Что BitLocker на самом деле шифрует и когда?

2734
ygoe

Мне нужно полное шифрование диска для бизнес-ноутбуков, работающих под управлением текущей версии Windows 10 Pro. Компьютеры имеют твердотельный накопитель NVMe от Samsung и процессор Intel Core i5-8000.

Согласно некоторым исследованиям в Интернете, в настоящее время доступны только две опции: Microsoft BitLocker и VeraCrypt. Я полностью осведомлен о состоянии открытого и закрытого источника и о последствиях для безопасности, которые с этим связаны.

После прочтения некоторой информации о BitLocker, которую я никогда раньше не использовал, у меня сложилось впечатление, что начиная с Windows 10 BitLocker шифрует только новые записанные данные на диске, но не все, что уже существует, по соображениям производительности. (Эта документация говорит, что у меня есть выбор, но я не делаю. Они не спрашивали меня, что я хочу после активации.) В прошлом я использовал системное шифрование TrueCrypt и знаю, что существующее шифрование данных является видимой задачей, которая требует несколько часов. Я не могу наблюдать такое поведение с BitLocker. Нет заметного фонового процессора или активности диска.

Активировать BitLocker действительно легко. Нажмите кнопку, сохраните ключ восстановления в безопасном месте, готово. Тот же процесс с VeraCrypt заставил меня отказаться от этой идеи. Мне нужно было создать полностью работающее устройство восстановления, даже для тестирования на одноразовой системе.

Я также читал, что VeraCrypt в настоящее время имеет недостаток дизайна, который делает некоторые твердотельные накопители NVMe чрезвычайно медленными с системным шифрованием. Я не могу проверить это, потому что установка слишком сложна. По крайней мере, после активации BitLocker я не вижу значительного изменения производительности диска. Также у команды VeraCrypt недостаточно ресурсов для исправления этой «сложной ошибки». Кроме того, обновления Windows 10 не могут работать с VeraCrypt на месте, что делает необходимым частое полное шифрование диска и необходимое шифрование. Я надеюсь, что BitLocker работает лучше здесь.

Так что я почти остановился на использовании BitLocker. Но мне нужно понять, что он делает. К сожалению, в интернете практически нет информации об этом. Большинство состоит из постов в блоге, которые дают обзор, но не содержат краткой и углубленной информации. Поэтому я спрашиваю здесь.

Что происходит с существующими данными после активации BitLocker в системе с одним диском? Что происходит с новыми данными? Что значит «приостановить BitLocker»? (Не то же самое, что деактивировать его навсегда и тем самым расшифровать все данные на диске.) Как я могу проверить состояние шифрования или принудительно зашифровать все существующие данные? (Я не имею в виду неиспользуемое пространство, меня это не волнует, и оно требуется для твердотельных накопителей, см. TRIM.) Существуют ли более подробные данные и действия о BitLocker, кроме «приостановить» и «расшифровать»?

И, возможно, на заметку, как BitLocker относится к EFS (зашифрованная файловая система)? Если только недавно записанные файлы зашифрованы, EFS, похоже, имеет очень похожий эффект. Но я знаю, как работать с EFS, это гораздо понятнее.

33

1 ответ на вопрос

39
grawity

Активация BitLocker запускает фоновый процесс, который шифрует все существующие данные. (На жестких дисках это традиционно длительный процесс, так как он требует считывания и перезаписи каждого сектора раздела - на дисках с самошифрованием это может быть мгновенно.) Поэтому, когда говорят, что зашифрованы только недавно записанные данные, это немедленно относится к состоянию. после активации BitLocker и становится недействительным после завершения фоновой задачи шифрования. Состояние этого процесса можно увидеть в том же окне панели управления BitLocker, и при необходимости приостановить.

Статью Microsoft нужно внимательно прочитать: на самом деле речь идет о шифровании только используемых областей диска. Они просто рекламировать это как имеющие наибольшее влияние на свежие системы, где у вас нет каких - либо данных еще помимо базовой ОС (и, следовательно, все данные будут «вновь написано»). То есть, Windows 10 будет шифровать все существующие файлы после активации - он просто не будет тратить время шифрования секторов диска, которые не содержат ничего еще. (Вы можете отказаться от этой оптимизации с помощью групповой политики.)

(В статье также указывается на обратную сторону: области, в которых ранее содержались удаленные файлы, также будут пропущены как «неиспользуемые». Поэтому, если шифруется хорошо используемая система, выполните очистку свободного места с помощью инструмента, а затем позвольте Windows запустить TRIM, если у вас есть SSD, все до активации BitLocker. Или используйте групповую политику, чтобы отключить это поведение.)

В той же статье также упоминаются последние версии Windows, поддерживающие самошифрующиеся твердотельные накопители с использованием стандарта OPAL. Поэтому причина, по которой вы не видите никаких фоновых операций ввода-вывода, может заключаться в том, что SSD был внутренне зашифрован с первого дня, и BitLocker распознал это и взял на себя управление ключами только на уровне SSD вместо дублирования усилий по шифрованию на уровне ОС. Таким образом, SSD больше не разблокируется при включении, но для этого требуется Windows. Это может быть отключено с помощью групповой политики, если вы предпочитаете, чтобы операционная система обрабатывала шифрование независимо.

Приостановка BitLocker приводит к тому, что незашифрованная копия «главного» ключа записывается непосредственно на диск. (Обычно этот главный ключ сначала зашифровывается с помощью вашего пароля или доверенного платформенного модуля.) Пока он приостановлен, это позволяет самостоятельно разблокировать диск - это явно небезопасное состояние, но позволяет Центру обновления Windows перепрограммировать доверенный платформенный модуль в соответствии с обновленной ОС., например. Возобновление BitLocker просто стирает этот простой ключ с диска.

BitLocker не имеет отношения к EFS - последний работает на уровне файлов, связывая ключи с учетными записями пользователей Windows (позволяя детализировать конфигурацию, но делая невозможным шифрование собственных файлов ОС), тогда как первый работает на уровне всего диска. Они могут использоваться вместе, хотя BitLocker в основном делает EFS избыточным.

(Обратите внимание, что и BitLocker, и EFS имеют механизмы, позволяющие администраторам корпоративных каталогов Active Directory восстанавливать зашифрованные данные - либо путем резервного копирования главного ключа BitLocker в AD, либо путем добавления агента восстановления данных EFS во все файлы.)

Хороший обзор, спасибо. Что касается последнего предложения: я вижу много вариантов использования - BitLocker шифрует мой жесткий диск против людей за пределами компании, но моя ИТ-группа _can_ может получить доступ ко всем данным в мое отсутствие, так как они имеют главный ключ. EFS хорошо работает с документами, к которым я не хочу, чтобы мой отдел информационных технологий или менеджер имели доступ. Aganju 5 лет назад 0
@Aganju: та же ИТ-группа, вероятно, уже развернула политику, которая обозначает [агент восстановления данных EFS] (https://docs.microsoft.com/en-us/windows/security/information-protection/windows-information-protection / создать-и-проверять-ан-EFS, DRA-сертификат). Если у вас есть документы, к которым у вашего ИТ-отдела нет доступа, не храните их вообще на устройстве компании. grawity 5 лет назад 5
"Bitlocker (...) encrypts all existing data (...) works at whole-disk level" -> you forgot to mention partitions. With an HDD with 2 partitions, I activated Bitlocker to encrypt only 1 of them (the one with the data, not the OS). When booting with a linux-based OS, only the data from the unencrypted partition can be read. CPHPython 5 лет назад 2
@CPHPython: Да, и именно здесь это, вероятно, становится противоречивым - в программном режиме он может зашифровать только раздел, но в режиме SSD (OPAL2) я не уверен, существует ли такая возможность. Я думаю, что он блокирует весь диск и (насколько мне удалось понять OPAL) 'PBA' разблокирует его до запуска любой операционной системы. grawity 5 лет назад 0

Похожие вопросы