Что такое шифрование диска
Перейти к содержимому

Что такое шифрование диска

  • автор:

Что такое шифрование диска

Перед шифрованием жестких дисков компьютера рекомендуется убедиться в том, что компьютер не заражен. Для этого требуется запустить полную проверку или проверку важных областей компьютера. Шифрование жесткого диска компьютера, зараженного руткитом, может привести к неработоспособности компьютера.

Чтобы зашифровать жесткие диски с помощью технологии Шифрование диска Kaspersky, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, для которой вы хотите настроить шифрование жестких дисков.
  3. В рабочей области выберите закладку Политики .
  4. Выберите нужную политику.
  5. Откройте окно Свойства : одним из следующих способов:
    • В контекстном меню политики выберите пункт Свойства .
    • Перейдите по ссылке Настроить параметры политики , которая находится в правой части рабочей области Консоли администрирования.
  6. В разделе Шифрование данных выберите подраздел Шифрование жестких дисков .
  7. В раскрывающемся списке Технология шифрования выберите вариант Шифрование диска Kaspersky . Применение технологии шифрования Шифрование диска Kaspersky невозможно, если на компьютере есть жесткие диски, зашифрованные с помощью BitLocker.
  8. В раскрывающемся списке Режим шифрования выберите действие Шифровать все жесткие диски . Если некоторые жесткие диски нужно исключить из шифрования, сформируйте их список.
  9. Выберите один из следующих способов шифрования:
    • Если вы хотите применить шифрование только к тем секторам жесткого диска, которые заняты файлами, установите флажок Шифровать только занятое пространство . Если вы применяете шифрование на уже используемом диске, рекомендуется зашифровать весь диск. Это гарантирует защиту всех данных — даже удаленных, но еще содержащих извлекаемые сведения. Функцию Шифровать только занятое пространство рекомендуется использовать для новых, ранее не использовавшихся дисков.
    • Если вы хотите применить шифрование ко всему жесткому диску, снимите флажок Шифровать только занятое пространство . Эта функция применима только к незашифрованным устройствам. Если устройство было зашифровано ранее с использованием функции Шифровать только занятое пространство , после применения политики в режиме Шифровать все жесткие диски секторы, не занятые файлами, по-прежнему не будут зашифрованы.
  10. Нажмите на кнопку OK , чтобы сохранить внесенные изменения.
  11. Примените политику. Подробнее о применении политики Kaspersky Security Center вы можете прочитать в Руководстве администратора для Kaspersky Security Center.

Шифрование диска

Это инструмент защиты данных, который шифрует содержимое жесткого диска компьютера и делает файлы нечитаемыми для неавторизованных пользователей. Процесс шифрования использует определенный «ключ». Правильный ключ расшифровывает содержание и позволяет чтения файлов.

Эффективность данной функции зависит от метода шифрования и длины ключа.

Для чего нужна защита жесткого диска?

Ноутбуки легко теряются или похищаются в современном мире. Это означает, что конфиденциальная или личная информация может легко попасть в руки злоумышленников. Шифрование диска защищает файлы, препятствуя доступу к операционной системе. Это позволяет защитить содержимое от инфицирования вредоносными программами, которые могут обойти авторизацию во время входа в операционную систему.

Защита такого уровня особенно необходима в таких областях, как здравоохранение, где принципиально важна сохранность конфиденциальных данных пациентов.

Как работает технология шифрования жесткого диска?

Полнодисковое шифрование

Решение использует подтвержденное стандартами FIPS 140-2 шифрование 256-бит AES для безопасности данных.

Дистанционное удаление данных и блокировка компьютера

В случае потери устройства используйте дистанционное удаление или блокирование устройства для безопасности Вашой информации.

Удаленная работа

Защищайте конфиденциальные данные на ноутбуках, даже когда работаете дома или в дороге.

Шифрование диска с помощью VeraCrypt на Windows для неискушенных пользователей

В интернете уже есть множество статей на эту тему. Я провел короткое исследование, в ходе которого обнаружилось, что большинство из них задействуют стандартные настройки VeraCrypt, которые уже давно отработаны злоумышленниками и не могут считаться безопасными. Поскольку с развитием и появлением на рынке мощных пользовательских устройств растет и спрос на превосходящее его по характеристикам энтерпрайз-оборудование.

Сегодня я расскажу, как мы будем выстраивать линию обороны для защиты данных на устройстве с Windows.

Этот материал вдохновлен статьёй Олега Афонина «Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными». Если вы хотите углубиться в тему ИБ, то можете задонатить и подписаться на него.

Важно

Есть небольшая вероятность, что ваш процессор (старенький или недорогой) не поддерживает технологию ускоренной расшифровки AES. В таком случае расшифровка диска при включении устройства вместо секунд будет занимать минуты (время от ввода пароля до начала загрузки ОС будет занимать больше).

Узнать заранее поддерживает ли ваш данную технологию можно на официальном сайте вендора. Например Intel:

Или проверить можно на сторонних сайтах, пример здесь.

Также можно проверить наличие данной технологии с помощью самой программы VeraCrypt. После установки зайдите в Сервис —> Тест скорости. Нас интересует показатель в правом нижнем углу.

Показатель «Да» будет означать наличие ускорения, показатель «Н/П» — ее отсутствие.

Установка

Скачивайте с официального сайта. Заходим на вкладку Downloads, выбираем версию (Installer for) для своей операционной системы, я выбрал Windows.

Далее открываем скачанный файл и начинаем установку. Тут все просто, подтверждаем все пункты пока не установим программу.

VeraCrypt в конце процедуры может пожаловаться на функцию быстрого запуска ОС. В этом случае, отключаем ее:

Эксплуатация

После перезагрузки открываем VeraCrypt и создаем новый том. В открывшемся мастере создания томов мы делаем следующее:

  1. Выбираем «Зашифровать раздел или весь диск с системой»
  2. Тип шифрования — обычный
  3. Область шифрования — на выбор два варианта, «Зашифровать системный раздел Windows» или «Зашифровать весь диск». Если у вас доступен второй, то выбираем его.
  4. Число операционных систем — «Одиночная загрузка», если у вас на машине только одна ОС.
Шифрование

И тут мы переходим к самому интересному, методам шифрования.

В качестве алгоритма мы выбираем проверенный временем AES, а вот с хэшированием уже посложнее.

В первую очередь злоумышленники отрабатывают самые распространенные сценарии, AES и SHA-512, которые стоят по умолчанию. По возможности отказываемся от стандартных настроек: усложняем задачу хакерам, чтобы им пришлось дольше угадывать какой комбинацией вы шифруетесь.

Лично я выберу Whirlpool.

Внимание, ни при каких условиях не выбирайте Streebog, данный алгоритм содержит дыру в безопасности (разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО «ИнфоТеКС»)

Далее идет выбор пароля. Подробнее о том из чего состоит хороший пароль вы можете найти в нашей статье. Важный совет: придумайте уникальный, который еще нигде не использовали. Корпорации хранят даже ваши старые логины-пароли на серверах. Один запрос «правоохранительных» органов и все ваши данные авторизации окажутся у них в руках.

Ставим галочку «Использовать PIM» и идем дальше.

PIM (Personal Iterations Multiplier)

Нас попросят ввести PIM, там же приводится описание данного термина. Чем больше — тем безопаснее, но вместе с тем медленнее. Подождать лишние секунды при загрузке несложно, а нам полезнее.

Если вам интересны конкретные цифры, то ниже будут представлены картинки с тестами:

Настройки PIM по умолчанию (485):

Чтобы у вас сложилось понимание почему мы должны его использовать, представим, что даже если злоумышленник знает пароль, ему придется перебирать все вариации PIM, то есть (1,2,3 . n) чтобы расшифровать диск. И если не знать точного числа, то можно застрять надолго, что играет нам на руку.

Но даже при высоком значении стоит выбирать номер очень аккуратно. То есть комбинации 1234 / 2012 / 1939 / год рождения ребенка / поступления / совершеннолетия сразу отбрасываем. Число никак не должно быть связано с вами, и при этом не быть слишком тривиальным.

Итак, PIM должен быть большим, анонимным и неординарным. Например 1709.

Нам предложат сгенерировать дополнительные ключи, нам они не требуются, нажимаем далее.

Затем последует предложение по созданию диска восстановления. Если вы храните важные данные в защищенном облаке, то можете пропустить данный этап. Если же все данные хранятся только на устройстве, то можно создать флешку восстановления ключей. Даже если злоумышленники найдут флешку сделать с ней они ничего не смогут. Как и говорится в описании, годится она лишь для восстановления загрузочного раздела. Пароль придется вводить в любом случае.

Далее идет режим очистки. Описание данное самой программой я считаю достаточным, лишь отмечу, что я выбрал 3 прохода.

Пре-тест

Теперь, когда мы выполнили все необходимые настройки, нам остается лишь сделать пре-тест, в ходе которого компьютер перезагрузится, но вместо привычного значка Windows нас поприветствует холодный интерфейс шифровальщика, который попросит ввести пароль и PIM. Вводим.

Для особых случаев в ходе пре-теста (например если вы резко забыли пароль и PIM придуманные 5 минут назад) существует механизм обхода ввода пароля. Нажимаем на ESC и загружаемся в Windows. VeraCrypt уведомит нас что пре-тест провалился и предложит пройти его снова. Мы от предложения отказываемся.

Заходим в Система —> Окончательно расшифровать системный раздел/диск. Убеждаемся что ничего не зашифровано и повторяем весь процесс шифрования с начала.

В случае успешного входа нас встретит VeraCrypt с оповещением, что пре-тест выполнен успешно, и нам остается лишь зашифровать диск, что мы и делаем, нажав Encrypt, после чего ждем около 15 минут.

Вы сделали это. Вы — Молодец.

Дальше ответы на вопросы:

— За раз шифруется только 1 диск ?

В данной статье мы шифровали только системный, в том случае если у вас имеются дополнительные, вы повторяете все те же действия указанные ранее. В таком случае для доступа к этому диску вам каждый раз придется заходить в VeraCrypt чтобы размонтировать диск и получить к нему доступ. Лучше просто не держать на втором диске важной информации, чтобы не тратить время на его шифрование.

— Разве увеличение длины пароля на два-три знака из расширенного набора символов не даст схожий или даже лучший результат чем PIM?

Если подходить с чисто вычислительной точки зрения, то даст. Реальность же такова, что большая часть атак проводится с настройками по умолчанию. Программы, способные использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а программ, которые способны автоматизировать атаки с кастомным рядом значений PIM, и того меньше.

  • Информационная безопасность
  • Хранение данных

Что такое шифрование диска

Шифрование жесткого диска — защита информации на ПК или ноутбуке посредством преобразования данных в специальную форму. Это делается с целью предотвращения несанкционированного доступа к данным в случае утери или кражи устройства. Ниже разберемся, какие варианты существуют для разных ОС, и в чем их особенности.

Основные способы

  1. FDE — Full Disk Encryption. Информация на жестком диске автоматически кодируется, включая операционную и файловую систему, а также все данные. Пользователь должен вводить пароль или использовать другие методы аутентификации при каждом запуске компьютера, чтобы разблокировать сведения. Примеры решений — BitLocker (для Windows), FileVault (для macOS) и LUKS (для Linux).
  2. Шифрование отдельных данных на компьютере. Пользователь выбирает конкретные файлы или папки для кодирования. Это позволяет защищать только наиболее чувствительную информацию, не затрагивая операционную систему. Примерами инструментов для кодирования отдельных файлов или папок являются программы VeraCrypt, TrueCrypt (больше не поддерживается) и различный софт для создания зашифрованных контейнеров.

Наша компания предлагает хостинг на SSD дисках с высоким уровнем шифрования.

Как зашифровать диск для разных ОС

Шифрование жесткого диска для ОС macOS, Windows и Linux реализуется с использованием различных инструментов и технологий. Кратко рассмотрим особенности для каждой из операционных систем.

MacOS (Apple)

Если на ПК установлена macOS, можно воспользоваться софтом FileVault. Это встроенное средство шифрования всего диска (FDE), которое активируется в настройках системы. При использовании FileVault данные автоматически кодируются и дешифруются при вводе пароля пользователя. На выполнение всех манипуляций уходит не более нескольких минут.

Windows (Microsoft)

  1. BitLocker. Это интегрированное ПО для шифрования диска, предоставляемое Microsoft в некоторых версиях Windows (например,10 Pro и Enterprise). Поддерживает как шифрование всего диска, так и определенных разделов. Для использования БитЛокер требуется подключенный TPM (Trusted Platform Module) или ввод пароля.
  2. VeraCrypt. Это бесплатное и открытое ПО для шифрования диска, работающее как в Windows, так и в macOS. Поддерживает создание кодированных групп или всего диска. Может использоваться для формирования зашифрованных внешних носителей данных.

Linux

  1. LUKS (Linux Unified Key Setup). Это стандарт кодирования в Linux. Поддерживается многими дистрибутивами и предоставляет возможность шифрования всего диска или конкретных разделов. LUKS использует пароль для аутентификации пользователя.
  2. dm-crypt. Это фреймворк для шифрования дисковых блоков в Linux. Может использоваться совместно с LUKS для управления шифрованием разделов. Позволяет выбирать разные способы кодировки, такие как AES, Twofish и другие.
  3. Cryptsetup. Утилита командной строки в Linux, которая позволяет настраивать и управлять шифрованием с применением LUKS и dm-crypt. Используется для создания, открытия и закрытия зашифрованных девайсов.

Что учесть при шифровании

  1. Выбор корректного метода шифрования. Рассмотрите возможность использования встроенных инструментов ОС (например, BitLocker для Windows, FileVault для macOS, LUKS для Linux) или стороннего софта (к примеру, VeraCrypt). Оцените, нужно ли шифровать весь диск (FDE) или отдельные разделы/контейнеры.
  2. Сильные пароли и методы аутентификации. Используйте мощные коды, состоящие из букв, цифр и спецсимволов. Пароль должен быть надежным и уникальным. Рассмотрите применение разных факторов аутентификации: пароль и физический токен (например, USB-ключ). Следите за безопасностью и регулярно меняйте коды.
  3. Резервное копирование. В случае утери пароля или иных проблем с аутентификацией используйте копии ключей для доступа к зашифрованным сведениям. Храните их в безопасности и отдельно от ПК, чтобы предотвратить потерю или кражу.
  4. Управление сертификатами. Разберитесь, как управляются и хранятся ключи шифрования в системе. Их утеря ведет к невозможности получения доступа к данным. В случае использования сертификатов удостоверьтесь, что они находятся в безопасности и имеют действительный срок действия.
  5. Копии и обновление. Периодически делайте копии, включая зашифрованные данные, чтобы избежать потери информации из-за сбоя жесткого диска или иных проблем. Проверяйте работоспособность процесса восстановления из резервных копий.
  6. Обновления и безопасность. Следите за новыми версиями ОС и программ, используемых для шифрования, чтобы устранить уязвимости безопасности. Используйте антивирусное ПО и иные меры для защиты от вредоносных программ. Обеспечьте защиту ПК или устройства, чтобы предотвратить кражу или несанкционированный доступ. Разработайте и следуйте политикам и процедурам безопасности для работы с зашифрованными данными, включая процедуры восстановления доступа.
  7. Соблюдение законодательства и нормативных требований. Если работаете с конфиденциальными данными клиентов или подвержены регулированию, удостоверьтесь, что метод шифрования соответствует правилам.
  8. Обучение и осведомленность. Получайте знания по основам безопасности сведений и процедурам восстановления для устранения проблем в будущем.

Вывод

Соблюдение рекомендаций помогает убедиться, что информация на устройстве надежно защищена при использовании опции шифрования. Как вариант, воспользуйтесь услугами ВПСвилль и будьте уверены в надежности защиты конфиденциальной информации на сервере.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *