К диску применимо шифрование, открыть без ввода пароля не получится

Практическое использование BitLocker

Posted by

К диску применимо шифрование, открыть без ввода пароля не получитсяЗаинтересовала меня технология именуемая, как умеющая защищать логические диски от постороннего доступа к ним парольной фразой. К примеру вы системный администратор, и Вы начали чувствовать что Ваш руководитель стал к Вам относиться с подозрением, и от коллег по обмолвкам до Вас до шел слух, что Вас хотят уволить. Но ведь вы ничего такого не делали, добросовестно выполняли свои обязанности, были вежливыми и всегда шли на встречу проблеме и пути ее решения. У вас есть свои собственные наработки, вам никто ничего по приходу на текущее место работы не предоставил, путем анализа и проработки на виртуальном полигоне Вы разобрали текущую инфраструктуру на мелкие части и для Вас уже нет ничего не возможно, вы все знаете. Да такое бывает, и кстати у меня было в одной организации такая ситуация. Просто начальник хотел получить все готовое (кстати он был псевдоначальник, программист которого сделали руководителем, но вот в части IT от не соображал ничего). Потому вы просто переносите все Ваши наработки на серверную систему Windows (через ESXi Добавив еще одни жесткий диск и уже на нем создаете логический диск) в новый диск, где задействуете технологию BitLocker. В Server 2008 R2 Enterpise нужно, активировать компонент:

Start – Control Panel – Administrative Tools – Server Manager – Features – Add Featuresнаходим

  • BitLocker Drive Encryption

Активирую компоненты для работы с BitLocker

Нажимаем NextInstallCloseYes (Do you want to restart now?) и перезагружаем систему для активации изменений.

Для работы с технологией BitLocker система должна быть оборудована необходимым модулемTPM (Trusted Platform Module). Поясню, как я понимаю это из всего прочитанного:

Это микросхема, дающая компьютеру дополнительные средства безопасности, например возможность шифрования дисков BitLocker. Доверенный платформенный модуль встроен в некоторые современные модели компьютеров. Активировать его в системе можно посредством BIOS, для этого нужно сделать следующее:

  • Boot the computer. DEL into the BIOS

  • Move to the Peripherals — Trusted Computing menu item that now appears.

  • Switch the TPM SUPPORT menu item from Disabled to Enable

  • Save settings and restart

А после уже, будучи находясь в системе проверяем, что модуль видится:

C:\Users\Administrator>manage-bde -tpm -turnon

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

ERROR: A compatible Trusted Platform Module (TPM) was not detected.

Ошибка. Не обнаружен совместимый доверенный платформенный модуль.

У меня его нет.

Либо еще так:

Win + R -> mmc.exe – File – Add or Remove Snap-insнаходим оснастку: TPM Management и нажимаем

Проверяю, а поддерживает ли моя система TPM модуль

В результате запустится оснастка управления модулем TPM – где будет уже наглядно понятно, поддерживается ли модуль TPM или нет – у меня нет:

Нет модуль TPM в системе не обнаружен

Действия, представленные выше могут отличаться от Ваших, поэтому советую проверить сопровождающую информацию по Вашей материнской плате.

Если же система не оборудована данным модулем TPM, то перед началом шифрования необходимо разрешить использовать BitLocker без совместимого ТРМ. Делается это через оснастку: gpedit.msc

Запускаем: Win + R -> gpedit.msc

Далее в редакторе «Локальных групповых политик» на «Компьютер» вносим следующие изменения:

Local Computer Policy -> Computer Configuration -> Administrative Templates – Windows Components – BitLocker Drive Encryption

Следует привести параметры к виду:

Operating System Drives: Requirce additional authentication at startup – Enable

Активирую групповую политику

Также нужно позаботиться о наличии, USB флэш-накопителя с которого при запуске будет считываться ключ шифрования. Если устройство недоступно (не работает), необходимо воспользоваться одним из способов восстановления BitLocker.После активации данной политики уже можно шифровать свои жесткие диски.

Сейчас я покажу все пошаговое:

Переходим в «Панель управления» (Control Panel) – View by: Small icons и запускаем модуль «Шифрования диска BitLocker» (BitLocker Drive Encryption) и указываем тот диск, который предстоит шифровать. Это будет логический диск F:нажимаем Turn On BitLocker

Напротив каждого логического диск появляется возможность задействовать BitLocker

Соглашаемся

Активирую BitLocker

После того как вы указали на необходимость шифрования конкретного диска, BitLocker проведет его инициализацию.

Происходит инициализация логического диска перед активированием использования BitLocker

Созданная групповая политика конфликтует с настройками

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера снизится.

Все тоже самое можно сделать через командную строку так:

manage-bde -protectors -add c: -recoverykey z:

where c: is the bitlocked system drive and z: is the plugged in USB pendrive.
You may check the status again to see if the new protector is shown in the list.

The recovery key will be saved to the pendrive as a hidden file.

, но у меня процесс подвис, далее при внимательном чтении ошибок выяснил, что не нужно было включать данную политику – выключил ее, переведя в положение Not Configured. Проделываю шаги снова:

Переходим в «Панель управления» (Control Panel) – View by: Small icons и запускаем модуль «Шифрования диска BitLocker» (BitLocker Drive Encryption) и указываем тот диск, который предстоит шифровать. Это будет логический диск F:нажимаем Turn On BitLocker

Указываю пароль на шифрование логического диска

Нажимаю Next -> далее сохраняю ключ восстановления, к примеру в файл:

Не забываю сохранить ключ восстановления

Через проводник указываю местоположение (в корень диска нельзя, должен быть создан или уже иметь место быть каталог) удобное мне: — и нажимаю Save

Ключ восстановления сохраняю в файл, но также можно и на флешку сохранить

Пример содержимого данного файла: (BitLocker Recovery Key B0BDC52B-D05C-4D53-BD86-443ECB5099DA.txt)

BitLocker Drive Encryption Recovery Key

The recovery key is used to recover the data on a BitLocker protected drive.

To verify that this is the correct recovery key compare the identification with what is presented on the recovery screen.

Recovery key identification: B0BDC52B-D05C-4D

Full recovery key identification: B0BDC52B-D05C-4D53-BD86-443ECB5099DA

BitLocker Recovery Key:

120945-183788-369072-034947-001364-492921-590282-284273

На вопрос «Do you want to save the recovery key on this computer?» — отвечаю Yes

Соглашаюсь

А после Next – запускаем процесс шифрования диска

Активирую процесс шифрования диска

Начинается процесс:

Начинается процесс

Процесс все еще идет:

Процесс не моментальный - ожидаю

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера/рабочей станции снизится.

Так выглядит информационное окно о завершении процесса шифрования:

Так выглядит окно завершения шифрования диска

После завершения значок логического диска в «Моем компьютере» примет вид:

Таким значком помечен диск задействованный при технологии BitLocker

Это значит что диск зашифрован и все файлы помещаемые на него шифруются, чтобы его отключить нужно сделать так:

C:\Users\Administrator>manage-bde -lock F: -ForceDismount

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Volume F: is now locked

И значок в «Мой компьютер» примет вид:

К диску применимо шифрование, открыть без ввода пароля не получится

Теперь чтобы подключить зашифрованный логический диск нужно сделать:

Либо щелкнуть по нему и указать пароль и нажать Unlock

Для доступа к диску указываем пароль

Либо через командную строку:

C:\Users\Administrator>manage-bde -unlock F: -password

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume:<здесь_указываем_пароль>, в примере данной заметки пароль: 712mbddr@

The password successfully unlocked volume F:.

Отлично все работает.

Данной заметкой я показал лишь малую часть использования технологии BitLocker на рабочем месте и как можно просто оставлять свои данные доступ к которым следует ограничить. Пусть Ваш доменный пароль изменен, на Вашей системе авторизовались, но доступ к данным закрыт. Но также ко всем относящемуся к Windows технологиям следует относится с некоторой долей осторожности, ведь все новое и внедренное и не опробованное многочисленными экспериментами не может служить 100% гарантией, что в один прекрасный момент из-за какого либо обновления Вы потеряете доступ к Вашим зашифрованным данным и уже не сможете восстановить доступ. Я же для себя просто разбирал, что есть технологию BitLocker и как ее можно использовать в повседневности. Даже подумывал на всякий случай обыграть такую сценку: чтобы делал сотрудник желающий со злым умыслом получить доступ к моим наработкам и заметкам, если столкнется; вход в систему закрыт утилитой syskey, а диски внутри закрыты уже технологией BitLocker. Но это так мысли вслух. На этом я пока прощаюсь, до новых встреч — с уважением автор блога — Олло Александр.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

один + 18 =