Bitlocker

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
  2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
  3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
  4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
    К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
    Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
    И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
  5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
    Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как поставить пароль на флешку в BitLocker

В процессе создания зашифрованной флешки в BitLocker, необходимо выполнить следующие шаги:

Сначала необходимо вставить в USB порт компьютера переносной флеш накопитель, с данными требующими защиты от посторонних лиц.

Запустите средство BitLocker из контекстного меню. В окне Проводника кликните правой кнопкой мыши по значку флешки, в открывшемся меню выберите «Включить BitLocker».

Во время запуска приложения выполняется инициализация диска (флешки).

Не вытаскивайте флешку из разъема на компьютере во время установки BitLocker.

В следующем окне выберите способы для разблокировки диска. В BitLocker предлагается два способа для получения доступа к данным на зашифрованной флешке:

  • Использовать пароль для снятия блокировки диска.
  • Использовать смарт-карту для снятия блокировки с диска.

В первом случае, необходимо создать пароль для снятия блокировки с флешки (пароль должен состоять из прописных и строчных букв, цифр, пробелов и символов). Второй вариант предусматривает использование дополнительного устройства: смарт-карты с ПИН-кодом. В большинстве случаев, предпочтительнее выбрать первый вариант.

Поставьте галку напротив пункта «Использовать пароль для снятия блокировки диска», введите пароль, подтвердите пароль, а затем нажмите на кнопку «Далее».

Пароль должен иметь минимальную длину не менее 8 символов.

Далее нужно выбрать способ для архивирования ключа восстановления. Ключ восстановления пригодится в случае, если вы забудете свой пароль или потеряете смарт-карту. С помощью ключа восстановления вы сможете разблокировать флешку.

Выберите один из трех возможных вариантов:

  • Сохранить в вашу учетную запись — ключ восстановления будет сохранен в учетной записи.
  • Сохранить в файл — ключ восстановления будет сохранен в текстовом файле на компьютере.
  • Напечатать ключ восстановления — ключ восстановления будет напечатан на бумаге.

После сохранения ключа восстановления, перейдите к следующему этапу.

В открывшемся окне следует выбрать, какую часть диска требуется зашифровать:

  • Шифровать только занятое место на диске.
  • Шифровать весь диск.

В первом случае, будет зашифрована только та часть флешки, которая содержит данные. Новые данные, добавленные на флешку, будут зашифрованы автоматически. При этом способе процесс шифрования проходит быстрее.

При шифровании всего диска, кроме занятого места, будет зашифровано неиспользуемое пространство флешки. Это более надежный способ защиты флешки, так как он делает невозможным восстановление ранее удаленных файлов на USB накопителе, с помощью специализированных программ, например, Recuva. При выборе данного варианта, процесс шифрования займет больше времени.

Выберите подходящий способ, нажмите на кнопку «Далее».

Если вы ставите пароль на флешку в операционной системе Windows 10, вам предложат выбрать режим шифрования:

  • Новый режим шифрования — шифрование несъемных дисков в новом режиме, начиная с обновления Windows 10 версии 1511.
  • Режим совместимости — оптимальный режим для съемных носителей, используемый в разных версиях Windows.

Выберите «Режим совместимости», а затем перейдите к следующему этапу.

В новом окне нажмите на кнопку «Начать шифрование».

Процесс шифрования занимает довольно длительное время, продолжительность шифрования зависит от размера флешки, или от размера шифруемых файлов на флешке (при выборе соответствующей опции).

Во избежание повреждения файлов на флешке, не удаляйте съемный накопитель с компьютера во время процесса шифрования.

После завершения шифрования, на компьютере появится запароленная флешка.

Резервный ключ

Как думаете, что случится, если Вы забудете пароль или потеряете носитель с основным ключом? Или же установите HDD в другой ПК (с иным TPM)? Как восстановить доступ в такой ситуации? Windows 10 предоставляет возможность сохранения резервного ключа (на диск, флешку) или его распечатывания

Важно обеспечить надежное хранение копии, чтобы никто не мог добраться до нее. Иначе, все усилия по обеспечению защиты будут сведены к нулю

Внимание! При утрате всех ключей, Вы навсегда потеряете свои данные! Точнее, не сможете их дешифровать! Отключить подобную защиту просто невозможно. Утилита BitLocker работает в автономном режиме и кодирует вновь добавленные (созданные) файлы и папки на дисках

При этом возможны два пути, по которым Вы можете пойти

Утилита BitLocker работает в автономном режиме и кодирует вновь добавленные (созданные) файлы и папки на дисках. При этом возможны два пути, по которым Вы можете пойти.

  1. Шифровать весь диск целиком, включая свободное место (незадействованное). Надежный, но медленный способ. Подойдет для случаев, когда нужно скрыть всю информацию (даже о тех файлах, которые были давно удалены и могут быть восстановлены).
  2. Защищать только используемое пространство (занятые разделы). Это более скоростной метод, который я рекомендую выбирать в большинстве ситуаций.

После этого шага начнется анализ системы. Компьютер перезагрузится и стартует непосредственно процесс шифрования. Чтобы следить за прогрессом, можно наводить курсор на значок в области уведомления. Следует отметить незначительное падение производительности за счет потребления оперативной памяти.

Последующий запуск ПК будет сопровождаться появлением окна ввода PIN кода или предложением вставить USB носитель с ключами. Всё зависит от выбранного Вами способа.

Если необходимо прибегнуть к использованию резервного ключа, то следует нажать на клавиатуре Esc и выполнить требования мастера восстановления.

Как защитить папку паролем используя вспомогательные программы

Ниже я приведу список вспомогательных программ, которые позволяют легко ставить пароли на папки, а также опишу их функционал.

LocK-A-FoLdeR. Данная программа абсолютно бесплатная и является отличным вариантом для новичков. Она обладает минимальным интерфейсом и простой системой паролинга. Опция «Lock a Folder» выбирает папку для пароля, опция «Unlock selected folder» открывает папку с паролей, а опция «Change Master Password» позволяет сменить общий пароль.

Вместо использования методик шифрования программа LocK-A-FoLdeR просто прячет папку от тех, кто мог бы получить к ней доступ. Чтобы вновь использовать папку, необходимо запустить данную программу и нажать на «Unlock selected folder».

Folder Protector. Данная программа использует шифрование для защиты ваших папок. Вам нужно запустить её, указать папку, доступ к которой необходимо закрыть, дважды указать пароль и нажать на «Protect». Папка будет зашифрована. Расшифровать её можно будет с помощью основной программы, а также с помощью маленького исполняемого файл, который будет создан после шифрования.

Программа Folder Protector имеет полукомерционную основу (бесплатный функционал весьма широк) и может быть рекомендована множеству пользователей.

Password Protect USB. Данный продукт весьма популярен, хотя основан на платной версии. Функционал его похож на вышеописанные программы, достаточно нажать на «Lock Folders», указать путь к папке, дважды ввести пароль.

Можно пойти и другим путём, ведь программа Password Protect USB встроена в меню проводника. В проводнике кликаем правой клавишей мыши на нужную папку, выбираем «Lock with Password Protect USB», дважды вводим пароль и жмём на «Lock Folders». Теперь, при попытке зайти в данную папку выскочит окно, где нужно будет набрать пароль.

DirLock. Функционал данной программы похож на предыдущие, после инсталляции в меню проводника появится опция «Lock/Unlock» (закрыть/открыть). Если она не появилась, нужно запустить программу, а в её опциях (options) выбрать Add «Lock/Unlock» Context Menu.

Теперь, чтобы зашифровать файл достаточно будет кликнуть на него правой клавишей мыши, выбрать «Lock/Unlock», дважды ввести пароль, а затем нажать на Lock. Процедура получения доступа к зашифрованному файлу аналогична – после его запуска вам необходимо будет набрать требуемый пароль.

Как это работает можно посмотреть вот здесь:

Anvide Lock Folder. Данная бесплатная программа поможет вам, как поставить пароль на папку https://anvidelabs.org/programms/asf/.

Запустите софт, нажмите на плюс в главном меню, с помощью проводника найдите папку, на которую нужно поставить пароль и нажмите на изображение замка наверху. Вводим дважды пароль и кликаем на «Закрыть доступ» (можно будет создать подсказку к паролю). Папка станет скрытой, и чтобы получить к ней доступ необходимо будет запустить Anvide Lock Folder, выбрать нашу папку, а затем нажать на изображение открытого замка. Потом необходимо будет ввести пароль и нажать на «Открыть доступ».

Как поставить пароль на папку с помощью Anvide Lock Folder

IoBit Protected Folder. Платная программа для установки паролей, имеет упрощённый интерфейс. После запуска программы IObit жмём на «Добавить», выбираем требуемую папку, вводим пароль, подтверждаем. Для разблокирования жмём на «Разблокировать», вводим пароль, получаем доступ к файлу. Всё просто.

FolderLocker

Если вы не хотите использовать стороннее программное обеспечение, интересной альтернативой от Laptop Mag является создание FolderLocker для защиты паролем папок Windows 10. Сначала это довольно длительный процесс, но как только вы настроите FolderLocker, вы можете легко перетаскивать в него файлы. Автор предупреждает: «… да, файл FolderLocker может быть переработан кем-то, кто понимает процесс, но это не предназначено для того, чтобы не пускать технически подкованных людей, просто любопытных членов семьи, которым вы не доверяете».

Также смотрите: Лучшие бесплатные приложения для шифрования ваших файлов перед загрузкой в ​​облако.

Чтобы шифровать или не шифровать файлы и папки в Windows?

Если у вас есть файлы и / или папки на вашем компьютере, которые содержат конфиденциальную информацию, рекомендуется использовать шифрование, чтобы скрыть эту информацию от посторонних глаз. Шифрование также затруднит, если не сделает невозможным, доступ хакеров к этим данным, если они попадут в чужие руки. Никакое шифрование не может быть взломано на 100 процентов, но если вы не являетесь Банком Америки, попытка сделать это часто просто не стоит усилий или средств преступников. Однако, если вы используете свой компьютер для работы или у других людей есть собственные учетные записи на вашем компьютере, ваши данные уязвимы. Надлежащая практика безопасности и шифрования может помочь защитить ее. 

Шифрование файлов и папок в Windows, которые содержат следующие данные:

  • Налоговые накладные
  • Списки паролей — храните пароли и булавки на отдельном устройстве или используйте менеджер паролей, например LastPass, DashLane или TrueKey (позволяет хранить до 15 паролей)
  • банковская информация
  • Личная информация (PII)
  • Информация о привилегированном работодателе
  • Интеллектуальная собственность

Если вы не хотите, чтобы определенная информация появлялась в Интернете, или уничтожили бы ее, если бы она была на бумажном носителе, скорее всего, эти файлы или папки должны быть зашифрованы..

Имейте в виду: ФБР и АНБ могут потребовать от компаний США передать данные или ключи шифрования по решению суда. Если у вас есть зашифрованные файлы, которые могут содержать незаконные данные или предоставить информацию, чтобы помочь правоохранительным органам в расследовании преступления, закон может заставить вас расшифровать их самостоятельно. Об этом сообщают новости ITGS: «(В 2016 году) суд обязал Пейтсар Бхчаджян из Лос-Анджелеса разблокировать устройство iPhone, используя ее отпечаток пальца. Поскольку хранилище iPhone зашифровано, а устройство было заблокировано Apple Touch ID, это был единственный способ для полиции получить доступ к данным Защита Бхчаджана потребовала защиты 5-й Поправки, но это было отменено судом ».

Изображение для кибер-атаки ноутбука-клавиатуры от Геральта через Pixabay. Лицензировано под CC BY 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.

TrueCrypt

По теме: Как поставить пароль на флешку?

Существует множество ПО для шифрования. Подобная им является TrueCrypt. Особенность в том, что она шифрует не только отдельные файлы, но и целые разделы, либо USB-флешки.

Не стоит беспокоиться, что при открытии зашифрованного диска файлы будут вам доступны не сразу, потому что бывает так, что файлы расшифровываются постепенно, да еще и медленно. В данном случае информация будет доступна вам сразу после ввода ключа.

Заметим, что главным фактором в шифровании данной программой является именно пароль, который должен иметь не менее 20 знаков.

Более полно разбирать использование программы я буду в этой статье.

Шифрование устройств BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

  • После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
  • Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
  • Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.
  • Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:

  • Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Значение: PreventDeviceEncryption равно True (1)
  • Тип: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Примечание

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.

Защита от бесфайловой атаки

Хакеры часто применяют для начала атаки спам-кампании. Основаны они на рассылке писем с вредоносными файлами, запуск которых сулит открыть двери в сеть для злоумышленников.  

Файлы бывают разных типов и эксплуатируют они разные уязвимости операционных систем. Однако если система под защитой антивируса, скорее всего, вредоносные действия будут заблокированы, а файл удален. Но существуют атаки, которые антивирус не в состоянии блокировать. Например, документы MS Office с вредоносными макросами. Сам документ по своей сути может быть безвреден и подозрительной сигнатуры, и странного поведения в себе не несет. Но макрос может быть написан таким способом, что боевую нагрузку он скачает с удаленного сервера и исполнит на системе. Ни встроенный в Windows 10, ни сторонний антивирус не сможет отреагировать на такую атаку, так как файл был проверен перед запуском, и он лишь исполняет макрос. А вот какие конкретно действия производит код, уже никто не смотрит. Да и бороться антивирусу особо не с чем — остается лишь код в памяти. Такие типы атак называются бесфайловыми или бестелесными (самого исполняемого файла нет), и они являются наиболее опасными при спаме.

Для тех, кто не использует макросы, защититься легче — просто отключить их. Но какие меры предпринять, когда это необходимо использовать? Ведь встает задача различать макросы, которые необходимы, от тех, которые используют атакующие. Для этой цели в Windows 10 разработали Windows Defender Exploit Guard. Это набор функций, который включает в себя:

  • защиту от эксплойтов;
  • уменьшение поверхности атаки;
  • защиту сети;
  • контролируемый доступ к папкам.

В документации Microsoft можно найти описание всех функций более подробно.

Важный момент: практически все компоненты зависят от встроенного в Windows 10 антивируса. То есть если установлен сторонний антивирус — то в Windows Defender Exploit Guard возможно будет пользоваться только защитой от эксплойтов. Остальные перечисленные функции будут работать только при включенном Windows Defender!

Для защиты от бесфайловой атаки необходима функция уменьшения поверхности атаки. Она содержит в себе порядка 14 правил. На странице представлены описания правил и их GUID. В данном случае необходимо включить правило «Блокировка создания исполняемого содержимого приложениями Office» с GUID «3B576869-A4EC-4529-8536-B80A7769E899». Это правило блокирует запуск сторонних приложений непосредственно макросом.

Чтобы включить данное правило, необходимо перейти в редактор локальных групповых политик и во вкладке «Конфигурация компьютера» идти по цепочке: Административные шаблоны → Компоненты Windows → Антивирусная программа «Защитник Windows» → Exploit Guard в Защитнике Windows → Сокращение возможных направлений атак. Далее необходимо открыть «Настроить правила сокращения возможных направлений атак».

Включаем функцию, выбрав переключатель «Включено», и нажимаем кнопку «Показать». В открывшемся окне вводим GUID правила и значение. Значения принимают вид:

0 — не работает

1 — блокирует

2 — не блокирует, но записывает логи.

Рисунок 2. Добавление правила в Windows Defender Exploit Guard

Включаем функцию, добавляем правило и пытаемся запустить файл с вредоносным макросом.

Рисунок 3. Оповещение о блокировке вредоносных действий

В этот момент появится уведомление о том, что действия макроса заблокированы. Но если запустить макрос, который, к примеру, посчитает стоимость скидки на товар внутри таблицы, его блокировать Защитник не будет.

Обнаружена неразрешенная шина или устройство с поддержкой DMA

это Сведения о системе состояние в поддержке шифрования устройств означает, что Windows обнаружил по крайней мере одну потенциальную внешнюю шину с поддержкой dma или устройство, которое может предоставлять угрозу DMA.

Чтобы устранить эту проблему, обратитесь к независимым поставщикам оборудования, чтобы определить, не имеет ли устройство внешних портов DMA. Если они подтверждены независимыми поставщиками оборудования, что шина или устройство имеют только внутренний канал DMA, поставщик вычислительной техники может добавить его в список разрешенных.

Чтобы добавить шину или устройство в список разрешенных, необходимо добавить значение в раздел реестра. Чтобы сделать это, сначала необходимо стать владельцем раздела реестра алловедбусес . Выполните следующие действия.

  1. Перейдите к разделу реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

  2. Щелкните правой кнопкой мыши раздел реестра и выберите пункт разрешения….

  3. Щелкните Дополнительно, щелкните ссылку изменить в поле владелец , введите имя учетной записи пользователя, щелкните Проверить имена, а затем нажмите кнопку ОК три раза, чтобы закрыть все диалоговые окна.

  4. Щелкните правой кнопкой мыши раздел реестра и выберите разрешения… еще раз.

  5. Нажмите кнопку Добавить… , добавьте учетную запись пользователя, щелкните Проверить имена, а затем нажмите кнопку ОК. затем установите флажок «Разрешить полный доступ». Затем нажмите кнопку ОК.

Затем в разделе алловедбусес добавьте пары «имя-значение» строки (REG_SZ) для каждой шины с отметкой с поддержкой DMA, которая определяется как надежная:

  • Ключ: Описание понятного имени устройства
  • Значение: PCI \ VEN_идентификатор DEV_идентификатор.

Убедитесь, что идентификаторы соответствуют выходным данным теста ХЛК. Например, если у вас есть защищенное устройство с понятным именем «корневой порт Contoso PCI Express», идентификатор поставщика 1022 и идентификатор устройства 157C, необходимо создать запись реестра с именем » корневой порт Contoso PCI Express » в качестве REG_SZ типа данных в:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Где значение = «PCI \ VEN_1022 & DEV_157C»

BitLocker

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker предоставляет шифрование для операционной системы, фиксированных данных и съемных дисков данных, используя такие технологии, как интерфейс тестирования безопасности оборудования (HSTI), Modern Standby, UEFI Secure Boot и TPM.

Windows последовательно улучшает защиту данных, улучшая существующие параметры и предоставляя новые стратегии.

Установка VeraCrypt

Потребуется USB-флешка для создания VeraCrypt Rescue Disk. Отформатируйте флешку в файловую систему FAT или FAT32.
Нужна программа для разархивирования файлов. Можно воспользоваться 7-zip.
Откройте страницу для скачивания VeraCrypt и ищите установки для Windows.
Запустите программу установки VeraCrypt и используйте настройки по умолчанию.
Должно появиться сообщение об успешной установке.
Нажмите OK и «Завершить» для окончания процесса установки. Будет показано следующее диалоговое окно.

Если вы раньше не пользовались VeraCrypt, рекомендуется ознакомиться с руководством. Нажмите «Да» для просмотра руководства.
Запустите приложение. В меню выберите раздел Система > Шифровать системный раздел диска.

Появится VeraCrypt Volume Creation Wizard. Будет задан вопрос, какой тип системного шифрования вы хотите использовать: нормальный или скрытый. В первом случае шифруется системный раздел, что нам в данном случае и нужно. Выберите нормальный и нажмите «Далее».
Дальше появится вопрос, хотите вы шифровать системный раздел Windows или весь диск. Если у вас несколько разделов с важными данными, можно зашифровать весь диск. Если у вас один раздел, можно выбрать «Шифровать системный раздел Windows». После выбора нажмите «Далее».

Появится окно «Число операционных систем». Если у вас на компьютере больше одной операционной системы, выберите вариант «Мультизагрузка». В противном случае вы выберете вариант «Одна система». Нажмите «Далее».
Появится окно «Опции шифрования». Рекомендуется выбрать алгоритм шифрования AES и алгоритм хэша SHA-256. Нажмите «Далее».
Появится окно «Пароль». Нужно выбрать сложный пароль, если вы хотите обеспечить безопасность данных. Многие менеджеры паролей включают в себя генератор паролей. VeraCrypt предлагает создать пароль не короче 20 символов. Нажмите «Далее».
Появится окно «Сбор случайных данных». Нужно будет проводить мышью в окне. Это увеличивает надёжность ключей шифрования. Когда панель внизу окна заполнена, можно нажать «Далее».
Появится окно «Сгенерированные ключи». Нажмите «Далее».
Потребуется создать VeraCrypt Rescue Disk (VRD). На изображении появится объяснение. Если вы готовы рискнуть, можно поставить галочку напротив команды «Пропустить подтверждение диска восстановления», чтобы не создавать физический диск восстановления

Обратите внимание, где VeraCrypt сохраняет образ zip, затем нажмите «Далее».
Если вы не выбрали вариант «Пропустить подтверждение диска восстановления», создайте физический диск и позвольте VeraCrypt проверить его. Нужно вставить чистую флешку в компьютер и открыть адрес, где приложение VeraCrypt в предыдущем пункте хранило диск восстановления

Используйте 7-zip или аналогичное приложение для извлечения файлов из VeraCrypt Rescue Disk.zip в корень флешки. Нажмите «Далее».
Если всё прошло правильно, появится окно подтверждения диска восстановления. Вытащите флешку из компьютера и нажмите «Далее».
Появится окно Wipe Mode. Установите значение «Нет» и нажмите «Далее».
Появится окно System Encryption Pretest. Здесь выполняется проверка процесса шифрования. Изображение ниже подробно показывает, что произойдёт. Нажмите «Тест». Приложение может выдать ещё нескольких предупреждений, прежде чем тест будет запущен.
Если всё прошло как положено, может появиться следующее окно после перезагрузки компьютера и прохождения проверки шифрования системы.

VeraCrypt рекомендует создать резервные копии важных файлов, прежде чем шифровать систему. Это позволит восстановить их, если случится что-то непредвиденное, вроде отключения электричества и системной ошибки в процессе шифрования. После этого нажмите «Шифровать». Приложение покажет документацию, которую вы можете распечатать. Тут описывается, когда использовать диск восстановления после завершения процесса шифрования. После этого начинается само шифрование. Вы можете отслеживать прогресс.

Когда шифрование завершено, нужно вводить пароль при каждом запуске компьютера.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Советчик
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: