Шифрование BitLocker - Защита USB флешки
- Дек 11, 2016
- 15691
В настоящее время, все больше и больше людей пользуются переносными устройствами хранения информации, такими как Flash накопители. И если работа человека связана с постоянными передвижениями, то, скорее всего, на данном накопителе находится много конфиденциальной информации. И в случае потери или кражи, возникает риск, что данной информацией может воспользоваться злоумышленник, допустим в текстовом файлу указаны логины и пароли к электронным деньгам и так далее. По этому в данном уроке, давайте попробуем устранить данную проблему, а поможет в этом стандартное средство Windows 7, под названием BitLocker.
BitLocker это средство шифрования разделов. Есть различное ПО по шифрованию отдельных файлов и каталогов, но данное средство позволяет зашифровать полностью USB накопитель, и при подключении флешки к другому компьютеру, чтобы получить доступ к данным необходимо ввести пароль.
Давайте вкратце рассмотрим о чем пойдет речь в данном видеоуроке:
— определимся для какой файловой системы будет использоваться данный метод защиты FAT32 или NTFS, по тому, что в данном вопросе это очень важно
— зашифруем USB флешку
— расшифруем USB флешку
— сравним скорость считывания с зашифрованной и расшифрованной флешки
— рассмотрим настройки групповой политики для шифрования съемных носителей
— сравним все плюсы и минусы данной системы
— а так же подведем некий итог, по полученной информации
Ну что же, давайте приступим и первое что нужно уточнить, это какая файловая система на USB накопителе, это очень важный момент и вот почему. Дело в том, что для разных файловых систем и разных версий Windows, доступ к зашифрованному накопителю будет отличаться, это можно увидеть из данной таблицы. В Виндоус 7 с зашифрованным накопителем можно выполнять как операции считывания так и записи, не зависимо от файловой системы, однако для более ранних версий Виндоус (XP, 2008 Server, Vista), для NTFS вообще нет возможности работать с данным накопителем, а в случае с FAT32 можно только выполнять считывание, это конечно же не удобно, однако другого выбора нет. Скорее всего это сделано для того, чтобы все как можно быстрее переходили на Windows 7, так скажем маркетинговый ход.
И так, с файловыми системами определились, лично я выбираю FAT32, так как частенько на клиентских машинах установлена Windows XP, что касается же нашего случая, неудобство будет заключаться в том, что FAT32 не поддерживает файлы размером более 4 Гб, т.е. файл на 5Гб, на данный накопитель записать уже не получится. Но, опятьже нет смысла защищать флешку, на которой хранятся образы и так далее, в общем файлы большого размера, как правило защищать нужно флешки не большого размера, на которых хранятся документы!
На флешке, которую я собираюсь шифровать, на данный момент файловая система NTFS, по этому мне придется её отформатировать, дабы перевести в FAT32. Если программы которые преобразуют без форматирования, но в данном видео не об этом.
Перед тем как выполнять шифрование, чтобы уточнить кое какой момент, давайте проверим скорость считывания с данной флешки без шифрования. По идеи, скорость считывания с шифрованием должна упасть, так как системе придется в довесок еще и расшифровывать данные, перед тем как выдать их пользователю. Проверим при помощи программы HD_Speed, у меня скорость составила 164 мего бит в секунду
Для запуска шифрования щелкаем правой кнопкой мыши на съемном накопителе и включить Bitlocker. Опять же стоит учесть, что данный пункт меню появляется только в Windows 7 под редакцией Максимальная и Корпоративная, вроде как и в Vista по этими же редакциями, но лично я не проверял, да и вообще Вистой не пользовался, хватило слухов, чтобы отбить желание.
Можно защитить накопитель либо паролем, либо смарт-картой, смарт-картой не защищал, но подозреваю что это смарт ключ в виде USB устройства похожего на флешку, в настоящее время большинство офисных программ защищается подобным ключем.
Задаем пароль, сохраняем или распечатываем ключ восстановления и запускается процесс шифрования. Шифрование длится довольно долго, у меня ушло на шифрование 32 Гб 2-30 часа, но опять же процесс шифрования можно поставить на паузу и использовать диск. Лично у меня была ситуация когда я начал шифровать диск, он долго шифровался, а нужно было уже уходить с работы. Так вот, я взял флешку домой, и дома нажал на продолжить и уже дома шифрование было закончено, как я понимаю, на флешку записывается что-то типа сценария, где указывается на каком этапе шифрование было приостановленно. И далее, на другом компьютере система считывает эту информацию и продолжает с места остановки данного процесса, однако на ХР так не получится.
Кстати, а давайте как раз проэксперементируем, ставим на паузу, вытаскиваем флешку, вставляем и у нас запрашивается пароль, вводим пароль и программа шифрования продолжает шифровать накопитель.
И так процесс шифрования окончен и теперь, когда мы пытаемся войти на флешку у нас запрашивается пароль, и после того, как накопитель разблокирован, в его контекстном меню появляется пункт Управление BitLocker…
В котором есть следующие пункты:
— изменение пароля для снятия блокировки диска — говорит само за себя, вводим новый пароль
— удалить пароль для этого диска — удаляет пароль защиты, но не снимает защиту, как может показаться на первый взгляд, а снимает парольную защиту. Если защита только по паролю, то удалить его не получится
— добавить смарт-карту для снятия блокировки диска, это ключ в виде флешки, чтобы разблокировать флешку J
— сохранить или напечатать ключ восстановления
— автоматически снимать блокировку диска этого компьютера – если активировать данную функцию, то данный накопитель автоматически будет разблокироваться на данном компьютере при подключении, а на других не будет. Т.е. получается привязка к оборудованию. Допустим это можно использовать, если вы доверяете компьютеру на котором сидите, допустим домашний компьютер. Или можно в офисе прописать данную галочку для всех офисных ПК, и если флешка уйдет за приделы офиса, то с неё нельзя будет считать информацию (для обеспечения безопасности и простоты работы пользователей)
Теперь давайте опять проверим скорость считывания, она как видно упала, собственно как и предполагалось.
Теперь проверим как все будет отрабатывать на Windows XP, запускаем виртуальную машину и подключаем к ней флешку.
Теперь появляется следующий вопрос, а как расшифровать флешку? Ведь в меню нет функции снять защиту или что-то типа того! А делается это не таким очевидным способом, как шифрование, для этого нам нужно зайти настройку BitLocker Пуск \ Панель управления \ Шифрование диска BitLocker \ Нажимаем отключить шифрование для данного накопителя. Расшифровка выполняется быстрее чем шифровка, у меня на теже 32 Гб ушло около 30 минут
Теперь рассмотрим настройки BitLocker, а настраивается он через групповую политику Пуск \ Выполнить \ gpedit.msc \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска Bitlocker \ Съемные диски с данными.
+ защита от несанкционированного доступа
— чтение в старых ОС, только в файловой системе FAT32
— возможность кражи конфеденциальной информации в Виндоус ранних версий – ведь для считывания файла потребуется его скопировать на локальный компьютер и даже после его удаления, его можно восстановить различными средствами восстановления удаленных файлов
— меньшая скорость чтения и записи, так как в довесок системе приходится тратить время еще и на расшифровку
— невозможно использовать в роли мультизагрузочной флешки, так как флэшка зашифрованна, то запуск с неё будет не возможен.
Вывод:
1) использовать только для хранения важной информации
2) флешка небольшого размера, чем больше флешка, тем больше длится её шифрование.
3) флешка должна быть отформатирована в системе FAT32