Windowsの隠された機能。 BitLockerはデータの保護にどのように役立ちますか？

専門家によると、ラップトップの盗難は、情報セキュリティ（IS）の分野における主要な問題の1つです。

他のISの脅威とは異なり、「ラップトップの盗難」または「フラッシュドライブの盗難」の問題の性質はかなり原始的です。 また、消失したデバイスの価値が数千米ドルのマークをめったに超えない場合、デバイスに保存されている情報の価値は数百万単位で測定されることがよくあります。

DellとPonemon Instituteによると、米国の空港だけで年間637,000台のラップトップが消滅しています。 フラッシュドライブがはるかに小さくなるため、どれだけの数のフラッシュドライブが消えるかを想像してください。誤ってフラッシュドライブを落とすのは簡単です。

大企業のトップマネージャーが所有するラップトップがなくなると、そのような盗難による損害は数千万ドルに達する可能性があります。

あなた自身とあなたの会社を守る方法は？

Windowsドメインのセキュリティに関する一連の記事を続けます。 シリーズの最初の記事では、セキュリティで保護されたドメインログオンの設定について説明し、2番目の記事ではメールクライアントでの安全なデータ転送の設定について説明しました。

1. トークンを使用してWindowsドメインをより安全にする方法は？ パート1
2. トークンを使用してWindowsドメインをより安全にする方法は？ パート2

この記事では、ハードドライブに保存されている情報の暗号化の設定について説明します。 あなたは、あなた以外の誰もあなたのコンピュータに保存された情報を読むことができないことを確認する方法を理解するでしょう。

Windowsに情報を安全に保存するのに役立つ組み込みツールがあることを知っている人はほとんどいません。 それらの1つを検討してください。

確かに、あなたの一人は「BitLocker」という言葉を聞いたことがあるでしょう。 それが何であるか見てみましょう。

BitLockerとは何ですか？

BitLocker（BitLockerドライブ暗号化の正確な名前）は、Microsoftが開発したコンピューターディスク暗号化技術です。 Windows Vistaで初めて登場しました。

BitLockerを使用すると、ハードドライブボリュームを暗号化できましたが、後にWindows 7で、リムーバブルドライブとフラッシュドライブを暗号化するように設計された同様のBitLocker To Goテクノロジが登場しました。

BitLockerは、Windows ProfessionalおよびWindowsのサーバーバージョンの標準コンポーネントです。つまり、企業での使用のほとんどの場合、BitLockerは既に利用可能です。 それ以外の場合は、WindowsライセンスをProfessionalにアップグレードする必要があります。

BitLockerはどのように機能しますか？

このテクノロジーは、AES（Advanced Encryption Standard）アルゴリズムを使用して実行されるフルボリューム暗号化に基づいています。 暗号化キーは安全に保存する必要があり、これにはBitLockerにいくつかのメカニズムがあります。

最も簡単ですが、最も安全でない方法はパスワードです。 キーは毎回同じ方法でパスワードから取得されます。したがって、誰かがパスワードを見つけた場合、暗号化キーは既知になります。

キーをクリアな形式で保存しないために、TPM（Trusted Platform Module）、またはRSA 2048アルゴリズムをサポートする暗号化トークンまたはスマートカードで暗号化できます。

TPM-主に暗号化キーを使用して、セキュリティに関連する基本機能を実装するために設計されたチップ。

TPMは通常、コンピューターのマザーボードにインストールされますが、ロシアで統合TPMを搭載したコンピューターを購入することは非常に困難です。これは、FSB通知なしでデバイスを我が国に輸入することが禁止されているためです。

スマートカードまたはトークンを使用してディスクのロックを解除することは、このプロセスをいつ誰が実行するかを制御する最も安全な方法の1つです。 この場合、ロックを解除するには、スマートカード自体とそのPINコードの両方が必要です。

BitLockerの作業スキーム：

1. 擬似乱数ジェネレータを使用してBitLockerをアクティブにすると、メインビットシーケンスが作成されます。 これはボリューム暗号化キー-FVEK（フルボリューム暗号化キー）です。 各セクターのコンテンツを暗号化します。 FVEKキーは、最も厳重に保護されています。
2. FVEKは、VMKキー（ボリュームマスターキー）を使用して暗号化されます。 FVEKキー（VMKで暗号化）は、ボリュームのメタデータの中でディスクに保存されます。 同時に、復号化された形式でディスクに到達することはありません。
3. VMK自体も暗号化されます。 暗号化の方法はユーザーが選択します。
4. VMKキーは、暗号化スマートカードまたはトークンに保存されているSRKキー（ストレージルートキー）を使用してデフォルトで暗号化されます。 同様に、これはTPMでも発生します。
   
   ところで、BitLockerのシステムドライブ暗号化キーは、スマートカードまたはトークンで保護できません。 これは、ベンダーのライブラリがスマートカードとトークンへのアクセスに使用されているためであり、OSを読み込む前はもちろん使用できません。
   
   TPMがない場合、BitLockerはシステムパーティションキーをUSBスティックに保存することを提案しますが、これはもちろん最善のアイデアではありません。 システムにTPMがない場合、システムディスクの暗号化はお勧めしません。
   
   一般に、システムドライブを暗号化することは悪い考えです。 適切に設定すると、すべての重要なデータがシステムとは別に保存されます。 バックアップの観点からは、少なくともより便利です。 さらに、システムファイルの暗号化はシステムの全体的なパフォーマンスを低下させ、暗号化されたファイルを使用した暗号化されていないシステムディスクの処理は速度を落とすことなく行われます。
5. 他の非システムおよびリムーバブルドライブの暗号化キーは、TPMと同様にスマートカードまたはトークンで保護できます。
   
   TPMモジュールまたはスマートカードがない場合、SRKの代わりに、入力したパスワードによって生成されたキーがVMKキーの暗号化に使用されます。

暗号化されたブートディスクから起動する場合、システムはすべての可能なキーストアをポーリングします-TPMのチェック、USBポートのチェック、または必要に応じてユーザーの確認（いわゆる回復）。 キーストアを検出すると、WindowsはVMKキーを解読できます。VMKキーはFVEKキーを解読します。FVEKキーはディスク上のデータを既に解読します。

ボリュームの各セクターは個別に暗号化されますが、暗号化キーの一部はこのセクターの数によって決まります。 その結果、同じ暗号化されていないデータを含む2つのセクターは暗号化された形式で異なって見えるため、既知のデータを書き込んで復号化して暗号化キーを決定するプロセスが大幅に複雑になります。

BitLockerは、FVEK、VMK、およびSRKに加えて、念のために作成された別の種類のキーも使用します。 これらは回復キーです。

緊急事態（ユーザーがトークンを失った、PINコードを忘れたなど）の場合、最後の手順でBitLockerは回復キーの作成を提案します。 作成の拒否はシステムで提供されません。

ハードドライブでデータ暗号化を有効にする方法

ハードドライブ上のボリュームの暗号化プロセスを開始する前に、この手順に時間がかかることを考慮することが重要です。 その期間は、ハードドライブ上の情報の量によって異なります。

暗号化または暗号化解除中にコンピューターがシャットダウンするか、休止状態になった場合、これらのプロセスは、Windowsが次に起動したときに停止点から再開されます。

暗号化のプロセスでも、Windowsを使用できますが、そのパフォーマンスを満足させることはできません。 その結果、暗号化後、ディスクのパフォーマンスは約10％低下します。

システムでBitLockerが使用可能な場合、暗号化するドライブの名前を右クリックすると、開くメニューに[BitLockerを有効にする] が表示されます。

サーバーバージョンのWindowsでは、 BitLockerドライブ暗号化の役割を追加する必要があります。

非システムボリュームの暗号化を構成し、暗号化トークンを使用して暗号化キーを保護します。

Active会社が作成したトークンを使用します。 特に、トークンRutoken EDS PKI 。

I. PKI Rutoken EDSを準備します。

ほとんどの通常構成されたWindowsシステムでは、Rutokenの最初の接続後、PKI EDSが自動的にダウンロードされ、アクティブ企業であるAktiv Rutokenミニドライバーによって製造されたトークンを操作するための特別なライブラリがインストールされます。

このようなライブラリのインストールプロセスは次のとおりです。

Aktiv Rutokenミニドライバーライブラリの可用性は、 デバイスマネージャーで確認できます。

何らかの理由でライブラリのダウンロードとインストールが行われなかった場合は、Windowsキット用のRootokenドライバーをインストールする必要があります 。

II。 BitLockerを使用してディスク上のデータを暗号化します。

ディスクの名前をクリックし、[ BitLockerをオンにする]を選択します。

前述したように、ドライブの暗号化キーを保護するためにトークンを使用します。

BitLockerでトークンまたはスマートカードを使用するには、RSA 2048キーと証明書が含まれている必要があることを理解することが重要です。

Windowsドメインで認証局サービスを使用する場合、証明書テンプレートには「ディスク暗号化」証明書のスコープを含める必要があります（Windowsドメインセキュリティに関する記事シリーズの最初の部分で認証局の設定について詳しく説明します）。

ドメインがない場合、または証明書の発行ポリシーを変更できない場合は、自己署名証明書を使用してバックアップルートを取ることができます 。自己署名証明書の作成方法の詳細については、 こちらをご覧ください 。

次に、対応するチェックボックスを設定します。

次の手順では、回復キーの保存方法を選択します（ 回復キーの印刷を選択することをお勧めします ）。

回復キーが印刷された用紙は、安全な場所、できれば金庫に保管する必要があります。

次に、既にいくつかの貴重なデータが含まれているドライブに使用する暗号化モードを選択します（2番目のオプションを選択することをお勧めします）。

次のステップは、ドライブの暗号化プロセスを開始することです。 このプロセスの完了後、システムの再起動が必要になる場合があります。

暗号化が有効になると、暗号化されたディスクのアイコンが変わります。

そして今、このディスクを開こうとすると、システムはトークンを挿入してPINコードを入力するように求めてきます。

BitLockerとTPMの展開と構成は、WMIツールまたはWindows PowerShellスクリプトを使用して自動化できます。 スクリプトの実装方法は環境によって異なります。 この記事では、Windows PowerShellのBitLockerのコマンドについて説明します 。

トークンが失われた場合、BitLockerによって暗号化されたデータを回復する方法は？

暗号化されたデータをWindowsで開きたい場合

これを行うには、以前に印刷した回復キーが必要です。 適切なフィールドに入力するだけで、暗号化されたセクションが開きます。

GNU / LinuxおよびMac OS Xシステムで暗号化されたデータを開きたい場合

これを行うには、DisLockerユーティリティと回復キーが必要です。

DisLockerユーティリティは、次の2つのモードで動作します。

• FILE-BitLockerで暗号化されたセクション全体がファイルに復号化されます。
• FUSE-システムがアクセスするブロックのみが復号化されます。

たとえば、LinuxオペレーティングシステムとFUSEユーティリティモードを使用します。

一般的なLinuxディストリビューションの最新バージョンでは、dislockerパッケージはすでにディストリビューションに含まれています。たとえば、Ubuntuでは、バージョン16.10以降です。

何らかの理由でdislockerパッケージがなかった場合は、 DisLockerユーティリティをダウンロードしてコンパイルする必要があります。

tar -xvjf dislocker.tar.gz
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

INSTALL.TXTファイルを開き、インストールする必要があるパッケージを確認します。

この場合、libfuse-devパッケージをインストールする必要があります。

 sudo apt-get install libfuse-dev
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パッケージの組み立てを進めましょう。 srcフォルダーに移動し、makeおよびmake installコマンドを使用します。

 cd src/ make make install
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてがコンパイルされたら（またはパッケージをインストールしたら）、構成を進めましょう。

mntフォルダーに移動し、その中に2つのフォルダーを作成します。

• 暗号化パーティション—暗号化パーティション用。
• 復号化されたパーティション-復号化されたパーティション用。

 cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

暗号化されたパーティションを見つけます。 ユーティリティを使用して復号化し、暗号化パーティションフォルダーに移動します。

 dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition</b>( recovery_key    )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

暗号化パーティションフォルダーにあるファイルのリストを表示します。

 ls Encrypted-partition/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のコマンドを入力して、パーティションをマウントします。

 mount -o loop Driveq/dislocker-file Decrypted-partition/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

復号化されたパーティションを表示するには、暗号化されたパーティションフォルダに移動します。

要約する

BitLockerでボリューム暗号化を有効にするのは簡単です。 これはすべて、多くの労力をかけずに無料で行われます（もちろん、プロフェッショナル版またはサーバー版のWindowsが利用可能であれば）。

ディスクを暗号化する暗号化キーを保護するには、暗号化トークンまたはスマートカードを使用できます。これにより、セキュリティレベルが大幅に向上します。