BitLocker Drive Encryption | это... Что такое BitLocker Drive Encryption? (original) (raw)
BitLocker Компонент Microsoft Windows | |
---|---|
BitLocker Drive Encryption | |
Детали | |
Тип | Защита данных |
Поставляется с | Microsoft Windows Vista, Microsoft Windows Server 2008, Windows 7 |
BitLocker Drive Encryption — проприетарная технология, являющаяся частью операционных систем Microsoft Windows Vista Ultimate, Windows Vista Enterprise, Windows 7 Ultimate, Windows 7 Enterprise и Windows Server 2008. BitLocker позволяет защищать данные путём полного шифрования диска(ов) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:
Сам ключ может храниться в TPM или в USB-устройстве. В случае с TPM при загрузке компьютера ключ может быть получен из него сразу, либо только после аутентификации с помощью USB-ключа или ввода PIN-кода пользователем. Таким образом, возможны следующие комбинации для доступа:
- TPM
- TPM + PIN
- TPM + PIN + USB-ключ
- TPM + USB-ключ
- USB-ключ (данный режим требует активации через груповые политики)
Принципы работы
BitLocker шифрует том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у потребуется два NTFS-тома, один для ОС и один для загрузочной части. Последний должен быть не менее 1.5 Гб, и не будет зашифрован. Начиная с Windows Vista SP1 появилась возможность шифровать несистемные тома. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск, загрузочный раздел создаётся автоматически. После создания разделов необходимо инициализировать TPM-модуль и активировать BitLocker.
Уязвимости
Существует три механизма проверки подлинности, которые можно использовать для реализации Bitlocker шифрования:
- Прозрачный режим работы: Этот режим использует возможности аппаратного обеспечения Trusted Platform Module (TPM) для предоставления прозрачной работы пользователей. Пользователи включают и входят на компьютер с операционной системой Windows, как обычно. Ключ, используемый для шифрования диска закодирован в чип TPM и он может быть выдан только в коде загрузчика ОС (если загрузочные файлы, показываются как не измененные). Этот режим уязвим для нападения при холодной загрузке, так как позволяет выключить компьютер и загрузиться злоумышленнику.
- Режим проверки подлинности пользователя: Этот режим предполагает, что пользователь прошел некоторую аутентификацию в пред-загрузочной среде в виде предварительного ввода PIN-кода. Этот режим уязвим при использовании буткит-атак.
- Режим USB-ключа : Пользователь должен вставить устройство USB в компьютер, которое содержит ключ запуска, чтобы иметь возможность загрузки в защищенную операционную систему. Обратите внимание, что для этого режима необходимо, чтобы BIOS на компьютере поддерживал чтение устройств USB в загрузочной среде. Этот режим также уязвим к буткит-нападениям.
См. также
Ссылки
- Администрирование Windows: Внутреннее устройство ядра Windows Vista: часть 3
- Windows BitLocker Drive Encryption Frequently Asked Questions
- BitLocker Drive Encryption Technical Overview
- Загрузка Bitlocker Drive Preparation Tool
- Доклад о Bitlocker
- Обзор возможностей BitlockerToGo и других технологиях обеспечения безопасности в Windows 7.
Компоненты Microsoft Windows | |
---|---|
Основные | Aero • ClearType • Диспетчер рабочего стола • DirectX • Проводник (Explorer) • Панель задач («Пуск» • Область уведомлений) • Оболочка (Пространство имён • Специальные папки • Ассоциации файлов) • Windows Search (Saved search • iFilters) • GDI • WIM • Блок сообщения сервера • .NET Framework • .XPS • Active Scripting (WSH • VBScript • JScript) • COM (OLE • Автоматизация OLE • DCOM • ActiveX • Структурированное хранилище • Сервер транзакций) • Теневая копия • WDDM • UAA • Архивация и восстановление • COMMAND.COM • cmd.exe • Средство переноса данных Windows • Просмотр событий • Установщик Windows • netsh • PowerShell • Отчёты о проблемах • rundll32.exe • Программа подготовки системы (Sysprep) • Настройка системы (MSConfig) • Проверка системных файлов • Восстановление системы • Дефрагментация диска • Диспетчер задач • Диспетчер устройств • Консоль управления • Очистка диска • Панель управления (элементы) |
Приложения | Актуальные: Факсы и сканирование • Internet Explorer • Экранная лупа • Media Center • Проигрыватель Windows Media • Программа совместной работы • Экранный диктор • Paint • Редактор личных символов • Удалённый помощник • Распознавание речи • WordPad • Блокнот • Боковая панель • Звукозапись • Календарь • Калькулятор • Ножницы • Почта • Таблица символов Исторические: Movie Maker • NetMeeting • Outlook Express • Диспетчер программ • Диспетчер файлов • Фотоальбом |
Игры | Chess Titans • Mahjong Titans • Purble Place • Пасьянс «Косынка» • Пасьянс «Паук» • Сапёр • Пасьянс «Солитёр» • «Пинбол» • «Червы» |
Ядро ОС | Ntoskrnl.exe • Слой аппаратных абстракций (hal.dll) • Бездействие системы • Svchost.exe • Реестр • Службы Windows • Диспетчер управления сервисами • DLL (формат модулей) • Формат исполняемых файлов • NTLDR • Консоль восстановления • Защита ядра от изменений |
Службы | Autorun.inf • Фоновая интеллектуальная служба передачи • Файловая система стандартного журналирования • Планировщик классов мультимедиа • Теневая копия • Планировщик задач • Беспроводная настройка |
Файловые системы | Protogon • NTFS (Жёсткая ссылка • Точка соединения • Точка монтирования • Точка повторной обработки • Символьная ссылка • TxF • EFS) • WinFS • FAT • exFAT • CDFS • UDF • DFS • IFS |
Сервер | Active Directory (Активные директории)• Служба репликации файлов • DNS • Домены • Перенаправление папок • Hyper-V • IIS • MSMQ • Защита доступа к сети (NAP) • Удалённое разностное сжатие • Службы удаленной установки • Служба управления правами • Перемещаемые профили пользователей • SharePoint • Диспетчер системных ресурсов • Удаленный рабочий стол • WSUS • Групповая политика • Координатор распределённых транзакций |
Архитектура | Обзор • Диспетчер объектов • Пакеты запроса ввода/вывода • Диспетчер транзакций ядра • Диспетчер логических дисков • Диспетчер учетных записей безопасности • Защита ресурсов Windows • lsass.exe • csrss.exe • smss.exe • Запуск |
Безопасность | Предотвращение выполнения данных • Обязательный контроль целостности • Защищенный канал данных • UAC • UIPI • Брандмауэр • Центр обеспечения безопасности • Защита файлов Windows |
Совместимость | Подсистема UNIX (Interix) • WOW64 |