Что за программа битлокер

Руководитель департамента развития технологий «Аладдин Р.Д.» Денис Суховей в статье, подготовленной для TAdviser, рассказывает о причинах популярности средства шифрования информации на дисках рабочих станций BitLocker, анализирует риски его применения в текущей ситуации, а также предлагает альтернативное решение на базе отечественных разработок.

Тема импортозамещения в ИТ в России тесно связана с переходом на использование ОС на базе ядра Linux, и это абсолютно оправдано. Операционная система – это один из базовых элементов ИТ-инфраструктуры. А ведущие отечественные операционные системы, например ОС Astra Linux, основаны именно на ядре свободной платформы Linux. Даже несмотря на то, что Astra Linux зрелое, развитое и хорошо зарекомендовавшее себя решение, реализация проектов по переходу на отечественное ПО занимает не менее двух-трёх лет. Все это время крупные компании вынуждены жить на старых, по сути, «небезопасных» средствах цифровизации и параллельно решать внезапно возникающие проблемы защиты информации.

Что за треугольник с вопросом и замок у диска C

В этой статье мы поговорим об одной из таких проблем. Речь пойдёт о массовом использовании удобного средства шифрования информации на дисках рабочих станций – BitLocker.

У высокой популярности данного защитного механизма есть причины, а также свои «тёмные стороны». Во‑первых, BitLocker является реальным средством защиты информации. К тому же, на рынке РФ компания Microsoft позиционировала его как бесплатное дополнение к ОС. Однако истинная причина такой лояльности к клиентам вовсе не является благородной – компания отказалась от необходимости сертификации BitLocker как СЗИ во ФСТЭК России и/или СКЗИ в ФСБ России и не имела возможности продавать BitLocker как продукт безопасности. Но вот от планов по ввозу и распространению в России этого средства Microsoft не отказывалась.

Во-вторых, BitLocker поставлялся в составе дистрибутива ОС Windows, и у клиентов складывалось ощущение, что это ПО встроено в операционную систему. Однако и это совсем не так – на практике BitLocker ведёт себя как стороннее ПО с низким уровнем интеграции в механизмы ОС Windows.

Продукт от Microsoft получил массовое распространение в отечественных организациях, десятки тысяч компьютеров были зашифрованы этим «удобным» и «бюджетным» средством защиты. Несмотря на информированность о глубинных угрозах ИБ, возникающих при использовании BitLocker (см. раздел «Вопросы эксперту»), заказчики предпочитали не рассматривать эти риски, полагаясь на аргумент о бесплатности продукта.

Когда в марте 2022 г. компания Microsoft объявила об уходе с рынка РФ, обходить острую проблему стороной стало невозможно. Именно с этого момента многие отечественные компании почувствовали всю важность импортозамещения, но, к сожалению, времени на поэтапный, мягкий переход больше не осталось. Возникла необходимость принимать экстренные антикризисные меры.

Поначалу фокус внимания бизнеса сконцентрировался на угрозе отзыва технической поддержки со стороны Microsoft. Но мало кто задумывался, что при продолжении использования BitLocker могут возникнуть проблемы посерьёзнее – например, угроза дистанционной блокировки компьютера.

Как отключить BitLocker Windows 10

И действительно, сегодня уже существуют реальные примеры «включения» дистанционной блокировки зашифрованных компьютеров со стороны производителя. Даже появился соответствующий духу времени термин – «окирпичивание» компьютера. При такой блокировке ни пользователь, ни администратор компьютера не имеют доступ к зашифрованному содержимому. При этом совершенно не обязательно, что доступ к заблокированному содержимому в этот момент не имеют злоумышленники или сотрудники западных спецслужб.

В связи с такими чрезвычайными угрозами фокус внимания бизнеса перешёл на вопросы скорейшего замещения BitLocker отечественными средствами защиты информации. Масштаб таких преобразований огромен. По мнению некоторых производителей компьютерной техники парк рабочих станций в России, на начало 2022 г. превышал 5.5 млн компьютеров.

Безусловно, «окирпичивание» рабочих станций может стать крайне болезненным средством давления «коллективного запада» на опорные отечественные организации или ведомства, такие угрозы будут осуществляться не для показухи, они будут носить сугубо целевой характер и выводить из строя целые пользовательские сегменты инфраструктуры. Поэтому необходимо быстро заменить недоверенное средство защиты, которым зашифрованы все рабочие станции организации.

Каким требованиям должна соответствовать система защиты, с учётом необходимости осуществить переход в короткие сроки?

Современное средство защиты рабочих станций должно обладать следующими свойствами:

• Простота эксплуатации. Данное свойство сегодня имеет чуть ли не самое важное значение, так как замещать зарубежные средства защиты необходимо быстро и с наименьшими трудозатратами. Времени на долгую и сложную переквалификацию специалистов попросту нет.
• Функциональность. Отечественное средство защиты должно функционально быть равным или превосходить заменяемые западные продукты безопасности.
• Надёжность. Корректность механизмов защиты должна быть формально подтверждена регулирующими органами России. Средство защиты должно регулярно сертифицироваться в ФСТЭК России или ФСБ России.
• Поддержка нескольких платформ. Очевидно, что приобретение лицензий и сервиса технической поддержки продуктов компании Microsoft – вопрос тупиковый, и российские организации спешно переходят на альтернативные отечественные платформы. Поэтому заказчикам нужны средства защиты, поддерживающие соответствующие версии и для ОС Windows, и для ОС на базе Linux.
• Совместимость с сертифицированными ОС. Система защиты должна не просто поддерживать ОС семейства Linux, но быть актуальной для активно развивающихся сертифицированных операционных систем, например ОС Astra Linux. Совместимость с встроенными в ОС средствами защиты – так же вопрос немаловажный.

Вышеперечисленными свойствами обладают продукты компании «Аладдин Р.Д.» линейки Secret Disk.

Как замещать с помощью Secret Disk?

Во-первых, необходимо оперативно избавиться от использования западных средств шифрования, заменив их функциональным аналогом – Secret Disk для ОС Windows (Secret Disk 5). Это позволит снять остроту проблемы в самое короткое время.

Во-вторых, для дальнейшего планомерного решения задач импортозамещения необходимо использовать специальное техническое решение компаний ГК «Астра» и «Аладдин Р.Д.» – защищённая рабочая станция на базе ОС Astra Linux и Secret Disk, в котором применяется продукт Secret Disk Linux.

Какие преимущества даёт использование защищённой рабочей станции?

• Богатый инструментарий защиты «на борту» ОС. Наиболее заметной «фишкой» безопасности Astra Linux является защитный механизм МРД (мандатное управление доступом), который позволяет гибко определить правила доступа к файлам и папкам используя низкоуровневые механизмы ядра ОС. В дополнение к МРД используется механизм ограничения программной среды, позволяющий создать своеобразный профиль для каждого пользователя, выход за который будет попросту невозможен. Настройки параметров этих механизмов могут быть объединены в единую политику безопасности рабочей станции, которая управляется посредством графической консоли администратора безопасности.
• Глубоко интегрированное решение. Вышеперечисленные настройки позволяют обеспечить эффективный контроль доступа к ценной информации. В дополнение к этому, использование Secret Disk Linux позволяет обеспечить надёжную защиту конфиденциальности этой информации. Так как продукт Secret Disk Linux изначально создавался на платформе Astra Linux, все используемые механизмы шифрования и ключевая схема данного СКЗИ полноценно совместимы с средствами защиты Astra Linux.
• Замкнутая среда обработки ценной информации. Одновременное использование вышеперечисленных средств защиты позволяет создать полностью замкнутую среду обработки конфиденциальной информации. Причём, безопасная работа с такой информацией может осуществляться в недоверенной среде, например, на корпоративном ноутбуке, за пределами контролируемой зоны офиса.

Наиболее заметной «фишкой» безопасности Astra Linux является защитный механизм МРД (мандатное управление доступом), который позволяет гибко определить правила доступа к файлам и папкам используя низкоуровневые механизмы ядра ОС.

Вывод

Криптографическая защита информации крайне важная мера защиты самого ценного, что есть у организации – конфиденциальной информации. Применение шифрования с помощью ненадёжных и потенциально опасных средств защиты является опрометчивым решением. Это особенно критично в период напряженной экономической и политической обстановки, поэтому вопрос замены зарубежных средств шифрования на комплексные надёжные отечественные решения, поддерживающие отечественные стандарты шифрования, требует быстрого и грамотного решения. Отечественные разработчики ПО объединяются и предлагают совместные проверенные «рецепты выживания», которые можно внедрять оперативно.

Вопросы эксперту

Насколько надёжной является защита с помощью ПО BitLocker?

Денис Суховей: Уязвимости BitLocker хорошо изучены отечественными экспертами. Ряд уязвимостей описан компанией Elcomsoft, которая выпускает специальную программу для вскрытия защиты BitLocker. Наиболее критичные уязвимости даже популяризованы некоторыми изданиями. Статья о проблемах безопасности BitL, программное средство Elcomsoft.

Будет ли защита с помощью BitLocker более надёжной, если использовать модуль TPM, который есть в каждом современном ноутбуке?

Денис Суховей: Максимальная стойкость BitLocker обеспечивается только тогда, когда это средство работает совместно с аппаратным модулем TPM 2.0 с запросом ПИН-кода перед загрузкой. Только в этом случае программа EFDD от Elcomsoft не может получить ключ шифрования BitLocker за секунды и предлагает взлом грубой силой – перебором пароля криптокопии ключа. В такой конфигурации модуль TPM выступает как постоянно подключённая смарт-карта, ПИН-код, который необходимо ввести для загрузки. Однако пользовательский ПИН-код у TPM один – его приходится сообщать всем пользователям компьютера, в том числе сервисному персоналу в случае ремонта или обслуживания компьютера.

Это обстоятельство равноценно уязвимости BitLocker – ПИН-код TPM сложно удержать в секрете в реальной жизни. Персональные смарт-карты и токены более надёжны, но TPM не позволяет BitLocker использовать токены для pre-boot аутентификации. Т.е., использование TPM накладывает ограничения, которые не повышают уровень защиты. Мало того, технология TPM имеет определенные проблемы безопасности, которые делают её ненадёжной. (статья о TPM и его взломе)

Действительно ли использование BitLocker является очень удобным?

Денис Суховей: Некоторая автоматизация в использовании BitLocker действительно реализована. Однако за эту автоматизацию придётся заплатить высокую цену. Уязвимость в BitLocker обусловлена «удобством для пользователя» – операционная система Windows фактически отключает защиту BitLocker при обновлениях Windows, когда система перезагружается.

Вот как происходит это отключение, незаметное для пользователя: служба BitLocker расшифровывает мастер ключ системного раздела и записывает его в метаданные раздела в открытом виде, чтобы загрузчик и установщик обновлений могли смонтировать зашифрованный раздел, не отправляя запрос в TPM при перезагрузках в процессе обновления. После установки обновлений BitLocker удаляет открытый мастер-ключ и загрузка с запросом и вводом ПИН-кода возобновляется. В этой ситуации злоумышленнику достаточно присутствовать при установке обновлений или заставить систему начать их обновление, чтобы «поймать» систему в момент перезагрузки и получить мастер-ключ шифрования в открытом виде из системного раздела. И это не единственный способ получения ключа шифрования.

Какие ещё значимые уязвимости BitLocker стоит отметить?

Денис Суховей: Ещё одна уязвимость BitLocker связана с тем, как он отключает защиту. Этот процесс позволяет получить доступ к конфиденциальной информации после её удаления из компьютера. Например, при подготовке резервной копии защищённого файлового архива. При отключении защиты Windows не делает расшифрования защищённых дисковых разделов.

Вместо этого продолжительного процесса ключ шифрования сохраняется в открытом виде, а сами данные фактически сохраняются зашифрованными. Зная, что конфиденциальные данные подлежат удалению с компьютера (например, для «безопасного обновления системы без риска утечки»), злоумышленник делает резервную копию защищённых разделов. После удаления конфиденциальных данных, отключения BitLocker, злоумышленник получает ключ шифрования из метаданных диска и расшифровывает им резервную копию, в которой находится интересующая его информация.

Источник: www.aladdin-rd.ru

BitLocker

BitLocker шифрует том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у в случае шифрования системного диска потребуется два NTFS- Windows Vista SP1 появилась возможность шифровать несистемные TPM -модуль в ПК, где он есть, и активировать BitLocker. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск загрузочный раздел создаётся автоматически.

Механизмы расшифровки и их уязвимости [ ]

Существует три механизма проверки подлинности, которые можно использовать для реализации Bitlocker шифрования:

• Прозрачный режим работы: Этот режим использует возможности аппаратного обеспечения Trusted Platform Module ( загрузчика ОС (если загрузочные файлы, показываются как не измененные). Этот режим уязвим для нападения при холодной загрузке, так как позволяет выключить компьютер и загрузиться злоумышленнику.
• Режим проверки подлинности пользователя: Этот режим предполагает, что Использование в других операционных системах [ ]

Существует неофициальная утилита dislocker [1] для операционных систем Mac OS X , которая представляет собой инструмент для чтения и записи томов, зашифрованных через BitLocker. Для предоставления доступа к зашифрованному тому утилита dislocker использует FUSE -драйвер, а создавать новые зашифрованные тома данная утилита не умеет. [2]

См. также [ ]

• Примечания [ ]

1. ↑[1] FUSE driver to read/write Windows’ BitLocker-ed volumes under Linux / Mac OSX
2. ↑[2] DisLocker. Или находим общий язык с BitLocker в Linux Mint

Ссылки [ ]

• Администрирование Windows: Внутреннее устройство ядра Windows Vista: часть 3
• Windows BitLocker Drive Encryption Frequently Asked Questions
• BitLocker Drive Encryption Technical Overview
• Загрузка Bitlocker Drive Preparation Tool
• Доклад о Bitlocker
• Обзор возможностей BitlockerToGo и других технологиях обеспечения безопасности в Windows 7.
• Альтернативы BitLocker для всех платформ с любой лицензией
  Компоненты Microsoft Windows Основные

Источник: windows.fandom.com

Шифрование Bitlocker

BitLocker, это функция безопасности, которая интегрируется в операционную систему и предотвращает получение информации посторонними лицами в случае утери, кражи или банального доступа к компьютеру без вашего присмотра защиты личных данных на жёстком диске с помощью шифрования, при условии отсутствия пароля учетной записи и ключа шифрования у злоумышленника. Данная возможность доступна на операционных системах Windows 10 (Pro, Enterprise, и Education).

Windows 8 и 8.1 (Pro и> Enterprise).

Windows 7 и Vista (Ultimate и Enterprise).

Windows Server 2008 или более новые версии.

Bitlocker по умолчанию требует наличие модуля TPM (Trusted Platform Module) на материнской плате, который устанавливается производителями далеко не на всех моделях, также данный модуль можно приобрести и установить самостоятельно в соответствующий разъем с маркировкой TPM (он располагается рядом с портами для подключения лицевой панели USB).

В открывшимся окне выберите Включено и поставьте галочку Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

После всех настроек осталось перейти в Этот компьютер и нажав правой кнопкой мыши на диск, который хотите зашифровать, включить BitLocker.

Вам предложат создать пароль для разблокировки диска при включении компьютера, который будет требоваться при каждом запуске компьютера.

Необходимо выбрать способ резервного сохранения ключа восстановления в случае проблем с разблокировкой диска (лучше всего распечатать на принтере и хранить в надежном месте).

Пример ключа восстановления в распечатанном виде:

Укажите, какую часть диска хотите зашифровать (весь диск или занятое место).

Режим шифрования.

Поставьте галочку «Запустить проверку BitLocker».

Для начала шифрования диска потребуется перезагрузка компьютера.

После перезагрузки компьютера может появиться окно, в котором нужно ввести пароль BitLocker.

Когда запустится рабочий стол, Windows начнет шифрование диска в фоновом режиме, скорость которого в первую очередь зависит от установленного накопителя.

Защищенные с помощью BitLocker диски имеют специальную иконку в виде замочка.

Нажав правой кнопкой мышки на зашифрованном диске и выбрав Управление BitLocker, у вас откроется панель управления, где можно сменить/удалить пароль, архивировать ключ восстановления или отключить шифрование диска.

Примечание: После разблокировки одного из дисков, доступ к нему возможен без пароля до следующей перезагрузки компьютера. Для ручной блокировки не перезагружая устройство, нужно открыть командную строку от имени администратора и ввести команду manage-bde.exe -lock Х

Где, диск Х (диск, который нужно заблокировать)

Источник: stocksoft.ru