Изучение BitLocker

Завершено

BitLocker обеспечивает защиту операционной системы и данных, хранящийся в томах операционной системы, помимо других томов на компьютере. Это помогает гарантировать, что данные, хранящиеся на компьютере, остаются зашифрованными, даже если кто-то вмешивается в компьютер, если операционная система не запущена. BitLocker предоставляет тесно интегрированное решение в Windows для решения угроз кражи или раскрытия данных от потерянных, украденных или неуместных компьютеров.

Данные на потерянном или украденном компьютере могут стать уязвимыми для несанкционированного доступа, когда злоумышленник запускает средство атаки на программное обеспечение или передает жесткий диск компьютера другому компьютеру. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает отображать данные, недоступные при выводе из эксплуатации или перезапуске компьютеров, защищенных BitLocker.

BitLocker выполняет две функции, обеспечивающие автономную защиту данных и проверку целостности системы:

  • Он шифрует все данные, хранящиеся в томе операционной системы Windows, и настроенные тома данных. Сюда входят операционная система Windows, файлы гибернации и разбиения на страницы, приложения и данные приложений. BitLocker также обеспечивает защиту от зонтичной защиты для приложений, отличных от Майкрософт, что позволяет автоматически использовать приложения при их установке на зашифрованном томе.
  • По умолчанию он настраивается для использования микросхемы доверенного платформенного модуля (TPM) на основной панели компьютера, чтобы обеспечить целостность компонентов запуска, используемых операционной системой на ранних этапах процесса запуска. BitLocker блокирует все тома, защищенные BitLocker, поэтому они остаются защищенными, даже если кто-то вмешивается с компьютером, если операционная система не запущена.

Проверка целостности системы

BitLocker использует TPM для проверки целостности процесса запуска следующими способами:

  • Предоставление метода для проверка, которое было сохранено в начале целостности файлов загрузки, и для обеспечения того, чтобы не было неблагоприятных изменений этих файлов, таких как с вирусами или корневыми комплектами загрузочного сектора.
  • Повышение защиты для устранения автономных атак на основе программного обеспечения. Любое альтернативное программное обеспечение, которое может запустить систему, не имеет доступа к ключам расшифровки для тома операционной системы Windows.
  • Блокировка системы при обнаружении изменения. Если BitLocker определяет, что изменение произошло с любыми отслеживаемых файлами, система не запускается. Это оповещает пользователя о незаконном изменении, так как система не запускается как обычно. Если происходит блокировка системы, BitLocker предлагает простой процесс восстановления.

В сочетании с TPM BitLocker проверяет целостность ранних компонентов запуска, что помогает предотвратить дополнительные автономные атаки, такие как попытки вставить вредоносный код в эти компоненты. Эта функция важна, так как компоненты в самой ранней части процесса запуска должны оставаться незашифрованными, чтобы компьютер смог запустить.

В результате злоумышленник может изменить код этих ранних компонентов запуска, а затем получить доступ к компьютеру, даже если данные диска зашифрованы. Затем, если злоумышленник получает доступ к конфиденциальной информации, например ключам BitLocker или паролям пользователя, злоумышленник может обойти BitLocker и другие средства защиты безопасности Windows.

Сравнение BitLocker и EFS

Как упоминалось ранее, BitLocker и EFS обеспечивают функции шифрования. Однако эти технологии не одинаковы и не имеют той же цели. Хотя EFS ориентирован на защиту на уровне файлов и папок, BitLocker делает это на уровне тома или диска. После защиты файла с помощью EFS этот файл остается защищенным, пока вы (или другой пользователь с соответствующим разрешением) разблокируете его, и эта защита не зависит от расположения файла. С другой стороны, файлы на диске, защищенном с помощью BitLocker, защищены до тех пор, пока они находятся на этом конкретном диске. В следующей таблице сравниваются функции шифрования BitLocker и EFS.

Функции BitLocker Функции EFS
Шифрует тома (весь том операционной системы, включая системные файлы Windows и файл гибернации). Шифрует файлы.
Не требуется сертификатов пользователей. Требуется сертификат пользователя.
Защищает операционную систему от изменения. Не защищает операционную систему от изменения.

Шифрование устройства.

Шифрование устройств — это встроенная функция Windows. По умолчанию шифрование устройств защищает диск операционной системы и все фиксированные диски данных в системе с помощью расширенного шифрования (AES) 128-разрядного шифрования, который использует ту же технологию, что и BitLocker. Шифрование устройств можно использовать с учетной записью Майкрософт или учетной записью домена.

Шифрование устройств включено автоматически во всех версиях Windows 10 и более поздних версий на новых устройствах, чтобы устройство всегда защищено. Поддерживаемые устройства, обновляемые до Windows 10 или с чистой установкой, также включают автоматическое шифрование устройств.

BitLocker To Go

При потере или краже ноутбука потеря данных обычно оказывает больше влияния, чем потеря ресурса компьютера. Поскольку больше людей используют съемные устройства хранения, они могут потерять данные без потери компьютера. BitLocker To Go обеспечивает защиту от кражи и воздействия данных путем расширения поддержки BitLocker на съемных устройствах хранения, таких как USB-накопители флэш-памяти. Вы можете управлять BitLocker To Go с помощью групповой политики, из Windows PowerShell и с помощью приложения Шифрования дисков BitLocker панель управления.

В Windows пользователи могут зашифровать съемный носитель, открыв проводник, щелкнув диск правой кнопкой мыши и выбрав "Включить BitLocker". Затем пользователи могут выбрать метод, с помощью которого разблокировать диск, включая использование пароля или смарт-карта.

После выбора метода разблокировки пользователи должны распечатать или сохранить ключ восстановления. Вы можете настроить Windows для автоматического хранения этого 48-значного ключа в службах домен Active Directory (AD DS), чтобы использовать его, если другие методы разблокировки завершаются ошибкой, например когда пользователи забудут свои пароли. Наконец, пользователи должны подтвердить разблокировку выбора, чтобы начать шифрование. При вставке диска с защитой BitLocker на компьютер операционная система Windows обнаружит зашифрованный диск и предложит разблокировать его.

Администрирование и мониторинг Microsoft BitLocker (MBAM)

Как и в случае с любой технологией безопасности, которую вы реализуете, рекомендуется централизованное управление. Вы можете централизованно управлять BitLocker с помощью групповой политики, но с ограниченными возможностями. Часть пакета оптимизации классических приложений Майкрософт МБ AM упрощает управление и поддержку BitLocker и BitLocker To Go с полной функциональностью. МБ AM 2.5 с пакетом обновления 1 (SP1) имеет следующие ключевые функции:

  • Администратор istrator может автоматизировать процесс шифрования томов на клиентских компьютерах по всей организации.
  • Сотрудники службы безопасности могут определить состояние соответствия отдельных компьютеров или даже самого предприятия.
  • Обеспечивает централизованное управление отчетами и оборудованием с помощью Microsoft Endpoint Configuration Manager.
  • Уменьшает рабочую нагрузку службы поддержки, помогающую конечным пользователям с запросами на восстановление BitLocker.
  • Конечные пользователи могут самостоятельно восстанавливать зашифрованные устройства с помощью портала самообслуживания.
  • Сотрудники службы безопасности могут проверять доступ к сведениям ключа восстановления.
  • Пользователи Windows Enterprise могут продолжать работать в любом месте с защищенными корпоративными данными.
  • Применяет параметры политики шифрования BitLocker, заданные для вашего предприятия.
  • Интегрируется с существующими средствами управления, такими как Endpoint Configuration Manager.
  • Предоставляет пользовательское взаимодействие с ИТ-интерфейсом для восстановления.

Screenshot of Microsoft MBAM prompting for the KeyID and reason for recovering access to an encrypted drive.