Безпека даних на комп’ютері — одна з головних прерогатив для багатьох користувачів. Комплексний підхід — це захистити від стороннього втручання весь жорсткий диск. Зробити це можна за допомогою стандартного засобу шифрування в Windows 10.
Чим ефективний такий захист
Навіщо виконувати шифрування даних, якщо є обліковий запис користувача з паролем? Насправді це найпростіший захист, який можуть зламати навіть новачки, чітко виконуючи дії певної інструкції.
Проблема полягає в тому, що зловмисник може використати завантажувальну флешку та отримати доступ до файлів і реєстру операційної системи. Далі всього за кілька дій легко дізнатися введений пароль або просто вимкнути його та отримати доступ до робочого столу.
Питання захисту файлів буде особливо важливим для корпоративного сектора. Наприклад, тільки в США щорічно в аеропортах губляться понад 600 тисяч ноутбуків.
Варто зазначити, що за допомогою вбудованого засобу BitLocker шифруються навіть флеш-накопичувачі, оскільки вони розпізнаються системою як окремі томи. За необхідності можна створити віртуальний диск VHD з важливими даними і шифрувати його, а сам файл зберігати на звичайній флешці.
Чи буде гальмувати?
Шифрування всього диска дійсно позначиться на продуктивності системи, зокрема, на швидкості читання/запису даних. Тести різних користувачів показують, що на відносно сучасному залізі падіння швидкості на SSD — не більше ніж 10%, у жорстких дисків падіння можуть бути більшими.
Наприклад, на ноутбуці Dell Inspiron 15 7577 з процесором i7-7700HQ і накопичувачем Samsung 950 Pro з 256 ГБ різниця в щоденному використанні буде практично непомітною.
Засіб BitLocker використовує шифрування AES 128/256. Відповідно, задіюються обчислювальні ресурси процесора. Якщо ви використовуєте старі моделі на 1-2 ядра, то BitLocker або аналогічний софт може погіршити продуктивність.
Використання BitLocker за наявності чипа TPM
Чіп TPM (Trusted Platform Module) — це спеціальний модуль, у якому зберігаються криптографічні ключі для захисту інформації. Зазвичай він розташовується на материнській платі, але далеко не кожна модель оснащується TPM. Ключ для розшифровки логічного тому видається тільки в коді завантажувача ОС, тому зловмисники не зможуть дістати його безпосередньо з жорсткого диска.
Щоб перевірити, чи є на вашому комп’ютері або ноутбуці модуль TPM, у вікні «Виконати» введіть команду «tpm.msc».
За наявності чіпа ви побачите вікно з основною інформацією, включно зі станом модуля та версією.
Перед використанням системи шифрування TPM модуль необхідно ініціалізувати за такою інструкцією:
1. У панелі керування зайдіть у розділ «Шифрування диска BitLocker».
2. Навпроти системного диска клацніть по рядку «Увімкнути BitLocker». Система почне перевірку на відповідність конфігурації комп’ютера.
3. У наступному вікні система попередить користувача, що для продовження процесу буде виконано дві дії: активація обладнання безпеки і подальший запуск шифрування. Необхідно натиснути «Далі».
4. Для ввімкнення TPM система попросить перезавантажити комп’ютер, тому натисніть відповідну кнопку.
5. Під час наступного завантаження перед користувачами з’явиться вікно активації чипа TPM. Натисніть відповідну клавішу для підтвердження (у цьому випадку F1).
6. Щойно Windows провантажиться, майстер шифрування продовжить свою роботу і запропонує наступне меню з вибором місця збереження ключа відновлення.
Дані логічного тому будуть зашифровані, а для розблокування вам доведеться ввести пароль від облікового запису. При спробі увійти в систему через завантажувальну флешку або шляхом переміщення HDD в інший комп’ютер сторонні не зможуть отримати доступ до ваших даних. Ключ доступу буде надійно захований у TPM модулі.
Перевага TPM полягає в простоті налаштування та високій безпеці — ключі зберігаються в окремій мікросхемі. З іншого боку, якщо зловмисники якимось чином дізнаються пароль від облікового запису, то без проблем зможуть зайти в нього навіть із шифруванням.
Шифрування BitLocker без модуля TPM
Що робити, якщо при введенні команди «tpm.msc» TPM модуль не було знайдено? Використовувати BitLocker ви зможете, як і раніше, але тепер ключ вам доведеться зберігати в іншому місці.
Для активації BitLocker дотримуйтесь інструкції:
1. Перейдіть у меню групових політик. У вікні виконати введіть «gpedit.msc» і натисніть Enter. Необхідно відкрити розділ «Конфігурація комп’ютера», а в ньому перейти за «Адміністративні шаблони» і далі відкрити «Компоненти Windows».
2. У компонентах знайдіть папку «Шифрування диска» і виберіть підпункт «Диски операційної системи». Перейдіть на вкладку «Стандартний» і двічі клацніть ЛКМ на рядку «Цей параметр дає змогу налаштувати вимоги додаткової перевірки автентичності» (виділено на скріншоті).
3. Параметр необхідно перевести в стан «Увімкнено», а також поставити галочку в рядку «Використовувати BitLocker без сумісного TPM». Для збереження змін натисніть кнопку «Застосувати» і OK.
На цьому налаштування групової політики завершено, і користувачі можуть захиститися стандартним засобом шифрування BitLocker. Як і в попередній інструкції, вам необхідно перейти в розділ шифрування і ввімкнути BitLocker для системного або іншого диска, на якому ви збираєтеся зашифрувати дані.
Меню налаштування трохи відрізнятиметься від вищеописаного:
1. Уже на першому вікні вас попросять вибрати спосіб розблокування диска. Пароль аналогічний попередньому захисту, вам буде достатньо ввести його під час входу в обліковий запис. Більш надійний спосіб — флешка + PIN. Для входу в систему вам доведеться також вставити накопичувач у USB-порт, після чого ввести пароль.
2. Якщо ви вказали flash-накопичувач, то система запропонує вибрати його. У випадку з паролем вам достатньо двічі ввести його і перейти в наступне вікно.
3. Користувач має вибрати, куди зберегти ключ відновлення. Оскільки на шифрований диск його записати не можна, то доступні 4 варіанти: обліковий запис Майкрософт, флеш-накопичувач, як окремий файл на іншому диску або просто роздрукувати.
4. Виберемо «Зберегти у файл». У цьому разі достатньо вказати місце і переконатися, що відповідний txt файл з’явився за вказаним шляхом.
5. Виберіть, як буде шифруватися диск — повністю або тільки зайнята інформацією частина. Другий варіант оптимальний для нових ПК, на яких тільки нещодавно було встановлено весь необхідний софт.
6. Вибір режиму шифрування. Для незнімних накопичувачів вкажіть «новий», але для флешок або переносних HDD краще вибрати «Режим сумісності», щоб за необхідності отримати доступ до файлів на іншому комп’ютері.
7. Після завершення налаштувань у треї з’явиться іконка BitLocker. Клацніть по ній і підтвердіть перезавантаження комп’ютера.
8. Після перезавантаження почнеться процес шифрування, а його прогрес можна дізнатися з відповідного значка в треї.
Тепер диск зашифрований і під час кожного ввімкнення Windows проситиме ввести пароль BitLocker. Це стосується і знімних накопичувачів, якщо вони були зашифровані таким способом.
У розділі шифрування також з’являться докладні налаштування, де ви зможете видалити або змінити пароль, призупинити захист, архівувати ключ відновлення або відключити шифрування.
Неправильне введення пароля кілька разів призведе до блокування, і отримати доступ до диска можна буде тільки за допомогою ключа відновлення
Найнадійнішими вважаються спеціальні смарт-картки, які візуально виглядають як звичайні флешки. Однак вони мають спеціальні бібліотеки та відображаються окремими пристроями в диспетчері завдань. Відповідно, відтворити смарт-карту набагато складніше на відміну від звичайної флешки-ключа.
Альтернативи BitLocker
Якщо з якихось причин стандартна система шифрування вас не влаштовує або у вашій редакції Windows її просто немає, то можна скористатися стороннім софтом.
Однак будьте обережні. По-перше, сторонні програми, на відміну від системних засобів, можуть відчутно позначатися на продуктивності комп’ютера, особливо, якщо вони не оптимізовані під конкретні ОС. По-друге, немає гарантій, що такий софт не має вразливостей, якими можуть скористатися зловмисники або навіть розробники.
BitLocker Anywhere
Популярний софт для шифрування дисків, що працює під операційними системами Windows 7/8/10 різних редакцій. Софт має пробну версію на 15 діб, проте в ній заборонено шифрувати системний розділ, тож користувачі зможуть захистити лише флешки та інші логічні томи жорсткого диска.
Базова версія коштує 14,99$, а професійна з можливістю шифрувати томи понад 2 ТБ — 19,99$. У функціонал BitLocker Anywhere входить шифрування і дешифрування дисків, створення ключів відновлення з їхнім експортом. По суті, це аналог стандартного BitLocker з технічною підтримкою з боку розробників. Очевидний мінус — як захист доступний тільки пароль, ніяких смарт-карт або USB Flash тут немає.
Для шифрування досить вибрати диск, вказати пароль, місце для збереження ключа відновлення і дочекатися закінчення процесу. Інтерфейс англійською мовою, але програмою можна користуватися навіть із мінімальними знаннями іноземної.
7 zip
Якщо ви віддаєте перевагу створенню VHD-образів і за необхідності підключати їх до системи, то для шифрування цілком підійде звичайний архіватор 7zip.
Виберіть віртуальний образ жорсткого диска (формат VHD/VHDX) і натисніть «Додати в архів». Далі у вікні налаштувань вкажіть ім’я, пароль для шифрування і метод (бажано, AES-256).
Тепер для дешифрування вам доведеться ввести пароль і тільки потім монтувати VHD файл.
Нюанси відновлення зашифрованого диска
Що робити, якщо Windows із зашифрованим логічним диском не запускається? Це не проблема, якщо у вас є необхідні дані доступу. Щоб зняти блокування BitLocker, вам слід мати хоча б один із таких елементів:
- пароль шифрування BitLocker, який ви вводили на самому початку;
- ключ відновлення (його пропонували зберегти на флешці, в обліковому записі або роздрукувати);
- USB-ключ запуску системи, якщо ви використовували флешку.
Якщо нічого цього у вас немає, то про дані можна забути і єдиний спосіб повернути диск — відформатувати його. Звісно, є специфічні способи «виловити» ключ серед метаданих або дампа оперативної пам’яті, але й вони не дають стовідсоткової гарантії успіху, не кажучи про складність реалізації. До цих методик можуть вдаватися спеціалізовані сервіси.
Якщо Windows не провантажується, то вам необхідно запустити середовище відновлення, або скористатися інсталяційним диском. Якщо це можливо, запустіть командний рядок (для стандартних засобів Windows це команда Shift+F10). Тепер виконайте такі дії:
- Перевірте стан зашифрованих дисків командою «manage-bd e-status». Якщо все добре, то має з’явитися напис із BitLocker Drive Encryption: Volume X, де замість Х буква зашифрованого тому.
- Далі розблокуйте диск командою «manage-bd e-unlock D: -pw». Вас попросять ввести пароль.
- Після успішного дешифрування з’явиться відповідне вікно і можна приступити до відновлення.
Якщо пароль не відомий, то можна використовувати ключ відновлення, надрукувавши в командному рядку:
repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-98368 2-Force
У цьому разі пошкоджені дані з диска F будуть перекопійовані на диск G, при цьому останній має бути за обсягом більшим за диск F. Ключ відновлення — це 48-цифровий код, який і друкується в цій команді.
Для flash-ключа формату «.bek», який у цьому прикладі міститься на флешці I, використовується такий рядок:
repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BE K-Force
Перед відкриттям розшифрованого диска обов’язково виконайте перевірку на помилки стандартною командою Chkdsk.