Как включить BitLocker без TPM

Как включить BitLocker без TPM

BitLocker — встроенная функция шифрования дисков в Windows 7, 8 и Windows 10, начиная с Профессиональных версий, позволяющая надежно зашифровать данные как на HDD и SSD — системных и нет, так и на съемных накопителях.

Однако, при включении шифрования BitLocker для системного раздела жесткого диска, большинство пользователей сталкиваются с сообщением о том, что «Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр Разрешить использование BitLocker без совместимого TPM». О том, как это сделать и зашифровать системный диск с помощью BitLocker без TPM и пойдет речь в этой короткой инструкции. См. также: Как поставить пароль на флешку с помощью BitLocker.

Краткая справка: TPM — специальный криптографический аппаратный модуль, использующийся для задач шифрования, может быть интегрирован в материнскую плату или подключаться к ней. Примечание: если ваш компьютер или ноутбук оснащен модулем TPM, а вы видите указанное сообщение, это может означать, что по какой-то причине TPM отключен в БИОС или не инициализирован в Windows (нажмите клавиши Win+R и введите tpm.msc для управления модулем).

Разрешить BitLocker без совместимого TPM в Windows 10 последней версии

В последней версии Windows 10 (1903 May 2019 Update) расположение политики, отвечающей за разрешение использования BitLocker для шифрования системного раздела диска без модуля TPM несколько изменилось (для предыдущих версий расположение описывается в следующем разделе).

Для включения шифрования BitlLocker без TPM в новой версии ОС проделайте следующие шаги:

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
  2. Откроется редактор локальной групповой политики. Перейдите к разделу: Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы.
  3. В правой панели редактора локальной групповой политики найдите параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» и дважды кликните по нему мышью. Обратите внимание, что в списке есть два параметра с таким именем, нам требуется тот, который без указания Windows Server.
  4. В открывшемся окне выберите пункт «Включено» и убедитесь, что пункт «Разрешить использование BitLocker без совместимого TPM включен». Примените сделанные настройки.

На этом процесс завершен и теперь вы можете включить шифрование BitLocker для системного раздела диска Windows 10.

Это же разрешение вы можете включить и с помощью редактора реестра: для этого в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE создайте параметр DWORD с именем EnableBDEWithNoTPM и установите для него значение 1.

Разрешение использования BitLocker без совместимого TPM в Windows 10, 8 и Windows 7

Для того, чтобы возможно было зашифровать системный диск с помощью BitLocker без TPM, достаточно изменить один единственный параметр в редакторе локальной групповой политики Windows.

  1. Нажмите клавиши Win+R и введите gpedit.msc для запуска редактора локальной групповой политики.
  2. Откройте раздел (папки слева): Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Этот параметр политики позволяет выбрать шифрование диска BitLocker — Диски операционной системы.
  3. В правой части дважды кликните по параметру «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
  4. В открывшемся окне, установите «Включено», а также убедитесь, что стоит отметка «Разрешить BitLocker без совместимого доверенного платформенного модуля» (см. скриншот).
  5. Примените сделанные изменения.
Читайте также:
Как удалить программу в Windows 8

После этого вы можете использовать шифрование дисков без сообщений об ошибках: просто выберите системный диск в проводнике, кликните по нему правой кнопкой мыши и выберите пункт контекстного меню «Включить BitLocker», после чего следуйте указаниям мастера шифрования. Также этом можно сделать в «Панель управления» — «Шифрование диска BitLocker».

Вы сможете либо задать пароль для получения доступа к зашифрованному диску, либо создать USB-устройство (флешку), которая будет использоваться в качестве ключа.

Примечание: в ходе шифрования диска в Windows 10 и 8 вам будет предложено сохранить данные для расшифровки в том числе в вашей учетной записи Майкрософт. Если она у вас должным образом настроена, рекомендую это сделать — по собственному опыту использования BitLocker, код восстановления доступа к диску из учетной записи в случае возникновения проблем может оказаться единственным способом не потерять свои данные.

Как включить шифрование BitLocker на Windows без модуля (TPM)

Для включения шифрования диска с помощью BitLocker обычно требуется компьютер с доверенным платформенным модуле (TPM). Попытка включить BitLocker на компьютере без доверенного платформенного модуля приведёт к появлению сообщения о необходимости изменения параметров системной политики.

Почему BitLocker требует TPM

Обычно для BitLocker требуется доверенный платформенный модуль или доверенный платформенный модуль на материнской плате компьютера. Этот чип генерирует и хранит фактические ключи шифрования. Он может автоматически разблокировать диск вашего компьютера, когда он загружается, так что вы можете войти в систему, просто введя свой пароль для входа в Windows. Это просто, но TPM выполняет тяжелую работу под капотом.

Если кто-то вмешается в работу ПК или удалит диск с компьютера и попытается его расшифровать, доступ к нему будет невозможен без ключа, хранящегося на доверенном платформенном модуле. TPM не будет работать, если он перемещен на материнскую плату другого компьютера.

Вы можете купить и добавить чип TPM в некоторые материнские платы, но если ваша материнская плата (или ноутбук) не поддерживает это, вы можете использовать BitLocker без TPM. Это менее безопасно, но лучше, чем ничего.

Как использовать BitLocker без модуля TPM

Вы можете обойти это ограничение с помощью групповой политики. Если ваш компьютер присоединен к домену, то настройку групповой политики должен выполнить администратор сети. Если Вы просто делаете это на своем компьютере, и он не присоединен к домену, Вы можете использовать локальный редактор Групповой политики, чтобы изменить параметры собственного компьютера.

Чтобы открыть локальный редактор Групповой политики, нажмите Win + R на клавиатуре, введите gpedit.msc в диалоговом окне и нажмите клавишу ОК или Enter .

Перейдите к политике Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsШифрование диска BitLockerДиски операционной системы.

Дважды щелкните параметр «Требовать дополнительную проверку подлинности при запуске» в правой панели.

Выберите «Включено» в верхней части окна и убедитесь, что установлен флажок Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на флэш-накопителе USB) .

Читайте также:
Как удалить пользователя Windows 10

Нажмите OK , чтобы сохранить изменения. Теперь можно закрыть окно редактора Групповой политики. Ваше изменение вступает в силу немедленно – Вам даже не нужно перезагружаться.

Как настроить BitLocker

Теперь можно включать, настраивать и использовать BitLocker. На Панели управленияСистема и безопасностьШифрование диска BitLocker и нажмите кнопку Включить BitLocker , чтобы включить его для диска.

Сначала появится запрос на выбор способа разблокировки диска, когда ваш компьютер загружается. Так как у вас нет доверенного платформенного модуля, Вы должны либо вводить пароль при каждой загрузке компьютера, либо предоставлять флэш-накопитель USB. Если вы предоставляете USB флэш-накопитель, Вам нужно каждый раз подключать флэш-накопитель к компьютеру, чтобы получить доступ к файлам.

Далее через программу настройку шифрования BitLocker сохраните ключ восстановления шифрования диска. Остальная часть процесса совпадает с обычным процессом запуска BitLocker.

Когда ваш компьютер загрузится, вам придется либо ввести пароль, либо вставить USB-накопитель, который вы предоставили. Если Вы не можете предоставить пароль или USB-накопитель, BitLocker не сможет расшифровать ваш диск и Вы не сможете загрузиться в вашу систему Windows и получить доступ к файлам.

Как настроить шифрование жесткого диска в Windows 10

Windows 10 позволяет надежно зашифровать жесткий диск при помощи пароля или USB-ключа с использованием инструмента BitLocker. Как настроить шифрование диска в Windows 10, читайте в этой статье.

В Windows 10 вы можете полностью зашифровать свой жесткий диск с помощью средства безопасности BitLocker. Эта программа уже интегрирована в Windows и проста в использовании — по крайней мере, если на вашей системной плате есть специальный модуль TPM. Расскажем, как это работает.

Шифрование диска в Windows 10 с помощью BitLocker

На вашей материнской плате может быть установлен компонент, называемый криптопроцессором или чипом Trusted Platform Module (TPM). Он хранит ключи шифрования для защиты информации на аппаратном уровне. Выглядит он примерно так:

Trusted Platform Module на материнской плате Asus

Если на материнской плате присутствует модуль TPM, шифрование жесткого диска в Windows 10 организовать очень несложно:

  1. Нажмите кнопку Пуск, откройте Проводник и выберите Этот компьютер.
  2. В окне щелкните правой кнопкой мыши на диске, который вы хотите зашифровать, и в выпадающем меню выберите Включить BitLocker.
    Включение BitLocker
  3. Введите надежный пароль к жесткому диску. Каждый раз, когда вы будете включать компьютер, Windows будет запрашивать этот пароль, чтобы расшифровать данные.
  4. Выберите, каким образом нужно создать резервную копию ключа восстановления. Его можно сохранить в учетной записи Microsoft, скопировать на USB-накопитель или распечатать на принтере.
  5. Выберите, какую часть диска шифровать: весь или только свободное место. Если вы недавно установили Windows 10, выберите второе. Если же вы включаете шифрование на уже использующемся диске, лучше зашифровать весь диск.
  6. Нажмите Продолжить, чтобы начать шифрование.
  7. Когда шифрование завершится, перезагрузите компьютер и введите пароль.

Если на шаге 2 появляется сообщение об ошибке, указывающее, что вам нужно разрешить запуск BitLocker без совместимого модуля TPM, это значит, что ваша материнская плата не имеет соответствующего модуля. В этом случае придется идти в обход.

Читайте также:
Ошибка STOP 0x00000050 PAGE_FAULT_IN_NONPAGED_AREA

Шифрование диска в Windows 10 без модуля TPM

Для того чтобы зашифровать жесткий диск в Windows 10 без помощи аппаратного модуля хранения ключей, сделайте следующее:

  1. Вернитесь в поле поиска в меню Пуск и введите «Групповая политика» (без кавычек).
  2. Нажмите на запись Изменить групповую политику. Откроется новое окно.
  3. Перейдите в подкаталог Административные шаблоны >Компоненты Windows >Шифрование диска BitLocker >Диски операционной системы.
  4. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
    Включить шифрование диска без TPM
  5. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.
  6. Откройте Этот компьютер, выберите диск и нажмите Включить BitLocker, как описано в первом способе.
  7. После этого на вашем компьютере будет выполнена быстрая проверка. Когда проверка будет завершена, система спросит, хотите ли вы заблокировать свой компьютер с помощью USB-ключа или пароля.
  8. Выберите, следует ли BitLocker шифровать оставшееся свободное место или весь жесткий диск.
  9. BitLocker запустится в фоновом режиме, осуществляя шифрование вашего жесткого диска. Вы можете продолжать работать в нормальном режиме.

После первой перезагрузки ПК ваша система будет загружаться, только если вы введете правильный пароль во время запуска или не подключите внешний носитель с резервной копией ключа.

Как разрешить работу BitLocker без совместимого TPM

Утилита BitLocker является частью операционных систем Microsoft Windows и выполняет функции шифрования дисков. Программа шифрует том, а не сам физический диск и не предназначена для шифрования отдельных папок или файлов. Для использования BitLocker необходимо чтобы компьютер имел совместимый аппаратный криптографический модуль TPM (Trusted Platform Module) – это специальный микрочип на материнской плате, который выполняет функции по защите компьютера.

Как же быть, если компьютер не имеет совместимого TPM?
Разрешить использование BitLocker без TPM можно двумя способами:

Чтобы разрешить работу BitLocker без TPM через групповые политики необходимо перейти в директорию “Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsШифрование диска BitLockerДиски операционной системы” и активировать параметр “Этот параметр позволяет настроить требование дополнительной проверки при запуске” с опцией “Разрешить использование BitLocker без совместимого TPM”.

Пошаговая инструкция по включению BitLocker без TPM с помощью групповых политик

1. Проверьте состояние модуля TPM на компьютере
Нажмите клавиши и набирите команду tpm.msc

Если в оснастке управления модулем будет сообщение “Не удается найти совместимый довереный платформенный модуль“, то возможно он просто отключен в BIOS/UEFI компьютера и его необходимо включить. В зависимости от версии BIOS/UEFI алгоритм включения TPM может сильно отличаться или такой настройки вовсе может не быть. Так же возможны случаи, когда TPM включен, но не совместим с BitLocker.

2. Откройте оснастку управления групповыми политиками: сочетание клавиш и команда gpedit.msc

3. Перейдите в директорию “Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы” и откройте параметр “Этот параметр позволяет настроить требование дополнительной проверки при запуске“.

4. Переключите состояние параметра в режим “Включено” и активируйте опцию “Разрешить использование BitLocker без совместимого TPM“.

Читайте также:
Использование командной строки для исправления проблем с загрузочными записями Windows

5. После применения настроек перезагрузите компьютер, чтобы применились новые групповые политики.

6. Проверьте работу BitLocker.

Кликните по любому диску компьютера правой клавишей мыши. Если в контекстном меню есть пункт “Включить BitLocker” значит утилита работает.

Включение BitLocker без TPM с помощью редактора реестра

Разрешить использование утилиты BitLocker без TPM можно с помощью редактора реестра. Для этого необходимо внести изменения в соответствующую ветку реестра Windows.

1. Откройте редактор реестра Windows: Клавиши и команда regedit.

2. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE.

3. Создайте параметр типа DWORD с именем EnableBDEWithNoTPM и значением 1.

После редактирования реестра потребуется перезагрузить компьютер для применения настроек.

Что делать, если BitLocker не удалось зашифровать диск

Что делать, если BitLocker не удалось зашифровать диск

5 решений для устранения сбоя BitLocker во время шифрования

  1. Включить BitLocker без совместимого TPM
  2. Clear TPM (модуль доверенной платформы)
  3. Очистите диск и заново создайте раздел с помощью DiskPart
  4. Изменить настройки чипа безопасности
  5. Изменить настройки USB-устройств в BIOS

В этой статье мы поговорим о нескольких ошибках, которые могут возникнуть при попытке зашифровать ваш диск с помощью BitLocker. Этот инструмент защищает вашу операционную систему от атак в автономном режиме.

Вот некоторые из наиболее распространенных ошибок BitLocker:

  • Это устройство не может использовать модуль платформы доверия .
    • Перейти к решению 1, чтобы исправить это.
  • Предпринята попытка недопустимой операции с разделом реестра, помеченным для удаления .
    • Перейти к решению 2, чтобы исправить это.
  • Невозможно использоватьшифрование диска B itLocker,поскольку критические файлы BitLocker отсутствуют или повреждены.Используйте Windows Startup Repair для восстановления файла на вашем компьютере (0x8031004A) .
    • Перейти к решению 3, чтобы исправить это.
  • Ключ шифрования BitLocker не может быть получен из модуля доверенной платформы (TPM) и расширенного PIN-кода.Попробуйте использовать ПИН-код, содержащий только цифры.C: не был зашифрован .
    • Перейти к решению 4, чтобы исправить это.
  • BitLocker не может быть включен.Накопитель данных не настроен на автоматическую разблокировку на текущем компьютере и не может быть разблокирован автоматически.C: не был зашифрован .
    • Перейти к решению 5, чтобы исправить это.

Действия по устранению проблем с шифрованием диска BitLocker

Решение 1. Включите BitLocker без совместимого TPM

  1. Откройте кнопку Run from Start, напишите gpedit.msc и
  2. Откроется редактор локальной групповой политики.
  3. Нажмите «Административные шаблоны» в разделе «Конфигурация компьютера», а затем — «Компоненты Windows».
  4. Выберите диск BitLocker
  5. Шифрование, а затем диски операционной системы.
  6. В этом окне дважды щелкните «Требовать дополнительную аутентификацию при запуске»
  7. В новом окне выберите «Включено» и «Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на флэш-накопителе USB)».
  8. Сохраните изменения, нажав «Применить».
  9. Теперь попробуйте зашифровать диск с помощью BitLocker.
  • СВЯЗАННЫЕ: Исправлено: проблема с экраном запроса пароля BitLocker в Windows 10

Решение 2: Очистить TPM (модуль доверенной платформы)

Перед тем как начать сброс настроек TPM до заводских настроек, убедитесь, что вы создали резервную копию своего компьютера. Этот метод может привести к потере данных.

Читайте также:
Ошибка msvcr120.dll отсутствует на компьютере

  1. Откройте кнопку Run from Start, напишите tpm.msc и нажмите ввод.
  2. Откроется новая консоль управления.
  3. В разделе «Действие» справа нажмите «Нажмите TPM».
  4. В поле Clear TPM Security Hardware самое простое решение — проверить «У меня нет пароля владельца» и нажать «ОК».
  5. Вам будет предложено перезагрузить. Это будет означать, что вы должны нажать клавишу (обычно F10), чтобы очистить TPM. Нажмите запрошенную клавишу.
  6. После перезагрузки системы вам придется перезагрузить компьютер. После перезапуска вам будет предложено нажать клавишу (обычно F10), чтобы включить TPM. Нажмите эту клавишу.
  7. Запустится мастер настройки TPM, и вы сможете ввести пароль владельца TPM.

Решение 3. Очистите диск и заново создайте раздел с помощью DiskPart

Прежде чем мы продолжим, имейте в виду, что этот метод сотрет всю информацию, хранящуюся на вашем диске. Создайте резервную копию на другом диске, чтобы убедиться, что вы не потеряете все свои файлы и папки.

  1. Запустите командную строку от имени администратора, введите diskpart и нажмите Enter.
  2. Введите список дисков, чтобы показать список всех дисков
  3. Введите select disk #, где # проблемный диск. Нажмите Enter.
  4. Введите clean> нажмите Enter.
  5. Подождите, пока диск не будет очищен. Теперь пришло время создать новый раздел.
  6. Введите создать основной раздел и нажмите Enter
  7. Введите назначить букву = # . Еще раз, # — это буква, которую вы хотите использовать.
  8. Отформатируйте ваш раздел, набрав в формате fs = ntfs quick . Нажмите Enter.
  • СВЯЗАННЫЕ: BitLocker не сохраняет ключ в AD: у нас есть решение

Решение 4. Измените настройки микросхемы безопасности

Согласно сообщениям, эта проблема затрагивает машины, оснащенные микросхемами Intel PTT Security, использующими определенные параметры Например, шифрование диска BitLocker использовало TPM и PIN, а параметр «Разрешить BitLocker без совместимого TPM» был отключен.

Кроме того, эти машины работают с ОС в BIOS, а не с UEFI .

Мы перечислим общие шаги, чтобы следовать ниже. Имейте в виду, что они могут отличаться на вашей машине.

  1. Запустите компьютер> откройте настройки BIOS
  2. Перейдите на вкладку «Безопасность»> выберите «Настройки микросхемы безопасности».
  3. Выберите опцию Дискретный TPM
  4. Перейдите к Clear Security Chip> сохраните ваши изменения.
  5. Перезагрузите компьютер, войдите в систему и введите свой PIN-код. Проверьте, сохраняется ли проблема.

Обратите внимание, что если вы хотите вернуться к предыдущим настройкам микросхемы безопасности, вам необходимо заменить возможность загрузки прошивки загрузкой UEFI. Иногда вам также может понадобиться переустановить ОС.

Примечание . В случае, если вы не можете получить исправление BitLocker, мы настоятельно рекомендуем переключиться на блокировку папки , которая является мощным средством шифрования. Он позволяет шифровать файлы, папки и диски и имеет широкий спектр функций безопасности.

Вы можете найти больше информации об этом в нашем списке лучших инструментов шифрования .

Решение 5. Измените настройки USB-устройств в BIOS

Эта ошибка может появиться при попытке зашифровать диск операционной системы с помощью ключа запуска USB. Причина этого может быть связана с некоторыми настройками в режиме BIOS. Вот возможное исправление.

  1. Войдите в утилиту настройки BIOS.
  2. Перейдите в Advanced, затем Периферийная конфигурация.
  3. Доступ к хост-контроллеру USB и USB-устройствам.
  4. Настройки USB-устройств должны быть Все.
Читайте также:
Флешки для сброса пароля Windows

Мы надеемся, что эти решения помогли вам решить проблемы с шифрованием Bitlocker.

Если у вас есть дополнительные советы и предложения, не стесняйтесь перечислить их ниже.

Примечание редактора : этот пост был первоначально опубликован в ноябре 2018 года и с тех пор был обновлен и обновлен для обеспечения свежести, точности и полноты.

СВЯЗАННЫЕ ПОСТЫ, ЧТОБЫ ПРОВЕРИТЬ

Как в Windows 10 разрешить шифрование системного тома без TRM

Для шифрования дисков и томов в Windows 10 предусмотрена встроенная функция BitLocker, позволяющая шифровать как встроенные, так и съемные носители. BitLocker также поддерживается шифрование системного тома, однако если вы попробуете включить ее для диска С, то наверняка получите «Это устройство не может использовать доверенный кроссплатформенный модуль (TRM)» . А еще в сообщении указывается, что админ должен позволить использование Битлокер без аппаратного модуля.

В соответствующей политике, если он хочет применить шифрование к системному тому.

Что означает невозможность использование модуля TRM и что вообще представляет собой этот модуль?

TRM — это специальный аппаратный компонент, обеспечивающий аппаратную криптографию. Физически TRM представляет собой интегрируемый или подключаемый к материнской плате чип. Если он отсутствует (далеко не все модели компьютеров его имеют) , отключен в BIOS или не активирован в Windows, при попытке включить Битлокер для системного тома вы получите указанное выше сообщение.

Проверить, инициализирован TRM в Windows или нет можно из оснастки trm.msc . Если в окне оснастки вы видите уведомление «Не удается найти совместимый доверенный модуль на этом компьютере» , значит он либо отключен в BIOS , либо отсутствует на компьютере.

В противном случае вы сможете включит его через меню «Действие».

В BIOS компонент следует искать в разделе безопасности, называться TRM может «Trusted Platform Module», «Security Chip» или «Execute TPM Command». Если модуль отсутствует, единственным способом задействовать BitLocker для тома с Виндовс будет разрешение использование шифрования без TRM в политиках системы.

Откройте командой gpedit.msc редактор локальных групповых политик и перейдите по указанной на скриншоте цепочке параметров. В правой колонке отыщите политику, название которой видите на приложенном изображении.

Обращаем внимание, что рядом с этой политикой находится другая с похожим названием, вам нужна та, в названии которой нет упоминания Windows Server .

Откройте свойства указанной политики, активируйте радиокнопку «Включено» и убедитесь, что во фрейме «Параметры» чекбокс «Разрешить использование BitLocker» установлен флажок.

После этого функция BitLocker станет доступной для системного диска.

В процессе установки Windows в корне системного раздела создается несколько папок. Это видимые «Program Files», .

Можно по-разному относиться к клонам известных программ, если и чего не стоит делать, это ставить .

При проведении тестов скорости записи данных на диски, проверке фильтров с применением квот на размер .

Переустанавливая Windows, пользователи обычно выбирают тот же раздел, в который была ранее установлена операционная система. .

Меры защиты для BitLocker

Область применения

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Windows для защиты ключей шифрования BitLocker от атак используются такие технологии, как Доверенный модуль платформы (TPM), Secure Boot и Measured Boot. BitLocker является частью стратегического подхода к защите данных от автономных атак с помощью технологии шифрования. Данные на потерянном или украденном компьютере уязвимы. Например, может быть несанкционированный доступ, либо при запуске средства атаки программного обеспечения против него, либо путем переноса жесткого диска компьютера на другой компьютер.

Читайте также:
Captura — бесплатная программа для записи видео с экрана

BitLocker помогает уменьшить несанкционированный доступ к данным на потерянных или украденных компьютерах до начала авторизованной операционной системы с помощью:

  • Шифрование томов на компьютере. Например, можно включить BitLocker для объема операционной системы или громкость на фиксированном или съемном диске данных (например, usb-накопитель, SD-карту и так далее). Включение BitLocker для объема операционной системы шифрует все системные файлы в томе, включая файлы для перегнойки и спячку. Единственным исключением является раздел System, который включает Windows Boot Manager и минимальный залог загрузки, необходимый для расшифровки объема операционной системы после расшифровки ключа.
  • Обеспечение целостности компонентов загрузки на ранних стадиях и данных конфигурации загрузки. На устройствах с TPM-версией 1.2 и выше BitLocker использует расширенные возможности безопасности TPM, чтобы сделать данные доступными только в том случае, если код и конфигурация микропрограммы BIOS компьютера, оригинальная последовательность загрузки, компоненты загрузки и конфигурация BCD отображаются без изменений, а зашифрованный диск находится на исходном компьютере. В системах, которые используют TPM PCR[7], изменения параметров BCD, которые считаются безопасными, разрешены для улучшения использования.

В следующих разделах подробно Windows защиты от различных атак на ключи шифрования BitLocker в Windows 11, Windows 10, Windows 8.1 и Windows 8.

Дополнительные сведения о том, как включить лучшую общую конфигурацию безопасности для устройств, начиная с Windows 10 версии 1803 или Windows 11, см. в ссылке Стандарты для устройства с высокой безопасностьюWindows.

Защита перед запуском

Перед Windows необходимо полагаться на функции безопасности, реализованные в составе оборудования и прошивки устройства, в том числе TPM и Secure Boot. К счастью, многие современные компьютеры имеют TPM и безопасную загрузку.

Доверенный платформенный модуль

Доверенный модуль платформы (TPM) — это микрочип, предназначенный для предоставления базовых функций, связанных с безопасностью, в первую очередь с ключами шифрования. На некоторых платформах TPM можно также реализовать как часть безопасного прошивки. BitLocker связывает ключи шифрования с TPM, чтобы убедиться, что компьютер не был подделан во время отключения системы. Дополнительные сведения о TPM см. в модуле Trusted Platform Module.

UEFI и безопасная загрузка

Объединенный extensible Интерфейс прошивки (UEFI) — это программируемые среды загрузки, которая инициализирует устройства и запускает загрузщик операционной системы.

Спецификация UEFI определяет процесс проверки подлинности выполнения прошивки под названием Secure Boot. Secure Boot блокирует ненарушаемую прошивку и загрузчики (подписанные или неподписаные) от возможности запуска в системе.

По умолчанию BitLocker обеспечивает защиту целостности для безопасной загрузки с помощью измерения PCR TPM[7]. Несанкционированное прошивка EFI, приложение загрузки EFI или загрузщик не могут запустить и приобрести ключ BitLocker.

BitLocker и сброс атак

Чтобы защититься от вредоносных атак сброса, BitLocker использует решение TCG Reset Attack Mitigation, также известное как mor bit (Запрос перезаписи памяти), перед извлечением ключей в память.

Читайте также:
Как включить подсказки слов и исправление ошибок в Windows 10 при вводе с клавиатуры

Это не защищает от физических атак, когда злоумышленник открывает дело и атакует оборудование.

Политики безопасности

В следующих разделах охватываются политики проверки подлинности перед загрузкой и DMA, которые могут обеспечить дополнительную защиту для BitLocker.

Проверка подлинности перед загрузкой

Проверка подлинности перед загрузкой с помощью BitLocker — это параметр политики, который требует использования либо пользовательского ввода, например ПИН-кода, ключа запуска, либо для проверки подлинности до обеспечения доступности содержимого системного диска. Параметр Групповой политики требует дополнительной проверки подлинности при запуске, а соответствующий параметр в CSP BitLocker — SystemDrivesRequireStartupAuthentication.

BitLocker имеет доступ к ключам шифрования в памяти и сохраняет их только после завершения проверки подлинности перед загрузкой. Если Windows не может получить доступ к ключам шифрования, устройство не может читать или изменять файлы на системных дисках. Единственным вариантом обхода проверки подлинности перед загрузкой является ввод ключа восстановления.

Проверка подлинности перед загрузкой предназначена для предотвращения загрузки ключей шифрования в системную память без использования доверенным пользователем другого фактора проверки подлинности, например ПИН-кода или ключа запуска. Это помогает уменьшить атаки DMA и remanence памяти.

На компьютерах с совместимым TPM диски операционной системы, защищенные bitLocker, можно разблокировать четырьмя способами:

  • Только для TPM. Проверка только на TPM не требует взаимодействия с пользователем для разблокировки и предоставления доступа к диску. Если проверка TPM будет успешной, вход пользователя в интерфейс будет таким же, как и стандартный логотип. Если TPM отсутствует или изменен, или BitLocker обнаруживает изменения в коде BIOS или UEFI или конфигурации, критически важных файлах запуска операционной системы или конфигурации загрузки, BitLocker вступает в режим восстановления, и пользователю необходимо ввести пароль восстановления, чтобы восстановить доступ к данным. Этот параметр удобнее для входных, но менее безопасный, чем другие параметры, которые требуют дополнительного фактора проверки подлинности.
  • TPM с ключом запуска. Помимо защиты, которую обеспечивает только TPM, часть ключа шифрования хранится на флеш-накопителе USB, который называется ключом запуска. Данные в зашифрованном томе не могут быть доступны без ключа запуска.
  • TPM с ПИН-кодом. В дополнение к защите, которую обеспечивает TPM, BitLocker требует, чтобы пользователь ввел ПИН-код. Данные на зашифрованном томе не могут быть доступны без ввода ПИН-кода. TPMs также имеют защиту от ударов молотком, которая предназначена для предотвращения атак грубой силы, пытающихся определить ПИН-код.
  • TPM с ключом запуска и ПИН-кодом. Помимо защиты основных компонентов, которую обеспечивает только TPM, часть ключа шифрования хранится на флеш-накопителе USB, а пин-код необходим для проверки подлинности пользователя на TPM. Эта конфигурация обеспечивает многофакторную проверку подлинности, чтобы в случае потери или кражи USB-ключа его нельзя использовать для доступа к диску, так как также необходим правильный ПИН-код.

В следующем примере групповой политики для разблокировки диска операционной системы требуется TPM + PIN-код:

Предварительная проверка подлинности с помощью ПИН-кода может смягчить вектор атаки для устройств, которые используют загружаемый eDrive, так как выставленный автобус eDrive может позволить злоумышленнику захватить ключ шифрования BitLocker во время запуска. Проверка подлинности перед загрузкой с помощью ПИН-кода также может смягчать атаки порта DMA в период времени между моментом, когда BitLocker открывает диск и Windows сапоги до того момента, когда Windows может установить все настроенные политики, связанные с портом.

Читайте также:
Как восстановить данные с внешнего жесткого диска

С другой стороны, запросы проверки подлинности перед загрузкой могут быть неудобны для пользователей. Кроме того, пользователям, которые забывают ПИН-код или теряют ключ запуска, отказано в доступе к данным до тех пор, пока они не смогут связаться с командой поддержки организации для получения ключа восстановления. Проверка подлинности перед загрузкой также может затруднить обновление без присмотра настольных компьютеров и удаленно управляемых серверов, так как ПИН-код необходимо вводить, когда компьютер перезагружается или возобновляется из спячки.

Чтобы решить эти проблемы, можно развернуть разблокировку сети BitLocker. Разблокировка сети позволяет системам в физическом периметре безопасности предприятия, которые соответствуют требованиям к оборудованию, и bitLocker включен с TPM+PIN для загрузки в Windows без вмешательства пользователя. Для этого требуется прямое подключение ethernet к корпоративному Windows службы развертывания (WDS).

Защита порта Thunderbolt и других портов DMA

Существует несколько различных способов защиты портов DMA, например Thunderbolt™3. Начиная с Windows 10 версии 1803 или Windows 11, новые устройства на основе Intel имеют защиту ядра от DMA-атак с помощью портов Thunderbolt™ 3, включенных по умолчанию. Эта защита DMA ядра доступна только для новых систем, начиная с Windows 10 версии 1803 или Windows 11, так как она требует изменений в прошивке системы и/или BIOS.

Вы можете использовать Сведения о системе настольное приложение (MSINFO32), чтобы проверить, включена ли защита DMA ядра на устройстве:

Если защита DMA ядра не включена, выполните следующие действия для защиты портов thunderbolt™ 3 включен:

Требуется пароль для изменений BIOS

Безопасность Intel Thunderbolt должна быть настроена на авторизацию пользователя в параметрах BIOS. Обратитесь к документации Intel Thunderbolt™ 3 и Security в документации microsoft Windows® 10 операционной системы

Дополнительную безопасность DMA можно добавить путем развертывания политики (начиная с Windows 10 версии 1607 или Windows 11):

  • MDM: политика DataProtection/AllowDirectMemoryAccess
  • Политика группы. При блокировке этого компьютера отключать новые DMA-устройства (этот параметр не настроен по умолчанию).)

Для thunderbolt v1 и v2 (соединителя DisplayPort) обратитесь к разделу “Смягчение грозы” в KB 2516445. Для SBP-2 и 1394 (a.k.a. Firewire), обратитесь к разделу “Смягчение последствий SBP-2” в KB 2516445.

Контрмеры атаки

В этом разделе охватываются меры противодействия определенным типам атак.

Bootkits и rootkits

Физически присутствующий злоумышленник может попытаться установить загрузочный набор или часть программного обеспечения, похожего на руткит, в цепочку загрузки, чтобы украсть ключи BitLocker. TPM должен наблюдать за этой установкой с помощью измерений PCR, и клавиша BitLocker не будет выпущена. Это конфигурация по умолчанию.

Пароль BIOS рекомендуется для глубокой защиты в случае, если BIOS предоставляет параметры, которые могут ослабить обещание безопасности BitLocker. Intel Boot Guard и amD Hardware Verified Boot поддерживают более сильные реализации Secure Boot, которые обеспечивают дополнительную устойчивость к вредоносным программам и физическим атакам. Intel Boot Guard и amD Hardware Verified Boot являются частью стандартов проверки загрузки платформы для высокобезопасного Windows устройства.

Читайте также:
Как очистить диск C от ненужных файлов

Атаки грубой силы на ПИН-код

Требуется TPM + PIN-код для защиты от забитого молотка.

DMA-атаки

Paging file, crash dump, and Hyberfil.sys attacks

Эти файлы защищены на зашифрованном томе по умолчанию, когда BitLocker включен на дисках ОС. Кроме того, блокируется автоматическая или ручная попытка перемещения файла для перемещения.

Remanence памяти

Включить безопасную загрузку и потребовать пароль для изменения параметров BIOS. Для клиентов, требующих защиты от этих расширенных атак, настройте протектора TPM+PIN, отключите управление питанием в режиме ожидания и отключите или заключите устройство до того, как оно выйдет из-под контроля авторизованного пользователя.

Контрмеры злоумышленников

В следующих разделах освещается смягчение последствий для различных типов злоумышленников.

Злоумышленник без особого мастерства или ограниченного физического доступа

Физический доступ может быть ограничен форм-фактором, который не предоставляет автобусы и память. Например, для открытия шасси нет внешних портов, способных к ДМА, нет открытых винтов, а память передается в основную доску. Этот злоумышленник возможности не использует разрушительные методы или сложные судебно-медицинской экспертизы оборудования / программного обеспечения.

  • Проверка подлинности перед загрузкой установлена только для TPM (по умолчанию)

Злоумышленник с навыками и длительным физическим доступом

Целенаправленная атака с большим количеством времени; этот злоумышленник откроет дело, будет припайка и будет использовать сложное оборудование или программное обеспечение.

Проверка подлинности перед загрузкой для TPM с помощью пин-кода (с помощью сложного альфа-пин-кода [расширенного пин-кода], чтобы помочь смягчению последствий для TPM.

Отключение управления питанием в режиме ожидания и отключение или спящий режим устройства до того, как оно выйдет из-под контроля авторизованного пользователя. Это можно установить с помощью групповой политики:

  • Конфигурация компьютера| Политики| Административные шаблоны| Windows компоненты| Обозреватель файлов| Показать спящий режим в меню параметры питания
  • Конфигурация компьютера| Политики| Административные шаблоны| System| Управление питанием| Сон Параметры| Разрешить состояния ожидания (S1-S3) во время сна (подключен)
  • Конфигурация компьютера| Политики| Административные шаблоны| System| Управление питанием| Сон Параметры| Разрешить режимы ожидания (S1-S3) во время сна (от батареи)

Эти параметры не настроены по умолчанию.

Для некоторых систем обход только TPM может потребовать открытия дела и может потребовать припаса, но, возможно, может быть сделано за разумные затраты. Обход TPM с пин-кодом будет стоить гораздо дороже, и для этого потребуется грубое принуждение ПИН-кода. С помощью сложного расширенного ПИН-кода это может быть практически невозможно. Параметр групповой политики для расширенного ПИН-кода:

Конфигурация компьютера| Административные шаблоны| Windows компоненты| Шифрование диска BitLocker| Диски операционной системы| Разрешить расширенные ПИН-ники для запуска

Этот параметр не настроен по умолчанию.

Для безопасных административных рабочих станций Корпорация Майкрософт рекомендует TPM с pin-защитником и отключить управление питанием в режиме ожидания, а также отключить или отключить устройство.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: