Какая функция безопасности BIOS предотвращает несанкционированное чтение данных с жесткого диска

Обновлено: 21.11.2024

Когда конфиденциальная информация, такая как информация о клиентах или другая информация, связанная с работой, обрабатывается с помощью ноутбука или настольного компьютера, каждый владелец бизнеса должен думать о безопасности данных. Ноутбуки особенно уязвимы для угроз безопасности из-за их мобильного характера. Если ноутбук потерян или украден, утечка данных может дорого обойтись.

«По сравнению со взломом защищенной сети гораздо проще загрузить информацию с незашифрованного или незащищенного ноутбука. Это реальность, которую не понимают многие владельцы бизнеса и ИТ-специалисты».

Security Boulevard

Существует множество причин для защиты ноутбуков и хранящихся в них данных, и, к счастью, существуют различные способы снижения рисков безопасности. Одним из мощных инструментов является полное шифрование диска. Полное шифрование диска – это метод защиты данных, при котором информация на носителе преобразуется в секретный формат, понятный только людям или системам, которым разрешен доступ к информации.

В этой статье мы обсудим различные методы шифрования данных и объясним, почему шифрование дисков имеет смысл. Мы также раскрываем умный способ включить шифрование диска на устройствах Microsoft Windows или Apple macOS.

Темы, которые будут затронуты в этой статье:

Что такое шифрование жесткого диска или полное шифрование диска?

По сути, под шифрованием понимается процесс кодирования данных. При шифровании диска это означает, что информация на жестком диске вашего компьютера преобразуется из открытого текста в зашифрованный текст, что делает исходную информацию нечитаемой.

Шифрование жесткого диска использует определенный алгоритм или шифр для преобразования физического диска или логического тома в нечитаемый формат, который никто не может разблокировать без секретного ключа или пароля, которые использовались для шифрования диска. Это предотвращает доступ несанкционированных лиц или хакеров к информации.

Существует два основных типа компьютерного шифрования: полное шифрование диска и шифрование на уровне файлов.

  • Full Disk Encryption (FDE) или шифрование всего диска защищает весь том и все файлы на диске от несанкционированного доступа.
  • В отличие от FDE, шифрование на уровне файлов (FLE) — это метод шифрования, который применяется на уровне файловой системы и позволяет шифровать данные в отдельных файлах и каталогах.

Полное шифрование диска и шифрование на уровне файлов не исключают друг друга. На самом деле их можно использовать одновременно для повышения уровня безопасности, поскольку они служат разным целям, но это отдельная тема.

Современные версии Windows и macOS имеют встроенные программы шифрования: BitLocker для Windows и FileVault для macOS. Существует также несколько продуктов с открытым исходным кодом для шифрования, таких как VeraCrypt, AxCrypt и Gpg4win.

Что такое BitLocker?

BitLocker — это функция полного шифрования диска Microsoft, которая обычно включается в версии Windows, ориентированные на профессиональное, деловое или организационное использование. С помощью шифрования диска BitLocker вы можете зашифровать весь диск операционной системы и/или другие диски, подключенные к вашим ПК с Windows.

BitLocker лучше всего работает с доверенным платформенным модулем (TPM), в котором хранится ключ шифрования диска. TPM — это безопасный криптопроцессор, который проверяет, осуществляется ли доступ к зашифрованным данным с правильного устройства. Шифрование диска в более новых версиях ОС Windows в значительной степени основано на TPM, но для доступа к зашифрованным данным также можно использовать ключ запуска USB. Однако он не так популярен.

Первое шифрование BitLocker обычно занимает несколько часов в зависимости от характеристик накопителя, но после этого взаимодействие с пользователем становится более или менее прозрачным. Все данные на защищенных дисках хранятся в зашифрованном виде, пока компьютер заблокирован или выключен, но когда пользователь разблокирует систему с помощью своих учетных данных Windows, все работает так же, как и в незашифрованной системе. Любые новые файлы будут автоматически шифроваться на лету.

BitLocker входит в состав Windows 7 (Enterprise и Ultimate), а также выпусков Pro, Enterprise и Education Windows 8.1 и Windows 10. Если ваша версия операционной системы поддерживает BitLocker, вы можете легко включить его на своем компьютере. Но если вам нужно применить шифрование диска к нескольким устройствам Windows, целесообразно использовать программное обеспечение UEM, например Miradore.

Что такое FileVault?

FileVault — это функция полного шифрования диска от Apple, встроенная в операционную систему Macintosh (macOS). FileVault поддерживается в Mac OS X 10.3 и более поздних версиях и обеспечивает надежное шифрование файлов и данных на компьютерах Mac, защищая весь диск и все файлы, расположенные на диске — точно так же, как BitLocker для Windows. Если этот параметр включен, FileVault работает в фоновом режиме, шифруя все данные устройства на лету без сбоев.

Как и в случае с BitLocker, вам не нужен дополнительный пароль для использования ваших файлов. Просто введите свой идентификатор пользователя и пароль при входе в систему на своем компьютере, и все готово. Однако для восстановления зашифрованных данных необходим ключ восстановления FileVault, который создается при первом включении FileVault.

Если вы отвечаете за управление несколькими компьютерами Mac, вы можете легко применить шифрование дисков как массовое развертывание с помощью Miradore.

Должен ли я использовать шифрование диска FileVault или BitLocker?

Если вам нужен доступ к конфиденциальной информации, такой как медицинские записи, данные клиентов или информация о кредитной карте, на вашем компьютере, используйте FileVault и BitLocker. Это довольно легко реализовать и просто для конечных пользователей, поскольку им не нужно беспокоиться о сохранении своих файлов в определенной папке.

Если вам нужен доступ к конфиденциальной информации, такой как медицинские записи, данные клиентов или информация о кредитной карте, на вашем компьютере, используйте FileVault и BitLocker.

Одним из основных преимуществ технологий полного шифрования диска является полная автоматизация, которую они обеспечивают. После активации BitLocker или FileVault эти методы шифрования будут работать сами по себе, шифруя все на лету. Пользователям устройств больше не придется даже думать о шифровании.

Если ноутбук когда-либо будет утерян, украден или выведен из эксплуатации ненадлежащим образом, есть вероятность, что данные останутся в безопасности даже в этом случае, поскольку доступ к зашифрованным дискам без знания ключа дешифрования чрезвычайно затруднен. Это не относится к незащищенным дискам, к которым злоумышленник может получить доступ, просто подключив их к другому компьютеру.

Полное шифрование диска — отличный способ защитить конфиденциальные данные клиентов.

Кроме того, современные компании должны соблюдать правила и политики защиты данных, такие как GDPR, HIPAA и CJIS, а полное шифрование диска — отличный способ защитить конфиденциальные данные клиентов.

Недостатки шифрования диска

Несмотря на то, что использование шифрования может показаться легкой задачей, многие организации по разным причинам не решаются внедрить шифрование дисков. Например, может возникнуть неуверенность в том, как разумно внедрить шифрование, или опасения по поводу того, какие проблемы шифрование может вызвать для восстановления данных, если компьютер сломается или пользователь забудет свой пароль для входа.

"У кого есть время и компетенция для включения шифрования?"

"Как узнать, какие диски зашифрованы, а какие нет?"

"Кто и где должен хранить ключи восстановления?"

Приведенные выше вопросы являются примерами обоснованных опасений, которые могут замедлить внедрение шифрования дисков. К счастью, со всеми ними можно легко справиться с помощью правильных инструментов, таких как Miradore.

Кроме того, некоторые могут быть обеспокоены тем, как шифрование диска влияет на производительность компьютера, но с современными компьютерами Windows и Mac заметных изменений не наблюдается.

Как включить шифрование BitLocker?

Включение BitLocker вручную на самом деле довольно просто и просто, если на вашем компьютере с Windows установлена ​​правильная версия операционной системы. Пользователь устройства может включить шифрование диска BitLocker в проводнике Windows, щелкнув диск правой кнопкой мыши и выбрав «Включить BitLocker». После этого пользователю предлагается выбрать способ сохранения ключа восстановления BitLocker. Крайне важно хранить ключ восстановления в надежном месте, так как он понадобится вам для разблокировки диска.

Звучит просто, но быстро усложняется, если десятки или сотни пользователей должны пройти пошаговые инструкции по реализации и если нет централизованного способа хранения ключей восстановления.

И тут в дело вступает Мирадор.

Miradore упрощает включение BitLocker на всех ваших устройствах Windows. Вы можете создать профиль конфигурации, который определяет нужные параметры шифрования BitLocker. Вам нужно только выбрать, хотите ли вы зашифровать системный диск или все несъемные диски компьютера — и все. При желании вы также можете выбрать предпочтительный режим шифрования.

Создание профиля конфигурации для шифрования диска в Miradore

Затем вы можете удаленно развернуть профиль конфигурации на любом количестве компьютеров с Windows, а Miradore сделает все возможное, чтобы включить BitLocker.

Развертывание созданного профиля конфигурации на нескольких компьютерах Windows

Miradore неустанно применяет одни и те же настройки шифрования ко всем компьютерам без риска человеческой ошибки и, что лучше всего, автоматически сохраняет ключи восстановления со всех устройств в одном месте — на вашем сайте Miradore. Вы можете быть уверены, что пользователям устройства не нужно беспокоить вас вопросами, а ключи восстановления хранятся надлежащим образом. Другие пользователи, кроме администраторов, не могут видеть сохраненные ключи восстановления на вашем сайте Miradore.

Miradore хранит ключи восстановления BitLocker в одном месте

Более того, Miradore показывает, какие диски на ваших компьютерах, управляемых Miradore, защищены с помощью BitLocker, что упрощает отслеживание состояния шифрования дисков ваших устройств Windows.

Просмотр состояния шифрования BitLocker на ваших устройствах Windows

Вы также можете добавить профиль конфигурации шифрования BitLocker как часть бизнес-политики, которая позволяет автоматизировать настройку устройств.

Как включить шифрование диска FileVault?

Включение шифрования диска FileVault работает аналогично включению BitLocker. В Системных настройках нажмите «Безопасность и конфиденциальность», перейдите на вкладку FileVault и нажмите кнопку «Заблокировать». После ввода имени администратора и пароля вы можете включить FileVault.

Miradore поддерживает шифрование диска FileVault для устройств с macOS 10.9 и более поздних версий. Процедура внедрения следует той же схеме, что и для BitLocker, за некоторыми исключениями. Вы можете включить FileVault на своих устройствах Mac, создав профиль конфигурации, определяющий правильные параметры шифрования, и удаленно развернуть этот профиль конфигурации на нескольких компьютерах Mac. С помощью виджета панели инструментов Miradore вы можете просматривать состояние шифрования дисков FileVault на вашем парке устройств.

Просмотр состояния шифрования FileVault на компьютерах Mac

С FileVault вы можете выбрать, хотите ли вы использовать личные, институциональные или оба типа ключей восстановления для разблокировки шифрования. Персональный ключ восстановления всегда зависит от устройства и будет автоматически генерироваться на целевом устройстве при включении шифрования. Пользователь устройства несет ответственность за запись и хранение персонального ключа восстановления. Институциональный ключ, с другой стороны, предназначен для организаций, чтобы разблокировать зашифрованные диски. Как уже говорилось, также можно использовать оба типа ключей, что означает, что зашифрованный диск можно разблокировать с помощью правильного личного или корпоративного ключа.

Рекомендации по шифрованию дисков

При планировании полного шифрования диска следует помнить о нескольких вещах:

  • Создавайте резервные копии файлов. Обязательно делайте резервные копии файлов перед шифрованием и регулярно после его включения. Это гарантирует, что вы сможете быстро восстановить файлы, если что-то случится с вашим жестким диском.
  • Используйте надежный пароль. Поскольку учетные данные Windows и Mac используются для доступа к зашифрованным файлам и документам, обязательно используйте надежный пароль, который включает буквы и цифры.
  • Храните ключ восстановления в надежном месте. Если вы забудете пароль, ключ восстановления — это единственный способ получить доступ к зашифрованным данным. Поэтому важно хранить ключ восстановления в надежном месте. Например, вы можете использовать менеджер паролей или Miradore.

Обзор

В целом шифрование диска — это очень мощный метод защиты данных, который относительно легко реализовать с помощью соответствующих инструментов.

Использование BitLocker и FileVault может повысить безопасность данных любой организации, в которой устройства Windows и Mac используются для обработки и хранения любой ценной или конфиденциальной информации, такой как информация о клиентах, данные кредитной карты или информация о сотрудниках. С тарифным планом Miradore Premium вы можете легко и удаленно активировать BitLocker и FileVault на всех устройствах вашей организации.

Если вы отвечаете за обеспечение безопасности данных в своей организации, вы можете бесплатно протестировать премиум-план Miradore в течение 14 дней. Если вы хотите узнать больше о шифровании диска или возможностях Miradore, не стесняйтесь обращаться к нам!

Ласси Пеккаринен

Ласси был частью нашей команды с самого начала (2006 г.). За время своего пребывания здесь, в Miradore, он носил много шляп и приобрел беспрецедентный опыт в области управления устройствами.В настоящее время он работает старшим инженером-программистом в нашей команде предпродажной подготовки, помогая клиентам найти правильное решение для их нужд. Спорт и природа близки сердцу Ласси, и в свободное время он любит совмещать их, прогуливаясь по одному из многочисленных лесов Финляндии. Дайте нам знать, если заметите его там!

Статьи по теме

  • MDM делает телефоны сотрудников более безопасными, а вашу жизнь проще
  • Отделение рабочего и свободного времени с помощью рабочего профиля Android
  • Мандат ELD для транспортных компаний
  • Достичь соответствия CJIS с помощью Miradore MDM
  • Окупаемость инвестиций в управление мобильными устройствами
  • 7 шагов для включения удаленной работы в любой организации

Вы уже подписались на нашу рассылку?

Введите свой адрес электронной почты, чтобы получать последние новости и статьи Miradore прямо на ваш почтовый ящик!

Чтобы ознакомиться с нашей Политикой конфиденциальности, нажмите здесь

Начать работу с Miradore

Начните защищать свои устройства и данные уже сегодня с помощью Miradore. Создайте сайт всего за несколько минут и сразу начните добавлять устройства. Вы можете начать работу бесплатно и опробовать все функции в рамках 14-дневной пробной версии Premium.

Вы можете использовать BitLocker для предотвращения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и конфигурации загрузки. данные.

Как BitLocker работает с фиксированными и съемными дисками с данными

Вы можете использовать BitLocker для шифрования всего содержимого диска с данными. Вы можете использовать групповую политику, чтобы потребовать, чтобы BitLocker был включен на диске, прежде чем компьютер сможет записывать данные на диск. В BitLocker можно настроить различные методы разблокировки для дисков с данными, а диск с данными поддерживает несколько методов разблокировки.

Поддерживает ли BitLocker многофакторную аутентификацию?

Да, BitLocker поддерживает многофакторную аутентификацию для дисков операционной системы. Если вы включите BitLocker на компьютере с доверенным платформенным модулем версии 1.2 или более поздней, вы сможете использовать дополнительные формы проверки подлинности с защитой доверенного платформенного модуля.

Каковы требования BitLocker к оборудованию и программному обеспечению?

Динамические диски не поддерживаются BitLocker. Объемы динамических данных не будут отображаться в Панели управления. Хотя том операционной системы всегда будет отображаться на панели управления, независимо от того, является ли он динамическим диском, если это динамический диск, он не может быть защищен BitLocker.

Зачем нужны два раздела? Почему системный диск должен быть таким большим?

Для запуска BitLocker требуются два раздела, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться в отдельном разделе от зашифрованного диска операционной системы. Эта конфигурация помогает защитить операционную систему и информацию на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает TPM версии 1.2 или выше. Для поддержки BitLocker для TPM 2.0 требуется унифицированный расширяемый интерфейс встроенного ПО (UEFI) для устройства.

TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. Для устройств с TPM 2.0 режим BIOS должен быть настроен только как собственный UEFI. Параметры модуля поддержки старых версий и совместимости (CSM) должны быть отключены. Для дополнительной безопасности включите функцию безопасной загрузки.

Операционная система, установленная на оборудовании в устаревшем режиме, остановит загрузку ОС при изменении режима BIOS на UEFI. Используйте инструмент MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск для поддержки UEFI.

Как узнать, есть ли на моем компьютере доверенный платформенный модуль?

Начиная с Windows 10 версии 1803, вы можете проверить состояние TPM в Центре безопасности Защитника Windows > Безопасность устройства > Сведения об процессоре безопасности. В предыдущих версиях Windows откройте консоль TPM MMC (tpm.msc) и посмотрите под заголовком Состояние. Вы также можете запустить Get-TPM** в PowerShell, чтобы получить дополнительные сведения о TPM на текущем компьютере.

Можно ли использовать BitLocker на диске операционной системы без TPM?

Да, вы можете включить BitLocker на диске с операционной системой без TPM версии 1.2 или выше, если прошивка BIOS или UEFI имеет возможность чтения с USB-накопителя в загрузочной среде. Это связано с тем, что BitLocker не разблокирует защищенный диск до тех пор, пока собственный главный ключ тома BitLocker не будет сначала выпущен либо доверенным платформенным модулем компьютера, либо флэш-накопителем USB, содержащим ключ запуска BitLocker для этого компьютера. Однако компьютеры без TPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства в процессе загрузки, используйте проверку системы BitLocker как часть процесса установки BitLocker.Эта проверка системы выполняет тесты, чтобы убедиться, что компьютер может правильно считывать данные с USB-устройств в нужное время и что компьютер соответствует другим требованиям BitLocker.

Как получить поддержку BIOS для TPM на моем компьютере?

Обратитесь к производителю компьютера, чтобы запросить загрузочную прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG), которая отвечает следующим требованиям:

  • Он соответствует стандартам TCG для клиентских компьютеров.
  • Он имеет безопасный механизм обновления, помогающий предотвратить установку вредоносного BIOS или загрузочного микропрограммного обеспечения на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Чтобы включать, выключать или изменять конфигурации BitLocker в операционной системе и на несъемных дисках с данными, требуется членство в локальной группе администраторов. Обычные пользователи могут включать, выключать или изменять настройки BitLocker на съемных дисках с данными.

Каков рекомендуемый порядок загрузки для компьютеров, которые будут защищены с помощью BitLocker?

Вы должны настроить параметры запуска вашего компьютера так, чтобы жесткий диск был первым в порядке загрузки, перед любыми другими дисками, такими как дисководы CD/DVD или USB-накопители. Если жесткий диск не является первым и вы обычно загружаетесь с жесткого диска, то изменение порядка загрузки может быть обнаружено или предположено, когда во время загрузки будет обнаружен съемный носитель. Порядок загрузки обычно влияет на измерение системы, которое проверяется BitLocker, и изменение порядка загрузки приведет к тому, что вам будет предложено ввести ключ восстановления BitLocker. По той же причине, если у вас есть ноутбук с док-станцией, убедитесь, что жесткий диск стоит первым в порядке загрузки как при подключении, так и при отключении.

Windows использует такие технологии, как доверенный платформенный модуль (TPM), безопасная загрузка и измеряемая загрузка, чтобы защитить ключи шифрования BitLocker от атак. BitLocker является частью стратегического подхода к защите данных от атак в автономном режиме с помощью технологии шифрования. Данные на потерянном или украденном компьютере уязвимы. Например, это может быть несанкционированный доступ либо путем запуска против него средства программной атаки, либо путем переноса жесткого диска компьютера на другой компьютер.

BitLocker помогает предотвратить несанкционированный доступ к данным на утерянных или украденных компьютерах до запуска авторизованной операционной системы:

  • Шифрование томов на вашем компьютере. Например, вы можете включить BitLocker для тома операционной системы или тома на фиксированном или съемном диске с данными (например, на USB-накопителе, SD-карте и т. д.). Включение BitLocker для тома с операционной системой шифрует все системные файлы на томе, включая файлы подкачки и файлы гибернации. Единственным исключением является системный раздел, который включает в себя диспетчер загрузки Windows и минимальное загрузочное обеспечение, необходимое для расшифровки тома операционной системы после распечатывания ключа.
  • Обеспечение целостности компонентов ранней загрузки и данных конфигурации загрузки. На устройствах с доверенным платформенным модулем версии 1.2 или более поздней BitLocker использует расширенные возможности безопасности доверенного платформенного модуля, чтобы сделать данные доступными только в том случае, если код микропрограммы и конфигурация BIOS компьютера, исходная последовательность загрузки, загрузочные компоненты и конфигурация BCD отображаются без изменений, а зашифрованное диск находится на исходном компьютере. В системах, использующих TPM PCR[7], изменения настроек BCD, считающиеся безопасными, разрешены для повышения удобства использования.

В следующих разделах приведены дополнительные сведения о том, как Windows защищает от различных атак на ключи шифрования BitLocker в Windows 11, Windows 10, Windows 8.1 и Windows 8.

Дополнительные сведения о том, как включить наилучшую общую конфигурацию безопасности для устройств, начиная с Windows 10 версии 1803 или Windows 11, см. в разделе Стандарты для высокозащищенных устройств Windows.

Защита перед запуском

Перед запуском Windows вы должны полагаться на функции безопасности, реализованные как часть аппаратного и микропрограммного обеспечения устройства, включая TPM и безопасную загрузку. К счастью, многие современные компьютеры оснащены доверенным платформенным модулем и функцией безопасной загрузки.

Доверенный платформенный модуль

Доверенный платформенный модуль (TPM) — это микрочип, предназначенный для обеспечения основных функций, связанных с безопасностью, в первую очередь с использованием ключей шифрования. На некоторых платформах TPM также может быть реализован как часть защищенного встроенного ПО. BitLocker связывает ключи шифрования с доверенным платформенным модулем, чтобы гарантировать, что компьютер не был взломан, пока система находилась в автономном режиме. Дополнительные сведения о TPM см. в разделе Доверенный платформенный модуль.

UEFI и безопасная загрузка

Unified Extensible Firmware Interface (UEFI) – это программируемая загрузочная среда, которая инициализирует устройства и запускает загрузчик операционной системы.

Спецификация UEFI определяет процесс проверки подлинности выполнения встроенного ПО, называемый безопасной загрузкой. Безопасная загрузка блокирует ненадежные микропрограммы и загрузчики (подписанные или неподписанные) от возможности запуска в системе.

По умолчанию BitLocker обеспечивает защиту целостности для безопасной загрузки с помощью измерения TPM PCR[7]. Неавторизованная прошивка EFI, загрузочное приложение EFI или загрузчик не могут запуститься и получить ключ BitLocker.

Атаки BitLocker и сброса

Для защиты от злонамеренных атак сброса BitLocker использует защиту от атак сброса TCG, также известную как бит MOR (запрос на перезапись памяти), перед извлечением ключей в память.

Это не защищает от физических атак, когда злоумышленник открывает корпус и атакует оборудование.

Политики безопасности

В следующих разделах рассматриваются предзагрузочная проверка подлинности и политики прямого доступа к памяти, которые могут обеспечить дополнительную защиту для BitLocker.

Аутентификация перед загрузкой

Проверка подлинности перед загрузкой с помощью BitLocker — это параметр политики, который требует использования любого пользовательского ввода, например PIN-кода, ключа запуска, или и того, и другого для проверки подлинности перед тем, как сделать содержимое системного диска доступным. Параметр групповой политики требует дополнительной проверки подлинности при запуске, а соответствующий параметр в CSP BitLocker — SystemDrivesRequireStartupAuthentication.

BitLocker получает доступ к ключам шифрования и сохраняет их в памяти только после завершения предзагрузочной аутентификации. Если Windows не может получить доступ к ключам шифрования, устройство не может читать или редактировать файлы на системном диске. Единственный способ обойти предзагрузочную аутентификацию — ввести ключ восстановления.

Предзагрузочная проверка подлинности предназначена для предотвращения загрузки ключей шифрования в системную память без предоставления доверенным пользователем другого фактора проверки подлинности, например PIN-кода или ключа запуска. Это помогает смягчить атаки прямого доступа к памяти и остаточной памяти.

На компьютерах с совместимым доверенным платформенным модулем диски операционной системы, защищенные с помощью BitLocker, можно разблокировать четырьмя способами:

  • Только TPM. Использование проверки только TPM не требует взаимодействия с пользователем для разблокировки и предоставления доступа к диску. Если проверка TPM завершается успешно, вход пользователя в систему аналогичен стандартному входу в систему. Если доверенный платформенный модуль отсутствует или изменен либо если BitLocker обнаруживает изменения в коде или конфигурации BIOS или UEFI, важных файлах запуска операционной системы или конфигурации загрузки, BitLocker переходит в режим восстановления, и пользователь должен ввести пароль восстановления, чтобы восстановить доступ к данные. Этот вариант более удобен для входа, но менее безопасен, чем другие варианты, требующие дополнительного фактора аутентификации.
  • TPM с ключом запуска. В дополнение к защите, которую обеспечивает только TPM, часть ключа шифрования хранится на флэш-накопителе USB, который называется ключом запуска. Доступ к данным на зашифрованном томе без ключа запуска невозможен.
  • TPM с PIN-кодом. В дополнение к защите, которую обеспечивает доверенный платформенный модуль, BitLocker требует, чтобы пользователь ввел ПИН-код. Доступ к данным на зашифрованном томе невозможен без ввода PIN-кода. Доверенные платформенные модули также имеют защиту от взлома, предназначенную для предотвращения атак методом грубой силы, которые пытаются определить PIN-код.
  • TPM с ключом запуска и PIN-кодом. В дополнение к защите основного компонента, которую обеспечивает только TPM, часть ключа шифрования хранится на флэш-накопителе USB, и для аутентификации пользователя в TPM требуется PIN-код. Эта конфигурация обеспечивает многофакторную аутентификацию, поэтому в случае утери или кражи USB-ключа его нельзя будет использовать для доступа к накопителю, поскольку также требуется правильный PIN-код.

В следующем примере групповой политики для разблокировки диска операционной системы требуется TPM + PIN-код:

Предзагрузочная проверка подлинности с помощью PIN-кода может смягчить вектор атаки для устройств, использующих загрузочный eDrive, поскольку незащищенная шина eDrive может позволить злоумышленнику захватить ключ шифрования BitLocker во время запуска. Проверка подлинности перед загрузкой с помощью PIN-кода также может смягчить атаки порта DMA в течение промежутка времени между моментом, когда BitLocker разблокирует диск, и загрузкой Windows до такой степени, что Windows может установить любые настроенные политики, связанные с портом.

С другой стороны, запросы проверки подлинности перед загрузкой могут быть неудобны для пользователей. Кроме того, пользователям, которые забыли свой PIN-код или потеряли ключ запуска, будет отказано в доступе к их данным до тех пор, пока они не смогут связаться со службой поддержки своей организации для получения ключа восстановления. Проверка подлинности перед загрузкой также может затруднить обновление автоматических рабочих столов и удаленно управляемых серверов, поскольку при перезагрузке компьютера или выходе из спящего режима необходимо вводить PIN-код.

Для решения этих проблем можно развернуть сетевую разблокировку BitLocker.Сетевая разблокировка позволяет системам в пределах физического периметра безопасности предприятия, которые соответствуют требованиям к оборудованию и имеют включенный BitLocker с TPM + PIN-кодом, загружаться в Windows без вмешательства пользователя. Для этого требуется прямое подключение Ethernet к корпоративному серверу служб развертывания Windows (WDS).

Защита Thunderbolt и других портов DMA

Существует несколько различных вариантов защиты портов DMA, например Thunderbolt™3. Начиная с Windows 10 версии 1803 или Windows 11, новые устройства на базе процессоров Intel имеют защиту ядра от атак DMA через порты Thunderbolt™ 3, включенную по умолчанию. Эта защита DMA ядра доступна только для новых систем, начиная с Windows 10 версии 1803 или Windows 11, так как она требует внесения изменений в системную прошивку и/или BIOS.

Вы можете использовать настольное приложение System Information (MSINFO32), чтобы проверить, включена ли на устройстве защита DMA ядра:

Если защита DMA ядра не включена, выполните следующие действия, чтобы защитить порты с поддержкой Thunderbolt™ 3:

Требовать пароль для изменения BIOS

В настройках BIOS для Intel Thunderbolt Security должна быть установлена ​​авторизация пользователя. См. документацию по Intel Thunderbolt™ 3 и безопасности в операционной системе Microsoft Windows® 10

Дополнительную безопасность DMA можно добавить путем развертывания политики (начиная с Windows 10 версии 1607 или Windows 11):

  • MDM: политика DataProtection/AllowDirectMemoryAccess
  • Групповая политика: отключать новые устройства DMA, когда этот компьютер заблокирован (этот параметр не настроен по умолчанию).

Для Thunderbolt v1 и v2 (разъем DisplayPort) см. раздел «Смягчение последствий Thunderbolt» в статье 2516445 базы знаний. Для SBP-2 и 1394 (также известного как Firewire) см. раздел «Смягчение последствий для SBP-2» в статье 2516445 базы знаний.

Меры противодействия атакам

В этом разделе описаны меры противодействия определенным типам атак.

Буткиты и руткиты

Злоумышленник, присутствующий физически, может попытаться установить буткит или программу, подобную руткиту, в цепочку загрузки, пытаясь украсть ключи BitLocker. Доверенный платформенный модуль должен отслеживать эту установку с помощью измерений PCR, и ключ BitLocker не будет выпущен. Это конфигурация по умолчанию.

Для эшелонированной защиты рекомендуется использовать пароль BIOS на тот случай, если BIOS предоставляет параметры, которые могут ослабить обещание безопасности BitLocker. Intel Boot Guard и AMD Hardware Verified Boot поддерживают более надежные реализации безопасной загрузки, которые обеспечивают дополнительную устойчивость к вредоносным программам и физическим атакам. Intel Boot Guard и AMD Hardware Verified Boot являются частью стандартов проверки загрузки платформы для высокозащищенного устройства Windows.

Атаки методом перебора PIN-кода

Требовать TPM + PIN-код для защиты от взлома.

Атаки DMA

Файл подкачки, аварийный дамп и атаки на Hyberfil.sys

Эти файлы защищены на зашифрованном томе по умолчанию, когда BitLocker включен на дисках ОС. Он также блокирует автоматические или ручные попытки перемещения файла подкачки.

Остаточная память

Включить безопасную загрузку и запрашивать пароль для изменения настроек BIOS. Для клиентов, которым требуется защита от этих сложных атак, настройте защиту TPM + PIN, отключите управление питанием в режиме ожидания и выключите или переведите устройство в спящий режим, прежде чем оно выйдет из-под контроля авторизованного пользователя.

Контрмеры злоумышленника

В следующих разделах описаны средства защиты от различных типов злоумышленников.

Злоумышленник без особых навыков или с ограниченным физическим доступом

Физический доступ может быть ограничен форм-фактором, который не предоставляет доступ к шинам и памяти. Например, нет внешних портов с поддержкой прямого доступа к памяти, нет открытых винтов для открытия корпуса, а память припаяна к материнской плате. Этот злоумышленник не использует деструктивные методы или сложное аппаратное/программное обеспечение для криминалистики.

  • Для предзагрузочной аутентификации установлен только TPM (по умолчанию)

Атакующий с навыками и длительным физическим доступом

Целевая атака с большим запасом времени; этот злоумышленник откроет корпус, припаяет и будет использовать сложное аппаратное или программное обеспечение.

Предзагрузочная аутентификация настроена на TPM с защитой PIN-кода (со сложным буквенно-цифровым PIN-кодом [расширенный PIN-код], чтобы помочь TPM предотвратить взлом).

Отключите управление питанием в режиме ожидания и выключите или переведите устройство в спящий режим, прежде чем оно выйдет из-под контроля авторизованного пользователя. Это можно настроить с помощью групповой политики:

  • Конфигурация компьютера|Политики|Административные шаблоны|Компоненты Windows|Проводник|Отображать режим гибернации в меню параметров питания
  • Конфигурация компьютера|Политики|Административные шаблоны|Система|Управление питанием|Настройки сна|Разрешить переход в ждущий режим (S1–S3) в спящем режиме (от сети)
  • Конфигурация компьютера|Политики|Административные шаблоны|Система|Управление электропитанием|Настройки сна|Разрешить переход в ждущий режим (S1–S3) при спящем режиме (питание от батареи)

Эти параметры не настроены по умолчанию.

Для некоторых систем обход только TPM может потребовать вскрытия корпуса и пайки, но это может быть сделано по разумной цене. Обход TPM с защитой PIN-кода будет стоить намного дороже и потребует грубой силы PIN-кода. Со сложным расширенным ПИН-кодом это может быть почти невозможно. Параметр групповой политики для расширенного PIN-кода:

Конфигурация компьютера|Административные шаблоны|Компоненты Windows|Шифрование диска BitLocker|Диски операционной системы|Разрешить расширенные PIN-коды для запуска

Этот параметр не настроен по умолчанию.

Для безопасных административных рабочих станций Microsoft рекомендует TPM с защитой PIN-кода и отключением управления питанием в режиме ожидания, а также выключением или переводом устройства в спящий режим.

Крис Хоффман

Крис Хоффман
Главный редактор

Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.

Пароль Windows, Linux или Mac просто не позволяет людям войти в вашу операционную систему. Это не мешает людям загружать другие операционные системы, очищать ваш диск или использовать live CD для доступа к вашим файлам.

Прошивка BIOS или UEFI вашего компьютера позволяет устанавливать пароли более низкого уровня. Эти пароли позволяют ограничить загрузку компьютера, загрузку со съемных устройств и изменение настроек BIOS или UEFI без вашего разрешения.

Когда вы можете это сделать

Большинству людей не нужно устанавливать пароль BIOS или UEFI. Если вы хотите защитить свои конфиденциальные файлы, лучшим решением будет шифрование жесткого диска. Пароли BIOS и UEFI особенно подходят для общедоступных или рабочих компьютеров. Они позволяют запретить людям загружать альтернативные операционные системы на съемные устройства и запретить людям устанавливать другую операционную систему поверх текущей операционной системы компьютера.

Предупреждение. Обязательно запомните все установленные вами пароли. Вы можете сбросить пароль BIOS на настольном ПК, который вы можете довольно легко открыть, но этот процесс может быть намного сложнее на ноутбуке, который вы не можете открыть.

Как это работает

Допустим, вы соблюдаете правила безопасности и установили пароль для своей учетной записи пользователя Windows. Когда ваш компьютер загружается, кто-то должен будет ввести пароль вашей учетной записи пользователя Windows, чтобы использовать его или получить доступ к вашим файлам, верно? Не обязательно.

Человек может вставить съемное устройство, такое как USB-накопитель, компакт-диск или DVD-диск с операционной системой. Они могут загрузиться с этого устройства и получить доступ к живому рабочему столу Linux — если ваши файлы не зашифрованы, они могут получить доступ к вашим файлам. Пароль учетной записи пользователя Windows не защищает ваши файлы. Они также могут загрузиться с установочного диска Windows и установить новую копию Windows поверх текущей копии Windows на компьютере.

Вы можете изменить порядок загрузки, чтобы компьютер всегда загружался со своего внутреннего жесткого диска, но кто-то может войти в ваш BIOS и изменить порядок загрузки для загрузки съемного устройства.

Пароль микропрограммы BIOS или UEFI обеспечивает некоторую защиту от этого. В зависимости от того, как вы настроите пароль, людям потребуется пароль для загрузки компьютера или просто для изменения настроек BIOS.

Конечно, если кто-то имеет физический доступ к вашему компьютеру, все ставки сняты. Они могут взломать его и удалить ваш жесткий диск или вставить другой жесткий диск. Они могут использовать свой физический доступ для сброса пароля BIOS — мы покажем вам, как это сделать позже.Пароль BIOS по-прежнему обеспечивает здесь дополнительную защиту, особенно в ситуациях, когда у людей есть доступ к клавиатуре и USB-портам, но корпус компьютера заперт, и они не могут его открыть.

Как установить пароль BIOS или UEFI

Эти пароли задаются на экране настроек BIOS или UEFI. На компьютерах до Windows 8 вам потребуется перезагрузить компьютер и нажать соответствующую клавишу во время процесса загрузки, чтобы открыть экран настроек BIOS. Эта клавиша варьируется от компьютера к компьютеру, но чаще всего это F2, Delete, Esc, F1 или F10. Если вам нужна помощь, посмотрите документацию вашего компьютера или загуглите его номер модели и «ключ BIOS» для получения дополнительной информации. (Если вы собрали свой собственный компьютер, найдите ключ BIOS вашей модели материнской платы.)

На экране настроек BIOS найдите параметр пароля, настройте параметры пароля по своему усмотрению и введите пароль. Вы можете установить разные пароли — например, один пароль позволяет компьютеру загружаться, а другой — управлять доступом к настройкам BIOS.

Вы также можете посетить раздел «Порядок загрузки» и убедиться, что порядок загрузки заблокирован, чтобы люди не могли загружаться со съемных устройств без вашего разрешения.

На компьютерах, выпущенных после Windows 8, вам потребуется открыть экран настроек прошивки UEFI через параметры загрузки Windows 8. Мы надеемся, что экран настроек UEFI вашего компьютера предоставит вам вариант пароля, который работает аналогично паролю BIOS.

На компьютерах Mac перезагрузите Mac, удерживайте клавиши Command+R, чтобы загрузиться в режиме восстановления, и нажмите «Утилиты» > «Пароль встроенного ПО», чтобы установить пароль встроенного ПО UEFI.

Как сбросить пароль прошивки BIOS или UEFI

Как правило, вы можете обойти пароли BIOS или UEFI при физическом доступе к компьютеру. Это проще всего сделать на настольном компьютере, который предназначен для открытия. Пароль хранится в энергозависимой памяти, питаемой от небольшой батарейки. Сбросьте настройки BIOS, и вы сбросите пароль — это можно сделать перемычкой или вынув и снова вставив аккумулятор. Следуйте нашему руководству по очистке CMOS вашего компьютера, чтобы сбросить пароль BIOS.

Этот процесс, очевидно, будет более сложным, если у вас есть ноутбук, который вы не можете открыть. Некоторые модели компьютеров могут иметь «черный ход» паролей, которые позволяют получить доступ к BIOS, если вы забудете пароль, но не рассчитывайте на это.

Вы также можете воспользоваться профессиональными услугами для сброса забытых паролей. Например, если вы установили пароль прошивки на MacBook и забыли его, возможно, вам придется посетить магазин Apple Store, чтобы его починили.

Пароли BIOS и UEFI — это не то, что следует использовать большинству людей, но они представляют собой полезную функцию безопасности для многих общедоступных и рабочих компьютеров. Если вы управляете каким-то киберкафе, вы, вероятно, захотите установить пароль BIOS или UEFI, чтобы люди не могли загружаться в разные операционные системы на ваших компьютерах. Конечно, они могли бы обойти защиту, открыв корпус компьютера, но это сложнее, чем просто вставить флешку и перезагрузиться.

  • › Любой пользователь вашего Mac может обойти ваш пароль, если вы этого не сделаете.
  • › Почему на ПК 90-х были замки с замочной скважиной и что они делали?
  • › 8 системных функций Mac, к которым можно получить доступ в режиме восстановления
  • › Объяснение паролей жесткого диска: стоит ли устанавливать пароль для защиты файлов?
  • › Как удаленно отследить потерянный смартфон, планшет или ПК
  • › Что делает BIOS ПК и когда его следует использовать?
  • › Как загрузить Mac в режиме целевого диска для удобной передачи файлов
  • › Почему СМС должен умереть

Читайте также: