BitLocker, как работает восстановление ключей и разблокировка USB

Функцию BitLocker, которая также шифрует содержимое системного раздела (того, который содержит установку Windows), можно использовать только в выпусках Windows Pro, Enterprise и Ultimate.

Домашние выпуски Windows 8.1 и Windows 10 позволяют использовать «упрощенную версию» BitLocker, называемую шифрованием устройства, но она автоматически сохраняет криптографические ключи на серверах Microsoft и не позволяет загружать их локально.

В статье «Разница между BitLocker, EFS и шифрованием устройства» мы выделили основные различия между BitLocker и шифрованием устройства, а в следующей статье «Удаление криптографических ключей с серверов Microsoft» мы увидели, как удалить криптографические ключи, сохраненные в облаке.

На самом деле функция шифрования устройства может быть активирована по умолчанию в системах, оснащенных чипом TPM (доверенный платформенный модуль), и не всем может понравиться идея о том, что криптографические ключи для расшифровки содержимого вашего жесткого диска хранятся на серверах, управляемых третьими лицами. и расположены часто за тысячи миль.

BitLocker, как работает восстановление ключей и разблокировка USB

BitLocker, наиболее полное решение для защиты и шифрования содержимого диска

По сравнению с шифрованием устройств BitLocker, несомненно, гораздо более всеобъемлющий и универсальный. Настолько, что функция шифрования диска BitLocker не предоставляется пользователям домашних выпусков Windows 8.1 и Windows 10.

Когда вы решите зашифровать содержимое диска с помощью BitLocker, важно уделить максимум внимания управлению так называемым ключом восстановления.

несущий себя на этой странице (после входа в свою учетную запись пользователя Microsoft) вы можете узнать, сколько и какие ключи восстановления, возможно, хранятся на серверах Microsoft. Важно войти в систему с той же учетной записью, которая используется в локальной системе, защищенной BitLocker.

При активации шифрования диска с помощью BitLocker вас спросят, должны ли ключи восстановления сохраняться и храниться на удаленных серверах, принадлежащих Microsoft (настройка по умолчанию), или сохраняться, например, в файле (на USB-накопителе, внешнем диске и т. д.).

Windows, уже на этапе установки, как правило, по умолчанию использует подход, который включает загрузку ключей на серверы Microsoft. Хотелось бы, чтобы в будущем пользователь мог непосредственно вмешиваться в эту настройку.

Параметры BitLocker настраиваются путем ввода BitLocker Management в поле поиска Windows.

Если система больше не разблокирует зашифрованный диск BitLocker при запуске, просто введите — как только будет предложено — правильный ключ восстановления.

Этот ключ можно получить из ранее созданного файла (во время настройки BitLocker), прочитать с распечатанного листа или получить с серверов Microsoft (если они там хранятся).

Чтобы определить правильный ключ восстановления, просто прочитайте ключ ID в окне, отображаемом при загрузке, и сравните его с имеющейся информацией. на этой странице, в файле или на бумаге.

В среде Windows, чтобы разблокировать диск, защищенный BitLocker, просто откройте окно управления BitLocker, нажмите «Разблокировать диск», а затем нажмите «Ввести ключ восстановления».

Разблокируйте диск, защищенный BitLocker, с помощью USB-накопителя

В системах с чипом TPM вы также можете использовать внешний USB-накопитель в качестве инструмента для разблокировки системы, защищенной BitLocker.

BitLocker, как работает восстановление ключей и разблокировка USB

В редакторе локальной групповой политики (Windows + R, gpedit.msc) сначала нужно выбрать «Конфигурация компьютера», «Административные шаблоны», «Компоненты Windows», «Шифрование диска BitLocker», «Диск операционной системы», а затем дважды щелкнуть правило «Требовать дополнительную проверку подлинности для всех». и активируйте его (опция Enabled).

На том же экране в раскрывающемся меню конфигурации ключа запуска TPM вам нужно будет выбрать Запросить ключ запуска с помощью TPM.

BitLocker, как работает восстановление ключей и разблокировка USB

На этом этапе вам нужно будет использовать команду manage-bde, чтобы настроить USB-накопитель для разблокировки диска BitLocker.

Затем вам нужно будет подключить USB-ключ для использования в качестве разблокирующего диска, записать букву диска, назначенную ему Windows, открыть командную строку от имени администратора и ввести:

manage-bde -protectors -add c: -TPMAndStartupKey x:

Вместо x: вам нужно будет указать букву диска, связанную с USB-накопителем.

Команда позволяет установить диск для разблокировки диска C: (при необходимости замените букву диска).

Ключ шифрования, необходимый для разблокировки диска, защищенного BitLocker, теперь будет сохранен на USB-накопителе в виде скрытого файла с расширением .BEK.

При каждой загрузке системы вам будет предложено вставить ключ разблокировки USB.

Этот ключ должен тщательно охраняться, чтобы злоумышленник, который копирует его содержимое, мог получить доступ к содержимому системы, когда бы он ни был физически доступен.

Если впоследствии вы захотите отключить функцию безопасности, просто вернитесь к той же политике редактора групповой политики и установите для пункта Запрашивать дополнительную аутентификацию при запуске значение Разрешить дополнительную аутентификацию при запуске.

В командной строке, открытой с правами администратора, вам нужно будет ввести:

manage-bde -protectors -добавить c: -TPM

Это вернется к использованию только чипа TPM для разблокировки диска, защищенного BitLocker.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *