Как стать автором
Обновить

Пользователи Windows 11 теряют данные из-за принудительного шифрования BitLocker от Microsoft

Время на прочтение2 мин
Количество просмотров22K
Всего голосов 26: ↑21 и ↓5+22
Комментарии135

Комментарии 135

Возможно ли написать петицию Биллу Гейтсу, чтобы он уволил наконец Сатью Наддела?

Зачем? Включение шифрования абсолютно нормальный шаг. В случае чего ключ для восстановления данных можно получить либо в своем аккаунте MS, либо заранее в системе.

На одного запаниковавшего пользователя приходятся тысячи чьи данные с не зашифрованных дисков достаются злоумышленникам. Вспомнить только утечку данных из Фейсбука.

Что касается трагически-сенсационного тона этой новости, это скорее вопрос к качеству самой новости, а не к Сатье.

Осталось только дать пользователям выбор... Ах да

Интересно кому вы тут льёте в уши

Позовите когда за восстановление данных потребуют подписку Windows X 365+ Ultimate Premium

Дать выбор облажаться, например слив злоумышленникам все данные с незашифрованного диска украденного ноутбука, вы имеете ввиду?

Да, не надо водить юзера за ручку, он может решить сам что для него больший риск

Свобода это когда на вопрос системы "Это же вирус, ты действительно хочешь его запустить, придурок?" иметь возможность ответить "Да.". Не все ей воспользуются, но наличие выбора это всегда хороший тон. То же самое и касается шифрования.

Так и тут шифрование можно отключить в настройках, в чем разница?

В том, что в случае возникновения проблемы пользователь о существовании шифрования узнает постфактум.

Так и о включенной защите пользователь узнает постфактум, когда запускает потенциально вредоносный файл - он уже в этот момент удаляется в карантин и нужно идти и руками выключать защиту и доставать файл.

Это не постфактум. Пользователь узнает это непосредственно в момент запуска, скачивания или обнаружения файла. При этом у него есть вариант нажать "Run anyway" и т.д.. И даже помещение файла в карантин не приводит к его потере.

В случае с шифрованием пользователь узнает о его существовании когда весь его системный раздел безвозвратно потерян. Выключать что-то на данном этапе уже бесполезно.

Пользователь узнает это непосредственно в момент запуска, скачивания или обнаружения файла.

Это один сценарий. А другой вот такой: лежит у вас кейген, который ни один антивирус не определял вирусом, да он и не делал ничего, кроме, собственно, генерации кода для софта. И вот через 5 лет у вас появилась необходимость переустановить софт и вы обнаружили, что вашего кигена нет. В лучшем случае он ещё болтается в карантине, в худшем - карантин самоочистился 2 года назад.

риск такой есть. Критичный для корпоративных пользователей. При условии, что на АРМ мобильных допускается обработка критичных данных. Хотя часто и не допускается а ноут является тонким клиентом для захода через vpn в VDI.
И безопасно и, случись что с ноутом -выдал новый. И не надо думать о бэкапах с АРМ .

А домашних у пользаков можно слить сохраненный пароль к вкнтактику. Да сохранения игр. Ну может недописанный диплом. Или коллекцию музыки выкаченную с торентов.
Нет там ИОД. и не будет. Давать пользователем работать на личном с такой информацией- это надо DLP ставить, контролировать проходят ли обновления и не отключен ли антивирус, права админа забрать - короче, проще ноут служебный выдать.

Кому важна приватность- лет 15 уже имеют доступ к решениям которые создают файл на диске зашифрованный который транслируется в виртуальный диск- можно всё секретное хранить там.

Нет. Это выбор облажаться и потерять все данные при переустановке винды. Травлю. В последних апдейтах Вин10 битлокер тоже включается принудительно. Мой друг решил недавно перейти на Вин11 и в душе не знал что такое Битлокер, а уж тем более про какие-то резервные копии ключей от него. Закинул все нужное на второй диск, а во время установки Вин11 затёр первый диск со старой виндой, чтоб установить новую начисто. Аккаунтом Майкрософт он не пользовался. Что в итоге произошло? После успешной установки новой Виндоус, у него блокируется второй диск на который он скидывал все свои важные файлы и никаких ключей у него нет и быть не может, потому что заботливые Майкрософт включили за него Битлокер никак об этом не уведомив. И такая ситуация не редкость. Иронично то что ничего примечательного для мошенников на том диске не было. Там были его фотки, вордовские документы и файлы, результаты его работы. Очень нужные ему файлы, но имеющие нулевую ценность для мошенника. Так что не надо тут рассказывать какие Майкрософт молодцы и о нас заботятся.

Там были его фотки, вордовские документы и файлы, результаты его работы. Очень нужные ему файлы, но имеющие нулевую ценность для мошенника.

у вас какое то странное представление о мошениках. Всякие криптолокеры в первую очередь шифруют фотки, архивы и word/excel документы, именно потому, что они важны для жертвы и с высокой долей вероятности жертва заплатит за них

У пользователей есть выбор.

Во-первых, если пользователь понимает, что делает, он может указать в файле ответов не использовать шифрование.

Во-вторых, сразу после входа в систему у пользователя есть возможность отключить шифрование в настройках.

По умолчанию, разумеется, меры безопасности должны быть включены, потому что, как известно любому, кто сталкивался с разработкой ПО, в каком состоянии <что-то> пребывает по умолчанию, в таком оно и останется у большинства пользователей.

А некоторые пользователи из-за подобного непрекращающегося самодурства сделали действительно важный выбор и перебрались на другую ОС.

Ну сделали и сделали. Это их право выбрать, я лишь рад, что люди свободны выбирать. Невозможно угодить всем настройками по умолчанию. Одному хочется по дефолту так, другому эдак. Одному из них неизбежно придётся оказаться недовольным.

Мне вот в Linux не нравится частый запрос ввода пароля. А многим нравится. Есть какой-то способ сделать нас всех довольными? Очевидно, нет, есть поведение по умолчанию и конфиг, где можно настроить по вкусу, если не устраивает дефолт.

В большинстве установщиков популярных дистрибутивов linux есть отдельная галочка при разбитии разделов, включающая шифрование диска. Тому кому надо - проставит. Что MS мешало сделать так же? Мне нахер не нужно шифрование на домашнем пк, я не собираюсь заниматься расшифровками когда выдерну свой диск и вставлю его в другой комп, что за абсурд?

Windows тоже будет запрашивать у тебя UAC каждый раз при привишении привелегий. То, что большинство пользователей работают из под админской учетки это в том числе проблема microsoft. В linux ты тоже не будешь вводить пароль из под записи root, только большинство дистрибутивов скрывают её, защита от дурака которой в винде нет. Плюс в linux развита сознательность разработчиков и пользователей, приложение не будет получать на каждый чих root права, оно получит только те права, которые ей нужны, а в винде если что-то не работает, запусти под именем администратора, это не норм, от того и большинство вирусов, не в вирусах проблема, а то, что вирусам очень просто получить наивысшие привелегии вплоть до прав ядра через дыры.

В Линуксе у вас куда более широкий выбор в плане выбора политики ввода пароля. Есть разные дистрибутивы, в том числе и те, где по дефолту от рута работаешь, делай на свой страх и риск что хочешь без подтверждения прав.

А в Windows вопрос решается натурально подкладыванием одного xml-фвйла в образ. Без необходимости аж целый дистр менять.

Так и там где по дефолту рут вырубили, в Убунте той же, можно его включить при желании.

А какой ещё есть выбор для домашней ОС, кроме Windows?

В MacOS шифрование давно включено.

По дефолту при установке FileVault не включен (буквально месяц назад накатывал). При желании отключается в один клик.

На Mac с чипом Apple или чипом безопасности Apple T2 данные на диске шифруются автоматически. Можно включить FileVault для обеспечения дополнительного уровня защиты

Apple считает по другому.

https://support.apple.com/ru-ru/guide/mac-help/mh11785/mac

bitlocker тоже отключается в один клик.

Это примерно тоже самое что и аппаратное шифрование в SSD. Инфа на чипах лежит зашифрованная, но все совершенно прозрачно для пользователя.

А вот включение FV - это как раз таки аналог включения bitlocker.

Точно так же как и битлокер - всё прозрачно для пользователя.

Включение FV требует ввода пароля от пользователя постоянно - разве нет?

Битлокер прозрачен для пользователя, у меня включен на корпоративном ноуте по политике безопасности и никаке пароли я никогда не ввожу, вот переставить SSD в другой ноут - надо будет вводить код разблокировки.

Так изначально же речь шла про включение фичи по умолчанию. Битлокер включается - ты должен об этом догадаться и догадаться схоронить код. FV не включается, и когда включаешь - он тебе показывает код и настойчиво говорит его схоронить в надежном месте. А потом еще и проверяет что правильно схоронили.

вот переставить SSD в другой ноут

С современной техникой Эппл это будет несколько сложно.

Опять 25 - шифрование на MacOS включено по умолчанию, FV отдельно включается если надо получить дополнительную защиту. Что тут другое?

Опять 25 =)

То шифрование о котором вы говорите - это аппаратная фича, совершенно прозрачная для пользователя, он с ним никак не взаимодействует и никто никаких кодов у него не спрашивает и доступ к его данным не блокирует. Что есть оно, что нет - пользователю это не заметно и не важно.

Функциональный аналог битлокера это FV.

Битлокер точно такой же прозрачный для пользователя, никаких кодов не спрашивает и блокирует доступ к данных только при переносе диска в другой ПК.

А как же сабжевая статья и комменты, где люди пишут про код?

В статье написано как будто пользователи раз и лишились каких-то данных. Но так не было. Надо просрать учётку МС, и просрать способы восстановления её, тогда да, данные будут потеряны, потому что в винду не зайти, а переставить диск в другой комп не поможет ни сбросить пароль, ни скопировать данные, зашифрованные битлокером.

Что произойдёт, если пользователь просрет свою учетку Apple id? В ноут не зайти, диск никуда не переставить, можно перепаять микросхемы, только тольку ноль - данные всё равно зашифрованы.

Какая разница тут между Виндой и Макос?

Что произойдёт, если пользователь просрет свою учетку Apple id? В ноут не зайти, диск никуда не переставить, можно перепаять микросхемы, только тольку ноль - данные всё равно зашифрованы. 

А ничего с ноутом не будет. Учетки строго локальные. Это же юникс.

Ubuntu, хотя бы.

Тоже подтормаживает, тоже "сама себе умная" - но получше Винды.

Если бы не игрушки под Винду - там бы и не осталось никого...

Подтормаживания сильно зависят от DE. У всех DE свои болячки. С игрушками, если есть стим, уже несколько лет норм.

Но винда понятнее, привычнее и всё ещё требует меньше от типового пользователя, а главное она предсказуемее. Да, у неё часто есть проблемы с обновлением, особенно в последнее время, а у ubuntu всё стало лучше, но и там всё ещё достаточно просто сто-то сломать или положить из-за зависимостей. Например туже DE.

Так что не панацея. Увы, у десктопных линуксов ещё хватает детских болячек. Один только переход с иксов сколько тянется

Ну обновления лечатся "лимитным подключением" в сетевых начтройках. На своей игровой машине поставил галку и забыл эти постоянные - перезагрузи

Потому что по сути не нужен этот "переход с иксов".
Обычные программы в Wayland через Xwayland работают, им переходить и не надо.

Проблема в том что некоторые пошли по Windows-пути: вместо "стройной системы независимых костылей и подпорок" - пытаются строить Единую Интегрированную Систему, в которой программа А падая, уволакивает за собой программу B и C, потому что они работают вместе через программу D, которая по идее должна просто передавать сообщения...

И вот уже в этой Линукс-винде начинаются такие же проблемы как в Windows-винде много лет назад.

Габен решил проблему с играми. Он сделал то, чего давно не хватало wine, посадил пилить этот вайн разрабов на зарплате. Все прекрасно работает из коробки. За исключением нескольких игр, типа апекса, но там сами електроники палки в колеса вставляют.

Есть большой выбор дистрибутивов Линукса с разными DE/WM. И если даже в каком-то одном начнут пропихивать всем безальтернативно интерфейс для мобилок, то можно легко пересесть на что-то более подходящее своим требованиям. А с Виндовс только и надейся на то, что следующая версия будет хоть чем-то лучше предыдущей.

не перешёл. Но мысль такая появляется, глядя на windows 11. Когда система считает себя умней пользователя и живет своей жизнью. И сильно осложняет кастомизацию. К примеру переход от автоматических обновлений в ручной режим на home версии, даже в десятки - приходиться заморачеваться

Проблема в том, что если это по умолчанию включено, а пользователь об этом не в курсе, то в какой-то момент он может потерять все данные, ибо не знал что они шифруются и не сохранил нужные ключи.

К тому же, если разрешить компании ставить опции по умолчанию включенными, то в какой-то момент мы действительно можем прийти к ситуации, когда вход в систему станет платным, потому что мы забыли снять галочку между строк при установке.

не сохранил нужные ключи.

Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.

разрешить компании ставить опции по умолчанию включенными

Предлагаю превентивно кастрировать мужчин, ведь наличие полового члена может привести к тому, что мужчина кого-то изнасилует. Вот так и выходит, если следовать логике "с помощью X можно сделать плохое Y, значит, надо запретить X"

разрешить компании ставить опции по умолчанию включенными

Это её продукт, она и решает, какие настройки будут по умолчанию. Я, например, разрабатываю свободное ПО. Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию? И не включать, если один из сотни тысяч скажет "нет"? Так у меня, пардон, не сейм Речи Посполитой тут, где один шляхтич мог заблокировать всех остальных, а пользователи, которые про безопасность не думвют. Но, то, что они не думают, не означает, что им она не нужна. Точно такая же ситуация с резервным копированием. Только после потери данных люди понимают, что надо было бы озаботиться. Но уже поздно.

Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить. Главное слово - "понимает". Если я понимаю, что мне надо подключить питание к жесткому диску "на горячую", я могу это сделать, но по умолчанию блок питания скажет "ой" и уйдёт в защиту.

Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.

А как быть если я не подключал и не регистрировал OneDrive? А МС аккаунт был создан для галочки, без доп настроек.

Вот так и выходит, если следовать логике

Вопрос был в принудительном включении защиты, а не о ее наличии в целом. Написанный Вами пример описывает наличие чего-то как причину плохого в последствии, а это совсем другая история...

Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию?

Если продукт популярен и эта фича влияет на его работу то сделать срез/опрос у пользователей (в множественном числе) стоит, либо указывать в обновлении что было добавлено и как это отключить, на случай если оно не нужно.

пользователи, которые про безопасность не думают. Но, то, что они не думают, не означает, что им она не нужна.

Если заменить "безопасность" на "свободу", то мы получим то с чего начинались освободительные войны :)

Как говорится: "Если ты не знаешь что это и зачем - то тебе оно не нужно." Если человек не заботится о безопасности своих данных вообще, то даже "добровольное" обезопасивание данных в этом случае, легко нивелируется его запиской с паролем на мониторе или паролем в текстовом файлике на другой системе :)

Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить

Так в том и дело, он даже не узнает что оно у него включено пока не наступит роковой момент :) Даже наличие галочки при установке ситуацию не изменит, ведь у многих людей "случайно" устанавливаются не обязательные поисковики и браузеры при установки программ :)

Все телефоны, как от Apple, так и на Андроид, зашифрованы по умолчанию, нигде об этом не говорится. Да и крупные рынки - Европа, США и т.п. хотят шифрование по умолчанию для домашних ПК.

Все телефоны, как от Apple, так и на Андроид, зашифрованы по умолчанию

За Apple может быть, не было опыта, но за Андроид не знаю где конкретно там шифрование используется по умолчанию, файловая система вроде открыта, тут не буду спорить.

Европа, США и т.п. хотят шифрование по умолчанию

И снова старый добрый датеншутц, датеншутц

Забавно, но многие старые кнопочные телефоны из 00х которые имели гнездо для microSD блокировали эту карту паролем. Это штатная функция для microSD, но в телефоне нигде не было об этом информации. А узнал я постфактум, когда достал карту и сунул в картридер. Оказалось, он это делает когда форматируешь карту им самим, а это сделать пришлось, потому что фат32 ему не понравился якобы. Андроид в противовес у меня ниразу такого не делал.

Забавно, но многие старые кнопочные телефоны из 00х которые имели гнездо для microSD блокировали эту карту паролем.

Странно, не могу вспомнить такое. Помню что можно было окирпичить microSD сделав неудачное форматирование (ReadOnly режим) или случайно включенный Lock на адаптере. Но что бы пароль...

Ого, сколько пользовался ни разу с этим не сталкивался. Спасибо за информацию, век живи век учись как говорится 😁

Ну SD это же Secure Digital. Вот и решили по началу внедрить этот Secure в устройства. А потом оказалось, что 98% юзеров это не надо.

Даже так, не знал, спасибо

Это даже на вики есть:

Карта снабжена собственным контроллером и специальной областью, способной, в отличие от MMC, записывать информацию таким образом, чтобы неавторизованное чтение информации было невозможно, в соответствии с требованиями Secure Digital Music Initiative. Этот факт был отражён в названии стандарта (Secure Digital). Для записи в защищённую область используется специальный протокол записи, недоступный для обычных пользователей. При этом карта также может быть защищена паролем, без которого доступ к записанной информации невозможен; восстановить работоспособность карты можно только её полным переформатированием с потерей записанной информации.

Её делали именно как безопасную (в плане защиты информации на ней) альтернативу MMC.

Эта особая область позволяла привязывать карту к устройству, например. И тогда такая карта не могла работать в другом устройстве, даже если пароль известен.

Но самое главное, заметьте, это всё опциональное и по умолчанию отключено. Юзер сам решает, что и когда включать.

Но самое главное, заметьте, это всё опциональное и по умолчанию отключено. Юзер сам решает, что и когда включать.

Вот собственно и да.

Ну не хочу я аккаунт ms...

А шифрование получаю в любом случае, без моего согласия и предупреждения о возможной потере данных.

Диск в 99% случаев переезжает из устройства в устройство при апгрейде или поломке. А теперь я лишаюсь такой возможности, если не замечу включение BitLocker... :-(

А в случае с Россией, откуда ms официально сбежал, теперь приходится прикидываться узбекистаном для покупки ms exchange для шефа, и все может быть ещё веселее.

"Мы считаем, что ваш аккаунт скомпрометирован или используется в преступных целях, восстановление доступа невозможно" :))

Диск в 99% случаев переезжает из устройства в устройство при апгрейде или поломке.

Или восстанавливается из бакапа, если сам диск сломался. Вот такой слет шифрования - и должен рассматриваться как поломка диска.

Если вы не входите с учёткой MS, то хоть накопитель и шифруется, но защита не включается и риска потери данных нет.

А дальше слетает биос, сервис меняет микруху, шьёт биос, tpm самоочищается.

И все, данные тютю.

Записывай образ через rufus. Он сразу предложит галочки "не шифровать диск" И "создать локальную учётную запись".

Вот и все, все как ты и желаешь. Забавно смотреть что вы тут все прошареные, знаете почему вам не нужен битлокер и вход в учётку, но разобраться как это отключить ещё на этапе установки, у вас лапки)))

Галочек "Не устанавливать кейлоггер" и "Не посылать в Майкрософт все мои фото" там ещё не сделали?

А мне, допустим, нравится Ventoy, и теперь что, свой кастомный ISO-шник придётся делать, вместо того, чтобы просто скачать официальный и закинуть на флешку без лишних телодвижений?

На самом деле даже акк этого не решает. Ну вот есть он у меня, а смысл, если мне раз в 5 лет надо будет передвинуть что-то с диска на диск, а я не знаю о шифровании. А учитывая то, что моей винде вот-вот и 14 лет и она уже пережила переносы, обновления, установку софта, настройки, там уже никто не разберёт, что может пойти не так и как это восстанавливать

и часто ваши данные с вашего личного компьютера доставались злоумышленникам и это становилось проблемой для вас? У меня было гораздо больше случаев, когда битлокер мне мешал. точнее не гораздо больше, а с злоумышленниками у меня таких проблем не было, а вот битлокер...

и часто ваши данные с вашего личного компьютера доставались злоумышленникам и это становилось проблемой для вас?

А как часто это должно случаться, что бы насторожиться?:)
Нам хватило в свое время (слава богу очень давно), чтобы всего один раз у нас украли ноут.
Мало того, что доступ к половине сервисов восстановить не удалось (вопросы в стиле "кому вы писали письмо 4 года назад в ночь с пятницы на воскресенье", ага, это кстати на многих сервисах проблема, закрывают доступ и спрашивают всякую дичь, достаточно с нового железа зайти).
Так еще и при этом полный доступ к чему угодно у кого попало появляется. А ведь там могут быть не только лично Ваши данные, но и Ваших клиентов/партнеров.

оригинальное у вас использование личных устройств для хранения критической информации. я бы на месте ваших безопасников сказал бы вам свое фи. да и у них были бы разборки почему критическая инфа хранится без защиты.

но вся проблема в том, что эту поделку впихнули всем - кому это надо и кому не надо. зачем мне ЭТО, если оно мне мешает?

использование личных устройств для хранения критической информации

Сейчас 2025 год. У всех на личных устройствах навалом критической информации, прямо или косвенно. Даже если у Вас на ноутбуке только почта для связи с бабушкой, то и то это критично, т.к. кто угодно украв ноут сможет послать ей письмо с просьбой принеси пирожки любимому внуку. Так что порог оценки критичности информации давно уже пора понизить.

у вас преступники прямо многостаночники. обычные крадут для перепродажи и от данных они предпочитают избавляться. а не давать лишнюю возможность себя поймать. это 95%, а те 5%, кто идет за вашей информацией - я думаю они найдут способ получить ее. терморектальный криптоанализ до сих пор взламывает практически все шифры.

обычные крадут для перепродажи и от данных они предпочитают избавляться

Не видели такого плана статистики, можно источник?

от данных они предпочитают избавляться. а не давать лишнюю возможность себя поймать.

Анонимно воспользоваться информацией или продать ее опять же анонимно, или отсвечивая лицом идти сдавать в ломбард ноут по паспорту или на авито палиться с ним. Никаким многостаночником тут особо быть не надо, те кто ворует технику - наверняка имеют канал куда данные слить.
Как по нам - так продавая железяку как раз дают лишнюю возможность себя поймать.

Речь о домашнем пк была. Какие клиенты в домашнем пк, если этот домашний пк- совсем домашний и стоит дома, находясь в доме и будучи компом?

Это данные, уверен, утекли не с винтов украденных и вставленных в другой комп от чего защищает битлокер, а через трояны запущенные под пользователем с его контекста, от чего битлокер никак не поможет как не помогает от мошенников шифрование памяти у смартфонах

Причем данные на диске будут всегда (почти всегда).

Я недавно продавал старые харды. И прогонял их через спец утилиты которые пол дня туда перезаписывает данные что бы все затереть.

Вот 10 лет назад у тебя был файлик с паролями на диске, хотя бы раз. Или файлик с ключами от крипты. Ты забыл, уже и винда сто раз была переустановлена, и диск вроде формировал, а если поискать через софт восстановления, то все найдется....

А ещё куки браузеров. Не знаю как сейчас но раньше можно было легко взять куки хрома и через спец софт расшифровать их, а там все пароли.

А учитывая какие щас законы. За картинку в ВК могут выломать дверь, забрать пкшки, и восстановить там все. Плюс закон о конфискации крипты.

Короче сложный вопрос. Может у кого десктоп для игор, тем реально не нужно. Но если ноут, который берут с собой и там работа, то вполне логично что изначально шифрование включается.

М... есть подозрение, что если в штатном шифровании просто обязан быть бэкдор для спецслжб. Если из детского мира позвонят э... в Лэнгли и Редмонд и скажут, что им надо посмотреть картинки из ВКшечки на забитлоченном диске - там помогут?

Ну так мы обсуждаем операционку из вражеской страны) Так что если у ФБР есть бекдор, я это переживу.

А так, вопрос целесообразности. Не думаю что из-за картинки, кто то будет тратить силы и ресурсы что бы дешифровать.

Зачем мне шифрование диска на домашнем компе? От кого шифровать? Это не ноут который могут украсть. Только замедляет работу

Петиция - хорошо, многие подпишутся, но есть проблема, при управлении Наделлы капитализация MS выросла примерно в 8 раз

Windmills capitalism does not work that way! Good night. 🐢

без предварительного контекста прям сложно осознать заметку. что такое BYPASSNRO и как этот скрипт связан с bitlocker.. догадываюсь, что МС теперь шифрует диск, и в каких-то случаях будет невозможно его восстановить, но логической цепочки своих дальнейших действий построить не смог.

Раньше: ничего не шифровалось, не было проблем.
Сейчас: шифрование включается незаметно и ключ шифрования (по умолчанию) сохраняется только в МС аккаунте.
Поэтому сейчас если а) забыл пароль к МС аккаунту и б) не сохранил ключ шифрования и в) не делаешь бакап диска, то теряешь доступ к данным в случае если вылетаешь из МС аккаунта и а) не помнишь пароль б) не сохранил ключ шифрования и в) не сделал бакап диска

Если пользователь использует онлайн-учётку для входа, то логично, что он не должен забывать пароль или, хотя бы, должен позаботиться о возможности его восстановления. Как он иначе планирует входить-то?

А если не использует онлайн-учетку, тоже весело.

Ключ в tpm, биос слетел, в сервисе микруху перепаяли, биос прошили, tpm заметил изменения, сбросил ключ.

Все, сушим весла. Пользователь, десяток лет не вводивший пароль для входа в комп, вдруг оказывается перед голубым экраном с запросом ключа восстановления.

Без онлайн-учётки шифрование не включается само. Только вручную через управление BitLocker, для чего ещё и потребуется редакция Pro или выше. При этом, пользователю явно пишут "сохрани вот этот ключ прямо сейчас!" (и пока он его не сохранит, защита не включается).

Включается. Я прямо удивился из этой статьи, думал, что это по умолчанию с Windows 10 уже сто лет везде, а оказывается, только на брендовых компьютерах.

https://web.archive.org/web/20221209085210/https://hardsoft-support.kayako.com/article/99-windows-10-bitlocker-turns-on-without-a-notice

Dell and Lenovo systems that ship with the Windows 10 operating system and are equipped with Trusted Platform Module (TPM) capability will have Microsoft BitLocker encryption enabled from the factory. It has been found that once the device is registered to a Active Directory domain - Office 365 Azure AD, Windows 10 automatically encrypts the system drive. You find this once you reboot your computer and are then prompted for the BitLocker key."

На Surface'ах шифрование включается автоматически при установке Windows 10, даже Home.

И да, на Surface Go приходится вводить ключ восстановления каждый раз при смене настроек UEFI (возврат настроек не даёт компьютеру загрузиться снова, какой-то из PCR'ов всегда уникально меняется).

Ну так с онлайн-учёткой или AD. В 10-ке это зависело не от брендовости, а от того, удовлетворяет ли ПК аппаратным требованиям.

Сейчас в 24H2 эти требования ослабили.

Но, всё равно, до входа с онлайн-учёткой шифрование формально хоть и включено, но защиты нет (т.е. ключ шифрования не защищён предохранителем), поэтому нет и риска потерять данные. Этот накопитель можно переставить в другой ПК или загрузиться с Windows PE и вытащить все данные.

Нет, это бэкап ключа автоматически выполняется при наличии онлайн-учётки или AD, а шифрование, привязанное к TPM, активируется на этапе установки. После установки, до первого входа, диск уже зашифрован.

Никогда не видел, чтобы защита включалась без бэкапа. Именно поэтому включение её и привязали к онлайн-учётке, чтобы гарантированно сохранить ключ восстановления в OneDrive.

Может, путаница из-за терминологии: BitLocker разделает включение шифрования и включение защиты. Раздел всегда шифруется во время установки, просто ключ шифрования остаётся незащищённым.

Оно, скорее всего, «приостановлено» до входа в онлайн-аккаунт, точно не помню. Диск шифруется непосредственно во время установки ОС, но если не входить в онлайн-аккаунт, мастер-ключ (volume key) хранится в открытом виде на самом диске, не защищённый паролем или TPM-данными.
Но все данные на диске зашифрованы VLK.

А как только входишь в аккаунт, шифрование включается моментально, без перешифровки данных. Это на Home-версии, на Pro оно, если память не изменяет опять же, включено полностью автоматически с самого начала (в Home-версии Windows 10 нет привычного "Bitlocker", там "Шифрование диска" с одной кнопкой и без настроек — технически всё то же самое, но другой продукт и другой интерфейс).

Ну, для пользователя это практически всё равно, что отсутствие шифрования. Риска потери данных нет.

Единственное неудобство, с разделом в таком состоянии могут не работать всякие старые акронисы и линуксовый dislocker (когда я его смотрел в последний раз, он не умел).

Брал Lenovo X1 и после инициализации решил сделать акронисом образ диска с чистой системой на случай отката к самому началу. От акрониса я и узнал, что битлокер уже всё пошифровал. Пришлось отключать, расшифровывать, а потом уже бэкапить.

На Windows 11 G и одном подопытном ноуте вчера столкнулся со странной фигней. Скачивал софт для обновления всего от Dell - ругался что шифрование диска в процессе и обновить не могу. Удивился, открыл GUI - написано не зашифровано. Открыл manage-bde - написано зашифровано 86.4% и все тут. Счетчик стоит как вкопанный. Пришлось расшифровать, зашифровать снова (тогда стало 100%, но bde not active) и тогда уже обновился биос. Непонятно что за фигня.

Включается. Год назад устанавливал систему шифрование диска включилось. Отключал потом его.

Тут не все так очевидно.
Вы ставите винду, все шифруется, ключ сохраняется в учетку. Уведомление о необходимости сохранить ключ не всегда всплывает (всегда всплывает только при ручном шифровании) и даже при всплытии лишь мягко напоминает о необходимости сохранить ключ (а не прямо говорит - я все шифранул, фиг тебе а не данные, если не запишешь ключ).
Дальше при запуске виндов Вы каждый раз пароль не вводите, поэтому достаточно легко его забыть, его же годами может не запрашивать. Особенно если продуктами МС с онлайн активацией Вы не пользуетесь.
Кроме того, и это прям очень сильно не очевидно, что для доступу к данным на своем "оффлайн" диске от самсунга (допустим) внезапно становится необходимо помнить пароль от какой-то "онлайн" учетки МС.
К тому же прошлый опыт говорит о том, что даже если забыл пароль для входа в винды, то доступ к диску не теряешь.
Короче - для рядового пользователя это реальная подстава.

Уведомление о необходимости сохранить ключ не всегда всплывает

Если мы говорим про автоматическое шифрование, ключ автоматически сохраняется в OneDrive. Никаких уведомлений не будет.

Если мы говорим про ручное включение BitLocker (Pro и выше), там не просто уведомление, а само шифрование не начинается, пока ключ не будет сохранён (причём, его предусмотрительно не дадут сохранить на шифруемом накопителе).

Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль. Но если пользователь добрался до консоли, он, очевидно, понимает, что делает.

Дальше при запуске виндов Вы каждый раз пароль не вводите

От учётной записи? По умолчанию как раз вводите каждый раз. Опять же, если вы умудрились включить автологин (для чего в современных виндах зачастую нужно лезть в реестр), вы явно понимаете, что вы делаете.

И в линуксах пароль запрашивается при каждом логине, если только при установке вы явно не включили опцию "автовход" в инсталляторе.

От учётной записи? По умолчанию как раз вводите каждый раз.

Я, вот, тоже не вспомню :P
Я аутентифицируюсь по отпечатку пальца или лицу. Знаю PIN от Windows Hello, но от учётки пароль вряд ли вспомню.

От учётной записи?

Учетная запись виндов != учетная запись МС аккаунта.

если вы умудрились включить автологин (для чего в современных виндах нужно лезть в реестр),
Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль

Возможно для каких-то сценариев Вы и правы.
С пару месяцев назад на новый ноут ставили 11 винду (проху), ставили без входа в учетку, диск шифранулся сразу, в учетку потом уже входили после установки. С тех пор - диск зашифрован, в учетку МС ни разу не входили больше, в реестр не лезли, ключ созранили на шифруемом накопителе.

А знаете в чем еще прикол? В шифровании второго диска с авторазблоком. Данные для его разблока в учетку МС не сохраняются, сохраняются только в реестр виндов. То есть если основная винда так или иначе потеряна, то даже доступ в МС аккаунт не поможет восстановить к нему доступ.

Раньше и на мобилках не было шифрования и залоченного загрузчика. И проблемы были. В любой подворотни был большой шанс получить в тыкву и пролюбить мобилку.

Сейчас же, отжимать смарты почти бесполезно. Да и даже если нашел, проще вернуть, ибо могут приехать и спросить с тебя.

Да, раньше, когда 99 процентов ПК были десктопы, реально никто не парился. Я плевался с того что надо зачем то пароль вводить при входе в Винду 8, ведь до этого на 7ке и хрюшке, заходил так.

Но вот только недавно, когда появился мелкий и лёгкий ноут, я понял, что сканер пальца и шифрование это действительно полезно.

А если домашним компьютером пользуются два пользователя (например, муж и жена)?

Недавно пользователь Reddit поделился такой историей. Он отметил, что Microsoft теперь автоматически включает BitLocker во время регистрации при входе в учётную запись. При этом компания не выдаёт никаких предупреждений. В итоге пользователи лишаются доступа к аккаунтам, а, значит — и всех данных.

В оригинале: "Microsoft now automatically enables BitLocker during onboarding when signing into a Microsoft Account. Lose access to your MS account = lose your data forever. "

Гугл транслейт?

Смысл в исходнике мягко говоря другой. Нигде ничего не теряется от шифрования самого по себе "из-за включения шифрования".
Речь о том, что если диск шифруется по умолчанию и по умолчанию ключи сохраняются только в мс аккаунте, и если потом теряешь доступ к мс аккаунту (не сделав бакап ключа или данных или доступа в мс аккаунт), то теряется и доступ к диску.

Да, всё равно проблема, т.к. не думаешь что твои данные зависят становятся зависимы от пароля, но все же исходный смысл другой.

Спасибо, добрый человек!

Если на диске стоит вторая ос, она станет неработоспособной.

Вообще, Майкрософт жжег всегда, а в последнее время жжёт не по детски. Например, предоставляю доступ ссылкой к папке на OneDrive. По ссылке человек переходил и можно было скачать папку целиком. Сейчас уже нет. Надо по одному файлу щёлкать и так скачивать. Можно залогиниться и тогда будет доступна скачивание папки по одному клику.

Или ситуация с remote desktop app. Всегда ей пользовался так как мне лично удобно и подходит под мои задачи. Теперь в конце мая программу удалят из магазина. Взамен windows app. Она потребовала аккаунт Майкрософт. Мой акк ей не нравится так как он не рабочий и не учебный. Что за дичь! Воспользовался copilot чтобы написать гневное письмо:))

Воспользовался copilot чтобы написать гневное письмо:))

Видимо именно для этого этот самый копилот и был добавлен в систему принудительно. :)

Если на диске стоит вторая ос, она станет неработоспособной.

BitLocker оперирует на уровне разделов, а не накопителей. Никто не мешает иметь на одном разделе Linux, а на другом зашифрованную Windows.

Единственное, что может испортить вторая ОС - это авторасшифровку раздела с Windows (потому что Microsoft не принимает во внимание сценарий, при котором перед загрузчиком Windows находится ещё один загрузчик, из-за чего не сойдутся значения PCR у TPM). Но в современные дистрибутивы Linux уже завезли костыли для этого (reboot-for-bitlocker в systemd-boot, который при выборе загрузки Windows не грузит Windows сразу, а перезагружает машину и грузит Windows напрямую, уже в обход линуксового загрузчика).

Я года два назад с этим возился и подробностей не помню. Вроде, сначала расшифровывал диск, потом делал раздел под линукс, ставил Линукс, затем зашифровывал раздел с виндой. И что-то ломалось. У меня глючит ноут в дуалбуте (нет звука после перезагрузки) поэтому бросил это дело.

Ну, сейчас уже ничего не ломается, как раз в прошлом году консультировал человека с таким сетапом. Можно и Linux заодно зашифровать. Всё это работает параллельно и почти не мешает друг другу (как выкручиваться без systemd-boot, не знаю, вероятно, не использовать авторасшифровку).

Спасибо. надо попробовать. Действительно, из-за их замашек чешутся руки не пользоваться виндой.

Ого, я что-то пропустил и Bitlocker теперь доступен и в Home редакции винды? Вот это отличная новость, раньше только из-за него апгрейдил предустановленную Home на Pro на всех ноутах.

Ещё раз перепроверил свою память: Device Encryption есть в Windows 10 Home, включён автоматически после установки, диск на современных компьютерах зашифрован до первого входа.
Вроде бы, ничего с Windows 10 образца 2019 года не менялось.
О чём эта новость — непонятно.

https://support.microsoft.com/en-us/windows/device-encryption-in-windows-cf7e2b6f-3e70-4882-9532-18633605b7df

When you first sign in or set up a device with a Microsoft account, or work or school account, Device Encryption is turned on and a recovery key is attached to that account. If you're using a local account, Device Encryption isn't turned on automatically.

Unlike BitLocker Drive Encryption, which is available on Windows Pro, Enterprise, or Education editions, Device Encryption is available on a wider range of devices, including those running Windows Home.

Сэкономлю всем время. Новость заключается в том, что теперь для автоматического включения шифрования не требуются особые условия:

In Windows 11 version 24H2, Microsoft is reducing the hardware requirements for automatic device encryption, opening it up to many more devices — including ones running the Home version of Windows 11. Device encryption no longer requires Hardware Security Test Interface (HSTI) or Modern Standby, and encryption will also be enabled even if untrusted direct memory access (DMA) buses / interfaces are detected.

Надо гуглить, первый раз слышу про то, что есть Device Encryption, отличающийся от BitLocker Drive Encryption (и в чём, собственно, их отличие). Я, конечно, очень давно уже не интересовался, но раньше на Home редакции надо было или TrueCrypt->VeraCrypt ставить, или обновлять до Pro, чтобы получить шифрование...

P.S. Судя по результатам поверхностного гугления, Device Encryption позволяет использовать только TPM (т.е. никаких ключевых файлов и ПИНов) и только с учёткой MS. Ну т.е. вроде и шифрование, но нет, спасибо... для полноценного Bitlocker всё равно нужна Pro-редакция, а заголовок новости вводит в заблуждение, даже MS это недошифрование Bitlocker'ом не называет.

В итоге пользователи лишаются доступа к аккаунтам, а, значит — и всех данных.

Я что-то пропустил, в какой момент перестало быть зашкварным хранить "все данные" на диске Ц?

Маркетологи, с момента появления облаков, пытаются всех в этом убедить.

И они же, когда очередное облако прекратило существовать, делают вид что "всё в порядке".

BitLocker, очевидно, не влияет на скорость и производительность диска (вот драйверы скорее всего могут влиять - например устанавливая неоптимальный режим работы диска). BitLocker добавляет некоторую "ренту" - тратит системные ресурсы на расшифроку (и шифрование) тех данных, которые приходят с диска (и уходят на диск). Для современных систем это обычно менее 1% от вычислительных ресурсов, что обычно незаметно. (Для высоконагруженных серверных систем это может иметь значение - но такие диски никто обычно и не шифрует).

В тестах SSD вида «копируем набор больших файлов» под Windows я ни разу не видел скоростей выше 4 ГБ/С, даже на самых современных NVMe-дисках со скоростью линейной записи в 12 ГБ/с.
Microsoft для игр сделала DirectStorage, который исключает Bitlocker и минифильтры — полагаю, что стек в Windows очень тормознутый, раз приходится делать подобные технологии.

https://learn.microsoft.com/en-us/windows-hardware/drivers/ifs/bypassio

5гбайт в секунду это ограничение стандартной функции копирования (хз зачем и почему).

Программы типа total commander могут не использовать ее и не сталкиваться с этим ограничением.

Самый тормозной минифильтр антивируса, а стек для nvme постоянно улучшают и осенью обещают ещё ускорение в сервере.

Так...
Windows 7 - rulez
Windows 8 - suxx
Windows 10 - rulez
Windows 11 - suxx
Windows 12 - ждем!!!

https://habr.com/ru/companies/jugru/articles/581592/
"Значит ли это, что Windows 11 предначертано остаться в истории «неудачной»? Мы воздержимся от комментариев"

8.1 была нормальная

Vista после сервиспаков работала отлично

7 на выходе работала далеко не идеально, на ноуте (где виста sp2 работала отлично) работала ужасно с графикой амд и с wifi, проблемы ушли только с SP1, хотя драйверы не менялись.

На десятку на старте тоже все плевались.

На десятку на старте тоже все плевались.

Практически от каждой винды основная масса людей сначала плюётся а потом втягивается, проходя все стадии приёма.

Вообще-то, больше на параболу похоже. С пиком на XP.

Никогда не понимал зачем нужен такой битлок по умолчанию с настройкой внутренних ключей ))) то есть если твой ноутбук украдут , похитителю досиаточки нажать на кнопку включить питание и вот все твои шифрованные данные у него )))

Тоже самое например представить с обычным ПК , господа майоры придут к тебе и что ты думаешь они будут выворачивать женский диск где как раз сработает защита? ) конечно они возьмут весь ПК, по приезду в офис достаточно нажать кнопку питания и все твои шифрованные данные раскрыты )))

И третий момент чтобы изменить поведение по умолчанию , сделать нормально например пароль на уровне загрузки, нужно править или реестр или политику виндовс.

В общем это самая тупая вещь на мой взгляд и как вы понимаете 99.9% людей попадут под 1 и 2 мой абзац

К тому же при сбое файловой системы (или бэдах на диске) не отделаешься потерей нескольких файлов, а теряешь контент всего диска сразу.

Никогда не понимал зачем нужен такой битлок по умолчанию с настройкой внутренних ключей ))) то есть если твой ноутбук украдут , похитителю досиаточки нажать на кнопку включить питание и вот все твои шифрованные данные у него )))

Что за ерунда? А как он пройдёт экран логина по-вашему?

BitLocker, в первую очередь, защищает от оффлайн атак. От банального "я вытащу накопитель, вставлю его в другую машину и прочитаю данные". От несанкционированного входа в "родную" Windows защищает экран логина.

Именно поэтому в конфигурации по умолчанию он настроен так, чтобы защита обеспечивалась максимально прозрачно.

сделать нормально например пароль на уровне загрузки, нужно править или реестр или политику виндовс.

Не забывайте, что в первую очередь Windows разрабатывается для корпоратов, от которых и поступает львиная доля прибыли (именно отсюда, к слову, растёт та самая обратная совместимость, которой славится Windows - не дай бог её сломать, взвоет бизнес). А в корпоративной среде на машине зачастую работает не один пользователь. Вам придётся каждому пользователю сообщить общий пароль. Пользователям придётся вводить два пароля (один от битлокера и второй от учётной записи, ведь никто не захочет, чтобы один пользователь шарился по файлам другого). Наконец, что вы будете делать, когда пользователь уволен и вам нужно аннулировать его доступ? Будете пароль от битлокера менять и заставлять всех его заучивать? Не смешите.

При этом, одиноким "админам локалхоста" никто не мешает с помощью политик и реестра превратить битлокер в средство авторизации (даже я, например, так и сделал). Правда, встаёт вопрос, что вы будете делать, например, когда вашей жене или ребёнкуу понадобится доступ к ПК. Пускать в свою учётку? Ну, такое (я бы не рискнул). Вот тут-то вы и придёте к всё той же схеме, когда для членов семьи создаются отдельные учётки и за авторизацию отвечает Windows, а BitLocker работает тихонько и не мешает им.

Вы походу плохо понимаете где хранятся ключи (в каком чипе) по умолчанию , и в какой момент происходит дешифр. Пароль Логина Виндовс происходит уже на расшифре и вообще никак не связан с битлоком, (только хранить бюкап ключ в облаке).

Перечитайте, пожалуйста, ветку. Где хранятся ключи абсолютно не важно в рамках обсуждаемого вопроса.

Вопрос, на который я отвечал, был, если по-простому: "когда битлокер настроен на авторазблокировку (т.е. используется лишь TPM в качестве предохранителя), что помешает вору, укравшему машину, получить расшифрованные данные?"

Теперь вспоминаем последовательность: сначала происходит автораззблокировка BitLocker, затем наш вор сталкивается с экраном логина Windows. На этом он и обломается. В систему его не пустит. Файлы он не получит. А если он захочет обойти логин в Windows (например, загрузившись с другого накопителя), то авторазблокировка не произойдёт - она срабатывает лишь при штатной загрузке.

Про атаку, которая позволяет при включенной авторазблокировке вытащить ключ, я знаю (это к вопросу о том, что я ничего не знаю про BitLocker). Но эту лазейку можно самостоятельно закрыть уже сейчас, обновив загрузчик и удалив старый ключ Microsoft из доверенных Secure Boot.

Такс, ясно, понятно. На Windows 11 и 10-ки пока не переходим.

До сих пор кста не понимаю, нахера вообще нужна была Win11.

Бредовая статья. Если у тебя не hdd, то снижения скорости работы из-за шифрования ты не заметишь. Сбоев системы из-за шифрования я тоже за годы не видел. Слетела система - переустановил и всё. А для данных, есть второй раздел и настроенные бэкапы нужных файлов с диска С: . Эппл давным давно, например, по умолчанию шифрует диски и айфоны (данные), но никто что-то не жалуется.

А помните, были такие вирусы-шифровальщики: сначала молча шифрует, а потом Заплатите 10 биткоинов или останетесь без "Моих документов"

Я как-то столкнулся с тем, что загрузил линукс с флешки, и после этого винда перестала грузиться, прося по-китайски ввести ключ шифрования.

К счастью, смог с телефона зайти на Майкрософт, нашёл там ключ. Но так ведь у кого угодно можно авторасшифровку сломать флешкой, если биос не залочен. А я специально флешку заводил, чтобы грузиться в свою настроенную систему с любого компа в любом месте.

Кажется, достаточно даже просто выбрать загрузку с другого устройства, не вставляя новое загрузочное устройство. Но это не точно. Тоже сталкивался, в общем. Чтобы грузиться в настроенную винду можно попробовать загрузку с VHD (rufus + windows to go). Как то на ноуте стоял Dual Boot Windows 8.1 + Windows 10 - windows10 грузилась из vhd :)).

Ох, как же это знакомо!

Самая подлая штука, это тихое, без каких-либо уведомлений, включение шифрования даже для систем, где только локальные учетки. В результате, о том что носитель зашифрован, пользователь узнает только когда ему понадобится спасти данные с поврежденного носителя, поменять материнку и всяком подобном. В смысле, если нет учетки MS, где можно подглядеть ключик, то это попадалово.

...про потери производительности я и не заикаюсь, "проблемы индейцев шерифа не интересуют".

потери производительности

Справедливости и занудства ради, на современном железе потери при использовании, скажем, AES - на уровне погрешности измерения.

Странно. Может, я чего-то не понял? Написано, что в версии 24H2 Bitlocker шифрует данные "по умолчанию". Полез у себя смотреть - Windows11Pro 24H2, C: Bitlocker off...

Есть некоторая разница между с нуля установленной системой 24Н2 и уже установленной и обновлённой до 24Н2.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости