Защита данных с помощью BitLocker (шифрование диска)

Шифрование серверов - задача с которой рано или поздно сталкиваются все. Пробовал шифровать и платными и бесплатными инструментами и в итоге пришёл к двум: TrueCrypt и BitLocker. Так как мне лень хранить в голове пароли и хочется иметь доступ к серверу при помощи usb-флешки, я остановился на BitLocker. Ниже расскажу как зашифровать системный и диск с данными.

Сравнение возможностей BitLocker

Источник Безопасность Действия пользователя
Только TPM Защищает от программных атак, но уязвим к аппаратным атакам Никаких
TPM + PIN Добавляет защиту от аппаратных атак Пользователь должен вводить PIN-код при каждом запуске ОС
TPM + ключ USB Полная защита от аппаратных атак, но уязвима к потере ключа USB Пользователь должен использовать ключ USB при каждом запуске ОС
TPM + ключ USB + PIN Максимальный уровень защиты При каждом запуске ОС пользователь должен вводить PIN-код и использовать ключ USB
Только ключ USB Минимальный уровень защиты для компьютеров, не оснащенных TPM + есть риск потери ключа Пользователь должен использовать ключ USB при каждом запуске ОС

Установка BitLocker

Перед установкой первым делом надо добавить политику

Переходим по пути

Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы

Где нас интересую два параметра:

Обязательная дополнительная проверка подлинности при запуске

и

Требовать дополнительную проверку подлинности при запуске (Windows Server 2008 и Windows Vista)

Настройки параметра «Обязательная дополнительная проверка подлинности при запуске»

Настройки параметра «Требовать дополнительную проверку подлинности при запуске (Windows Server 2008 и Windows Vista)»

После изменений должны увидеть два включенных параметра политики

Политика на серверах применяется практически сразу, но тем не менее, чтобы не ждать обновляемся

Открываем «Диспетчер сервера»

пуск - администрирование - диспетчер сервера

Выбираем компонент «Шифрование диска BitLocker»

Устанавливаем

Перезагружаемся

После перезагрузки системе необходимо время для установки компонентов

Шифрование системного диска

пуск - панель управления -  система и безопасность - шифрование диска Bitlocket

Выбираем, чтобы при загрузке системы спрашивался ключ

Выбираем место хранения ключа. Наша флешка

Сохраняем ключ восстановления. Я сохраняю прямо на той же флешке, но обязательно делаю её дубликат и прячу в сейф

Нажимаем «Далее»

ОБЯЗАТЕЛЬНО делаем проверку ключей. До шифрования диска система перезагрузится и проверит ключи, если они окажутся рабочими, то начнется шифрование

Перезагружаемся

Как перезагрузимся, начнётся шифрование. В итоге должны увидеть сообщение что всё ок.

Шифрование диска с данными

Особо ничем не отличается от шифрования системного диска. Единственное я выбрал чтобы ключи хранились на флешке и автоматически подключались диски.

Чем мне понравился BitLocker

  1. Есть возможность хранить ключи на простой флешке
  2. Не слитает шара. При использовании TrueCrypt, приходилось вначале подключать диск, а потом прописывать шару
  3. Ключи не привязаны к флешке, можно скопировать другу )
  4. Нет привязки к системе. Диски можно подключить в другому компьютеру и использовать.
  5. При тестировании скорость чтения/записи снизилась примерно на 5%, при завяленных до 10%

Возможный ошибки BitLocker

1. Ошибка при проверке ключа решение:

  1. Поменяйте флешку
  2. Файловая система на флешке должна быть FAT или FAT32
Остались или есть ещё вопросы? Задавайте!
(не забудьте указать ссылку на этот пост)




Оставить комментарий

Установка, настройка, мониторинг и администрирование linux, unix, windows систем