Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Kriptirane s BitLocker

978 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Kriptirane s BitLocker

  1. 1. Икономически университет – Варна Факултет „Магистърско обучение” по Безопасност и защита на компютърни системи и приложения На тема: Криптиране на данни с технологията Bitlocker Изготвил: Проверили: Десислава Петрова – V курс Доц. д-р. Стефан Дражев Фак. № 500036 Ас. Радка Начева спец. – ИТ иновации в бизнеса гр. Варна, 2014 г
  2. 2. „Криптиране на данни с технологията BitLocker” Page 2 of 25 Десислава Пламенова Петрова – фн. 500036 С Ъ Д Ъ Р Ж А Н И Е: Въведение .............................................................................................................................................. 3 1. Bitlocker Drive Encryption (BitLocker) ............................................................................................ 4 Каква е разликата между шифроването на устройства с BitLocker и EFS (файловата система за шифроване)?...................................................................................................................................... 6 Настройка на твърдия диск за шифроване с BitLocker................................................................... 7 Режими на Bitlocker........................................................................................................................... 8 Управление на ТРМ чип .................................................................................................................. 10 Как началният ключ за шифроване на диск с BitLocker дава по-голямо ниво на защита? ....... 12 Включване на Bitlocker.................................................................................................................... 13 Предимства на Bitlocker:................................................................................................................. 16 Недостатъци на BitLocker................................................................................................................ 17 2. Bitlocker To Go.............................................................................................................................. 17 ПОЛИТИКИ НА Bitlocker To Go ........................................................................................................ 18 3. BitLocker To Go Reader................................................................................................................. 22 Използване на BitLocker To Go Reader на компютър с инсталиран Windows Vista или Windows XP.............................................................................. 23 Заключение .......................................................................................................................................... 24 Видео за използване на BitLocker ...................................................................................................... 24 Използвана литература....................................................................................................................... 25 Използвани Интернет източници....................................................................................................... 25
  3. 3. „Криптиране на данни с технологията BitLocker” Page 3 of 25 Десислава Пламенова Петрова – фн. 500036 Въведение Някои проучвания показват, че персоналът в средно голяма компания губи средно по два лаптопа на година. Тези проучвания са установили, че излиза много по- скъпо за организацията да се загуби лаптоп със секретна информация, отколкото самата първоначална цена на лаптопа, като се добавят от десетки до хиляди долари. Най- голямата загуба е свързана с това каква информация е била съхранена на компютъра и влиянието, което ще се установи, ако този компютър попадне в конкуренцията. Често е трудно да се установи точно каква информация е била съхранявана. USB (Universal Serial Bus) устройствата са със същия проблем. Хората често ги използват за пренасяне на важна информация от дома до работното място. Понеже тези устройства са малки, лесно се губят. Тези проучвания установили също така, че стойността на загубата на секретна информация е значително по-малка, когато тази информация е напълно криптирана (шифрована) с Bit Locker. В тези случаи организациите могат да бъдат сигурни, че конкуренцията няма да има възможност да възстанови важна информация, която е съхранявана на изгубения лаптоп или друго устройство. Не е нужно да се определя какво е съхранявано там. Bitlocker и Bitlocker To Go осигуряват криптиране на целия диск с информация, което защитава информацията, ако компютърът или друго устройство за съхранение на информация, е откраднато или изгубено.
  4. 4. „Криптиране на данни с технологията BitLocker” Page 4 of 25 Десислава Пламенова Петрова – фн. 500036 1. Bitlocker Drive Encryption (BitLocker) Това е средство за криптиране и системна защита на целия дял на компютъра. Bitlocker е достъпен на компютри с инсталиран Windows 7 с версии Enterprise и Ultimate, както и на Windows Server 2008 и Windows Server 2008 R2. Функцията му е да защити компютрите от офлайн атаки. Офлайн атаките включват boot, използвайки алтернативна операционна система в опит да се възстанови информация, съхранена на хард диск; преместване на хард диска на компютъра и включването му към друг компютър и опит за достъп до информацията, която съдържа. Bitlocker осигурява пълно криптиране на диска на компютъра. Съществува специален Bitlocker ключ за криптиране, без който информацията е недостъпна. Bitlocker съхранява ключът за дяла на отделно безопасно място и стартира този ключ, който прави информацията достъпна, само след като установи, че зареждането на операционната система не представлява опит за атака на информацията. Подобрената за Windows 7 функция BitLocker помага за по-безопасното съхраняване на всичко - от документи до пароли - чрез шифроване на цялото устройство, на което се намират Windows и други данни. Когато функцията BitLocker е включена, всеки файл, който се записва на това устройство, се шифрова автоматично. Файловете остават шифровани само докато се съхраняват на шифрования диск. Файловете, копирани на друг диск или компютър, се дешифрират. Ако се споделят файлове с други потребители, например по мрежата, тези файлове са шифровани само
  5. 5. „Криптиране на данни с технологията BitLocker” Page 5 of 25 Десислава Пламенова Петрова – фн. 500036 докато се съхраняват на шифрования диск, но те могат да се отварят нормално от упълномощените потребители. Ако се шифрова устройство с операционната система, по време на настройката BitLocker проверява дали са налице условия, които биха представлява риск за защитата (например промени в BIOS или файловете за начално стартиране). Ако бъде открит потенциален риск, BitLocker ще заключи устройството с операционната система и ще поиска специален ключ за възстановяване, за да го отключи. На всяка цена този ключ за възстановяване трябва да се създаде, когато се включи BitLocker за пръв път, в противен случай достъпът до файловете може да бъде завинаги загубен. Ако компютърът разполага с TPM чип, BitLocker го използва, за да запечата ключовете, използвани за отключване на шифрованото устройство с операционната система. При стартиране на компютъра BitLocker търси в TPM ключовете за устройството и го отключва1 . BitLocker може да се изключи по всяко време - временно, като го забраните, или окончателно, като дешифрирате диска. За разлика от файловата система за шифроване (EFS - Encrypting File System), която позволява да се шифроват отделни файлове, BitLocker шифрова цялото устройство. Всеки може да влиза и работи с файловете си както обикновено, но BitLocker блокира опитите на хакери за достъп до системните файлове, на които те разчитат, за да открият вашата парола или да получат достъп до твърдия ви диск, като го свалят от вашия компютър и го монтират на друг компютър. Шифроването е начин да се осигури защитата на съобщение или файл чрез разбъркване на съдържанието му така, че да може да бъде прочетено само от лице, което разполага с правилния ключ за шифроване, за да го разшифрова в оригиналното му състояние. 1 http://windows.microsoft.com/bg-BG/windows-vista/BitLocker-Drive-Encryption-Overview
  6. 6. „Криптиране на данни с технологията BitLocker” Page 6 of 25 Десислава Пламенова Петрова – фн. 500036 Каква е разликата между шифроването на устройства с BitLocker и EFS (файловата система за шифроване)? Има няколко разлики между шифроването на устройства с BitLocker файловата система за шифроване (EFS). Целта на BitLocker е да предпази всички лични и системни файлове на устройството, където е инсталиран Windows (устройството с операционната система), ако вашият компютър бъде откраднат или ако неупълномощени потребители се опитат да получат достъп до файловете в него. Можете да използвате BitLocker за шифроване на всички данни във фиксирани устройства за съхранение на данни (например вътрешни твърди дискове) и BitLocker To Go за шифроване на файлове в преносими устройства за съхранение на данни (например външни твърди дискове или USB флаш устройства). EFS се използва, за да защити отделни файлове на дисковете за всеки потребител поотделно. Таблицата по- долу показва основните разлики между BitLocker и EFS2 . BitLocker Файлова система за шифроване (EFS) BitLocker шифрова всички лични и системни файлове на устройството с операционната система, както и фиксираните и преносимите устройства за съхранение на данни. EFS шифрова личните файлове и папки поотделно и не шифрова цялото съдържание на дадено устройство. BitLocker не зависи от отделните потребителски акаунти, свързани с файлове. BitLocker е или включен, или изключен за всички потребители или групи. EFS шифрова файлове в зависимост от свързания с тях потребителски акаунт. Ако на даден компютър има няколко потребители или групи, всеки от тях може да шифрова своите файлове независимо от останалите. BitLocker използва модула за надеждна платформа (TPM) - специален микрочип в много EFS не изисква и не използва никакъв специален хардуер. 2 http://windows.microsoft.com/bg-BG/windows7/Whats-the-difference-between-BitLocker-Drive-Encryption- and-Encrypting-File-System
  7. 7. „Криптиране на данни с технологията BitLocker” Page 7 of 25 Десислава Пламенова Петрова – фн. 500036 компютри, който поддържа разширени функции на защита за шифроване на устройството с операционната система. За да включите или изключите шифроването с BitLocker на устройството, на което е инсталиран Windows, както и на фиксираните устройства за съхранение на данни, трябва да сте администратор. За да използвате EFS, не е нужно да сте администратор. Можете да се използва едновременно шифроването на устройства с BitLocker и файловата система за шифроване, за да получите защитата, предлагана и от двете функционални възможности. Когато използвате EFS, ключовете за шифроване се съхраняват в операционната система на компютъра. Въпреки, че ключове, използвани с EFS са шифровани, тяхната защита все пак може да бъде нарушена, ако някой хакер успее да влезе в устройството на операционната система. Използването на BitLocker за шифроване на устройството с операционната система помага тези ключове да бъдат защитени, като не позволява зареждане от системния диск или достъп до него, ако той бъде инсталиран на друг компютър. Настройка на твърдия диск за шифроване с BitLocker За да се шифрова устройството, на което е инсталиран Windows, компютърът трябва да разполага с два дяла: системен дял (който съдържа необходимите за стартиране на компютъра файлове) и дял с операционната система (където се намира Windows). Дялът с операционната система ще се шифрова, а системния дял ще остане нешифрован, за да може да стартира компютърът3 . В предишните версии на Windows се налагаше тези дялове да се създават ръчно. В новата версия на Windows тези дялове се създават автоматично. Ако компютърът няма системен дял, съветникът на BitLocker ще създаде такъв, като използва 200 МБ от 3 http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in-BitLocker-Drive- Encryption
  8. 8. „Криптиране на данни с технологията BitLocker” Page 8 of 25 Десислава Пламенова Петрова – фн. 500036 свободното място на диска. На системния дял няма да се присвои буква и той няма да се покаже в папката "Компютър"4 . Режими на Bitlocker Bitlocker може да бъде конфигуриран да функционира на определен режим. Режимът, който се избира зависи от това дали има Trusted Platform Module(TPM) на компютъра и от нивото на сигурност, което потребителят желае. Режимите включват комбинации от ТРМ, персонален идентификационен номер (РIN) и начален (start-up) ключ. Началният ключ е специален шифрован генериран файл, който се съхранява на отделно USB устройство. Режимите на Bitlocker са следните: 1) ТРМ-only mode В него потребителят не знае, че Bitlocker функционира и не е нужно да пише парола, пинове или начален ключ, за да стартира компютъра. Потребителят разбира за Bitlocker само ако има промяна в средата за зареждане на компютъра или ако опита да махне хард диска и да го сложи на друг компютър. Това е най-малко защитния режим, защото не изисква допълнителна аутентикация. 2) TPM with startup key Изисква USB устройството, което съдържа преконфигуриран начален ключ да бъде на лице преди компютърът да може да се буутне в Microsoft Windows. Ако устройството с начален ключ не е достъпно през буут времето(времето, за което се зарежда Windows – от натискането на power бутона до последния процес от startup), компютърът се включва в Recovery Mode. Този режим осигурява защита на буут средата чрез ТРМ. 3) TPM with PIN 4 http://windows.microsoft.com/bg-bg/windows/set-hard-disk-bitlocker#1TC=windows-7
  9. 9. „Криптиране на данни с технологията BitLocker” Page 9 of 25 Десислава Пламенова Петрова – фн. 500036 Когато се конфигурира този режим , потребителят трябва да въведе PIN преди компютърът да се буутне. Може да се конфигурира Group Policy, така че да може да се въвежда парола, която включва числа, букви и символи вместо обикновен PIN. Ако не се въведе правилен PIN или парола през буут времето, компютърът се включва към Recovery Mode. Този режим осигурява защита на буут средата чрез ТРМ. 4) TPM with PIN and startup key Това е най-сигурният режим. Тази опция може да се конфигурира чрез Group Policy. Когато този режим е включен, потребителят трябва да въвежда начален PIN и устройството с началния ключ да е свързано преди компютърът да буутне в Windows. Тази опция се препоръчва за високо защитени среди. Този режим осигурява защита на буут средата чрез ТРМ. 5) Bitlockker without TPM Този режим осигурява криптиране на хард диска, но не осигурява защита на буут средата. Този режим се ползва за компютри без ТРМ чипове. Bitlocker може да се конфигурира да работи на компютър, който няма ТРМ чип, като се конфигурира the Computer ConfigurationAdministrative TemplatesWindows Components Bitlocker drive encryptionOperating System DrivesRequire Additional Authentication At Startup Policy. Тази политика е показана на фигура 1. Когато Bitlocker се конфигурира да работи без ТРМ чип, трябва да се буутне с начален ключ на USB устройството за съхранение. Фиг.1 Използване на BitLocker без наличие на TPM чип.
  10. 10. „Криптиране на данни с технологията BitLocker” Page 10 of 25 Десислава Пламенова Петрова – фн. 500036 Управление на ТРМ чип Модулът за надеждна платформа (TPM), е микрочип, който позволява компютърът ви да се възползва от разширени функции на защитата, например шифроване на устройство със защитено стартиране5 . TPM се вгражда в някои от по- новите компютри.В повечето случаи Bitlocker съхранява ключa за криптиране в специален чип, познат като ТРМ чип, на хардуера на компютъра. Той се използва за съхранение на информация за шифроване и по-точно Bitlocker използва ТРМ, за да заключи ключовете за криптиране, които защитават информацията. Като резултат ключовете не са достъпни докато ТРМ не е проверил състоянието на компютъра. Криптирането на всички дялове защитава цялата информация, включително и самата операционна система, регистъра на Windows, временните файлове и др. Понеже ключовете, които са нужни за декриптирането на информацията остават заключени в ТРМ, атакуващият не може да достъпи до информацията, ако се опита да премести хард диска. TPM обикновено се инсталира на дънната платка на настолен или преносим компютър и комуникира с останалата част от системата чрез хардуерна шина. Компютрите с TPM имат възможност за създаване на ключове за шифроване и тяхното шифроване, така че да могат да се дешифроват единствено от TPM. Този процес на запазване или обвързване на ключа може да помогне за неговото неразпространение. Всеки TPM има главен ключ, наречен "главен ключ за съхранение" (SRK), който се съхранява в самия TPM. Поверителната част на ключа, създаден в TPM никога не се показва на друг компонент, софтуер, процес или лице. Конзолата за управление на ТРМ (The TPM Management Console), показана на фиг. 2 позволява на администраторите да управляват ТРМ. Използвайки конзолата, може да се съхранява ТРМ информация за възстановяване в Active Directory Domain Sevices (AD DS), да се изчиства ТРМ, да се рестартира ТРМ lockout и да се включва и да се изключва ТРМ. Можете да се достъпи до ТРМ конзолата за управление от Bitlocker Drive Encryption control panel, като се избере TPM Administration иконата. 5 http://windows.microsoft.com/bg-BG/windows-vista/What-is-the-Trusted-Platform-Module-security- hardware
  11. 11. „Криптиране на данни с технологията BitLocker” Page 11 of 25 Десислава Пламенова Петрова – фн. 500036 Фиг. 2 Конзола за управление на TPM чип. BitLocker може да се използва и без TPM. В режим, в който не се използва TPM, нужните ключове за шифроване се съхраняват на USB флаш устройство, което трябва да се включи, за да се отключат данните на дяла. По подразбиране Bitlocker е конфигуриран да работи с ТРМ. Администраторът може да ползва групова политика, за да използва допълнителни опции и функции. На компютри без ТРМ, Bitlocker може да осигури криптиране, но без да се заключват ключовете. В този случай от потребителя се изисква да създаде начален ключ, съхранен на USB устройство. За още по-голяма сигурност използването на ТРМ може да се комбинира с PIN, който да се въвежда от потребителя или начален ключ, който да се съхранява на USB устройство. Ако по-рано поддръжката на TPM бе опционална и можеше да бъде изключена, то с прехода към спецификацията TPM 2.0, този стандарт става задължителен за всички Windows 8.1 устройства и не подлежи на деактивиране. Trusted Platform Module (TPM) е криптопроцесор, в който се съхраняват криптографските ключове за защита на информацията. Софтуерната библиотека TPM в операционната система е предназначена за проверка на цифровите подписи на инсталираните програми, за инсталиране на ъпдейтите и много други. На практика, компютър с TPM 2.0 не може да
  12. 12. „Криптиране на данни с технологията BitLocker” Page 12 of 25 Десислава Пламенова Петрова – фн. 500036 се разглежда като устройство, намиращо се под пълния контрол на потребителя. Независимите експерти са представили на правителството отчет, в който предупреждават, че системата TPM може да бъде разглеждана като "задна врата" и съществува голяма вероятност, че достъп до криптографските ключове има Агенцията за Национална Сигурност (АНС). През месец юли тази година Microsoft обяви, че от месец януари 2015 година поддръжката на стандарта TPM 2.0 ще стане задължителна за всички устройства със сертификат за Windows 8.16 . Как началният ключ за шифроване на диск с BitLocker дава по-голямо ниво на защита? Шифроването на диск с BitLocker може да работи с или без съвместим TPM - Trusted Platform Module. При работа с компютър с TPM BitLocker предлага възможност за подобряване на защитата чрез комбиниране на TPM с начален ключ. Ако решите да използвате начален ключ, заедно с TPM, част от ключа за шифроване, който се използва за отключване на дяла, се съхранява и запечатва в TPM, а друга част се съхранява на USB флаш устройство. USB флаш устройството с нужната информация се нарича начален ключ. За достъп до шифрования дял с BitLocker се изисква информацията в TPM и началния ключ. Характерно е ,че на компютри без съвместим TPM цялата информация за шифроване се съхранява на началния ключ. Това е значителна разлика между BitLocker с TPM и без TPM. Съветникът за инсталиране на BitLocker предлага възможността да се създаде начален ключ при шифроване на дяла. Ако BitLocker е конфигуриран с тази опция, TPM хардуерът за защита не може да показва ключовете за шифроване при стартиране на компютъра или излизането му от спящ режим, освен ако не се въведете правилният начален ключ. Тъй като началният ключ трябва да присъства при всяко рестартиране и излизане от спящо състояние, може да не се разрешава началния ключ, ако след всеки рестарт не е възможно човешка намеса. 6 http://www.kaldata.com/IT- %D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%94%D0%BE%D0%BA%D0%BE%D0%BB%D0%BA%D 0%BE-%D0%B5-%D0%BE%D0%BF%D0%B0%D1%81%D0%B5%D0%BD-TPM-20- %D0%B2%D0%B3%D1%80%D0%B0%D0%B4%D0%B5%D0%BD-%D0%B2-%D0%9E%D0%A1-Windows-81- 81882.html
  13. 13. „Криптиране на данни с технологията BitLocker” Page 13 of 25 Десислава Пламенова Петрова – фн. 500036 Включване на Bitlocker За да се включи Bitlocker на компютъра, се отворя Bitlocker Drive Encryption control panel и се избира Turn On Bitlocker, както е показано на фиг.3. Фиг.3 Стартиране на BitLocker. Потребителят трябва да е член на локална администраторска група, за да пусне Bitlocker да работи на Windows 7. Когато го избере, се появява една проверка, за да види дали вашият компютър има правилния ТРМ хардуеър или дали нужната групова политика е конфигурирана правилно. Ако няма ТРМ хардуер и не е конфигурирана правилно групова политика се появява едно съобщение за грешка, което информира, че съответният компютър не поддържа Bitlocker и съответно той не може да бъде включен7 . 7 http://trackerpro.blogspot.com/p/windows-7.html
  14. 14. „Криптиране на данни с технологията BitLocker” Page 14 of 25 Десислава Пламенова Петрова – фн. 500036 Следващата стъпка при конфигурирането на Bitlocker е да се избере кой начин за аутентикация (удостоверяване) да се използва с Bitlocker. Начините се различават според по-горе показаните различни режими на Bitlocker, в случай, че има наличие на TPM чип - TPM-only, TPM with startup key, TPM with PIN, TPM with startup key and PIN. Aко се ползва Bitlocker без ТРМ има единствено опция за изискване на парола, както е показано в фиг. 4.: Фиг. 4 Конфигуриране на BitLocker без наличен TPM модул. Следващата стъпка включва съхраняването на ключа за възстановяване, както е показано на фиг. 5., което изисква наличие на USB устройство за съхранение на ключа за възстановяване. Ключът за възстановяване е различен от началния ключ или PIN-а. Ключът за възстановяване трябва да се съхранява на различно място от началния ключ.
  15. 15. „Криптиране на данни с технологията BitLocker” Page 15 of 25 Десислава Пламенова Петрова – фн. 500036 По този начин, ако началният ключ се загуби , няма да се изгуби и ключът за възстановяване8 . Фиг.5 Съхраняване на ключа за въстановяване. Потребител с администраторски привилегии може да спре на пауза и да продължи процеса по криптиране, ако е нужно. Bitlocker не е напълно активен, ако процесът на криптиране не е приключил. След като процесът по криптирането завърши успешно, се извежда съобщение, показано на фиг.6 Фиг.6 Завършване на процеса по криптиране и активиране на Bitlocker 8 http://windows.microsoft.com/bg-BG/windows7/What-is-a-BitLocker-recovery-key
  16. 16. „Криптиране на данни с технологията BitLocker” Page 16 of 25 Десислава Пламенова Петрова – фн. 500036 Предимства на Bitlocker: Защита на информацията – Bitlocker предпазва от това, атакуващият да получи информация от откраднатия, изгубен или неправилно изваден от употреба компютър освен, ако този човек е откраднал и паролите за достъп до компютъра. Без правилна аутентикация, хард дискът остава недостъпен и криптиран. Полза при изваждането от употреба на компютри - Bitlocker улеснява изхвърлянето на хард диска. Сигурно е, че без Bitlocker ключа, информацията на изхвърлен диск е невъзстановима. Затова е достатъчно да бъдат изтрити Bitlocker ключовете. Често много организации и компании стават обект на атака именно, защото потребителите са имали възможност да възстановят информация на хард диск след неговото изхвърляне. С правилно конфигуриран Bitlocker това е невъзможно. Защитава средата за зареждане на операционната система срещу неауторизирано изменение - проверява средата за зареждане на операционната система всеки път, когато потребителят включи компютъра. Ако Bitlocker забележи някакви промени в средата за зареждане на операционната система включва компютъра в Bitlocker Recovery Mode (Bitlocker режим за възстановяване). Лесно конфигуриране и използване – Bitlocker предоставя опростен и ефикасен процес на възстановяване, който включва преместването на защитено твърдо устройство, в което се съдържа дялът на операционната система на друг компютър. Защита от буут атаки – BitLocker изисква от потребителя да осигури начален ключ или USB флаш устройство, което съдържа ключ преди компютърът да се буутне или да се възстанови от режим Hibernation. Active Directory® Domain Services integration – в случай, когато потребителят забрави своя PIN или изгуби ключа, който се намира на USB устройството.
  17. 17. „Криптиране на данни с технологията BitLocker” Page 17 of 25 Десислава Пламенова Петрова – фн. 500036 Шифроване на цялото устройство – за разлика от файловата система EFS, която позволява да се шифроват само отделни файлове. Потребителят може да влиза и да работи с файловете си както обикновено, но BitLocker блокира опитите на хакери за достъп до системните файлове, на които те разчитат, за да открият парола или да получат достъп до твърдия диск, като го свалят от компютъра и го монтират на друг компютър. Недостатъци на BitLocker Въпреки че Bitlocker предлага някои форми на защита, Bitlocker не защитава информацията на компютър, който е напълно активен. Ако няколко потребителя ползват един и същ компютър и Bitlocker е включен , той не може да ги спре да четат файловете един на друг, ако разрешенията на папките и файловете не са настроени правилно. Bitlocker криптира твърдия диск, но това криптиране не защитава информацията от локални атаки или атаки по мрежата, ако компютърът оперира нормално. За да се защити информацията на включен компютър трябва да се конфигурирират NTFS позволенията и да се използва Encrypting File System(EFS). 2. Bitlocker To Go BitLocker To Go е новата функция на Windows 7, която заключва лесно губещите се преносими устройства за съхранение, като USB флаш устройствата и външните твърди дискове. Bitlocker To Go е технология за криптиране на USB устройство, за да бъде защитена съхранената на него информация. Създаден е на основата на Bitlocker, но значително надминава неговите възможности – съвестим е с всички FAT системи и NTFS. Bitlocker е създаден за организации, където има сериозен риск от това някой потребител да носи незащитено устройство за съхранение на информация, да копира важна информация и след това да загуби устройството. Bitlocker To Go работи напълно независимо от Bitlocker и затова не е нужно Bitlocker да бъде включен на съответния компютър или пък да е налице съответния ТРМ хардуеър, за да може да се ползва Bitlocker To Go.
  18. 18. „Криптиране на данни с технологията BitLocker” Page 18 of 25 Десислава Пламенова Петрова – фн. 500036 Bitlocker To Go е функция, която се предлага в версиите Enterprise и Ultimate на Windows 7. На компютрите, на които са инсталирани тези версии на Windows 7, може да се конфигурира USB устройство, което да поддържа Bitlocker To Go. Другите версии на Windows 7 позволяват да се чете и записва информация на Bitlocker To Go устройста, но не може така да се конфигурира устройство, да поддържа Bitlocker To Go. Bitlocker To Go позволява на преносими устройства да бъдат криптирани с Bitlocker. Bitlocker To Go се различава от Bitlocker в по-предни версии на Windows, защото позволява използването на Bitlocker преносими устройства за съхранение на други компютри, акo подходяшата парола е налице. Bitlocker To Go не изисква на компютъра да има ТРМ чип или да бъде конфигурирана групова политика, която да позволява някаква друга форма на aутентикация като стартъп ключ. Ако се конфигурират правилните политики, устройството което е защитено от Bitlocker To Go, може да се ползва само в Read Only режим на компютри с XP и Vista ПОЛИТИКИ НА Bitlocker To Go The Removable Data Drives node на Bitlocker Drive Encryption policy съдържа 6 политики, които позволяват Bitlocker To Go да се управлява, както е показано на фиг. 79 . Фиг.7. Политики на BitLocker To GO. 9 http://www.tomshardware.co.uk/faq/id-1913513/bit-locker-drive-encryption.html
  19. 19. „Криптиране на данни с технологията BitLocker” Page 19 of 25 Десислава Пламенова Петрова – фн. 500036 - Cotrol Use of Bitlocker On Removable Drives – Тази политика включва 2 настройки, които могат да се включат. Първата настройка позволява на потребителите да включат Bitlocker Protection на преносими устройства. Втората опция позволява на потребителите да прекратят защитата чрез BitLocker To Go или да декриптират(разшифроват) криптирано с BitLocker устройство. Ако тази политика е изключена потребителите не могат да използват Bitlocke To Go. - Configure Use Of Smart Cards On Removable Data Drives – Позволява да сe включи и/или да се изисква използването на смарт карти, за да се аутентикира потребителският достъп до преносимо устройство. Смарт картите представляват сертификати, които се ползват с BitLocker, за да се защити информацията на различни устройства и да се възстанови информацията от криптирани с BitLocker устройства в случай, че липсва ключът за достъп. Когато тази политика е иключена , потребителите не могат да ползват смарт карти, за да аутентицират достъп до преносими устройства, защитени с Bitlocker. - Deny Write Access To Removable Drives Not Protected By Bitlocker – Конфигурирането на тази политика позволява да се забрани на потребителите да записват информация на преносими устройства, които не са защитени с Bitlocker. С тази политика може да се включи настройката ”Do Not Allow Write Access To Drives Configured In Another Organization”, която позволява да се ограничава записването на данни на преносими устройства, конфигурирани със специален Bitlocker идентификационен стринг. Този стринг е конфигуриран, като се използва Provide The Unique Identifiers For Your Organization Policy. Когато тази политика е включена, потребителите могат да четат от преносимите устройства, които не са защитени с Bitlocker или имат идентификатор на друга организация. Ако политиката е изключена, потребителите могат записват информация върху устройството, независимо от това дали Bitlocker е конфигуриран или не. - Allow Access To Bitlocker-Protected Removable Data Drives From Earlier Versions Of Windows – Тази политика се изполва, за да позволи или забрани достъп до
  20. 20. „Криптиране на данни с технологията BitLocker” Page 20 of 25 Десислава Пламенова Петрова – фн. 500036 преносими устройства, защитени от Bitlocker и форматирани с FAT файлова система на по-ранни версии на Windows. Тази политика не се прилага на NTFS- форматирани преносими устройства. Може да конфигурирате тази политика да позволява инсталацията на Bitlocker To Go Reader (Bitlocker To Go четец) – програма, която позволява на по-ранни версии на Windows да се чете информация от защитени с Bitlocker преносими устройства. Bitlocker To Go четецът трябва дa е на компютър с по-ранна версия на Windows и този компютър ще може да чете преносими устройства, защитени с Bitlocker. Когато тази политика е изключена FAT-форматираните преносими устройства, защитени с Bitlocker не могат да се отключат на предишни версии на Windows. - Configure Use Of Passwords For Removable Data Drives – тази политика определя дали се изисква парола, за да се отключи преносимо устройство с информация, защитено чрез Bitlocker, както е показано на фиг. 8. Политиката позволява изискаванията за сложна парола да се включат. Ако тази политика е изключена, потребителите не могат да ползват пароли с проносимите устройства.
  21. 21. „Криптиране на данни с технологията BitLocker” Page 21 of 25 Десислава Пламенова Петрова – фн. 500036 Фиг. 8. Изискване на парола за отключване на криптирано устройство. - Choose how Bitlocker-Protected Removable Drives Can Be Recovered – тази политика позволява специфициране на методите, които се изпозлват за възстановавяне на устройства за съхранение, защитени с Bitlocker. Може да се конфигурират преносимите устройства да ползват DRA специфициран в Компютра ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesBitlocker Drive Encryption node. Може да се конфигурират и парола за възстановавяне и ключ за възстановяване. Използвайки тази политика, може дa се специфицира дали Bitlocker информацията за възстоновяване да се съхранява на AD DS10 . Ако вече преносимото устройство поддържа Bitlocker, то може да се управлява или с десен бутон в Windows Explorer или с натискане на Managing Bitlocker във Bitlocker Drive Encryption control panel. Това отваря диалоговата кутия , показана на на фиг.9. Тя позволява да се смени паролата, записана на устройството , да се конфигурира устройството така,че да можете да се отключи със смарт карта , да се запази ключът за възстановяване, да се премести паролата от устройството, или да се конфигурира компютърът автоматично да отключва устройството винаги, когато е свързано. Фиг.9 Управление на криптирано с BitLocker устройство. 10 http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used-with-BitLocker
  22. 22. „Криптиране на данни с технологията BitLocker” Page 22 of 25 Десислава Пламенова Петрова – фн. 500036 3. BitLocker To Go Reader BitLocker To Go Reader (bitlockertogo.exe) е програма, която работи на компютри с инсталирана операционна система Windows Vista или Windows XP и ви позволява да отваряте и четете съдържанието на преносими дискови устройства, които са защитени (или шифровани) с шифроването на устройства с BitLocker в Windows 7. BitLocker To Go Reader позволява на потребителите, работещи с Windows 7, да споделят защитените си с BitLocker данни на преносими устройства, като например USB флаш устройства или външни твърди дискове, с всички потребители, използващи Windows 7, Windows Vista или Windows XP11 . За да отворите файлове в шифровано устройство, трябва да го отключите, като и използвате BitLocker To Go Reader и да копирате файловете на компютъра. След като копирате файловете от шифрованото устройство, те вече не са защитени от BitLocker на новото място, но остават защитени в шифрованото устройство. BitLocker To Go Reader не позволява шифроването на устройства с BitLocker или добавянето на файлове в нешифровано устройство. Той ви позволява да четете файлове от шифрованото устройство, което е включено към компютъра с инсталиран Windows Vista или Windows XP. Това може да се види на фиг.10. Фиг. 10. Използване на Bitlocker To Go Reader. 11 http://windows.microsoft.com/bg-BG/windows7/what-is-the-bitlocker-to-go-reader
  23. 23. „Криптиране на данни с технологията BitLocker” Page 23 of 25 Десислава Пламенова Петрова – фн. 500036 Използване на BitLocker To Go Reader на компютър с инсталиран Windows Vista или Windows XP Когато включите шифровано с BitLocker устройство в компютър с инсталиран Windows XP или Windows Vista, автоматичното възпроизвеждане може да се отвори и да ви даде възможност да инсталирате или да изпълните BitLocker To Go Reader. Ако щракнете върху тази опция, ще се появи съобщение да отключите устройството. Ако не разполагате с необходимата информация да го отключите, попитайте човека, който го е шифровал. Ако функцията за автоматично възпроизвеждане не се отвори при включване на шифроване устройство към компютъра, направете следното: 1. Щракнете върху бутона Старт , Компютър, след което върху включеното устройство. 2. Щракнете с десния бутон върху устройството, след което върху BitLocker To Go Reader (или отворете устройството и щракнете двукратно върху файла "bitlockertogo.exe"). 3. Въведете паролата, за да отключите устройството. След като устройството се отключи, ще имате достъп за четене на файловете. За да отворите файловете в устройството, ще трябва да ги копирате на компютъра. Можете да копирате файловете, като ги плъзнете в работния плот или в папка. BitLocker To Go Reader работи само на устройства, които са шифровани с парола. Ако устройството не е шифровано с парола, няма да можете да използвате BitLocker To Go Reader.
  24. 24. „Криптиране на данни с технологията BitLocker” Page 24 of 25 Десислава Пламенова Петрова – фн. 500036 Заключение Месец и половина след появата на операционната система Windows 7, се появява и първия софтуер за декодиране на шифрованите дискове с помощта на BitLocker. Той е разработен от американско-руската компания Passware. Решението Passware Kit Forensic 9.5 представлява програма за сканиране на паметта на компютъра с криптирани носители и извличане от нея ключовете за защита на носителя. Процедурата отнема броени минути и в нея се поддържа дешифриране на повече от 180 типа файлове и архиви с PGP криптиране както на физически, така и на виртуални дискове. Освен обикновената версия, съществува и портативен вариант – за стартиране от USB носител, което позволява да не се оставят никакви следи в системата. Ще отбележим, че това решение работи не само в Windows 7, но и на Windows Server 2008 R2 и Windows Vista/Server 2008, които също използват подобна технология за защита. Видео за използване на BitLocker https://www.youtube.com/watch?v=yyYo4IPcykA
  25. 25. „Криптиране на данни с технологията BitLocker” Page 25 of 25 Десислава Пламенова Петрова – фн. 500036 Използвана литература 1. Дражев, Ст., Р. Начева – Лекции по „Безопасност и защита на системми и приложения”, Варна, 2013г. 2. Thomas Orin, Ian McLean – Configuring Windows 7, Microsoft. Използвани Интернет източници 1. http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption 2. http://www.kaldata.com/IT- %D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%94%D0%BE%D 0%BA%D0%BE%D0%BB%D0%BA%D0%BE-%D0%B5- %D0%BE%D0%BF%D0%B0%D1%81%D0%B5%D0%BD-TPM-20- %D0%B2%D0%B3%D1%80%D0%B0%D0%B4%D0%B5%D0%BD-%D0%B2- %D0%9E%D0%A1-Windows-81-81882.html 3. http://trackerpro.blogspot.com/p/windows-7.html 4. http://www.tomshardware.co.uk/faq/id-1913513/bit-locker-drive-encryption.html 5. http://windows.microsoft.com/bg-BG/windows-vista/BitLocker-Drive-Encryption- Overview 6. http://windows.microsoft.com/bg-BG/windows7/Whats-the-difference-between- BitLocker-Drive-Encryption-and-Encrypting-File-System 7. http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in- BitLocker-Drive-Encryption 8. http://windows.microsoft.com/bg-bg/windows/set-hard-disk-bitlocker#1TC=windows- 9. http://windows.microsoft.com/bg-BG/windows7/what-is-the-bitlocker-to-go-reader 10. http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used- with-BitLocker 11. http://windows.microsoft.com/bg-BG/windows-vista/What-is-the-Trusted-Platform- Module-security-hardware

×