|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
'- f 1'.. |
|
= |
|
|
) ЭJо1-.inыotep > АЖХ(С:) |
|
8P16oчlol1'CJOA" |
• р, |
|
|
.Qow::y-n,, |
,, |
|
|
· |
; |
|
--·- |
|
|
,Qoct7n "' ---- |
AONOiiм |
|
no..1 |
|
,iэ,o,_,tp |
|
|
|
поо-.-.аи,,:х« |
|
|
|
6DVDФJ |
|
|
•с~
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Рис. 9.4. Включение EFS
9.2.3. Использование программы Advanced EFS Data Recovery
для расшифровки зашифрованных EFS файлов
правами
|
YjFilesм |
|
-- |
--- |
|
|
|
|
-: |
:::::_: • _, |
'°"" • ,,.. |
|
..hO,o,,..o\C,O• |
|
..... . |
|
1 |
|
------ |
.. ...,, ..,,.,. |
,, |
|
|
.. Эаrру.... |
|
|
1 |
·-· |
, |
|
|
Рис. 9.5. Содержимое зашифрованной папки --
•. - - - - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - -
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Создать учётную запись для данного компьютера
Еспи еы хотите использовать пароль - выберите что-то, что вам запомнится J1erкo, а другим будет спожно уrцать.
Кто буАет мсnО11ыоепь д,анныi\ компьютер? f Hacker
обеспечьте 6еюnасность.
В сnуцае, если еы uбыпм свой n.1роль 1 Конт льныА вопрос 1
мы+
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
-x cha |
|
|
|
|
Рис. 9.6. Создан новый пользователь
Естественно, если зайти под другим пользователем и попытаться прочитать файл «пароли», у вас ничего не выйдет (рис. 9.7).
с- - х
-,,.imrpo,1•1t ....,,. c
....
СК]
Рис. 9. 7. Отказано в доступе
Но не беда - запускаем программу Advanced EFS Data Recovery и переходим сразу в Expert mode (можно, конечно, воспользоваться мастером, который открывается при первом запуске (рис. 9.8)), но мне больше нравится экс
пертный режим.
1118------------ - - -------------------- ------------------------------ - - -------------_,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
х
Welcometo
Advanced EFS Date Recovery wizard-
аw.n guide you Ь-ough the р«М;41&S of locating а11 in6onna6on ne8ded to, dкryption of yaurfКes.
8lnd h .«::11181 dec::,yption p,oceu.
А1: any -... you сап рrеп '"Васk. bllaon to retum to
,wevious sl8p. о, .Expert moc1e· to swikh to clauic uaer inletfac•
Show yttzard 4ttQrtup
Рис. 9.8. Мастер при запуске Advanced EFSData Recovery
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
6tJ AdV•nc-ed EfS 0.t,i RftCO\lefY Ttl•I EdttIOn |
|
|
о |
х |
EFSr.i...dll8• Eмrypled-• f..... |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Со.,,,..,. |
|
|
,_,_,
111111 Editi 2003-2014 [-lcomSQft GQJ"1d.
Рис. 9.9. Экспертный режим Advanced EFSData Recovery
Итак, перейди на вкладку Encrypted files и нажми кнопку Scan for encrypt ed files. Сначала программа предложит найти ключи. После того, как ключи будут найдены, снова нажми кнопку Scan for encrypted files непосредствен но для поиска зашифрованных файлов.
На рис. 9.1О уже изображен результат сканирования - найден наш единствен ный зашифрованный файл C:\Files\napoли.txt. Вьщели его и нажми кнопку Decrypt. Программа предложит выбрать каталог, в который нужно дешиф-
овать файлы (рис. 9.11).
..--. ------------------ - - - - - - - - - -------------------------------.. - ·----------------f!II
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
BUY |
'\,11,11111 IICI lljJll\ll'!),I\ |
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
---------- |
|
|
|
|
d |
|
|
- |
|
|
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Pl'Q9femmeylek8• loglc:wdi----..,.__,tnd -
Fli8•• . En iмl•k!Ut'ld
r-elofl•84
, -(О)
Tri.111 {ctit,on, С 2СОЭ·201А El<omSc,nCo.L1d.
Рис. 9.10. Найдены зашифрованные файлы
Обзорпапок |
х |
|
5еlю folder where deaypted files will Ье wrtlten |
|
8 Рабочийстол
>АOneDrive
>Hacl<er
Этоткомпьютер
Библиотеки Сеть
'"""'У О1(
Рис. 9.11. Выбери катш ог, в который будут дешифрованы файлы
Поскольку мы использовали пробную версию программы, то для продолже ния нужно нажать Continue (рис. 9.12). Расшифрованные файлы помещают
ся в подпапку AEFS_<имя_диска>_DECRYPTED (рис . 9.13).
Теперь усложним задачу программе Advanced EFS Data Recovery, а именно
- удалим личный сертификат. Войди как пользователь, создавший зашифро -ванную- папку, запустите консоль mmc и открой список личных сертифи
катов (нужно выбрать команду Файл, Добавить или удалить оснастку и
добавить оснастку Сертификаты).
---- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - .. - - - - . - - - - - - - - - - - - - - --- - . - --....... _,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
P |
|
|
|
|
|
NOW! |
o |
I.1a11a <J. 1\11,1,1 11,1p111L'II |
11 110 "•1,·1111, 111, 1, 11,1 1, ;,111111фр1111,111111,1'1 |
|
|
|
|
|
|
|
1.111111,1'1 |
BUY |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
х |
w Click |
|
|
|
|
|
m |
O,derNowl |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
You're using the trial verslon of AEFSDR. Onty first 512 Ьytes of |
|
|
|
|
-x cha |
|
|
|
|
|
|
|
the file hove Ьееn decrypted. The rest of the file has Ьееn fllled |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ьу zeros. You must purchase the fuM verston of AEFSDR to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
deaypt the file completely. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pk!ese exDmlne the progntm НеJр to le&m more ii,Ьout tnal |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
version llmЬl:ions. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
You QП purd\ase the full verSIOn of thts progn1m nght now, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
·ooline or offllne - sunptv dk:k the -Order Fun versюn• |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ьutton.We accept ell mzijor aedtt a,rds (online, Ьу phone or |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
), purd\ase orders, c:hedcs lJnd wire tr'Dnsfers. The oпtering |
|
|
|
|
|
|
|
|
|
|
|
|
Order Full Veгsion! |
|
page is оп а seo.ire server, ensurlng thet your confкJentюl |
|
|
|
|
|
|
|
|
|
|
|
|
|
informetlon re lns confidenti.,I. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Enter Reglstnttion Code-
Continue
Рис. 9.12. Нажми кнопку "Continue"
·""""'""
от nочт1,1
Рис. 9.13. Расшифрованный файл и содержимое файла (mapoлu.txt>J
Удали свой личный сертификат. Ты увидишь предупреждение о том, что рас шифровать данные, зашифрованные с помощью этого сертификата, будет уже невозможно. Что ж, скоро мы это проверим.
Далее выполни следующие действия:
• |
Закрой оснастку и попробуй обратиться к зашифрованному файлу. У тебя |
|
ничего не получится, не смотря на то, что ты недавно лично зашифровал |
|
этот файл. Сертификата ведь нет. |
|
|
|
|
• |
Смени пользователя, запусти программу Advanced EFS Data Recovery. |
|
Попробуй расшифровать файл, как бьmо показано ранее. Сначала про |
|
грамма сообщит, что сертификат не найден. |
Поэтому нужно перейти на |
' |
|
|
|
|
|
некоторое |
--- - - ----- - - - - - - ............... |
-......... |
- ........ |
- ...- |
....-----....... |
-........... |
- - -- - - - - - - - - - - -- -- -- - - -- - - -- - -- -- - - - - - - - - - - - - - -- -- - - - - - -- -- -•-.
13.107.2 SУЗТЕМRе З КЕ.У .мо,еd
65.536 SAМR•gl•wy
....ЗУ9ТЕМ
Рис. 9.14. Консоль ттс: удаление сертификата для "Шифрующей файловой системы"
Примечание. Нужно отметить, что в посекторном режиме (при включенной опции Scan Ьу sectors) сканирование занимает за метно больше времени.
о "
Jame ......,.ь..,.foui,d.МJl,...Ь.,Ы,nat... W._,...
, ..,_..., ____,....tur111111(•)-o..............- ....,-•...
,.....................W,., -N•- Ь....иerlla«_\1811.,_
Рис. 9.15. Найдены не все ключи
TNII Ed•tion. С1 2 0 0 2013•-i EkomSoft Co.Ltd.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Scan Ьу sectors
Encrypted files.
-, ..
• ,;..,
.а...
•'806-
•,
а
"Lск.81 olble ,.:8AoиP1,<1+11011.0pttn
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
-- - - - - -- -- - - -- -- - - - --
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
Select logkal disk(s) to scan |
|
|
х |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
Letter |
Ale em |
Stze (МЬ} |
|
.$tOrtSQn |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0с NТFS |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
60 GB |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 D |
CDFS |
SCB |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 9.16. Включение опции "Scan Ьу sectors"
о х
Зсr. lllodik-dait Uиf•
12/' OII ...-
Рис. 9.17. Программа может расшифровать файл, даже если сертификат был удален
2•
9.3.Восстановление доступа к BitLocker
fJ
·---------------------------------------------------------------------------------- |
1!11 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
с неюm |
|
|
|
|
|
|
|
|
|
|
m |
|
|
справиться. Выходит так, что вход в EFS стоит рубль, а выход -w1ClickО.. |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
-xchaПользователи могут быстро и просто зашифровать данные, но что делать-x cha |
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
для их расшифровки в случае нештатной ситуации - знают немногие.
В случае с BitLocker все гораздо проще. При шифровании диска пользова тель указывает пароль, а BitLocker генерирует ключ восстановления, ·кото рый можно легко использовать для восстановления доступа случае, если пароль был забьm.
Ключ восстановления можно хранить на компьютере, в чипе ТРМ (если такая возможность поддерживается компьютером) и в учетной записи Майкрософт (настоятельно не рекомендуется, поскольку этим, по сути, пре доставляется доступ к секретным данным Майкрософту).
Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе
|
|
|
принесут неизвестно откуда |
флешку, зашифрованную BitLocker, |
то вряд ли получится расшифровать ее за приемлемое |
Может |
йдет, но к тому времени ты состаришься, а информация потеряет всякую
актуальность.
Самое опасное - это ключ восстановления. Часто пользователи шифруют диск, но не уделяют никакого внимания безопасному хранению ключей вос становления. Хакер может извлечь жесткий диск или загрузиться с загру зочной флешки. Он.произведен поиск файлов по имени «Ключ восстанов ления*» и/или по содержимому «Ключ восстановления». Он найдет ключ восстановления, а дальше - дело техники.
Казалось бы, к BitLocker претензий нет, это человеческий фактор. Но, по сути, пользователя не должно волновать, как были расшифрованы дан ные - или путем поиска уязвимости в самом BitLocker, или потому что он плохо защитил ключ восстановления. Главное то, что кто-то смог получить доступ к секретной информации и это самое плохое.
Именно на этом факте и будет основываться наша дальнейшая стратегия - на поиске ключа восстановления, ко_торыйнаверняка находится на том же компьютере, что и зашифрованный диск.
9.3.2. Технические подробности
При первой активации BitLocker приходится долго ждать. Это вполне объяс нимо - процесс посекторного шифрования может занять несколько часов,
ведь прочитать все блоки терабайтных HDD быстрее не удается. Но отклю |
• |
|
|
|
|
чение BitLocker происходит практически мгновенно - как же так? |
. ---- -..---..-- ............ |
-............ |
-..................... |
-............. |
-...--- |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
|
|
|
o |
|
P |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
\..NOW!11,11111 11.1111)11'Hjl.l\ |
|
|
|
|
|
NOW! |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
Делоm |
в том, что при отключении BitLocker не выполняет расшифровку данw Click |
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
ных. Все секторы так и останутся зашифрованными ключом FVEK. Просто |
|
|
|
g |
|
|
|
|
|
|
|
|
|
g |
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки ТРМ, запроса ключа на флешке или пароля), авто матически расшифровывать им FVEK, а затем и все файлы по мере обра щения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное сни жение быстродействия. Точнее - отсутствие прибавки в скорости после от ключения шифрования.
Интересно в этой схеме и другое. Несмотря на название (технология полно дискового шифрования), часть данных при использовании BitLocker все рав но остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), поврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочие вредоносные программы, а мета данные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шиф рует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это все потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные - тот же
поиск ключа восстановления, о чем уже бьшо сказано.
Далее будет показано, как включить BitLocker и как восстановить доступ к зашифрованному диску, если вы забьiли пароль. Мы будем шифровать диск Е:, на который потом поместим все секретные документы. Если у вас толь ко один диск, то вы можете разделить его на разделы программой AOMEI
Partition Assistant или любой другой подобной.
9.3.3. Включение шифрования и восстановления доступа с помощью ключа восстановления
Для включения шифрования BitLocker выполни следующие действия:
1.Открой классическую панель управления и перейди в раздел Шифрова ние диска BitLocker (рис. 9.18)
2. Щелкни по ссьшке Включить BitLocker напротив диска, которi.1й нужно
зашифровать. |
|
|
|
----- - - - - |
- - -- |
-- - -- - - . - . - . - |
...• |
. |