Скрытые возможности Windows. Как BitLocker поможет защитить данные?

  • Tutorial

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).


В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.


По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.


Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.



Как защитить себя и свою компанию?


Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:


  1. Как при помощи токена сделать Windows домен безопаснее? Часть 1.
  2. Как при помощи токена сделать Windows домен безопаснее? Часть 2.

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.


Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.


Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.


Что такое BitLocker?


BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.


С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.


BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.


Как работает BitLocker?


Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.


Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.


Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.


TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.


Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.


Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.


Схема работы BitLocker:


  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
  2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
  3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
  4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
    К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
    Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
    И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
  5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
    Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.



Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.


Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.


Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.


Как включить шифрование данных на жестком диске?


Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.


Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.


Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.


Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.


На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.


Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.


Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.




I. Подготовим Рутокен ЭЦП PKI к работе.


В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.


Процесс установки такой библиотеки выглядит следующим образом.



Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.




Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.


II. Зашифруем данные на диске с помощью BitLocker.


Щелкнем по названию диска и выберем пункт Turn on BitLocker.



Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.


Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).


Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.



На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).



Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.



Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).



На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.


При включении шифрования иконка зашифрованного диска изменится.



И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.



Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.


Как восстановить данные, зашифрованные BitLocker, если токен потеряли?


Если вы хотите открыть зашифрованные данные в Windows


Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.



Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X


Для этого необходима утилита DisLocker и ключ восстановления.


Утилита DisLocker работает в двух режимах:


  • FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
  • FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.


В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.


Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:


tar -xvjf dislocker.tar.gz

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.


В нашем случае необходимо доустановим пакет libfuse-dev:


sudo apt-get install libfuse-dev

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:


cd src/
make 
make install

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.


Перейдем в папку mnt и создадим в ней две папки:


  • Encrypted-partition— для зашифрованного раздела;
  • Decrypted-partition — для расшифрованного раздела.

cd /mnt
mkdir Encrypted-partition
mkdir Decrypted-partition

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:


dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition</b>(вместо recovery_key подставьте свой ключ восстановления)

Выведем на экран список файлов, находящихся в папке Encrypted-partition:


ls Encrypted-partition/

Введем команду для монтирования раздела:


mount -o loop Driveq/dislocker-file Decrypted-partition/

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.


Резюмируем


Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).


Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

«Актив» 43,78
Компания
Поделиться публикацией
Комментарии 50
  • –3
    Что дальше? Инструкция как создать новую папку, с именем отличным от New Folder?
    • 0
      Много всего в планах, но такого нет))
    • 0

      Так их теряют или крадут в аэропортах?

      • 0
        Кто сначала теряет, а потом комп крадут… У кого сразу крадут… А кто теряет, а потом крадет… Ситуации разные бывают))))
      • +4
        > однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен
        Возможно, я ошибаюсь, но мне кажется, что это утверждение запаздывает года на три минимум. Добрая треть продаваемых в России ноутбуков (и практически все ценой от ~1500$) сейчас имеет TPM, посмотрите хотя бы через фильтр на Яндекс-маркете.
        Нотфикации же фактически подлежат все ноутбуки (как минимум потому что там есть Wi-Fi-модуль и сопутствующее шифрование), с TPM это связано в последнюю очередь.
        • 0
          Я тоже искала на самом деле в Яндекс Маркете, может не так внимательно… Спасибо за информацию!
        • 0
          только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков.


          т.е без малого 200тыс ноутов в сутки? Можно пруф?
          • +1
            Пруфы вылетели с ближайшей планеты с орбитальным периодом 76 часов. Ожидайте.
            • +1

              Всего-то жалких 2 тыс на пассажирооборот более сотни тысяч на каждый из крупных аэропортов и еще десятки тысяч на всякой "мелочи", не говоря уже о совсем мелких аэропортах. Можно сказать, что ни о чем.

              • 0
                Пропускная способность аэропорта в Лос-Анжелесе более 60 млн. человек в год… Это получается чуть больше 1 процента людей теряют ноуты, а это не так много… Статья вот (придется только сложить значения по всем аэропортам Америки))) https://hothardware.com/news/us-airports-lose-over-62400-laptops-per-year
                • 0
                  U.S. Airports Lose Over 62,400 Laptops Per Year

                  Вот и я про валенки. В вашей статье вы приукрасили цифру ровно на 1 порядок. А это довольно много. Даже в URL видно.
                  • 0
                    13 513 аэропортов в Америке, так, что я даже немного приуменьшила
                    • 0
                      Вам говорят не про количество аеропортов, а про количество утерянных ноутбуков.

                      В статье говорится о 62.400, а у вас о 637.000, тоесть число в вашей статье в 10 раз больше оригинала.
            • +1
              Немного приоткрою завесу над тем, отчего столько корпоративных ноутбуков теряется. Когда я работал в некоем энтерпрайзе, я был поражен тем, насколько забюрократиизирована процедура обновления рабочего IT-оборудования. Человек, пришедший в корпорацию пять лет назад, прошедший за эти четыре года по карьерной лестнице, по-прежнему использует корпоративный Dell пяти-шестилетней давности, выданный ему эти пять лет назад, при поступлении на работу. При этом только поступившие на работу зеленые бывшие студенты получают новенький ноут, bleeding edge. Просто потому что стандартный срок службы ноута по документам пять-семь лет, а процедура аппрува заявки на замену запросто может растянуться на полгода.
              Отсюда вполне логичный выход из такой ситуации это…
              • 0
                … вдарить как следует по работающему ноуту, чтобы угробить диск. А не компенсировать потерю железки из ЗП и получать по ушам.
                • +1
                  Почему-то мне кажется, что вы никогда не работали в крупном международном энтерпрайзе в США, о котором выше идет речь. ;)
                  Вот представьте себе продакт-менеджера, или sales representative, с 90K net income который долбит по «работающему ноуту, чтобы угробить диск», у меня не получается. ;)
                  «Компенсировать потерю железки», oh my pants!
                  • 0
                    Не работал.
                    А там ноуты выдают только «sales representative с 90K net income »? И им религия запрещает сломать ноут, а не «потерять»? Не понял ваш посыл от слова total.
                    • 0

                      Вы не представляете, что творят иногда топ-менеджеры, хотя зарплата позволяет им этого не делать...

                • 0
                  Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

                  А почему именно этот? А другие ваши токены можно использовать для битлокера?
                  • 0
                    У меня сложилось впечатление, что все более или менее современные подобные токены (не могу ручаться за рутокен, etoken etc, про которые только читал, сам пользовался аладдиновской jacarta) без проблем определяются Windows как смарт-карты, со всеми вытекающими наподобие использования в BitLocker. Возможно, даже не придется устанавливать вручную никаких драйверов и утилит, если требуется только эта функциональность.
                    • 0
                      однако, именно у этого нет сертификатов фтэк и фсб
                      • 0

                        Ну и что? Битлокеру все равно, есть у токена означенные сертификаты или нет. :)

                        • 0
                          Спасибо, кэп. :)
                          Не все равно организациям, которых вынуждают использовать только сертифицированное.
                          • 0

                            Ну так используйте любые сертифицированные. Не понимаю, в чем проблема.
                            Только неясно, о каком битлокере может идти речь, если вас вынуждают только сертифицированное ПО и оборудование использовать. Тогда вам что-то типа Aladdin Secret Disk с соответствующими сертификатами нужно.

                        • 0
                          Его не сертифицировали по ФСБ намеренно. В тот момент, когда начали выпуск Рутокен ЭП PKI уже нельзя было его сертифицировать в ФСБ, поскольку там не было реализации алгоритмов хеширования и подписи по ГОСТам 2012 года. То есть история бесперспективная была.
                          А сертификат ФСТЭК есть, мы его получили.
                      • 0
                        Это правда. Любой токен или смарт-карта, обладающие функциональностью аппаратного RSA 2048 и имеющие поддержку в библиотеке minidriver подходят для BitLocker.
                      • 0
                        Мы рекомендуем Рутокен ЭЦП, потому что они умеют аппаратно работать с RSA криптографией.
                        • 0
                          Мы рекомендуем Рутокен ЭЦП


                          Ужас какой.
                          • 0
                            Как много действий :) Проще действующим ключом зашифровать/расшифровать папку:
                            tar -cjv ./<DIR> | gpg -e -r <KEY> -o backup.tbz2.gpg
                            gpg -d backup.tbz2.gpg | tar -xj
                            Причём открытый (публичный) ключ можно передавать людям для шифрования папок.
                        • +1

                          Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?


                          Все таки это штатный механизм распространённой ОС, можно ли ему доверять?


                          Тот же элкомслфт наверняка имеет набор утилит для вскрытия битлокера, к чему тогда все эти токены и т.д.?

                          • +1
                            Когда закрывался TrueCrypt, один из его разработчиков написал: “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”
                            Наверное можно принимать это как авторитетное мнение специалиста по шифрованию дисков.
                            Элкомсофт специализируется на реверсинге паролей. В данном случае пароли для шифрования не используются. Если вдруг придет сюда человек из Элкомсофта, он прокомментирует этот момент.
                            • +1
                              На тему закрытия TrueCrypt было много версий, в том числе и параноидальных. Так что не факт.
                              • 0
                                Мы же сейчас не закрытие TrueCrypt обсуждаем, правда? :) Версий много, истина где-то там.
                                Не факт что именно — что BitLocker достаточно надежен? Тут я бы сказал, что надежен для определенных угроз (как и любая другая технология), пока не доказано обратное. Согласны?
                                • 0
                                  Не факт что
                                  можно принимать это как авторитетное мнение специалиста по шифрованию дисков

                                  и все из этого вытекающее.
                                  Согласен. И все же открытое ПО в теории надежнее.
                            • 0
                              Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?


                              Он достаточно надежен на случай утери/утраты. В остальных случаях смотрите первую теорему терморектального криптоанализа.
                              • 0
                                Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?

                                Не специалист по вопросам ИБ, но когда-то тоже заинтересовал вопрос безопасности использования BitLocker. Если коротко, не так сам плох BitLocker, как конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например (что и делает Forensic Disk Decryptor от Элкомсофт). Я уж промолчу про те случаи, когда файл, содержащий ключ восстановления, сохраняется прямо на устройстве с шифруемым диском (впрочем, это уже косяк пользователя, а не системы). В источнике ниже можно более подробно прочитать об этом:
                                cryptoworld.su/vzlom-bitlocker-v-windows-net-nichego-nevozmozhnogo.
                                • 0
                                  конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например

                                  Какова бы ни была реализация шифрования диска в любой ОС, ключи так или иначе должны читаться в память и там храниться, что дает очевидный вектор атаки. Windows или не Windows — тут совершенно неважно.


                                  в файле гибернации или дампах памяти

                                  Что особенно актуально в случае зашифрованного системного диска, да. :D

                                  • 0
                                    Что особенно актуально в случае зашифрованного системного диска, да. :D

                                    Естественно, что с зашифрованным системным диском данный вектор атаки сходит на нет. Если же вернуться к изначально поставленному вопросу — если ли дыры или лазейки — да, они все равно есть.
                                    • 0
                                      Ну то есть дыры не в реализации, а в способе применения. Что, впрочем, обычно так и бывает. Можно пароль написать на стикере на клавиатуре, но это не компрометирует защиту паролем как таковую.
                              • 0
                                А переносной диск можно зашифровать? Зависит ли расшифровка от системы где зашифровали? Т.е. если переустановить винду, с формат ц, то зашифрованный диск Д можно будет открыть на новой (или на другом компе) системе?
                                • +2
                                  Да, можно. Для этого используется Bitlocker to Go.
                                  Шифрование диска не зависит от того, где именно его зашифровали.
                                  Формат ЦЭ не поможет :)
                                  • 0
                                    Владею зашифрованным переносным диском, 100 раз переставлял систему, все норм, бумажку с кодом даже не печатал, хватает пароля =) С линуксами если некоторые сложности, но при желании можно открыть.
                                    • 0
                                      Более того, если для начального шифрования диска требуется Pro версия Windows, то для работы с ним (и чтения, и записи) хватает и домашних версий.
                                    • 0
                                      А много ли смысла с этого шифрования, если его могут взломать спецслужбы(США или России например)?
                                      • 0
                                        Ну не у всех же такая мания величия, что они думают, что их данными интересуются не менее чем государственные спецслужбы США и России.
                                        • +1
                                          <зануда>
                                          Паранойя же
                                          </зануда>

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое