Управление BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

• TPM и пароль.
• TPM и PIN-код.
• Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль. Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

Установка VeraCrypt в Windows

Имеется мастер установки, поэтому процесс установки VeraCrypt схож с аналогичным процессом других программ. Разве что можно пояснить несколько моментов.

Установщик VeraCrypt предложит две опции:

• Install (Установить VeraCrypt в вашу систему)
• Extract (Извлечь. Если вы выберите эту опцию, все файлы из этого пакета будут извлечены, но в вашу систему ничего не будет установлено. Не выбирайте её если вы намереваетесь шифровать системный раздел или системный диск. Выбор этой опции может быть полезен, например, если вы хотите запускать VeraCrypt в так называемом портативном режиме. VeraCrypt не требует установки в операционную систему, в которой она будет запускаться. После извлечения всех файлов, вы можете запускать непосредственно извлечённый файл ‘VeraCrypt.exe’ (откроется VeraCrypt в портативном режиме))

Если вы выберите отмеченную опцию, т.е. ассоциацию с файлами .hc, то это добавит удобство. Поскольку если вы создадите контейнер с расширением .hc, то по двойному клику по данному файлу будет запускаться VeraCrypt. Но минус в том, что посторонние лица могут знать, что .hc являются зашифрованными контейнерами VeraCrypt.

Программа напоминает о донате:

Практическая демонстрация

# virsh destroy debian9-boothack 
Домен debian9-boothack разрушен

# cp -v /var/lib/libvirt/images/debian9-boothack.qcow2 ~
'/var/lib/libvirt/images/debian9-boothack.qcow2' -> '/root/debian9-boothack.qcow2'

# mkdir /guest
# guestmount -a /var/lib/libvirt/images/debian9-boothack.qcow2 -m /dev/sda1 /guest
# cp -v /guest/initrd.img-4.9.0-9-amd64 ~user/tmp
'/guest/initrd.img-4.9.0-9-amd64' -> '/home/user/tmp/initrd.img-4.9.0-9-amd64'

$ mkdir unpacked
$ cd unpacked/
$ zcat ../initrd.img-4.9.0-9-amd64 | cpio -idm
$ ls
bin  conf  etc  init  lib  lib64  run  sbin  scripts

$ find . | cpio -o -c | gzip -9 > ../initrd.img-4.9.0-9-amd64
125736 блоков
$ sudo cp -v ../initrd.img-4.9.0-9-amd64 /guest
'../initrd.img-4.9.0-9-amd64' -> '/guest/initrd.img-4.9.0-9-amd64'
$ sudo guestunmount /guest

# echo 'fa0c53***********4bd8c' | xxd -r -p > master.key

# modprobe nbd max_part=8
# qemu-nbd --connect=/dev/nbd0 /root/debian9-boothack.qcow2 
# ls /dev/nbd0*
/dev/nbd0  /dev/nbd0p1  /dev/nbd0p2  /dev/nbd0p5
# file -s /dev/nbd0p5
/dev/nbd0p5: LUKS encrypted file, ver 1  UUID: fb732477-ef98-40b5-86a2-8526c349f031
# cryptsetup --master-key-file=master.key luksOpen /dev/nbd0p5 crackeddisk
# pvs
  PV                      VG                  Fmt  Attr PSize    PFree
  /dev/mapper/crackeddisk debian9-boothack-vg lvm2 a--    19,75g    0 
  /dev/sda3               dt1                 lvm2 a--  <215,01g 8,00m
# lvs
  LV     VG                  Attr       LSize   Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
  root   debian9-boothack-vg -wi-a-----  18,75g                                                    
  swap_1 debian9-boothack-vg -wi-a-----   1,00g                                                    
  root   dt1                 -wi-ao---- 215,00g                                                    
# mkdir /hackedroot
# mount /dev/mapper/debian9--boothack--vg-root /hackedroot/
# ls /hackedroot/
bin  boot  dev  etc  home  initrd.img  initrd.img.old  lib  lib64  lost+found  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var  vmlinuz  vmlinuz.old
# cat /hackedroot/etc/hostname 
debian9-boothack

Отключение защиты

Как отключить шифрование дисков? Иногда ноутбуки или ПК поставляются сразу с зашифрованными дисками. В этом случае в «Моем компьютере» можно заметить соответствующий значок. Чтобы избавиться от защиты и пониженной производительности винчестера, нужно отключить эту опцию.

Для этого нужно перейти в настройки системы, выбрать раздел «О системе», а в нем отключить шифрование. Этот вариант подходит в том случае, если у вас работает BitLocker.

Если вы использовали стороннюю программу, то нужно просто открыть ее и выбрать соответствующий пункт. Обычно в программах он может называться «размонтировать» и т. п.

Шифрование диска и шифрование на уровне файловой системы

Шифрование диска не во всех случаях заменяет шифрование файлов. Шифрование диска иногда используется вместе с шифрованием на уровне файловой системы с целью обеспечения более безопасной реализации. Поскольку при шифровании диска обычно используется один и тот же ключ для шифрования всего диска, все данные могут быть расшифрованы во время работы системы. Однако некоторые решения для шифрования дисков используют несколько ключей для шифрования разных томов. Если злоумышленник получает доступ к компьютеру во время выполнения, злоумышленник получает доступ ко всем файлам. Вместо этого обычное шифрование файлов и папок позволяет использовать разные ключи для разных частей диска. Таким образом, злоумышленник не может извлечь информацию из по-прежнему зашифрованных файлов и папок.

В отличие от шифрования диска, шифрование на уровне файловой системы обычно не шифрует метаданные файловой системы, такие как структура каталогов, имена файлов, отметки времени модификации или размеры.

Как зашифровать жёсткий диск в Windows 10

Инструментом шифрования диска в Windows 10 является BitLocker Device Encryption. Он встроен в редакции Windows 10 Pro и Enterprise, позволяя зашифровать все устройства хранения данных.

BitLocker обладает некоторыми недостатками:

• Если BitLocker Device Encryption отсутствует на вашем компьютере, установка и настройка могут стать проблемой.
• BitLocker обладает разными возможностями в зависимости от аппаратных компонентов компьютера, а именно материнской платы.
• Работает только на Windows 10 Professional и Enterprise.

В качестве альтернативы предлагается приложение под названием VeraCrypt, лишённое недостатков BitLocker.

• VeraCrypt намного проще установить.
• VeraCrypt не зависит от аппаратных компонентов вашего компьютера.
• VeraCrypt работает на любой версии Windows
• Это с открытым исходным кодом. Подобные приложения считаются более защищёнными. После установки необходимо при запуске компьютера вводить пароль.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен

Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Работа с Linux: защита винчестера

Шифрование диска в Linux — процесс схожий. Тут, конечно, существуют несколько способов. Например, можно использовать программу TrueCrypt. Настраивать ее нужно точно так же, как и VeraCrypt. У них даже похожий интерфейс, поскольку TrueCrypt стал основой для создания VeraCrypt.

Также можно использовать защиту с помощью LUKS. Эта технология является стандартной для шифрования винчестера в системе Linux. Работать нужно с командами.

Если вы никогда не пользовались ими, то придется все-таки делать это с помощью программы, поскольку для командной строки необходимо знать особые команды.

AxCrypt (Windows)

AxCrypt

AxCrypt — это бесплатная программа, с открытым исходным кодом лицензии GNU.

GPL-лицензированный инструмент шифрования для Windows, который гордится тем, что является простым, эффективным и надежным в использовании.

Он прекрасно интегрируется с оболочкой Windows, так что вы можете щелкнуть правой кнопкой мышки на файле, который требуется зашифровать и дать команду.

Или можно просто настроить исполняемый код, так что файл будет заблокирован, если не будет использоваться в течение определенного периода времени. Его можно будет расшифровать позже, или когда получатель известит о получении.

Файлы с AxCrypt можно расшифровать по требованию или держать их расшифрованными, пока они используются, а затем автоматически они будут зашифрованы.

Он поддерживает 128-битное шифрование AES, обеспечивает защиту от попыток взлома. Он очень легкий (менее 1 Мб.)

Каждый сам для себя решает, какую программу использовать, но, если ваши данные для вас хоть что-то стоят, обязательно задумайтесь о том, что вам нужна программа для шифрования.

Шифрование – один ответ на много вопросов

Существует много опасностей для ваших личных данных, однако, существуют и универсальные методы защиты, например, отделение вашего домашнего персонального компьютера от любопытства посторонних и несовершеннолетних, или использование PIN-кода для разблокирования экрана вашего телефона.

Существует и другой эффективный метод – создание сообщения таким образом, чтобы его мог прочитать только человек, к которому оно обращено. Вы можете заранее защитить себя от неловких ситуаций и ошибок, сохранив информацию в зашифрованном виде.

Вы можете иметь дело с шифрованием, даже если об этом не думаете – например, просматривая письма в Gmail или банковские сайты с помощью HTTPS, или общаясь со своими друзьями через популярные сотовые сети GSM.

Но, мы хотели бы сосредоточиться на ещё одном важном аспекте – шифровании ваших данных, которые вы храните на своем компьютере и телефоне

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

• FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
• FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

tar -xvjf dislocker.tar.gz

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

sudo apt-get install libfuse-dev

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

cd src/ make make install

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

• Encrypted-partition— для зашифрованного раздела;
• Decrypted-partition — для расшифрованного раздела.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(вместо recovery_key подставьте свой ключ восстановления)

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

Введем команду для монтирования раздела:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Microsoft Windows Vista, Microsoft Windows Server 2008, Windows 7, Windows 8, Windows 10, Windows RT

• BitLocker Drive Encryption — проприетарная технология шифрования дисков, являющаяся частью операционных систем:
• Microsoft Windows Vista Максимальная/Корпоративная;
• Windows 7 Максимальная/Корпоративная;
• Windows Server 2008 R2;
• Windows 8 Профессиональная/Корпоративная;
• Windows 8.1 Профессиональная/Корпоративная;
• Windows 10 Профессиональная/для образовательных учреждений/Корпоративная.

BitLocker позволяет защищать данные путём полного шифрования диска(ов) (логических, с Windows 7 — и карт SD и USB-флешек) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:

• AES 128
• AES 128 c Elephant diffuser (используется по умолчанию)
• AES 256
• AES 256 c Elephant diffuser

Сам ключ может храниться в TPM или на USB-устройстве, либо же на компьютере. В случае с TPM при загрузке компьютера ключ может быть получен из него сразу, либо только после аутентификации с помощью USB-ключа или ввода PIN-кода пользователем. Таким образом, возможны следующие комбинации для доступа:

• TPM
• TPM + PIN
• TPM + PIN + USB-ключ
• TPM + USB-ключ
• USB-ключ (данный режим требует активации через групповые политики)
• Пароль (данный режим доступен начиная с Windows 8, а также требует активации через групповые политики)

Ваш цифровой сейф

Наиболее удобным решением для хранения зашифрованных файлов является создание зашифрованного хранилища, называемого также контейнером. После его установки на компьютере, он классифицируется системой как отдельный диск.

В него можно сохранять и копировать любые файлы, используя как USB-накопитель. Главным отличием является то, что он является специальной папкой, которая физически находится на жестком диске, а чтобы попасть в неё, нужно воспользоваться одной из специальных программ. Каждый файл, который Вы захотите сохранить в этой папке, будет автоматически зашифрован, а затем сохранен в безопасном месте.

Человек, который получит доступ к вашему компьютеру, и даже пытается украсть (скопировать) папку, не сможет получить доступ к хранящейся в ней информации. В файлах будут находиться случайные символы, и поиск пароля для их преобразования в полезное содержание займёт годы.

Конечно, необходимо соблюдать несколько простых правил, чтобы зашифрованная папка был защищена:

Ваш ключ шифрования (пароль) является единственной защитой – он должен быть длинным, сложным и трудно угадываемым.
Вы должны хранить все ваши личные данные на зашифрованном диске.
Каждый человек, который знает пароль может прочитать все сохраненные файлы

Если у вас есть различные типы информации, которыми бы вы хотели бы поделиться только частично, предлагаем вам создать несколько папок с отдельными паролями.
Это очень важно! Подключайте ваш зашифрованный диск только тогда, когда вы работаете с важными документами и отключайте сразу после завершения работы.
Если ваша папка каким-либо образом повреждена, находящиеся в ней файлы будут потеряны. Поэтому так важно частое создание резервных копий.

Загрузка и установка

Хотя есть версии и под Линукс, и под FreeBSD, и даже под малинку, т.е Rapsberry. Установка состоит из следующих шагов, которые не так страшны, как могло бы показаться:

• Собственно, для начала запускаем установочный файл, который мы скачали ранее, соглашаемся с лицензией (галочка), после тыркаем в «Next», т.е «Далее»:
• На втором этапе будет предложено выбрать вариант установки, один из которых предполагает просто типовую установку, а второй распаковку по принципу портативной версии:
• Последняя предполагает ряд проблем, т.е она не рекомендуется для использования и шифрования дисков/разделов с системой, а так же создания отрицаемого шифрования и тп. В нашем случае мы используем обычную установку, т.е первый пункт;
• На следующем этапе будет ряд типовых галочек, которые Вы видели много где. Первая отвечает за установку для использованиями всеми пользователями локального компьютера; вторая отвечает за добавление ярлыков в меню пуск; третья за иконку на рабочем столе; четвертая, — за ассоциацию с соответствующими файлами (расширения .hc); пятая же, — за создание точки восстановления:
• Ну и после установки Вам предложат сделать пожертвование или почитать инструкцию на английском (на скриншоте ниже это почти одно и тоже окно). И то и другое, традиционно, на Ваше усмотрение:

Ну что, давайте теперь попробуем использовать.

Шифрование файла и VPN

Шифруем файлы

В этом обзоре, будут специально рассматриваться продукты, которые шифруют конкретные объекты, а не весь диск, а также решения от Microsoft, работающие с помощью BitLocker.

Шифровать весь диск — это эффективная линия обороны для одного устройства, но она не поможет, когда нужно поделиться конфиденциальными данными.

Вы можете использовать виртуальные частные сети, или VPN, чтобы шифровать свой интернет-трафик.

С вашего ПК на сервере компании VPN все ваши данные шифруются, и это очень здорово. Однако, если вы подключены к защищенному веб-сайту https, ваш трафик не шифруется между VPN-сервером и сайтом.

И конечно, защищенная виртуальная частная сеть может не просто волшебным образом стереть ваши данные, но и удалить их у тех, с кем мы ими поделились.

Использовать VPN — это отличный способ защитить ваш интернет-трафик, когда вы путешествуете, но это не решение для шифрования локальных объектов.

Использование шифрования в VeraCrypt на основе файла

Вернемся в главное окно программы, где выберем какую-то букву диска (не занятую), куда будем монтировать наш файл с разделом. Обычно это одна из последних букв, вроде W, либо посмотрите в проводнике какие уже заняты и выберите свободную, после чего ткните в «Select File» и укажите на наш файл, который мы создали ранее:

Теперь жмём в Mount и указываем пароль, который задавали чуть ранее, на этапе создания файла:

Дальше пройдет процедура дешифровки и монтирования, после чего, если всё будет нормально, то в программе это будет с соответствующей надписью «Normal», а в проводнике, — в нашем случае Windows, — будет виден новый диск под соответствующей буквой, что мы выбрали ранее.

Всё, дальше остается только пользоваться, — раздел и файлы попадающего в него будут зашифрованы, т.е Вы можете копировать файлы (или папки) как обычно (как туда, так и обратно). Файлы, которые считываются, записываются или копируются из зашифрованного тома VeraCrypt, автоматически дешифруются/шифруются «на лету» в  оперативную память.

Обратите внимание, что VeraCrypt никогда не сохраняет на диске все дешифрованные данные, — он временно хранит их в оперативной памяти. Даже когда диск (файл, контейнер, раздел) смонтирован, — данные, хранящиеся в томе, по-прежнему зашифрованы. Когда вы перезагружаете Windows или выключаете компьютер, том (раздел, файл) будет отключен, и все файлы, хранящиеся на нем, будут недоступны (и зашифрованы), т.е доступа к ним физически получить будет нельзя до следующего включения и ввода пароля. Даже, когда электропитание внезапно прерывается (без надлежащего отключения системы), — ничего не меняется, все файлы, хранящиеся на нем, будут недоступны (и зашифрованы), т.е доступа к ним физически получить будет нельзя до следующего включения и ввода пароля

Но с ними ничего не случится при учете, что носитель на котором хранится файл (раздел, том, контейнер) остался жив и цел.

Даже, когда электропитание внезапно прерывается (без надлежащего отключения системы), — ничего не меняется, все файлы, хранящиеся на нем, будут недоступны (и зашифрованы), т.е доступа к ним физически получить будет нельзя до следующего включения и ввода пароля. Но с ними ничего не случится при учете, что носитель на котором хранится файл (раздел, том, контейнер) остался жив и цел.

Чтобы закончить работу с данными и скрыть их снова до следующего ввода пароля, нажмите Dismount в окне программы.