- BitLocker Drive Encryption
-
BitLocker
Компонент Microsoft WindowsBitLocker Drive Encryption
Детали Тип Защита данных
Поставляется с Microsoft Windows Vista, Microsoft Windows Server 2008, Windows 7
BitLocker Drive Encryption — проприетарная технология, являющаяся частью операционных систем Microsoft Windows Vista Ultimate, Windows Vista Enterprise, Windows 7 Ultimate, Windows 7 Enterprise и Windows Server 2008. BitLocker позволяет защищать данные путём полного шифрования диска(ов) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:Сам ключ может храниться в TPM или в USB-устройстве. В случае с TPM при загрузке компьютера ключ может быть получен из него сразу, либо только после аутентификации с помощью USB-ключа или ввода PIN-кода пользователем. Таким образом, возможны следующие комбинации для доступа:
- TPM
- TPM + PIN
- TPM + PIN + USB-ключ
- TPM + USB-ключ
- USB-ключ (данный режим требует активации через груповые политики)
Содержание
Принципы работы
BitLocker шифрует том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у потребуется два NTFS-тома, один для ОС и один для загрузочной части. Последний должен быть не менее 1.5 Гб, и не будет зашифрован. Начиная с Windows Vista SP1 появилась возможность шифровать несистемные тома. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск, загрузочный раздел создаётся автоматически. После создания разделов необходимо инициализировать TPM-модуль и активировать BitLocker.
Уязвимости
Существует три механизма проверки подлинности, которые можно использовать для реализации Bitlocker шифрования:
- Прозрачный режим работы: Этот режим использует возможности аппаратного обеспечения Trusted Platform Module (TPM) для предоставления прозрачной работы пользователей. Пользователи включают и входят на компьютер с операционной системой Windows, как обычно. Ключ, используемый для шифрования диска закодирован в чип TPM и он может быть выдан только в коде загрузчика ОС (если загрузочные файлы, показываются как не измененные). Этот режим уязвим для нападения при холодной загрузке, так как позволяет выключить компьютер и загрузиться злоумышленнику.
- Режим проверки подлинности пользователя: Этот режим предполагает, что пользователь прошел некоторую аутентификацию в пред-загрузочной среде в виде предварительного ввода PIN-кода. Этот режим уязвим при использовании буткит-атак.
- Режим USB-ключа : Пользователь должен вставить устройство USB в компьютер, которое содержит ключ запуска, чтобы иметь возможность загрузки в защищенную операционную систему. Обратите внимание, что для этого режима необходимо, чтобы BIOS на компьютере поддерживал чтение устройств USB в загрузочной среде. Этот режим также уязвим к буткит-нападениям.
См. также
Ссылки
- Администрирование Windows: Внутреннее устройство ядра Windows Vista: часть 3
- Windows BitLocker Drive Encryption Frequently Asked Questions
- BitLocker Drive Encryption Technical Overview
- Загрузка Bitlocker Drive Preparation Tool
- Доклад о Bitlocker
- Обзор возможностей BitlockerToGo и других технологиях обеспечения безопасности в Windows 7.
Компоненты Microsoft Windows Основные Aero • ClearType • Диспетчер рабочего стола • DirectX • Проводник (Explorer) • Панель задач («Пуск» • Область уведомлений) • Оболочка (Пространство имён • Специальные папки • Ассоциации файлов) • Windows Search (Saved search • iFilters) • GDI • WIM • Блок сообщения сервера • .NET Framework • .XPS • Active Scripting (WSH • VBScript • JScript) • COM (OLE • Автоматизация OLE • DCOM • ActiveX • Структурированное хранилище • Сервер транзакций) • Теневая копия • WDDM • UAA • Архивация и восстановление •
COMMAND.COM
•cmd.exe
• Средство переноса данных Windows • Просмотр событий • Установщик Windows •netsh
• PowerShell • Отчёты о проблемах •rundll32.exe
• Программа подготовки системы (Sysprep
) • Настройка системы (MSConfig) • Проверка системных файлов • Восстановление системы • Дефрагментация диска • Диспетчер задач • Диспетчер устройств • Консоль управления • Очистка диска • Панель управления (элементы)Приложения Актуальные: Факсы и сканирование • Internet Explorer • Экранная лупа • Media Center • Проигрыватель Windows Media • Программа совместной работы • Экранный диктор • Paint • Редактор личных символов • Удалённый помощник • Распознавание речи • WordPad • Блокнот • Боковая панель • Звукозапись • Календарь • Калькулятор • Ножницы • Почта • Таблица символов
Исторические: Movie Maker • NetMeeting • Outlook Express • Диспетчер программ • Диспетчер файлов • Фотоальбом
Игры Chess Titans • Mahjong Titans • Purble Place • Пасьянс «Косынка» • Пасьянс «Паук» • Сапёр • Пасьянс «Солитёр» • «Пинбол» • «Червы»
Ядро ОС Ntoskrnl.exe
• Слой аппаратных абстракций (hal.dll
) • Бездействие системы •Svchost.exe
• Реестр • Службы Windows • Диспетчер управления сервисами • DLL (формат модулей) • Формат исполняемых файлов •NTLDR
• Консоль восстановления • Защита ядра от измененийСлужбы Autorun.inf
• Фоновая интеллектуальная служба передачи • Файловая система стандартного журналирования • Планировщик классов мультимедиа • Теневая копия • Планировщик задач • Беспроводная настройкаФайловые
системыProtogon • NTFS (Жёсткая ссылка • Точка соединения • Точка монтирования • Точка повторной обработки • Символьная ссылка • TxF • EFS) • WinFS • FAT • exFAT • CDFS • UDF • DFS • IFS
Сервер Active Directory (Активные директории)• Служба репликации файлов • DNS • Домены • Перенаправление папок • Hyper-V • IIS • MSMQ • Защита доступа к сети (NAP) • Удалённое разностное сжатие • Службы удаленной установки • Служба управления правами • Перемещаемые профили пользователей • SharePoint • Диспетчер системных ресурсов • Удаленный рабочий стол • WSUS • Групповая политика • Координатор распределённых транзакций
Архитектура Обзор • Диспетчер объектов • Пакеты запроса ввода/вывода • Диспетчер транзакций ядра • Диспетчер логических дисков • Диспетчер учетных записей безопасности • Защита ресурсов Windows •
lsass.exe
•csrss.exe
•smss.exe
• ЗапускБезопасность Предотвращение выполнения данных • Обязательный контроль целостности • Защищенный канал данных • UAC • UIPI • Брандмауэр • Центр обеспечения безопасности • Защита файлов Windows
Совместимость Подсистема UNIX (Interix) • WOW64
Категории:- Windows Server 2008
- Windows Vista
- Шифрование дисков
- Технологии безопасности Microsoft Windows
Wikimedia Foundation. 2010.