Практические рекомендации по настройке BitLocker (часть 1)

Введение

Windows Vista уже здесь, а вместе с Vista мы получаем множество новых замечательных функций безопасности. Одной из самых интересных функций безопасности в Vista является шифрование диска Windows BitLocker. BitLocker — это полнофункциональное средство шифрования, поддерживающее настраиваемые методы защиты и проверки подлинности. Однако опыт пользователя и поддержки может быть неоднозначным, в зависимости от того, какие методы защиты и аутентификации вы выберете. В этой статье мы познакомим вас с передовым пошаговым подходом к установке и настройке BitLocker в Windows Vista.

Требования к оборудованию и программному обеспечению BitLocker

С BitLocker у вас в основном есть два разных способа защиты криптографического ключа (также известного как Volume Encryption Key).

• Чип TPM
• Использование чистого ключа, который является обычным методом защиты паролем.

Криптографический ключ используется для шифрования тома, но не менее важно, чтобы криптографический ключ был также защищен. Если злоумышленник удалит криптографический ключ или он будет удален случайно, вам лучше иметь хорошую настройку восстановления ключа, если вы хотите снова получить доступ к своим данным (подробнее о восстановлении ключа мы расскажем во второй части). С другой стороны, намеренное удаление криптографического ключа в контролируемой среде — это отличный способ вывести компьютер из эксплуатации и быстро перезапустить компьютер, не беспокоясь о том, что было ранее установлено на зашифрованном томе.

Прежде чем вы сможете установить и использовать BitLocker, вы должны убедиться, что выполнены следующие требования:

• Доступен чип TPM (модуль Trusted Platform) версии 1.2 (только требование, если вы хотите использовать BitLocker с чипом TPM)
• Системный BIOS совместим с TCG (Trusted Computing Group) версии 1.2 (опять же, это требование только в том случае, если вы хотите использовать BitLocker с микросхемой TPM).
• Системный BIOS поддерживает как чтение, так и запись небольших файлов на флэш-накопитель USB в предустановленной операционной системе.
• На компьютере должно быть как минимум два тома, прежде чем можно будет использовать BitLocker:
  • Первый том — это системный том.
    Этот том должен быть отформатирован в NTFS и должен отличаться от тома операционной системы. Системный том не должен быть зашифрован, так как он содержит аппаратно-зависимые файлы, необходимые для загрузки Windows после предзагрузочной аутентификации.
  • Второй том — это том операционной системы (ОС).
    Этот том должен быть отформатирован в файловой системе NTFS и содержать операционную систему Vista и вспомогательные файлы. Все данные на томе ОС защищены BitLocker.
• Следует отметить, что BitLocker включен и поддерживается только в Windows Vista Enterprise, Windows Vista Ultimate и Windows «Longhorn» Server.

Давайте настроим BitLocker, ознакомив вас с каждым из требований и приправив его некоторыми полезными приемами и подсказками.

Подготовьте системный BIOS

Микросхема TPM не требуется, но настоятельно рекомендуется при использовании BitLocker. На самом деле на это есть несколько причин:

• Поскольку Microsoft является одним из активных сторонников инициативы Trusted Computing Platform, они построили множество функций безопасности Vista (включая BitLocker) на основе этого чипа, который также можно настроить из инфраструктуры на основе Active Directory с помощью групповых политик.
• BitLocker чрезвычайно слаб, когда речь идет о параметрах аутентификации перед загрузкой, по сравнению со сторонними инструментами шифрования жесткого диска. Наилучший и наиболее безопасный метод использования BitLocker — это конфигурация с поддержкой TPM + PIN-кода.

Чип TPM — это, по сути, смарт-карта, встроенная в материнскую плату компьютера. Микросхема TPM способна выполнять криптографические функции. Он может создавать, хранить и управлять ключами, а также выполнять операции цифровой подписи и, что самое главное, защищать себя от атак.

Надеюсь, вы уже убедились, что использование BitLocker вместе с микросхемой TPM — это хорошо. Но прежде чем вы сможете воспользоваться преимуществами чипа TPM в Vista, вам нужно убедиться, что он совместим с TCG версии 1.2. Для большинства новых микросхем TPM можно обновить прошивку, чтобы они были совместимы с Vista. Однако это также означает, что ваш BIOS нуждается в обновлении. Если вы не уверены, соответствует ли ваш компьютер требованиям TPM, вам следует посетить веб-сайт производителя вашего компьютера для получения дополнительной информации.

В большинстве систем все, что вам нужно сделать, это войти в настройки BIOS и включить микросхему TPM (обычно обозначаемую в BIOS как «чип безопасности»). Как только вы это сделаете, вы будете готовы перейти к следующему разделу.

Подготовьте жесткий диск

Если вы недавно приобрели компьютер с Vista Ready и/или с предустановленной Vista, то вы заметите, что на жестком диске есть как минимум два разных тома. По сути, это означает, что тома на компьютере подготовлены для поддержки BitLocker, и вы можете просто перейти к следующему разделу.

Если у вас нет томов, подготовленных вашим поставщиком оборудования, или вы просто хотите переустановить Vista, а также подготовить ее для BitLocker, вам необходимо подготовить тома, необходимые для BitLocker, о которых упоминалось ранее. Это должно быть сделано во время процесса установки Vista.

Это можно легко сделать с помощью Windows PE 2.0, входящей в комплект поставки Vista DVD, и небольшого простого сценария, который мы включили в эту статью. Этот процесс на самом деле проще, чем вы думаете. Вот что вам нужно сделать:

Скопируйте следующий скрипт на USB-ключ:

bde-part.txt (используется для разметки жесткого диска):

Важно: команда «clean» в сценарии bde-part.txt сотрет все ваши существующие разделы на диске 0 (ваш основной диск), включая разделы восстановления/установки, которые могут быть предварительно настроены производителем вашего компьютера, поэтому используйте эту команду с уход или опустить его из сценария. Вместо команды очистки вы можете использовать diskpart select volume=< буква диска>, а затем diskpart удалить том, если вы хотите более детально контролировать, какие тома вы хотите удалить.

После того, как вы скопировали скрипт на USB-ключ, пришло время его использовать.

1. Вставьте USB-ключ и запустите компьютер с DVD-диска с продуктом Windows Vista.
2. На начальном экране «Установка Windows» выберите язык установки, формат времени и валюты и раскладку клавиатуры, а затем нажмите «Далее».
3. На следующем экране «Установка Windows» нажмите «Параметры восстановления системы» в левом нижнем углу экрана.
4. В диалоговом окне «Параметры восстановления системы» выберите раскладку клавиатуры и нажмите «Далее».
5. В следующем диалоговом окне «Параметры восстановления системы» убедитесь, что операционная система не выбрана. Для этого щелкните пустую область списка Операционная система под всеми перечисленными элементами. Затем нажмите Далее
6. В следующем диалоговом окне «Параметры восстановления системы » нажмите «Командная строка» (см. рис. 1).

фигура 1

7. Назначьте букву диска, назначенную вашему USB-ключу, введя следующие команды одну за другой:
   дискпарт
   список томов
   выход
   Запишите букву диска, назначенную USB-накопителю.

2. Подготовьте тома, введя следующую команду:
   diskpart /s <буква USB-накопителя >:de-part.txt
   где <буква USB-накопителя> должна быть заменена буквой диска, выделенной для вашего USB-ключа.

Выполнив вышеуказанные шаги, вы должны выйти из окна командной строки, вернуться в программу установки и завершить установку Vista.

Подготовьте чип TPM

Прежде чем мы сможем использовать чип TPM, нам нужно его подготовить. Это означает, что нам необходимо обеспечить следующее:

• Убедитесь, что в Vista установлен правильный драйвер TPM.
• Инициализировать микросхему TPM
• Станьте владельцем чипа TPM

Примечание. Если вы не хотите использовать микросхему TPM с BitLocker, вы можете пропустить этот раздел и перейти к следующему.

Существует несколько причин, по которым Microsoft зависит от микросхемы TPM, совместимой с TCG версии 1.2, но две из основных причин, помимо дополнительных функций безопасности, — это совместимость и стабильность. Microsoft предоставляет это с помощью универсального драйвера TPM Vista. Эмпирическое правило заключается в том, что вам следует использовать драйвер Microsoft TPM только в том случае, если вы хотите использовать BitLocker с чипом TPM.

Убедитесь, что вы используете правильный драйвер для микросхемы TPM (при условии, что ваш компьютер поддерживает его), войдя в диспетчер устройств. В категории « Устройства безопасности » вы должны увидеть драйвер Microsoft TPM, который называется «Trusted Platform Module 1.2». Если вы хотите проверить версию драйвера, просто щелкните правой кнопкой мыши устройство Trusted Platform Module 1.2 и выберите «Свойства», а затем перейдите на вкладку «Драйвер», как показано на рис. 2.

фигура 2

Если по той или иной причине вы используете другой драйвер TPM, вы можете обновить драйвер до ранее упомянутого драйвера Microsoft TPM, который вы найдете на DVD-диске Vista.

После того, как вы убедились, что правильный драйвер TPM загружен, пришло время инициализировать микросхему TPM. Это можно сделать двумя способами: либо с помощью MMC TPM (просто введите tpm.mcs ), либо с помощью командной строки. В этой статье мы покажем вам, как это делается из командной строки с помощью утилиты командной строки manage-bde.wsf, которая представляет собой скрипт на основе WMI.

1. В меню «Пуск» Vista найдите ярлык командной строки. Щелкните значок правой кнопкой мыши и выберите «Запуск от имени администратора».
2. Введите следующую команду:
   где следует заменить паролем по вашему выбору
   Рассматривайте этот пароль как главный пароль TPM.
3. Теперь микросхема TPM готова к использованию (см. рис. 3).

Рисунок 3

Шифровать тома

До сих пор мы прошли все необходимые предварительные шаги, прежде чем мы действительно сможем начать шифрование томов. Некоторые из шагов, описанных до сих пор, могут быть уже подготовлены непосредственно производителем вашего компьютера или неприменимы, если ваш компьютер не имеет чипа, совместимого с TPM версии 1.2. Давайте двигаться дальше и зашифровать некоторые данные. Это можно сделать двумя способами: с помощью графического интерфейса панели управления BitLocker или из командной строки. В этой статье мы покажем вам, как это делается из командной строки по разным причинам:

1. Графический интерфейс панели управления BitLocker поддерживается только на компьютерах с совместимым чипом TPM. Это означает, что если вы хотите воспользоваться преимуществами BitLocker без использования микросхемы TPM, единственным вариантом является утилита командной строки BitLocker ( manage-bde.wsf ).
2. Другая причина заключается в том, что официально BitLocker в Vista поддерживает шифрование только тома ОС (обычно это диск C:). Однако с помощью утилиты командной строки у вас также есть возможность шифровать тома данных, функция, которая официально поддерживается только в Longhorn Server.
3. Утилита командной строки может использоваться для централизованного шифрования клиентских компьютеров в среде Active Directory, которую мы более подробно рассмотрим во второй части этой серии статей.

Как тома могут быть зашифрованы

• В меню «Пуск» Vista найдите ярлык командной строки. Щелкните значок правой кнопкой мыши и выберите «Запуск от имени администратора».
• Введите следующую команду:
• Это покажет вам различные варианты проверки подлинности перед загрузкой и восстановления ключа, которые у вас есть с BitLocker. В этой статье мы покажем вам, как зашифровать том с поддержкой TPM, том без поддержки TPM и, наконец, том, отличный от диска C:

Шифрование BitLocker с поддержкой TPM

1. В меню «Пуск» Vista найдите ярлык командной строки. Щелкните значок правой кнопкой мыши и выберите «Запуск от имени администратора».
2. Введите следующую команду:
   

Рисунок 4

3. Следуйте инструкциям на экране, чтобы начать процесс шифрования (см. рис. 4).

Шифрование BitLocker без поддержки TPM:

1. В меню «Пуск» Vista найдите ярлык командной строки. Щелкните значок правой кнопкой мыши и выберите «Запуск от имени администратора».
2. Введите следующую команду:
   
   <USB-накопитель> — это буква диска, назначенная USB-ключу, который используется вместо микросхемы TPM. Не забудьте включить двоеточие с буквой диска
   <диск восстановления> может быть жестким диском, USB-накопителем или сетевым диском. Опять же, не забудьте включить двоеточие с буквой диска.

Шифрование BitLocker томов данных

Процедура аналогична двум предыдущим примерам. Просто замените букву диска на диск, который вы хотите зашифровать. Однако эта функция имеет несколько предостережений, если вы не будете осторожны.

• Во-первых, это будет работать только в том случае, если вы зашифровали том ОС с помощью утилиты командной строки manage-bde.
• Второе предостережение заключается в том, что после того, как объем данных будет зашифрован, вы не сможете получить доступ к данным после перезагрузки компьютера, если только вы не автоматически разблокируете объем данных. Вот как можно избежать этой проблемы:

1. Мы предполагаем, что вы зашифровали том данных, используя один из наших примеров в этой статье или ваши собственные настройки.
2. Перед перезагрузкой компьютера введите следующую команду:
   
   <data drive> — это буква диска, назначенная тому Data Volume. Не забудьте включить двоеточие в букву диска с данными.

Вышеупомянутая команда создаст защиту внешнего ключа на томе данных и сохранит криптографический ключ на томе ОС (обычно на диске C:), который мы зашифровали ранее. Таким образом, криптографический ключ для тома данных защищен криптографическим ключом для тома ОС, но по-прежнему автоматически загружается на этапе загрузки.

Вывод

В этой статье мы показали вам другой способ включения BitLocker в Vista по сравнению с пошаговыми статьями Microsoft. Мы хотели показать вам, что BitLocker может гораздо больше, чем то, что вы можете сделать с помощью графического интерфейса. Во второй части этой серии статей мы подробно рассмотрим, как настроить BitLocker и управлять им из центральной среды Active Directory, а также как лучше всего управлять BitLocker с точки зрения восстановления ключа.

Внешние ссылки

Требования к клиентской платформе Windows Vista BitLocker

Спецификации и технические документы

Веб-сайт Trusted Computing Group (TCG)

Блог Microsoft BitLocker