Как зашифровать систему windows 7

Как включить шифрование диска BitLocker в системе Windows

Когда TrueCrypt противоречиво «закрыл лавочку», они рекомендовали своим пользователям перейти от TrueCrypt к использованию BitLocker или VeraCrypt. BitLocker существует в Windows достаточно долго, чтобы считаться зрелым, и относится к тем продуктам шифрования, которые хорошо известны профессионалам по безопасности. В этой статье мы поговорим о том, как вы можете настроить BitLocker на своем ПК.

Примечание: BitLocker Drive Encryption и BitLocker To Go доступен в Professional или Enterprise изданиях Windows 8 или 10, и Ultimate Windows 7. Тем не менее, начиная с ОС Windows 8.1, Home и Pro издания Windows, включают в себя «Device Encryption» – функция (также доступна в Windows 10), которая работает аналогично.

Мы рекомендуем шифрование устройства, если ваш компьютер поддерживает его, BitLocker для пользователей Pro, и VeraCrypt для людей, использующих домашнюю версию Windows, где шифрование устройств не будет работать.

Шифровать весь диск или создать контейнер

Многие руководства говорят о создании контейнера BitLocker, который работает так же, как и зашифрованный контейнер TrueCrypt или Veracrypt. Однако, это немного неправильно, но вы можете добиться аналогичного эффекта. BitLocker работает путем шифрования всех дисков. Это может быть ваш системный диск, другой физический диск или виртуальный жесткий диск (VHD), который существует как файл и смонтирован в Windows.

Разница, по большому счету, семантическая. В других продуктах шифрования вы обычно создаете зашифрованный контейнер, а затем монтируете его как диск в Windows, когда вам нужно его использовать. С BitLocker вы создаете виртуальный жесткий диск, а затем шифруете его.

В этой статье мы сосредоточимся на включении BitLocker для существующего физического диска.

Как зашифровать диск с помощью BitLocker

Чтобы использовать BitLocker для диска, всё, что вам действительно нужно сделать, это включить его, выбрать метод разблокировки, а затем задать несколько других параметров.

Однако, прежде чем мы это изучим, вы должны знать, что для использования полного шифрования BitLocker на системном диске обычно требуется компьютер с доверенным платформенным модулем (TPM) на материнской плате вашего ПК. Этот чип генерирует и сохраняет ключи шифрования, которые использует BitLocker. Если на вашем ПК нет TPM, вы можете использовать групповую политику для включения использования BitLocker без TPM. Это немного менее безопасно, но всё же более безопасно, чем отказ от шифрования.

Вы можете зашифровать несистемный диск или съемный диск без TPM и не включать параметр групповой политики.

В этой заметке вы также должны знать, что есть два типа шифрования диска BitLocker, которые вы можете включить:

В Windows 7-10 вам не нужно беспокоиться о сложностях шифрования. Windows обрабатывает большинство задач «за кулисами», а интерфейс, который вы будете использовать для включения BitLocker, выглядит привычно.

Включите BitLocker для диска

Самый простой способ включить BitLocker для диска – щелкнуть правой кнопкой мыши диск в окне проводника файлов, а затем выбрать команду «Включить BitLocker». Если вы не видите эту опцию в своем контекстном меню, то у вас, вероятно, нет Pro или Enterprise версии Windows, и вам нужно искать другое решение для шифрования.

Всё просто. Мастер настройки, который появится, позволит Вам выбрать несколько вариантов, которые мы разделили на следующие разделы.

Выберите способ разблокировки BitLocker

Первый экран, который вы увидите в «Мастере шифрования диска BitLocker», позволяет вам выбрать способ разблокировки вашего диска. Вы можете выбрать несколько способов разблокировки диска.

Если вы шифруете системный диск на компьютере, у которого нет TPM, вы можете разблокировать диск паролем или USB-накопителем, который функционирует как ключ. Выберите способ разблокировки и следуйте инструкциям для этого метода (введите пароль или подключите USB-накопитель).

Если ваш компьютер имеет TPM, вы увидите дополнительные опции для разблокировки дисковой системы. Например, вы можете настроить автоматическую разблокировку при запуске (когда ваш компьютер захватывает ключи шифрования из TPM и автоматически расшифровывает диск). Вы также можете использовать ПИН вместо пароля или даже биометрические параметры, такие как отпечаток пальца.

Если вы шифруете несистемный диск или съемный диск, вы увидите только два варианта (есть ли у вас TPM или нет). Вы можете разблокировать диск с помощью пароля или смарт-карты (или обоих).

Резервное копирование ключа восстановления

BitLocker создаёт ключ восстановления, который можно использовать для доступа к зашифрованным файлам, если вы потеряете свой основной ключ, например, если вы забыли свой пароль или если компьютер с TPM поврежден, и вам нужно получить доступ к диску из другой системы.

Вы можете сохранить ключ в своей учетной записи Microsoft, на USB-накопителе, в файле или даже распечатать его. Эти параметры одинаковы, независимо от того, шифруете ли вы системный или несистемный диск.

Если вы создадите резервную копию ключа восстановления в своей учетной записи Microsoft, вы можете получить доступ к нему позже на странице https://onedrive.live.com/recoverykey. Если вы используете другой метод восстановления, обязательно сохраните этот ключ в безопасности – если кто-то получит к нему доступ, он сможет расшифровать ваш диск и обойти шифрование.

Примечание. Если вы шифруете USB или другой съемный диск, у вас не будет возможности сохранить ваш ключ восстановления на USB-накопителе. Вы можете использовать любой из трёх других вариантов.

Шифрование и разблокировка диска BitLocker

BitLocker автоматически шифрует новые файлы по мере их добавления, но вы должны выбрать, что нужно сделать с файлами, находящимися на вашем диске. Вы можете зашифровать весь диск, включая свободное пространство, или просто зашифровать используемые файлы диска, чтобы ускорить процесс.

Если вы создаете BitLocker на новом ПК, зашифруйте только используемое дисковое пространство – это намного быстрее. Если вы устанавливаете BitLocker на ПК, который вы использовали некоторое время, вы должны зашифровать весь диск, чтобы никто не мог восстановить удаленные файлы.

Выберите режим шифрования BitLocker (только Windows 10)

Если вы используете Windows 10, вы увидите дополнительный экран, позволяющий выбрать метод шифрования. Если вы используете Windows 7 или 8, перейдите к следующему шагу.

В Windows 10 появился новый метод шифрования – XTS-AES. Он обеспечивает улучшенную целостность и производительность по сравнению с AES, используемым в Windows 7 и 8. Если вы знаете, что диск, который вы шифруете, будет использоваться только на ПК с Windows 10, перейдите и выберите вариант «Новый режим шифрования». Если вы считаете, что вам может понадобиться использовать диск со старой версией Windows в какой-то момент (особенно важно, если это съемный диск), выберите вариант «Совместимый режим».

Завершение шифрования диска BitLocker

Процесс шифрования может занять от нескольких секунд до нескольких минут или даже дольше, в зависимости от размера диска, количества данных, которые вы шифруете, и того, хотите ли вы шифровать свободное пространство.

Если вы шифруете системный диск, вам будет предложено запустить проверку системы BitLocker и перезагрузить систему. Нажмите кнопку «Продолжить», а затем перезагрузите компьютер. После того, как компьютер загрузится в первый раз, Windows зашифрует диск.

Если вы шифруете несистемный или съёмный диск, Windows не нужно перезапускать, и шифрование начинается немедленно.

Независимо от типа диска, который вы шифруете, вы можете увидеть значок шифрования диска BitLocker на панели задач, и увидеть прогресс. Вы можете продолжать использовать свой компьютер во время шифрования дисков – но он будет работать чуть медленнее, особенно если это диск операционной системы.

Разблокировка вашего диска BitLocker

Если ваш системный диск зашифрован, его разблокировка зависит от выбранного вами метода (и есть ли у вашего ПК TPM). Если у вас есть TPM и вы решили автоматически разблокировать диск, вы не заметите ничего нового – вы загрузитесь прямо в Windows, как всегда. Если вы выбрали другой метод разблокировки, Windows предложит разблокировать диск (набрав пароль, подключив USB-накопитель или что-то ещё).

Если вы потеряли (или забыли) свой метод разблокировки, нажмите Esc на экране приглашения, чтобы ввести ключ восстановления.

Если вы зашифровали несистемный или съемный диск, Windows предложит разблокировать диск при первом доступе к нему после запуска Windows (или когда вы подключаете его к компьютеру, если это съемный диск). Введите свой пароль или вставьте смарт-карту, и диск должен разблокироваться, чтобы вы могли его использовать.

В File Explorer зашифрованные диски обозначаются золотым замком. Этот замок изменяется на серый при разблокировке диска.

Вы можете управлять заблокированным диском – сменить пароль, отключить BitLocker, создать резервную копию вашего ключа восстановления или выполнить другие действия – из окна панели управления BitLocker. Щелкните правой кнопкой мыши любой зашифрованный диск и выберите «Управление BitLocker», чтобы перейти непосредственно на эту страницу.

Источник

Скрытый потенциал Windows 7: управление электропитанием, BitLocker и AppLocker

Потеря конфиденциальных данных часто происходит после того, как злоумышленник получил доступ к информации на жестком диске. Например, если мошенник каким-то образом получил возможность прочитать системные файлы, он может попробовать с их помощью найти пользовательские пароли, извлечь персональную информацию и т.д.

В Windows 7 присутствует инструмент BitLocker, который позволяет шифровать весь диск, благодаря чему данные на нем остаются защищенными от сторонних глаз. Технология шифрования BitLocker была представлена Windows Vista, а в новой операционной системе она была доработана. Перечислим наиболее интересные нововведения:

Напомним, что данный инструмент реализован не во всех редакциях Windows, а только в версиях «Расширенная», «Корпоративная» и «Профессиональная».

Технология BitLocker дает возможность применять алгоритм шифрования к дискам с данными, на которых используются файловые системы exFAT, FAT16, FAT32 или NTFS. Если же шифрование применяется к диску с операционной системой, то для использования технологии BitLocker данные на этом диске должны быть записаны в формате NTFS. Метод шифрования, который использует технология BitLocker, основан на стойком алгоритме AES с 128-битным ключом.

Одно из отличий функции Bitlocker в Windows 7 от аналогичного инструмента в Windows Vista состоит в том, что в новой операционной системе не нужно выполнять специальную разметку дисков. Ранее пользователь должен был для этого использовать утилиту Microsoft BitLocker Disk Preparation Tool, сейчас же достаточно просто указать, какой именно диск должен быть защищен, и система автоматически создаст на диске скрытый загрузочный раздел, используемый Bitlocker. Этот загрузочный раздел будет использоваться для запуска компьютера, он хранится в незашифрованном виде (в противном случае загрузка была бы невозможна), раздел же с операционной системой будет зашифрован. По сравнению с Windows Vista, размер загрузочного раздела занимает примерно в десять раз меньше дискового пространства. Дополнительному разделу не присваивается отдельная буква, и он не отображается в списке разделов файлового менеджера.

Для управления шифрованием удобно использовать инструмент в панели управления под названием «Шифрование диска BitLocker» (BitLocker Drive Encryption). Этот инструмент представляет собой менеджер дисков, с помощью которого можно быстро шифровать и отпирать диски, а также работать с доверенным платформенным модулем. В этом окне функцию шифрования BitLocker можно в любой момент отменить или приостановить.

После этого будет запущен мастер шифрования выбранного диска.

Если подключить зашифрованный съемный носитель, доступ к накопителям обычным способом будет невозможен, а при попытке обратиться к диску, пользователь увидит сообщение:

В «Проводнике» изменится также иконка диска, к которому применена система шифрования.

Чтобы разблокировать носитель, необходимо еще раз щелкнуть правой кнопкой мыши по букве носителя в контекстном меню файлового менеджера и выбрать соответствующую команду в контекстном меню. После того как в новом окне будет верно введен пароль, доступ к содержимому диска откроется, и далее можно будет работать с ним, как и с незашифрованным носителем.

Источник

Сегодня мы с вами все чаще и чаще используем ноутбуки и нетбуки и дома и на работе. Это неудивительно, так как это просто удобно, как в работе, так и дома.

Однако не стоит забывать, что именно мобильная техника все чаще и чаще приводит к утечкам конфиденциальной информации или персональных данных. Таким образом мобильность это не только достоинство, но и недостаток. В связи с этим возникает проблема защиты хранимой на портативных устройствах информации.

Не так давно было проведено исследование Ponemon Institute, которое показало, что в аэропортах США ежегодно теряется около 637 тыся ноутбуков

Чаще всего, согласно отчету Ponemon Institute, ноутбуки теряются при проверке на контрольно-пропускных пунктах. В 69 случаях из ста владельцы не заявляют о пропаже. 77% опрошенных заявили, что не надеются найти свой ноутбук в случае пропажи, 16% заявили, что не предприняли бы никаких действий. Около 53 % участников опроса сообщили, что потерянные компьютеры содержат конфиденциальные данные, принадлежащие работодателю, 65% из них не предпринимали никаких мер по защите информации. (http://www.securitylab.ru/news/355447.php)

В большинстве стран ноутбуки чаще всего оставляют в номерах гостиниц. Потеря ноутбука в арендованной машине или в зале ожидания аэропорта занимает 2 и 3 места в списке самых частых причин утраты служебного ПК в США, Германии, Франции и Великобритании. Напротив, в Бразилии и Мексике чаще всего ноутбуки пропадают в результате квартирной кражи – их воруют прямо из дома владельца.

Опрошенные респонденты сообщили, что в их организациях ноутбук в качестве основного ПК используют от 23 до 33% сотрудников. В ближайшие

5 лет респонденты ожидают увеличения этой доли до 55% в Мексике (минимальный результат), 64% в США и 65% в Германии (максимальный результат. (http://www.securitylab.ru/news/378016.php)

В распоряжении группы канадских студентов оказался жесткий диск с информацией о многомиллионном контракте, заключенном между министерством обороны США и подрядчиком Northrop Grumman. Студенты приобрели носитель с гостайнами всего за 40 долларов на «блошином» рынке в африканской республике Гана.

Что объединяет все эти происшествия? Да то, что ни в одном случае данные не были зашифрованы! А ведь это решило бы все вышеуказанные проблемы.

О шифровании много говорят и много пишут, однако, как показало исследование, проведенное компанией InfoWatch (рис.1) главной проблемой является не технология шифрования а все же люди.

Рисунок 1 Причины отказа от внедрения шифрования

И все же шифрование сегодня это необходимость. В данной статье мы с вами рассмотрим шифрование в Windows 7 шаг за шагом.

Естественно, в том случае, если вы все же решите внедрять шифрование, не забудьте о том, что вначале вы должны внедрить шифрование в тестовой среде, а уж потом внедрять его в организации.

Что такое BitLocker?

BitLocker – составная часть системы безопасности Windows 7, предназначенная в качестве последней линии физической обороны, шифрование системного раздела, разделов данных или внешних (съемных) дисков и USB-флеш.

С моей точки зрения, наиболее эффективно применение данной технологии на компьютерах, оборудованных TPM-модулем версии не ниже 1.2.

При использовании данного модуля возможно использование многофакторной аутентификации при шифровании

Подробнее о различиях в аутентификации и хранении ключей шифрования мы поговорим далее в данной статье.

Аппаратно-программные требования, предъявляемые к компьютеру для шифрования BitLocker

Примечание пункты 2 и 3 являются желательными, но не обязательными. В случае, когда они не выполнимы, ваш BIOS должен поддерживать обращение к USB-флеш диску во время загрузки.

Шифрование системного раздела

Шифрование системного раздела компьютера, оборудованного ТРМ

Доступ к ТРМ без ПИН-кода

Учтите, что для проведения шифрования у вас должны быть права администратора на данном ПК. Кроме того, необходимо заранее сконфигурировать принтер для печати пароля восстановления.

Для шифрования системного раздела необходимо сделать следующее:

Рисунок 2 Шифрование диска BitLocker

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

Рекомендуется выбрать несколько вариантов хранения пароля восстановления. Пароль восстановления состоит из 48 символов.

По окончании процедуры шифрования ваш жесткий диск будет зашифрован. При этом ключ шифрования будет храниться в ТРМ.

Недостатком данного метода является то, что если вы выбрали просто пароль для входа в систему, либо вообще ваша учетная запись не имеет пароля, то при хищении вашего ноутбука данные тоже могут быть похищены.

Доступ к ТРМ с ПИН-кодом

Для обеспечения повышенного уровня безопасности необходимо применение многофакторной аутентификации. Для этого необходимо внести изменения на уровне локальных групповых политик, запустив gpedit.msc

В окне Редактора локальной групповой политики выбрать —

Административные шаблоны – Компоненты Windows – Шифрование BitLocker – Диски операционной системы.

Далее выбрать параметр Обязательная дополнительная проверка подлинности при запуске.

Этот параметр политики позволяет указать, требует ли BitLocker дополнительную проверку подлинности при каждом запуске компьютера, а также указать, используется ли BitLocker в сочетании с доверенным платформенным модулем (TPM) либо же без него.

При запуске компьютере, на котором имеется совместимый доверенный платформенный модуль (TPM), могут использоваться четыре метода проверки подлинности, призванные обеспечить дополнительную защиту зашифрованных данных. Для проверки подлинности при запуске компьютера можно использовать только доверенный платформенный модуль (TPM), либо же дополнительно потребовать установить USB-устройство флэш-памяти с ключом запуска, ввести ПИН-код, содержащий от 4 до 20 цифр, либо же сделать и то, и то.

В дальнейшем при запуске шифрования пользователя попросят ввести ПИНкод. Ввод ПИН-кода будет необходим при каждой перезагрузке системы.

Сам процесс шифрования за исключением процедуры ввода ПИН-кода ничем не отличается от приведенной выше.

Для некоторых ПК возможно применение расширенного ПИН-кода (в случае если BIOS позволяет эту процедуру). В таком случае ПИН-код будет включать не только цифры, а и буквы, что, безусловно, делает его еще более устойчивым к подбору.

Шифрование системного раздела на компьютерах, не оборудованных ТРМ

В связи с тем, что согласно законодательства некоторых стран, в том числе

России, в них запрещен ввоз компьютеров, оборудованных ТРМ-модулем, рассмотрим случай, когда необходимо шифровать системный раздел на компьютере, не оборудованном ТРМ.

В этом случае, аналогично приведенному выше сценарию, нам придется вначале изменить правило в локальной групповой политике.

Для этого запускаем gpedit.msc и находим то же самое правило

Обязательная дополнительная проверка подлинности при запуске. Далее нам необходимо включить данное правило (рис.3) и разрешить использование BitLocker без совместимого ТРМ.

Рисунок 3 Обязательная дополнительная проверка подлинности при запуске

Следует учесть, что такое использование шифрования куда менее надежно, чем использование ТРМ, ведь чаще всего пользователь будет хранить USBфлеш диск в той же сумке, в которой он хранит ноутбук, что существенно облегчит работу злоумышленника.

В дальнейшем процесс шифрования производится по описанному выше сценарию.

Шифрование диска данных

Шифрование диска данных проводится

Для шифрования системного раздела необходимо сделать следующее:

Автоматически (данный вариант рекомендуется в случае если вы зашифровали системный раздел).

После ввода пароля

После того как вставлена смарт-карта

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

Запретить запись на съемные диски, не защищенные BitLocker. При этом запись разрешается только на диски, чьи поля идентификации совпадают с полями идентификации компьютера. Если выполняется доступ к съемному диску, он проверяется на наличие допустимого поля идентификации и разрешенных полей идентификации. Они задаются параметром политики «Предоставлять уникальные идентификаторы для организации».

Разрешить доступ к съемным дискам, защищенным BitLocker из более ранних версий Windows. При этом доступ из более ранних версий будет осуществлен только по чтению.

Настроить использование паролей для съемных дисков с данными. Этот параметр политики определяет, требуется ли пароль для разблокировки съемных дисков с данными, защищенными с помощью Bitlocker. Если разрешить использование пароля, можно сделать его обязательным, установить требования к его сложности и задать минимальную длину пароля.

Обновление компьютера, защищенного шифрованием, под управление Windows Vista до Windows 7

Для обновления шифрования BitLocker вручную вы должны сделать следующее:

Рекомендуемые настройки правил групповой политики

Заключение

Хотелось бы верить, что данные материалы помогут вам в использовании шифрования BitLocker в операционной системе Windows 7. Однако вместе с тем хочу вас предупредить, что использование шифрования это всего лишь один из методов защиты ваших данных и не является своего рода панацеей. Кроме того, неправильное понимание средств и методов использования шифрования может нанести вашей организации непоправимый вред. Так что будьте внимательны.

Источник