Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Tworzymy szyfrowane kontenery VHD z użyciem funkcji BitLocker

Niektóre dane są bardziej wrażliwe niż inne oraz wymagają solidnego i pewnego zabezpieczenia. Ci mniej zaawansowani korzystają z opcji systemowego ukrycia folderu oraz bawią się w przechowywanie tych plików w katalogach systemowych, gdyż to właśnie one są "najmniej podejrzane" - niestety takie rozwiązania nie zapewniają nam 100% ochrony. Inni natomiast korzystają z różnego rodzaju aplikacji firm trzecich mających na celu zablokowanie folderu na hasło, a także z narzędzi do szyfrowania całych partycji na dysku takich jak TrueCrypt 7.1a. Jednak okazuje się że korzystając z profesjonalnych wydań systemów Windows 7 oraz Windows 8/8.1 możemy przygotować bezpieczny kontener na pliki zabezpieczony hasłem, z użyciem wbudowanej w system technologii BitLocker oraz funkcji montowania wirtualnych dysków w formacie VHD, bez potrzeby używania dodatkowych programów. Kolejną zaletą tego rozwiązania jest również łatwość przenoszenia danych, ponieważ cały kontener to tylko jeden plik o ustalonym rozmiarze.

Tworzenie wirtualnego dysku twardego

Na początku musimy utworzyć nowy plik wirtualnego dysku mający rozszerzenie VHD lub VHDX. Możemy to uczynić za pomocą wbudowanej w system przystawki Zarządzanie dyskami, która pozwala na władanie wszelkimi zainstalowanymi w komputerze dyskami, zarówno tymi fizycznymi, jak i wirtualnymi. Narzędzie te możemy uruchomić poprzez Start --> "diskmgmt.msc".
Następnie przechodzimy do Action (Akcje) --> Create VHD (Utwórz VHD). Wówczas ukaże się nam okienko z możliwością konfiguracji parametrów naszego VHD.
Aby kontener mógł być poprawnie obsługiwany przez technologię BitLocker musi on mieć minimum 64MB. Okno tworzenia nowego dysku VHD oferuje nam dwa odmienne formaty - VHD oraz VHDX. Ten drugi jest odczytywany tylko przez system Windows 8/8.1, pozwala on jednak na stworzenie kontenera większego niż 2TB (2048GB).

Dodatkowo do wyboru są dwa różne rodzaje dysków - Fixed size (Stały rozmiar) oraz Dynamically Expanding (Dynamicznie rozszerzany). Oba te rodzaje różnią się fizycznym rozmiarem samego pliku VHD. Ten pierwszy zajmuje dokładnie taką samą ilość miejsca jaką nadaliśmy kontenerowi oraz tworzy się nieco dłużej, gdyż musi on zostać wypełniony losowymi bitami, drugi zaś stopniowo się rozrasta (proporcjonalnie do ilości zajętego miejsca w kontenerze), ale jego wydajność wówczas spada (kontener stale się poszerza, wraz z wzrostem ilości zapisanych na nim informacji).

Po stworzeniu nowego dysku i jego automatycznym zamontowaniu do systemu musi zostać on odpowiednio przygotowany oraz sformatowany w jednym z dostępnych systemów plików. Aby to uczynić, klikamy w Zarządzaniu dyskami na ikonkę naszego kontenera i z menu kontekstowego wybieramy opcję Initialise Disk (Inicjalizuj dysk).

Następnie pojawi się okienko z możliwością wyboru tablicy partycji dla tego dysku - MBR oraz GPT, jednak do naszych zastosowań lepiej będzie użyć MBR ze względu na kompatybilność z systemem Windows 7 oraz starszymi.
Po utworzeniu odpowiedniej tablicy partycji, automatycznie zostaniemy przeniesieni do kreatora tworzenia nowej partycji. Po zapoznaniu się z informacjami na ekranie wstępnym możemy przejść do właściwej procedury tworzenia partycji, podczas której pytani będziemy o jej rozmiar (ustawienie te najlepiej pozostawić bez zmian), o punkt montowania (np. o literę dysku) a także o system plików (zalecany system - FAT32) oraz etykietę dla dysku.

Konfiguracja BitLocker'a

Po zakończeniu pracy kreatora mamy już w pełni sprawny i funkcjonalny kontener w którym możemy przechowywać pliki, jednak nie jest on jeszcze strzeżony hasłem. Aby owe zabezpieczenie aktywować przechodzimy do Computer (Komputer) i z menu kontekstowego naszego kontenera wybieramy opcję Turn BitLocker on (Włącz BitLocker). Po chwili wyświetli się monit z prośbą o wpisanie nowego hasła dla dysku (możliwe jest także zabezpieczenie kontenera używając do tego karty zabezpieczeń), a później kreator poprosi nas abyśmy zapisali klucz przywracania, czyli zapasowe hasło do dysku, wykorzystywane w razie utraty tego podstawowego. Po chwili nasz kontener zostanie zabezpieczony i automatycznie zamontowany.

Montowanie i usuwanie kontenera z systemu

Od razu po wykonaniu wyżej wymienionych czynności, nasz kontener jest zamontowany i odblokowany. Aby usunąć go z systemu należy skorzystać z opcji Eject (Wysuń). Operacje tą należy wykonywać każdorazowo po zakończeniu pracy z kontenerem.
Jeżeli natomiast chcemy ponownie zamontować kontener należy przejść do lokalizacji zapisanego pliku VHD oraz kliknąć go dwukrotnie, a następnie wpisać hasło BitLocker'a. Wówczas zasoby naszego wirtualnego dysku staną się znowu dla nas dostępne.

Wideoporada IT-Fun™

 

windows bezpieczeństwo porady

Komentarze

0 nowych
GBM MODERATOR BLOGA  19 #1 27.03.2015 13:30

Nie no proszę... szyfrować dyski bitlockerem, to jak chować się przed policją w areszcie śledczym....

corrtez   11 #2 27.03.2015 16:49

@GBM: Najciemniej pod latarnia? ;)

GBM MODERATOR BLOGA  19 #3 27.03.2015 16:57

@corrtez: Owszem, ale zdecydowanie nie w tym przypadku :)

Vidivarius   13 #4 27.03.2015 17:05

@GBM
Temat mnie interesuje, ale przyznam, że nie dysponuję wiedzą. Mam zatem pytania, bo zaintrygowła mnie twoja wypowiedź.
Dlaczego nie BitLocker? Rozumiem, że jest jakaś furtka. Czy jednak są na to jakieś oficjalne dowody, czy też może jakieś nieoficjalne? Czy ktoś zbadał temat dogłębnie?
Jeśli nie BitLocker to co? I dlaczego?

Autor edytował komentarz.
pocolog   11 #5 27.03.2015 17:09

@Vidivarius: Bo to zamknięte rozwiązanie i można mieć do niego takie same zaufanie jak do bezpieczeństwa Windowsa ;)

corrtez   11 #6 27.03.2015 17:22

@Vidivarius: Na poczatek:
http://en.wikipedia.org/wiki/BitLocker
Paragraf: security concerns.

Vidivarius   13 #7 27.03.2015 17:57

@pocolog ; @corrtez
Dzięki za info.
Jak rozumiem pozostają rozwiązania otwarte. Czyli jakie? Bo chyba chwalony TrueCrypt nie ma otwartego kodu (jeśli się mylę to mnie sprostujcie)?

GBM MODERATOR BLOGA  19 #9 27.03.2015 18:54

@Vidivarius Generalnie rewelacje co do słabego bezpieczeństwa BitLockera pochodzą od Snowdena. http://niebezpiecznik.pl/post/o-tym-jak-nsa-hackuje-urzadzenia-apple-i-ze-bitloc.../

Jeśli chodzi o TrueCrypt, to co prawda przeprowadzany jest jego audyt http://zaufanatrzeciastrona.pl/post/aktualizacja-statusu-audytu-truecrypta/
Ale twórcy TC, ostrzegają przed jego używaniem - http://truecrypt.sourceforge.net/
Stąd jeśli już, to polecane jest używanie jego starszych wersji.

Alternatywa? LUKS albo dm-crypt (czyli opensourcowe rozwiązania kryptograficzne/szyfrujące):
http://pl.wikipedia.org/wiki/Linux_Unified_Key_Setup
http://pl.wikipedia.org/wiki/Dm-crypt (tutaj w sekcji "Zobacz też", znajduje się lista alternatywnych propozycji)

vries   6 #10 27.03.2015 20:26

@Vidivarius: Alternatywą TrueCrypta jest VeraCrypt, czyli jego fork. Póki co nie był audytowany, wiec trudno powiedzieć, że jest superbezpieczny. Bitlocker dla mnie jest mało użyteczny z tego powodu, że nie działa na systemach poza Windowsem.

Vidivarius   13 #11 27.03.2015 22:01

@vries A tego to nie znałem. Dzięki! Zaraz instaluję i testuję.

Niemniej problem pełnego zaufania nadal pozostaje.
TrueCrypta sprawdzony ale też pewności nie ma (kod nie jest otwarty - chyba że się mylę). A ostatni wypust w ogóle podejrzany.
VeraCrypt oparty w prawdzie o TrueCrypta ale nie sprawdzony, choć kod otwarty.
BitLocker zamknięty i potencjalnie z furtkami.
Czy coś jeszcze? Ważne aby było wielosystemowe.

Axles   16 #12 28.03.2015 13:18

I znów ta dyskusja o tym co ma furtki, a co nie ma.Czy na prawdę posiadacie aż takie cenne dane wagi państwowej, że nie możecie zaufać BitLockerowi czy innym zamkniętym projektom, nawet jeśli mają tyle furtki to co tak cennego do ukrycia poza fotkami z wakacji :)

  #13 29.03.2015 09:18

@Axles Tu nie chodzi o to że mamy coś do ukrycia wagi państwowej, tylko o to że chcemy bezpieczeństwa naszych danych. To wystarczający powód dla którego możemy chcieć jak najlepszego szyfrowania.

saturno   9 #14 29.03.2015 11:01

@IT-Fun Czy jeśli w komputerze wysiądzie wszystko oprócz dysku twardego to da się zawartość takiego kontenera odczytać na innym komputerze?

  #15 29.03.2015 17:45

Mogę ten zaszyfrowany plik przenieść na pendrivie czy mailem bądź dropboxem na inny komputer z windows i jak znam hasło to go uruchomić na innym komputerze? Czy potrzebuję jeszcze czegoś, żeby go przenosić?

jkolonko   9 #16 30.03.2015 10:51

Jest jakieś uzasadnienie dla tej rekomendacji FAT32? Ja nie widzę, polecałbym NTFS.

IT-Fun   6 #17 30.03.2015 14:55

@GBM: Wpis został przygotowany głównie z myślą o użytkownikach domowych, którzy chcą jedynie zabezpieczyć swe pliki przed innymi użytkownikami komputera, lub chcą mieć bezpieczny schowek na zdjęcia czy inne dane.

Nie rozumiem jednak o co jest tyle "hałasu" - nawet jeżeli BitLocker/inne technologie szyfrowania mają furtki to i tak amerykańskim służbom bezpieczeństwa nie będzie się chciało oglądać Waszych danych, no chyba że macie tam ukryte super tajne plany przemycenia do Rosji bomby atomowej.

IT-Fun   6 #18 30.03.2015 14:55

@Anonim (niezalogowany): Kontener można odczytać na każdym komputerze z Windows 7/8/8.1

IT-Fun   6 #19 30.03.2015 14:56

@saturno: Kontener można dowolnie przenosić między różnymi komputerami.

IT-Fun   6 #20 30.03.2015 14:57

@jkolonko: Brak problemów z uprawnieniami dostępu do plików. Serio, ja osobiście wolę mieć pendrive lub kontener sformatowany w systemie FAT32. Jedynym minusem tego rozwiązania jest tylko ograniczenie maksymalnej wielkości pliku do 4GB.

Autor edytował komentarz.
GBM MODERATOR BLOGA  19 #21 30.03.2015 15:12

@IT-Fun: To, że służby potrafią to owszem. Tylko, że dzięki temu podziemie przestępcze ma świadomość możliwości przełamania zabezpieczeń, a to właśnie przez wszelakim złośliwym oprogramowaniem za którego pomocą Wasyl zbija na zwykłym userze kokosy - powinien ustrzec się użytkownik. Stąd po prostu jak już komuś coś polecać, to zdecydowanie sprawdzone i bezpieczne rozwiązania.

I błagam... nie oddawajcie się ignorancji tekstami "macie tam ukryte super tajne plany" lub "co tak cennego do ukrycia"... Wektorów ataku na dane użytkownika jest mnóstwo, a ich szyfrowanie skutecznie utrudnia zrealizowanie ich większej części. Z resztą sami popatrzcie po swoich dyskach ile Waszych danych osobowych przewala się po przestrzeni... faktury VAT? Cookiesy trzymające informacje o sesjach bankowych, które można wykorzystać do logowania w banku przez napastnika? A może inne cenne informacje? A potem wyobraźcie sobie, jakby ktoś o złych intencjach to wszystko przejął...

IT-Fun   6 #22 17.04.2015 14:18

@GBM: Ale dlaczego wychodzisz z założenia że o backdoorach pozostawionych przez służby bezpieczeństwa wie również podziemie przestępcze? Gdyby tak faktycznie było to w Darknecie byłoby mnóstwo poradników mówiących o sposobie na obejście założenia takiego powiedzmy BitLocker'a - ale czy coś takiego ma miejsce? Ja jeszcze nie natrafiłem na żaden instruktaż mówiący o tym "jak złamać BitLockera".

GBM MODERATOR BLOGA  19 #23 17.04.2015 14:40

@IT-Fun: Żyjesz w bardzo naiwnym poczuciu :-)

Jeśli nie wierzysz mi albo nie przemawiają do Ciebie moje argumenty, to poczytaj czołowe blogi bezpieczników ze Świata. Na pierwszy ogień polecam Bruce'a Schneier'a oraz Mikko Hypponen'a :-)