Теперь операционная система Windows Vista вышла, и с
появлением Vista у нас появилось много волнующих инструментов
для безопасности. Одним из самых замечательных инструментов
для безопасности в операционной системе Vista является Windows
BitLocker, который используется для шифрования данных.
BitLocker – это инструмент для шифрования томов, который
поддерживает общую защиту (custom protection) и различные
методы аутентификации. Однако опыт пользователя и службы
технической поддержки может быть превосходно объединен, в
зависимости от того, какую защиту и методы аутентификации вы
выберите. В этой статья я расскажу о лучших практических
пошаговых подходах при установке и настройке инструмента
BitLocker в операционной системе Windows Vista.
Требования к программному и аппаратному обеспечению для
BitLocker
Благодаря BitLocker у вас есть два различных способа для
защиты крипто ключа (crypto key или ключа шифрования тома -
Volume Encryption Key).
- Чип TPM
- Использование чистого ключа, который является просто
обычным методом защиты с помощью пароля
Крипто ключ используется для шифрования тома, но хорошая
защита крипто ключа – это не менее важная задача. Если
злоумышленник удалит крипто ключ или же он будет удален
случайно, то вам лучше бы иметь хорошую резервную копию, если
вы снова хотите получить доступ к вашим данным (Подробнее о
восстановлении ключа я расскажу во второй части этой статьи).
Но с другой стороны, удаление крипто ключа по назначению в
контролируемой среде – это великолепный способ выведения
компьютера из обращения, при этом не нужно беспокоиться о том,
что было ранее записано на зашифрованном томе.
Перед тем, как вы сможете установить и использовать
BitLocker, вы должны убедиться, что вас соблюдены следующие
требования:
- Имеется чип TPM (Trusted Platform module) версии 1.2
(это требование необходимо лишь в том случае, если вы будете
использовать BitLocker совместно с чипом TPM)
- Системный BIOS совместим с TCG (Trusted Computing Group)
версии 1.2 (и снова, это требование необходимо лишь в том
случае, если вы будете использовать BitLocker совместно с
чипом TPM)
- Системный BIOS поддерживает, как чтение, так и запись
небольших файлов на накопитель USB flash drive в
предоперационной системной среде (pre-operating system
environment)
- Компьютер должен иметь как минимум два тома, перед тем,
как можно будет использовать BitLocker:
- Первый том – это System Volume
(системный том)
Этот том должен быть отформатирован в
NTFS и должен отличаться от тома операционной системы
(Operating System Volume). Системный том не должен быть
зашифрован, т.к. на нем содержатся особые аппаратные
файлы, которые необходимы для загрузки операционной
системы Windows после предзагрузочной аутентификации
(pre-boot authentication).
- Второй том – это Operating System
Volume (том операционной системы)
Этот том
должен быть отформатирован в NTFS и содержать файлы
операционной системы Vista, а также файлы поддержки. Все
данные на томе операционной системы OS Volume защищены с
помощью BitLocker
- Необходимо также отметить, что инструмент BitLocker
включен и поддерживается лишь Windows Vista Enterprise,
Windows Vista Ultimate и Windows “Longhorn” Server
Давайте настроим теперь BitLocker, и расскажем подробнее о
каждом требовании.
Подготовка системного BIOS
Чип TPM необязателен, но очень сильно рекомендуется его
использовать при работе с BitLocker. Для этого есть несколько
причин:
- Т.к. компания Microsoft является одной из самых
крупнейших компаний, которые поддерживают Trusted Computing
Platform, то она связала очень много инструментов
безопасности Vista (включая BitLocker) с этим чипом, который
также можно настроить с помощью Active Directory,
основываясь на инфраструктуре, используемой политикой групп.
- BitLocker достаточно слабый инструмент, если
использовать предзагрузочные аутентификационные настройки
(pre-boot authentication options), по сравнению с со
средствами шифрования жесткого диска, выпускаемыми
сторонними производителями. Лучший и самые безопасные метод
при использовании BitLocker – это конфигурация с
использованием TPM и пин кода.
Чип TPM – это по своей сути интеллектуальная карта (smart
card), которая встроена в материнскую плату компьютера. Чип
TPM может осуществлять функции по шифрованию. Он может
создавать, хранить и управлять ключами, а также выполнять
операции с цифровыми подписями, а что лучше всего – защищать
сам себя от атак.
Надеюсь, что теперь я убедил вас, что неплохо бы
использовать BitLocker совместно с чипом TPM. Но перед тем,
как вы сможете насладиться преимуществами вашего чипа TPM в
операционной системе Vista, вы должны убедиться, что он
совместим с TCG версии 1.2. Для большинство новейших чипов TPM
выпускаются обновления прошивки, поэтому их можно сделать
совместимыми с операционной системой Vista. Однако, это также
означает, что необходимо обновить ваш BIOS. Если вы не
уверены, что ваш компьютер удовлетворяет требованиям TPM, то
вы должны связаться с производителем вашего компьютера для
получения более подробной информации.
Для большинства систем, все что вам нужно сделать, это
войти в настройки BIOS setup и включить TPM (он указывается
обычно в BIOS как “Security или чип безопасности”). После
того, как вы сделали это, вы готовы перейти к следующему
разделу.
Подготовка жесткого диска
Если вы недавно купили свой компьютер, который готов для
установки операционной системы Vista или имеет уже
предустановленную версию Vista, то вы должны обратить
внимание, что жесткий диск на нем имеет, как минимум два
различных тома. Это означает, что тома на вашем компьютере
были подготовлены для поддержки BitLocker, и вы просто можете
перейти к следующему разделу.
Если у вас нет томов, подготовленных вашим поставщиком
аппаратного обеспечения, или если вы просто хотите заново
установить Vista, а также подготовить ее для BitLocker, то вам
необходимо подготовить тома для BitLocker, способом описанным
ранее. Это необходимо сделать в процессе установки
операционной системы Vista.
Это легко можно сделать с помощью Windows PE 2.0, который
включен в ваш Vista DVD и небольшого сценария, который мы
включили в эту статью. Этот процесс в действительности гораздо
проще, чем вы думаете. Ниже описано, все что вам необходимо
сделать:
Скопируйте следующий сценарий на USB key:
bde-part.txt (используется для разбиения
жесткого диска):
select disk 0
clean
create partition primary
size=1500
assign letter=S
active
format fs=ntfs
quick
create partition primary
assign letter=C
format
fs=ntfs quick
list volume
exit
Очень важно: Команда
“clean” в сценарии bde-part.txt удалит все
ваши существующие разделы на диске 0 (вашем основном диске или
primary drive), включая разделы для восстановления/установки,
которые вы могли предварительно создать, поэтому используйте
эту команду с особой осторожностью или уберите ее из сценария.
После того, как вы скопировали сценарий на носитель USB,
пришло время для того, чтобы им воспользоваться.
- Вставьте носитель USB key и включите компьютер с диском
Windows Vista product DVD
- На экране установки Install Windows screen выберите ваш
язык установки (Installation language), формат времени и
валюты (Time and currency format), а также раскладку
клавиатуры (Keyboard layout), а затем выберите Next
- На следующем экране установки Install Windows screen,
выберите System Recovery Options (параметры восстановления
систем), которые располагаются в левом нижнем углу экрана
- В диалоговом окне System Recovery Options выберите
раскладку клавиатуры и нажмите на кнопку Next
- В следующем экране System Recovery Options убедитесь,
что не выбрана ни одна операционная система. Для этого
нажмите на пустую область в списке операционных систем
(Operating System list), ниже всех пунктов. Затем нажмите на
кнопку Next
- В следующем диалоговом окне System Recovery Options
выберите командную строку Command Prompt (смотрите рисунок
1)
Рисунок 1
- Найдите ваш накопитель USB путем последовательного ввода
следующих команд:
diskpart
list
volumes
exit
Обратите внимание на имя диска,
которое было присвоено вашему накопителю USB key.
- Подготовьте тома путем ввода следующей команды:
diskpart /s :\bde-part.txt
где необходимо
заменить на имя диска, который было присвоено вашему
накопителю USB key.
После того, как вы выполните все указанные выше действия,
вы должны закрыть командную строку и вернуться к программе
установки и завершить установку Vista.
Подготовка чипа TPM
Перед тем, как вы сможете использовать чип TPM, вы должны
его подготовить. Это значит, что вы должны убедиться в
следующем:
- Убедитесь, что в операционной системе Vista установлен
правильный драйвер TPM driver
- Инициализируйте ваш чип TPM
- Подтвердите ваше право владения чипом TPM
Примечание: Если вы не хотите использовать
чип TPM с BitLocker, то вы можете пропустить этот раздел и
перейти к следующему.
Существует несколько причин, по которым компании Microsoft
необходимо было, чтобы чип TPM был совместим с версией 1.2
TCG, но две их основных причины, кроме добавленных
возможностей по безопасности – это совместимость и
стабильность. Microsoft достигает этого за счет настраиваемого
драйвера generic TPM Vista driver. Правило большого пальца
заключается в том, что вы должны использовать лишь драйвер
Microsoft TPM driver, если вы хотите использовать BitLocker
совместно с чипом TPM.
Убедитесь, что вы используете правильный драйвер для вашего
чипа TPM (предполагается, что ваш компьютер поддерживает чип),
что можно сделать зайдя в менеджер устройств Device
Manager. В категории под названием Security
Devices (устройства для безопасности), вы должны
увидеть драйвер Microsoft TPM , под названием “Trusted
Platform Module 1.2”. Если вы хотите проверить версию
драйвера, просто нажмите правой кнопкой мыши на
Trusted Platform Module 1.2 device и выберите
пункт Properties (свойства) из выпадающего
списка, а затем перейдите на закладку Driver, что показано на
рисунке 2.
Рисунок 2
Если по каким-то причинам вы используете другой драйвер TPM
driver, то вы можете заменить ваш драйвер на вышеупомянутый
драйвер Microsoft TPM driver, который вы можете найти на Vista
DVD.
После того, как вы убедились, что загружен правильный
драйвер TPM driver, пришло время инициализировать чип TPM. Это
можно сделать двумя различными способами, либо при помощи TPM
MMC (просто наберите команду tpm.mcs), либо настроить его из
командной строки (command line). В этой статье я покажу вам,
как это можно сделать из командной строки с помощью утилиты
manage-bde.wsf, которая по сути является сценарием WMI.
- Из меню Vista Start Menu, перейдите к ярлыку командной
строки Command Prompt. Щелкните правой кнопкой мыши на
иконке и выберите пункт Run as administrator (запустить от
имени администратора)
- Введите следующую команду:
cscript
manage-bde.wsf –tpm –takeownership
-<password>
где <password>
необходимо заменить ваши собственным паролем
Рассматривайте этот пароль, как ваш основной пароль
для TPM.
- Теперь чип TPM готов к использованию (смотрите Рисунок
3).
Рисунок 3
Шифрование томов
Теперь мы прошли все необходимые подготовительные этапы, и
теперь можем приступить к шифрованию томов. Некоторые из
этапов, которые мы так тщательно описывали, могут быть уже
выполнены вашими поставщиками компьютеров, либо неприменимы,
если ваш компьютер не имеет чип, совместимый с TPM версии 1.2.
Давайте пойдем дальше и зашифруем некоторые данные. Это можно
сделать двумя различными способами, либо с помощью
графического интерфейса панели управления BitLocker Control
Panel GUI, либо из командной строки. В этой статье я покажу
вам, как это делать с помощью командной строки, и на это есть
несколько причин:
- Графический интерфейс панели управления The BitLocker
Control Panel GUI поддерживается лишь на машинах с чипом,
совместимым с TPM. Это значит, что если вы хотите
воспользоваться преимуществами BitLocker без использования
чипа TPM, то вы можете воспользоваться BitLocker лишь с
помощью утилиты командной строки (command line utility)
manage-bde.wsf
- Другая причина заключается в том, что официально
BitLocker в операционной системе Vista поддерживает лишь
шифрование тома операционной системы OS Volume (которым
обычно является диск C:). Однако с помощью утилиты командной
строки (command line utility), у вас есть возможность
шифровать также тома данных (data volume), а официально
такая возможность поддерживается лишь в операционной системе
Longhorn Server
- Утилита командной строки может использоваться для
централизованного шифрования клиентских компьютеров в среде
Active Directory, что я более подробно рассмотрю во второй
части этой статьи.
Как можно зашифровать тома
- Из меню Vista Start Menu перейдите к ярлыку командной
строки Command Prompt. Щелкните правой кнопкой мыши и
выберите пункт Run as administrator (запустить от имени
администратора)
- Введите следующую команду: cscript manage-bde.wsf
–on /?
- В результате вы сможете увидеть различные настройки
предварительной аутентификации (pre-boot authentication) и
восстановления ключа (key recovery) для BitLocker. В этой
статье я покажу вам, как шифровать том с поддержкой TPM, том
без поддержки TPM и, наконец, том отличный от C:
Шифрование с помощью BitLocker с поддержкой TPM
- Из меню Vista Start Menu перейдите к ярлыку командной
строки Command Prompt. Щелкните правой кнопкой мыши на
иконке и выберите пункт Run as administrator (запустить от
имени администратора)
- Введите следующую команду:
cscript manage-bde.wsf
–on –recoverypassword C:
Рисунок 4
- Следуйте инструкциям на экране для запуска процесса
шифрования encryption process (смотрите Рисунок 4)
Шифрование с помощью BitLocker без поддержки TPM:
- Из меню Vista Start Menu перейдите к ярлыку
командной строки. Щелкните правой кнопкой мыши на иконке и
выберите Run as administrator (запустить от имени
администратора)
- Введите следующую команду:
cscript manage-bde.wsf –on –startupkey <USB
drive>:-recoverypassword –recoverykey <recovery
drive>:
<USB drive> - это название диска,
присвоенное накопителю USB key, который используется вместо
чипа TPM. Не забудьте добавить двоеточие после имени
диска
<recovery drive> может быть либо жестким
диском, либо накопителем USB key, либо сетевым диском (network
drive). И снова, не забудьте включить двоеточие после названия
диска
Шифрование томов данных с помощью BitLocker
Эта процедура аналогична той, которая приведена в двух
предыдущих примерах. Просто замените название диска, который
вы хотите зашифровать. Однако, если вы будете не достаточно
осторожны, то можете столкнуться с некоторыми проблемами.
- Первая заключается в том, что все это будет работать
лишь в том случае, если вы зашифровали том операционной
системы также с помощью утилиты командной строки manage-bde
command line utililty
- Вторая заключается в том, что после того, как том данных
зашифрован, вы не сможете иметь доступ к данным после
перезагрузки компьютера до тех пор, пока вы автоматически не
разблокируете том данных. Ниже показано, как можно избежать
этой проблемы:
- Мы предположим, что вы зашифровали том данных Data
Volume с помощью одного из наших примеров или ваших
собственных предпочтений
- Перед перезагрузкой компьютера введите следующую
команду:
cscript manage-bde.wsf –autounlock
–enable :
<data drive> - это
название диска, присвоенное тому данных Data Volume. Не
забудьте включить двоеточие после названия диска
данных
Команда, представленная выше позволит сформировать внешнюю
защиту ключа (external key protector) на томе данных, и
хранить крипто ключ на томе операционной системы OS Volume
(обычно диск C: drive), который мы зашифровали ранее. Таким
образом крипто-ключ для тома данных будет защищен
крипто-ключом для тома операционной системы, но будет
по-прежнему автоматически загружаться в процессе загрузки.
Заключение
В этой статье мы рассказали вам о нескольких различных
способах подключения BitLocker в операционной системе Vista,
основываясь на пошаговых статьях Microsoft. Мы хотели показать
вам, что возможности BitLocker гораздо шире, чем мы можем с
помощью графического интерфейса GUI. Во второй части этой
статьи мы более подробно расскажем о том, как настроить и
управлять BitLocker из центральной среды Active Directory, и о
том, как лучше всего восстанавливать ключи для BitLocker.