BDE для Windows 8 располагает двумя новыми функциями — BitLocker Pre-Provisioning (предварительная подготовка) и Used Disk Space Only Encryption (шифрование только занятого места на диске), с помощью которых пользователи могут шифровать тома гораздо быстрее, нежели с предыдущими версиями BDE. Познакомимся с принципами действия каждой из этих функций.
BitLocker Pre-Provisioning
Благодаря предварительной подготовке BitLocker администраторы могут включить BitLocker для тома и зашифровать том, прежде чем будет установлена операционная система Windows 8. В Windows 7 и Windows Vista компонент BitLocker можно включить лишь после установки операционной системы.
Во время предварительной подготовки Windows 8 формирует случайный ключ шифрования, который используется BitLocker для шифрования тома до установки операционной системы. В Microsoft случайный ключ шифрования называют «явным защитником», так как он хранится на диске в незащищенном виде. После установки Windows пользователи могут полностью защитить ключ шифрования для предварительно подготовленного тома, активируя BitLocker на томе и выбирая метод его разблокирования. Для защиты ключа шифрования требуется гораздо меньше времени, чем для шифрования целого тома.
Администраторы могут включить предварительную подготовку BitLocker из среды предустановки Windows (WinPE) с использованием утилиты командной строки Manage-bde. WinPE — облегченная среда Windows для установки операционных систем Windows. Например, чтобы предварительно подготовить BitLocker на диске F, нужно ввести в командной строке WinPE следующую команду:
manage-bde -on f:
Чтобы обеспечить предварительную подготовку, Microsoft ввела новый статус для томов — «Ожидание активации BitLocker Waiting for Activation». Если том предварительно подготовлен, новый статус (с желтым восклицательным знаком) отображается в разделе шифрования диска BitLocker Drive Encryption панели управления. На экране 1 новый статус присвоен диску F. Восклицательный знак подчеркивает, что ключ шифрования по-прежнему не защищен.
Экран 1. Появление нового статуса BitLocker Waiting for?Activation |
Used Disk Space Only Encryption
В новом режиме шифрования Used Disk Space Only BitLocker шифрует только занятое место на защищенном томе BDE. В результате шифрование пустых или частично пустых томов происходит гораздо быстрее. В предыдущих версиях Windows у BitLocker был только один режим шифрования — всех данных и всего свободного пространства.
Специалисты Microsoft рекомендуют применять шифрование только занятого места лишь на новых компьютерах и томах. Для уже используемых томов предпочтительный вариант — полное шифрование. Это объясняется тем, что свободное пространство на используемом томе может содержать потенциально извлекаемые данные, и только общее шифрование гарантирует полную безопасность.
Чтобы задействовать шифрование только занятого места на диске или полное шифрование на присоединенных к домену клиентских компьютерах, администраторы могут использовать новый набор параметров объекта групповой политики (GPO) в контейнере Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption. Новый параметр Enforce drive encryption type («Применить принудительно тип шифрования диска») доступен для операционной системы, фиксированных и сменных носителей с данными. Эти параметры нельзя применить в режиме предварительной подготовки, так как нельзя применить объекты GPO, прежде чем будет установлена Windows. Если администраторы не настраивают эти параметры GPO или указано значение по умолчанию Allow user to choose («Разрешить пользователю сделать выбор»), то пользователи могут выбрать режим шифрования при включении защиты BitLocker для тома из пользовательского интерфейса Windows. Они выбирают параметр на странице Choose how much of your drive to encrypt («Укажите, какую часть диска требуется зашифровать») мастера настройки BitLocker Drive Encryption, как показано на экране 2.
Экран 2. Выбор режима шифрования в мастере Drive Encryption |
Используйте обе функции для быстрого шифрования
Шифрование только занятого места на диске можно сочетать с предварительной подготовкой BitLocker. Если использовать обе функции, то время включения BitLocker на почти пустых дисках измеряется секундами. Кроме того, не составляет труда автоматизировать процесс включения BitLocker, если воспользоваться командой Manage-bde или командами BitLocker PowerShell в программах и процессах развертывания Windows.