Шифрование диска Windows BitLocker – это средство защиты данных, доступное в операционных системах Windows Vista Enterprise и Windows Vista Ultimate, а также в Windows Server 2008. BitLocker обеспечивает улучшенную защиту от кражи или раскрытия данных, находившихся на потерянных или украденных компьютерах, и более безопасное удаление данных при списании компьютеров, защищенных BitLocker.

К данным на потерянном или украденном компьютере можно получить несанкционированный доступ с помощью программного средства взлома, либо путем подключения жесткого диска к другому компьютеру. Шифрование BitLocker помогает предотвратить несанкционированный доступ к данным на потерянных или украденных компьютерах, объединяя две основных процедуры защиты данных.

• Шифрование всего тома операционной системы Windows на жестком диске. BitLocker выполняет шифрование всех системных и пользовательских файлов на томе операционной системы, включая файл подкачки и файл спящего режима.
  
  
• Проверка целостности компонентов загрузки и данных конфигурации загрузки. На компьютерах с доверенным платформенным модулем (TPM) версии 1.2 BitLocker использует расширенные инструменты безопасности TPM, чтобы гарантировать, что данные пользователя будут доступны, только если компоненты загрузки системы не были изменены и зашифрованный диск находится в исходном компьютере.
  
  

Тесная интеграция BitLocker с ОС Windows Vista предоставляет организациям расширенные средства защиты данных с удобным управлением и настройкой. Например, BitLocker может использовать существующую инфраструктуру доменных служб Microsoft Active Directory (AD DS) для удаленного хранения ключей восстановления BitLocker. BitLocker также предоставляет консоль восстановления, которая позволяет извлекать данные из компьютеров, не входящих в домен, или из компьютеров, которые не могут подключиться к домену (например, для переносных компьютеров).

При включении BitLocker на компьютере с модулем TPM версии 1.2 к защите TPM можно добавить дополнительный фактор проверки подлинности. BitLocker предлагает возможность блокировки обычного процесса загрузки, пока пользователь не введет личный идентификационный номер (ПИН-код) или не вставит съемное USB-устройство, например флэш-диск, с ключом запуска BitLocker. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что компьютер не будет запущен или выведен из спящего режима, пока не будет предоставлен правильный ПИН-код или ключ запуска.

Чтобы воспользоваться всеми возможностями BitLocker, компьютер должен соответствовать требованиям к оборудованию и программному обеспечению, приведенным в следующей таблице.

Требования BitLocker к оборудованию и программному обеспечению

*Наличие модуля TPM не является обязательным условием для работы BitLocker, однако, только такой модуль обеспечивает для компьютера дополнительную защиту за счет проверки целостности системы при загрузке.

Два раздела необходимы для работы BitLocker, поскольку предварительная проверка подлинности и целостности системы должны проходить вне зашифрованного тома операционной системы. Такая конфигурация позволяет защитить операционную систему и данные на зашифрованном томе. Незашифрованный системный том должен иметь размер не менее 1,5 ГБ, которого достаточно для загрузочных файлов, среды предзагрузочного выполнения Windows (WinPE) и других файлов установки или обновления программ. Производители компьютеров и корпоративные заказчики также могут размещать в этом томе системные инструменты или средства восстановления.

BitLocker поддерживает модуль TPM версии 1.2. BitLocker не поддерживает старые модули TPM. Модули версии 1.2 обеспечивают расширенную стандартизацию, улучшение безопасности и функциональности по сравнению с предыдущими версиями. ОС Windows Vista разрабатывалась с учетом этих улучшений модуля TPM.

В панели управления BitLocker щелкните ссылку Включить BitLocker. Если при этом выдается следующее сообщение об ошибке, то компьютер не имеет модуля TPM версии 1.2 либо BIOS не совместима с BitLocker или с модулем TPM:

Доверенный платформенный модуль не найден. Чтобы включить BitLocker, необходим доверенный платформенный модуль. Если на данном компьютере имеется доверенный платформенный модуль, обратитесь к изготовителю компьютера, чтобы получить BIOS, совместимый с шифрованием BitLocker.

При получении этого сообщения об ошибке обратитесь к производителю компьютера, чтобы узнать, имеется ли на компьютере модуль TPM версии 1.2, или чтобы получить обновление BIOS.

На некоторых компьютерах может иметься модуль TPM, который не отображается в оснастке TPM консоли управления MMC Windows Vista (tpm.msc). Если вы считаете, что на компьютере имеется модуль TPM версии 1.2 и получаете эту ошибку, обратитесь к производителю компьютера, чтобы загрузить обновление BIOS. Кроме того, некоторые производители устанавливают параметр BIOS, который по умолчанию скрывает модуль TPM, а другие производители закрывают доступ к этому модулю, если он не включен в BIOS. Если вы считаете, что имеющийся модуль TPM скрыт в BIOS, обратитесь к документации производителя за подробными инструкциями о том, как открыть или включить доверенный платформенный модуль.

Да. Включить BitLocker на компьютере без модуля TPM версии 1.2 можно при условии, что BIOS позволяет считывать данные с USB-устройства флэш-памяти в среде загрузки. Это объясняется тем, что BitLocker не снимет блокировку с защищенного тома до освобождения собственного основного ключа тома BitLocker с помощью модуля TPM компьютера или USB-устройства флэш-памяти, на котором находится ключ запуска BitLocker для данного компьютера. Однако на компьютерах без доверенного платформенного модуля не удастся использовать проверку целостности системы, которую также предоставляет BitLocker.

Чтобы определить, можно ли на компьютере считывать данные с USB-устройства во время загрузки, воспользуйтесь проверкой системы BitLocker в процессе установки BitLocker. В ходе этой проверки выполняется ряд тестов, позволяющих выяснить, можно ли на компьютере считывать данные с USB-устройств в нужное время, а также удовлетворяет ли компьютер другим требованиям BitLocker.

Чтобы включить BitLocker на компьютере без модуля TPM, воспользуйтесь групповой политикой для включения расширенного пользовательского интерфейса BitLocker. После включения расширенных параметров в мастере установки BitLocker появятся параметры, не относящиеся к модулю TPM. Инструкции по использованию групповой политики для включения расширенных пользовательских параметров см. по адресу http://go.microsoft.com/fwlink/?LinkId=83223.

Обратитесь к производителю компьютера, чтобы получить BIOS, соответствующую стандартам Trusted Computing Group (TCG). При запросе BIOS следует задать следующие вопросы.

1. Имеется ли в компьютере BIOS, поддерживающая Windows Vista? Проходит ли компьютер тесты по программе Windows Vista Logo?
   
   
2. Соответствeует ли BIOS стандартам Trusted Computing Group (TCG)?
   
   
3. Имеется ли в BIOS безопасный механизм обновления, позволяющий не допустить установки на компьютере измененной BIOS?
   
   

BitLocker включается в версии Windows Vista Ultimate и Windows Vista Enterprise. В ОС Windows XP шифрование BitLocker отсутствует.

Сначала необходимо установить Windows Vista Ultimate или Windows Vista Enterprise, а затем запустить средство подготовки диска BitLocker. Это средство автоматически настраивает разметку раздела диска для использования BitLocker. Дополнительные сведения о средстве подготовки диска BitLocker см. по адресу http://go.microsoft.com/fwlink/?LinkId=83261.

При выборе варианта Расшифровать происходит снятие защиты BitLocker и выполняется полная расшифровка тома.

При выборе варианта Отключить данные остаются зашифрованными, но основной ключ тома BitLocker шифруется незащищенным ключом. Незащищенный ключ – это ключ шифрования, хранящийся на диске в незашифрованном виде. Хранение этого ключа в незашифрованном виде позволяет проводить изменения и обновления компьютера без затрат времени и других издержек на расшифровку и повторное шифрование всего тома. После внесения изменения и включения BitLocker ключ шифрования снова запечатывается с использованием новых значений отслеживаемых компонентов, которые изменились в ходе обновления.

Перед установкой любых системных обновлений, включая обновления Windows Anytime Upgrade, диск необходимо расшифровать. Перед установкой различных обновлений от сторонних производителей программного обеспечения шифрование BitLocker необходимо отключить. Для установки обновлений из Центра обновления Майкрософт расшифровывать диск или выключать BitLocker не нужно.

В следующей таблице показано, следует ли отключать BitLocker или расшифровывать диск перед установкой обновлений.

После установки обновления можно снова включить BitLocker. После включения BitLocker ключ шифрования снова запечатывается с использованием новых значений отслеживаемых компонентов, которые изменились в ходе обновления. Если эти обновления применялись без расшифровки диска или отключения BitLocker, то при перезагрузке компьютер перейдет в режим восстановления и для доступа к нему потребуется ключ восстановления или пароль.

Да, автоматизировать развертывание и настройку BitLocker можно с помощью сценариев, использующих поставщики WMI для администрирования BitLocker и модуля TMP. Способ реализации сценариев зависит от используемой среды. Кроме того, для локальной или удаленной настройки BitLocker можно использовать программу командной строки BitLocker (manage-bde.wsf). Дополнительные сведения о создании сценариев, использующих поставщики WMI для BitLocker, см. по адресу http://go.microsoft.com/fwlink/?LinkId=80600.

BitLocker предоставляет пользовательский интерфейс для шифрования всего тома операционной системы, включая системные файлы Windows и файл спящего режима. Для защиты других томов в Windows Vista можно использовать файловую систему EFS. Ключи EFS по умолчанию хранятся на томе операционной системы. Поэтому если шифрование BitLocker включено для тома операционной системы, то все данные, защищенные в EFS, также будут косвенно защищаться BitLocker. Кроме того, опытные пользователи могут шифровать локальные тома с данными с помощью программы командной строки (manage-bde.wsf).

Нет, при обычном использовании шифрование BitLocker не оказывает заметного влияния на производительность компьютера. Как правило, оно увеличивает нагрузку на систему не больше, чем на 10%.

В большинстве случаев шифрование BitLocker проходит со скоростью примерно 1 ГБ в минуту. Шифрование выполняется в фоновом режиме и пользователь может продолжать работать в системе.

При выключении компьютера процессы шифрования и расшифровки BitLocker прерываются. При следующем запуске Windows они возобновляются с места остановки.. То же происходит и при внезапном отключении питания.

При шифровании BitLocker нельзя игнорировать пустое пространство на томе, потому что в невыделенном дисковом пространстве, как правило, находятся остатки данных, которые пользователи считают удаленными. Однако шифровать свободное пространство тома неэффективно. Чтобы решить эту проблему, BitLocker сначала создает большой файл-заглушку, который занимает большую часть свободного дискового пространства, а затем удаляет секторы диска, принадлежащие этому файлу. В ходе этого процесса BitLocker оставляет 6 ГБ пространства для текущих потребностей системы. Все остальное пространство, включая 6 ГБ свободного пространства, не занятого файлом-заглушкой, шифруется. Когда шифрование тома приостанавливается или завершается, файл-заглушка удаляется, а объем свободного пространства возвращается в нормальное значение.

Дополнительные сведения об этом процессе см. по адресу http://go.microsoft.com/fwlink/?LinkId=83240.

Нет. При чтении и записи данных BitLocker не выполняет шифрование или расшифровку всего тома. Зашифрованные секторы на томе, защищенном BitLocker, расшифровываются, только если запрашиваются системными операциями чтения. Блоки, записываемые на том, шифруются до того, как система запишет их на физический диск. На томе с включенной защитой BitLocker не может быть незашифрованных данных..

Если есть опасность, что пользователи по неосторожности могут хранить данные в незашифрованных томах, используйте списки управления доступом (ACL) и групповую политику, чтобы задать управление доступом к тому или скрыть букву диска.

Дополнительные сведения о том, как скрывать буквы диска, см. по адресу http://go.microsoft.com/fwlink/?LinkId=83219.

При следующих изменениях системы могут возникать ошибки проверки целостности, а доверенный платформенный модуль не будет освобождать ключ BitLocker для расшифровки защищенного тома:

• перемещение диска, защищенного шифрованием BitLocker, на новый компьютер;
  
  
• установка новой системной платы с новым модулем TPM;
  
  
• отключение, запрещение или очистка доверенного платформенного модуля;
  
  
• изменение BIOS, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки или других компонентов или конфигурации загрузки.
  
  

Это действует по умолчанию. В BitLocker несанкционированное изменение любого компонента загрузки рассматривается как потенциальная атака, после чего происходит перевод системы в режим восстановления. Авторизованные администраторы могут обновлять компоненты загрузки без перехода в режим восстановления, предварительно отключив BitLocker.

Да. При включенном шифровании BitLocker разные жесткие диски на одном компьютере можно менять местами, но только если защита BitLocker для этих дисков была включена на одном компьютере.

Если другой компьютер работает под управлением Windows Vista Ultimate или Windows Vista Enterprise, зашифрованный жесткий диск можно разблокировать в панели управления BitLocker.

Примечание
Это быстрый и очевидный способ восстановления данных со сломанного компьютера, в котором на жестком диске есть том с защитой BitLocker.

При снятии блокировки жесткого диска с защитой BitLocker на другом компьютере единственной доступной операцией проверки подлинности будет восстановление. Жесткий диск появится в панели управления BitLocker с возможностью разблокировать том с помощью пароля или ключа восстановления.

Да. На компьютере под управлением Windows Vista Ultimate или Windows Vista Enterprise с включенной защитой BitLocker может быть установлена другая операционная система. Дополнительные сведения о том, как установить и настроить на компьютере две операционные системы, см. по адресу http://go.microsoft.com/fwlink/?LinkId=83222.

Для использования в BitLocker могут создаваться разные ключи. Некоторые ключи обязательны, а некоторые предоставляют дополнительные средства защиты, которые можно использовать в зависимости от нужного уровня безопасности.

Пароль владельца модуля TPM

Чтобы включить шифрование BitLocker на компьютере с модулем TPM версии 1.2, этот модуль необходимо инициализировать. При инициализации создается пароль владельца модуля TPM, который устанавливается в самом модуле. Чтобы включить или отключить модуль TPM, можно использовать пароль владельца TPM. Дополнительные сведения об управлении модулем TPM см. по адресу http://go.microsoft.com/fwlink/?LinkId=83223.

Пароль и ключ восстановления

При установке BitLocker необходимо создать пароль восстановления. Если компьютер перейдет в состояние восстановления, для снятия блокировки зашифрованных данных на томе понадобятся эти данные (пароль или ключ восстановления). Пароль восстановления можно сохранить в одном из следующих форматов.

• В виде числового пароля, состоящего из 48 цифр, разделенных на 8 групп. При восстановлении необходимо ввести этот пароль в консоли восстановления BitLocker с помощью функциональных клавиш на клавиатуре.
  
  
• В виде ключа восстановления, сохраняемого в файле на USB-устройстве флэш-памяти, в формате консоли восстановления BitLocker. Во время восстановления потребуется подключить это USB-устройство к компьютеру.
  
  

ПИН-код

Для повышения уровня безопасности при использовании модуля TPM можно настроить BitLocker с помощью персонального идентификационного номера (ПИН-кода). ПИН-код – это значение, задаваемое пользователем, которое необходимо указывать каждый раз при запуске компьютера или выхода из спящего режима. Длина ПИН-кода может быть от 4 до 20 цифр, и хранится он в виде 256-разрядного хэша введенных символов Юникода. Это значение не отображается для пользователя ни каком виде и ни по каким причинам. ПИН-код используется в качестве дополнительного фактора проверки подлинности вместе с проверкой подлинности в модуле TPM.

Ключ запуска

Установка ключа запуска – это еще один способ повысить уровень безопасности при использовании модуля TPM. Ключ запуска хранится на USB-устройстве флэш-памяти, которое необходимо подключать каждый раз при запуске компьютера. Ключ запуска используется в качестве дополнительного фактора проверки подлинности вместе с проверкой подлинности в модуле TPM.

Важно!
Ключ запуска необходим, чтобы использовать BitLocker на компьютере без модуля TPM.

Дополнительные сведения о ключах BitLocker см. по адресу http://go.microsoft.com/fwlink/?LinkId=83225.

Пароль восстановления можно сохранить в папке, на одном или нескольких USB-устройствах или распечатать на бумаге. Администратор домена также может настроить групповую политику для автоматического создания паролей восстановления и закрытым образом сохранять их в доменных службах Active Directory (AD DS). Дополнительные сведения о том, как хранить данные для восстановления в службах AD DS, см. по адресу http://go.microsoft.com/fwlink/?LinkId=67438.

Да. Для этого можно использовать программу командной строки manage-bde.wsf. Например, если шифрование BitLocker включено только с проверкой подлинности в модуле TPM и необходимо добавить проверку подлинности с помощью ПИН-кода, выполните следующую команду:

cscript %systemroot%\system32\manage-bde.wsf –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Список параметров manage-bde.wsf можно просмотреть с помощью следующей команды:

cscript %systemroot%\system32\manage-bde.wsf -?

Без необходимой проверки подлинности защищенные шифрованием BitLocker данные восстановить нельзя. Находясь в режиме восстановления, пользователь должен указать пароль или ключ восстановления, чтобы разблокировать зашифрованный диск. Поэтому настоятельно рекомендуется хранить данные для восстановления в доменных службах Active Directory или в другом надежном расположении.

Тем не менее это ценная возможность при списании, продаже или повторном развертывании компьютера. Компьютер можно перевести в состояние восстановления так, что доступ к содержимому зашифрованного тома сможет иметь только владелец данных для восстановления.

Это технически возможно, однако, использовать одно USB-устройство флэш-памяти для хранения обоих ключей не рекомендуется. При потере или краже USB-устройства с ключом запуска также будет потерян ключ восстановления. Кроме того, при подключении этого ключа компьютер автоматически будет загружаться с помощью ключа восстановления, даже если отслеживаемые модулем TPM файлы были изменены, что позволяет обойти проверку целостности системы в TPM.

Да. Хранить ключ запуска для компьютера на нескольких USB-устройствах флэш-памяти можно.

Да. Хранить ключи запуска BitLocker для разных компьютеров на одном USB-устройстве флэш-памяти можно.

Создать разные ключи запуска для одного компьютера можно с помощью сценария. Однако для компьютеров с модулем TPM наличие разных ключей запуска не позволяет BitLocker использовать проверку целостности системы в TPM.

Создать несколько ПИН-кодов технически возможно, но это не поддерживается и не рекомендуется.

Необработанные данные шифруются с помощью полного ключа шифрования тома, который затем шифруется с помощью основного ключа тома. В свою очередь основной ключ тома шифруется одним из способов, который зависит от метода проверки подлинности (с помощью средств защиты ключей или модуля TPM) и сценариев восстановления. В следующей таблице описываются методы шифрования основного ключа тома.

Методы шифрования основного ключа тома

Полный ключ шифрования тома шифруется с помощью основного ключа тома и хранится на зашифрованном томе. Основной ключ тома шифруется соответствующим средством защиты ключей и хранится на зашифрованном томе. Незащищенный ключ, используемый для шифрования основного ключа тома, также хранится на зашифрованном томе вместе с зашифрованным основным ключом тома.

В следующей таблице показано, где хранятся ключи шифрования BitLocker и какие ключи используются для шифрования других ключей.

Размещение ключей BitLocker и данные для шифрования

Такая система хранения гарантирует, что основной ключ тома никогда не будет храниться в незашифрованном виде и всегда будет защищен при включенном шифровании BitLocker. Для избыточности ключи сохраняются в два дополнительных расположения на томе. Ключи могут считываться и обрабатываться диспетчером загрузки.

Клавиши F1-F10 имеют универсальные коды опроса, действующие в предзагрузочной среде на всех компьютерах и на всех языках. Клавиши цифровой клавиатуры 0-9 нельзя использовать в предзагрузочной среде на всех клавиатурах.

ПИН-код может быть раскрыт злоумышленником с помощью атаки методом подбора. Атака методом подбора возможна при использовании злоумышленником автоматического средства для проверки разных ПИН-кодов до обнаружения правильного. Для применения такой атаки, также известной как атака с перебором по словарю, к компьютерам с защитой BitLocker злоумышленник должен иметь физический доступ к компьютеру.

Модуль TPM имеет встроенные средства обнаружения и ответа на атаки такого типа. В модулях TPM от разных производителей могут использоваться разные средства противодействия атакам, поэтому чтобы узнать, как данный компьютер противодействует атакам методом подбора, обратитесь к производителю своего модуля TPM.

Определив производителя используемого модуля TPM, обратитесь к нему, чтобы получить необходимые данные от производителя. Большинство производителей используют счетчик неудачных попыток проверки подлинности с помощью ПИН-кода, экспоненциально повышая время блокировки интерфейса ввода ПИН-кода. Однако у разных производителей действуют разные правила относительно того, когда и каким образом значение счетчика неудачных попыток уменьшается или сбрасывается.

При оценке механизма противодействия атакам с перебором по словарю задайте производителю TPM следующие вопросы.

• После скольких неудачных попыток проверки подлинности происходит блокировка?
  
  
• По какому алгоритму определяется продолжительность блокировки на основании числа неудачных попыток и других параметров?
  
  
• В каких случаях происходит уменьшение или сброс значения счетчика неудачных попыток?
  
  

Использовать групповую политику для установки правил использования ПИН-кодов в BitLocker нельзя. Однако групповую политику можно использовать, чтобы с помощью мастера настройки BitLocker сделать обязательным или запретить создание ПИН-кодов. Дополнительные сведения о параметрах безопасности групповой политики см. в руководстве по безопасности Windows Vista по адресу http://go.microsoft.com/fwlink/?LinkId=82582.

При шифровании BitLocker пользовательский ПИН-код хэшируется с помощью алгоритма SHA-256, и первые 160 битов хэша используются в качестве данных авторизации, посылаемых модулю TPM для запечатывания основного ключа тома. Теперь основной ключ тома защищен как модулем TPM, так и с помощью ПИН-кода. Чтобы распечатать основной ключ тома, пользователю потребуется вводить ПИН-код при каждом запуске компьютера или его выходе из спящего режима.

Это зависит от операционной системы и реализации служб AD DS.

Windows Server 2003 с пакетом обновления 1 (SP1)

Схему необходимо расширить, чтобы иметь возможность хранить пароли и данные для восстановления BitLocker и TPM в службах AD DS в ОС Windows Server 2003 с пакетом обновления 1 (SP1).

Windows Server 2008

Для служб AD DS в ОС Windows Server 2008, начиная с бета-версии 3, схема уже включает необходимые атрибуты.

В службах AD DS хранятся данные трех основных типов. Подробности см. в следующей таблице.

Основные типы данных, хранящихся в службах AD DS

Для шифрования данных для восстановления при передаче с клиента Windows Vista в службы AD DS устанавливаются флаги проверки подлинности. В BitLocker устанавливаются флаги проверки подлинности ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING и ADS_USE_SIGNING. Дополнительные сведения об этих флагах см. по адресу http://go.microsoft.com/fwlink/?LinkId=102659.

Да. В текущей версии BitLocker данные для восстановления хранятся в службах AD DS в незашифрованном виде, но для них определены списки управления доступом (ACL), что позволяет обращаться к ним только администраторам домена.

Если злоумышленник получает полный доступ к службам AD DS, то под угрозой оказываются все компьютере в домене, включая компьютеры с защитой BitLocker. Дополнительные сведения о защите доступа к службам AD DS см. по адресу http://go.microsoft.com/fwlink/?LinkId=83266.

Если шифрование BitLocker включено на компьютере до применения групповой политики для проведения резервного копирования, то данные для восстановления не будут автоматически скопированы в службы AD DS при присоединении компьютера к домену или при последующем применении групповой политики.

Инструментарий управления Windows (WMI) для BitLocker позволяет написать сценарий для резервного копирования или синхронизации существующих данных для восстановления клиента, однако BitLocker не осуществляет автоматическое управление этим процессом.

Важно!
В организации все новые компьютеры первым делом должны присоединяться к домену. После присоединения к домену сохранение ключа восстановления BitLocker в службах AD DS происходит автоматически (если это включено в групповой политике).

Нет. Записи с паролями восстановления BitLocker не удаляются из служб AD DS, поэтому для каждого компьютера может храниться несколько паролей. Чтобы найти последний пароль, проверьте дату создания объекта.

Алгоритмом шифрования в BitLocker является AES с длиной ключа в 128 или 256 бит, а также с возможностью использования диффузора. Шифрование по умолчанию – это AES 128 + диффузор, но эти параметры можно изменить в групповой политике. Дополнительные сведения о методе шифрования в BitLocker см. по адресу http://go.microsoft.com/fwlink/?LinkId=80598.

Диффузор используется для противодействия потенциальным атакам, в которых используется изменение зашифрованных данных для создания угрозы безопасности в системе. При использовании диффузора небольшие изменения зашифрованного текста сектора приводят к изменению всего сектора при расшифровке данных. Это значительно затрудняет проведение нацеленных атак. Дополнительные сведения о методе шифрования в BitLocker см. по адресу http://go.microsoft.com/fwlink/?LinkId=80598.

Самый высокий уровень безопасности BitLocker достигается на компьютере с модулем TPM версии 1.2 и BIOS, соответствующей стандартам TCG, а также с использованием ключа запуска или ПИН-кода.. Эти методы обеспечивают дополнительную проверку подлинности, требуя дополнительного физического ключа (USB-устройство флэш-памяти с программным ключом) или ПИН-кода, заданного пользователем.

В базовой конфигурации BitLocker (с модулем TPM, но без дополнительной проверки подлинности) обеспечивает дополнительную защиту в режиме ожидания и в спящем режиме. Однако при использовании расширенной проверки подлинности (TPM+ПИН-код, TPM+USB-устройство или USB-устройство) BitLocker предоставляет более высокий уровень безопасности в спящем режиме. Этот метод более надежен, поскольку при выходе из спящего режима требуется пройти проверку подлинности BitLocker.

В большинстве операционных систем используется общее пространство памяти и управление физической памятью осуществляется средствами самой операционной системы. Модуль TPM – это аппаратный компонент, в котором используются собственная микропрограмма и правила для обработки инструкций, что позволяет оградить его от уязвимостей внешнего программного обеспечения. Для атаки на модуль необходим физический доступ к компьютеру. Кроме того, для атаки на оборудование требуются редкие навыки и дорогостоящие средства, которые сложнее получить по сравнению с навыками и средствами для взлома программного обеспечения. А поскольку модуль TPM на каждом компьютере уникален, атака нескольких компьютеров с модулями TPM оказывается сложным и дорогим мероприятием.

Примечание
Установка в BitLocker дополнительного фактора проверки подлинности обеспечивает еще большую защиту против попыток взлома модуля TPM.

Корпорация Майкрософт в настоящий момент находится в процессе получения сертификата FIPS 140-2 и сертификата Common Criteria для шифрования диска BitLocker.

Да. Систему EFS можно использовать для шифрования файлов на томе с защитой BitLocker. BitLocker помогает защитить весь том операционной системы от атак в автономном режиме, а EFS предоставляет возможности дополнительного пользовательского шифрования на уровне файлов для безопасного разделения данных разных пользователей на одном компьютере. Файловую систему EFS также можно использовать в ОС Windows Vista для шифрования файлов на других томах, незашифрованных BitLocker. Корневые ключи шифрования системы EFS по умолчанию хранятся на томе операционной системы, поэтому если шифрование BitLocker включено для тома операционной системы, то данные, зашифрованные EFS на других томах, также оказываются косвенно защищенными BitLocker.

Да. Однако отладчик необходимо включить до включения BitLocker. Включение отладчика гарантирует, что при запечатывании в модуле TPM будут вычислены правильные значения, обеспечивая нормальный запуск компьютера. Если при использовании BitLocker требуется включить или отключить отладчик, сначала отключите BitLocker, чтобы избежать перехода компьютера в режим восстановления.

В Windows Vista реализован измененный стек драйверов хранилища, который гарантирует шифрование дампов памяти при включенном BitLocker.

В настоящий момент BitLocker не поддерживает смарт-карты для проверки подлинности перед загрузкой. Сейчас не существует единого промышленного стандарта поддержки смарт-карт в BIOS, и в большинстве компьютеров такая поддержка либо не реализуется, либо реализуется поддержка только определенных смарт-карт и устройств чтения. Отсутствие стандартов делает поддержку смарт-карт очень сложной. Корпорация Майкрософт рассматривает варианты поддержки смарт-карт для проверки подлинности до загрузки.

Драйверы TPM от сторонних производителей не поддерживаются, и корпорация Майкрософт настоятельно не рекомендует их использовать. При использовании драйвера TPM от стороннего производителя корпорация Майкрософт не может гарантировать безопасность и стабильность системы.

Основные службы модуля TPM (TBS) предоставляют интерфейс программирования приложений (API) очень низкого уровня, который обеспечивает интерфейс для промежуточного программного обеспечения, такого как реализации программного стека Trusted Computing Group (TSS), который используется для непосредственного взаимодействия с модулем TPM. Производители программного обеспечения, желающие использовать функции TPM в своих приложениях, должны использовать TSS или другой API-интерфейс уровня приложений и не должны использовать основные службы модуля TPM напрямую. Некоторые производители TSS предлагают свои версии программного уровня, написанные для использования служб TBS.

Чтобы определить производителя модуля TPM, выполните следующие действия.

1. Нажмите кнопку Пуск и в окне Начать поиск введите tpm.msc.

2. Производитель модуля TPM указан на основной панели в области Сведения об изготовителе TPM.

Примечание
Поле Название производителя в списке Сведения об изготовителе TPM содержит данные из модуля TPM, часто представляющие собой аббревиатуру (например, ATML для Atmel, BRCM для Broadcomm и IFX для Infineon).

Корпорация Майкрософт не рекомендует это по ряду причин, связанных с безопасностью, надежностью и поддержкой продукта. Изменения основной загрузочной записи (MBR) могут изменить среду безопасности и нарушить нормальный запуск компьютера, а также затруднить все попытки восстановления из поврежденной записи MBR. Изменения записи MBR любыми средствами, кроме Windows Vista, могут привести к переходу компьютера в режим восстановления.

Поддержку компьютеров с расширенным микропрограммным интерфейсом (EFI) планируется реализовать в Windows Server 2008, однако, на данный момент в Windows Vista она отсутствует. В настоящее время производится лишь небольшое число компьютеров с поддержкой EFI, поэтому корпорация Майкрософт сосредоточилась на обеспечении поддержки обычных BIOS, установленных в большинстве систем сегодня. При увеличении числа устройств на базе EFI корпорация Майкрософт может ввести поддержку EFI.