Шифрование в Windows
Давным-давно, когда деревья были большими, а компьютеры по-настоящему персональными, и единственной сетью, к которой они подключались была электрическая – проблемы шифрования как таковой не стояло.
Максимум – закрыть файл или архив паролем, пусть угадывают. Возможно, кому-то хотелось большего, но вычислительные мощности тех лет быстро охлаждали пыл.
Но уже к концу 90-х стало ясно, что хранить секреты в открытом виде – идея плохая и с этим надо что-то делать. Тем более что сети стали прочно входить в нашу жизнь и периметр атак на систему значительно увеличился.
✅ Первой системой шифрования стала DPAPI (Data Protection API), которая появилась в Windows 2000 и шифровала только секреты - ключи, пароли, сертификаты, ключ шифрования создается на основе данных пользователя/ПК (те самые SID), который дополнительно шифруется через DPAPI.
Эта система применяется до сих пор и представляет базовый уровень защиты секретов и учетных данных, предотвращая их передачу в открытом виде за пределы ПК и в его пределах тоже. Но секреты – это секреты, а нам хотелось бы спрятать от посторонних глаз данные.
✅ Для этого в той же Windows 2000 появилась файловая система EFS - файловое шифрование на уровне NTFS (пользователи Linux назвали бы это виртуальной файловой системой). Для работы EFS генерировался сертификат пользователя и его закрытым ключом выборочно шифровались файлы.
С точки зрения пользователя все происходило прозрачно, после входа в систему файлы становились доступны, но были подсвечены в Проводнике зеленым цветом, при копировании по сети или в другие файловые системы автоматически расшифровывались.
Во всех иных случаях, без обладания сертификатом пользователя зашифрованные файлы становились недоступны. Но это сыграло со многими злую шутку, если вы переустановили систему не сохранив сертификаты или клонировали диск сторонней системой – с зашифрованными файлами можно было попрощаться.
Все это не добавило EFS популярности и сделало ее применение нишевым, в частности в корпоративных средах, где доменный админ всегда мог расшифровать любой файл доменного пользователя. Но это был еще один вектор атаки.
✅ И вот в Windows Vista появился BitLocker для шифрования системного тома, начиная с Vista SP1 и Server 2008 появилась возможность шифровать любые тома. В последующем возможности BitLocker только росли, включая поддержку жестких дисков.
В отличие от предыдущих механизмов BitLocker не привязывается только к учетной записи пользователя, а может быть завязан на второй фактор: TPM, токен, пароль, пин-код и т.д. и т.п.
Т.е. вам недостаточно знать пароль учетной записи, чтобы расшифровать том, вы должны обладать нужным устройством, иметь токен, возможность получить пин-код и т.д. и т.п.
Для защиты данных BitLocker имеет ключ восстановления, который в случае использования учетной записи Microsoft копируется в облако, а в среде AD – на контроллеры домена. Если вы не используете ни то, ни другое, но включили BitLocker – то вам потребуется самостоятельно экспортировать и сохранить ключ восстановления.
Начиная с Windows 11 24H2 шифрование BitLocker используется из коробки, том становится зашифрован, но не защищен. Это значит, что пока том подключен к данному физическому устройству расшифровать его может любой, даже не зная пароля пользователя.
Но если мы снимем и подключим к другому ПК жесткий диск, то доступа к зашифрованному тому у нас уже не будет.
Также наличие BitLocker не отменяет возможное наличие EFS на зашифрованном томе и обладание ключами от BitLocker не дает возможности расшифровать EFS, там нужен собственный сертификат.
Все это делает работу с зашифрованными системами Windows достаточно сложной и при любых потенциально деструктивных действиях или копировании/клонировании нужно иметь это ввиду.
Не поленитесь, проверьте шифрование BitLocker, а также изучите и экспортируйте все личные сертификаты пользователя. А также сделайте копию нужных файлов прямо из-под его учетной записи.
