сталася помилка читання ТРМ;

• завантажувальний запис модифікована, відповідно ТРМ не дозволяє продовжити завантаження; не маєте доступу до зашифрованих даних;

• вміст ТРМ стерто і комп'ютер вимкнений.

Якщо операційна система заблокована, процес відновлення доступу вельми простий, тому що операційна система вже запущена. Можна відновити пароль або записавши його з іншого носія, на якому він був попередньо збережений, на USB-диск, або використовуючи функціональні клавіші F1-F10, де F1-F9 відповідають цифрам 1-9, а F10 - 0.

Відновлення доступу до даних, зашифрованих за допомогою BitLocker Drive Encryption, здійснюється наступним чином:

1. Увімкнути комп'ютер.

2. Якщо система заблокована, з'явиться вікно BitLocker Drive Encryption Recovery Console. Користувачеві буде запропоновано вставити USB-диск, що містить пароль відновлення.

3. Якщо є USB-диск, що містить пароль відновлення, потрібно вставити його і натиснути Esc. Комп'ютер буде перезавантажений автоматично і вводити пароль відновлення вручну не буде потрібно.

4. Якщо USB-диска з паролем відновлення немає, слід натиснути Enter. Система запропонує ввести пароль відновлення вручну.

5. Якщо ви знаєте пароль відновлення, потрібно ввести його вручну і натиснути Enter.

6. Якщо ви не знаєте пароля відновлення, слід натиснути Enter двічі і вимкнути комп'ютер.

7. Якщо пароль відновлення збережений у файлі, який знаходиться в папці на іншому комп'ютері або на змінному носії, можна використовувати інший комп'ютер для прочитання файлу, що містить пароль.

8. Для того щоб дізнатися ім'я файлу, що містить пароль, слід записати ідентифікатор пароля, який буде виведений на монітор заблокованого комп'ютера. Цей ідентифікатор і буде ім'ям файлу, що містить ключ відновлення.

відключення BitLocker

Дана процедура однакова як для комп'ютерів, обладнаних ТРМ, так і для комп'ютерів без ТРМ. При виключенні BitLocker можна тимчасово відключити BitLocker або розшифрувати весь диск. Відключення BitLocker дозволяє замінити ТРМ або провести оновлення операційної системи. Якщо ж адміністратор вирішить розшифрувати весь диск, то для повторного шифрування необхідно буде згенерувати нові ключі і повторити процес шифрування цілком.

Для відключення BitLocker потрібно виконати наступні дії:

1. Вибрати в меню StartControl PanelSecurityBitLocker Drive Encryption.

2. На сторінці BitLocker Drive Encryption знайти те, на якому потрібно відключити BitLocker Drive Encryption, і вибрати Turn Off BitLocker Drive Encryption.

3. У діалоговому вікні What level of decryption do you want вибрати Disable BitLocker Drive Encryption або Decrypt the volume.

Після закінчення цієї процедури буде відключена функція BitLocker Drive Encryption і розшифрований весь тому.

Використання BitLocker

Як показало наше невелике дослідження, процедура використання BitLocker проста, проте саме застосування породжує багато запитань, починаючи від стандартних, на кшталт «а якщо цю процедуру візьмуть на озброєння злочинці, адже тоді служителі правопорядку не зможуть прочитати вміст їх жорстких дисків?» І закінчуючи більш серйозними , які стосуються способів зберігання ключів шифрування.

Про це хотілося б розповісти трохи докладніше.

Зберігання ключів з використанням ТРМ. Якщо зі зберіганням ключів шифрування за допомогою ТРМ та PIN-коду все ясно (фактично ми маємо двухфакторную аутентифікацію), то в разі зберігання ключів в ТРМ без PIN-коду виникає питання. Ми завантажуємо систему, яка нічого у нас не питає, тобто в разі потрапляння комп'ютера в руки зловмисника він зможе скористатися ним практично так само, як якби він взагалі не був зашифрований. Єдине, від чого в даному випадку зберігання ключів захищає шифрування, так це від несанкціонованого прочитання даних в разі здачі в ремонт жорсткого диска (без самого комп'ютера) і від компрометації інформації в разі крадіжки жорсткого диска (без самого комп'ютера). Зрозуміло, що безпечним такий режим назвати досить складно.

Зберігання ключів на USB-диску. В даному випадку ми маємо USB-диск, що відчужується від власника, а так як він потрібен лише на момент запуску системи, то на користувача лягає ще більше обов'язків по зберіганню самого пристрою. У разі якщо користувач в ході описаної вище процедури зберіг запропонований пароль на USB-диск, ми маємо на диску два файли. Один прихований, з розширенням BEK, а другий - текстовий файл. Приклад вмісту такого текстового файлу представлений на екрані 9.

На жаль, більшість користувачів не думають про те, що даний текстовий файл необхідно просто видалити з USB-диска, попередньо його роздрукувавши. Якщо цього не зробити, може статися, що користувач залишить USB-диск в комп'ютері і в якийсь момент покине своє робоче місце. Пароль відновлення в текстовому файлі стане доступний стороннім.

правильне застосування

Безумовно, BitLocker корисний і необхідний. Однак, на мій погляд, з точки зору захищеності найпрактичнішим є варіант його застосування на комп'ютерах, обладнаних мікросхемою ТРМ версії не нижче 1.2 в поєднанні з PIN-кодом.

Примітка. Автор висловлює подяку компанії K-Trade, яка надала для написання статті ноутбук.

Володимир Безмалий ( [email protected] ) - інструктор з інформаційної безпеки навчального центру «Академія БМС Консалтинг», MVP по Windows Security