Kriptirane s BitLocker

Икономически университет – Варна

Факултет „Магистърско обучение”

по Безопасност и защита на компютърни системи и приложения

На тема: Криптиране на данни с технологията Bi t locker

Изготвил: Проверили: Десислава Петрова – V курс Доц. д-р. Стефан Дражев Фак. № 500036 Ас. Радка Начеваспец. – ИТ иновации в бизнеса

„Криптиране на данни с технологията BitLocker”

гр. Варна, 2014 г

:СЪДЪРЖАНИЕВъведение.............................................................................................................................................3

1. Bitlocker Drive Encryption (BitLocker)............................................................................................4

Каква е разликата между шифроването на устройства с BitLocker и EFS (файловата система за шифроване)?.....................................................................................................................................6

Настройка на твърдия диск за шифроване с BitLocker...................................................................7

Режими на Bitlocker..........................................................................................................................8

Управление на ТРМ чип.................................................................................................................10

Как началният ключ за шифроване на диск с BitLocker дава по-голямо ниво на защита?........12

Включване на Bitlocker...................................................................................................................13

Предимства на Bitlocker:................................................................................................................16

Недостатъци на BitLocker...............................................................................................................17

2. Bitlocker To Go.............................................................................................................................17

ПОЛИТИКИ НА Bitlocker To Go.......................................................................................................18

3. BitLocker To Go Reader................................................................................................................22

Използване на BitLocker To Go Reader на компютър с инсталиран Windows Vista или Windows XP.....................................................................................................................................23

Заключение.........................................................................................................................................24

Видео за използване на BitLocker......................................................................................................24

Използвана литература......................................................................................................................25

Използвани Интернет източници......................................................................................................25

Page 2 of 25

Десислава Пламенова Петрова – фн. 500036


Въведение

Някои проучвания показват, че персоналът в средно голяма компания губи

средно по два лаптопа на година. Тези проучвания са установили, че излиза много по-

скъпо за организацията да се загуби лаптоп със секретна информация, отколкото самата

първоначална цена на лаптопа, като се добавят от десетки до хиляди долари. Най-

голямата загуба е свързана с това каква информация е била съхранена на компютъра и

влиянието, което ще се установи, ако този компютър попадне в конкуренцията. Често е

трудно да се установи точно каква информация е била съхранявана.

USB (Universal Serial Bus) устройствата са със същия проблем. Хората често ги

използват за пренасяне на важна информация от дома до работното място. Понеже тези

устройства са малки, лесно се губят.

Тези проучвания установили също така, че стойността на загубата на секретна

информация е значително по-малка, когато тази информация е напълно криптирана

(шифрована) с Bit Locker. В тези случаи организациите могат да бъдат сигурни, че

конкуренцията няма да има възможност да възстанови важна информация, която е

съхранявана на изгубения лаптоп или друго устройство. Не е нужно да се определя

какво е съхранявано там. Bitlocker и Bitlocker To Go осигуряват криптиране на целия

диск с информация, което защитава информацията, ако компютърът или друго

устройство за съхранение на информация, е откраднато или изгубено.

Page 3 of 25



1. Bitlocker Drive Encryption (BitLocker)

Това е средство за криптиране и системна защита на целия дял на компютъра.

Bitlocker е достъпен на компютри с инсталиран Windows 7 с версии Enterprise и

Ultimate, както и на Windows Server 2008 и Windows Server 2008 R2. Функцията му е да

защити компютрите от офлайн атаки. Офлайн атаките включват boot, използвайки

алтернативна операционна система в опит да се възстанови информация, съхранена на

хард диск; преместване на хард диска на компютъра и включването му към друг

компютър и опит за достъп до информацията, която съдържа.

Bitlocker осигурява пълно криптиране на диска на компютъра. Съществува

специален Bitlocker ключ за криптиране, без който информацията е недостъпна.

Bitlocker съхранява ключът за дяла на отделно безопасно място и стартира този ключ,

който прави информацията достъпна, само след като установи, че зареждането на

операционната система не представлява опит за атака на информацията.

Подобрената за Windows 7 функция BitLocker помага за по-безопасното

съхраняване на всичко - от документи до пароли - чрез шифроване на цялото

Page 4 of 25



устройство, на което се намират Windows и други данни. Когато функцията BitLocker е

включена, всеки файл, който се записва на това устройство, се шифрова автоматично.

Файловете остават шифровани само докато се съхраняват на шифрования диск.

Файловете, копирани на друг диск или компютър, се дешифрират. Ако се споделят

файлове с други потребители, например по мрежата, тези файлове са шифровани само

докато се съхраняват на шифрования диск, но те могат да се отварят нормално от

упълномощените потребители.

Ако се шифрова устройство с операционната система, по време на настройката

BitLocker проверява дали са налице условия, които биха представлява риск за защитата

(например промени в BIOS или файловете за начално стартиране). Ако бъде открит

потенциален риск, BitLocker ще заключи устройството с операционната система и ще

поиска специален ключ за възстановяване, за да го отключи. На всяка цена този ключ за

възстановяване трябва да се създаде, когато се включи BitLocker за пръв път, в

противен случай достъпът до файловете може да бъде завинаги загубен. Ако

компютърът разполага с TPM чип, BitLocker го използва, за да запечата ключовете,

използвани за отключване на шифрованото устройство с операционната система. При

стартиране на компютъра BitLocker търси в TPM ключовете за устройството и го

отключва1.

BitLocker може да се изключи по всяко време - временно, като го забраните, или

окончателно, като дешифрирате диска.

За разлика от файловата система за шифроване (EFS - Encrypting File System),

която позволява да се шифроват отделни файлове, BitLocker шифрова цялото

устройство. Всеки може да влиза и работи с файловете си както обикновено, но

BitLocker блокира опитите на хакери за достъп до системните файлове, на които те

разчитат, за да открият вашата парола или да получат достъп до твърдия ви диск, като

го свалят от вашия компютър и го монтират на друг компютър.

Шифроването е начин да се осигури защитата на съобщение или файл чрез

разбъркване на съдържанието му така, че да може да бъде прочетено само от лице,

което разполага с правилния ключ за шифроване, за да го разшифрова в оригиналното

му състояние.

1 http://windows.microsoft.com/bg-BG/windows-vista/BitLocker-Drive-Encryption-OverviewPage 5 of 25



Каква е разликатамеждушифроването на устройства сBitLocker и EFS ( файловата система зашифроване)?

Има няколко разлики между шифроването на устройства с BitLocker файловата

система за шифроване (EFS). Целта на BitLocker е да предпази всички лични и

системни файлове на устройството, където е инсталиран Windows (устройството с

операционната система), ако вашият компютър бъде откраднат или ако

неупълномощени потребители се опитат да получат достъп до файловете в него.

Можете да използвате BitLocker за шифроване на всички данни във фиксирани

устройства за съхранение на данни (например вътрешни твърди дискове) и BitLocker

To Go за шифроване на файлове в преносими устройства за съхранение на данни

(например външни твърди дискове или USB флаш устройства). EFS се използва, за да

защити отделни файлове на дисковете за всеки потребител поотделно. Таблицата по-

долу показва основните разлики между BitLocker и EFS2.

BitLocker Файлова система за шифроване (EFS)

BitLocker шифрова всички лични и системни файлове на устройството с операционната система, както и фиксираните и преносимите устройства за съхранение на данни.

EFS шифрова личните файлове и папки поотделно и не шифрова цялото съдържание на дадено устройство.

BitLocker не зависи от отделните потребителски акаунти, свързани с файлове. BitLocker е или включен, или изключен за всички потребители или групи.

EFS шифрова файлове в зависимост от свързания с тях потребителски акаунт. Ако на даден компютър има няколко потребители или групи, всеки от тях може да шифрова своите файлове независимо от останалите.

2 http://windows.microsoft.com/bg-BG/windows7/Whats-the-difference-between-BitLocker-Drive-Encryption-and-Encrypting-File-System

Page 6 of 25



BitLocker използва модула за надеждна платформа (TPM) - специален микрочип в много компютри, който поддържа разширени функции на защита за шифроване на устройството с операционната система.

EFS не изисква и не използва никакъв специален хардуер.

За да включите или изключите шифроването с BitLocker на устройството, на което е инсталиран Windows, както и на фиксираните устройства за съхранение на данни, трябва да сте администратор.

За да използвате EFS, не е нужно да сте администратор.

Можете да се използва едновременно шифроването на устройства с BitLocker и

файловата система за шифроване, за да получите защитата, предлагана и от двете

функционални възможности. Когато използвате EFS, ключовете за шифроване се

съхраняват в операционната система на компютъра. Въпреки, че ключове, използвани с

EFS са шифровани, тяхната защита все пак може да бъде нарушена, ако някой хакер

успее да влезе в устройството на операционната система. Използването на BitLocker за

шифроване на устройството с операционната система помага тези ключове да бъдат

защитени, като не позволява зареждане от системния диск или достъп до него, ако той

бъде инсталиран на друг компютър.

BitLockerНастройка на твърдия диск зашифроване с

За да се шифрова устройството, на което е инсталиран Windows, компютърът

трябва да разполага с два дяла: системен дял (който съдържа необходимите за

стартиране на компютъра файлове) и дял с операционната система (където се намира

Windows). Дялът с операционната система ще се шифрова, а системния дял ще остане

нешифрован, за да може да стартира компютърът3.

В предишните версии на Windows се налагаше тези дялове да се създават ръчно.

В новата версия на Windows тези дялове се създават автоматично. Ако компютърът

3 http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in-BitLocker-Drive-Encryption

Page 7 of 25



няма системен дял, съветникът на BitLocker ще създаде такъв, като използва 200 МБ от

свободното място на диска. На системния дял няма да се присвои буква и той няма да

се покаже в папката "Компютър"4.

BitlockerРежимина

Bitlocker може да бъде конфигуриран да

функционира на определен режим. Режимът, който се

избира зависи от това дали има Trusted Platform Module(TPM) на компютъра и от

нивото на сигурност, което потребителят желае. Режимите включват комбинации от

ТРМ, персонален идентификационен номер (РIN) и начален (start-up) ключ. Началният

ключ е специален шифрован генериран файл, който се съхранява на отделно USB

устройство.

Режимите на Bitlocker са следните:

1) ТРМ-only mode

В него потребителят не знае, че Bitlocker функционира и не е нужно да пише

парола, пинове или начален ключ, за да стартира компютъра. Потребителят разбира за

Bitlocker само ако има промяна в средата за зареждане на компютъра или ако опита да

махне хард диска и да го сложи на друг компютър. Това е най-малко защитния режим,

защото не изисква допълнителна аутентикация.

2) TPM with startup key

Изисква USB устройството, което съдържа преконфигуриран начален ключ да

бъде на лице преди компютърът да може да се буутне в Microsoft Windows. Ако

устройството с начален ключ не е достъпно през буут времето(времето, за което се

зарежда Windows – от натискането на power бутона до последния процес от startup),

компютърът се включва в Recovery Mode. Този режим осигурява защита на буут

средата чрез ТРМ.

4 http://windows.microsoft.com/bg-bg/windows/set-hard-disk-bitlocker#1TC=windows-7Page 8 of 25



3) TPM with PIN

Когато се конфигурира този режим , потребителят трябва да въведе PIN преди

компютърът да се буутне. Може да се конфигурира Group Policy, така че да може да се

въвежда парола, която включва числа, букви и символи вместо обикновен PIN. Ако не

се въведе правилен PIN или парола през буут времето, компютърът се включва към

Recovery Mode. Този режим осигурява защита на буут средата чрез ТРМ.

4) TPM with PIN and startup key

Това е най-сигурният режим. Тази опция може да се конфигурира чрез Group

Policy. Когато този режим е включен, потребителят трябва да въвежда начален PIN и

устройството с началния ключ да е свързано преди компютърът да буутне в Windows.

Тази опция се препоръчва за високо защитени среди. Този режим осигурява защита на

буут средата чрез ТРМ.

5) Bitlockker without TPM

Този режим осигурява криптиране на хард диска, но не осигурява защита на

буут средата. Този режим се ползва за компютри без ТРМ чипове. Bitlocker може да се

конфигурира да работи на компютър, който няма ТРМ чип, като се конфигурира the

Computer Configuration\Administrative Templates\Windows Components \Bitlocker drive

encryption\Operating System Drives\Require Additional Authentication At Startup Policy.

Тази политика е показана на фигура 1. Когато Bitlocker се конфигурира да работи без

ТРМ чип, трябва да се буутне с начален ключ на USB устройството за съхранение.

Page 9 of 25



Фиг.1 Използване на BitLocker без наличие на TPM чип.

Управление на ТРМчип

Модулът за надеждна платформа (TPM), е микрочип, който позволява

компютърът ви да се възползва от разширени функции на защитата, например

шифроване на устройство със защитено стартиране5. TPM се вгражда в някои от по-

новите компютри.В повечето случаи Bitlocker съхранява ключa за криптиране в

специален чип, познат като ТРМ чип, на хардуера на компютъра. Той се използва за

съхранение на информация за шифроване и по-точно Bitlocker използва ТРМ, за да

заключи ключовете за криптиране, които защитават информацията. Като резултат

ключовете не са достъпни докато ТРМ не е проверил състоянието на компютъра.

Криптирането на всички дялове защитава цялата информация, включително и самата

операционна система, регистъра на Windows, временните файлове и др. Понеже

ключовете, които са нужни за декриптирането на информацията остават заключени в

ТРМ, атакуващият не може да достъпи до информацията, ако се опита да премести хард

диска. TPM обикновено се инсталира на дънната платка на настолен или преносим

компютър и комуникира с останалата част от системата чрез хардуерна шина.

Компютрите с TPM имат възможност за създаване на ключове за шифроване и тяхното

шифроване, така че да могат да се дешифроват единствено от TPM. Този процес на

запазване или обвързване на ключа може да помогне за неговото неразпространение.

Всеки TPM има главен ключ, наречен "главен ключ за съхранение" (SRK), който се

съхранява в самия TPM. Поверителната част на ключа, създаден в TPM никога не се

показва на друг компонент, софтуер, процес или лице.

Конзолата за управление на ТРМ (The TPM Management Console), показана на

фиг. 2 позволява на администраторите да управляват ТРМ. Използвайки конзолата,

може да се съхранява ТРМ информация за възстановяване в Active Directory Domain

Sevices (AD DS), да се изчиства ТРМ, да се рестартира ТРМ lockout и да се включва и

да се изключва ТРМ. Можете да се достъпи до ТРМ конзолата за управление от

Bitlocker Drive Encryption control panel, като се избере TPM Administration иконата.

5 http://windows.microsoft.com/bg-BG/windows-vista/What-is-the-Trusted-Platform-Module-security-hardware

Page 10 of 25



Фиг. 2 Конзола за управление на TPM чип.

BitLocker може да се използва и без TPM. В режим, в който не се използва TPM,

нужните ключове за шифроване се съхраняват на USB флаш устройство, което трябва

да се включи, за да се отключат данните на дяла.

По подразбиране Bitlocker е конфигуриран да работи с ТРМ. Администраторът

може да ползва групова политика, за да използва допълнителни опции и функции. На

компютри без ТРМ, Bitlocker може да осигури криптиране, но без да се заключват

ключовете. В този случай от потребителя се изисква да създаде начален ключ, съхранен

на USB устройство.

За още по-голяма сигурност използването на ТРМ може да се комбинира с PIN,

който да се въвежда от потребителя или начален ключ, който да се съхранява на USB


Ако по-рано поддръжката на TPM бе опционална и можеше да бъде изключена,

то с прехода към спецификацията TPM 2.0, този стандарт става задължителен за всички

Windows 8.1 устройства и не подлежи на деактивиране. Trusted Platform Module (TPM)

е криптопроцесор, в който се съхраняват криптографските ключове за защита на

информацията. Софтуерната библиотека TPM в операционната система е

предназначена за проверка на цифровите подписи на инсталираните програми, за

инсталиране на ъпдейтите и много други. На практика, компютър с TPM 2.0 не може да

Page 11 of 25



се разглежда като устройство, намиращо се под пълния контрол на потребителя.

Независимите експерти са представили на правителството отчет, в който

предупреждават, че системата TPM може да бъде разглеждана като "задна врата" и

съществува голяма вероятност, че достъп до криптографските ключове има Агенцията

за Национална Сигурност (АНС). През месец юли тази година Microsoft обяви, че от

месец януари 2015 година поддръжката на стандарта TPM 2.0 ще стане задължителна за

всички устройства със сертификат за Windows 8.16.

BitLocker Какначалният ключ зашифроване на диск с дава- ?по голямо ниво на защита

Шифроването на диск с BitLocker може да работи с или без съвместим TPM -

Trusted Platform Module. При работа с компютър с TPM BitLocker предлага възможност

за подобряване на защитата чрез комбиниране на TPM с начален ключ. Ако решите да

използвате начален ключ, заедно с TPM, част от ключа за шифроване, който се

използва за отключване на дяла, се съхранява и запечатва в TPM, а друга част се

съхранява на USB флаш устройство. USB флаш устройството с нужната информация се

нарича начален ключ. За достъп до шифрования дял с BitLocker се изисква

информацията в TPM и началния ключ. Характерно е ,че на компютри без съвместим

TPM цялата информация за шифроване се съхранява на началния ключ. Това е

значителна разлика между BitLocker с TPM и без TPM.

Съветникът за инсталиране на BitLocker предлага възможността да се създаде

начален ключ при шифроване на дяла. Ако BitLocker е конфигуриран с тази опция,

TPM хардуерът за защита не може да показва ключовете за шифроване при стартиране

на компютъра или излизането му от спящ режим, освен ако не се въведете правилният

начален ключ. Тъй като началният ключ трябва да присъства при всяко рестартиране и

излизане от спящо състояние, може да не се разрешава началния ключ, ако след всеки

рестарт не е възможно човешка намеса.

6 http://www.kaldata.com/IT-%D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%94%D0%BE%D0%BA%D0%BE%D0%BB%D0%BA%D0%BE-%D0%B5-%D0%BE%D0%BF%D0%B0%D1%81%D0%B5%D0%BD-TPM-20-%D0%B2%D0%B3%D1%80%D0%B0%D0%B4%D0%B5%D0%BD-%D0%B2-%D0%9E%D0%A1-Windows-81-81882.html

Page 12 of 25



BitlockerВключване на

За да се включи Bitlocker на компютъра, се отворя Bitlocker Drive Encryption

control panel и се избира Turn On Bitlocker, както е показано на фиг.3.

Фиг.3 Стартиране на BitLocker.

Потребителят трябва да е член на локална администраторска група, за да пусне

Bitlocker да работи на Windows 7. Когато го избере, се появява една проверка, за да

види дали вашият компютър има правилния ТРМ хардуеър или дали нужната групова

политика е конфигурирана правилно. Ако няма ТРМ хардуер и не е конфигурирана

правилно групова политика се появява едно съобщение за грешка, което информира, че

съответният компютър не поддържа Bitlocker и съответно той не може да бъде

включен7.

7 http://trackerpro.blogspot.com/p/windows-7.htmlPage 13 of 25



Следващата стъпка при конфигурирането на Bitlocker е да се избере кой начин за

аутентикация (удостоверяване) да се използва с Bitlocker. Начините се различават

според по-горе показаните различни режими на Bitlocker, в случай, че има наличие на

TPM чип - TPM-only, TPM with startup key, TPM with PIN, TPM with startup key and PIN.

Aко се ползва Bitlocker без ТРМ има единствено опция за изискване на парола, както е

показано в фиг. 4.:

Фиг. 4 Конфигуриране на BitLocker без наличен TPM модул.

Следващата стъпка включва съхраняването на ключа за възстановяване, както е

показано на фиг. 5., което изисква наличие на USB устройство за съхранение на ключа

за възстановяване. Ключът за възстановяване е различен от началния ключ или PIN-а.

Ключът за възстановяване трябва да се съхранява на различно място от началния ключ.

По този начин, ако началният ключ се загуби , няма да се изгуби и ключът за

възстановяване8.

8 http://windows.microsoft.com/bg-BG/windows7/What-is-a-BitLocker-recovery-keyPage 14 of 25



Фиг.5 Съхраняване на ключа за въстановяване.

Потребител с администраторски привилегии може да спре на пауза и да

продължи процеса по криптиране, ако е нужно. Bitlocker не е напълно активен, ако

процесът на криптиране не е приключил. След като процесът по криптирането завърши

успешно, се извежда съобщение, показано на фиг.6

Фиг.6 Завършване на процеса по криптиране и активиране на Bitlocker

Bitlocker:Предимства на

Page 15 of 25



Защита на информацията – Bitlocker предпазва от това, атакуващият да

получи информация от откраднатия, изгубен или неправилно изваден от

употреба компютър освен, ако този човек е откраднал и паролите за

достъп до компютъра. Без правилна аутентикация, хард дискът остава

недостъпен и криптиран.

Полза при изваждането от употреба на компютри - Bitlocker улеснява

изхвърлянето на хард диска. Сигурно е, че без Bitlocker ключа,

информацията на изхвърлен диск е невъзстановима. Затова е достатъчно

да бъдат изтрити Bitlocker ключовете. Често много организации и

компании стават обект на атака именно, защото потребителите са имали

възможност да възстановят информация на хард диск след неговото

изхвърляне. С правилно конфигуриран Bitlocker това е невъзможно.

Защитава средата за зареждане на операционната система срещу

неауторизирано изменение - проверява средата за зареждане на

операционната система всеки път, когато потребителят включи

компютъра. Ако Bitlocker забележи някакви промени в средата за

зареждане на операционната система включва компютъра в Bitlocker

Recovery Mode (Bitlocker режим за възстановяване).

Лесно конфигуриране и използване – Bitlocker предоставя опростен и

ефикасен процес на възстановяване, който включва преместването на

защитено твърдо устройство, в което се съдържа дялът на операционната

система на друг компютър.

Защита от буут атаки – BitLocker изисква от потребителя да осигури

начален ключ или USB флаш устройство, което съдържа ключ преди

компютърът да се буутне или да се възстанови от режим Hibernation.

Active Directory® Domain Services integration – в случай, когато

потребителят забрави своя PIN или изгуби ключа, който се намира на

USB устройството.

Шифроване на цялото устройство – за разлика от файловата система EFS,

която позволява да се шифроват само отделни файлове. Потребителят

може да влиза и да работи с файловете си както обикновено, но BitLocker

блокира опитите на хакери за достъп до системните файлове, на които те

разчитат, за да открият парола или да получат достъп до твърдия диск,

като го свалят от компютъра и го монтират на друг компютър.

Page 16 of 25



BitLockerНедостатъци на

Въпреки че Bitlocker предлага някои форми на защита, Bitlocker не защитава

информацията на компютър, който е напълно активен. Ако няколко потребителя

ползват един и същ компютър и Bitlocker е включен , той не може да ги спре да четат

файловете един на друг, ако разрешенията на папките и файловете не са настроени

правилно. Bitlocker криптира твърдия диск, но това криптиране не защитава

информацията от локални атаки или атаки по мрежата, ако компютърът оперира

нормално. За да се защити информацията на включен компютър трябва да се

конфигурирират NTFS позволенията и да се използва Encrypting File System(EFS).

2. Bitlocker To Go

BitLocker To Go е новата функция на Windows 7, която заключва лесно губещите

се преносими устройства за съхранение, като USB флаш устройствата и външните

твърди дискове.

Bitlocker To Go е технология за криптиране на USB устройство, за да бъде

защитена съхранената на него информация. Създаден е на основата на Bitlocker, но

значително надминава неговите възможности – съвестим е с всички FAT системи и

NTFS. Bitlocker е създаден за организации, където има сериозен риск от това някой

потребител да носи незащитено устройство за съхранение на информация, да копира

важна информация и след това да загуби устройството. Bitlocker To Go работи напълно

независимо от Bitlocker и затова не е нужно Bitlocker да бъде включен на съответния

компютър или пък да е налице съответния ТРМ хардуеър, за да може да се ползва

Bitlocker To Go.

Bitlocker To Go е функция, която се предлага в версиите Enterprise и Ultimate на

Windows 7. На компютрите, на които са инсталирани тези версии на Windows 7, може

да се конфигурира USB устройство, което да поддържа Bitlocker To Go. Другите версии

на Windows 7 позволяват да се чете и записва информация на Bitlocker To Go

устройста, но не може така да се конфигурира устройство, да поддържа Bitlocker To Go.

Bitlocker To Go позволява на преносими устройства да бъдат криптирани с Bitlocker.

Bitlocker To Go се различава от Bitlocker в по-предни версии на Windows, защото Page 17 of 25



позволява използването на Bitlocker преносими устройства за съхранение на други

компютри, акo подходяшата парола е налице.

Bitlocker To Go не изисква на компютъра да има ТРМ чип или да бъде

конфигурирана групова политика, която да позволява някаква друга форма на

aутентикация като стартъп ключ. Ако се конфигурират правилните политики,

устройството което е защитено от Bitlocker To Go, може да се ползва само в Read Only

режим на компютри с XP и Vista

Bitlocker To GoПОЛИТИКИНА

The Removable Data Drives node на Bitlocker Drive Encryption policy съдържа 6

политики, които позволяват Bitlocker To Go да се управлява, както е показано на фиг.

79.

Фиг.7. Политики на BitLocker To GO.

- Cotrol Use of Bitlocker On Removable Drives – Тази политика включва 2

настройки, които могат да се включат. Първата настройка позволява на

потребителите да включат Bitlocker Protection на преносими устройства. Втората

опция позволява на потребителите да прекратят защитата чрез BitLocker To Go

или да декриптират(разшифроват) криптирано с BitLocker устройство. Ако тази

политика е изключена потребителите не могат да използват Bitlocke To Go.

9 http://www.tomshardware.co.uk/faq/id-1913513/bit-locker-drive-encryption.htmlPage 18 of 25



- Configure Use Of Smart Cards On Removable Data Drives – Позволява да сe

включи и/или да се изисква използването на смарт карти, за да се аутентикира

потребителският достъп до преносимо устройство. Смарт картите представляват

сертификати, които се ползват с BitLocker, за да се защити информацията на

различни устройства и да се възстанови информацията от криптирани с

BitLocker устройства в случай, че липсва ключът за достъп. Когато тази

политика е иключена , потребителите не могат да ползват смарт карти, за да

аутентицират достъп до преносими устройства, защитени с Bitlocker.

- Deny Write Access To Removable Drives Not Protected By Bitlocker –

Конфигурирането на тази политика позволява да се забрани на потребителите

да записват информация на преносими устройства, които не са защитени с

Bitlocker. С тази политика може да се включи настройката ”Do Not Allow Write

Access To Drives Configured In Another Organization”, която позволява да се

ограничава записването на данни на преносими устройства, конфигурирани със

специален Bitlocker идентификационен стринг. Този стринг е конфигуриран,

като се използва Provide The Unique Identifiers For Your Organization Policy.

Когато тази политика е включена, потребителите могат да четат от преносимите

устройства, които не са защитени с Bitlocker или имат идентификатор на друга

организация. Ако политиката е изключена, потребителите могат записват

информация върху устройството, независимо от това дали Bitlocker е

конфигуриран или не.

- Allow Access To Bitlocker-Protected Removable Data Drives From Earlier Versions

Of Windows – Тази политика се изполва, за да позволи или забрани достъп до

преносими устройства, защитени от Bitlocker и форматирани с FAT файлова

система на по-ранни версии на Windows. Тази политика не се прилага на NTFS-

форматирани преносими устройства. Може да конфигурирате тази политика да

позволява инсталацията на Bitlocker To Go Reader (Bitlocker To Go четец) –

програма, която позволява на по-ранни версии на Windows да се чете

информация от защитени с Bitlocker преносими устройства. Bitlocker To Go Page 19 of 25



четецът трябва дa е на компютър с по-ранна версия на Windows и този

компютър ще може да чете преносими устройства, защитени с Bitlocker. Когато

тази политика е изключена FAT-форматираните преносими устройства,

защитени с Bitlocker не могат да се отключат на предишни версии на Windows.

- Configure Use Of Passwords For Removable Data Drives – тази политика

определя дали се изисква парола, за да се отключи преносимо устройство с

информация, защитено чрез Bitlocker, както е показано на фиг. 8. Политиката

позволява изискаванията за сложна парола да се включат. Ако тази политика е

изключена, потребителите не могат да ползват пароли с проносимите

устройства.

Фиг. 8. Изискване на парола за отключване на криптирано устройство.

- Choose how Bitlocker-Protected Removable Drives Can Be Recovered – тази

политика позволява специфициране на методите, които се изпозлват за

възстановавяне на устройства за съхранение, защитени с Bitlocker. Може да се

конфигурират преносимите устройства да ползват DRA специфициран в

Page 20 of 25



Компютра Configuration\Windows Settings\Security Settings\Public Key Policies\

Bitlocker Drive Encryption node. Може да се конфигурират и парола за

възстановавяне и ключ за възстановяване. Използвайки тази политика, може дa

се специфицира дали Bitlocker информацията за възстоновяване да се съхранява

на AD DS10.

Ако вече преносимото устройство поддържа Bitlocker, то може да се управлява или

с десен бутон в Windows Explorer или с натискане на Managing Bitlocker във Bitlocker

Drive Encryption control panel. Това отваря диалоговата кутия , показана на на фиг.9. Тя

позволява да се смени паролата, записана на устройството , да се конфигурира

устройството така,че да можете да се отключи със смарт карта , да се запази ключът за

възстановяване, да се премести паролата от устройството, или да се конфигурира

компютърът автоматично да отключва устройството винаги, когато е свързано.

Фиг.9 Управление на криптирано с BitLocker устройство.

3. BitLocker To Go Reader

BitLocker To Go Reader (bitlockertogo.exe) е програма, която работи на компютри

с инсталирана операционна система Windows Vista или Windows XP и ви позволява да 10 http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used-with-BitLocker

Page 21 of 25



отваряте и четете съдържанието на преносими дискови устройства, които са защитени

(или шифровани) с шифроването на устройства с BitLocker в Windows 7. BitLocker To

Go Reader позволява на потребителите, работещи с Windows 7, да споделят защитените

си с BitLocker данни на преносими устройства, като например USB флаш устройства

или външни твърди дискове, с всички потребители, използващи

Windows 7, Windows Vista или Windows XP11.

За да отворите файлове в шифровано устройство, трябва да го отключите, като и

използвате BitLocker To Go Reader и да копирате файловете на компютъра. След като

копирате файловете от шифрованото устройство, те вече не са защитени от BitLocker на

новото място, но остават защитени в шифрованото устройство. BitLocker To Go Reader

не позволява шифроването на устройства с BitLocker или добавянето на файлове в

нешифровано устройство. Той ви позволява да четете файлове от шифрованото

устройство, което е включено към компютъра с инсталиран Windows

Vista или Windows XP. Това може да се види на фиг.10.

Фиг. 10.

Използване на Bitlocker To Go Reader.

Използване на BitLocker To Go Reader на компютър с инсталиран Windows Vista

или Windows XP

Когато включите шифровано с BitLocker устройство в компютър с инсталиран

Windows XP или Windows Vista, автоматичното възпроизвеждане може да се отвори и

да ви даде възможност да инсталирате или да изпълните BitLocker To Go Reader. Ако

11 http://windows.microsoft.com/bg-BG/windows7/what-is-the-bitlocker-to-go-readerPage 22 of 25



щракнете върху тази опция, ще се появи съобщение да отключите устройството. Ако не

разполагате с необходимата информация да го отключите, попитайте човека, който го е

шифровал.

Ако функцията за автоматично възпроизвеждане не се отвори при включване на

шифроване устройство към компютъра, направете следното:

1. Щракнете върху бутона Старт , Компютър, след което върху включеното


2. Щракнете с десния бутон върху устройството, след което върху BitLocker To Go

Reader (или отворете устройството и щракнете двукратно върху файла

"bitlockertogo.exe").

3. Въведете паролата, за да отключите устройството.

След като устройството се отключи, ще имате достъп за четене на файловете. За

да отворите файловете в устройството, ще трябва да ги копирате на компютъра.

Можете да копирате файловете, като ги плъзнете в работния плот или в папка.

BitLocker To Go Reader работи само на устройства, които са шифровани с парола. Ако

устройството не е шифровано с парола, няма да можете да използвате BitLocker To Go

Reader.

Заключение

Месец и половина след появата на операционната система Windows 7, се появява

и първия софтуер за декодиране на шифрованите дискове с помощта на BitLocker. Той

е разработен от американско-руската компания Passware.

Page 23 of 25



Решението Passware Kit Forensic 9.5 представлява програма за сканиране на

паметта на компютъра с криптирани носители и извличане от нея ключовете за защита

на носителя. Процедурата отнема броени минути и в нея се поддържа дешифриране на

повече от 180 типа файлове и архиви с PGP криптиране както на физически, така и на

виртуални дискове.

Освен обикновената версия, съществува и портативен вариант – за стартиране

от USB носител, което позволява да не се оставят никакви следи в системата.

Ще отбележим, че това решение работи не само в Windows 7, но и на Windows

Server 2008 R2 и Windows Vista/Server 2008, които също използват подобна технология

за защита.

Видео за използване на BitLocker

https://www.youtube.com/watch?v=yyYo4IPcykA

Използвана литература

1. Дражев, Ст., Р. Начева – Лекции по „Безопасност и защита на системми и приложения”, Варна, 2013г.

2. Thomas Orin, Ian McLean – Configuring Windows 7, Microsoft.

Page 24 of 25


https://www.youtube.com/watch?v=yyYo4IPcykA

http://www.lostpassword.com/kit-forensic.htm


Използвани Интернет източници

1. http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

2. http://www.kaldata.com/IT-%D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%94%D0%BE%D0%BA%D0%BE%D0%BB%D0%BA%D0%BE-%D0%B5-%D0%BE%D0%BF%D0%B0%D1%81%D0%B5%D0%BD-TPM-20-%D0%B2%D0%B3%D1%80%D0%B0%D0%B4%D0%B5%D0%BD-%D0%B2-%D0%9E%D0%A1-Windows-81-81882.html

3. http://trackerpro.blogspot.com/p/windows-7.html4. http://www.tomshardware.co.uk/faq/id-1913513/bit-locker-drive-encryption.html

5. http://windows.microsoft.com/bg-BG/windows-vista/BitLocker-Drive-Encryption-Overview

6. http://windows.microsoft.com/bg-BG/windows7/Whats-the-difference-between-BitLocker-Drive-Encryption-and-Encrypting-File-System

7. http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in-BitLocker-Drive-Encryption

8. http://windows.microsoft.com/bg-bg/windows/set-hard-disk-bitlocker#1TC=windows-9. http://windows.microsoft.com/bg-BG/windows7/what-is-the-bitlocker-to-go-reader10. http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used-

with-BitLocker11. http://windows.microsoft.com/bg-BG/windows-vista/What-is-the-Trusted-Platform-

Module-security-hardware

Page 25 of 25


http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used-with-BitLocker

http://windows.microsoft.com/is-IS/windows7/What-Group-Policy-settings-are-used-with-BitLocker

http://windows.microsoft.com/bg-BG/windows7/what-is-the-bitlocker-to-go-reader

http://windows.microsoft.com/bg-bg/windows/set-hard-disk-bitlocker#1TC=windows-

http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in-BitLocker-Drive-Encryption

http://windows.microsoft.com/bg-BG/windows7/How-do-I-use-the-unlock-options-in-BitLocker-Drive-Encryption

http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

Technology

Kriptirane s BitLocker