Многие потребительские твердотельные накопители утверждают, что поддерживают шифрование, и BitLocker им поверил. Но, как мы узнали в прошлом году, эти диски часто не шифровали файлы . Microsoft просто изменила Windows 10, чтобы перестать доверять этим отрывочным SSD и по умолчанию использовать программное шифрование.
Таким образом, твердотельные накопители и другие жесткие диски могут претендовать на «самошифрование». Если они это сделают, BitLocker не будет выполнять шифрование, даже если вы включили BitLocker вручную. Теоретически это было хорошо: накопитель мог сам выполнять шифрование на уровне встроенного программного обеспечения, ускоряя процесс, уменьшая нагрузку на процессор и, возможно, экономя электроэнергию. В действительности это было плохо: на многих дисках были пустые мастер-пароли и другие ужасные сбои безопасности. Мы узнали, что потребительские твердотельные накопители нельзя доверять для реализации шифрования.
Теперь Microsoft изменила вещи. По умолчанию BitLocker игнорирует диски, которые утверждают, что они являются самошифруемыми, и выполняет шифрование в программном обеспечении. Даже если у вас есть диск с поддержкой шифрования, BitLocker не поверит.
Это изменение появилось в обновлении KB4516071 для Windows 10, выпущенном 24 сентября 2019 года. Оно было обнаружено SwiftOnSecurity в Twitter:
Существующие системы с BitLocker не будут автоматически перенесены и будут продолжать использовать аппаратное шифрование, если они были изначально настроены таким образом. Если в вашей системе уже включено шифрование BitLocker , необходимо расшифровать диск и затем зашифровать его еще раз, чтобы убедиться, что BitLocker использует шифрование программного обеспечения, а не аппаратное шифрование. В этом бюллетене по безопасности Microsoft содержится команда, которую вы можете использовать, чтобы проверить, использует ли ваша система аппаратное или программное шифрование.
Как отмечает SwiftOnSecurity, современные процессоры могут выполнять эти действия в программном обеспечении, и вы не увидите заметного замедления, когда BitLocker переключается на программное шифрование.
BitLocker все еще может доверять аппаратному шифрованию, если хотите. Эта опция просто отключена по умолчанию. Для предприятий, у которых есть диски с микропрограммой, которой они доверяют, параметр «Настроить использование аппаратного шифрования для жестких дисков с данными» в разделе «Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Фиксированные диски данных в групповой политике» позволит им повторно активировать использование аппаратного шифрования. Все остальные должны оставить это в покое.
Обидно, что Microsoft и остальные не могут доверять производителям дисков. Но это имеет смысл: конечно, ваш ноутбук может быть сделан Dell, HP или даже самой Microsoft. Но знаете ли вы, какой диск находится в этом ноутбуке и кто его изготовил? Доверяете ли вы производителю этого диска безопасную обработку шифрования и выпуск обновлений при возникновении проблемы? Как мы узнали, вы, вероятно, не должны. Теперь и Windows не будет.
СВЯЗАННЫЕ: Вы не можете доверять BitLocker для шифрования вашего SSD в Windows 10