Как запаролить папку на внешнем жестком диске

Жесткие диски

Как запаролить папку на внешнем жестком диске

Пароль – универсальное средство для защиты информации, которое представляет собой ключ, который может состоять из любого количества букв, цифр и символов. Если пользователь будет неправильно указывать пароль, то, соответственно, доступ к данным, хранящимся на внешнем жестком диске получен быть не может.

Как установить пароль на внешний жесткий диск?

Прежде на нашем сайте уже доводилось освещать вопрос предназначения и правильного выбора жесткого диска. Более того, был рассмотрен вопрос и правильного подключения его к компьютеру. Ниже же пойдет речь о том, каким образом производится наложение пароля для данного устройства.

Установка пароля встроенными средствами Windows

Установка пароля в данном случае применяется успешно как для обычных USB-накопителей, так и внешних жестких дисков, которые отличаются большими объемами дискового пространства. Главное же достоинство данного способа заключается в том, что от вас не потребуется загрузка и установка сторонних программ.

Подключите внешний жесткий диск к компьютеру, а затем откройте проводник Windows. Конкретно нас интересует раздел «Этот компьютер», в котором отображаются все подключенные диски к компьютеру. Щелкните по внешнему жесткому диску правой кнопкой мыши и в отобразившемся контекстном меню пройдите к пункту «Включить BitLocker».

На экране начнется запуск утилиты. Спустя мгновение на экране отобразится окно, в котором вам потребуется отметить галочкой пункт «Использовать пароль для снятия блокировки с диска», а строками ниже дважды указать новый пароль. Щелкните по кнопке «Далее».

Следом вам будет предложено выбрать вариант сохранения специального восстанавливающего ключа. На выбор вам доступны три варианта: сохранить в вашу учетную запись Microsoft, сохранить в файл на компьютер или же немедленно распечатать ключ на принтере. На наш взгляд, наиболее предпочтителен второй вариант, поскольку данный файл вы можете выгрузить, например, в облако, и в любой момент, если пароль от внешнего жесткого диска будет забыт, открыть его.

Следующим пунктом настройки вам предлагается настроить шифрование данных. Вы можете как отметить шифрование лишь занятого места на диске, так и шифрование всего диска.

Обращаем ваше внимание на то, что если вы выбрали шифрование всего диска, нужно быть готовым к тому, что процесс шифрования может затянуться на долгие часы. Поэтому, если вы не располагаете наличием большого количества времени, а также открыть жесткий диск предполагается на современных компьютерах, рекомендуем выбрать первый вариант шифрования.

Заключительным этапом настройки вам следует выбрать режим шифрования из двух доступных: новый режим шифрования и режим совместимости. Учитывая, что мы работаем с внешним жестким диском, отметьте параметр «Режим совместимости», а затем переходите далее.

Собственно, на этом процесс настройки BitLocker завершен. Чтобы запустить процесс наложения пароля, вам лишь остается щелкнуть по кнопке «Начать шифрование» и дождаться окончания процесса.

Если после окончания шифрования открыть проводник Windows в разделе «Этот компьютер», то наш внешний жесткий диск будет значиться с иконкой с замочком. Открытая иконка с замочком говорит о том, что доступ к данным получен, а закрытая, как это показано на скриншоте ниже, говорит о том, что требуется ввод пароля.

Открыв дважды диск, на экране отобразится миниатюрное окошко, в котором пользователю будет предложено указать пароль от подключенного внешнего жесткого диска.

Установка пароля с помощью архивирования

Многие пользователи не доверяют процессу шифрования данных, поскольку таким образом вы не можете получить доступ к диску в целом. Поэтому данным способом мы пойдем несколько другим образом – поместим информацию, сохраненную на внешний жесткий диск в архив без сжатия, т.е. внешний жесткий диск, при необходимости, может быть использован и без пароля, а вот для доступа к сохраненной в нем информации потребуется ввод ключа безопасности.

Для установки пароля с помощью архивирования информации вам потребуется практически любая программа архиватор. В нашем же случае будет использоваться популярный инструмент WinRAR, скачать который вы можете по ссылке, приведенной в конце статьи.

Как только программа-архиватор буде установлена на вашем компьютере, откройте содержимое внешнего жесткого диска, выделите его простым сочетанием клавиш Ctrl+A или выделите определенные папки и файлы в том случае, если вам необходимо спрятать под паролем не всю информацию на внешнем жестком диске. После этого щелкните по выделению правой кнопкой мыши и в отобразившемся контекстном меню выберите пункт «Добавить в архив».

На экране отобразится окно, в котором вам потребуется в блоке «Метод сжатия» выбрать параметр «Без сжатия», а затем щелкнуть по кнопке «Установить пароль».

В отобразившемся окне вам потребуется дважды указать пароль любой длительности. Ниже, при необходимости, вы можете активировать шифрование данных, содержащихся в архиве (без активации данного пункта названия папок и файлов будут видны, но доступ к ним будет ограничен).

Когда создание архива будет завершено, в корневой папке жесткого диска, помимо файлов, будет содержаться и созданный вам архив. Теперь файлы на диске, кроме архива, можно удалять.

При попытке открыть архив на экране отобразится окно с требованием ввести пароль. Пока пароль от архива не будет получен, доступ к информации будет ограничен.

Что в итоге

Самый эффективный способ хранения конфиденциальной информации – использование стандартного средства BitLocker. Это замечательная утилита, которой, пожалуй, не найти аналогов, превосходящих по качеству. Второй способ, подразумевающий использование архиватора, можно считать наиболее предпочтительным, поскольку он не ограничивает доступ ко внешнему жесткому диску, а лишь к той информации, которую вы пожелаете запаролить.

Безусловно, если еще масса программ-шифровальщиков информации, но мы не стали акцентировать на них внимание, поскольку два способа, описанные в статье – наиболее оптимальные для большинства пользователей.

Hide Folder Ext эта уникальная программа,которая позволяет спрятать папки на внешних или на съемных дисках и защитить их паролем. Это важно для защиты данных на внешних дисках, если вы используете их, чтобы перемещать на них важные данные. Hide Folder Ext помогает вам предотвратить раскрытие данных в случае потери или кражи устройства.

Этот метод удобно использовать, так как нет никаких дополнительных усилий,чтобы скрывать информацию. Достаточно одного клика, чтобы сделать папку или файл невидимыми. Пользовательский интерфейс программы Hide Folder Ext очень легкий в использовании и реализован в виде ‘Мастера’,который шаг за шагом проводит пользователя от выбора дисков до последнего экрана таким образом,что нельзя сделать ничего плохого.В программе Hide Folder Ext реализована опция для копирования программы на другой диск.Так что если вам нужно получить доступ к вашей скрытой папке,Вы можете запускать программу на любом компьютере.

Подскажите, как запаролить папку, в которой у меня находятся мои документы. Папка находится на флешке, а ее приходится носить с собой и подключать к разным ПК и ноутбукам. Не хотелось бы, чтобы кто-то их увидел или скопировал к себе.

Маленькое добавление: пароль нужно поставить именно на папку, а не на саму флешку. Т.е. чтобы посмотреть конкретную папку – ввести пароль, а всё остальное свободно и открыто для просмотра. Заранее благодарю!

Задача вполне выполнимая, ниже я приведу несколько вариантов, как поставить пароль на свои файлы (а исходя из плюсов/минусов каждого способа – сможете выбрать оптимальный вариант для себя).

Один момент!

Некоторые пользователи (особенно начинающие) ставят пароли на всё: фильмы, музыку, игры и пр. Как правило, все эти медиа-файлы, которые вы загрузили просто из сети – мало кому интересны (кроме вас), и вряд ли имеет смысл их защищать (если только не хотите, чтобы кто-то узнал о том, что вы интересуетесь ими) .

В тоже время приходится наблюдать, как попустительски относятся к паролям, личным персональным данным, к сканам паспортов, ИНН и пр. В первую очередь, защищать требуется именно эти документы!

Кстати, также рекомендую защитить свой телефон. По следующей ссылке, Вы узнаете, как поставить пароль (графический ключ) на телефон Android – https://ocomp.info/blokirovka-ekrana-na-android.html

Ставим пароль

На файл (документ, блокнот)

Самый простой, быстрый и эффективный способ поставить пароль на свои папки и файлы – это отправить их в запароленный (и зашифрованный) архив. Когда вам необходимо будет получить доступ к файлам и папкам внутри архива – необходимо ввести пароль для доступа, и спокойно ими пользоваться.

Из плюсов : защитить таким образом можно любые файлы: документы Word/Excel, картинки, текстовые файлы (блокноты), сканы, и т.д. Также архиваторы есть на любом ПК/ноутбуке, а значит и файлы вы можете открыть на любом компьютере!

Есть, правда, минусы : если забудете пароль – то открыть такой архив очень сложно (в некоторых случаях невозможно); не удобно работать с большими файлами (например, с папкой видео).

Ниже рассмотрю, как создать такой зашифрованный архив в популярных архиваторах 7-Zip и WinRAR.

7-Zip

Очень популярный архиватор, позволяющий сжимать файлы сильнее своих конкурентов: WinRAR, WinZIP и пр. Архиватор бесплатен, удобен и выполнен в стиле минимализм (нет ничего лишнего). В общем-то, по праву занимает лидирующие позиции.

После его установки, в проводнике у вас появиться одноименное меню: 7-Zip. Теперь, чтобы создать архив, вам достаточно щелкнуть правой кнопкой мышки по нужному файлу или папке и выбрать в появившемся меню «Добавить к архиву. « (см. скриншот ниже).

Добавить к архиву // 7-Zip

Далее есть ряд важных параметров, которые необходимо правильно задать. Я их пометил цифрами на скриншоте ниже и сейчас поясню поподробнее:

  1. (1) – необходимо задать имя вашего архива и место, где он будет сохранен. В общем-то, имя архива может быть любым, и его в последствии можно переименовать, как и обычный файл;
  2. (2) – формат архива . Лучшее сжатие обеспечивает формат 7-Zip, именно его и рекомендую выбрать;
  3. (3) – SFX-архив – самораспаковывающийся архив . То есть, если вы поставите галочку напротив этого пункта, будет создан EXE-файл (как обычная программа), запустив который, можно будет извлечь файлы без применения архиватора (удобная штука для того, чтобы извлекать файлы можно было на любом компьютере, даже на тех, где нет вообще архиваторов);
  4. (4) введение пароля – пароль может быть любым, здесь архиватор не устанавливает никаких ограничений. Однако помните, что пароль вида «12345», «Бог», «Любовь» и пр., связанные с вашем именем и датой рождения – взламываются очень легко! Установите, что-нибудь более надежное (рекомендуется 6-10 символов, с заглавными и строчными буквами, цифрами и спец. знаками);
  5. (5) выбор метода шифрования – рекомендую оставить по умолчанию AES-256, и дополнительно поставить галочку «Шифровать имена файлов». Благодаря этому, ваши файлы в архиве не только нельзя открыть, но даже и увидеть, что за имена файлов скрыты в архиве!
  6. (6) – начать архивирование.

Создание архива // 7-Zip

После того, как архив будет создан – можете попробовать его открыть. На это действие, любой архиватор (даже и не 7-Zip) – обязательно вас попросит ввести для расшифрования пароль. Если вы не знаете его или забыли – то ваши файлы останутся недоступны!

Попытка открыть запароленный архив

WinRAR

Один из самых знаменитых архиваторов, обеспечивающий хорошую степень сжатия. Позволяет открывать и извлекать файлы из всех самых популярных форматов архивов: ZIP, RAR, ACE, TAR, GZIP и пр.

Для создания архива в WinRAR – достаточно щелкнуть правой кнопкой мышки по какому-нибудь файлу/папке, и в появившемся меню проводника выбрать «WinRAR/Add to Archive» (прим.: добавить к архиву).

WinRAR – Add Archive. (Создание архива)

  1. (1) – задать имя для архива (Archive name), может быть любым;
  2. (2) – выбрать формат архива (рекомендуется RAR);
  3. (3) – выбрать опцию «Set Password» (установка пароля) для шифрования архива.

Основные настройки при создании архива в WinRAR

Затем указать сам пароль (строка «Enter password» , т.е. ввод пароля) и очень желательно поставить галочку в строке «Encrypt file names» (т.е. шифровать имена файлов).

Ввод пароля – WinRAR

После этого можно начать архивирование. В общем-то, запароленный архив готов – можно пользоваться.

Защита паролем документов Word/Excel и пр.

Документы, создаваемые в Microsoft Office, могут быть зашифрованы штатными средствами, без дополнительных программ. Очень удобно, когда с шифруемым документом вам часто нужно работать. Кстати, в такой документ можно поместить и картинки.

Для установки пароля: откройте меню ФАЙЛ/СВЕДЕНИЯ . Затем щелкните по функции «Защита документа» и выберите желаемое: зашифровать с использованием пароля (кстати, помимо этого, документ можно, например, запретить для редактирования, ограничить доступ и пр.) .

Файл/сведения // Microsoft Word

Учтите, что введенный пароль (если вы его забудете или потеряете) – восстановить почти нереально! Об этом, кстати, предупреждается сам офис, при его задании.

После того, как документ будет защищен, войдя в раздел «СВЕДЕНИЯ» , вы увидите, что появился значок ключа с замком, и написано примечание, что для открытия файла потребуется пароль. Собственно, всё, документ защищен!

Документ защищен паролем // Microsoft Word

На папку/каталог

Не всегда удобно ставить пароль на конкретный файл. Например, есть у вас каталог с картинками, личными фото, с которыми вы часто работаете (редактируете старые, загружаете новые и пр.), и которые не хотелось бы чтобы кто-о увидел без вашего разрешения. В этом случае – создавать архив каждый раз не удобно, и приходится прибегать к другим инструментам. О них ниже.


Protected Folder

Protected Folder – скриншот главного окна

Очень удобная утилита для защиты и скрытия от посторонних своих файлов и папок. Чтобы защитить папку паролем – достаточно просто перенести её в окно (в «сейф») – и всё, что находится в ней, будет надежно защищено вашим паролем.

  1. позволяет защищать личную и важную информацию от кражи программами;
  2. присутствует несколько уровней защиты;
  3. очень удобно пользоваться: простое перетаскивание папки – и она защищена!
  4. полностью на русском языке;
  5. совместима с Windows 7/8/8.1/10 (32/64 bits).

Anvide Seal Folder

Очень простая и в тоже время надежная программа для защиты шифрования и защиты паролем любых папок: будь то они на жестком диске, флешке или любых других съемных носителей. Каждая папка, кстати, может быть защищена своим отдельным паролем. Программа полностью переведена на русский язык, поддерживается всеми популярными версиями Windows.

  1. ненужно держать ее постоянно запущенной;
  2. не устанавливает никаких спец. драйверов в систему;
  3. простой, понятный интерфейс – разберется даже совсем начинающий пользователь ПК;
  4. имеются горячие клавиши;
  5. программа компактна и не займет много места на диске;
  6. бесплатная для домашнего использования.

Покажу на примере, как можно легко зашифровать и закрыть свою папку от посторонних глаз. Устанавливаете и запускаете программу. Затем добавляете папку (можно использовать клавишу Ins).

Далее нажмите по значку с замком (или клавишу F5) – программа предложит ввести пароль и заблокирует папку.

Закрываем доступ к папке

Теперь, даже если вы закроете или удалите программу – ваша папка останется недоступна (попытка зайти в нее (если вы помните ее название и адрес) – закончиться ошибкой, как на скрине ниже).

Кстати, папка не видна, даже если загрузиться в безопасном режиме. В общем-то, скрыта надежно!

Чтобы расшифровать папку и файлы в ней – необходимо вновь запустить утилиту, нажать на значок с открытым замком и ввести пароль.

На флешку

Способ №1

Самый простой способ поставить пароль на всю флешку (или диск) – это использовать возможность, которая уже есть в Windows – BitLocker. Позволяет надежно и быстро защитить информацию на флешке

Примечание! Шифрование BitLocker есть не во всех версиях Windows. Если у вас Windows 7 Ultimate или Enterprise, Windows 8/8.1/10 – скорее всего у вас оно должно быть.

Чтобы защитить таким образом флешку – подключите ее к USB-порту, откройте «Мой компьютер» (или «Этот компьютер») и щелкните по ней правой кнопкой мышки, в появившемся меню выберите «Включить BitLocker» . Далее следуйте указаниям мастера для установки пароля.

Когда пароль будет установлен, попробуйте вынуть флешку из USB-порта, а затем вновь ее подключить – Вы увидите, что доступ к ней закрыт (и ее значок стал с закрытым замком). Пока не введите пароль для разблокировки, информация на носителе надежно защищена!

Способ №2

USB Safeguard

Очень простая и удобная утилита для защиты флешек (работает во всех версиях Windows). Все что вам нужно, чтобы поставить защиту на флешку – это скачать утилиту и скопировать ее на USB-носитель (см. скрин ниже).

Действие №1 – скопировали на флешку файл программы

Далее она предложит отформатировать носитель (Важно! Скопируйте предварительно всё, что есть на флешке, в отдельную папку на жестком диске) – соглашаемся.

После чего сможете установить пароль.

Действие №2 – запустили утилиту с флешки, отформатировали ее и ввели пароль

ВСЁ! Теперь при подключении флешки – она будет казаться пустой (в ней будет виден только файл программы USB Safeguard).

Чтобы увидеть файлы на ней, вам будет нужно запустить этот файл и ввести правильно пароль. Если вы это сделаете – то появиться диск Z, равный по объему вашей флешки – именно с ним и нужно работать (и именно на нем и будут находиться все ваши добавленные для шифрования файлы) .

В общем-то, все просто, удобно и легко работает!

Аналог подобной утилиты: Rohos Mini Drive.

ДОПОЛНЕНИЕ

Также можно создать виртуальный зашифрованный диск (что-то типа образа) для подключения и просмотра которого, нужно ввести правильно пароль. Подобная технология делает ваши файлы максимально защищенными от посторонних. К тому же на таком диске можно хранить абсолютно любые типы файлов.

Примеры программ: TrueCrypt, CyberSafe, Rohos Disk и пр.

PS: не забывайте пароли! Иначе так обезопасите файлы, что даже сами не сможете их посмотреть.

Изучаем и вскрываем BitLocker. Как устроена защита дисков Windows и как ее взломать

Содержание статьи

  • Офлайновые атаки
  • От Vista до Windows 10
  • Как использовать BitLocker
  • Как устроен BitLocker
  • Лос-аламосский принцип
  • Потенциальные уязвимости
  • Ключ восстановления
  • Вскрываем BitLocker
  • BitLocker To Go
  • Выводы

Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

WARNING

Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Она адресована специалистам по безопасности и тем, кто хочет ими стать.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с загрузочной флешкой может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова — уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход — открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит повысить права или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя сделает админом и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске — это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, — это объемы продаж. Чем проще в софте разобраться домохозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озаботились своей безопасностью! Операционная система и так сложный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без него! Раньше ведь обходились!» — примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориентированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY — все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) — это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот — объединение нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация — BitLocker To Go (подробнее — во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через панель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Включение BitLocker

Включение BitLocker

Другие статьи в выпуске:

Xakep #216. Копаем BitLocker

  • Содержание выпуска
  • Подписка на «Хакер»

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Шифрование диска BitLocker —> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM. » и включить ее.

Настройка использования BitLocker без TPM

Настройка использования BitLocker без TPM

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

Дополнительные настройки BitLocker

Дополнительные настройки BitLocker

После применения новых политик возвращаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Настраиваем разблокировку компьютера при включении

Настраиваем разблокировку компьютера при включении

На следующем этапе нам предложат сохранить копию ключа на случай восстановления.
По умолчанию предлагается отправить ее на серверы Microsoft, записать в файл или даже напечатать.

Сохранение ключа восстановления

Сохранение ключа восстановления

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой способ считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезаписанные файлы какое-то время остаются доступными для прямого чтения.

Полное и частичное шифрование

Полное и частичное шифрование

После настройки всех параметров останется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

Запрос пароля перед запуском Windows

Запрос пароля перед запуском Windows

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нескольких часов.

Шифрование BitLocker

Шифрование BitLocker

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Интеграция BitLocker в контекстное меню

Интеграция BitLocker в контекстное меню

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

BitLocker в панели управления

BitLocker в панели управления

Как устроен BitLocker

О надежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, затрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий — 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится — ни длина вводимых паролей, ни субъективная скорость выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей. и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
  2. В свою очередь, FVEK шифруется при помощи другого ключа — VMK (volume master key) — и сохраняется в зашифрованном виде среди метаданных тома.
  3. Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
  4. На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопроцессоре — доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
  5. Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
  6. Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технологию шифрования с прежним названием под видом обновления. Туманные объяснения этого шага последовали уже после того, как упрощения в BitLocker заметили независимые исследователи.

Формально отказ от Elephant Diffuser потребовался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма — это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости при его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, которым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG — «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь переписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управления ключами.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспоминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «. я открыл три сейфа — и все три одной комбинацией. Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы — технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, — словом, все, о чем знали в Лос-Аламосе, всю кухню!».

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «. Это был полковник, и у него был гораздо более хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. Я осмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединен с маленьким замочком, который выглядел точно так же, как и замок моего шкафа в Лос-Аламосе. Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. . Изображая некую деятельность, я принялся наугад крутить лимб. Через две минуты — щелк! — сейф открылся. Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продемонстрировать Вам опасность».

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно — процесс посекторного шифрования может занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно — как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дисковой подсистемы. Точнее — отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), поврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользователи боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Аварийный вход в BitLocker

Аварийный вход в BitLocker

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождись, пока коллега уйдет на перерыв (как всегда, забыв заблокировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удобно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь сменить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Смена пароля без ввода действующего

Смена пароля без ввода действующего

Вскрываем BitLocker

Реальная криптографическая система — это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной работы с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.

В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь. или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента — тем более.

По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.

Получение депонированных ключей из учетной записи Microsoft или AD — основной способ вскрытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.

Почему они вообще там хранятся? Как это ни смешно — для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются перезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?

Все описанные выше методы взлома BitLocker собраны в одной программе — Forensic Disk Decryptor, разработанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей — атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.

Установка EFDD

Установка EFDD

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллега вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту получаем полный дамп в файле с расширением .mem и размером, соответствующим объему оперативки, установленной на компьютере жертвы.

Делаем дамп памяти

Делаем дамп памяти

Чем делать дамп — по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Запуск EFDD

Запуск EFDD

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

Указываем источник ключей

Указываем источник ключей

BitLocker — типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты — вдруг жертва тайком использует TrueCrypt или PGP!

EFDD нашла ключи

EFDD нашла ключи

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл — это пригодится в дальнейшем.

Сохраняем найденные ключи

Сохраняем найденные ключи

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку — например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».

Дешифровка BitLocker

Дешифровка BitLocker

После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому остается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Включаем шифрование на флешке

Включаем шифрование на флешке

Для новых накопителей можно использовать шифрование только занятой области — все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Процесс шифрования съемного накопителя

Процесс шифрования съемного накопителя

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время зависит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Запрос пароля BitLocker2Go

Запрос пароля BitLocker2Go

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстановления.

Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зашифрованной флешке есть два основных варианта:

Открываем флешку ключом восстановления

  • использовать встроенный мастер BitLocker для непосредственной работы с флешкой;
  • использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Открываем флешку ключом восстановления

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гораздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Расшифровываем флешку в EFDD и записываем посекторный образ

Расшифровываем флешку в EFDD и записываем посекторный образ

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или сначала конвертировать в другой формат (например, с помощью UltraISO).

Анализ образа расшифрованного диска

Анализ образа расшифрованного диска

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.

Выводы

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроенный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать все данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

https://hd01.ru/info/kak-zaparolit-papku-na-vneshnem-zhestkom-diske/
https://xakep.ru/2017/02/23/bitlocker-hacking/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Related Posts