Шифрование диска в Windows 10
Обновлено: 21.11.2024
Зашифрованный жесткий диск использует быстрое шифрование, предоставляемое BitLocker Drive Encryption, для повышения безопасности данных и управления ими.
Перенося криптографические операции на аппаратное обеспечение, зашифрованные жесткие диски повышают производительность BitLocker и снижают нагрузку на ЦП и энергопотребление. Поскольку зашифрованные жесткие диски быстро шифруют данные, корпоративные устройства могут расширять развертывание BitLocker с минимальным влиянием на производительность.
Шифрованные жесткие диски – это новый класс жестких дисков, которые самошифруются на аппаратном уровне и обеспечивают полное аппаратное шифрование диска. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.
Зашифрованные жесткие диски обеспечивают:
Зашифрованные жесткие диски изначально поддерживаются в операционной системе с помощью следующих механизмов:
- Идентификация: операционная система может определить, что диск относится к типу устройств с зашифрованным жестким диском.
- Активация. Утилита управления дисками операционной системы может активировать, создавать и сопоставлять тома с диапазонами/диапазонами по мере необходимости.
- Конфигурация: операционная система может создавать и сопоставлять тома с диапазонами/диапазонами по мере необходимости.
- API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от BitLocker Drive Encryption (BDE)
- Поддержка BitLocker. Интеграция с панелью управления BitLocker обеспечивает удобный интерфейс BitLocker для конечных пользователей.
Жесткие диски с самошифрованием и жесткие диски с шифрованием для Windows — это устройства разных типов. Зашифрованные жесткие диски для Windows требуют соответствия определенным протоколам TCG, а также соответствия IEEE 1667; Самошифрующиеся жесткие диски не имеют этих требований. При планировании развертывания важно убедиться, что тип устройства — зашифрованный жесткий диск для Windows.
Если вы являетесь поставщиком устройств хранения и ищете дополнительную информацию о том, как внедрить зашифрованный жесткий диск, см. Руководство по устройству с зашифрованным жестким диском.
Системные требования
Для использования зашифрованных жестких дисков применяются следующие системные требования:
Для зашифрованного жесткого диска, используемого в качестве диска данных:
- Диск должен быть в неинициализированном состоянии.
- Диск должен быть в неактивном состоянии безопасности.
Для зашифрованного жесткого диска, используемого в качестве загрузочного диска:
- Диск должен быть в неинициализированном состоянии.
- Диск должен быть в неактивном состоянии безопасности.
- Компьютер должен быть основан на UEFI 2.3.1 и иметь определенный EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол позволяет программам, работающим в среде служб загрузки EFI, отправлять команды протокола безопасности на диск).
- На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
- Компьютер всегда должен изначально загружаться из UEFI.
Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам без RAID.
Технический обзор
Быстрое шифрование в BitLocker напрямую отвечает требованиям безопасности предприятий, обеспечивая при этом значительно более высокую производительность. В более ранних версиях Windows, чем Windows Server 2012, BitLocker требовал двухэтапного процесса для выполнения запросов на чтение и запись. В Windows Server 2012, Windows 8 или более поздних версиях зашифрованные жесткие диски переносят криптографические операции на контроллер дисков для большей эффективности. Когда операционная система идентифицирует зашифрованный жесткий диск, она активирует режим безопасности. Эта активация позволяет контроллеру привода генерировать ключ носителя для каждого тома, создаваемого хост-компьютером. Этот мультимедийный ключ, который никогда не раскрывается за пределами диска, используется для быстрого шифрования или расшифровки каждого байта данных, отправляемых или получаемых с диска.
Настройка зашифрованных жестких дисков в качестве загрузочных дисков
Настройка зашифрованных жестких дисков в качестве загрузочных выполняется теми же методами, что и стандартные жесткие диски. Эти методы включают:
- Развертывание с носителя. Настройка зашифрованных жестких дисков происходит автоматически в процессе установки.
- Развертывание из сети. Этот метод развертывания включает в себя загрузку среды Windows PE и использование средств создания образов для применения образа Windows из общей сетевой папки. При использовании этого метода необязательный компонент Enhanced Storage должен быть включен в образ Windows PE. Вы можете включить этот компонент с помощью диспетчера серверов, Windows PowerShell или инструмента командной строки DISM. Если этот компонент отсутствует, настройка зашифрованных жестких дисков не будет работать.
- Развертывание с сервера. Этот метод развертывания включает в себя PXE-загрузку клиента с зашифрованными жесткими дисками. Настройка зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced Storage добавляется в загрузочный образ PXE.Во время развертывания параметр TCGSecurityActivationDisabled в файле unattend.xml управляет режимом шифрования зашифрованных жестких дисков.
- Дублирование диска. Этот метод развертывания предполагает использование ранее настроенного устройства и средств дублирования дисков для применения образа Windows к зашифрованному жесткому диску. Диски должны быть разбиты на разделы с использованием как минимум Windows 8 или Windows Server 2012, чтобы эта конфигурация работала. Изображения, созданные с помощью дубликаторов дисков, работать не будут.
Настройка аппаратного шифрования с помощью групповой политики
Существуют три связанных параметра групповой политики, которые помогают управлять тем, как BitLocker использует аппаратное шифрование и какие алгоритмы шифрования использовать. Если эти параметры не настроены или отключены в системах с зашифрованными дисками, BitLocker использует программное шифрование:
Архитектура зашифрованного жесткого диска
Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировкой данных на диске. Это ключ шифрования данных (DEK) и ключ аутентификации (AK).
Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Диск генерирует DEK и никогда не покидает устройство. Он хранится в зашифрованном формате в произвольном месте на диске. Если DEK изменен или удален, данные, зашифрованные с помощью DEK, невозможно восстановить.
Ключ аутентификации — это ключ, используемый для разблокировки данных на диске. Хэш ключа хранится на диске и требует подтверждения для расшифровки DEK.
Когда компьютер с зашифрованным жестким диском находится в выключенном состоянии, диск автоматически блокируется. При включении компьютера устройство остается в заблокированном состоянии и разблокируется только после того, как ключ аутентификации расшифрует ключ шифрования данных. После того как ключ аутентификации расшифрует ключ шифрования данных, на устройстве могут выполняться операции чтения и записи.
При записи данных на диск они проходят через механизм шифрования до завершения операции записи. Аналогичным образом, чтение данных с диска требует, чтобы механизм шифрования расшифровал данные, прежде чем передать их обратно пользователю. В случае, если DEK необходимо изменить или стереть, повторное шифрование данных на накопителе не требуется. Необходимо создать новый ключ аутентификации, и он повторно зашифрует DEK. После завершения DEK теперь можно разблокировать с помощью нового AK, и чтение и запись тома могут продолжаться.
Повторная настройка зашифрованных жестких дисков
Многие устройства с зашифрованным жестким диском предварительно настроены для использования. Если требуется реконфигурация диска, используйте следующую процедуру после удаления всех доступных томов и возврата диска в неинициализированное состояние:
Шифрование помогает защитить данные на вашем устройстве, поэтому доступ к ним могут получить только авторизованные пользователи. Если шифрование устройства недоступно на вашем устройстве, вы можете вместо этого включить стандартное шифрование BitLocker.
Включить шифрование устройства
Войдите в Windows с учетной записью администратора (возможно, вам придется выйти и снова войти, чтобы сменить учетную запись). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
Выберите «Пуск» > «Настройки» > «Конфиденциальность и безопасность» > «Шифрование устройства». Если Шифрование устройства не отображается, оно недоступно. Вместо этого вы можете использовать стандартное шифрование BitLocker. Откройте "Шифрование устройства" в настройках.
Если шифрование устройства отключено, включите его.
Включите стандартное шифрование BitLocker
Войдите на устройство Windows с учетной записью администратора (возможно, вам придется выйти и снова войти, чтобы сменить учетную запись). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
В поле поиска на панели задач введите Управление BitLocker, а затем выберите его в списке результатов. Или выберите Пуск > Параметры > Конфиденциальность и безопасность > Шифрование устройства > Шифрование диска BitLocker.
Примечание. Этот параметр отображается только в том случае, если для вашего устройства доступен BitLocker. Он недоступен в выпуске Windows 11 Домашняя.
Выберите «Включить BitLocker» и следуйте инструкциям.
Хотите узнать больше и узнать, поддерживает ли ваше устройство шифрование? См. раздел Шифрование устройств в Windows.
Шифрование помогает защитить данные на вашем устройстве, поэтому доступ к ним могут получить только авторизованные пользователи. Если шифрование устройства недоступно на вашем устройстве, вы можете вместо этого включить стандартное шифрование BitLocker. (Обратите внимание, что BitLocker недоступен в выпуске Windows 10 Home.)
Включить шифрование устройства
Войдите в Windows с учетной записью администратора (возможно, вам придется выйти и снова войти, чтобы сменить учетную запись). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
Нажмите кнопку «Пуск», затем выберите «Настройки» > «Обновление и безопасность» > «Шифрование устройства». Если Шифрование устройства не отображается, оно недоступно.Вместо этого вы можете использовать стандартное шифрование BitLocker. Откройте "Шифрование устройства" в настройках.
Если шифрование устройства отключено, выберите Включить.
Включите стандартное шифрование BitLocker
Войдите на устройство Windows с учетной записью администратора (возможно, вам придется выйти и снова войти, чтобы сменить учетную запись). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
В поле поиска на панели задач введите Управление BitLocker, а затем выберите его в списке результатов. Или нажмите кнопку «Пуск», а затем в разделе «Система Windows» выберите «Панель управления». На панели управления выберите «Система и безопасность», а затем в разделе «Шифрование диска BitLocker» выберите «Управление BitLocker».
Примечание. Этот параметр отображается только в том случае, если для вашего устройства доступен BitLocker. Он недоступен в выпуске Windows 10 Домашняя.
Выберите «Включить BitLocker» и следуйте инструкциям.
Хотите узнать больше и узнать, поддерживает ли ваше устройство шифрование? См. раздел Шифрование устройств в Windows.
Шифрование устройства помогает защитить ваши данные и доступно на многих устройствах Windows.
Обычно вы получаете доступ к своим данным через Windows и имеете обычные средства защиты, связанные со входом в Windows. Если кто-то хочет обойти эту защиту Windows, он может открыть корпус компьютера и извлечь физический жесткий диск. Затем, добавив ваш жесткий диск в качестве второго диска на машине, которой они управляют, они смогут получить доступ к вашим данным, не требуя ваших учетных данных.
Однако, если ваш диск зашифрован, когда они попытаются использовать этот метод для доступа к диску, им придется предоставить ключ дешифрования (которого у них не должно быть), чтобы получить доступ к чему-либо на диске. Без ключа расшифровки данные на диске будут казаться им тарабарщиной.
Доступна ли она на моем устройстве?
Шифрование BitLocker доступно на поддерживаемых устройствах под управлением Windows 10 или 11 Pro, Enterprise или Education.
BitLocker не включается автоматически с локальными учетными записями, однако вы можете включить его вручную в инструменте управления BitLocker.
Для управления шифрованием BitLocker
Нажмите «Пуск» и в поле поиска введите «Управление BitLocker», а затем выберите его из списка результатов.
Примечание. Этот параметр отображается только в том случае, если для вашего устройства доступен BitLocker. Он недоступен в версии Windows Home.
Если ваше устройство не поддерживает BitLocker, вместо этого вы можете использовать шифрование устройств Windows.
Чтобы узнать, можете ли вы использовать шифрование устройства
В поле поиска на панели задач введите «Сведения о системе», щелкните правой кнопкой мыши «Сведения о системе» в списке результатов и выберите «Запуск от имени администратора». Или вы можете нажать кнопку «Пуск», а затем в разделе «Инструменты администрирования Windows» выбрать «Информация о системе».
В нижней части окна «Информация о системе» найдите «Поддержка шифрования устройства». Если указано значение «Соответствует предварительным требованиям», значит, на вашем устройстве доступно шифрование устройства.
Чтобы включить шифрование устройства
Войдите в Windows с учетной записью администратора (возможно, вам придется выйти и снова войти, чтобы сменить учетную запись). Дополнительные сведения см. в статье Создание локальной учетной записи или учетной записи администратора в Windows 10.
Нажмите кнопку «Пуск», затем выберите «Настройки» > «Обновление и безопасность» > «Шифрование устройства». Если Шифрование устройства не отображается, оно недоступно. Вместо этого вы можете включить стандартное шифрование BitLocker.
Если шифрование устройства отключено, выберите Включить.
Дополнительные ресурсы
Если для разблокировки устройства требуется ключ восстановления, см. раздел Поиск ключа восстановления.
Крис Хоффман
Крис Хоффман
Главный редактор
Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.
Windows 10 иногда использует шифрование по умолчанию, а иногда нет — это сложно.Вот как проверить, зашифровано ли хранилище вашего ПК с Windows 10, и как зашифровать его, если это не так. Шифрование нужно не только для того, чтобы остановить АНБ, но и для защиты ваших конфиденциальных данных на случай, если вы когда-нибудь потеряете свой компьютер, а это нужно всем.
В отличие от всех других современных потребительских операционных систем — macOS, Chrome OS, iOS и Android — Windows 10 по-прежнему предлагает интегрированные инструменты шифрования не для всех. Возможно, вам придется заплатить за Профессиональную версию Windows 10 или использовать стороннее решение для шифрования.
Если ваш компьютер поддерживает это: шифрование устройства Windows
На многих новых ПК с Windows 10 автоматически включается «Шифрование устройства». Эта функция была впервые представлена в Windows 8.1, и для этого существуют определенные аппаратные требования. Эта функция есть не на каждом ПК, но на некоторых.
Есть и еще одно ограничение: он фактически шифрует ваш диск только в том случае, если вы входите в Windows с учетной записью Microsoft. Затем ваш ключ восстановления загружается на серверы Microsoft. Это поможет вам восстановить ваши файлы, если вы когда-нибудь не сможете войти в свой компьютер. (Вот почему ФБР, вероятно, не слишком беспокоится об этой функции, но мы просто рекомендуем шифрование в качестве средства защиты ваших данных от воров ноутбуков. Если вы беспокоитесь о АНБ, вы можете использовать другое решение для шифрования.)
Шифрование устройства также будет включено, если вы войдете в домен организации. Например, вы можете войти в домен, принадлежащий вашему работодателю или учебному заведению. Затем ваш ключ восстановления будет загружен на серверы домена вашей организации. Однако это не относится к обычным компьютерам — только к компьютерам, присоединенным к доменам.
Чтобы проверить, включено ли шифрование устройства, откройте приложение "Настройки", выберите "Система" > "О программе" и найдите параметр "Шифрование устройства" в нижней части панели "О программе". Если вы ничего не видите здесь о шифровании устройств, ваш ПК не поддерживает шифрование устройств и не включено. Если шифрование устройства включено или если вы можете включить его, войдя в систему с помощью учетной записи Microsoft, вы увидите соответствующее сообщение здесь.
Для пользователей Windows Pro: BitLocker
Если шифрование устройства не включено или если вам нужно более мощное решение для шифрования, которое, например, также может шифровать съемные USB-накопители, вам следует использовать BitLocker. Инструмент шифрования BitLocker от Microsoft входит в состав Windows уже несколько версий и в целом пользуется уважением. Однако Microsoft по-прежнему ограничивает BitLocker только выпусками Windows 10 Professional, Enterprise и Education.
BitLocker наиболее безопасен на компьютере с аппаратным модулем Trusted Platform Module (TPM), который есть на большинстве современных ПК. Вы можете быстро проверить, есть ли на вашем ПК аппаратное обеспечение TPM, из Windows или обратиться к производителю вашего компьютера, если вы не уверены. Если вы собрали свой собственный ПК, вы можете добавить в него микросхему TPM. Найдите микросхему TPM, которая продается как дополнительный модуль. Вам понадобится тот, который поддерживает именно ту материнскую плату вашего ПК.
Обычно Windows сообщает, что для BitLocker требуется доверенный платформенный модуль, но есть скрытый параметр, позволяющий включить BitLocker без доверенного платформенного модуля. Вам придется использовать флэш-накопитель USB в качестве «ключа запуска», который должен присутствовать при каждой загрузке, если вы включите эту опцию.
Если на вашем ПК уже установлена Профессиональная версия Windows 10, вы можете найти «BitLocker» в меню «Пуск» и использовать панель управления BitLocker, чтобы включить ее. Если вы бесплатно обновили Windows 7 Профессиональная или Windows 8.1 Профессиональная, у вас должна быть Windows 10 Профессиональная.
Если у вас нет Профессиональной версии Windows 10, вы можете за 99 долларов США обновить Windows 10 Домашняя до Windows 10 Профессиональная. Просто откройте приложение «Настройки», перейдите в раздел «Обновление и безопасность» > «Активация» и нажмите кнопку «Перейти в магазин». Вы получите доступ к BitLocker и другим функциям Windows 10 Professional.
Эксперту по безопасности Брюсу Шнайеру также нравится проприетарный инструмент полного шифрования диска для Windows под названием BestCrypt. Он полностью функционален в Windows 10 с современным оборудованием. Однако этот инструмент стоит 99 долларов США — столько же, сколько обновление до Windows 10 Профессиональная, поэтому лучше обновить Windows, чтобы воспользоваться преимуществами BitLocker.
Для всех остальных: VeraCrypt
Потратить еще 99 долларов только на шифрование жесткого диска для обеспечения дополнительной безопасности может быть непросто, ведь современные ПК с Windows часто стоят всего несколько сотен долларов. Вам не нужно платить дополнительные деньги за шифрование, потому что BitLocker — не единственный вариант.BitLocker — это наиболее интегрированный и хорошо поддерживаемый вариант, но вы можете использовать и другие инструменты шифрования.
Почтенный TrueCrypt, открытый инструмент для шифрования всего диска, который больше не разрабатывается, имеет некоторые проблемы с ПК с Windows 10. Он не может шифровать системные разделы GPT и загружать их с помощью UEFI, конфигурации, которую используют большинство ПК с Windows 10. Тем не менее VeraCrypt — инструмент полнодискового шифрования с открытым исходным кодом, основанный на исходном коде TrueCrypt, — поддерживает шифрование системных разделов EFI, начиная с версий 1.18a и 1.19.
Другими словами, VeraCrypt позволит вам бесплатно зашифровать системный раздел ПК с Windows 10.
Разработчики TrueCrypt, как известно, прекратили разработку и объявили TrueCrypt уязвимым и небезопасным для использования, но до сих пор неясно, правда ли это. Большая часть дискуссий вокруг этого сосредоточена на том, есть ли у АНБ и других агентств безопасности способ взломать это шифрование с открытым исходным кодом. Если вы просто шифруете свой жесткий диск, чтобы воры не могли получить доступ к вашим личным файлам, если они украдут ваш ноутбук, вам не нужно об этом беспокоиться. TrueCrypt должен быть более чем достаточно безопасным. Проект VeraCrypt также улучшил безопасность и потенциально должен быть более безопасным, чем TrueCrypt. Мы рекомендуем шифровать только несколько файлов или весь системный раздел.
Мы хотели бы, чтобы Microsoft предоставила большему количеству пользователей Windows 10 доступ к BitLocker или, по крайней мере, расширила шифрование устройств, чтобы его можно было включить на большем количестве ПК. Современные компьютеры с Windows должны иметь встроенные инструменты шифрования, как и все другие современные потребительские операционные системы. Пользователям Windows 10 не придется доплачивать или искать стороннее программное обеспечение для защиты своих важных данных, если их ноутбуки пропадут или будут украдены.
- › Защитите свои технологии в 2019 году с помощью этих решений
- › Как зашифровать системный диск Mac, съемные устройства и отдельные файлы
- › Как проверить, есть ли на вашем компьютере микросхема доверенного платформенного модуля (TPM)
- › Как настроить шифрование BitLocker в Windows
- › Как зашифровать системный диск Windows с помощью VeraCrypt
- › Как очистить (надежно стереть) данные с ваших устройств перед их утилизацией или продажей
- › Как пропустить корзину для удаления файлов в Windows 10
- › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.
В этом разделе объясняется, как шифрование устройств BitLocker может помочь защитить данные на устройствах под управлением Windows. Общий обзор и список тем о BitLocker см. в разделе BitLocker.
Когда пользователи путешествуют, конфиденциальные данные их организации остаются с ними. Где бы ни хранились конфиденциальные данные, они должны быть защищены от несанкционированного доступа. Windows имеет долгую историю предоставления решений для защиты данных в состоянии покоя, которые защищают от злоумышленников, начиная с шифрованной файловой системы в операционной системе Windows 2000. Совсем недавно BitLocker предоставил шифрование для полных дисков и переносных дисков. Windows постоянно улучшает защиту данных, улучшая существующие параметры и предлагая новые стратегии.
В таблице 2 перечислены конкретные проблемы защиты данных и способы их решения в Windows 11, Windows 10 и Windows 7.
Таблица 2. Защита данных в Windows 11, Windows 10 и Windows 7
Подготовка к шифрованию дисков и файлов
Наилучшие меры безопасности прозрачны для пользователя во время реализации и использования. Каждый раз, когда возникает возможная задержка или трудности из-за функции безопасности, существует большая вероятность того, что пользователи попытаются обойти систему безопасности. Эта ситуация особенно актуальна для защиты данных, и это сценарий, которого организации должны избегать. Планируете ли вы шифровать целые тома, съемные устройства или отдельные файлы, Windows 11 и Windows 10 удовлетворят ваши потребности, предоставив оптимизированные и удобные решения. На самом деле, вы можете заранее выполнить несколько шагов, чтобы подготовиться к шифрованию данных и сделать развертывание быстрым и гладким.
Предварительная подготовка TPM
В Windows 7 при подготовке TPM к использованию было несколько проблем:
- Вы можете включить TPM в BIOS, для чего требуется, чтобы кто-то либо зашел в настройки BIOS, чтобы включить его, либо установил драйвер, чтобы включить его из Windows.
- При включении TPM может потребоваться один или несколько перезапусков.
В принципе, это было большой проблемой. Если бы ИТ-персонал выделял новые ПК, он мог бы со всем этим справиться, но если бы вы захотели добавить BitLocker на устройства, которые уже были в руках пользователей, эти пользователи столкнулись бы с техническими проблемами и либо обратились бы в ИТ-отдел за поддержкой, либо просто оставьте BitLocker отключенным.
Microsoft включает инструменты в Windows 11 и Windows 10, которые позволяют операционной системе полностью управлять доверенным платформенным модулем. Нет необходимости заходить в BIOS, и все сценарии, требующие перезагрузки, исключены.
Развернуть шифрование жесткого диска
BitLocker может шифровать целые жесткие диски, включая системные диски и диски с данными. Предварительная подготовка BitLocker может значительно сократить время, необходимое для подготовки новых компьютеров с включенным BitLocker. В Windows 11 и Windows 10 администраторы могут включать BitLocker и доверенный платформенный модуль из среды предустановки Windows перед установкой Windows или в рамках последовательности задач автоматического развертывания без какого-либо взаимодействия с пользователем. В сочетании с шифрованием «Только используемое дисковое пространство» и почти пустым диском (поскольку Windows еще не установлена) для включения BitLocker требуется всего несколько секунд.
В более ранних версиях Windows администраторам приходилось включать BitLocker после установки Windows. Хотя этот процесс можно было бы автоматизировать, BitLocker потребовалось бы зашифровать весь диск, а этот процесс мог занять от нескольких часов до более суток в зависимости от размера и производительности диска, что значительно задержало развертывание. Microsoft улучшила этот процесс с помощью множества функций в Windows 11 и Windows 10.
Шифрование устройства BitLocker
Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживающих современный режим ожидания. В Windows 11 и Windows 10 корпорация Майкрософт предлагает поддержку шифрования устройств BitLocker на гораздо более широком спектре устройств, в том числе в режиме современного ожидания и на устройствах под управлением Windows 10 Домашняя или Windows 11.
Microsoft ожидает, что большинство устройств в будущем будут соответствовать требованиям тестирования, что сделает шифрование устройств BitLocker широко распространенным на современных устройствах Windows. Шифрование устройств BitLocker обеспечивает дополнительную защиту системы за счет прозрачного шифрования данных на уровне устройства.
В отличие от стандартной реализации BitLocker, шифрование устройства BitLocker включается автоматически, поэтому устройство всегда защищено. В следующем списке показано, как это происходит:
- После чистой установки Windows 11 или Windows 10 и завершения заводских настроек компьютер готов к первому использованию. В рамках этой подготовки шифрование устройства BitLocker инициализируется на диске операционной системы и фиксированных дисках данных на компьютере с помощью чистого ключа (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается со значком предупреждения в проводнике Windows. Желтый значок предупреждения удаляется после создания предохранителя TPM и резервного копирования ключа восстановления, как описано в следующих пунктах.
- Если устройство не присоединено к домену, требуется учетная запись Microsoft, которой предоставлены права администратора на устройстве. Когда администратор использует для входа учетную запись Майкрософт, ключ очистки удаляется, ключ восстановления загружается в онлайн-учетную запись Майкрософт и создается предохранитель доверенного платформенного модуля. Если устройству требуется ключ восстановления, пользователю будет предложено использовать другое устройство и перейти к URL-адресу доступа к ключу восстановления, чтобы получить ключ восстановления, используя учетные данные своей учетной записи Microsoft.
- Если пользователь использует для входа учетную запись домена, ключ очистки не удаляется до тех пор, пока пользователь не присоединит устройство к домену и ключ восстановления не будет успешно скопирован в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\BitLocker Drive Encryption\Диски операционной системы» и выбрать параметр «Не включать BitLocker, пока информация о восстановлении не будет сохранена в AD DS для дисков операционной системы». В этой конфигурации пароль восстановления создается автоматически, когда компьютер присоединяется к домену, а затем ключ восстановления копируется в AD DS, создается предохранитель TPM, а ключ очистки удаляется.
- Подобно входу с учетной записью домена, ключ очистки удаляется, когда пользователь входит в учетную запись Azure AD на устройстве. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем ключ восстановления резервируется в Azure AD, создается предохранитель TPM, а ключ очистки удаляется.
Microsoft рекомендует включить шифрование устройства BitLocker во всех системах, которые его поддерживают, но автоматический процесс шифрования устройства BitLocker можно предотвратить, изменив следующий параметр реестра:
- Подключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
- Значение: PreventDeviceEncryption равно True (1)
- Тип: REG_DWORD
Администраторы могут управлять присоединенными к домену устройствами, на которых включено шифрование устройств BitLocker, с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройства BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и MBAM может управлять полным набором политик BitLocker, если требуются какие-либо изменения конфигурации.
Шифрование только используемого дискового пространства
BitLocker в более ранних версиях Windows мог долго шифровать диск, потому что он шифровал каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый безопасный способ шифрования диска, особенно если диск ранее содержал конфиденциальные данные, которые с тех пор были перемещены или удалены. В этом случае следы конфиденциальных данных могут остаться на участках диска, помеченных как неиспользуемые. Но зачем шифровать новый диск, если можно просто шифровать данные по мере их записи? Чтобы сократить время шифрования, BitLocker в Windows 11 и Windows 10 позволяет пользователям шифровать только свои данные. В зависимости от объема данных на диске этот параметр может сократить время шифрования более чем на 99 процентов. Однако соблюдайте осторожность при шифровании только используемого пространства на существующем томе, на котором конфиденциальные данные могли уже храниться в незашифрованном состоянии, поскольку эти сектора можно восстановить с помощью инструментов восстановления диска до тех пор, пока они не будут перезаписаны новыми зашифрованными данными. Напротив, шифрование только используемого пространства на совершенно новом томе может значительно сократить время развертывания без риска для безопасности, поскольку все новые данные будут шифроваться при записи на диск.
Поддержка зашифрованных жестких дисков
SED были доступны в течение многих лет, но Microsoft не могла поддерживать их использование с некоторыми более ранними версиями Windows, поскольку на дисках отсутствовали важные функции управления ключами. Microsoft работала с поставщиками хранилищ над улучшением аппаратных возможностей, и теперь BitLocker поддерживает SED следующего поколения, которые называются зашифрованными жесткими дисками. Зашифрованные жесткие диски обеспечивают встроенные криптографические возможности для шифрования данных на дисках, что повышает производительность как диска, так и системы за счет переноса криптографических вычислений с процессора ПК на сам диск и быстрого шифрования диска с помощью специального аппаратного обеспечения. Если вы планируете использовать шифрование всего диска с Windows 11 или Windows 10, Microsoft рекомендует изучить производителей и модели жестких дисков, чтобы определить, соответствуют ли какие-либо из их зашифрованных жестких дисков вашим требованиям к безопасности и бюджету. Дополнительные сведения о зашифрованных жестких дисках см. в разделе Зашифрованный жесткий диск.
Защита предзагрузочной информации
Эффективная реализация защиты информации, как и большинство средств контроля безопасности, учитывает не только безопасность, но и удобство использования. Пользователи обычно предпочитают простой интерфейс безопасности. На самом деле, чем прозрачнее становится решение по обеспечению безопасности, тем больше вероятность того, что пользователи согласятся с ним. Крайне важно, чтобы организации защищали информацию на своих ПК независимо от состояния компьютера или намерений пользователей. Эта защита не должна быть обременительной для пользователей. Одной из нежелательных и ранее распространенных ситуаций является ситуация, когда пользователю предлагается ввести данные во время предварительной загрузки, а затем снова во время входа в систему Windows. Следует избегать запроса пользователей на ввод более одного раза. Windows 11 и Windows 10 могут обеспечить настоящую систему единого входа из среды предварительной загрузки на современных устройствах, а в некоторых случаях даже на старых устройствах при наличии надежных конфигураций защиты информации. Изолированный доверенный платформенный модуль может надежно защитить ключ шифрования BitLocker, пока он находится в состоянии покоя, и может безопасно разблокировать диск операционной системы. Когда ключ используется и, следовательно, находится в памяти, сочетание аппаратных средств и возможностей Windows может защитить ключ и предотвратить несанкционированный доступ посредством атак с холодной загрузкой. Хотя доступны и другие меры противодействия, такие как разблокировка с помощью PIN-кода, они не так удобны для пользователя; в зависимости от конфигурации устройств они могут не обеспечивать дополнительную безопасность, когда речь идет о защите ключей. Дополнительные сведения см. в разделе Противодействие BitLocker.
Управление паролями и PIN-кодами
Если BitLocker включен на системном диске, а на ПК установлен доверенный платформенный модуль, вы можете потребовать, чтобы пользователи вводили PIN-код, прежде чем BitLocker разблокирует диск. Такое требование ПИН-кода может помешать злоумышленнику, имеющему физический доступ к ПК, даже получить доступ к входу в Windows, что делает для злоумышленника практически невозможным доступ или изменение пользовательских данных и системных файлов.
Требование PIN-кода при запуске – полезная функция безопасности, поскольку она действует как второй фактор аутентификации (второе "что-то, что вы знаете"). Однако эта конфигурация сопряжена с некоторыми затратами. Одним из наиболее важных является необходимость регулярно менять PIN-код.На предприятиях, которые использовали BitLocker с операционной системой Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить свой PIN-код или пароль BitLocker. Это требование не только увеличило затраты на управление, но и сделало пользователей менее склонными регулярно менять свой PIN-код или пароль BitLocker. Пользователи Windows 11 и Windows 10 могут самостоятельно обновлять свои PIN-коды и пароли BitLocker без учетных данных администратора. Эта функция не только снизит затраты на поддержку, но и может повысить безопасность, поскольку побуждает пользователей чаще менять свои PIN-коды и пароли. Кроме того, современным резервным устройствам не требуется ПИН-код для запуска: они предназначены для нечастого запуска и имеют другие меры по снижению риска, которые еще больше уменьшают поверхность атаки системы. Дополнительные сведения о том, как работает система безопасности при запуске, и о мерах противодействия, предоставляемых Windows 11 и Windows 10, см. в статье Защита BitLocker от предзагрузочных атак.
Настроить сетевую разблокировку
Некоторые организации предъявляют требования к безопасности данных в зависимости от местоположения. Это наиболее распространено в средах, где ценные данные хранятся на ПК. Сетевое окружение может обеспечить важнейшую защиту данных и обязательную аутентификацию; поэтому политика гласит, что эти ПК не должны покидать здание или отключаться от корпоративной сети. Такие меры безопасности, как физические замки безопасности и геозоны, могут помочь обеспечить соблюдение этой политики в качестве реактивного контроля. Помимо этого, необходим упреждающий контроль безопасности, который предоставляет доступ к данным только тогда, когда ПК подключен к корпоративной сети.
- Клиентские ПК с прошивкой Unified Extensible Firmware Interface (UEFI) версии 2.3.1 или более поздней, которая поддерживает протокол динамической конфигурации хоста (DHCP)
- Сервер под управлением не ниже Windows Server 2012 с ролью Windows Deployment Services
- Сервер с установленной ролью сервера DHCP
Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: как включить сетевую разблокировку.
Администрирование и мониторинг Microsoft BitLocker
Администрирование и мониторинг Microsoft BitLocker (MBAM), часть пакета Microsoft Desktop Optimization Pack, упрощает управление и поддержку BitLocker и BitLocker To Go. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие основные функции:
- Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах по всему предприятию.
- Позволяет специалистам по безопасности быстро определять состояние соответствия отдельных компьютеров или даже всего предприятия.
- Предоставляет централизованную отчетность и управление оборудованием с помощью Microsoft Endpoint Configuration Manager.
- Снижает нагрузку на службу поддержки, чтобы помочь конечным пользователям с запросами на восстановление BitLocker.
- Позволяет конечным пользователям самостоятельно восстанавливать зашифрованные устройства с помощью портала самообслуживания.
- Позволяет сотрудникам службы безопасности легко проверять доступ к информации о ключе восстановления.
- Предоставляет пользователям Windows Enterprise возможность продолжать работу в любом месте с гарантией того, что их корпоративные данные защищены.
- Применяет параметры политики шифрования BitLocker, которые вы установили для своего предприятия.
- Интегрируется с существующими инструментами управления, такими как Microsoft Endpoint Configuration Manager.
- Предлагает настраиваемый ИТ-специалистами процесс восстановления.
- Поддерживает Windows 10.
Предприятия могут использовать MBAM для управления клиентскими компьютерами с BitLocker, присоединенными к домену локально, до тех пор, пока основная поддержка не прекратится в июле 2019 года, или они могут получить расширенную поддержку до апреля 2026 года.
В дальнейшем функции MBAM будут включены в Configuration Manager. Дополнительные сведения см. в разделе Возможности технической предварительной версии Configuration Manager 1909.
Предприятия, не использующие Configuration Manager, могут использовать встроенные функции Azure AD и Microsoft Intune в Microsoft Endpoint Manager для администрирования и мониторинга. Дополнительные сведения см. в статье Мониторинг шифрования устройств с помощью Intune.
Читайте также: