Отключить аппаратное шифрование BitLocker на уязвимых SSD

Вчера была обнаружена уязвимость в аппаратном шифровании, реализованном на некоторых SSD. К сожалению, BitLocker в Windows 10 (и, возможно, также в Windows 8.1) делегирует ответственность за безопасное шифрование и защиту данных пользователя производителю диска. Когда доступно аппаратное шифрование, оно не проверяет надежность шифрования и отключает собственное программное шифрование, что делает ваши данные уязвимыми. Вот обходной путь, который вы можете применить.

Даже если вы включите шифрование BitLocker в системе, Windows 10 может фактически не шифровать ваши данные с помощью программного шифрования, если диск передает операционной системе, что он использует аппаратное шифрование. Даже если ваш диск поддерживает шифрование, его можно легко взломать из-за использования пустой парольной фразы.

Недавний учиться показывает, что у продуктов Crucial и Samsung есть много проблем с твердотельными накопителями. Например, некоторые модели Crucial имеют пустой мастер-пароль, позволяющий получить доступ к ключам шифрования. Вполне возможно, что микропрограммы, используемые в другом оборудовании различных производителей, также могут иметь аналогичные проблемы.

В качестве обходного пути Microsoft предлагает отключение аппаратного шифрования и переход на программное шифрование BitLocker, если у вас есть действительно конфиденциальные и важные данные.

Прежде всего, вам нужно проверить, какой тип шифрования в настоящее время использует ваша система.

СОДЕРЖАНИЕ Проверьте состояние шифрования диска BitLocker для диска в Windows 10 Отключить аппаратное шифрование BitLocker Отключить аппаратное шифрование BitLocker с помощью групповой политики Отключить аппаратное шифрование BitLocker с помощью настройки реестра

Проверьте состояние шифрования диска BitLocker для диска в Windows 10

  1. Откройте командную строку с повышенными привилегиями.
  2. Введите или скопируйте и вставьте следующую команду:
    manage-bde.exe -status
  3. См. Строку «Метод шифрования». Если он содержит «Аппаратное шифрование», то BitLocker полагается на аппаратное шифрование. В противном случае используется программное шифрование.Статус Bitlocker Windows 10

Вот как переключиться с аппаратного шифрования на программное шифрование с помощью BitLocker.

Отключить аппаратное шифрование BitLocker

  1. Полностью выключите BitLocker, чтобы расшифровать диск.
  2. Откройте PowerShell от имени администратора.
  3. Выполните команду: Включить-BitLocker -HardwareEncryption: $ False
  4. Снова включите BitLocker.

Если вы системный администратор, включите и разверните политику «Настроить использование аппаратного шифрования для дисков операционной системы».

Отключить аппаратное шифрование BitLocker с помощью групповой политики

Если вы используете Windows 10 Pro, Enterprise или Education, вы можете использовать приложение Local Group Policy Editor для настройки параметров, упомянутых выше, с помощью графического интерфейса.

  1. Нажмите Победить + р вместе на клавиатуре и введите:
    gpedit.msc

    Нажмите Ввод.Windows 10 запускает gpedit

  2. Откроется редактор групповой политики. Перейдите в раздел Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Диски операционной системы. Установите для параметра политики параметр Настроить использование аппаратного шифрования для дисков операционной системы значение Отключено.

Кроме того, вы можете применить настройку реестра.

Отключить аппаратное шифрование BitLocker с помощью настройки реестра

  1. Откройте редактор реестра.
  2. Перейдите к следующему ключу реестра:
    HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Политики \ Microsoft \ FVE

    Совет: узнайте, как одним щелчком мыши перейти к нужному разделу реестра.

    Если у вас нет такого ключа, просто создайте его.

  3. Здесь создайте новое 32-битное значение DWORD OSAllowedHardwareEncryptionAlgorithms. Примечание. Даже если вы используете 64-битную Windows, вам все равно нужно использовать 32-битный DWORD в качестве типа значения.
    Оставьте его значение data равным 0.
  4. Чтобы изменения, внесенные настройкой реестра, вступили в силу, перезапустите Windows 10.

Вот и все.

Добавить комментарий

Ваш адрес email не будет опубликован.