За­щитить компь­ютер с Windows не прос­то, а очень прос­то: нес­коль­ко щел­чков мышью — и сис­темный раз­дел зашиф­рован BitLocker. Но может слу­чить­ся так, что взло­мать этот компь­ютер будет еще про­ще: дос­таточ­но узнать пароль от тво­ей учет­ной записи Microsoft, что­бы раз­бло­киро­вать сис­тему, нес­мотря на шиф­рование. Оче­ред­ной шаг в борь­бе щита и меча сде­лан в Windows 11: здесь исполь­зует­ся аппа­рат­ный кон­троль безопас­ности, а взлом пароля при соб­людении опре­делен­ных усло­вий будет не толь­ко совер­шенно бес­полез­ным, но и невоз­можным.

Нас­коль­ко безопас­нее ста­ла Windows 11 в срав­нении с «десят­кой» и почему? Мож­но ли обе­зопа­сить Windows 10 штат­ными средс­тва­ми, не при­бегая к VeraCrypt и подоб­ным инс­тру­мен­там? И для чего же, в кон­це кон­цов, Windows 11 так нужен TPM?

Ког­да я начал раз­бирать­ся в том, как имен­но, а глав­ное — для чего в один­надца­той вер­сии Windows исполь­зуют­ся модули TPM, я чуть не сло­мал голову. Тра­дици­онно для Microsoft докумен­тация сущес­тву­ет, ее мно­го, но написан­ное в ней далеко не всег­да соот­ветс­тву­ет дей­стви­тель­нос­ти; ряд утвер­жде­ний (мы рас­смот­рим их ниже) все­ляет лож­ную уве­рен­ность в безопас­ности. Пом­нишь, сколь­ко копий было сло­мано по поводу сис­темных тре­бова­ний Windows 11? Теперь я готов поверить, что решение огра­ничить сов­мести­мость Windows 11 исклю­читель­но сис­темами, обо­рудо­ван­ными TPM, было не волей мар­кетоло­гов, а уль­тимату­мом коман­ды раз­работ­чиков: «Или компь­юте­ры без TPM идут лесом, или мы умы­ваем руки!»

 

Включаем BitLocker

Шиф­рование сис­темно­го раз­дела — пер­вый, необ­ходимый, но не всег­да дос­таточ­ный шаг к обес­печению безопас­ности сис­темы. На безопас­ность зашиф­рован­ных дан­ных может пов­лиять такая неоче­вид­ная на пер­вый взгляд вещь, как спо­соб вхо­да в сис­тему.

При­мем за акси­ому, что в тво­ем компь­юте­ре уста­нов­лен и акти­виро­ван в нас­трой­ках UEFI BIOS модуль TPM 2.0 или его ана­лог (Intel Platform Trust Technology или AMD firmware TPM). Чуть поз­же я рас­ска­жу о том, что мож­но сде­лать при его отсутс­твии, но пока рас­смот­рим работу отно­ситель­но сов­ремен­ных сис­тем.

Но ведь TPM у нас запрещен?

В сети ходит мно­го неп­роверен­ной информа­ции о закон­ности или незакон­ности TPM. По слу­хам, ФСБ зап­реща­ет модули TPM из‑за того, что те могут исполь­зовать­ся для шиф­рования без зак­ладок. Не буду утом­лять тебя юри­дичес­кими под­робнос­тями (сос­тавлен­ная юрис­тами док­ладная запис­ка занима­ет нес­коль­ко лис­тов), огра­ничусь лишь крат­кими вывода­ми.

Во‑пер­вых, на ввоз в стра­ну аппа­рат­ных модулей TPM тре­бует­ся нотифи­кация (то есть для импорте­ров дей­ству­ет раз­решитель­ный режим). Во‑вто­рых, исполь­зование TPM час­тны­ми лицами внут­ри стра­ны никаких законов не наруша­ет. Наконец, в‑треть­их: эму­ляция TPM впол­не легаль­но при­сутс­тву­ет во всех про­цес­сорах Intel Core с 8-го поколе­ния, а так­же во всех про­цес­сорах с архи­тек­турой AMD Zen и более новых. Исполь­зование соот­ветс­тву­ющих фун­кций закон­ным обра­зом вве­зен­ных в стра­ну ком­плек­тующих никаких пра­вил не наруша­ет.

Что­бы вклю­чить шиф­рование сис­темно­го дис­ка, поль­зовате­лям Windows 10 и 11 всех редак­ций за исклю­чени­ем домаш­ней (Home) дос­таточ­но открыть апплет BitLocker Drive Encryption в панели управле­ния Windows. Далее нуж­но вклю­чить шиф­рование (для твер­дотель­ных накопи­телей впол­не дос­таточ­но зашиф­ровать толь­ко дан­ные; сво­бод­ное мес­то накопи­тель очи­щает самос­тоятель­но по коман­де trim) и где‑то сох­ранить (или рас­печатать) ключ вос­ста­нов­ления дос­тупа. Шиф­рование про­исхо­дит в фоновом режиме; через некото­рое вре­мя дан­ные будут зашиф­рованы, накопи­тель будет выг­лядеть сле­дующим обра­зом.

Зашифрованный накопитель
За­шиф­рован­ный накопи­тель
 

Для чего нужен ключ восстановления доступа (BitLocker Recovery Key)

Не хотелось бы в этой статье глу­боко вда­вать­ся в под­робнос­ти механиз­ма шиф­рования BitLocker (о нем мож­но про­читать, нап­ример, здесь. В двух сло­вах: имен­но ключ вос­ста­нов­ления дос­тупа поможет тебе раз­бло­киро­вать накопи­тель, если модуль TPM по какой‑то при­чине решит не отда­вать сис­теме ключ.

В каких слу­чаях TPM может «зажать» ключ? В прин­ципе, это может про­изой­ти пос­ле любого обновле­ния про­шив­ки либо BIOS самого компь­юте­ра или любого под­клю­чен­ного устрой­ства (кро­ме USB). Еще при изме­нении аппа­рат­ной кон­фигура­ции (уста­новил новую виде­окар­ту), при обновле­нии Windows или одно­го из драй­веров, учас­тву­ющих в цепоч­ке заг­рузки. Если такое событие про­изой­дет, то цепоч­ка заг­рузки нарушит­ся (не сов­падут вычис­ленные в ре­гис­трах PCR кон­троль­ные сум­мы) и TPM не отдаст опе­раци­онной сис­теме ключ, который нужен для раз­бло­киров­ки дис­ка. Как резуль­тат — при заг­рузке сис­тема поп­росит ввес­ти код вос­ста­нов­ления дос­тупа.

Система попросит ввести код восстановления доступа
Сис­тема поп­росит ввес­ти код вос­ста­нов­ления дос­тупа

Пос­коль­ку при исполь­зовании TPM дру­гого метода раз­бло­киров­ки дис­ка по умол­чанию не пре­дус­мотре­но, ключ вос­ста­нов­ления дос­тупа оста­ется единс­твен­ным спо­собом получить дос­туп к дан­ным.

По­чему же это­го не про­исхо­дит каж­дый раз, ког­да ты обновля­ешь ОС через Windows Update? Дело в том, что сис­тема зна­ет об этой осо­бен­ности BitLocker и на вре­мя уста­нов­ки отклю­чает защиту. Ров­но то же самое ты можешь про­делать вруч­ную, вос­поль­зовав­шись коман­дой Suspend protection.

Suspend protection
Suspend protection

Пос­ле это­го ты можешь спо­кой­но обно­вить BIOS, заменить виде­окар­ту или обно­вить про­шив­ку одно­го из устрой­ств. Пос­ле перезаг­рузки сис­тема вычис­лит новую цепоч­ку заг­рузки, которая будет счи­тать­ся доверен­ной, а шиф­рование авто­мати­чес­ки вклю­чит­ся.

 

Какие есть риски при шифровании BitLocker с использованием TPM

Шиф­рование BitLocker дос­таточ­но надеж­но, хотя исполь­зующий­ся 128-бит­ный ключ вызыва­ет некото­рые сом­нения в кон­тек­сте потен­циаль­ной уяз­вимос­ти для кван­товых компь­юте­ров. Если тебя это бес­поко­ит — вклю­чи 256-бит­ное шиф­рование в нас­трой­ках груп­повых политик, как показа­но на скрин­шоте. Сде­лать это необ­ходимо до того, как диск будет зашиф­рован; нас­трой­ка не вли­яет на уже соз­данные зашиф­рован­ные дис­ки.

Включение 256-битного шифрования
Вклю­чение 256-бит­ного шиф­рования

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Подписаться
Уведомить о
10 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии