Что BitLocker на самом деле шифрует и когда?

Question

Мне нужно полное шифрование диска для бизнес-ноутбуков, работающих под управлением текущей версии Windows 10 Pro. Компьютеры имеют твердотельный накопитель NVMe от Samsung и процессор Intel Core i5-8000.

Из сегодняшних веб-исследований на данный момент доступно только два варианта: Microsoft BitLocker и VeraCrypt. Я полностью осведомлен о состоянии открытого и закрытого источника и о последствиях для безопасности, которые с этим связаны.

После прочтения некоторой информации о BitLocker, которую я никогда раньше не использовал, у меня сложилось впечатление, что начиная с Windows 10 BitLocker шифрует только новые записанные данные на диске, но не все, что уже существует, по соображениям производительности. (Эта документация говорит, что у меня есть выбор, но я не делаю. Они не спросили меня, что я хочу после активации.) В прошлом я использовал системное шифрование TrueCrypt и знаю, что существующее шифрование данных является видимой задачей, которая занимает несколько часов. Я не могу наблюдать такое поведение с BitLocker. Нет заметного фонового процессора или активности диска.

Активировать BitLocker действительно легко. Нажмите кнопку, сохраните ключ восстановления в безопасном месте, готово. Тот же процесс с VeraCrypt заставил меня отказаться от этой идеи. Мне нужно было создать полностью работающее устройство восстановления, даже для тестирования на одноразовой системе.

Я также читал, что VeraCrypt в настоящее время имеет недостаток дизайна, который делает некоторые твердотельные накопители NVMe чрезвычайно медленными с системным шифрованием. Я не могу проверить это, потому что установка слишком сложна. По крайней мере, после активации BitLocker я не вижу значительного изменения производительности диска. Также у команды VeraCrypt недостаточно ресурсов для исправления этой "сложной ошибки". Кроме того, обновления Windows 10 не могут работать с VeraCrypt на месте, что делает необходимым частое полное шифрование диска и необходимое шифрование. Я надеюсь, что BitLocker работает лучше здесь.

Так что я почти остановился на использовании BitLocker. Но мне нужно понять, что он делает. К сожалению, в интернете практически нет информации об этом. Большинство состоит из постов в блоге, которые дают обзор, но не содержат краткой и углубленной информации. Поэтому я спрашиваю здесь.

Что происходит с существующими данными после активации BitLocker в системе с одним диском? Что происходит с новыми данными? Что значит "приостановить BitLocker"? (Не то же самое, что деактивировать его навсегда и тем самым расшифровать все данные на диске.) Как я могу проверить состояние шифрования или принудительно зашифровать все существующие данные? (Я не имею в виду неиспользуемое пространство, меня это не волнует, и оно требуется для твердотельных накопителей, см. TRIM.) Есть ли более подробные данные и действия о BitLocker, кроме "приостановить" и "расшифровать"?

И, возможно, на заметку, как BitLocker относится к EFS (зашифрованная файловая система)? Если только недавно записанные файлы зашифрованы, EFS, похоже, имеет очень похожий эффект. Но я знаю, как работать с EFS, это гораздо понятнее.

Answer 1

Активация BitLocker запускает фоновый процесс, который шифрует все существующие данные. (На жестких дисках это традиционно длительный процесс, поскольку для него необходимо читать и перезаписывать каждый сектор раздела - на дисках с самошифрованием это может быть мгновенным.) Таким образом, когда говорится, что только недавно записанные данные зашифрованы, это относится к состоянию сразу после активации BitLocker и перестает быть истинным после завершения фоновой задачи шифрования. Состояние этого процесса можно увидеть в том же окне панели управления BitLocker, и при необходимости приостановить.

Статью Microsoft нужно внимательно прочитать: на самом деле речь идет о шифровании только используемых областей диска. Они просто рекламировать это как имеющие наибольшее влияние на свежие системы, где у вас нет каких - либо данных еще помимо базовой ОС (и , следовательно , все данные будут "вновь написано"). То есть, Windows 10 будет шифровать все существующие файлы после активации - он просто не будет тратить время шифрования секторов диска , которые не содержат ничего еще. (Вы можете отказаться от этой оптимизации с помощью групповой политики.)

(В статье также указывается на обратную сторону: области, в которых ранее содержались удаленные файлы, также будут пропущены как "неиспользуемые"). Поэтому, если вы шифруете хорошо используемую систему, выполните очистку свободного места с помощью инструмента, а затем позвольте Windows запустить TRIM, если у вас есть твердотельный накопитель, все перед активацией BitLocker. Или используйте групповую политику, чтобы отключить это поведение.)

В той же статье также упоминаются последние версии Windows, поддерживающие самошифрующиеся твердотельные накопители с использованием стандарта OPAL. Поэтому причина, по которой вы не видите никаких фоновых операций ввода-вывода, может заключаться в том, что SSD был внутренне зашифрован с первого дня, и BitLocker распознал это и взял на себя управление ключами только на уровне SSD вместо дублирования усилий по шифрованию на уровне ОС. Таким образом, SSD больше не разблокируется при включении, но для этого требуется Windows. Это может быть отключено с помощью групповой политики, если вы предпочитаете, чтобы операционная система обрабатывала шифрование независимо.

Приостановка BitLocker приводит к тому, что незашифрованная копия «главного» ключа записывается непосредственно на диск. (Обычно этот главный ключ сначала зашифровывается с помощью вашего пароля или доверенного платформенного модуля.) В режиме ожидания это позволяет самостоятельно разблокировать диск - явно небезопасное состояние, но позволяет Центру обновления Windows перепрограммировать TPM, например, в соответствии с обновленной ОС. Возобновление BitLocker просто стирает этот простой ключ с диска.

BitLocker не имеет отношения к EFS - последний работает на уровне файлов, связывая ключи с учетными записями пользователей Windows (позволяя детализировать конфигурацию, но делая невозможным шифрование собственных файлов ОС), тогда как первый работает на уровне всего диска. Они могут использоваться вместе, хотя BitLocker в основном делает EFS избыточным.

(Обратите внимание, что и BitLocker, и EFS имеют механизмы, позволяющие администраторам корпоративных каталогов Active Directory восстанавливать зашифрованные данные - либо путем резервного копирования главного ключа BitLocker в AD, либо путем добавления агента восстановления данных EFS во все файлы.)