Zakážte hardvérové ​​šifrovanie BitLocker na zraniteľných SSD diskoch

Včera bola objavená zraniteľnosť v hardvérovom šifrovaní implementovanom niektorými SSD. Bohužiaľ, BitLocker v systéme Windows 10 (a možno aj Windows 8.1) deleguje povinnosť bezpečného šifrovania a ochrany údajov používateľa na disk výrobca. Keď je k dispozícii hardvérové ​​šifrovanie, neoverí, či je šifrovanie spoľahlivé, a vypne svoje vlastné softvérové ​​šifrovanie, čím sa vaše údaje stanú zraniteľnými. Tu je riešenie, ktoré môžete použiť.

Aj keď v systéme povolíte šifrovanie BitLocker, systém Windows 10 nemusí v skutočnosti šifrovať vaše údaje so softvérovým šifrovaním, ak jednotka oznámi operačnému systému, že používa hardvér šifrovanie. Aj keď vaša disková jednotka podporuje šifrovanie, môže sa ľahko zlomiť v dôsledku použitia prázdnej prístupovej frázy.

Nedávna štúdium ukazuje, že produkty Crucial a Samsung majú veľa problémov so svojimi SSD. Napríklad niektoré modely Crucial majú prázdne hlavné heslo, ktoré umožňuje prístup k šifrovacím kľúčom. Je celkom možné, že firmvér používaný v inom hardvéri rôznymi výrobcami môže mať podobné problémy.

Ako riešenie ponúka Microsoft navrhuje vypnutie hardvérového šifrovania a prepnutie na softvérové ​​šifrovanie BitLocker, ak máte skutočne citlivé a dôležité údaje.

Najprv musíte skontrolovať, aký typ šifrovania váš systém momentálne používa.

Skontrolujte stav šifrovania jednotky BitLocker pre jednotku v systéme Windows 10

1. Otvorte zvýšený príkazový riadok.
2. Zadajte alebo skopírujte a prilepte nasledujúci príkaz:

   Správa-bde.exe - stav

3. Pozrite si riadok „Spôsob šifrovania“. Ak obsahuje „Hardvérové ​​šifrovanie“, potom sa BitLocker spolieha na hardvérové ​​šifrovanie. V opačnom prípade používa softvérové ​​šifrovanie.

Tu je návod, ako prejsť z hardvérového šifrovania na softvérové ​​šifrovanie pomocou nástroja BitLocker.

Zakázať hardvérové ​​šifrovanie BitLocker

1. Na dešifrovanie disku úplne vypnite nástroj BitLocker.
2. Otvorené PowerShell ako správca.
3. Vydajte príkaz: Enable-BitLocker -HardwareEncryption:$False
4. Znova povoľte nástroj BitLocker.

Ak ste správcom systému, povoľte a nasaďte politiku „Konfigurácia používania hardvérového šifrovania pre disky operačného systému“.

Zakázať hardvérové ​​šifrovanie BitLocker pomocou skupinovej politiky

Ak používate Windows 10 Pro, Enterprise alebo Education vydanie, môžete použiť aplikáciu Local Group Policy Editor na konfiguráciu vyššie uvedených možností pomocou GUI.

1. Stlačte tlačidlo Vyhrať + R klávesy na klávesnici a napíšte:

   gpedit.msc

   Stlačte Enter.

2. Otvorí sa editor skupinovej politiky. Ísť do Konfigurácia počítača\Šablóny pre správu\Komponenty systému Windows\BitLocker Drive Encryption\Operating System Drives. Nastavte možnosť politikyNakonfigurujte používanie hardvérového šifrovania pre disky operačného systému do Zakázané.

Prípadne môžete použiť vylepšenie databázy Registry.

Zakázať hardvérové ​​šifrovanie BitLocker pomocou funkcie Registry Tweak

1. Otvorené Editor databázy Registry.
2. Prejdite na nasledujúci kľúč databázy Registry:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

   Tip: Pozri ako prejsť na požadovaný kľúč databázy Registry jedným kliknutím.

   Ak takýto kľúč nemáte, jednoducho si ho vytvorte.

3. Tu vytvorte novú 32-bitovú hodnotu DWORD OSAllowedHardwareEncryptionAlgorithms. Poznámka: Aj keď ste so systémom Windows 64-bit, stále musíte ako typ hodnoty použiť 32-bitové DWORD.
   Ponechajte jeho hodnotu ako 0.
4. Aby sa zmeny vykonané ladením databázy Registry prejavili, reštartujte Windows 10.

To je všetko.