Включаем BitLocker на Windows | XTS-AES 256-bit и TPM+PIN на запуск

Дейви Джонс

Дейви Джонс

Пассажир

Введение:

Если вы решили использовать Windows для своей работы или просто для повседневных задач и хотите защитить свои данные от злоумышленников, которые могут получить доступ к вашему компьютеру, эта статья именно для вас. :-8

Что такое BitLocker и зачем он нужен?

BitLocker — это встроенный инструмент Windows для шифрования данных, который предоставляет защиту дисков от несанкционированного доступа. Он широко используется для предотвращения кражи информации в случае утраты устройства. С BitLocker ваши данные остаются защищёнными даже в случае физического доступа к устройству злоумышленников.

Как включить AES-256-XTS в BitLocker?

Шаг 1: Подготовка устройства

  1. Убедитесь, что у вас установлена версия Windows Pro, Enterprise или Education, так как в Home-версии BitLocker недоступен.
  2. Рекомендуется заранее создать точку восстановления системы. Для этого:
  3. Откройте Панель управления → Система → Защита системы→ Создать (Control Panel → System → System Protection → Create). Следуйте инструкциям на экране для создания точки восстановления.

Шаг 2: Настройка шифрования через редактор групповой политики

  1. Откройте редактор групповых политик, нажмите Win + R и введите gpedit.msc.
  2. Перейдите в раздел: Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsШифрование дисков BitLocker.
    (Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption.)
  3. Найдите параметр "Выберите метод шифрования диска и уровень стойкости шифра (Windows 10 [версия 1511 и более поздние])"
    (Choose drive encryption method and cipher strength (Windows 10 [version 1511] and later     ).
  4. Выберите XTS-AES 256-bit.
  5. Нажмите Применить и ОК.

Настройка шифрования.webp


Шаг 3: Включение BitLocker

  1. Перейдите в Панель управленияШифрование диска BitLocker (Control Panel → BitLocker Drive Encryption) → выберите диск и нажмите Включить BitLocker (Turn on BitLocker).
  2. Укажите, шифровать весь диск или только используемое пространство (рекомендуется шифровать весь диск).
  3. Подтвердите параметры шифрования и дождитесь окончания процесса.

Шаг 4: Включаем пинкод BitLocker

  1. Перейдите в том же редакторе групповой политики в папку Диски операционной системы (Operating System Drives).
  2. Найдите параметр "Требуется дополнительная аутентификация при запуске" (Require additional authentication at startup).
  3. Убедитесь что у вас не стоит галочка на "Разрешить BitLocker без совместимого TPM (требуется пароль или ключ запуска на USB-накопителе)" (Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)).
  4. Установите параметры для Do not allow TPM; Require PIN with TPM; Do not allow startup key with TPM; Do not allow startup key and PIN with TPM.
  5. Нажмите Применить и ОК
    Найдите параметр "Разрешить использование усиленного Пинкода для загрузки" (Allow enhanced PINs for startup)
    Включите его, затем нажмите Применить и ОК
Включаем пинкод BitLocker.webp
BitLocker.webp


Шаг 5: Установка пинкода через командную строку
6. Зайдите в командную строку от имени администратора.
7. Пропишите команду:
  • manage-bde -status C: (вместо C ставьте букву вашего диска)
8.Пропишите команду для добавления ТПМ и пинкода:
  • manage-bde -protectors -add C: -TPMAndPIN
9.Для удаления существующих параметров защиты, используйте команды по типу:
  • manage-bde -protectors -delete C: -type RecoveryPassword (можете не удалять, если опасаетесь, что можете забыть пароль, но тогда найдите его командой manage-bde -protectors -get C: и запишите в безопасное место, а еще лучше удалите, создайте снова и запишите)

  • RecoveryPassword, ExternalKey, Certificate, TPM,TPMAndStartupKey, TPMAndPIN, TPMAndPINAndStartupKey, Password, Identity - все виды протекторов
  • 10. Введите и подтвердите пинкод (максимум 20 символов, поэтому не забудьте использовать верхний и нижний регистр, цифры, спецсимволы). Учтите, что пинкод не отображается при вводе, поэтому записывайте его для дальнейшего использования.
    11. После успешного выполнения команды, перезагрузите компьютер и проверьте результат. При запуске Windows у вас должно появиться окно с вводом пинкода BitLocker.
    > Вы можете использовать другие виды протекторов для защиты своего диска, но я рекомендую либо TPMAndPIN, либо Password. Однако если вы выберите просто пароль, то у вас не будет TPM и дополнительной защиты ключей шифрования (в т.ч защиты от холодного запуска).


    bit.webp




    Преимущества AES-256-XTS

    Насколько безопасно 256-битное шифрование? (кликабельная ссылка на Youtube)

    1. Высокая надёжность шифрования
      • AES-256 соответствует строгим мировым стандартам, включая FIPS 140-2.
    2. Сложность для взлома
      • 2²⁵⁶ возможных ключей делают несанкционированную дешифровку невозможной.
    3. Устойчивость к атакам
      • Режим XTS защищает данные от манипуляций и атак, связанных с изменением или повторным использованием зашифрованной информации.
    4. Широкая совместимость
      • Подходит для большинства современных устройств и ситуаций, где требуется надёжная защита данных.

    Значение сильного пинкода и разница в подборе пинкода

    Для эффективной защиты данных с использованием BitLocker критически важно выбрать сильный пинкод. Часто пользователи делают ошибку, выбирая легко угадываемые пинкоды, такие как последовательности цифр или стандартные фразы. Такие пинкоды легко поддаются атаке методом перебора.

    Что делает пинкод сильным?

    • Длина: Чем длиннее пинкод, тем сложнее его взломать. Минимальная длина пинкода для BitLocker должна быть хотя бы 14 символов. Максимальная - 20 символов.
    • Сложность: Используйте смесь заглавных и строчных букв, цифр и специальных символов. Такой пинкод сложнее для подбора, так как количество возможных комбинаций возрастает экспоненциально.
    • Отсутствие очевидных шаблонов: Избегайте использования общих слов, дат рождения или последовательностей символов, таких как "123456" или "password". Это значительно упростит задачу атакующим.
    • Пример хорошего пинкода:
    LethargyHandc69504?*

    Почему это важно?

    Если пинкод слабый, даже с самым мощным алгоритмом шифрования, данные остаются уязвимыми. Сильный пинкод значительно усложняет задачу злоумышленникам, даже если у них есть доступ к зашифрованному диску. К тому же пинкод, используемый только для доступа к шифрованному диску (и не повторяющийся в других сервисах), уменьшает вероятность утечки данных в случае компрометации других аккаунтов.
    пинкод.webp

BitLocker и бэкдоры: стоит ли доверять?

Несмотря на свои преимущества, BitLocker подвергается критике за возможные уязвимости и бэкдоры. Например, после разоблачений Эдварда Сноудена в 2013 году появилась информация о том, что Национальное агентство безопасности США (NSA) могло иметь доступ к данным, зашифрованным с помощью BitLocker.

Как это может работать?

  1. Сотрудничество с Microsoft:
    • По законам США компания может быть обязана предоставить доступ к зашифрованным данным по запросу государственных органов.
  2. Закрытый исходный код:
    • BitLocker — закрытая система, и независимый аудит её работы невозможен, что усиливает подозрения.

Почему это важно?

Пользователи, для которых конфиденциальность данных критически важна, могут не доверять системам с потенциальными бэкдорами, но вы, скорее всего, не находитесь на территории США и не представляете для них никакого интереса. Российским силовым органам, скорее всего, Microsoft пожелает только хорошего настроения.

Перспективы AES-256-XTS в условиях квантовых вычислений

С развитием квантовых компьютеров встаёт вопрос о будущем криптографических алгоритмов. Однако:
  • Алгоритм Гровера, применимый к AES, теоретически снижает сложность атаки с 2²⁵⁶ до 2¹²⁸ но даже это число всё ещё недостижимо для современных вычислительных систем.
  • Недавно представленный квантовый чип Google (Willow, декабрь 2024) пока не обладает достаточной мощностью для взлома AES-256.

Перспективы AES-256-XTS.webp

Практические атаки чаще всего направлены на уязвимости в реализации шифрования, а не на сам алгоритм.

Заключение:
Теперь у вас есть защищенный диск, который можно открыть только с пинкодом, обеспеченный надежным шифрованием AES 256. Это шифрование является одним из самых безопасных на сегодняшний день, и для его дешифровки без пинкода потребуется огромное количество времени — по оценкам экспертов, это может занять триллионы лет, даже с использованием самых мощных современных вычислительных систем. От себя могу добавить только то, что сюда отлично впишется пароль на BIOS для дополнительной защиты (На юзера и на админа).
В скором времени я напишу новую статью, в которой расскажу о дополнительных настройках BitLocker, чтобы вы могли еще больше повысить уровень безопасности ваших данных. :p

! При окончании работы отключайте компьютер полностью, что бы не дать ключи шифрования злоумышленникам. !
 
Последнее редактирование модератором:

More Thread Same Category

Войдите или зарегистрируйтесь для ответа.
Сверху