Schakel Bitlocker in Windows in of uit. Over encryptie en compressie

Volgens deskundigen is laptopdiefstal een van de grootste problemen op het gebied van informatiebeveiliging(IB).

In tegenstelling tot andere bedreigingen voor de informatiebeveiliging is de aard van het probleem van “gestolen laptop” of “gestolen flashdrive” vrij primitief. En als de kosten van vermiste apparaten zelden meer dan enkele duizenden dollars bedragen, wordt de waarde van de informatie die erop is opgeslagen vaak in miljoenen uitgedrukt.

Volgens Dell en het Ponemon Institute verdwijnen er jaarlijks alleen al op Amerikaanse luchthavens 637.000 laptops. Stel je eens voor hoeveel flashdrives er kwijtraken, omdat ze veel kleiner zijn, en het per ongeluk laten vallen van een flashdrive net zo eenvoudig is als het beschieten van peren.

Wanneer een laptop van een topmanager vermist raakt groot bedrijf, kan de schade als gevolg van zo’n diefstal tientallen miljoenen dollars bedragen.

Hoe kunt u uzelf en uw bedrijf beschermen?

We vervolgen onze serie artikelen over Windows-domeinbeveiliging. In het eerste artikel in de serie hadden we het over het opzetten beveiligde toegang naar het domein, en in de tweede - over het opzetten van veilige gegevensoverdracht naar e-mailclient:

In dit artikel zullen we het hebben over het instellen van de codering van informatie die op uw harde schijf is opgeslagen. U zult begrijpen hoe u ervoor kunt zorgen dat alleen u de informatie op uw computer kunt lezen.

Weinig mensen weten dat Windows ingebouwde tools heeft waarmee u informatie veilig kunt opslaan. Laten we een van hen overwegen.

Sommigen van jullie hebben vast wel eens het woord ‘BitLocker’ gehoord. Laten we uitzoeken wat het is.

Wat is BitLocker?

BitLocker (de exacte naam is BitLocker Drive Encryption) is een technologie voor het coderen van de inhoud van computerstations, ontwikkeld door Microsoft. Ze verscheen voor het eerst in Windows Vista.

MET met behulp van BitLocker het was mogelijk om volumes op de harde schijf te coderen, maar later, al in Windows 7, verscheen het vergelijkbare technologie BitLocker To Go, ontworpen om verwisselbare schijven en flashdrives te coderen.

BitLocker is standaard Windows-component Professionele en serverversies van Windows, wat betekent dat het in de meeste gevallen van zakelijk gebruik al beschikbaar is. Anders moet u updaten Windows-licentie tot Professioneel.

Hoe werkt BitLocker?

Deze technologie is gebaseerd op volledige volume-encryptie die wordt uitgevoerd met behulp van AES-algoritme(Geavanceerde coderingsstandaard). Encryptiesleutels moeten veilig worden opgeslagen en BitLocker heeft hiervoor verschillende mechanismen.

De eenvoudigste, maar tegelijkertijd meest onveilige methode is een wachtwoord. De sleutel wordt elke keer op dezelfde manier uit het wachtwoord verkregen, en als iemand uw wachtwoord ontdekt, wordt de coderingssleutel dus bekend.

Om te voorkomen dat u de sleutel erin opbergt open vorm, kan het worden gecodeerd in een TPM (Trusted Platform Module) of op een cryptografisch token of smartcard die ondersteuning biedt RSA-algoritme 2048.

TPM is een chip die is ontworpen om basisbeveiligingsgerelateerde functies te implementeren, waarbij voornamelijk gebruik wordt gemaakt van coderingssleutels.

De TPM-module wordt meestal op het moederbord van de computer geïnstalleerd, maar het is erg moeilijk om in Rusland een computer met een ingebouwde TPM-module aan te schaffen, aangezien de import van apparaten zonder FSB-melding in ons land verboden is.

Het gebruik van een smartcard of token om een schijf te ontgrendelen is een van de veiligste manieren om te controleren wie heeft gepresteerd dit proces en wanneer. Om in dit geval de vergrendeling te verwijderen, heeft u zowel de smartcard zelf als de pincode daarvoor nodig.

Hoe BitLocker werkt:

Wanneer BitLocker wordt geactiveerd, wordt er een masterbitreeks gemaakt met behulp van een pseudo-willekeurige getalgenerator. Dit is de volume-encryptiesleutel - FVEK (full-volume-encryptiesleutel). Het codeert de inhoud van elke sector. De FVEK-sleutel wordt strikt vertrouwelijk bewaard.
FVEK wordt gecodeerd met behulp van de VMK (volume master key). De FVEK-sleutel (gecodeerd met de VMK-sleutel) wordt op schijf opgeslagen tussen de volumemetagegevens. Het mag echter nooit in gedecodeerde vorm op schijf terechtkomen.
VMK zelf is ook gecodeerd. De gebruiker kiest de coderingsmethode.
De VMK-sleutel wordt standaard gecodeerd met behulp van de SRK-sleutel (storage root key), die is opgeslagen op een cryptografische smartcard of token. Dit gebeurt op vergelijkbare wijze bij TPM.
Overigens kan de coderingssleutel van het systeemstation in BitLocker niet worden beveiligd met een smartcard of token. Dit komt door het feit dat bibliotheken van de leverancier worden gebruikt om toegang te krijgen tot smartcards en tokens, en deze zijn uiteraard niet beschikbaar voordat het besturingssysteem is geladen.
Als er geen TPM is, biedt BitLocker aan om de systeempartitiesleutel op een USB-flashstation op te slaan, en dit is natuurlijk niet het meest beste idee. Als uw systeem geen TPM heeft, raden we u af uw systeemschijven te coderen.
Over het algemeen is het coderen van de systeemschijf een slecht idee. Bij juiste instelling alle belangrijke gegevens worden gescheiden van de systeemgegevens opgeslagen. Dit is in ieder geval handiger vanuit het oogpunt van hun back-up. Plus encryptie systeembestanden vermindert de prestaties van het systeem als geheel, en de werking van een niet-gecodeerde systeemschijf met gecodeerde bestanden vindt plaats zonder snelheidsverlies.
Encryptiesleutels voor andere niet-systeem- en verwisselbare schijven kunnen worden beschermd met een smartcard of token, evenals met een TPM.
Als er geen TPM-module of smartcard is, wordt in plaats van SRK een sleutel gebruikt die is gegenereerd op basis van het wachtwoord dat u hebt ingevoerd om de VMK-sleutel te coderen.

Wanneer het systeem opstart vanaf een gecodeerde opstartschijf, doorzoekt het alle mogelijke sleutelarchieven - controleert op de aanwezigheid van een TPM, controleert USB-poorten of, indien nodig, vraagt het de gebruiker om een melding (dit wordt herstel genoemd). Dankzij de detectie van sleutelarchief kan Windows de VMK-sleutel ontsleutelen die de FVEK-sleutel ontsleutelt die de gegevens op de schijf ontsleutelt.

Elke sector van het volume wordt afzonderlijk gecodeerd, en een deel van de encryptiesleutel wordt bepaald door het nummer van die sector. Als gevolg hiervan zullen twee sectoren die dezelfde niet-versleutelde gegevens bevatten er bij versleuteling anders uitzien, waardoor het erg moeilijk wordt om versleutelingssleutels te bepalen door eerder bekende gegevens te schrijven en te ontsleutelen.

Naast FVEK, VMK en SRK gebruikt BitLocker een ander type sleutel dat wordt gemaakt ‘voor het geval dat’. Dit zijn de herstelsleutels.

Voor noodgevallen (gebruiker heeft een token verloren, zijn pincode vergeten, enz.) BitLocker ingeschakeld laatste stap vraagt u een herstelsleutel te maken. Het systeem voorziet niet in de weigering om het te creëren.

Hoe schakel ik gegevensversleuteling in op uw harde schijf?

Voordat u begint met het coderen van volumes op uw harde schijf, is het belangrijk op te merken dat deze procedure enige tijd in beslag zal nemen. De duur ervan hangt af van de hoeveelheid informatie op de harde schijf.

Als de computer tijdens het versleutelen of ontsleutelen wordt uitgeschakeld of in de slaapstand gaat, gaan deze processen verder waar ze de volgende keer waren gestopt. Windows opstarten.

Zelfs tijdens het coderingsproces kan het Windows-systeem worden gebruikt, maar het is onwaarschijnlijk dat u tevreden zult zijn met de prestaties ervan. Als gevolg hiervan nemen de schijfprestaties na codering met ongeveer 10% af.

Als BitLocker beschikbaar is op uw systeem, klikt u op klik met de rechtermuisknop op de naam van de schijf die moet worden gecodeerd, wordt het item weergegeven in het menu dat wordt geopend Schakel BitLocker in.

Op serverversies van Windows moet u een rol toevoegen BitLocker-stationsversleuteling.

Laten we beginnen met het instellen van de codering voor een niet-systeemvolume en de coderingssleutel beschermen met een cryptografisch token.

We zullen een token gebruiken dat is geproduceerd door het bedrijf Aktiv. In het bijzonder de Rutoken EDS-token PKI.

I. Laten we Rutoken EDS PKI voorbereiden op het werk.

In de meeste normaal geconfigureerd Windows-systemen, na de eerste verbinding met Rutoken EDS PKI, wordt automatisch een speciale bibliotheek voor het werken met tokens geproduceerd door het bedrijf Aktiv - Aktiv Rutoken minidriver - gedownload en geïnstalleerd.

Het installatieproces voor een dergelijke bibliotheek is als volgt.

De aanwezigheid van de Aktiv Rutoken minidriver-bibliotheek kan worden gecontroleerd via apparaatbeheer.

Als het downloaden en installeren van de bibliotheek om de een of andere reden niet is gelukt, installeer dan de Rutoken Drivers voor Windows-kit.

II. Laten we de gegevens op de schijf coderen met BitLocker.

Klik op de schijfnaam en selecteer Schakel BitLocker in.

Zoals we eerder zeiden, zullen we een token gebruiken om de schijfversleutelingssleutel te beschermen.
Het is belangrijk om te begrijpen dat als u een token of smartcard met BitLocker wilt gebruiken, deze RSA 2048-sleutels en een certificaat moet bevatten.

Als u de Certificate Authority-service in een Windows-domein gebruikt, moet de certificaatsjabloon de reikwijdte van het certificaat bevatten " Schijfversleuteling"(meer over het instellen van een certificeringsinstantie in onze serie artikelen over Windows-domeinbeveiliging).

Als u geen domein heeft of als u het beleid voor het uitgeven van certificaten niet kunt wijzigen, kunt u een fallback-methode gebruiken, waarbij u een zelfondertekend certificaat gebruikt. Er wordt beschreven hoe u een zelfondertekend certificaat voor uzelf kunt uitgeven.
Laten we nu het overeenkomstige vakje aanvinken.

In de volgende stap selecteren we een methode voor het opslaan van de herstelsleutel (we raden aan te kiezen Druk de herstelsleutel af).

Er moet een stuk papier met een afgedrukte herstelsleutel worden bewaard veilige plek, beter in de kluis.

In de volgende fase starten we het schijfversleutelingsproces. Zodra dit proces is voltooid, moet u mogelijk uw systeem opnieuw opstarten.

Wanneer codering is ingeschakeld, verandert het pictogram van de gecodeerde schijf.

En nu, wanneer we deze schijf proberen te openen, zal het systeem u vragen een token in te voeren en de pincode in te voeren.

Implementatie en configuratie van BitLocker en TPM kunnen worden geautomatiseerd met behulp van de WMI-tool of Windows-scripts PowerShell. Hoe de scenario's worden geïmplementeerd, is afhankelijk van de omgeving. De opdrachten voor BitLocker in Windows PowerShell worden in dit artikel beschreven.

Hoe kan ik met BitLocker gecodeerde gegevens herstellen als het token verloren is gegaan?

Als u gecodeerde gegevens in Windows wilt openen

Hiervoor heeft u de herstelsleutel nodig die we eerder hebben afgedrukt. Voer het gewoon in het juiste veld in en het gecodeerde gedeelte wordt geopend.

Als u gecodeerde gegevens op GNU/Linux- en Mac OS X-systemen wilt openen

Hiervoor heeft u het hulpprogramma DisLocker en een herstelsleutel nodig.

Het DisLocker-hulpprogramma werkt in twee modi:

BESTAND - De volledige door BitLocker versleutelde partitie wordt gedecodeerd in een bestand.
FUSE - alleen het blok waartoe het systeem toegang heeft, wordt gedecodeerd.

We zullen bijvoorbeeld het Linux-besturingssysteem en de FUSE-hulpprogrammamodus gebruiken.

IN nieuwste versies gewoon Linux-distributies, is het dislocker-pakket al opgenomen in de distributie, bijvoorbeeld in Ubuntu, vanaf versie 16.10.

Als het dislocker-pakket om de een of andere reden niet beschikbaar is, moet u het hulpprogramma downloaden en compileren:

tar -xvjf dislocker.tar.gz

Laten we het bestand INSTALL.TXT openen en controleren welke pakketten we moeten installeren.

In ons geval moeten we het libfuse-dev-pakket installeren:

sudo apt-get install libfuse-dev

Laten we beginnen met het samenstellen van het pakket. Laten we naar de map src gaan en de opdrachten make en make install gebruiken:

cd src/make make install

Wanneer alles is gecompileerd (of u het pakket hebt geïnstalleerd), gaan we beginnen met instellen.

Laten we naar de map mnt gaan en daarin twee mappen maken:

Gecodeerde partitie - voor een gecodeerde partitie;
Gedecodeerde partitie - voor een gedecodeerde partitie.

cd /mnt mkdir Gecodeerde partitie mkdir Gedecodeerde partitie

Laten we de gecodeerde partitie zoeken. Laten we het decoderen met behulp van het hulpprogramma en het verplaatsen naar de map Encrypted-partition:

dislocker -r -V /dev/sda5 -p herstelsleutel /mnt/Encrypted-partition(in plaats van recovery_key vervangt u uw herstelsleutel)

Laten we een lijst met bestanden weergeven die zich in de map Encrypted-partition bevinden:

ls gecodeerde partitie/

Laten we de opdracht invoeren om de partitie te mounten:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Om de gedecodeerde partitie te bekijken, gaat u naar de map Encrypted-partition.

Laten we het samenvatten

Volume-encryptie inschakelen met BitLocker is heel eenvoudig. Dit alles gebeurt zonder bijzondere inspanning en gratis (mits je natuurlijk een professionele of serverversie van Windows hebt).

U kunt een cryptografisch token of smartcard gebruiken om de coderingssleutel te beschermen waarmee de schijf wordt gecodeerd, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd.

Bitlocker-schijfversleuteling

BitLocker - BitLocker (volledige naam BitLockerDrive Encryption) is ingebouwd in de besturingssystemen Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 en Windows 8.

Met BitLocker kunt u het gehele opslagmedium (logische schijf, SD-kaart, USB-sleutel) volledig versleutelen. Algoritmen worden ondersteund AES-codering 128 en AES 256.

Mogelijk bent u ook geïnteresseerd in het artikel “”, waarin we probeerden uit te vinden of het mogelijk is om Windows-schijfversleuteling te hacken.

De coderingsherstelsleutel kan worden opgeslagen op uw computer, op een USB-apparaat of op een TPM-hardwarechip (Trusted Platform Module). U kunt ook een kopie van de sleutel opslaan in uw Microsoft-account (maar waarom?).

UITLEG U kunt de sleutel alleen in de TPM-chip opslaan op computers waarbij de TPM-chip in het moederbord is ingebouwd. Als het moederbord van de computer is uitgerust met een TPM-chip, kan de sleutel daaruit worden gelezen na authenticatie met een USB-sleutel/smartcard, of na het invoeren van een pincode.

In de zeer eenvoudig geval U kunt de gebruiker ook authenticeren met een gewoon wachtwoord. Deze methode past natuurlijk niet bij James Bond, maar voor de meeste gewone gebruikers die een deel van hun gegevens voor collega's of familieleden willen verbergen, zal het voldoende zijn.

Met BitLocker kunt u elk volume coderen, inclusief het opstartvolume - datgene waarvan Windows opstarten. Vervolgens moet het wachtwoord worden ingevoerd bij het opstarten (of andere authenticatiemiddelen gebruiken, bijvoorbeeld TPM).

ADVIES Ik raad u ten zeerste aan om niet te coderen opstartvolume. Ten eerste neemt de productiviteit af. Technet.microsoft meldt dat de typische prestatievermindering 10% is, maar in uw specifieke geval kunt u meer traagheid op uw computer verwachten, afhankelijk van uw configuratie. En in feite hoeven niet alle gegevens te worden gecodeerd. Waarom hetzelfde versleutelen programmabestanden? Er is niets vertrouwelijks aan hen. Ten tweede, als er iets met Windows gebeurt, ben ik bang dat alles slecht kan aflopen: het volume formatteren en gegevens verliezen.

Daarom is het het beste om één volume te coderen: een afzonderlijke logische schijf, externe USB-drive enz. En plaats dan al uw geheime bestanden op deze gecodeerde schijf. Programma's die bescherming vereisen, kunt u ook op een gecodeerde schijf installeren, bijvoorbeeld hetzelfde 1C Accounting.

U sluit zo'n schijf alleen aan als dat nodig is - klik erop dubbelklikken op het schijfpictogram, voerde het wachtwoord in en kreeg toegang tot de gegevens.

Wat kunt u versleutelen met BitLocker?

U kunt elke schijf coderen, behalve netwerk en optisch. Hier is een lijst met ondersteunde schijfverbindingstypen: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Versleuteling van volumes die via Bluetooth zijn verbonden, wordt niet ondersteund. En in ieder geval een geheugenkaart mobiele telefoon verbonden met een computer via Bluetooth ziet eruit als een apart opslagmedium en kan niet worden gecodeerd.

Ondersteunde bestandssystemen zijn NTFS, FAT32, FAT16, ExFAT. Andere bestandssystemen worden niet ondersteund, waaronder CDFS, NFS, DFS, LFS, software RAID-arrays (hardware RAID-arrays worden ondersteund).

Kan worden gecodeerd solid-state schijven: (SSD-drives, flashdrives, SD-kaarten), harde schijven (inclusief schijven aangesloten via USB). Versleuteling van andere typen schijven wordt niet ondersteund.

Bitlocker-schijfversleuteling

Ga naar uw bureaublad, start Verkenner en klik klik met de rechtermuisknop op de schijf, die u wilt coderen. Ik wil u eraan herinneren dat dit een logisch volume, een SD-kaart, een flashstation, een USB-station of een SSD-station kan zijn. Selecteer BitLocker inschakelen in het menu dat verschijnt.

Commando om BitLocker-codering in te schakelen

Het eerste dat u wordt gevraagd, is hoe u toegang krijgt tot de gecodeerde schijf: met behulp van een wachtwoord of een smartcard. U dient één van de opties te selecteren (of beide: dan gaat het om zowel het wachtwoord als de smartcard), anders wordt de knop Volgende niet actief.

Hoe verwijderen we de Bitlocker-blokkering?

In de volgende stap wordt u gevraagd om aan te maken reservekopie sleutel
herstel.

De herstelsleutel archiveren

UITLEG De herstelsleutel wordt gebruikt om de schijf te ontgrendelen voor het geval u uw wachtwoord bent vergeten of uw smartcard bent kwijtgeraakt. U kunt het aanmaken van een herstelsleutel niet weigeren. En dit klopt, want toen ik terugkwam van vakantie, ben ik mijn wachtwoord voor de gecodeerde schijf vergeten. Het kan zijn dat dezelfde situatie zich opnieuw voor u voordoet. Daarom kiezen we een van de voorgestelde methoden voor het archiveren van de herstelsleutel.

De sleutel opslaan in uw Microsoft-account. Ik raad deze methode niet aan: er is geen internetverbinding - u kunt uw sleutel niet krijgen.
Opslaan in een bestand is de beste manier. Het herstelsleutelbestand wordt naar uw bureaublad geschreven.

De herstelsleutel opslaan op het bureaublad

U begrijpt dat het van daaruit naar een veiligere plaats moet worden overgebracht, bijvoorbeeld naar een flashstation. Ook is het raadzaam om deze te hernoemen, zodat uit de bestandsnaam niet direct duidelijk is dat dit exact dezelfde sleutel is. U kunt dit bestand openen (u zult later zien hoe het eruit ziet) en de herstelsleutel zelf naar een bestand kopiëren, zodat alleen u weet wat de regel is en in welk bestand deze zich bevindt. Het is beter om het originele bestand later met de herstelsleutel te verwijderen. Op deze manier zal het betrouwbaarder zijn.
Het afdrukken van een herstelsleutel is een behoorlijk wild idee, tenzij je dit stukje papier vervolgens in een kluis stopt en met zeven sloten afsluit.

Nu moet u bepalen welk deel van de schijf moet worden gecodeerd.

Hoeveel van de schijf moet worden gecodeerd?

Kan alleen gecodeerd worden drukke plaats, of u kunt de hele schijf in één keer doen. Als uw schijf bijna leeg is, is het veel sneller om alleen de bezette ruimte te coderen. Laten we de opties bekijken:

laat er maar 10 MB aan gegevens op een flashdrive van 16 GB staan. Kies de eerste optie en de schijf wordt onmiddellijk gecodeerd. Nieuwe bestanden die naar een flashdrive worden geschreven, worden “on the fly” gecodeerd, dat wil zeggen automatisch;
de tweede optie is geschikt als er veel bestanden op de schijf staan en deze bijna helemaal vol is. Voor dezelfde flashdrive van 16 GB, maar gevuld tot 15 GB, zal het verschil in coderingstijd volgens de eerste of tweede optie echter vrijwel niet te onderscheiden zijn (15 GB of 16 GB wordt gecodeerd
bijna tegelijkertijd);
Als er echter weinig gegevens op de schijf staan en u de tweede optie kiest, zal het versleutelen pijnlijk lang duren vergeleken met de eerste methode.

Je hoeft dus alleen maar op de knop te drukken Versleuteling starten.

Schijfversleuteling met Bitlocker

Wacht tot de schijf is gecodeerd. Schakel de computer niet uit en start hem niet opnieuw op voordat de codering is voltooid. U ontvangt een bericht waarin dit wordt aangegeven.

Als er een stroomstoring optreedt, gaat de codering verder waar deze was gebleven toen Windows werd gestart. Dit staat op de website van Microsoft. Ik heb niet gecontroleerd of dit waar is voor de systeemschijf - ik wilde het risico niet lopen.

Artikel gaat verder op de volgende pagina. Om naar toe te gaan volgende pagina Klik op knop 2 die zich onder de sociale netwerkknoppen bevindt.

Veel gebruikers met exit besturingssysteem Windows 7 werd geconfronteerd met het feit dat er een onbegrijpelijke BitLocker-service in verscheen. Veel mensen kunnen alleen maar raden wat BitLocker is. Laten we verder gaan specifieke voorbeelden Laten we de situatie verduidelijken. We zullen ook vragen beantwoorden die betrekking hebben op de vraag of het raadzaam is om dit onderdeel te activeren of volledig uit te schakelen.

BitLocker-service: waar is het voor?

Als je goed kijkt, kun je concluderen dat BitLocker een volledig geautomatiseerd systeem is universele remedie encryptie van gegevens die op de harde schijf zijn opgeslagen. Wat is BitLocker op een harde schijf? Dit is een reguliere service waarmee u, zonder tussenkomst van de gebruiker, mappen en bestanden kunt beschermen door ze te coderen en een speciale tekstsleutel te maken die toegang geeft tot documenten. Op het moment dat de gebruiker onder zijn account werkt, realiseert hij zich niet eens dat de gegevens gecodeerd zijn. Alle informatie wordt in leesbare vorm weergegeven en de toegang tot mappen en bestanden wordt voor de gebruiker niet geblokkeerd. Met andere woorden, een dergelijk beschermingsinstrument is alleen ontworpen voor die situaties waarin toegang tot de computerterminal wordt uitgevoerd. ongeoorloofde toegang wanneer u van buitenaf probeert in te grijpen.

Cryptografie- en wachtwoordproblemen

Als we het hebben over hoe BitLocker is in Windows 7 of in systemen van hogere rangorde, is het noodzakelijk om dit onaangename feit op te merken: als ze hun inlogwachtwoord verliezen, zullen veel gebruikers niet alleen kunnen inloggen op het systeem, maar ook kunnen presteren enkele acties om documenten te bekijken die voorheen beschikbaar waren voor verplaatsen, kopiëren, enzovoort. Maar daar houden de problemen niet op. Als je de vraag goed begrijpt wat BitLocker Windows 8 en 10 is, zijn er geen significante verschillen. Het enige dat kan worden opgemerkt, is meer geavanceerde cryptografietechnologie. Het probleem hier is anders. Het punt is dat de service zelf in twee modi kan werken, waarbij decoderingssleutels op de harde schijf of op de harde schijf worden opgeslagen verwisselbare USB-drive. Dit suggereert een volkomen logische conclusie: de gebruiker krijgt, als hij een opgeslagen sleutel op de harde schijf heeft, zonder problemen toegang tot alle informatie die daarop is opgeslagen. Wanneer de sleutel op een flashstation wordt opgeslagen, is het probleem veel ernstiger. In principe kunt u een gecodeerde schijf of partitie zien, maar kunt u de informatie niet lezen. Bovendien, als we het hebben over wat BitLocker is, zijn Windows 10 en meer systemen eerdere versies, dan is het noodzakelijk om op te merken dat de service is geïntegreerd in contextmenu's van welk type dan ook, die worden opgeroepen door met de rechtermuisknop te klikken. Dit is voor veel gebruikers gewoon vervelend. Laten we niet op de zaken vooruitlopen en alle belangrijke aspecten overwegen die verband houden met de werking van dit onderdeel, evenals de wenselijkheid van de deactivering en het gebruik ervan.

Methode voor het coderen van verwisselbare media en schijven

Het vreemdste is dat op verschillende systemen en hun aanpassingen de Windows 10 BitLocker-service standaard in de actieve of passieve modus kan staan. In Windows 7 is het standaard ingeschakeld, in Windows 8 en Windows 10 is soms handmatige activering vereist. Wat de codering betreft, is hier niets nieuws uitgevonden. Meestal wordt dezelfde op openbare sleutels gebaseerde AES-technologie gebruikt, die het vaakst wordt gebruikt in bedrijfsnetwerken. Daarom moet uw computerterminal met het juiste besturingssysteem zijn aangesloten lokaal netwerk, kunt u er volledig zeker van zijn dat het gebruikte beveiligings- en informatiebeschermingsbeleid de activering van deze dienst impliceert. Zelfs als u beheerdersrechten heeft, kunt u niets wijzigen.

De Windows 10 BitLocker-service inschakelen als deze is gedeactiveerd

Voordat u begint met het oplossen van het probleem met BitLocker Windows 10, moet u het proces van het inschakelen en configureren ervan overwegen. De deactiveringsstappen moeten worden uitgevoerd in omgekeerde volgorde. Het inschakelen van codering op de eenvoudigste manier kunt u doen via het “Configuratiescherm” door het gedeelte Schijfcodering te selecteren. Deze methode kan alleen worden gebruikt als de sleutel niet op verwisselbare media moet worden opgeslagen. Als het niet-verwijderbare opslagapparaat is vergrendeld, moet u op zoek naar een andere vraag over de Windows 10 BitLocker-service: hoe uit te schakelen dit onderdeel? Dit gebeurt heel eenvoudig. Op voorwaarde dat de sleutel zich op verwisselbare media bevindt, moet u, om schijven en schijfpartities te decoderen, deze in de juiste poort plaatsen en vervolgens naar het gedeelte Beveiligingssysteem van het Configuratiescherm gaan. Hierna vinden we het BitLocker-coderingsitem en bekijken we vervolgens de media en schijven waarop de bescherming is geïnstalleerd. Hieronder vindt u een hyperlink die is ontworpen om de codering uit te schakelen. Je moet erop klikken. Als de sleutel wordt herkend, wordt het decoderingsproces geactiveerd. Het enige dat u hoeft te doen, is wachten tot het is voltooid.

Ransomwarecomponenten configureren: problemen

Wat het installatieprobleem betreft, het zal niet zonder hoofdpijn zijn. Allereerst is het vermeldenswaard dat het systeem aanbiedt om minimaal 1,5 GB te reserveren voor uw behoeften. Ten tweede moet u de machtigingen van het NTFS-bestandssysteem aanpassen, bijvoorbeeld de volumegrootte verkleinen. Om dergelijke dingen te doen, moet u dit onderdeel onmiddellijk uitschakelen, aangezien de meeste gebruikers het niet nodig hebben. Zelfs degenen die deze dienst standaard hebben ingeschakeld in hun instellingen, weten niet altijd wat ze ermee moeten doen, en of deze überhaupt nodig is. En tevergeefs... Aan lokale computer u kunt er zelfs uw gegevens mee beschermen volledige afwezigheid antivirusprogramma software.

BitLocker uitschakelen: aan de slag

Allereerst moet u het eerder gespecificeerde item in het "Configuratiescherm" gebruiken. De namen van de velden voor het uitschakelen van de service kunnen veranderen afhankelijk van de systeemwijziging. Het geselecteerde station kan worden ingesteld om de beveiliging op te schorten of om aan te geven dat de BitLocker-service moet worden uitgeschakeld. Maar dat is niet het punt. Er moet speciale aandacht worden besteed aan het feit dat u de BIOS-update volledig moet uitschakelen en opstartbestanden systemen. Anders kan het decoderingsproces behoorlijk lang duren.

Contextmenu

Dit is één kant van de BitLocker-munt. Wat deze service is, zou al duidelijk moeten zijn. Achterkant is om extra menu's te isoleren van de aanwezigheid daarin van links naar deze dienst. Om dit te doen, moet je nog eens naar BitLocker kijken. Hoe u alle links naar een service verwijdert contextmenu? Ja, het is heel eenvoudig... Wanneer u het gewenste bestand in Verkenner selecteert, gebruikt u de service- en bewerkingssectie van het contextmenu, gaat u naar de instellingen en gebruikt u daarna de opdrachtinstellingen en ordent u ze. Vervolgens moet u de waarde van "Configuratiescherm" opgeven en degene vinden die u nodig heeft in de lijst met overeenkomstige paneelelementen en opdrachten en deze verwijderen. Vervolgens moet u in de register-editor naar de HKCR-tak gaan en de sectie ROOT Directory Shell zoeken, deze uitvouwen en het gewenste element verwijderen door op de Del-toets te drukken of de verwijderopdracht uit het rechtsklikmenu te gebruiken. Dat is het laatste wat betreft BitLocker. Hoe u dit kunt uitschakelen, zou u al duidelijk moeten zijn. Maar houd jezelf niet van tevoren voor de gek. Deze service draait nog steeds op de achtergrond, of u dat nu wilt of niet.

Conclusie

Hieraan moet worden toegevoegd dat dit niet het enige is dat kan worden gezegd over de component van het BitLocker-coderingssysteem. We hebben al ontdekt wat BitLocker is. Je hebt ook geleerd hoe je menuopdrachten uitschakelt en verwijdert. De vraag is: is het de moeite waard om BitLocker uit te schakelen? Eén advies kan hier worden gegeven: bedrijfsnetwerk Het is helemaal niet nodig om dit onderdeel te deactiveren. Maar als waar we het over hebben over een thuiscomputerterminal, waarom dan niet.

Volgens deskundigen is laptopdiefstal een van de grootste problemen op het gebied van informatiebeveiliging (IS).

Wanneer een laptop van een topmanager van een groot bedrijf vermist raakt, kan de schade als gevolg van zo'n diefstal tientallen miljoenen dollars bedragen.

Hoe kunt u uzelf en uw bedrijf beschermen?

We vervolgen onze serie artikelen over Windows-domeinbeveiliging. In het eerste artikel in de serie hebben we gesproken over het instellen van een beveiligde domeinaanmelding, en in het tweede over het instellen van veilige gegevensoverdracht in een e-mailclient:

Hoe maak je een Windows-domein veiliger met een token? Deel 1.
Hoe maak je een Windows-domein veiliger met een token? Deel 2.

Weinig mensen weten dat Windows ingebouwde tools heeft waarmee u informatie veilig kunt opslaan. Laten we een van hen overwegen.

Sommigen van jullie hebben vast wel eens het woord ‘BitLocker’ gehoord. Laten we uitzoeken wat het is.

Wat is BitLocker?

BitLocker (de exacte naam is BitLocker Drive Encryption) is een technologie voor het coderen van de inhoud van computerstations, ontwikkeld door Microsoft. Het verscheen voor het eerst in Windows Vista.

Met BitLocker was het mogelijk om volumes op de harde schijf te coderen, maar later, in Windows 7, verscheen een soortgelijke technologie, BitLocker To Go, die is ontworpen om verwisselbare schijven en flashdrives te coderen.

BitLocker is een standaardfunctie van Windows Professional en serverversies van Windows, wat betekent dat het al beschikbaar is voor de meeste zakelijke toepassingen. Anders moet u uw Windows-licentie upgraden naar Professional.

Hoe werkt BitLocker?

Deze technologie is gebaseerd op volledige volume-encryptie die wordt uitgevoerd met behulp van het AES-algoritme (Advanced Encryption Standard). Encryptiesleutels moeten veilig worden opgeslagen en BitLocker heeft hiervoor verschillende mechanismen.

Om te voorkomen dat de sleutel in gewone tekst wordt opgeslagen, kan deze worden gecodeerd in een TPM (Trusted Platform Module) of op een cryptografisch token of smartcard die het RSA 2048-algoritme ondersteunt.

TPM is een chip die is ontworpen om basisbeveiligingsgerelateerde functies te implementeren, waarbij voornamelijk gebruik wordt gemaakt van coderingssleutels.

Het gebruik van een smartcard of token om een schijf te ontgrendelen is een van de veiligste manieren om te bepalen wie het proces heeft voltooid en wanneer. Om in dit geval de vergrendeling te verwijderen, heeft u zowel de smartcard zelf als de pincode daarvoor nodig.

Hoe BitLocker werkt:

Wanneer BitLocker wordt geactiveerd, wordt er een masterbitreeks gemaakt met behulp van een pseudo-willekeurige getalgenerator. Dit is de volume-encryptiesleutel - FVEK (full-volume-encryptiesleutel). Het codeert de inhoud van elke sector. De FVEK-sleutel wordt strikt vertrouwelijk bewaard.
FVEK wordt gecodeerd met behulp van de VMK (volume master key). De FVEK-sleutel (gecodeerd met de VMK-sleutel) wordt op schijf opgeslagen tussen de volumemetagegevens. Het mag echter nooit in gedecodeerde vorm op schijf terechtkomen.
VMK zelf is ook gecodeerd. De gebruiker kiest de coderingsmethode.
De VMK-sleutel wordt standaard gecodeerd met behulp van de SRK-sleutel (storage root key), die is opgeslagen op een cryptografische smartcard of token. Dit gebeurt op vergelijkbare wijze bij TPM.
Overigens kan de coderingssleutel van het systeemstation in BitLocker niet worden beveiligd met een smartcard of token. Dit komt door het feit dat bibliotheken van de leverancier worden gebruikt om toegang te krijgen tot smartcards en tokens, en deze zijn uiteraard niet beschikbaar voordat het besturingssysteem is geladen.
Als er geen TPM is, stelt BitLocker voor om de systeempartitiesleutel op een USB-flashstation op te slaan, wat natuurlijk niet het beste idee is. Als uw systeem geen TPM heeft, raden we u af uw systeemschijven te coderen.
Over het algemeen is het coderen van de systeemschijf een slecht idee. Indien correct geconfigureerd, worden alle belangrijke gegevens gescheiden van de systeemgegevens opgeslagen. Dit is in ieder geval handiger vanuit het oogpunt van hun back-up. Bovendien vermindert het coderen van systeembestanden de prestaties van het systeem als geheel, en vindt de werking van een niet-gecodeerde systeemschijf met gecodeerde bestanden plaats zonder snelheidsverlies.
Encryptiesleutels voor andere niet-systeem- en verwisselbare schijven kunnen worden beschermd met een smartcard of token, evenals met een TPM.
Als er geen TPM-module of smartcard is, wordt in plaats van SRK een sleutel gebruikt die is gegenereerd op basis van het wachtwoord dat u hebt ingevoerd om de VMK-sleutel te coderen.

Naast FVEK, VMK en SRK gebruikt BitLocker een ander type sleutel dat wordt gemaakt ‘voor het geval dat’. Dit zijn de herstelsleutels.

Voor noodgevallen (de gebruiker is een token kwijtgeraakt, zijn pincode vergeten, enz.) vraagt BitLocker u in de laatste stap om een herstelsleutel te maken. Het systeem voorziet niet in de weigering om het te creëren.

Hoe schakel ik gegevensversleuteling in op uw harde schijf?

Als de computer tijdens het versleutelen of ontsleutelen wordt uitgeschakeld of in de slaapstand gaat, gaan deze processen verder waar ze waren gestopt de volgende keer dat u Windows start.

Als BitLocker beschikbaar is op uw systeem en u met de rechtermuisknop klikt op de naam van de schijf die moet worden gecodeerd, wordt het geopende menu-item weergegeven Schakel BitLocker in.

Op serverversies van Windows moet u een rol toevoegen BitLocker-stationsversleuteling.

Laten we beginnen met het instellen van de codering voor een niet-systeemvolume en de coderingssleutel beschermen met een cryptografisch token.

We zullen een token gebruiken dat is geproduceerd door het bedrijf Aktiv. In het bijzonder de Rutoken EDS-token PKI.

I. Laten we Rutoken EDS PKI voorbereiden op het werk.

In de meeste normaal geconfigureerde Windows-systemen wordt na de eerste verbinding met Rutoken EDS PKI automatisch een speciale bibliotheek voor het werken met tokens geproduceerd door het bedrijf Aktiv - Aktiv Rutoken minidriver - gedownload en geïnstalleerd.

Het installatieproces voor een dergelijke bibliotheek is als volgt.

De aanwezigheid van de Aktiv Rutoken minidriver-bibliotheek kan worden gecontroleerd via apparaatbeheer.

Als het downloaden en installeren van de bibliotheek om de een of andere reden niet is gelukt, installeer dan de Rutoken Drivers voor Windows-kit.

II. Laten we de gegevens op de schijf coderen met BitLocker.

Klik op de schijfnaam en selecteer Schakel BitLocker in.

Als u de Certificate Authority-service in een Windows-domein gebruikt, moet het certificaatsjabloon de reikwijdte van het “Disk Encryption”-certificaat bevatten (meer over het instellen van Certificate Authority in het eerste deel van onze serie artikelen over Windows-domeinbeveiliging).

In de volgende stap selecteren we een methode voor het opslaan van de herstelsleutel (we raden aan te kiezen Druk de herstelsleutel af).

Het stuk papier met de afgedrukte herstelsleutel moet op een veilige plaats worden bewaard, bij voorkeur in een kluis.

In de volgende fase starten we het schijfversleutelingsproces. Zodra dit proces is voltooid, moet u mogelijk uw systeem opnieuw opstarten.

Wanneer codering is ingeschakeld, verandert het pictogram van de gecodeerde schijf.

En nu, wanneer we deze schijf proberen te openen, zal het systeem u vragen een token in te voeren en de pincode in te voeren.

Implementatie en configuratie van BitLocker en TPM kunnen worden geautomatiseerd met behulp van de WMI-tool of Windows PowerShell-scripts. Hoe de scenario's worden geïmplementeerd, is afhankelijk van de omgeving. De opdrachten voor BitLocker in Windows PowerShell worden in dit artikel beschreven.

Hoe kan ik met BitLocker gecodeerde gegevens herstellen als het token verloren is gegaan?

Als u gecodeerde gegevens in Windows wilt openen

Hiervoor heeft u de herstelsleutel nodig die we eerder hebben afgedrukt. Voer het gewoon in het juiste veld in en het gecodeerde gedeelte wordt geopend.

Als u gecodeerde gegevens op GNU/Linux- en Mac OS X-systemen wilt openen

Hiervoor heeft u het hulpprogramma DisLocker en een herstelsleutel nodig.

Het DisLocker-hulpprogramma werkt in twee modi:

BESTAND - De volledige door BitLocker versleutelde partitie wordt gedecodeerd in een bestand.
FUSE - alleen het blok waartoe het systeem toegang heeft, wordt gedecodeerd.

We zullen bijvoorbeeld het Linux-besturingssysteem en de FUSE-hulpprogrammamodus gebruiken.

In de nieuwste versies van gangbare Linux-distributies is het dislocker-pakket al opgenomen in de distributie, bijvoorbeeld in Ubuntu, vanaf versie 16.10.

Als het dislocker-pakket om de een of andere reden niet beschikbaar is, moet u het hulpprogramma downloaden en compileren:

tar -xvjf dislocker.tar.gz

Laten we het bestand INSTALL.TXT openen en controleren welke pakketten we moeten installeren.

In ons geval moeten we het libfuse-dev-pakket installeren:

sudo apt-get install libfuse-dev

Laten we beginnen met het samenstellen van het pakket. Laten we naar de map src gaan en de opdrachten make en make install gebruiken:

cd src/make make install

Wanneer alles is gecompileerd (of u het pakket hebt geïnstalleerd), gaan we beginnen met instellen.

Laten we naar de map mnt gaan en daarin twee mappen maken:

Gecodeerde partitie - voor een gecodeerde partitie;
Gedecodeerde partitie - voor een gedecodeerde partitie.

cd /mnt mkdir Gecodeerde partitie mkdir Gedecodeerde partitie

Laten we de gecodeerde partitie zoeken. Laten we het decoderen met behulp van het hulpprogramma en het verplaatsen naar de map Encrypted-partition:

dislocker -r -V /dev/sda5 -p herstelsleutel /mnt/Encrypted-partition(in plaats van recovery_key vervangt u uw herstelsleutel)

Laten we een lijst met bestanden weergeven die zich in de map Encrypted-partition bevinden:

ls gecodeerde partitie/

Laten we de opdracht invoeren om de partitie te mounten:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Om de gedecodeerde partitie te bekijken, gaat u naar de map Encrypted-partition.

Laten we het samenvatten

Volume-encryptie inschakelen met BitLocker is heel eenvoudig. Dit alles gebeurt moeiteloos en gratis (mits u uiteraard over een professionele of serverversie van Windows beschikt).

U kunt een cryptografisch token of smartcard gebruiken om de coderingssleutel te beschermen waarmee de schijf wordt gecodeerd, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd.

In januari 2009 Microsoft-bedrijf voorzag iedereen van een bètaversie van een nieuw besturingssysteem voor werkstations - Windows 7. Dit besturingssysteem implementeert geavanceerde technologieën Windows-beveiliging Uitzicht. Dit artikel zal zich richten op technologie Windows-codering BitLocker, dat aanzienlijke veranderingen heeft ondergaan sinds de introductie in Windows Vista.

Waarom versleutelen

Het lijkt erop dat niemand vandaag de dag overtuigd hoeft te worden van de noodzaak om gegevens op harde schijven en verwisselbare media te versleutelen, maar toch zullen we enkele argumenten geven ten gunste van dit besluit. Tegenwoordig zijn de kosten van hardware vele malen lager dan de kosten van informatie op apparaten. Gegevensverlies kan resulteren in reputatieverlies, verlies aan concurrentievermogen en mogelijke rechtszaken. Het apparaat is gestolen of verloren - de informatie is beschikbaar voor vreemden. Om ongeautoriseerde toegang tot gegevens te voorkomen, moet encryptie worden gebruikt. Vergeet bovendien de gevaren niet zoals ongeautoriseerde toegang tot gegevens tijdens reparaties (inclusief garantie) of verkoop van gebruikte apparaten.

BitLocker zal helpen

Wat kan hier tegen zijn? Alleen gegevensversleuteling. In dit geval fungeert codering als de laatste verdedigingslinie voor de gegevens op de computer. Encryptietechnologieën harde schijf er is een grote verscheidenheid. Uiteraard is na de succesvolle implementatie van BitLocker-technologie in onderdeel van Windows Vista Enterprise en Windows Vista Ultimate kon Microsoft niet anders dan deze technologie in Windows 7 opnemen. Eerlijk gezegd is het echter vermeldenswaard dat in nieuwe versie we zullen een grote herziening van de encryptietechnologie zien.

Dus onze kennismaking begint met Windows-installaties 7. Als u in Windows Vista eerst codering moest gebruiken voor later gebruik opdrachtregel voorbereiden harde schijf, markeer het op de juiste manier, of doe het later met behulp van speciaal programma Microsoft BitLocker Disk Preparation Tool, dan is in Windows 7 het probleem in eerste instantie opgelost met moeilijk markeren schijf. In mijn geval heb ik tijdens de installatie één systeempartitie opgegeven met een capaciteit van 39 GB, maar ik heb er twee gekregen! Eén daarvan is iets meer dan 38 GB groot en de tweede is 200 MB.

Open de schijfbeheerconsole (Start, Alle programma's, Systeembeheer, Computerbeheer, Schijfbeheer), cm.

Zoals u kunt zien, is de eerste partitie van 200 MB eenvoudigweg verborgen. Standaard is dit de systeem-, actieve en primaire partitie. Voor degenen die al bekend zijn met encryptie in Windows Vista, nieuw op in dit stadium er is niets anders dan dat de partitie standaard wordt uitgevoerd en dat de harde schijf al in de installatiefase is voorbereid voor daaropvolgende codering. Het enige dat opvalt is de grootte: 200 MB versus 1,5 GB in Windows Vista. Natuurlijk is een dergelijke verdeling van de schijf in partities veel handiger, omdat de gebruiker bij het installeren van het besturingssysteem vaak niet meteen nadenkt over de vraag of hij de harde schijf zal coderen.

In het geval van Windows 7, onmiddellijk na installatie van het besturingssysteem Configuratiescherm In het gedeelte Systeem en beveiliging kunt u BitLocker-stationsversleuteling selecteren. Door op de link Bescherm uw computer door gegevens op uw schijf te versleutelen te klikken, wordt u naar het venster geleid dat wordt weergegeven in .

Let op (rood gemarkeerd in de afbeelding) welke functies ontbreken of anders zijn georganiseerd in Windows Vista. Ja, in Windows Vista verwisselbare media konden alleen worden gecodeerd als ze op bestanden gebaseerd gebruikten NTFS-systeem, en de codering werd uitgevoerd volgens dezelfde regels als voor harde schijven. En het was mogelijk om de tweede partitie van de harde schijf (in dit geval station D:) pas te coderen nadat de systeempartitie (station C:) was gecodeerd.

Denk echter niet dat zodra u BitLocker inschakelen kiest, alles naar behoren zal werken. Wanneer u BitLocker zonder extra opties inschakelt, krijgt u alleen maar harde encryptie schijf op deze computer zonder gebruik te maken van de TRM-module.

Gebruikers in sommige landen, bijvoorbeeld in de Russische Federatie of Oekraïne, hebben echter simpelweg geen andere keus, aangezien de import van computers met TRM in deze landen verboden is. In dit geval worden we, nadat we op BitLocker inschakelen hebben geklikt, naar scherm 3 geleid.

Als het mogelijk is om TPM te gebruiken of als het nodig is om de volledige kracht van codering te gebruiken, moet u de Groepsbeleid-editor gebruiken door gpedit.msc op de opdrachtregel te typen. Er wordt een editorvenster geopend (zie).

Laten we de instellingen voor Groepsbeleid die u kunnen helpen bij het beheren van BitLocker-codering eens nader bekijken.

Instellingen voor BitLocker-groepsbeleid Bewaar BitLocker-herstelinformatie in Actieve map Domeinservices (Windows Server 2008 en Windows Vista). Door te gebruiken Groepsbeleid kunt u Active Directory Domain Services (AD DS) instellen om een back-up van informatie te maken voor later herstel van BitLocker Drive Encryption. Deze kans Geldt alleen voor computers met Windows Server 2008 of Windows Vista.

Als u deze optie instelt en u BitLocker inschakelt, wordt de informatie die nodig is om deze te herstellen automatisch gekopieerd naar AD DS. Als u deze beleidsinstelling uitschakelt of op de standaardwaarde laat staan, worden de herstelgegevens van BitLocker niet naar AD DS gekopieerd.

Kies de standaardmap voor het herstelwachtwoord. Met deze optie kunt u de standaardmap instellen die de wizard BitLocker Drive Encryption weergeeft wanneer u wordt gevraagd naar de locatie van de map waarin u het herstelwachtwoord wilt opslaan. Deze instelling is van toepassing wanneer BitLocker-codering is ingeschakeld. De gebruiker kan het herstelwachtwoord in een andere map opslaan.

Kies hoe gebruikers door BitLocker beveiligde schijven kunnen herstellen (Windows Server 2008 en Windows Vista). Met deze optie kunt u de herstelmodi van BitLocker beheren die door de installatiewizard worden weergegeven. Dit beleid is van toepassing op actieve computers Windows-besturing Server 2008 en Windows Vista. Deze instelling is van toepassing wanneer BitLocker is ingeschakeld.

Om versleutelde gegevens te herstellen, kan de gebruiker het 48-cijferige wachtwoord gebruiken digitaal wachtwoord of een USB-schijf met een 256-bits herstelsleutel.

Met deze optie kunt u toestaan dat een 256-bits wachtwoordsleutel wordt opgeslagen op een USB-station als verborgen bestand en een tekstbestand dat de 48 cijfers van het herstelwachtwoord bevat. Als u deze groepsbeleidsregel uitschakelt of niet configureert, kunt u met de BitLocker-installatiewizard herstelopties selecteren.

Kies de schijfversleutelingsmethode en coderingssterkte. Met behulp van deze regel kunt u het coderingsalgoritme en de lengte van de te gebruiken sleutel selecteren. Als de schijf al is gecodeerd en u besluit vervolgens de sleutellengte te wijzigen, gebeurt er niets. De standaardversleutelingsmethode is AES met een 128-bits sleutel en diffuser.

Geef de unieke ID's voor uw organisatie op. Deze regel Met dit beleid kunt u unieke ID's maken voor elke nieuwe schijf die eigendom is van de organisatie en wordt beschermd door BitLocker. Deze identificatiegegevens worden opgeslagen als het eerste en tweede veld van de identificatie. In het eerste identificatieveld kunt u instellen unieke identificatie organisatie naar door BitLocker beveiligde schijven. Deze ID wordt automatisch toegevoegd aan nieuwe door BitLocker beveiligde schijven en kan worden bijgewerkt bestaande schijven, gecodeerd met BitLocker met behulp van opdrachtregelsoftware - Manage-BDE.

Het tweede ID-veld wordt gebruikt in combinatie met de beleidsregel Toegang tot niet-BitLocker verwijderbare media weigeren en kan worden gebruikt om verwisselbare schijven te beheren. Met een combinatie van deze velden kunt u bepalen of een schijf bij uw organisatie hoort.

Als de waarde van deze regel ongedefinieerd of uitgeschakeld is, zijn identificatievelden niet vereist. Het identificatieveld kan maximaal 260 tekens lang zijn.

Voorkom geheugenoverschrijving bij opnieuw opstarten. Deze regel verbetert de prestaties van uw computer door te voorkomen dat het geheugen wordt overschreven. Houd er echter rekening mee dat BitLocker-sleutels niet uit het geheugen worden verwijderd.

Als deze regel is uitgeschakeld of niet is geconfigureerd, worden BitLocker-sleutels uit het geheugen verwijderd wanneer de computer opnieuw wordt opgestart. Om de bescherming te verbeteren, moet deze regel in de standaardstatus blijven staan.

Configureer de object-ID van het smartcardcertificaat. Met deze regel kan de object-ID van het smartcardcertificaat worden gekoppeld aan een met BitLocker gecodeerd station.

Vaste datadrives

IN deze sectie beschrijft de groepsbeleidsregels die worden toegepast op gegevensschijven (niet op systeempartities).

Configureer het gebruik van smartcards op vaste dataschijven. Deze regel bepaalt of smartcards kunnen worden gebruikt om toegang te verlenen tot gegevens op de harde schijf van de computer. Als u deze regel uitschakelt, kunnen smartcards niet worden gebruikt. Standaard kunnen smartcards worden gebruikt.

Weiger schrijftoegang tot vaste schijven die niet door BitLocker worden beschermd. Deze regel bepaalt of u wel of niet kunt schrijven naar schijven die niet door BitLocker worden beschermd. Als deze regel is gedefinieerd, zijn alle schijven die niet door BitLocker worden beschermd, alleen-lezen. Als de schijf is gecodeerd met BitLocker, is deze leesbaar en beschrijfbaar. Als deze regel is uitgeschakeld of niet is gedefinieerd, zijn alle harde schijven op de computer leesbaar en beschrijfbaar.

Sta toegang toe tot door BitLocker beveiligde vaste gegevensstations vanuit eerdere versies van Windows. Deze beleidsregel bepaalt of stations met bestandsbestanden dit mogen doen FAT-systeem worden ontgrendeld en gelezen op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.

Als deze regel is ingeschakeld of niet is geconfigureerd, worden gegevensstations geformatteerd met bestandssysteem FAT-bestanden kunnen worden gelezen op computers met de hierboven genoemde besturingssystemen. Als deze regel is uitgeschakeld, kunnen de bijbehorende schijven niet worden ontgrendeld op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op NTFS-geformatteerde schijven.

Deze regel bepaalt of er een wachtwoord vereist is om met BitLocker beveiligde schijven te ontgrendelen. Als u een wachtwoord wilt gebruiken, kunt u vereisten voor wachtwoordcomplexiteit en een minimale wachtwoordlengte instellen. Het is de moeite waard om te overwegen dat u, om complexiteitsvereisten in te stellen, de vereiste voor wachtwoordcomplexiteit moet instellen in de sectie "Wachtwoordbeleid" van Groepsbeleid.

Als deze regel is gedefinieerd, kunnen gebruikers wachtwoorden configureren die aan de geselecteerde vereisten voldoen. Het wachtwoord moet minimaal 8 tekens lang zijn (standaard).

Kies hoe door BitLocker beveiligde vaste schijven kunnen worden hersteld. Met deze regel kunt u het herstel van gecodeerde schijven beheren. Als het niet is geconfigureerd of geblokkeerd, zijn standaard herstelopties beschikbaar.

Besturingssysteemschijven

In dit gedeelte worden de groepsbeleidsregels beschreven die van toepassing zijn op besturingssysteempartities (meestal station C:).

Extra authenticatie vereisen bij het opstarten. Met deze groepsbeleidsregel kunt u instellen dat de Trusted Platform Module (TMP) wordt gebruikt voor authenticatie. Het is de moeite waard om te overwegen dat bij het opstarten slechts één van de functies kan worden opgegeven, anders zal er een fout optreden bij de implementatie van het beleid.

Als dit beleid is ingeschakeld, kunnen gebruikers geavanceerde opstartopties configureren in de BitLocker-installatiewizard. Als het beleid is uitgeschakeld of niet is geconfigureerd, kan de basisfunctionaliteit alleen worden geconfigureerd op computers waarop TPM wordt uitgevoerd. Als u een pincode en een USB-station wilt gebruiken, moet u BitLocker configureren met behulp van de bde-opdrachtregel in plaats van de BitLocker Drive Encryption-wizard.

Extra authenticatie vereisen bij het opstarten (Windows Server 2008 en Windows Vista). Dit beleid is alleen van toepassing op computers met Windows 2008 of Windows Vista. Op computers die zijn uitgerust met een TPM kunt u een extra beveiligingsoptie instellen: een pincode (4 tot 20 cijfers). Op computers die niet zijn uitgerust met TRM wordt een USB-schijf met sleutelinformatie gebruikt.

Als deze parameter is ingeschakeld, geeft de wizard een venster weer waarin de gebruiker kan configureren extra opties start BitLocker. Als deze optie is uitgeschakeld of niet is geconfigureerd, geeft de installatiewizard de basisstappen weer voor het uitvoeren van BitLocker op computers met TPM.

Configureer de minimale pincodelengte voor opstarten. Deze optie specificeert de minimale pincodelengte die vereist is om de computer op te starten. De pincode kan variëren van 4 tot 20 cijfers.

Kies hoe door BitLocker beveiligde besturingssysteemschijven kunnen worden hersteld. Deze groepsbeleidsregel kan worden gebruikt om te bepalen hoe met BitLocker gecodeerde schijven worden hersteld als de coderingssleutel ontbreekt.

Configureer het TPM-platformvalidatieprofiel. Met deze regel kunt u de TRM-module configureren. Als er geen overeenkomstige module is, is deze regel niet van toepassing.

Als u deze regel inschakelt, kunt u opgeven welke componenten bootstrap wordt geverifieerd door TPM voordat toegang wordt verleend tot de gecodeerde schijf.

Verwisselbare gegevensschijven

Beheer het gebruik van BitLocker op verwisselbare schijven. Deze groepsbeleidsregel kan worden gebruikt om de BitLocker-codering op verwisselbare schijven te beheren. U kunt kiezen welke instellingen gebruikers kunnen gebruiken om BitLocker te configureren. Als u wilt dat de wizard voor het instellen van de BitLocker-codering op een verwisselbare schijf wordt uitgevoerd, moet u Gebruikers toestaan BitLocker-beveiliging op verwisselbare gegevensschijven toe te passen selecteren.

Als u Gebruikers toestaan om BitLocker op verwisselbare gegevensstations op te schorten en te decoderen selecteert, kan de gebruiker uw verwisselbare schijf ontsleutelen of de codering pauzeren.

Als dit beleid niet is geconfigureerd, kunnen gebruikers BitLocker inschakelen verwisselbare media. Als de regel is uitgeschakeld, kunnen gebruikers BitLocker niet gebruiken op verwisselbare schijven.

Configureer het gebruik van smartcards op verwisselbare gegevensschijven. Deze beleidsinstelling bepaalt of smartcards kunnen worden gebruikt om een gebruiker te verifiëren en toegang te krijgen tot verwisselbare schijven op een computer.

Weiger schrijftoegang tot verwisselbare schijven die niet door BitLocker worden beschermd. Deze beleidsregel kan worden gebruikt om te voorkomen dat er wordt geschreven naar verwisselbare schijven die niet worden beschermd door BitLocker. In dit geval zijn alle verwisselbare schijven die niet door BitLocker worden beschermd, alleen-lezen.

Als u de optie Schrijftoegang weigeren voor apparaten die in een andere organisatie zijn geconfigureerd selecteert, is schrijven alleen beschikbaar op verwisselbare schijven die tot uw organisatie behoren. De controle wordt uitgevoerd op basis van twee identificatievelden die zijn gedefinieerd in de groepsbeleidsregel Geef de unieke ID's op voor uw organisatie.

Als u deze regel uitschakelt of als deze niet is geconfigureerd, zijn alle verwisselbare schijven beschikbaar voor zowel lezen als schrijven. Deze regel kan worden overschreven door de beleidsinstellingen GebruikersconfiguratieBeheersjablonenSysteemVerwijderbare opslagtoegang. Als de regel Verwisselbare schijven: Schrijftoegang weigeren is ingeschakeld, wordt deze regel genegeerd.

Sta toegang toe tot door BitLocker beveiligde verwisselbare gegevensstations uit eerdere versies van Windows. Deze regel bepaalt of FAT-geformatteerde verwisselbare schijven kunnen worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.

Als deze regel is ingeschakeld of niet is geconfigureerd, kunnen verwisselbare schijven met het FAT-bestandssysteem worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. In dit geval zijn deze schijven alleen-lezen.

Als deze regel wordt geblokkeerd, kunnen de bijbehorende verwisselbare schijven niet worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op schijven die zijn geformatteerd met NTFS.

Configureer de vereisten voor wachtwoordcomplexiteit en de minimale lengte. Deze beleidsregel bepaalt of verwisselbare schijven die zijn vergrendeld met BitLocker moeten worden ontgrendeld met een wachtwoord. Als u een wachtwoord toestaat, kunt u vereisten voor de wachtwoordcomplexiteit en een minimale lengte instellen. Het is de moeite waard om te overwegen dat in dit geval de complexiteitsvereisten moeten samenvallen met de vereisten van het wachtwoordbeleid. ComputerconfiguratieWindows-instellingenBeveiligingsinstellingenAccountbeleidWachtwoordbeleid

Kies hoe met BitLocker beveiligde verwisselbare schijven kunnen worden hersteld. Met deze regel kunt u selecteren hoe met BitLocker beveiligde verwisselbare schijven worden hersteld.

Laten we verder gaan met het coderingsproces. Veranderingen in Groepsbeleid maken een breder gebruik van de versleutelingsmogelijkheden van BitLocker mogelijk, en om de vaardigheden om ermee te werken te consolideren, zullen we proberen het volgende te versleutelen: systeem schijf, gegevensschijf, verwisselbare media, zowel NTFS als FAT (we gaan ervan uit dat op de computer een TRM-module is geïnstalleerd).

Bovendien moeten we controleren of onze verwisselbare media die zijn geformatteerd onder FAT beschikbaar zullen zijn op een computer met zowel Windows XP SP2 als Windows Vista SP1.

Selecteer om te beginnen in het BitLocker-groepsbeleid het coderingsalgoritme en de sleutellengte (zie).

Selecteer vervolgens in de sectie Besturingssysteemstation de regel Extra authenticatie vereisen bij opstarten (zie).

Hierna zullen we de minimale pincodelengte instellen op 6 tekens met behulp van de regel Minimale pincodelengte configureren voor opstarten. Om het gegevensgedeelte te versleutelen, stellen we eisen aan de complexiteit en een minimale wachtwoordlengte van 8 tekens.

Er moet aan worden herinnerd dat dezelfde eisen moeten worden gesteld wachtwoordbeveiliging via de beleidseditor.

Voor verwisselbare schijven selecteert u de volgende instellingen:

sta niet toe dat verwisselbare schijven met het FAT-bestandssysteem onder oude worden gelezen Windows-versies;
wachtwoorden moeten voldoen aan de complexiteitseisen;
De minimale wachtwoordlengte is 8 tekens.

Gebruik hierna de opdracht gpupdate.exe/force in het opdrachtregelvenster om het beleid bij te werken.

Omdat we besloten hebben om bij elke herstart een pincode te gebruiken, selecteren we Bij elke herstart een pincode vereisen (zie scherm 7).

Hierna starten we het systeem opnieuw op en begint het proces van het coderen van schijf C.

De tweede partitie van onze harde schijf, schijf D, is op een vergelijkbare manier gecodeerd (zie scherm 8).

Voordat we schijf D coderen, moeten we een wachtwoord voor deze schijf instellen. In dit geval moet het wachtwoord voldoen aan onze vereisten voor minimale wachtwoordlengte en complexiteit. Houd er rekening mee dat u deze schijf automatisch op uw computer kunt openen. Net als voorheen slaan we het herstelwachtwoord op een USB-station op. Houd er rekening mee dat wanneer u uw wachtwoord voor de eerste keer opslaat, dit ook wordt opgeslagen in tekstbestand op dezelfde USB-stick!

Laten we nu proberen een USB-station te coderen dat is geformatteerd onder het FAT-bestandssysteem.

Het coderen van een USB-drive begint met het feit dat ons wordt gevraagd een wachtwoord in te voeren voor de toekomstige gecodeerde schijf. Volgens bepaalde beleidsregels is de minimale wachtwoordlengte 8 tekens. In dit geval moet het wachtwoord voldoen aan de complexiteitseisen. Nadat we het wachtwoord hebben ingevoerd, wordt ons gevraagd de herstelsleutel in een bestand op te slaan of af te drukken.

Nadat de codering is voltooid, proberen we dit USB-station te bekijken op een andere computer met Windows Vista Thuis premie SP1. Het resultaat wordt getoond in Figuur 9.

Zoals u kunt zien, wordt de informatie niet gelezen als de schijf verloren gaat; bovendien wordt de schijf hoogstwaarschijnlijk eenvoudigweg geformatteerd.

Wanneer u hetzelfde USB-station probeert aan te sluiten op een computer met Windows 7 Beta1, ziet u mogelijk het bericht dat wordt weergegeven in Scherm 10.

We hebben dus gekeken hoe de codering in Windows 7 zal plaatsvinden. Vergeleken met Windows Vista zijn er veel meer regels in groepsbeleid verschenen, en dienovereenkomstig zal de verantwoordelijkheid van IT-personeel voor de juiste toepassing en interactie met werknemers toenemen.