Усиление защиты данных и загрузки на Windows ПК

Автор: Фред Ланга
Оригинал статьи: Better data and boot security for Windows PCs
Перевод на русский язык: Александр Рябов

Содержание

• Введение
• Более безопасные альтернативы методу шифрования всего диска
• Начало работы с шифрованием файлов и папок
• По шагам: шифрование данных в 7-Zip
• Установка предзагрузочных паролей безопасности

Введение

Не смотря на появление UEFI и Secure Boot, есть простой бесплатный двухуровневый метод обеспечивает чрезвычайно надежную безопасность данных и начальной загрузки системы для всех версий Windows фактически на всем аппаратном обеспечении компьютеров.

Как золотой стандарт хранения данных на ПК и безопасности системы в течение многих лет, шифрование диска обеспечивает два основных преимущества. Во-первых, это позволяет обеспечить устойчивую, фактически непробиваемую защиту для всех файлов на Вашем жестком диске. Без знания правильного пароля любой шпионящий за вашими файлами выследит только бессмысленную абракадабру.

Во-вторых, некоторые средства шифрования диска способны защищать с помощью пароля всю систему. Без правильного пароля посторонний пользователь не сможет загрузить компьютер с его жесткого диска.

Есть однако и ограничения и недостатки, в том чтобы шифровать весь жесткий диск. 

Многие компьютеры с Vista, Win7 и Win8, проданные в течение прошлого десятилетия — и фактически все проданные в течение прошлых нескольких лет — несут в себе некоторые разновидности Unified Extensible Firmware Interface (Унифицированный расширяемый интерфейс прошивки). UEFI - это по существу улучшенная замена его преподобия BIOS.

В новых системах UEFI способен обеспечить безопасность во время начальной загрузки, с тем чтобы во время запуска компьютера предотвратить вторжение со стороны вредоносного программного обеспечения (rootkits, bootkits, и т.д) и другого нелегального софта. Фактически, UEFI - это основа для функции Secure Boot в Win8, которая активирована по умолчанию, если Win8 установлена на компьютере, оборудованном UEFI. 

Некоторые средства шифрования всего диска требуют низкоуровневого доступа к ПК в ранние моменты процесса начальной загрузки. Эти средства могут давать сбои на тех компьютерах, которые используют передовые возможности защиты UEFI.

TrueCrypt, например, который вполне мог бы стать самым популярным в мире средством шифрования всего диска с открытым исходным кодом, в настоящее время не работает в системах Windows 8 с использованием Secure Boot. Эта ситуация наиболее вероятно изменится в будущем (примечание Comss.ru: не изменится, проект TrueCrypt был закрыт), но сегодня некоторые пользователи TrueCrypt, которые обновили систему Windows 7 до версии Windows 8, столкнулись с серьезной проблемой, такой как потеря доступа ко всему содержимому жестких дисков.

Другой популярный инструмент шифрования, DiskCryptor, официально не поддерживает Windows 8. Но некоторым пользователям удалось заставить его работать — ограниченным способом на отдельных разделах. Они установили приложение как службу на настольной стороне Windows 8. С другой стороны, другие пользователи DiskCryptor потеряли доступ ко всем своим зашифрованным файлам.

Даже если эти инструменты со временем будут исправлены, чтобы быть в состоянии работать с UEFI и Secure Boot, они все еще будут продолжать работать на некотором уровне против низкоуровневых средств защиты UEFI. Сегодняшние системы просто не предназначены для того чтобы позволять сторонним средствам самим входить глубоко в процесс начальной загрузки.

К счастью можно выбрать лучшие и более безопасные способы обеспечения надежной защиты данных и начальной загрузки практически на любом компьютере. Средства и методы бесплатны, и они работают без вмешательства в UEFI, Secure Boot или какие-либо другие существующие средства защиты или функции.

Более безопасные альтернативы методу шифрования всего диска

Независимо от того, насколько стар или нов ваш компьютер, и независимо от того, какую версию Windows Вы используете, Вы можете иметь чрезвычайно надежную защиту данных и начальной загрузки, используя две бесплатные альтернативы шифрованию всего диска. 

Защита данных: несмотря на то, что шифрование целого диска может оказаться проблематичным, шифрование файлов и папок - это надежно. Есть много доступных инструментов, но возможно самым популярным является приложение с открытым исходным кодом 7-Zip (сайт). Его можно бесплатно использовать и индивидуально, и в бизнесе, и оно может зашифровать любой файл, папку или группу папок с помощью очень надежного кодирования 256 AES (здесь об этом более подробно). Даже если хакер получает доступ к Вашему жесткому диску, Ваши зашифрованные файлы останутся в полной безопасности и недоступными для просмотра. 

Примечание: несмотря на то, что в статье мы, главным образом, делаем акцент на шифровании, 7-Zip еще и производит сжатие файлов, поэтому они будут занимать меньше места на диске. Степень сжатия варьируется в зависимости от типа файла, но размер файла часто уменьшается приблизительно на 50 процентов. Сжатие может быть важным дополнительным преимуществом, если у Вас маленький классический жесткий диск или твердотельный накопитель (SSD). Так что 7-Zip может одновременно шифровать данные и сокращать размер ваших папок и файлов.

Далее я покажу Вам основы использования 7-Zip для шифрования и сжатия файлов и папок, которые вы будете выбирать. (Выборочное шифрование и сжатие файла или папки дают Вам больше контроля, чем при шифровании целого диска. Например, нет особых причин для шифрования или сжатия музыки, видео и файлов изображений. Подробнее об этом ниже).

Безопасность начальной загрузки: фактически каждый компьютер, используемый сегодня, позволяет установить один или несколько низкоуровневых предзагрузочных паролей. Один тип пароля защищает систему в целом; пароль должен быть введен, прежде чем система загрузится. Во многих компьютерах также есть отдельный пароль администратора, чтобы предотвратить несанкционированное изменение основных настроек системы. Некоторые компьютеры позволяют устанавливать пароль для защиты от несанкционированного доступа к жесткому диску или SSD.

Пароли могут использоваться отдельно или в комбинации, - в зависимости от того, какой уровень безопасности вам нужен. Далее в этой статье вы узнаете, как добраться и как установить любые пароли в вашей системе.

Обеспечьте сочетание защиты данных и начальной загрузки, и Ваши данные будут защищены почти от любых угроз. Установка пароля перед начальной загрузкой будет препятствовать хакерам в получении доступа к Вашей системе с переносных загрузочных носителей. И если хакер минует этот барьер, то шифрование предотвратит доступ к секретным файлам и папкам. Комбинируете Вы защиту данных в файлах и папках с защитой начальной загрузки или используете только что-то одно из двух, Вы не столкнетесь с проблемами UEFI, Secure Boot или любыми другими проблемами средств защиты Вашего компьютера.

Начало работы с шифрованием файлов и папок

Первым действием в осуществлении шифрования файлов и папок должно быть определение того, что именно должно быть зашифровано.

Есть много-много файлов на наших жестких дисках, среди которых далеко не все являются особенными, уникальными или конфиденциальными. Их просто нет надобности шифровать!

Например, как-то глупо шифровать Блокнот, Paint, Калькулятор, Solitaire или какой-нибудь другой системный файл (.exe, .msc, .dll, и т. д.), который шел в комплекте вашей Windows. Большинство файлов ядра операционной системы Windows схожи от системы к системе, варьируются только версия Windows и аппаратные средства. Они обычно не содержат секретной информации. Таким образом, их шифрование - это напрасные старания (как это было бы в случае шифрования всего диска).

Большая часть дополнительного программного обеспечения также не нуждается в шифровании. Ваш экземпляр Word, Excel, Skype, Photoshop или чего угодно еще, по большей части, такой же, как и любой другой.

То же самое справедливо и в отношении файлов, которые Вы получаете через общедоступные источники. Ваш MP3-файл "Dead Skunk" и скачанное видео "National Lampoon’s Vacation", вероятно, те же самые, что и у других. Что толку от того, что это будет зашифровано? Даже Ваши цифровые фотографии, вероятно, не содержат ничего по-настоящему секретного.

С другой стороны, многие файлы, которые Вы создаете (в Word, Excel или других приложениях), могут содержать деликатную информацию. Они и есть те файлы, которым требуется защита и которые должны быть зашифрованы!

В большинстве случаев обеспечение защиты потенциально уязвимой информации подразумевает отбор определенных файлов и папок. Например, вам, вероятно, не нужно шифровать свою папку Музыка, но Вы почти наверняка хотите защитить папку Документы и ее подпапки — плюс любые другие, в которых могла бы оказаться информация, которую Вы хотите сохранить в секрете. Позаботьтесь о перераспределении ваших документов по секретным и несекретным папкам. Вам скорее всего не нужно будет шифровать свой набор старых семейных рецептов приготовления. 

Как только Вы решили, что вам нужно зашифровать, сделайте полный образ системы или резервную копию. Или, по крайней мере, сделайте отдельную резервную копию файлов, которые Вы намереваетесь зашифровать. Несмотря на то, что средства шифрования файлов и папок обычно очень надежны, аварии и пользовательские ошибки могут иметь место. Так что лучше избегать риска — делайте резервные копии!

Затем, скачайте и установите программу шифрования файлов и папок, которую вы выбрали. Быстрый веб-поиск предоставит множество вариантов. Я для этой статьи использую 7-Zip, потому что, опять же, эта программа надежная, очень наглядная, с открытым исходным кодом, а также бесплатная — как для персонального использования, так и для бизнеса.

По шагам: шифрование данных в 7-Zip

Если у вас еще не установлен 7-Zip, зайдите на 7-zip.org и скачайте версию с подходящей для Вашего компьютера битностью — 64-разрядная версия 7-Zip для 64-разрядных систем, а 32-разрядная версия для 32-разрядных систем.

• Выберите нужные файлы и папки, например, лежащие в папке Документы. Щелкните правой кнопкой на группе выбранных файлов и папок; в контекстном меню Вы увидите пункт 7-Zip, как показано на рисунке 1.

• Щелкните 7-Zip в меню и затем выберите Добавить к архиву (Add to archive), как показано на рисунке 2.

• Когда откроется диалоговое окно Добавить к архиву (см. рис. 3), введите надежный (то есть длинный, сложный и трудно угадываемый) пароль в соответствующем поле.

Настройки по умолчанию в остальной части диалога Добавить к архиву обычно можно не менять. 7-Zip автоматически создаст имя для архива, ориентируясь на имя выбранной папки (-ок) или файла, или папки, содержащей выбранные файлы. Формат архива по умолчанию задан будет как ".7z", который обычно обеспечивает на 2-10 процентов более эффективное сжатие, чем классический формат ".zip". Я рекомендую оставить заданные по умолчанию значения как есть — во всяком случае, пока Вы не освоитесь в отношении 7-Zip.

Когда сделаете, нажмите OK.

Примечание: я рекомендую использовать хороший менеджер паролей, который будет создавать и хранить ваши пароли. (Comss.ru рекомендует LastPass Password Manager, Norton Identity Safe 2014 или KeePass Password Safe).

• Введите пароль и нажмите "OK"; 7-Zip выполнит сжатие и зашифрует выбранные файлы. В целях сохранности 7 zip делает заархивированные копии файлов, оставляя оригиналы нетронутыми. На рисунке 4 файлы были помещены в архив с именем Documents.7z.

Теперь архив готов!

В следующем шаге вам нужно протестировать архив, чтобы удостовериться, что шифрование и сжатие произведены должным образом. Если это так (а почти всегда так и происходит), тогда Вы можете удалить исходные файлы, чтобы остался только зашифрованный архив.

• Чтобы открыть архив, просто дважды щелкните по нему (в данном примере - Documents.7z). Когда появится диалоговое окно для ввода пароля (рисунок 5), введите пароль, который Вы устанавливали для этого конкретного архива. Вы можете использовать для разных архивов разные пароли. (Бережно храните эти пароли! Очевидно, что если Вы потеряете пароль, Вы практически потеряете зашифрованные файлы и папки).

• При введении надлежащего пароля файловый менеджер 7-Zip откроет и выведет на экран содержимое архива (рисунок 6). Щелкните любой отображающийся в списке файл или папку; они должны открываться как обычно и работать точно так же, как и при работе с любым не зашифрованным файлом. Когда Вы сохраняете и закрываете заархивированный файл, он автоматически сжимается и зашифровывается с исходным паролем архива.

• Проверьте, что заархивированные файлы доступны и сохранены правильно, затем удалите исходные, чтобы остался только зашифрованный архив, как показано на рисунке 7. (Для полной гарантии безопасности опустошите Корзину Windows).

Файловый менеджер 7-Zip - это ключ к простому использованию архивов. Держите его открытым, как Вы обычно поступаете с Проводником Windows или файловым менеджером, и тогда сможете просматривать, открывать или редактировать любые файлы в архивах так же, как Вы работаете с не запакованными файлами. Файловый менеджер 7-Zip также позволяет быстро добавлять файлы в архив.

Здесь изложены лишь самые основы использования 7-Zip, но есть значительно больше программных решений, включая способы извлечения и добавления файлов и папок в архив, не используя файловый менеджер 7-Zip. Для получения исчерпывающей информации об использовании 7-Zip просмотрите встроенный файл справки или посмотрите сайт поддержки поддержки 7-Zip в Интернете.

Установка предзагрузочных паролей безопасности

Как упомянуто выше, использование пароля перед начальной загрузкой - это превосходная мера безопасности. Большинство современных компьютеров несут в себе некоторые разновидности встроенных средств установки паролей в BIOS или UEFI. Может существовать несколько типов паролей, и они обычно вводятся сразу после включения питания и перед загрузкой операционной системы.

Количество и настройки пароля, а также широта этих настроек варьируются от поставщика к поставщику. Сейчас Вы узнаете, как определить, какие настройки пароля предусмотрены в вашем компьютере.

Некоторые пароли блокируют систему целиком; без ввода надлежащего пароля система не загрузится вообще — ни с внутреннего жесткого диска, ни с каких-либо загрузочных носителей! Есть другие пароли, которые позволяют закрыть доступ к жесткому диску для посторонних. Есть также возможность, позволяющая установить пароль администратора, чтобы предотвратить несанкционированные изменения в настройках BIOS или UEFI.

Как показано на рисунке 8, в BIOS или UEFI может быть возможность для установки более чем одного вида пароля. 

Использование одного или несколько таких низкоуровневых паролей поможет плотно закрыть систему, что сделает ее очень защищенной от любого несанкционированного доступа.

Разумеется, вы должны запомнить пароли для BIOS или UEFI, иначе Вы не сможете получить доступ к своим собственным аппаратным средствам!

В разных марках и моделях компьютеров используются разные методы доступа и изменения настроек пароля для BIOS или UEFI. Информация ниже — это общее руководство, для получения более конкретной информации для вашей марки и модели ПК — или если следующие далее инструкции вам не помогут — зайдите на сайт онлайновой поддержки поставщика Вашего компьютера и поищите информацию о доступе к BIOS или UEFI. Используйте такие критерии поиска, как access BIOS, access UEFI, enter BIOS, enter UEFI, edit BIOS, edit UEFI.

Доступ к BIOS или UEFI в компьютерах с Windows 8.1 (с Windows 8.0 - аналогично):

• Сохраните все открытые файлы и закройте все запущенные программы.
• Откройте Магические кнопки (Charms), щелкните значок шестеренки (Параметры), затем щелкните Изменение параметров компьютера (Change PC settings) внизу панели. 
• На странице Параметры компьютера (PC settings) выберите Обновление и восстановление (Update and recovery). 
• Щелкните Восстановление (Recovery), затем под надписью Особые варианты загрузки (Advanced startup) щелкните Перезагрузить сейчас (Restart now). (Несмотря на название команд, копмьютер не перезагрузится сразу! Это нормально).
• На экране Выбор действия (Choose an option) щелкните Диагностика (Troubleshoot), а затем Дополнительные параметры (Advanced options).
• Если отобразилась опция UEFI Firmware Settings (Настройки заводского UEFI), выберите ее. (Название может быть сформулировано несколько иначе, например, Change UEFI Settings (Изменение настроек UEFI)). Если подобной опции нет, пропустите остальную часть этих шагов. 
• На экране UEFI Firmware Settings выберите Restart (Перезагрузить)
• Ваш компьютер перезагрузится и запустится встроенная утилита настроек UEFI. 
• Рассмотрите вкладки и диалоговые окна утилиты настройки UEFI, чтобы найти настройки пароля. Они обычно находятся на вкладке с названием Security (Безопасность) или наподобие того. (См. выше рисунок 8).

Заключение: Простые данные и безопасность системы для любого ПК, любого Windows. В сегодняшнюю эру компьютеров с UEFI и Secure Boot, использование низкоуровневых средств обеспечения безопасности, таких как шифрование диска целиком, чревато неприятностями. Но Вы в то же время не должны оставаться в состоянии уязвимости. Уделите некоторое время, чтобы изучить опции установки предзагрузочного пароля в вашей системе. И, если Вам не нравится 7-Zip, есть множество других приложений для шифрования на уровне файлов и папок, из которых можно что-то выбрать. Они работают на многих версиях Windows и на любом компьютерном железе.