BitLocker
| компонент Windows | |
| BitLocker | |
|---|---|
 | |
| Тип компонента | Защита данных |
| Включён в | Microsoft Windows Vista, Microsoft Windows Server 2008, Windows 7, Windows 8, Windows 10, Windows RT, Windows 11 |
| Сайт | docs.microsoft.com/ru-ru… |
BitLocker Drive Encryption — проприетарная технология шифрования дисков, являющаяся частью операционных систем:
- Microsoft Windows Vista Максимальная/Корпоративная;
- Windows 7 Максимальная/Корпоративная;
- Windows Server 2008 R2;
- Windows 8 Профессиональная/Корпоративная;
- Windows 8.1 Профессиональная/Корпоративная;
- Windows 10 Профессиональная/для образовательных учреждений/Корпоративная;
- Windows 11 Профессиональная/для образовательных учреждений/Корпоративная.
BitLocker позволяет защищать данные путём полного шифрования диска(ов) (логических, с Windows 7 — и карт SD и USB-флешек) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:
Сам ключ может храниться в TPM или на USB-устройстве, либо же на компьютере. В случае с TPM при загрузке компьютера ключ может быть получен из него сразу, либо только после аутентификации с помощью USB-ключа или ввода PIN-кода пользователем. Таким образом, возможны следующие комбинации для доступа:
- TPM
- TPM + PIN
- TPM + PIN + USB-ключ
- TPM + USB-ключ
- USB-ключ (данный режим требует активации через групповые политики)
- Пароль (данный режим доступен начиная с Windows 8, а также требует активации через групповые политики)
Принципы работы
[править | править код]BitLocker шифрует логический диск , а не физический диск. Логический диск может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у в случае шифрования системного диска потребуется два NTFS-[логических диска], один для ОС и один для загрузочной части. Последний должен быть не менее 1,5 Гб, и не быть зашифрован. Начиная с Windows Vista SP1 появилась возможность шифровать несистемные логические диски. После создания разделов необходимо инициализировать TPM-модуль в ПК, где он есть, и активировать BitLocker. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск загрузочный раздел создаётся автоматически.
Механизмы расшифровки и их уязвимости
[править | править код]Существует три механизма проверки подлинности, которые можно использовать для реализации Bitlocker-шифрования:
- Прозрачный режим работы. Этот режим использует возможности аппаратного обеспечения Trusted Platform Module для предоставления прозрачной работы пользователей. Пользователи входят на компьютер с операционной системой Windows в обычном режиме. Ключ, используемый для шифрования диска, закодирован в чип TPM и может быть выдан только в коде загрузчика ОС (если загрузочные файлы показываются как неизменённые). Этот режим уязвим для нападения при холодной загрузке, так как позволяет злоумышленнику выключить компьютер и загрузиться.
- Режим проверки подлинности пользователя. Этот режим предполагает, что пользователь прошёл некоторую аутентификацию в предзагрузочной среде в виде предварительного ввода PIN-кода. Этот режим уязвим для буткит-атак.
- Режим USB-ключа. Для возможности загрузки в защищённую операционную систему пользователь должен вставить в компьютер устройство USB, которое содержит ключ запуска. Обратите внимание, что для этого режима необходимо, чтобы BIOS на компьютере поддерживал чтение устройств USB в загрузочной среде. Этот режим также уязвим для буткит-атак.
Использование в других операционных системах
[править | править код]Существует неофициальная утилита dislocker[1] для операционных систем GNU/Linux и macOS, которая представляет собой инструмент для чтения и записи логических дисков, зашифрованных через BitLocker.
Для предоставления доступа к зашифрованному логическому диску утилита dislocker использует FUSE-драйвер, а создавать новые зашифрованные логические диски данная утилита не умеет.[2]
См. также
[править | править код]Примечания
[править | править код]- ↑ [1] Архивная копия от 18 января 2016 на Wayback Machine FUSE driver to read/write Windows' BitLocker-ed volumes under Linux / Mac OSX
- ↑ [2] Архивная копия от 12 октября 2014 на Wayback Machine DisLocker. Или находим общий язык с BitLocker в Linux Mint
Ссылки
[править | править код]- Администрирование Windows: Внутреннее устройство ядра Windows Vista: часть 3
- Windows BitLocker Drive Encryption Frequently Asked Questions*
- Загрузка Bitlocker Drive Preparation Tool
- Доклад о Bitlocker
- Обзор возможностей BitlockerToGo и других технологиях обеспечения безопасности в Windows 7.
- Альтернативы BitLocker для всех платформ с любой лицензией (англ.)
- Шифрование компьютера с Windows 10 при помощи BitLocker
- Изучаем и вскрываем BitLocker. Как устроена защита дисков Windows и как ее взломать / 84ckf1r3 // Xakep.ru. — 23.02.2017.
