Краткий гайд. Как быстро и надёжно защитить информацию на компьютере от всех, кто попытается добраться до неё без вас
Предисловие
За долгие годы работы мне не приходилось сталкиваться с ситуацией когда кто то захочет получить доступ к содержимому моего компьютера, но такое случалось и случается у знакомых и не очень людей — и они очень сожалеют, что не сделали несколько простых шагов, до того как это произошло (например: утеря ноутбука или просто попытка получения доступа посторонними, а иногда и не очень посторонними лицами и без вашего согласия) .
Ситуации бывают разные и совершенно не обязательно что вам есть что скрывать или прятать на своем ПК, но осознание того что, кто то увидит (будет копаться) в том что есть у вас (а там обычно много личного) или получит доступ к чувствительным для вас данным, фотографиям, паролям, финансовой информации — заставляет задуматься о том как эти данные защитить так чтобы максимально усложнить доступ к ним — от любого не прошенного гостя — в руках которого оказался ваш ПК или диск и при этом не сильно усложнить себе жизнь!? А если доступ попытаются получить сведующие люди или тем более специалисты в этой области, то просто пароль Windows Hello — для них, забава на пару минут)
Вот и встала задача максимальной защиты, с минимумом затрат и минимумом неудобств при использовании. Была прочитана и пересмотрена куча материала — как от тех кто защищает данные, так и от тех кто пытается получить к ним доступ — и выбран, с моей точки зрения, оптимальный вариант защиты, с минимальными затратами (на всю процедуру ушло не больше час, с учетом времени шифрования дисков).
Здесь я не буду разбирать пошагово — куда зайти и что включить, а покажу только основные моменты которые нужно сделать (приложите чуть чуть усилий и сделаете всё без проблем) и ОДНО, но очень важное правило которое нужно соблюдать обязательно.
Короткий гайд (большими мазками) на тему защиты данных на диске:
- Компьютер должен обладать модулем TPM или поддерживать PTT от Intel — для безопасного создания и хранения криптографических ключей. (Все современные ПК в большинстве своем, имеют либо то либо другое, если только вашему пк не 10 лет и больше)
- Говорим про ПК на базе Windows 10, 11 с поддержкой встроенного BitLocker — и да Вам потребуется версия Windows Pro — именно в ней он уже есть и поддерживается (благо сейчас код обновления с Home — можно купить за 900 р)
- Включаем модуль шифрования TPM или PTT в BIOS — у большинства всё это есть, но по умолчанию оно выключено
- В Windows — Включаем шифрование системного диска с помощью — BitLocker (и всех остальных дисков, если есть в системе) — ключ шифрования выбираем 256 бит
- При включении BitLocker — Не сохранять код восстановления в акаунте Microsoft. Код храним в другом защищенном месте — возможно на бумаге, возможно на флешке. (При сохранении кода восстановления в акаунте — его можно получить от Microsoft или взломать учетную запись и получить от туда, ну или если это всё вас не беспокоит — можно и сохранить)) .
- Включение в Bitlocker — Pin кода — обязательно (с запросом до загрузки ПК) , PIN не менее 10 символов — только английские буквы и цифры, строчные и прописные (введёте что нибудь на русском и будут проблемы — поверьте) . Это не должны быть телефоны, даты рождения и общеупотребительные слова, номера паспорта и т д, т. е. не то что можно легко подобрать перебором зная какие то данные о Вас.
- Принудительное выключение на компьютере режима гибернации и удаление соответствующего файла подкачки включая образ оперативной памяти (из них легко извлекается ключ шифрования — специальным софтом) . Можно этого и не делать — если вы будете уверены что ваш пк не попадёт в руки ни к тем людям во включенном состоянии (или состоянии сна или ожидания — для ноутбуков)
- Выключение аппаратного шифрования самого диска (если у жесткого или SSD диска такое есть. Можно и не выключать если сам диск совместим с BitLocker) — иначе диск может не шифроваться Bitlocker, а система будет полагаться на шифрование самого диска — т. е. может возникать конфликт и ваши данные останутся не зашифрованы BitLocker (об этом есть отдельная статья) .
- По желанию — Вынос на рабочий стол ярлыка кнопки экстренного отключения, чистит память, чистит подкачку и выключает компьютер — удобно когда нужно быстро выключить ПК — а это бывает важно) — но это просто для удобства, если например кто то другой ещё работает на вашем пк.
После проведения всех процедур — имеем:
- При включении ПК — попросит ввести PIN (ещё до загрузки системы, так как система полностью зашифрована) — если он будет введен не верно — система не загрузится и диск останется в зашифрованном виде (извлечь Ваш пароль из TPM и PTT — не зная PIN или код восстановления — практически не возможно) .
- Весь диск зашифрован — перестановка его на другой компьютер или подключение к другим системам — не позволит получить данные с диска, атака и попытка расшифровать путем перебора, с учетом 256 битного ключа шифрования AES — займет очень много времени (десятки, если не сотни лет) — не думаю что кому то будет так интересно содержимое вашего диска, а если вы из таких людей у которых есть такая информация — то этот гайд не для Вас)))
- Если забудите Pin и потеряете код восстановления — диск только под форматирование — данные с него вы не восстановите.
- Шифровать таким образом можно и съемные диски и флэшки.
Самое важное правило:
Есть одно очень важное правило — если кто то получит доступ к работающему компьютеру или в режиме сна или ожидания (для ноутбуков) — то получить и доступ к данным и расшифровать их — не составит труда вообще (с помощью специального софта — займет несколько минут, хотя можно просто отключить шифрование на работающем ПК — и всё)
Поэтому важно чтобы компьютер (ноутбук) был выключен — особенно в ситуациях допускающих несанкционированный доступ к нему. Именно выключен, а не в режиме сна или ожидания. Если это правило не выполнено — шифрование и предыдущие шаги — были бесполезны, особенно если за дело возьмутся специалисты.
Я не специалист по безопасности (бывший программист) , но перерыл массу информации на эту тему (после печального опыта знакомых мне людей) и если не уходить в параноидальные вещи, а сделать максимум защиты и удобства использования, с минимальными танцами с бубном — то более простого решения не нашёл — ни нужно никакого стороннего софта, никаких аппаратных дополнений и ключей, фактически всё под рукой — бери и пользуйся!
Это короткая (не пошаговая инструкция) — которая максимально усложнит доступ к вашим данным, с минимальными затратами для вас и минимальными неудобствами при использовании.
Если есть что добавить или как ещё упростить при этом улучшив и усилив защиту — подскажите! ?
1. не использовать битлокер, лучше трукрипт или другие решения
2. убрать подкачку/своп/гибернацию
3. предусмотреть режим быстрого обесточивания (с ноутом уже сложнее)
4. никогда не используйте средства, которые привзявыаются к процу или иным устройствам, в противном случае вы попрощаетесь с данными при выходе из строя компа
5. обязательно делайте бэкапы и их тоже не забывайте шифровать
Зачем это все? Типа ворвутся маски шоу, а ты хоп такой, обесточил и они руками развели. И достали паяльник.
Битлокер ценен тем что он работает прозрачно и не требует от пользователя дополнительных усилий. Если сильно хочется то поверх можно другое средство шифрования применить. Но основная тема битлокера это не защита от органов (микрософт и так ключи сольет если надо), а защита от воров. Так же как и в телефоне шифрование.
Пункт 4 и 5 - имеют место быть - согласен
Чем битлокер - плох?
Комментарий недоступен
Затычка с бронепанелью 5 класса.
Комментарий недоступен
От такого ничего не спасет