При этом современные версии Windows (10+) автоматически включают очистку и сжатие файлов при нехватке места на системном разделе.
Такие утилиты рождались во времена Windows XP, и существуют исключительно за счёт того, что пользователи привыкли делать то, в чём уже нет необходимости.
Все такие утилиты (а-ля распиаренный "сисяклинер") приносят вреда гораздо больше, чем пользы.
Возможно, в 90-х размер реестра как-то и влиял на скорость работы. Но сейчас устаревшие ключи в реестре если и вносят какое-то изменение в работу системы, то на уровне погрешности.
Ходящие мифы о необходимости "чистки реестра" - такой же фуфломицин, как и мифы о необходимости "чистки организма от шлаков" (и точно так же, как и со "шлаками", эти утилиты продаются за деньги). Зато полно случаев, когда юзер игрался с говноклинером и проиграл - удалив ключи, которые оказались нужными для системы.
В сухом остатке: всё это привычки 30-летней давности, которые сейчас не только не приносят практической пользы, но даже приносят вред.
Перечитайте, пожалуйста, ветку. Где хранятся ключи абсолютно не важно в рамках обсуждаемого вопроса.
Вопрос, на который я отвечал, был, если по-простому: "когда битлокер настроен на авторазблокировку (т.е. используется лишь TPM в качестве предохранителя), что помешает вору, укравшему машину, получить расшифрованные данные?"
Теперь вспоминаем последовательность: сначала происходит автораззблокировка BitLocker, затем наш вор сталкивается с экраном логина Windows. На этом он и обломается. В систему его не пустит. Файлы он не получит. А если он захочет обойти логин в Windows (например, загрузившись с другого накопителя), то авторазблокировка не произойдёт - она срабатывает лишь при штатной загрузке.
Никогда не понимал зачем нужен такой битлок по умолчанию с настройкой внутренних ключей ))) то есть если твой ноутбук украдут , похитителю досиаточки нажать на кнопку включить питание и вот все твои шифрованные данные у него )))
Что за ерунда? А как он пройдёт экран логина по-вашему?
BitLocker, в первую очередь, защищает от оффлайн атак. От банального "я вытащу накопитель, вставлю его в другую машину и прочитаю данные". От несанкционированного входа в "родную" Windows защищает экран логина.
Именно поэтому в конфигурации по умолчанию он настроен так, чтобы защита обеспечивалась максимально прозрачно.
сделать нормально например пароль на уровне загрузки, нужно править или реестр или политику виндовс.
Не забывайте, что в первую очередь Windows разрабатывается для корпоратов, от которых и поступает львиная доля прибыли (именно отсюда, к слову, растёт та самая обратная совместимость, которой славится Windows - не дай бог её сломать, взвоет бизнес). А в корпоративной среде на машине зачастую работает не один пользователь. Вам придётся каждому пользователю сообщить общий пароль. Пользователям придётся вводить два пароля (один от битлокера и второй от учётной записи, ведь никто не захочет, чтобы один пользователь шарился по файлам другого). Наконец, что вы будете делать, когда пользователь уволен и вам нужно аннулировать его доступ? Будете пароль от битлокера менять и заставлять всех его заучивать? Не смешите.
При этом, одиноким "админам локалхоста" никто не мешает с помощью политик и реестра превратить битлокер в средство авторизации (даже я, например, так и сделал). Правда, встаёт вопрос, что вы будете делать, например, когда вашей жене или ребёнкуу понадобится доступ к ПК. Пускать в свою учётку? Ну, такое (я бы не рискнул). Вот тут-то вы и придёте к всё той же схеме, когда для членов семьи создаются отдельные учётки и за авторизацию отвечает Windows, а BitLocker работает тихонько и не мешает им.
Ну сделали и сделали. Это их право выбрать, я лишь рад, что люди свободны выбирать. Невозможно угодить всем настройками по умолчанию. Одному хочется по дефолту так, другому эдак. Одному из них неизбежно придётся оказаться недовольным.
Мне вот в Linux не нравится частый запрос ввода пароля. А многим нравится. Есть какой-то способ сделать нас всех довольными? Очевидно, нет, есть поведение по умолчанию и конфиг, где можно настроить по вкусу, если не устраивает дефолт.
Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.
разрешить компании ставить опции по умолчанию включенными
Предлагаю превентивно кастрировать мужчин, ведь наличие полового члена может привести к тому, что мужчина кого-то изнасилует. Вот так и выходит, если следовать логике "с помощью X можно сделать плохое Y, значит, надо запретить X"
разрешить компании ставить опции по умолчанию включенными
Это её продукт, она и решает, какие настройки будут по умолчанию. Я, например, разрабатываю свободное ПО. Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию? И не включать, если один из сотни тысяч скажет "нет"? Так у меня, пардон, не сейм Речи Посполитой тут, где один шляхтич мог заблокировать всех остальных, а пользователи, которые про безопасность не думвют. Но, то, что они не думают, не означает, что им она не нужна. Точно такая же ситуация с резервным копированием. Только после потери данных люди понимают, что надо было бы озаботиться. Но уже поздно.
Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить. Главное слово - "понимает". Если я понимаю, что мне надо подключить питание к жесткому диску "на горячую", я могу это сделать, но по умолчанию блок питания скажет "ой" и уйдёт в защиту.
Уведомление о необходимости сохранить ключ не всегда всплывает
Если мы говорим про автоматическое шифрование, ключ автоматически сохраняется в OneDrive. Никаких уведомлений не будет.
Если мы говорим про ручное включение BitLocker (Pro и выше), там не просто уведомление, а само шифрование не начинается, пока ключ не будет сохранён (причём, его предусмотрительно не дадут сохранить на шифруемом накопителе).
Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль. Но если пользователь добрался до консоли, он, очевидно, понимает, что делает.
Дальше при запуске виндов Вы каждый раз пароль не вводите
От учётной записи? По умолчанию как раз вводите каждый раз. Опять же, если вы умудрились включить автологин (для чего в современных виндах зачастую нужно лезть в реестр), вы явно понимаете, что вы делаете.
И в линуксах пароль запрашивается при каждом логине, если только при установке вы явно не включили опцию "автовход" в инсталляторе.
Ну, для пользователя это практически всё равно, что отсутствие шифрования. Риска потери данных нет.
Единственное неудобство, с разделом в таком состоянии могут не работать всякие старые акронисы и линуксовый dislocker (когда я его смотрел в последний раз, он не умел).
Никогда не видел, чтобы защита включалась без бэкапа. Именно поэтому включение её и привязали к онлайн-учётке, чтобы гарантированно сохранить ключ восстановления в OneDrive.
Может, путаница из-за терминологии: BitLocker разделает включение шифрования и включение защиты. Раздел всегда шифруется во время установки, просто ключ шифрования остаётся незащищённым.
Ну так с онлайн-учёткой или AD. В 10-ке это зависело не от брендовости, а от того, удовлетворяет ли ПК аппаратным требованиям.
Сейчас в 24H2 эти требования ослабили.
Но, всё равно, до входа с онлайн-учёткой шифрование формально хоть и включено, но защиты нет (т.е. ключ шифрования не защищён предохранителем), поэтому нет и риска потерять данные. Этот накопитель можно переставить в другой ПК или загрузиться с Windows PE и вытащить все данные.
Ну, сейчас уже ничего не ломается, как раз в прошлом году консультировал человека с таким сетапом. Можно и Linux заодно зашифровать. Всё это работает параллельно и почти не мешает друг другу (как выкручиваться без systemd-boot, не знаю, вероятно, не использовать авторасшифровку).
Если на диске стоит вторая ос, она станет неработоспособной.
BitLocker оперирует на уровне разделов, а не накопителей. Никто не мешает иметь на одном разделе Linux, а на другом зашифрованную Windows.
Единственное, что может испортить вторая ОС - это авторасшифровку раздела с Windows (потому что Microsoft не принимает во внимание сценарий, при котором перед загрузчиком Windows находится ещё один загрузчик, из-за чего не сойдутся значения PCR у TPM). Но в современные дистрибутивы Linux уже завезли костыли для этого (reboot-for-bitlocker в systemd-boot, который при выборе загрузки Windows не грузит Windows сразу, а перезагружает машину и грузит Windows напрямую, уже в обход линуксового загрузчика).
Без онлайн-учётки шифрование не включается само. Только вручную через управление BitLocker, для чего ещё и потребуется редакция Pro или выше. При этом, пользователю явно пишут "сохрани вот этот ключ прямо сейчас!" (и пока он его не сохранит, защита не включается).
Во-первых, если пользователь понимает, что делает, он может указать в файле ответов не использовать шифрование.
Во-вторых, сразу после входа в систему у пользователя есть возможность отключить шифрование в настройках.
По умолчанию, разумеется, меры безопасности должны быть включены, потому что, как известно любому, кто сталкивался с разработкой ПО, в каком состоянии <что-то> пребывает по умолчанию, в таком оно и останется у большинства пользователей.
Если пользователь использует онлайн-учётку для входа, то логично, что он не должен забывать пароль или, хотя бы, должен позаботиться о возможности его восстановления. Как он иначе планирует входить-то?
При этом современные версии Windows (10+) автоматически включают очистку и сжатие файлов при нехватке места на системном разделе.
Такие утилиты рождались во времена Windows XP, и существуют исключительно за счёт того, что пользователи привыкли делать то, в чём уже нет необходимости.
Все такие утилиты (а-ля распиаренный "сисяклинер") приносят вреда гораздо больше, чем пользы.
Возможно, в 90-х размер реестра как-то и влиял на скорость работы. Но сейчас устаревшие ключи в реестре если и вносят какое-то изменение в работу системы, то на уровне погрешности.
Ходящие мифы о необходимости "чистки реестра" - такой же фуфломицин, как и мифы о необходимости "чистки организма от шлаков" (и точно так же, как и со "шлаками", эти утилиты продаются за деньги). Зато полно случаев, когда юзер игрался с говноклинером и проиграл - удалив ключи, которые оказались нужными для системы.
В сухом остатке: всё это привычки 30-летней давности, которые сейчас не только не приносят практической пользы, но даже приносят вред.
Перечитайте, пожалуйста, ветку. Где хранятся ключи абсолютно не важно в рамках обсуждаемого вопроса.
Вопрос, на который я отвечал, был, если по-простому: "когда битлокер настроен на авторазблокировку (т.е. используется лишь TPM в качестве предохранителя), что помешает вору, укравшему машину, получить расшифрованные данные?"
Теперь вспоминаем последовательность: сначала происходит автораззблокировка BitLocker, затем наш вор сталкивается с экраном логина Windows. На этом он и обломается. В систему его не пустит. Файлы он не получит. А если он захочет обойти логин в Windows (например, загрузившись с другого накопителя), то авторазблокировка не произойдёт - она срабатывает лишь при штатной загрузке.
Про атаку, которая позволяет при включенной авторазблокировке вытащить ключ, я знаю (это к вопросу о том, что я ничего не знаю про BitLocker). Но эту лазейку можно самостоятельно закрыть уже сейчас, обновив загрузчик и удалив старый ключ Microsoft из доверенных Secure Boot.
Что за ерунда? А как он пройдёт экран логина по-вашему?
BitLocker, в первую очередь, защищает от оффлайн атак. От банального "я вытащу накопитель, вставлю его в другую машину и прочитаю данные". От несанкционированного входа в "родную" Windows защищает экран логина.
Именно поэтому в конфигурации по умолчанию он настроен так, чтобы защита обеспечивалась максимально прозрачно.
Не забывайте, что в первую очередь Windows разрабатывается для корпоратов, от которых и поступает львиная доля прибыли (именно отсюда, к слову, растёт та самая обратная совместимость, которой славится Windows - не дай бог её сломать, взвоет бизнес). А в корпоративной среде на машине зачастую работает не один пользователь. Вам придётся каждому пользователю сообщить общий пароль. Пользователям придётся вводить два пароля (один от битлокера и второй от учётной записи, ведь никто не захочет, чтобы один пользователь шарился по файлам другого). Наконец, что вы будете делать, когда пользователь уволен и вам нужно аннулировать его доступ? Будете пароль от битлокера менять и заставлять всех его заучивать? Не смешите.
При этом, одиноким "админам локалхоста" никто не мешает с помощью политик и реестра превратить битлокер в средство авторизации (даже я, например, так и сделал). Правда, встаёт вопрос, что вы будете делать, например, когда вашей жене или ребёнкуу понадобится доступ к ПК. Пускать в свою учётку? Ну, такое (я бы не рискнул). Вот тут-то вы и придёте к всё той же схеме, когда для членов семьи создаются отдельные учётки и за авторизацию отвечает Windows, а BitLocker работает тихонько и не мешает им.
А в Windows вопрос решается натурально подкладыванием одного xml-фвйла в образ. Без необходимости аж целый дистр менять.
Ну сделали и сделали. Это их право выбрать, я лишь рад, что люди свободны выбирать. Невозможно угодить всем настройками по умолчанию. Одному хочется по дефолту так, другому эдак. Одному из них неизбежно придётся оказаться недовольным.
Мне вот в Linux не нравится частый запрос ввода пароля. А многим нравится. Есть какой-то способ сделать нас всех довольными? Очевидно, нет, есть поведение по умолчанию и конфиг, где можно настроить по вкусу, если не устраивает дефолт.
Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.
Предлагаю превентивно кастрировать мужчин, ведь наличие полового члена может привести к тому, что мужчина кого-то изнасилует. Вот так и выходит, если следовать логике "с помощью X можно сделать плохое Y, значит, надо запретить X"
Это её продукт, она и решает, какие настройки будут по умолчанию. Я, например, разрабатываю свободное ПО. Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию? И не включать, если один из сотни тысяч скажет "нет"? Так у меня, пардон, не сейм Речи Посполитой тут, где один шляхтич мог заблокировать всех остальных, а пользователи, которые про безопасность не думвют. Но, то, что они не думают, не означает, что им она не нужна. Точно такая же ситуация с резервным копированием. Только после потери данных люди понимают, что надо было бы озаботиться. Но уже поздно.
Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить. Главное слово - "понимает". Если я понимаю, что мне надо подключить питание к жесткому диску "на горячую", я могу это сделать, но по умолчанию блок питания скажет "ой" и уйдёт в защиту.
Если мы говорим про автоматическое шифрование, ключ автоматически сохраняется в OneDrive. Никаких уведомлений не будет.
Если мы говорим про ручное включение BitLocker (Pro и выше), там не просто уведомление, а само шифрование не начинается, пока ключ не будет сохранён (причём, его предусмотрительно не дадут сохранить на шифруемом накопителе).
Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль. Но если пользователь добрался до консоли, он, очевидно, понимает, что делает.
От учётной записи? По умолчанию как раз вводите каждый раз. Опять же, если вы умудрились включить автологин (для чего в современных виндах зачастую нужно лезть в реестр), вы явно понимаете, что вы делаете.
И в линуксах пароль запрашивается при каждом логине, если только при установке вы явно не включили опцию "автовход" в инсталляторе.
Ну, для пользователя это практически всё равно, что отсутствие шифрования. Риска потери данных нет.
Единственное неудобство, с разделом в таком состоянии могут не работать всякие старые акронисы и линуксовый dislocker (когда я его смотрел в последний раз, он не умел).
Никогда не видел, чтобы защита включалась без бэкапа. Именно поэтому включение её и привязали к онлайн-учётке, чтобы гарантированно сохранить ключ восстановления в OneDrive.
Может, путаница из-за терминологии: BitLocker разделает включение шифрования и включение защиты. Раздел всегда шифруется во время установки, просто ключ шифрования остаётся незащищённым.
Ну так с онлайн-учёткой или AD. В 10-ке это зависело не от брендовости, а от того, удовлетворяет ли ПК аппаратным требованиям.
Сейчас в 24H2 эти требования ослабили.
Но, всё равно, до входа с онлайн-учёткой шифрование формально хоть и включено, но защиты нет (т.е. ключ шифрования не защищён предохранителем), поэтому нет и риска потерять данные. Этот накопитель можно переставить в другой ПК или загрузиться с Windows PE и вытащить все данные.
Ну, сейчас уже ничего не ломается, как раз в прошлом году консультировал человека с таким сетапом. Можно и Linux заодно зашифровать. Всё это работает параллельно и почти не мешает друг другу (как выкручиваться без systemd-boot, не знаю, вероятно, не использовать авторасшифровку).
BitLocker оперирует на уровне разделов, а не накопителей. Никто не мешает иметь на одном разделе Linux, а на другом зашифрованную Windows.
Единственное, что может испортить вторая ОС - это авторасшифровку раздела с Windows (потому что Microsoft не принимает во внимание сценарий, при котором перед загрузчиком Windows находится ещё один загрузчик, из-за чего не сойдутся значения PCR у TPM). Но в современные дистрибутивы Linux уже завезли костыли для этого (
reboot-for-bitlockerв systemd-boot, который при выборе загрузки Windows не грузит Windows сразу, а перезагружает машину и грузит Windows напрямую, уже в обход линуксового загрузчика).Без онлайн-учётки шифрование не включается само. Только вручную через управление BitLocker, для чего ещё и потребуется редакция Pro или выше. При этом, пользователю явно пишут "сохрани вот этот ключ прямо сейчас!" (и пока он его не сохранит, защита не включается).
Если вы не входите с учёткой MS, то хоть накопитель и шифруется, но защита не включается и риска потери данных нет.
У пользователей есть выбор.
Во-первых, если пользователь понимает, что делает, он может указать в файле ответов не использовать шифрование.
Во-вторых, сразу после входа в систему у пользователя есть возможность отключить шифрование в настройках.
По умолчанию, разумеется, меры безопасности должны быть включены, потому что, как известно любому, кто сталкивался с разработкой ПО, в каком состоянии <что-то> пребывает по умолчанию, в таком оно и останется у большинства пользователей.
Если пользователь использует онлайн-учётку для входа, то логично, что он не должен забывать пароль или, хотя бы, должен позаботиться о возможности его восстановления. Как он иначе планирует входить-то?
Вы проверяли именно с онлайн учёткой?
Проблема находится на стыке онлайна и оффлайна.
Вообще, это далеко не первая проблема с сочетанием "онлайн-учётка + RDP". Например, если используется беспарольный вход, то RDP не будет работать вовсе, т.к. Windows не с чем сравнить пароль.
В этом и абсурдность статуса "организатор распространения информации".
Компания может вообще не принимать платежи от россиян (как собственно и поступает Blizzard), но раз она есть в реестре, она что-то там обязана.
Это была отсылка к мему