Установка, настройка и использование битлокер. BitLocker: что такое и как его разблокировать? Шифрование данных windows 7

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker . Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7 . Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу .

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки — BitLocker To Go

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки Windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков . Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск , Яндекс Диск и подобные.

Запустите инструмент шифрования в Windows, введя в строке поиска «BitLocker» и выбрав пункт «Управление BitLocker». В следующем окне вы можете активировать шифрование, нажав на «Включить BitLocker» рядом с обозначением жесткого диска (если появится сообщение об ошибке, прочитайте раздел «Использование BitLocker без TPM»).

Теперь вы можете выбрать, хотите ли вы при деблокировании зашифрованного диска использовать USB-флеш-накопитель или пароль. Вне зависимости от выбранной опции, в процессе настройки вам нужно будет сохранить или распечатать ключ восстановления. Он вам понадобится, если вы забудете пароль или потеряете флешку.

Использование BitLocker без TPM

Настройка BitLocker.
BitLocker также функционирует без чипа TPM - правда, для этого нужно произвести некоторые настройки в редакторе локальной групповой политики.

Если на вашем компьютере не используется чип TPM (Trusted Platform Module), вам, возможно, необходимо будет произвести кое-какие настройки, чтобы активировать BitLocker. В строке поиска Windows наберите «Изменение групповой политики» и откройте раздел «Редактор локальной групповой политики». Теперь откройте в левой колонке редактора «Конфигурация компьютера | Административные шаблоны | Компоненты Windows | Шифрование диска BitLocker | Диски операционной системы», а в правой колонке отметьте запись «Обязательная дополнительная проверка подлинности при запуске».

Затем в средней колонке нажмите на ссылку «Изменить параметр политики». Поставьте кружочек напротив «Включить» и галочку напротив пункта «Разрешить использование BitLocker без совместимого TPM» ниже. После нажатия на «Применить» и «ОК» вы можете использовать BitLocker, как описано выше.

Альтернатива в виде VeraCrypt

Чтобы зашифровать системный раздел или весь жесткий диск с помощью преемника программы TrueCrypt под названием VeraCrypt, выберите в главном меню VeraCrypt пункт «Create Volume», а затем - «Encrypt the system partition or entire system drive». Чтобы зашифровать весь жесткий диск вместе с разделом Windows, выберите «Encrypt the whole drive», после чего следуйте пошаговой инструкции по настройке. Внимание: VeraCrypt создает диск аварийного восстановления на случай, если вы забудете пароль. Так что вам потребуется пустая CD-болванка.

После того как вы зашифровали свой диск, при начальной загрузке вам нужно будет после пароля указать PIM (Personal Iterations Multiplier). Если при настройке вы не установили PIM, то просто нажмите Enter.

Шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь - даже имеющий привилегии администратора - попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

Шифрование файлов и папок в Windows 7 - это удобный способ защиты конфиденциальных данных, но если хранить на одном диске зашифрованные и незашифрованные данные, это может привести к непредсказуемым результатам, как написано в разделе «Шифрование файлов». Однако владельцы версий Windows 7 Ultimate и Enterprise могут решить эту проблему, воспользовавшись преимуществами инструмента шифрования диска BitLocker.

Bit Locker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным - Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (ТРМ was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

ТРМ, Trusted Platform Module (модуль доверенной платформы), - это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker, Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск.

Вы только помечаете файл как предназначенный для шифрования. Windows шифрует и дешифрует файлы в фоновом режиме, когда создатель файла записывает его или просматривает соответственно. Правда, в Windows 7 шифрование на лету может иногда преподносить сюрпризы, а безопасность - это не та область, в которой можно полагаться на авось.

Шифрование файла

Шифрование - это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как на этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).
На вкладке Общие (General) нажмите Дополнительно (Advanced).
Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3 DNews не несет никакой ответственности за любые возможные последствия.

⇡ Введение

Почти обо всех решениях, упомянутых в предыдущем материале , так или иначе рассказывалось на страницах нашего ресурса. Однако тема шифрования и уничтожения данных незаслуженным образом была обойдена стороной. Исправим же это упущение. Рекомендуем ещё раз прочитать прошлую статью, перед тем как что-либо делать. Обязательно сделайте резервную копию всех данных перед их шифрованием! И ещё — десять раз подумайте, какую именно информацию вам придётся везти с собой и нет ли возможности отказаться хотя бы от её части. Если всё готово, приступаем.

⇡ Шифрование стандартными средствами Windows 7, Mac OS X 10.7 и Ubuntu 12.04

Все современные десктопные ОС уже давно обзавелись встроенными утилитами для шифрования файлов и папок или целых дисков. Перед тем как рассматривать сторонние утилиты, лучше обратиться именно к ним, ибо они довольно просты в настройке и использовании, хотя и не обладают различными дополнительными функциями. В Windows 7 Ultimate и Enterprise есть функция шифрования томов под названием BitLocker . Для защиты системного диска она требует наличия модуля TPM, который установлен далеко не во всех ПК или ноутбуках, но для прочих томов он не требуется. Также в Windows 7 есть функция BitLocker To Go для защиты съёмных накопителей, которой тоже можно воспользоваться без аппаратного криптомодуля, а этого вполне достаточно для большинства пользователей.

Если у вас установлена подходящая версия Windows 7, то для задействования BitLocker (To Go) перейдите в панели управления к пункту «Шифрование диска BitLocker». Напротив соответствующего накопителя кликните по ссылке «Включить BitLocker». Выберите опцию разблокировки с помощью пароля и сохраните ключ восстановления (это просто текстовый файл) в безопасное место, например на флешку, которую вы не берёте с собой в дорогу. Через некоторое время, а это зависит от объёма накопителя и мощности ПК, процесс шифрования будет завершён.

При подключении зашифрованного тома вас каждый раз будут просить ввести пароль для доступа к данным, если вы не включите автоматическую разблокировку, а делать это не рекомендуется. Управлять параметрами зашифрованного тома можно всё в том же разделе «Шифрование диска BitLocker» панели управления. Если вы вдруг забыли пароль от BitLocker, то для расшифровки надо использовать 48-значный цифровой ключ восстановления — после его ввода том будет временно разблокирован.

В Windows 7, помимо BitLocker, есть ещё метод шифрования папок и файлов, а не томов, — шифрованная файловая система (EFS). Поддерживается во всех редакциях ОС, но в Starter и Home (Premium) можно только работать с уже зашифрованными папками и файлами, но не создавать их. Для работы EFS обязательно использование NTFS с отключённой опцией сжатия данных. Если ваша машина удовлетворяет этим требованиям, то можно приступать к настройке.

В панели управления переходим к параметрам учётных записей и кликаем по ссылке «Управление сертификатами шифрования файлов». Следуя подсказкам мастера, создаём новый самозаверяющий сертификат для ПК. Обязательно сохраняем его в надёжном месте и защищаем паролем. Это можно сделать и потом с помощью этого же мастера, но лучше не тянуть, ибо экспортируемый PFX-файл понадобится для экстренного восстановления данных. Если у вас уже были зашифрованные данные на диске, то для них надо обновить ключи.

Система EFS прозрачна для пользователя, то есть с файлами и папками можно работать как обычно. Но если попытаться открыть их в другой среде (ОС, ПК), то доступ к ним будет закрыт. Чтобы зашифровать файл или папку, достаточно в их свойствах нажать кнопку «Другие…» на вкладке «Общие» и поставить галочку «Шифровать содержимое для защиты данных». После применения изменений цвет имени зашифрованного элемента по умолчанию меняется на зелёный для лучшей визуальной идентификации защищённых данных.

Для расшифровки достаточно снять галочку в свойствах файла/папки. При попытке скопировать защищённые данные в неподходящие для этого места — на диск c FAT32, в сетевое хранилище и так далее — появится предупреждение, что данные будут расшифрованы и попадут туда в незащищённом виде. Для удобства работы с EFS можно добавить в контекстное меню проводника соответствующие пункты. Достаточно создать DWORD-параметр EncryptionContextMenu в ветке реестра HKEY_ LOCAL_ MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\Explorer \\Advanced \\ и выставить его значение в 1.

Для расшифровки данных на накопителе в случае недоступности машины, на которой они шифровались, нужна резервная копия сертификата и пароль к ней. Для импорта достаточно дважды кликнуть по pfx-файлу и следовать указаниям мастера. Если вы хотите в дальнейшем экспортировать данный сертификат для работы с данными на ещё одной машине, то отметьте эту опцию галочкой.

Сохранить импортируемый сертификат нужно в личном хранилище. После окончания процесса доступ к зашифрованным файлам и папкам будет открыт. Управлять личными сертификатами можно с помощью оснастки MMC — Win+R, certmgr.msc, Enter.

Ещё одна крайне полезная опция, а именно затирание свободного места на диске, доступна только с помощью командной строки. Ключ /W — очистка места, /E — шифрование, /D — расшифровка. Описание остальных параметров доступно во встроенной справке — ключ /?.

Cipher /W X:\\путь\\до\\любой\\папки\\на\\очищаемом\\диске

Mac OS X

Кратенько остановимся на возможностях защиты данных в «яблочных» компьютерах. В Mac OS X уже давно имеется встроенная система шифрования FileVault , а с версии 10.7 она позволяет защищать не только домашний каталог, но и сразу весь диск. Включить её можно в настройках системы в разделе «Защита и безопасность». Там же полезно будет отметить галочкой опцию защиты виртуальной памяти. При включении шифрования придётся задать мастер-пароль, если он ещё не задан, а также сохранить ключ восстановления. Для дальнейшей настройки следуйте указаниям мастера. Впрочем, более универсальный метод — это использование зашифрованных образов диска.

В дисковой утилите выберите «Новый образ» и в появившемся диалоге укажите имя файла и его местоположение, задайте имя диску и выберите размер. В качестве ФС вполне подойдёт журналируемая Mac OS Extended. Шифрование лучше выбрать AES-256. В списке «Разделы» оставьте выбор «Жёсткий диск», а в качестве формата укажите растущий пакет-образ. Осталось придумать или сгенерировать пароль для доступа, но не запоминать его в связке ключей для пущей безопасности, а каждый раз вводить вручную. При двойном клике по образу он подмонтируется с запросом пароля. После сохранения на нём важных данных не забудьте отмонтировать образ.

Ubuntu ещё на этапе установки предлагает зашифровать домашний каталог пользователя. Одновременно с этим шифруется и раздел подкачки, что приводит к невозможности использования спящего режима. Если же вы отказались от шифрования при установке, то придётся настроить все вручную. При этом от защиты swap-раздела можно отказаться, что естественным образом снижает безопасность. Более удобный и защищённый, но и более сложный в настройке вариант — шифрование всего диска сразу. Если вы хотите сделать это, то воспользуйтесь вот этой инструкцией . Мы же рассмотрим простой вариант с защитой home и, по желанию, swap. Для начала установим с помощью терминала необходимое ПО:

Sudo apt-get install ecryptfs-utils cryptsetup

Здесь есть один нюанс — чтобы зашифровать домашний каталог какого-нибудь пользователя, файлы в этом каталоге не должны быть открыты в какой-либо программе, а значит, пользователь должен выйти из системы. Для этого придётся создать ещё одну временную учётную запись с правами администратора. После создания оной выходим из системы и логинимся с новым аккаунтом.

От имени второго пользователя выполняем следующую команду, в которой username заменяем именем пользователя, чей домашний каталог мы будем шифровать. Преобразование файлов займёт некоторое время, так что наберитесь терпения.

Sudo ecryptfs-migrate-home -u username

После завершения операции выходим из системы и снова входим в неё под основной учётной записью. Теперь можно удалить временный аккаунт и все его файлы. Через несколько минут после входа появится предупреждение о том, что надо бы сохранить в надёжном месте случайно сгенерированный пароль для доступа к только что зашифрованным файлам на случай экстренного восстановления. Не забудьте это сделать.

Наконец, осталось удалить «старый» домашний каталог / home/имя_пользователя. XXXXXXXX , где XXXXXXXX — случайный набор букв.

Sudo rm -rf /home/username.XXXXXXXX

Для шифрования раздела подкачки достаточно выполнить одну-единственную команду, затем убедиться, что в / etc/ fstab закомментирована запись о старом swap-разделе, а в качестве нового указан /dev/mapper/cryptswap1 .

Sudo ecryptfs-setup-swap

⇡ Шифрование с помощью TrueCrypt

TrueCrypt — это открытое кроссплатформенное приложение для создания защищённых томов и работы с ними с шифрованием на лету. На практике это означает, что, во-первых, в расшифрованном виде данные находятся только в оперативной памяти. Во-вторых, что работа с криптоконтейнерами возможна в любой ОС. И в-третьих, что с довольно высокой степенью вероятности можно говорить об отсутствии каких-либо «закладок». Помимо этого TrueCrypt поддерживает инструкции AES-NI для ускорения (де-)шифрования. На самом деле возможности программы гораздо шире и все они хорошо описаны в руководстве, которое доступно с пакетом локализации (распакуйте содержимое архива в каталог с установленной программой). Поэтому мы рассмотрим простейший случай создания криптоконтейнера в среде Windows.

Итак, после установки запускаем утилиту, нажимаем кнопку «Создать том» и следуем советам мастера, так как выбранные по умолчанию параметры достаточно безопасны. Вручную потребуется задать лишь объём тома и пароль к нему. После монтирования контейнера он будет выглядеть в системе как обычный физический том, а значит, его можно форматировать, дефрагментировать и так далее.

Особенностью контейнеров TrueCrypt является то, что со стороны они выглядят как наборы случайных битов, и распознать, что в файле именно контейнер, теоретически невозможно. Обязательно следуйте советам по созданию надёжного пароля и сразу же сохраните его в безопасном месте. Дополнительной защитой является использование ключевых файлов любого типа, для которых также надо будет сделать резервную копию.

Осталось выбрать формат ФС (набор зависит от ОС), поводить мышью внутри окна и разметить том. На этом создание контейнера завершено.

Чтобы смонтировать том, надо нажать кнопку «Файл…», выбрать контейнер и букву диска, нажать «Смонтировать», ввести пароли и, если необходимо, выбрать ключевые файлы, а также указать прочие параметры. Теперь можно работать с данными так же, как если бы они находились на обычном логическом диске. Для отключения криптоконтейнера достаточно нажать кнопку «Размонтировать». В настройках программы также можно включить автоматическое размонтирование по таймеру/выходу из системы/запуску хранителя экрана, очистку кешей и прочие полезные функции.

Это достаточно простой и надёжный вариант хранения важной информации. Однако если вам требуется большая безопасность, то TrueCrypt позволяет создавать скрытые тома, шифровать диски и разделы, добавлять скрытый раздел с ещё одной ОС, настраивать «конвейер» из нескольких алгоритмов шифрования, защищать переносной диск, использовать токены и смарт-карты для авторизации, а также многое другое. Крайне рекомендуется прочитать в документации главу о требованиях безопасности и мерах предосторожности.

⇡ Безопасное удаление

Единственный надёжный способ гарантированно удалить данные — это физическое уничтожение накопителя, на котором они находятся. Для этого даже разработаны специальные процедуры, порой утончённо-извращённого садистского характера. А «виноваты» в этом различные технологии, которые используются в современных накопителях, — остаточная намагниченность, TRIM-операции, равномерное распределение нагрузки, журналирование и так далее. Суть их в целом сводится к тому, что данные зачастую помечаются как удалённые или готовые к удалению вместо того, чтобы быть действительно стёртыми. Поэтому были разработаны методики достаточно безопасного удаления остаточной информации , которые не столь радикальны, как полное уничтожение носителя.

Функция безопасной очистки диска присутствует во многих редакторах разделов. Для Windows есть множество подобных утилит, но мы остановимся на классической SDelete . Работа с ней осуществляется в режиме командной строки. Синтаксис довольно простой. Ключом -p задаётся число проходов перезаписи, с ключом -s (или -r) программа рекурсивно уничтожает всё содержимое папки, а передача ключа -c (или -z) очищает (забивает нулями) свободное место на указанном томе. В конце указывается путь до папки или файла. Например, для стирания нашего тома TrueCrypt и очистки диска выполним две команды:

C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\

В большинстве Linux-дистрибутивов есть утилита shred, которая выполняет те же функции, что и SDelete . У неё также есть несколько параметров, но для нас вполне достаточно знать три из них. Ключ -n задаёт число проходов перезаписи, -u удаляет файл, а -z в конце забивает использовавшееся место нулями. Пример работы:

Sudo shred -u -z -n 26 /home/dest/exampletc2

Программа shred имеет ряд ограничений в плане безопасного удаления, о чём честно предупреждает пользователя при запуске с ключом --help. Более эффективный набор утилит входит в пакет Secure-Delete. Установим его и рассмотрим пару встроенных программ. Утилита srm аналогична shred, но принимает чуть меньше параметров. Нам интересны ключи -r для рекурсивного удаления указанного каталога и вездесущий -z для заполнения пространства нулями. Также в пакете имеется утилита для затирания свободного места на диске с указанной папкой.

Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

Для Mac OS X есть всё тот же CCleaner с функцией зачистки свободного места, а также утилита srm, которая работает так же, как в Linux. В настройках Finder рекомендуется включить функцию безопасной очистки корзины. Она же доступна в контекстном меню корзины при нажатой клавише CMD.

Для SSD-накопителей и флешек лучше использовать низкоуровневое форматирование (см. ) или же процедуру Secure Erase, что может привести вас к потере гарантии на SDD. Для последнего случая подойдёт другой Live-дистрибутив для работы с разделами на диске — Parted Magic . Загрузитесь с него и выберите в главном меню System tools → Erase Disk. Для твердотельных накопителей выберите последний пункт Secure Erase, а для обычных HDD используйте метод nwipe, который является по сути тем же DBAN.

⇡ Заключение

Рассмотренного нами сочетания шифрования данных с последующим их безопасным удалением вполне достаточно для того, чтобы надёжно защитить конфиденциальную информацию. Естественно, стопроцентной защиты это никоим образом не гарантирует, но для простых пользователей риски утечки резко падают. А о «непростых смертных» позаботятся соответствующие службы. Ещё раз напоминаем о важности создания резервных копий вообще и перед шифрованием в частности, а также о минимизации объёма перемещаемых вместе с вами данных в стан вероятного противника и необходимости использования надёжных паролей с ключами вкупе с их резервированием. Ну и просто будьте всегда внимательны. Удачи!

Когда речь идет об особо ценных данных, шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь - даже имеющий привилегии администратора - попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

ШИФРОВАНИЕ ЦЕЛОГО ДИСКА С ПОМОЩЬЮ BITLOCKER

BitLocker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным - Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (TPM was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

TPM, Trusted Platform Module (модуль доверенной платформы), - это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker. Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск. Откройте Редактор локальной групповой политики (Group Policy Object Editor) (для этого нужно щелкнуть на кнопке Пуск и выполнить команду gpedit.msc), а затем разверните ветвь Конфигурация компьютера\Административные шаблоны\Компоненты Windows\ll^poBaHMe диска BitLocker (Computer Configuration\Administrative Templates\ Windows Components\BitLocker Drive Encryption). На правой панели дважды щелкните на записи Панель управления: включить дополнительные параметры запуска (Control Panel Setup: Enable advanced startup options), щелкните Включить (Enabled), установите флажок Разрешить использовать BitLocker без совместимого ТРМ (Allow BitLocker without a compatible ТРМ) и нажмите ОК.

BitLocker можно использовать, если на жестком диске есть как минимум два раздела (подробнее об этом - в главе 4): один - для операционной системы и второй, «активный» раздел размером от 1,5 Гбайт - для загрузки компьютера. Если ваш диск сконфигурирован иначе, запустите инструмент подготовки диска BitLocker (BitLocker Drive Preparation Tool, BdeHdCfg.exe) и выполните подготовку, следуя указаниям на экране. Когда диск будет готов, откройте на Панели управления страницу Шифрование диска BitLocker (BitLocker Drive Encryption) и щелкните на ссылке Включить BitLocker (Turn on BitLocker).

Подсказка: если у вас установлена другая редакция Window 7, отличная от Windows 7 Ultimate, то схожую функциональность предлагают утилиты FreeOTFE (http://www.freeotfe.org) и TrueCrypt (http://www.truecrypt.org). Обе они бесплатны и совместимы со всеми редакциями Windows 7.

Необходимо считать данные с зашифрованного BitLocker диска в Windows Vista или ХР? Используйте инструмент Microsoft BitLocker То Go Reader, который можно бесплатно загрузить с сайта http://windows.microsoft.com/en-US/windows7/what-is-the- bitlocker-to-go-reader.

Шифрование - это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как иа этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

1. Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).

2. На вкладке Общие (General) нажмите Дополнительно (Advanced).

3. Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Независимо от того, зашифрован файл или нет, вы работаете с ним как обычно. Вам никогда ие придется вручную дешифровать файл, чтобы просмотреть его содержимое. Подробнее о том, как быстро зашифровать или дешифровать файл, рассказывается в подразделе «Добавление команд Шифровать (Encrypt) и Дешифровать (Decrypt) в контекстные меню» на с. 458.

Если вы решили, что будете шифровать файлы, то стоит помнить о следующем:

О Шифрование содержимого папок

При шифровании папки, внутри которой есть файлы или другие папки, Windows просит вас указать, нужно ли шифровать это содержимое. В большинстве случаев вы просто соглашаетесь. Если же вы в этом окне щелкнете на кнопке Нет (No), то текущее содержимое папки останется незашифрованным, однако новые файлы будут шифроваться. Подробнее об этом рассказывается в подразделе «Секреты шифрования папок» на с. 457.

О Зашифровано навсегда?

Невозможно гарантировать, что зашифрованный файл останется таковым навсегда. Например, некоторые приложения при редактировании и сохранении данных удаляют оригинальные файлы, а потом создают новые на том же месте. Если приложение не знает, что файл нужно шифровать, защита исчезает. Чтобы этого не происходило, необходимо шифровать родительскую папку, а не только сам файл.

О Защищено от других пользователей?

Если изменить владельца зашифрованного файла (как рассказывается в разделе «Установка разрешений для файлов и папок»), то только предыдущий владелец

н создатель файла сможет расшифровать и просмотреть его, несмотря на то что файл ему уже не принадлежит. Это означает, что в некоторых случаях ни один пользователь не способен прочитать файл.

О Шифрование системных файлов

Поскольку доступ к определенным папкам, таким как \Windows и \Windows\System, нужен всем пользователям, шифрование файлов, системных папок и корневых каталогов любых дисков запрещено. Следовательно, единственный способ зашифровать подобные объекты - использовать шифрование всего диска, как рассказывается во врезке «Шифрование целого диска с помощью BitLocker» на с. 452.

О Шифрование и сжатие

Сжатие - еще одна возможность файловых систем NTFS - позволяет уменьшать количество места, которое занимают на диске файлы и папки. Принципы сжатия очень напоминают принципы шифрования. Однако для объекта нельзя одновременно использовать и шифрование, и сжатие; включите в окне Свойства (Properties) один параметр, и второй автоматически отключится.