По умолчанию операционная система Windows Vista автоматически шифрует все файлы и каталоги, перемещаемые в уже зашифрованный каталог. Чтобы отключить такое поведение операционной системы, нужно параметру REGDWORD-типа NoEncryptOnMove, расположенному в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer, присвоить значение 1.
Можно также полностью отключить подсистему EFS на данном компьютере. Для этого достаточно присвоить значение 1 параметру REGDWORD-типа Ntf s-DisableEncrypt ion ветви системного реестра HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlFileSystem. Данный параметр можно изменить и с помощью программы командной строки fsutil.ехе, которую мы рассмотрели в разд. 7.3.
Работа с механизмом BitLocker Drive Encryption
Нововведением операционной системы Windows Vista является мастер Шифрование диска BitLocker, доступ к которому можно получить с помощью одноименного значка папки Панель управления. Данный мастер позволяет зашифровать не отдельный файл, а весь раздел диска, после чего на лету расшифровывать его содержимое, если к содержимому данного диска обращается аутентифицированный пользователь. Шифрование содержимого диска выполняется с помощью 128– или 256-разрядного алгоритма шифрования Advanced Encryption Standard (AES). При этом вы можете пользоваться как знакомым по предыдущим операционным системам Windows способом шифрования файлов и папок на основе файловой системы EFS, так и механизмом Шифрование диска BitLocker. Например, файлы и папки на разделах диска, которые не являются загрузочными, можно шифровать с помощью EFS, а загрузочный раздел – с помощью механизма Шифрование диска BitLocker. При этом, поскольку ключи шифрования EFS хранятся на загрузочном разделе, безопасность их хранения будет повышена.
Работа мастера Шифрование диска BitLocker тесно связана с чипом ТРМ, однако вы можете использовать его и на компьютерах, не имеющих данного чипа. В этом случае необходимо использовать USB-носитель.
...
Примечание
По умолчанию использование BitLocker на компьютерах без чипа ТРМ запрещено. Однако это можно изменить с помощью специальной групповой политики. Данная политика будет описана ниже.
Основное окно мастера состоит из списка разделов жесткого диска компьютера, напротив которых отображается информация о том, зашифровано ли содержимое данного раздела. Если мастер Шифрование диска BitLocker может выполнить шифрование содержимого данного раздела, то под ним отображается ссылка Включить BitLocker. После выбора этой ссылки перед вами отобразится мастер Шифрование диска BitLocker, представленный на рис. 7.4. В операционной системе Windows Vista с помощью мастера Шифрование диска BitLocker можно выполнить шифрование только загрузочного раздела операционной системы, хотя с помощью сценариев можно зашифровать и другие разделы.
Рис. 7.4. Мастер шифрования содержимого раздела диска
Мастер содержит следующие возможности.
• Запрашивать USB-ключ запуска при запуске – если вы решили зашифровать содержимое раздела, то необходимо воспользоваться данной кнопкой, чтобы сохранить загрузочный ключ (он будет запрашиваться при попытке запуска операционной системы, если вы шифруете загрузочный раздел) на USB-носителе, который нужно будет выбрать из списка USB-носителей, подключенных к компьютеру.
После того как вы нажмете кнопку Сохранить, загрузочный ключ будет сохранен на USB-носителе, а вам будет предложено установить пароль восстановления. Пароль восстановления создается автоматически (вы его не вводите), а вы можете также сохранить его на USB-носителе или в папке, отобразить на экране либо распечатать на принтере.
Это последний шаг мастера шифрования выбранного раздела диска. После того как вы сохраните пароль восстановления и нажмете кнопку Зашифровать, начнется процесс шифрования раздела диска. Учтите, что в случае большого объема раздела диска процесс шифрования может занять много времени (шифруются не только используемые кластеры раздела диска, а полностью весь раздел диска, независимо от того, сколько места на нем используется). Также учтите, что для работы механизма Шифрование диска BitLocker операционная система обязательно создает дополнительный раздел объемом 1,5 Гбайт.
• Запрашивать PIN-код при запуске – позволяет установить загрузочный PIN.
• Использовать BitLocker без дополнительных ключей – разрешает отключить механизм использования загрузочного ключа или ПИН-кода при выполнении загрузки с зашифрованного раздела.
Программа fveupdate.exe
Расположение: %systemroot%system32fveupdate.ехе.
В операционной системе Windows Vista присутствует программа командной строки, предназначенная для работы с механизмом Шифрование диска BitLocker и чипом ТРМ. К сожалению, ее параметры недокументированны, поэтому для их работы необходимо, чтобы механизм Шифрование диска BitLocker был включен, а на материнской плате присутствовал чип ТРМ.
Данная программа имеет следующие параметры, выполняющие запрос на обслуживание.
• /memtest – программы memtest.ехе.
• /bootmgr – загрузочного меню.
• /windowsbootenvironment – программ загрузки операционной системы winload.ехе и winresume.ехе.
Работа с WMI
Для работы с BitLocker можно также использовать новый класс репозитария управления CIM. Он содержит обширный набор методов, которые предоставляют доступ к основным возможностям работы механизма Шифрование диска BitLocker. Он находится в пространстве имен \. rootcimv2Security MicrosoftVolumeEncryption и называется Win32_EncryptableVolume. Класс поддерживает следующие свойства.
• DevicelD, тип: string – является ключевым. Оно определяет уникальный идентификатор раздела.
• DriveLetter, тип: string – содержит букву раздела, который описывается данным экземпляром класса.
• PersistentVolumelD, тип: string – хранит постоянный идентификатор раздела.
Данный класс также поддерживает следующие методы.
• ClearAllAutoUnlockKeys – очищает все ключи разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Decrypt – расшифровывает зашифрованный файл.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DeleteKeyProtector – удаляет ключ защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• DeleteKeyProtectors – удаляет ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableAutoUnlock – запрещает выполнение автоматической разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableKeyProtectors – запрещает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• EnableAutoUnlock – разрешает выполнение автоматической разблокировки.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• EnableKeyProtectors – разрешает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Encrypt – шифрует файл.
Входящий параметр: определяет метод шифрования, имеет тип uint32. Возвращаемые параметры: нет.
• GetConversionStatus – возвращает статус конверсии файла.
Входящие параметры: нет.
Возвращаемые параметры:
– определяет статус конверсии, имеет тип uint32;
– определяет процент шифрования, имеет тип uint32.
• GetEncryptionMethod – возвращает используемый метод шифрования.
Входящие параметры: нет.
Возвращаемый параметр: определяет метод шифрования, имеет тип uint32.
• GetExternalKeyFileName – возвращает путь к файлу, содержащему внешний ключ.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий путь к файлу.
• GetExternalKeyFromFile – возвращает внешний ключ, полученный из файла.
Входящий параметр: строковый параметр, определяющий путь к файлу.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorExternalKey – возвращает ключ защиты для внешнего ключа.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorFriendlyName – возвращает имя ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий имя ключа защиты.
• GetKeyProtectorNumericalPassword – возвращает пароль ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий пароль ключа защиты.
• GetKeyProtectorPlatf ormValidationProf Не – возвращает платформы аутентификации профиля, поддерживаемые ключом защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: массив параметров типа uint8, определяющих платформы аутентификации профиля.
• GetKeyProtectors – возвращает ключи защиты.
Входящий параметр: определяет тип ключа защиты, имеет тип uint32.
Возвращаемый параметр: массив строковых параметров, определяющий идентификаторы метки ключа защиты.