Что BitLocker на самом деле шифрует и когда?

34

Мне нужно полное шифрование диска для бизнес-ноутбуков, работающих под управлением текущей версии Windows 10 Pro. Компьютеры имеют твердотельный накопитель NVMe от Samsung и процессор Intel Core i5-8000.

Из сегодняшних веб-исследований на данный момент доступно только два варианта: Microsoft BitLocker и VeraCrypt. Я полностью осознаю состояние открытого и закрытого источника и последствия для безопасности, которые с этим связаны.

После прочтения некоторой информации о BitLocker, которую я никогда раньше не использовал, у меня сложилось впечатление, что начиная с Windows 10 BitLocker шифрует только новые записанные данные на диске, но не все, что уже существует, по соображениям производительности. (Эта документация говорит, что у меня есть выбор, но я не делаю. Они не спрашивали меня, что я хочу после активации.) В прошлом я использовал системное шифрование TrueCrypt и знаю, что существующее шифрование данных является видимой задачей, которая требует несколько часов. Я не могу наблюдать такое поведение с BitLocker. Нет заметного фонового процессора или активности диска.

Активировать BitLocker действительно легко. Нажмите кнопку, сохраните ключ восстановления в безопасном месте, готово. Тот же процесс с VeraCrypt заставил меня отказаться от этой идеи. Мне нужно было создать полностью работающее устройство восстановления, даже для тестирования на одноразовой системе.

Я также читал, что VeraCrypt в настоящее время имеет недостаток дизайна, который делает некоторые твердотельные накопители NVMe чрезвычайно медленными с системным шифрованием. Я не могу проверить это, потому что установка слишком сложна. По крайней мере, после активации BitLocker я не вижу значительного изменения производительности диска. Также у команды VeraCrypt недостаточно ресурсов для исправления этой «сложной ошибки». Кроме того, обновления Windows 10 не могут работать с VeraCrypt на месте , что делает необходимым частое полное шифрование и дисковое шифрование. Я надеюсь, что BitLocker работает лучше здесь.

Так что я почти остановился на использовании BitLocker. Но мне нужно понять, что он делает. К сожалению, в интернете практически нет информации об этом. Большинство состоит из сообщений в блоге, которые дают обзор, но не содержат краткой и углубленной информации. Поэтому я спрашиваю здесь.

Что происходит с существующими данными после активации BitLocker в системе с одним диском? Что происходит с новыми данными? Что значит «приостановить BitLocker»? (Не то же самое, что деактивировать его навсегда и тем самым расшифровать все данные на диске.) Как я могу проверить состояние шифрования или принудительно зашифровать все существующие данные? (Я не имею в виду неиспользуемое пространство, меня это не волнует, и оно требуется для твердотельных накопителей, см. TRIM.) Существуют ли более подробные данные и действия о BitLocker, кроме «приостановить» и «расшифровать»?

И, возможно, на заметку, как BitLocker относится к EFS (зашифрованная файловая система)? Если только недавно записанные файлы зашифрованы, EFS, похоже, имеет очень похожий эффект. Но я знаю, как работать с EFS, это гораздо понятнее.

ygoe
источник

Ответы:

41

Активация BitLocker запускает фоновый процесс, который шифрует все существующие данные. (На жестких дисках это традиционно длительный процесс, так как он требует считывания и перезаписи каждого сектора раздела - на дисках с самошифрованием это может быть мгновенным.) Поэтому, когда говорят, что зашифрованы только недавно записанные данные, это немедленно относится к состоянию. после активации BitLocker и становится недействительным после завершения фоновой задачи шифрования. Состояние этого процесса можно увидеть в том же окне панели управления BitLocker и при необходимости приостановить.

Статью Microsoft нужно внимательно прочитать: она на самом деле говорит о шифровании только используемых областей диска. Они просто рекламировать это как имеющие наибольшее влияние на свежие системы, где у вас нет каких - либо данных еще помимо базовой ОС (и , следовательно , все данные будут «вновь написано»). То есть, Windows 10 будет шифровать все существующие файлы после активации - он просто не будет тратить время шифрования секторов диска , которые не содержат ничего еще. (Вы можете отказаться от этой оптимизации с помощью групповой политики.)

(В статье также указывается на обратную сторону: области, в которых ранее содержались удаленные файлы, также будут пропущены как «неиспользуемые». Поэтому, если шифруется хорошо используемая система, выполните очистку свободного места с помощью инструмента, а затем позвольте Windows запустить TRIM, если у вас есть SSD, все до активации BitLocker. Или используйте групповую политику, чтобы отключить это поведение.)

В той же статье также упоминаются последние версии Windows, поддерживающие самошифрующиеся твердотельные накопители с использованием стандарта OPAL. Поэтому причина, по которой вы не видите никаких фоновых операций ввода-вывода, может заключаться в том, что SSD был внутренне зашифрован с первого дня, и BitLocker распознал это и взял на себя управление ключами только на уровне SSD вместо дублирования усилий шифрования на уровне ОС. Таким образом, SSD больше не разблокируется при включении, но для этого требуется Windows. Это можно отключить с помощью групповой политики, если вы предпочитаете, чтобы операционная система обрабатывала шифрование независимо.

Приостановка BitLocker приводит к тому, что незашифрованная копия «главного» ключа записывается непосредственно на диск. (Обычно этот главный ключ сначала зашифровывается с помощью вашего пароля или доверенного платформенного модуля.) Пока он приостановлен, это позволяет самостоятельно разблокировать диск - явно небезопасное состояние, но позволяет Центру обновления Windows перепрограммировать доверенный платформенный модуль в соответствии с обновленной ОС. , например. Возобновление BitLocker просто стирает этот простой ключ с диска.

BitLocker не имеет отношения к EFS - последний работает на уровне файлов, связывая ключи с учетными записями пользователей Windows (позволяя детализировать конфигурацию, но делая невозможным шифрование собственных файлов ОС), тогда как первый работает на уровне всего диска. Они могут использоваться вместе, хотя BitLocker в основном делает EFS избыточным.

(Обратите внимание, что и BitLocker, и EFS имеют механизмы, позволяющие администраторам корпоративных каталогов Active Directory восстанавливать зашифрованные данные - либо путем резервного копирования главного ключа BitLocker в AD, либо путем добавления агента восстановления данных EFS во все файлы.)

grawity
источник
Хороший обзор, спасибо. Что касается последнего предложения: я вижу много вариантов использования - BitLocker шифрует мой жесткий диск против людей за пределами компании, но моя ИТ-группа может получить доступ ко всем данным в мое отсутствие, поскольку у них есть главный ключ. EFS хорошо работает с документами, к которым я не хочу, чтобы мой отдел информационных технологий или менеджер имели доступ.
Аганью,
6
@Aganju: та же ИТ-группа, вероятно, уже развернула политику, которая определяет агент восстановления данных EFS . Если у вас есть документы, к которым у вашего ИТ-отдела нет доступа, не храните их вообще на устройстве компании.
благодарность
2
«Bitlocker (...) шифрует все существующие данные (...) работает на уровне всего диска» -> вы забыли упомянуть разделы. На жестком диске с двумя разделами я активировал Bitlocker для шифрования только одного из них (тот, что содержит данные, а не ОС). При загрузке с ОС на основе Linux могут быть прочитаны только данные из незашифрованного раздела.
CPHPython
@CPHPython: Да, и именно здесь это, вероятно, становится противоречивым - в программном режиме он может зашифровать только раздел, но в режиме SSD (OPAL2) я не уверен, существует ли такая возможность. Я думаю, что он блокирует весь диск и (насколько мне удалось понять OPAL) «PBA» разблокирует его до запуска любой ОС.
Грэвити