Деактивирайте хардуерното BitLocker криптиране на уязвими SSD дискове

Вчера беше открита уязвимост в хардуерното криптиране, внедрено от някои SSD. За съжаление, BitLocker в Windows 10 (и вероятно и Windows 8.1) делегира задължението за сигурно криптиране и защита на данните на потребителя на устройството производител. Когато е налично хардуерно криптиране, то не проверява дали криптирането е сигурно и изключва собственото си софтуерно базирано криптиране, което прави данните ви уязвими. Ето решение, което можете да приложите.

Дори ако активирате BitLocker криптиране в система, Windows 10 може да не криптира вашите данни със своето софтуерно криптиране, ако устройството предава на операционната система, че използва хардуер криптиране. Дори ако вашето дисково устройство поддържа криптиране, то може лесно да бъде разбито поради използването на празна парола.

Скорошно проучване показва, че продуктите на Crucial и Samsung имат много проблеми със своите SSD дискове. Например някои модели Crucial имат празна главна парола, позволяваща достъп до ключовете за криптиране. Напълно възможно е фърмуерът, използван в друг хардуер от различни доставчици, също да има подобни проблеми.

Като заобиколно решение, Microsoft предполага деактивиране на хардуерното криптиране и преминаване към софтуерно криптиране на BitLocker, ако имате наистина чувствителни и важни данни.

На първо място, трябва да проверите кой тип криптиране използва вашата система в момента.

Проверете състоянието на BitLocker Drive Encryption за Drive в Windows 10

1. Отворете ан повишен команден ред.
2. Въведете или копирайте и поставете следната команда:

   управление-bde.exe -състояние

3. Вижте реда „Метод на криптиране“. Ако съдържа „Хардуерно криптиране“, BitLocker разчита на хардуерно криптиране. В противен случай се използва софтуерно криптиране.

Ето как да преминете от хардуерно към софтуерно криптиране с BitLocker.

Деактивирайте хардуерното криптиране на BitLocker

1. Изключете напълно BitLocker, за да дешифрирате устройството.
2. Отвори PowerShell като администратор.
3. Издайте командата: Enable-BitLocker -HardwareEncryption:$False
4. Активирайте отново BitLocker.

Ако сте системен администратор, активирайте и разгърнете политиката „Конфигуриране на използването на хардуерно базирано криптиране за устройства на операционна система“.

Деактивирайте хардуерното криптиране на BitLocker с групови правила

Ако използвате Windows 10 Pro, Enterprise или Education издание, можете да използвате приложението Local Group Policy Editor, за да конфигурирате опциите, споменати по-горе, с GUI.

1. Натиснете Печеля + Р клавишите заедно на клавиатурата и напишете:

   gpedit.msc

   Натиснете Enter.

2. Ще се отвори редакторът на групови правила. Отидете на Компютърна конфигурация\Административни шаблони\Windows Components\BitLocker Drive Encryption\Устройства на операционна система. Задайте опцията за политикаКонфигурирайте използването на хардуерно базирано криптиране за устройства на операционната система да се хора с увреждания.

Като алтернатива можете да приложите настройка на системния регистър.

Деактивирайте хардуерното криптиране на BitLocker с настройка на системния регистър

1. Отвори Редактор на регистъра.
2. Отидете до следния ключ на системния регистър:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

   Съвет: Вижте как да преминете към желания ключ на системния регистър с едно щракване.

   Ако нямате такъв ключ, просто го създайте.

3. Тук създайте нова 32-битова стойност на DWORD OSAllowedHardwareEncryptionAlgorithms. Забележка: Дори и да сте работещ с 64-битов Windows, все още трябва да използвате 32-битов DWORD като тип стойност.
   Оставете данните за стойността му като 0.
4. За да влязат в сила промените, извършени от настройката на системния регистър, рестартирайте Windows 10.

Това е.