Комментарии 184
ДБ (((
Возможно ли написать петицию Биллу Гейтсу, чтобы он уволил наконец Сатью Наддела?
Зачем? Включение шифрования абсолютно нормальный шаг. В случае чего ключ для восстановления данных можно получить либо в своем аккаунте MS, либо заранее в системе.
На одного запаниковавшего пользователя приходятся тысячи чьи данные с не зашифрованных дисков достаются злоумышленникам. Вспомнить только утечку данных из Фейсбука.
Что касается трагически-сенсационного тона этой новости, это скорее вопрос к качеству самой новости, а не к Сатье.
Осталось только дать пользователям выбор... Ах да
Интересно кому вы тут льёте в уши
Позовите когда за восстановление данных потребуют подписку Windows X 365+ Ultimate Premium
Дать выбор облажаться, например слив злоумышленникам все данные с незашифрованного диска украденного ноутбука, вы имеете ввиду?
Да, не надо водить юзера за ручку, он может решить сам что для него больший риск
Свобода это когда на вопрос системы "Это же вирус, ты действительно хочешь его запустить, придурок?" иметь возможность ответить "Да.". Не все ей воспользуются, но наличие выбора это всегда хороший тон. То же самое и касается шифрования.
Так и тут шифрование можно отключить в настройках, в чем разница?
В том, что в случае возникновения проблемы пользователь о существовании шифрования узнает постфактум.
Так и о включенной защите пользователь узнает постфактум, когда запускает потенциально вредоносный файл - он уже в этот момент удаляется в карантин и нужно идти и руками выключать защиту и доставать файл.
Это не постфактум. Пользователь узнает это непосредственно в момент запуска, скачивания или обнаружения файла. При этом у него есть вариант нажать "Run anyway" и т.д.. И даже помещение файла в карантин не приводит к его потере.
В случае с шифрованием пользователь узнает о его существовании когда весь его системный раздел безвозвратно потерян. Выключать что-то на данном этапе уже бесполезно.
Пользователь узнает это непосредственно в момент запуска, скачивания или обнаружения файла.
Это один сценарий. А другой вот такой: лежит у вас кейген, который ни один антивирус не определял вирусом, да он и не делал ничего, кроме, собственно, генерации кода для софта. И вот через 5 лет у вас появилась необходимость переустановить софт и вы обнаружили, что вашего кигена нет. В лучшем случае он ещё болтается в карантине, в худшем - карантин самоочистился 2 года назад.
Защитник показывает уведомления, когда обнаруживает вредоносные файлы. Уведомления висят в трее пока пользователь их сам не уберет. Свою часть он выполнил, часть пользователя - прочитать и отреагировать. Если уведомления не было - значит это либо баг, либо пользователь сам так настроил.
Защитник показывает уведомления
И приложен скриншот из журнала защитника, который открывается через клик по иконке щита в трее, затем безопасность и только потом ссылка журнала защитника. Браво.
Это возражение к форме, а не к сути. У меня защитник давным давно выключен, и как конкретно выглядит окно уведомления я наизусть не помню. А вот то что оно возникает на рабочем столе, а потом висит в трее который подсвечен я знаю точно.
Ну а у меня защитник несколько раз молча убивал KMS, который ломает винду и офис. Без уведомлений в панели уведомлений или, не дай Б-г, с блокировкой всего экрана (как это делает UAC, например). И только в дебрях журнала я его находил и вытаскивал. При этом отключение защитника всегда сопровождалось нестираемым уведомлением. И заглушить оповещение безопасности нельзя в той же панели - всегда висит панелька пока не сделаешь так, как хочет M$.
Ну, что поделать, если венда не может заставить свой функционал штатно работать. У меня вот например очистка диска вообще ничего не удаляет, хотя есть что, и галочками выделено. Или постоянно сбрасывается тип папок на всякую медиа-хрень, и тормозит при их открытии. Или ничего не обновляет при нажатии "restart and update", при этом постоянно подставляет его вместо "sleep" который я сделал у себя дефолтом по alt+f4.
риск такой есть. Критичный для корпоративных пользователей. При условии, что на АРМ мобильных допускается обработка критичных данных. Хотя часто и не допускается а ноут является тонким клиентом для захода через vpn в VDI.
И безопасно и, случись что с ноутом -выдал новый. И не надо думать о бэкапах с АРМ .
А домашних у пользаков можно слить сохраненный пароль к вкнтактику. Да сохранения игр. Ну может недописанный диплом. Или коллекцию музыки выкаченную с торентов.
Нет там ИОД. и не будет. Давать пользователем работать на личном с такой информацией- это надо DLP ставить, контролировать проходят ли обновления и не отключен ли антивирус, права админа забрать - короче, проще ноут служебный выдать.
Кому важна приватность- лет 15 уже имеют доступ к решениям которые создают файл на диске зашифрованный который транслируется в виртуальный диск- можно всё секретное хранить там.
Нет. Это выбор облажаться и потерять все данные при переустановке винды. Травлю. В последних апдейтах Вин10 битлокер тоже включается принудительно. Мой друг решил недавно перейти на Вин11 и в душе не знал что такое Битлокер, а уж тем более про какие-то резервные копии ключей от него. Закинул все нужное на второй диск, а во время установки Вин11 затёр первый диск со старой виндой, чтоб установить новую начисто. Аккаунтом Майкрософт он не пользовался. Что в итоге произошло? После успешной установки новой Виндоус, у него блокируется второй диск на который он скидывал все свои важные файлы и никаких ключей у него нет и быть не может, потому что заботливые Майкрософт включили за него Битлокер никак об этом не уведомив. И такая ситуация не редкость. Иронично то что ничего примечательного для мошенников на том диске не было. Там были его фотки, вордовские документы и файлы, результаты его работы. Очень нужные ему файлы, но имеющие нулевую ценность для мошенника. Так что не надо тут рассказывать какие Майкрософт молодцы и о нас заботятся.
Там были его фотки, вордовские документы и файлы, результаты его работы. Очень нужные ему файлы, но имеющие нулевую ценность для мошенника.
у вас какое то странное представление о мошениках. Всякие криптолокеры в первую очередь шифруют фотки, архивы и word/excel документы, именно потому, что они важны для жертвы и с высокой долей вероятности жертва заплатит за них
У пользователей есть выбор.
Во-первых, если пользователь понимает, что делает, он может указать в файле ответов не использовать шифрование.
Во-вторых, сразу после входа в систему у пользователя есть возможность отключить шифрование в настройках.
По умолчанию, разумеется, меры безопасности должны быть включены, потому что, как известно любому, кто сталкивался с разработкой ПО, в каком состоянии <что-то> пребывает по умолчанию, в таком оно и останется у большинства пользователей.
А некоторые пользователи из-за подобного непрекращающегося самодурства сделали действительно важный выбор и перебрались на другую ОС.
Ну сделали и сделали. Это их право выбрать, я лишь рад, что люди свободны выбирать. Невозможно угодить всем настройками по умолчанию. Одному хочется по дефолту так, другому эдак. Одному из них неизбежно придётся оказаться недовольным.
Мне вот в Linux не нравится частый запрос ввода пароля. А многим нравится. Есть какой-то способ сделать нас всех довольными? Очевидно, нет, есть поведение по умолчанию и конфиг, где можно настроить по вкусу, если не устраивает дефолт.
В большинстве установщиков популярных дистрибутивов linux есть отдельная галочка при разбитии разделов, включающая шифрование диска. Тому кому надо - проставит. Что MS мешало сделать так же? Мне нахер не нужно шифрование на домашнем пк, я не собираюсь заниматься расшифровками когда выдерну свой диск и вставлю его в другой комп, что за абсурд?
Windows тоже будет запрашивать у тебя UAC каждый раз при привишении привелегий. То, что большинство пользователей работают из под админской учетки это в том числе проблема microsoft. В linux ты тоже не будешь вводить пароль из под записи root, только большинство дистрибутивов скрывают её, защита от дурака которой в винде нет. Плюс в linux развита сознательность разработчиков и пользователей, приложение не будет получать на каждый чих root права, оно получит только те права, которые ей нужны, а в винде если что-то не работает, запусти под именем администратора, это не норм, от того и большинство вирусов, не в вирусах проблема, а то, что вирусам очень просто получить наивысшие привелегии вплоть до прав ядра через дыры.
В Линуксе у вас куда более широкий выбор в плане выбора политики ввода пароля. Есть разные дистрибутивы, в том числе и те, где по дефолту от рута работаешь, делай на свой страх и риск что хочешь без подтверждения прав.
А какой ещё есть выбор для домашней ОС, кроме Windows?
MacOS?
Да и собственно линукс чем вам не угодил как ОС для домашнего ПК?
В MacOS шифрование давно включено.
По дефолту при установке FileVault не включен (буквально месяц назад накатывал). При желании отключается в один клик.
На Mac с чипом Apple или чипом безопасности Apple T2 данные на диске шифруются автоматически. Можно включить FileVault для обеспечения дополнительного уровня защиты
Apple считает по другому.
https://support.apple.com/ru-ru/guide/mac-help/mh11785/mac
bitlocker тоже отключается в один клик.
Это примерно тоже самое что и аппаратное шифрование в SSD. Инфа на чипах лежит зашифрованная, но все совершенно прозрачно для пользователя.
А вот включение FV - это как раз таки аналог включения bitlocker.
Точно так же как и битлокер - всё прозрачно для пользователя.
Включение FV требует ввода пароля от пользователя постоянно - разве нет?
Битлокер прозрачен для пользователя, у меня включен на корпоративном ноуте по политике безопасности и никаке пароли я никогда не ввожу, вот переставить SSD в другой ноут - надо будет вводить код разблокировки.
Так изначально же речь шла про включение фичи по умолчанию. Битлокер включается - ты должен об этом догадаться и догадаться схоронить код. FV не включается, и когда включаешь - он тебе показывает код и настойчиво говорит его схоронить в надежном месте. А потом еще и проверяет что правильно схоронили.
вот переставить SSD в другой ноут
С современной техникой Эппл это будет несколько сложно.
Опять 25 - шифрование на MacOS включено по умолчанию, FV отдельно включается если надо получить дополнительную защиту. Что тут другое?
Опять 25 =)
То шифрование о котором вы говорите - это аппаратная фича, совершенно прозрачная для пользователя, он с ним никак не взаимодействует и никто никаких кодов у него не спрашивает и доступ к его данным не блокирует. Что есть оно, что нет - пользователю это не заметно и не важно.
Функциональный аналог битлокера это FV.
Битлокер точно такой же прозрачный для пользователя, никаких кодов не спрашивает и блокирует доступ к данных только при переносе диска в другой ПК.
А как же сабжевая статья и комменты, где люди пишут про код?
В статье написано как будто пользователи раз и лишились каких-то данных. Но так не было. Надо просрать учётку МС, и просрать способы восстановления её, тогда да, данные будут потеряны, потому что в винду не зайти, а переставить диск в другой комп не поможет ни сбросить пароль, ни скопировать данные, зашифрованные битлокером.
Что произойдёт, если пользователь просрет свою учетку Apple id? В ноут не зайти, диск никуда не переставить, можно перепаять микросхемы, только тольку ноль - данные всё равно зашифрованы.
Какая разница тут между Виндой и Макос?
Что произойдёт, если пользователь просрет свою учетку Apple id? В ноут не зайти, диск никуда не переставить, можно перепаять микросхемы, только тольку ноль - данные всё равно зашифрованы.
А ничего с ноутом не будет. Учетки строго локальные. Это же юникс.
Окей, просрал пароль локальной учётки в macos - дальше что?
В Винде учетка тоже локальная, то, что она синхронизируется еще и с облаком, не делает её полностью облачной и юзер спокойно может зайти в ноут и без инета. В случае с облачной ключ восстановления есть и в облаке, так что можно его оттуда достать, если надо будет диск в другой комп поставить.
Окей, просрал пароль локальной учётки в macos - дальше что?
Логинимся под админом или другим юзером и там получаем доступ админа и меняем пароль юзера. Еще есть recovery и single user mode. Еще есть варианты сброса пароля локальной учетки через apple id или через recovery key (этими не пользовался, но видел в доках).
Что еще придумаете?
Логинимся под админом или другим юзером и там получаем доступ админа и меняем пароль юзера.
А это дает доступ юзеру к старым шифрованным файлам?
На винде, например, в каких-то там случаях явно зашифрованных данных ничего не выйдет. Доступ к учетке восстановится, а данные прочитать - не получится.
Сделано, как я понимаю, под требования 'чтобы данные даже пользователь-администратор не мог данные украсть'.
Ломают сценарий: Сменит пароль, зайти пользователем, все прочитать.
А это дает доступ юзеру к старым шифрованным файлам?
В смысле? Сменили пароль юзера, залогинились как обычно.
К каким старым шифрованным файлам?
Ломают сценарий: Сменит пароль, зайти пользователем, все прочитать.
Так, подождите. Т.е. если админ сбросит забытый пароль юзера, то юзер может попрощаться со своими данными?
К каким старым шифрованным файлам?
Которые пользователь решил зашифровать.
Так, подождите. Т.е. если админ сбросит забытый пароль юзера, то юзер может попрощаться со своими данными?
Да. Плюс-минус лапоть. Там есть всякие инструменты, чтобы было не так грустно, Но идея именно такая - ключик шифрования для EFS сам шифруется паролем пользователя. И если пароль сбросить (не сменить с использованием старого пароля) - доступ к ключику и, соответственно, данным, можно и потерять.
Вопрос, соответственно - а у маков оно так же работает?
Которые пользователь решил зашифровать.
В смысле сделал отдельный контейнер для своих данных, или вы про шифрование всего раздела с пользовательскими данными?
И если пароль сбросить (не сменить с использованием старого пароля) - доступ к ключику и, соответственно, данным, можно и потерять.
Т.е. домик каждого пользователя шифруется отдельно своим отдельным ключом? Или ключ общий на диск/раздел?
Вопрос, соответственно - а у маков оно так же работает?
FV применяется ко всему диску. Доступ к "мастер" ключу - на основании юзерского логина/пароля или filevault recovery key. Вернее там все несколько хитрее, но грубо можно сказать и так. Вот еще интересное чтиво по теме.
В смысле сделал отдельный контейнер для своих данных, или вы про шифрование всего раздела с пользовательскими данными?
Винда умеет на уровне файлов шифровать. Логически (но не технически) можно считать, что папка с флажком "это шифруй" является таким контейнером.
А если этот файл скопировать на другой ПК? Ключ где?
Ну и тут вот что пишут:
Anyone who can gain Administrators access can overwrite, override or change the Data Recovery Agent configuration. This is a very serious issue, since an attacker can for example hack the Administrator account (using third-party tools), set whatever DRA certificate they want as the Data Recovery Agent and wait. This is sometimes referred to as a two-stage attack, which is a significantly different scenario than the risk due to a lost or stolen PC, but which highlights the risk due to malicious insiders.
When the user encrypts files after the first stage of such an attack, the FEKs are automatically encrypted with the designated DRA's public key. The attacker only needs to access the computer once more as Administrator to gain full access to all those subsequently EFS-encrypted files. Even using Syskey mode 2 or 3 does not protect against this attack, because the attacker could back up the encrypted files offline, restore them elsewhere and use the DRA's private key to decrypt the files. If such a malicious insider can gain physical access to the computer, all security features are to be considered irrelevant, because they could also install rootkits, software or even hardware keyloggers etc. on the computer – which is potentially much more interesting and effective than overwriting DRA policy.
И кстати, тут пишут, что EFS и битлокер - это две разные вещи. К слову. Зачем вы это сюда потащили?
А если этот файл скопировать на другой ПК? Ключ где?
Оно расшифровывается при чтении. Если копирует не пользователь - ключа не будет. В чем, собственно и половина смысла. Система бакапа может файлы спокойно брать, но не будет знать содержимого.
Зачем вы это сюда потащили?
Потому что приводилось как пример сценария, когда сброс пароля лишает человека доступа к данным.
Если копирует не пользователь - ключа не будет.
Т.е. не пользователь не сможет его скопировать? Или скопирует в зашифрованном виде?
Еще вопрос - если он расшифровывается при чтении - значит кладется куда-то в темп? А если когда файл открыт дернуть питание - он там и останется в таком виде?
Потому что приводилось как пример сценария, когда сброс пароля лишает человека доступа к данным.
Лично у меня сложилось впечатление что это продолжение треда и связано с битлокером. А на самом деле нет, это другая фича.
Т.е. не пользователь не сможет его скопировать? Или скопирует в зашифрованном виде?
Скорее всего, будет зависеть от того, чем и как копируешь. Если из GUI - я подозреваю, ругается и откажется продолжать. Если более низкоуровнево - скопирует шифрованным.
А на самом деле нет, это другая фича.
Ну да. Но про битлокер тоже должно распространятся. Если я сам, вручную, его на флешку навесил или на внешний диск - то что произойдет, когда админ мне ресет забытого пароля сделает?
Ubuntu, хотя бы.
Тоже подтормаживает, тоже "сама себе умная" - но получше Винды.
Если бы не игрушки под Винду - там бы и не осталось никого...
Подтормаживания сильно зависят от DE. У всех DE свои болячки. С игрушками, если есть стим, уже несколько лет норм.
Но винда понятнее, привычнее и всё ещё требует меньше от типового пользователя, а главное она предсказуемее. Да, у неё часто есть проблемы с обновлением, особенно в последнее время, а у ubuntu всё стало лучше, но и там всё ещё достаточно просто сто-то сломать или положить из-за зависимостей. Например туже DE.
Так что не панацея. Увы, у десктопных линуксов ещё хватает детских болячек. Один только переход с иксов сколько тянется
Ну обновления лечатся "лимитным подключением" в сетевых начтройках. На своей игровой машине поставил галку и забыл эти постоянные - перезагрузи
Потому что по сути не нужен этот "переход с иксов".
Обычные программы в Wayland через Xwayland работают, им переходить и не надо.
Проблема в том что некоторые пошли по Windows-пути: вместо "стройной системы независимых костылей и подпорок" - пытаются строить Единую Интегрированную Систему, в которой программа А падая, уволакивает за собой программу B и C, потому что они работают вместе через программу D, которая по идее должна просто передавать сообщения...
И вот уже в этой Линукс-винде начинаются такие же проблемы как в Windows-винде много лет назад.
Габен решил проблему с играми. Он сделал то, чего давно не хватало wine, посадил пилить этот вайн разрабов на зарплате. Все прекрасно работает из коробки. За исключением нескольких игр, типа апекса, но там сами електроники палки в колеса вставляют.
Есть большой выбор дистрибутивов Линукса с разными DE/WM. И если даже в каком-то одном начнут пропихивать всем безальтернативно интерфейс для мобилок, то можно легко пересесть на что-то более подходящее своим требованиям. А с Виндовс только и надейся на то, что следующая версия будет хоть чем-то лучше предыдущей.
не перешёл. Но мысль такая появляется, глядя на windows 11. Когда система считает себя умней пользователя и живет своей жизнью. И сильно осложняет кастомизацию. К примеру переход от автоматических обновлений в ручной режим на home версии, даже в десятки - приходиться заморачеваться
Проблема в том, что если это по умолчанию включено, а пользователь об этом не в курсе, то в какой-то момент он может потерять все данные, ибо не знал что они шифруются и не сохранил нужные ключи.
К тому же, если разрешить компании ставить опции по умолчанию включенными, то в какой-то момент мы действительно можем прийти к ситуации, когда вход в систему станет платным, потому что мы забыли снять галочку между строк при установке.
не сохранил нужные ключи.
Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.
разрешить компании ставить опции по умолчанию включенными
Предлагаю превентивно кастрировать мужчин, ведь наличие полового члена может привести к тому, что мужчина кого-то изнасилует. Вот так и выходит, если следовать логике "с помощью X можно сделать плохое Y, значит, надо запретить X"
разрешить компании ставить опции по умолчанию включенными
Это её продукт, она и решает, какие настройки будут по умолчанию. Я, например, разрабатываю свободное ПО. Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию? И не включать, если один из сотни тысяч скажет "нет"? Так у меня, пардон, не сейм Речи Посполитой тут, где один шляхтич мог заблокировать всех остальных, а пользователи, которые про безопасность не думвют. Но, то, что они не думают, не означает, что им она не нужна. Точно такая же ситуация с резервным копированием. Только после потери данных люди понимают, что надо было бы озаботиться. Но уже поздно.
Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить. Главное слово - "понимает". Если я понимаю, что мне надо подключить питание к жесткому диску "на горячую", я могу это сделать, но по умолчанию блок питания скажет "ой" и уйдёт в защиту.
Ключ автоматически ложится в OneDrive, достаточно его оттуда не удалять.
А как быть если я не подключал и не регистрировал OneDrive? А МС аккаунт был создан для галочки, без доп настроек.
Вот так и выходит, если следовать логике
Вопрос был в принудительном включении защиты, а не о ее наличии в целом. Написанный Вами пример описывает наличие чего-то как причину плохого в последствии, а это совсем другая история...
Может, мне у каждого из сотни тысяч пользователей спрашивать, включать ли новую фичу по умолчанию?
Если продукт популярен и эта фича влияет на его работу то сделать срез/опрос у пользователей (в множественном числе) стоит, либо указывать в обновлении что было добавлено и как это отключить, на случай если оно не нужно.
пользователи, которые про безопасность не думают. Но, то, что они не думают, не означает, что им она не нужна.
Если заменить "безопасность" на "свободу", то мы получим то с чего начинались освободительные войны :)
Как говорится: "Если ты не знаешь что это и зачем - то тебе оно не нужно." Если человек не заботится о безопасности своих данных вообще, то даже "добровольное" обезопасивание данных в этом случае, легко нивелируется его запиской с паролем на мониторе или паролем в текстовом файлике на другой системе :)
Если человек хорошо понимает, что ему не нужна та или иная мера безопасности или резервные копии - он волен это отключить
Так в том и дело, он даже не узнает что оно у него включено пока не наступит роковой момент :) Даже наличие галочки при установке ситуацию не изменит, ведь у многих людей "случайно" устанавливаются не обязательные поисковики и браузеры при установки программ :)
Все телефоны, как от Apple, так и на Андроид, зашифрованы по умолчанию, нигде об этом не говорится. Да и крупные рынки - Европа, США и т.п. хотят шифрование по умолчанию для домашних ПК.
Все телефоны, как от Apple, так и на Андроид, зашифрованы по умолчанию
За Apple может быть, не было опыта, но за Андроид не знаю где конкретно там шифрование используется по умолчанию, файловая система вроде открыта, тут не буду спорить.
Европа, США и т.п. хотят шифрование по умолчанию
И снова старый добрый датеншутц, датеншутц
Давно все телефоны на Андроид зашифрованы по умолчанию начиная с 5-й версии Андроид.
https://habr.com/ru/companies/swordfish_security/articles/565092/
Забавно, но многие старые кнопочные телефоны из 00х которые имели гнездо для microSD блокировали эту карту паролем. Это штатная функция для microSD, но в телефоне нигде не было об этом информации. А узнал я постфактум, когда достал карту и сунул в картридер. Оказалось, он это делает когда форматируешь карту им самим, а это сделать пришлось, потому что фат32 ему не понравился якобы. Андроид в противовес у меня ниразу такого не делал.
Забавно, но многие старые кнопочные телефоны из 00х которые имели гнездо для microSD блокировали эту карту паролем.
Странно, не могу вспомнить такое. Помню что можно было окирпичить microSD сделав неудачное форматирование (ReadOnly режим) или случайно включенный Lock на адаптере. Но что бы пароль...
В качестве примера:
Ого, сколько пользовался ни разу с этим не сталкивался. Спасибо за информацию, век живи век учись как говорится 😁
Ну SD это же Secure Digital. Вот и решили по началу внедрить этот Secure в устройства. А потом оказалось, что 98% юзеров это не надо.
Даже так, не знал, спасибо
Это даже на вики есть:
Карта снабжена собственным контроллером и специальной областью, способной, в отличие от MMC, записывать информацию таким образом, чтобы неавторизованное чтение информации было невозможно, в соответствии с требованиями Secure Digital Music Initiative. Этот факт был отражён в названии стандарта (Secure Digital). Для записи в защищённую область используется специальный протокол записи, недоступный для обычных пользователей. При этом карта также может быть защищена паролем, без которого доступ к записанной информации невозможен; восстановить работоспособность карты можно только её полным переформатированием с потерей записанной информации.
Её делали именно как безопасную (в плане защиты информации на ней) альтернативу MMC.
Эта особая область позволяла привязывать карту к устройству, например. И тогда такая карта не могла работать в другом устройстве, даже если пароль известен.
Но самое главное, заметьте, это всё опциональное и по умолчанию отключено. Юзер сам решает, что и когда включать.
Но самое главное, заметьте, это всё опциональное и по умолчанию отключено. Юзер сам решает, что и когда включать.
Вот собственно и да.
В Андроид включено и не отключить уже нет возможности. Открыл вот настройки шифрования на 10м Андроиде - шифрование аппаратное, выключить - нет возможности, нет никаких переключателей для дешифровки.
В iOS есть нормальный бекап и данные восстанавливаются за пару часов из облака или через iTunes. В Андроиде похуже, но тоже что-то сохраняется и может уложиться в бесплатный лимит Гуглодрайва.
Бугага! Раньше на винду ловили шифровальщиков которые шфировали данные и требовали выкуп, а теперь покупаем подписку на шифровальщика и регулярно его обновляем. Легалайз который заслужили виндузятники :-)
Ну не хочу я аккаунт ms...
А шифрование получаю в любом случае, без моего согласия и предупреждения о возможной потере данных.
Диск в 99% случаев переезжает из устройства в устройство при апгрейде или поломке. А теперь я лишаюсь такой возможности, если не замечу включение BitLocker... :-(
А в случае с Россией, откуда ms официально сбежал, теперь приходится прикидываться узбекистаном для покупки ms exchange для шефа, и все может быть ещё веселее.
"Мы считаем, что ваш аккаунт скомпрометирован или используется в преступных целях, восстановление доступа невозможно" :))
Диск в 99% случаев переезжает из устройства в устройство при апгрейде или поломке.
Или восстанавливается из бакапа, если сам диск сломался. Вот такой слет шифрования - и должен рассматриваться как поломка диска.
Если вы не входите с учёткой MS, то хоть накопитель и шифруется, но защита не включается и риска потери данных нет.
Записывай образ через rufus. Он сразу предложит галочки "не шифровать диск" И "создать локальную учётную запись".
Вот и все, все как ты и желаешь. Забавно смотреть что вы тут все прошареные, знаете почему вам не нужен битлокер и вход в учётку, но разобраться как это отключить ещё на этапе установки, у вас лапки)))
Галочек "Не устанавливать кейлоггер" и "Не посылать в Майкрософт все мои фото" там ещё не сделали?
А мне, допустим, нравится Ventoy, и теперь что, свой кастомный ISO-шник придётся делать, вместо того, чтобы просто скачать официальный и закинуть на флешку без лишних телодвижений?
Да, придется делать.
Я не товарищ из Майкрософта. Мы уже имеем этот факт. Я говорю как легко можно это исправить.
А ты можешь этого не делать, и сидеть с битлокером.
К чему все эти фразы по типу "а я что, должен делать это?" И "мне не нравится".
Есть задача, есть решение. А делать не делать решать тебе.
Вообще писать комментарии это дольше чем закинуть образ на флешку отключив авто шифрование.
На самом деле даже акк этого не решает. Ну вот есть он у меня, а смысл, если мне раз в 5 лет надо будет передвинуть что-то с диска на диск, а я не знаю о шифровании. А учитывая то, что моей винде вот-вот и 14 лет и она уже пережила переносы, обновления, установку софта, настройки, там уже никто не разберёт, что может пойти не так и как это восстанавливать
и часто ваши данные с вашего личного компьютера доставались злоумышленникам и это становилось проблемой для вас? У меня было гораздо больше случаев, когда битлокер мне мешал. точнее не гораздо больше, а с злоумышленниками у меня таких проблем не было, а вот битлокер...
и часто ваши данные с вашего личного компьютера доставались злоумышленникам и это становилось проблемой для вас?
А как часто это должно случаться, что бы насторожиться?:)
Нам хватило в свое время (слава богу очень давно), чтобы всего один раз у нас украли ноут.
Мало того, что доступ к половине сервисов восстановить не удалось (вопросы в стиле "кому вы писали письмо 4 года назад в ночь с пятницы на воскресенье", ага, это кстати на многих сервисах проблема, закрывают доступ и спрашивают всякую дичь, достаточно с нового железа зайти).
Так еще и при этом полный доступ к чему угодно у кого попало появляется. А ведь там могут быть не только лично Ваши данные, но и Ваших клиентов/партнеров.
оригинальное у вас использование личных устройств для хранения критической информации. я бы на месте ваших безопасников сказал бы вам свое фи. да и у них были бы разборки почему критическая инфа хранится без защиты.
но вся проблема в том, что эту поделку впихнули всем - кому это надо и кому не надо. зачем мне ЭТО, если оно мне мешает?
использование личных устройств для хранения критической информации
Сейчас 2025 год. У всех на личных устройствах навалом критической информации, прямо или косвенно. Даже если у Вас на ноутбуке только почта для связи с бабушкой, то и то это критично, т.к. кто угодно украв ноут сможет послать ей письмо с просьбой принеси пирожки любимому внуку. Так что порог оценки критичности информации давно уже пора понизить.
у вас преступники прямо многостаночники. обычные крадут для перепродажи и от данных они предпочитают избавляться. а не давать лишнюю возможность себя поймать. это 95%, а те 5%, кто идет за вашей информацией - я думаю они найдут способ получить ее. терморектальный криптоанализ до сих пор взламывает практически все шифры.
обычные крадут для перепродажи и от данных они предпочитают избавляться
Не видели такого плана статистики, можно источник?
от данных они предпочитают избавляться. а не давать лишнюю возможность себя поймать.
Анонимно воспользоваться информацией или продать ее опять же анонимно, или отсвечивая лицом идти сдавать в ломбард ноут по паспорту или на авито палиться с ним. Никаким многостаночником тут особо быть не надо, те кто ворует технику - наверняка имеют канал куда данные слить.
Как по нам - так продавая железяку как раз дают лишнюю возможность себя поймать.
Речь о домашнем пк была. Какие клиенты в домашнем пк, если этот домашний пк- совсем домашний и стоит дома, находясь в доме и будучи компом?
Это данные, уверен, утекли не с винтов украденных и вставленных в другой комп от чего защищает битлокер, а через трояны запущенные под пользователем с его контекста, от чего битлокер никак не поможет как не помогает от мошенников шифрование памяти у смартфонах
Причем данные на диске будут всегда (почти всегда).
Я недавно продавал старые харды. И прогонял их через спец утилиты которые пол дня туда перезаписывает данные что бы все затереть.
Вот 10 лет назад у тебя был файлик с паролями на диске, хотя бы раз. Или файлик с ключами от крипты. Ты забыл, уже и винда сто раз была переустановлена, и диск вроде формировал, а если поискать через софт восстановления, то все найдется....
А ещё куки браузеров. Не знаю как сейчас но раньше можно было легко взять куки хрома и через спец софт расшифровать их, а там все пароли.
А учитывая какие щас законы. За картинку в ВК могут выломать дверь, забрать пкшки, и восстановить там все. Плюс закон о конфискации крипты.
Короче сложный вопрос. Может у кого десктоп для игор, тем реально не нужно. Но если ноут, который берут с собой и там работа, то вполне логично что изначально шифрование включается.
Зачем мне шифрование диска на домашнем компе? От кого шифровать? Это не ноут который могут украсть. Только замедляет работу
Т. е. ты нормально воспримешь, когда входную дверь в твою квартиру заварят по периметру?
Вы нормально восприняли же шифрование в телефоне по умолчанию, которое и отключить уже нет возможности? Или просто не в курсе что оно включено?
Даже если оно включено — данные у 99% давно уже в облаке и при уничтожении телефона восстанавливаются оттуда, а не с выпаянного флеша. То есть телефоном пользуются как единым целым и пофиг, что там шифрование.
В случае пк сценарий "вытащил диск из компа со сдохшей материнкой, воткнул в новый" — всё ж более распространённый сценарий, если диск не представляет собой eMMC, впаянную на плату. Да и апгрейды материнской платы с процессором тоже никто не отменял пока что.
То есть, винды работают на конструкторе, а не едином целом, а битлокер данную концепцию разрушает, делая монолит, который можно заменить только целиком.
Телефоны давным давно перешагнули планку бесплатного облака в 15ГБ что даёт гугл или 5GB эппл и уверен, что 512ГБ облачного хранилища покупают единицы процентов, а не 99%. Так что точно также юзеры влетят на потерю большинства своих данных после смерти телефона.
Ну то есть, сценарий постепенного апгрейда для вас неприемлем и вы покупаете только ноуты, где всё запаяно на материнскую плату без возможности замены? Или по какой ещё причине вы ответили только на удобную для вас часть?
Ок, что-то не бекапится. Но после покупки нового телефона после подтверждения доступа к аккаунту по смс из бекапа отлично восстановится, как минимум, адресная книга, доступ к почте и бОльшая часть приложений с настройками. Большинство погорюет о фоточках и забудет. При этом на телефоне без аккаунта обычный пользователь вряд ли что-то поставит.
В случае сдохшего компа — что восстановится из домашнего каталога обычного пользователя, который даже не в курсе, что у него вообще что-то было у микрософта, ибо это вообще-то не слишком очевидно даже при установке, не говоря уже о том, что накрыться всё могло спустя несколько лет, когда уже всё давно забылось?
В случае планового апгрейда телефона — берём оба телефона и логинимся на новом в тот же аккаунт, проходим по визарду и ждём какое-то время, пока данные копируются, включая то, что не бекапилось в аккаунт.
В случае планового апгрейда пк — никто не отменял сценарий "переставить старый диск в новый пк". Внезапный битлокер это отлично ломает.
Проблема не в шифровании как таковом, проблема в разных сценариях доступа к данным. Если ты относишься к пк как телефону, то есть чёрный ящик, который можно менять ТОЛЬКО целиком — ок, тебе шифрование, которое ты не просил, подойдёт. У меня комп — таки то, куда я могу залезть и поменять одну или несколько частей, включая материнскую плату с её tpm и потому если буду шифровать, то точно не средствами винды.
Ну попробуйте купить macbook с чем-то незапаянным. В случае краха макбука обычный юзер влетает на шифованный запаянный SSD.
В случае с апгрейдом виндового ноута - есть масса средств переноса данных, плюс ничего не мешает расшифровать диск перед установкой его в другой ноут, если он съемный.
В случае краха виндового ноута - у юзера есть доступ к ключу дешифровки в аккаунте МС.
Про макбуки не говорю — дел не имел и не хочу. Как посидел лет 10 назад, так и не хочется больше.
В случае с апгрейдом виндового ноута - есть масса средств переноса данных,
Ok, есть. Назовите для примера (тут серьёзно, от домашне-виндовых средств я таки отстал, у себя что дома, что на работе всё линуксом пробавляюсь, винды только у знакомых).
В случае краха виндового ноута - у юзера есть доступ к ключу дешифровки в аккаунте МС.
Вы слишком давно не общались с не-IT людьми, для которых комп — бытовое устройство. Объясняю для воспаривших в высях и оторвавшихся от народа: они таки не в курсе, что логин, на котором у них настроен автовход несколько лет назад, есть где-то ещё и им на это положить, как настроили в магазине, так и будет, пока не сдохнет. А когда сдохнет — в магазине с ними возиться точно не будут, тот, кто настраивал логин-пароль, давно уже уволился. Так что тут принудительное шифрование, да ещё и включаемое автоматически при автоматическом обновлении — безусловное зло, ибо при исправном диске не позволяет легитимному хозяину получить его же данные в случае проблем. И если вы думаете, что таких мало — таки вы ошибаетесь... Лучше бы не ошибались, конечно...
В общем, домашним юзверям оно не нужно. Остальные — должны либо сами понимать, что они хотят, либо иметь админа под боком, чтобы понимал за них. Но таких домашних пользователей меньшинство.
В любом случае, шифрование не должно включать ВНЕЗАПНО при обычном обновлении, как будто подцепил вирус-шифровальщик.
В телефонах шифрование есть сразу и даже без этого не было доступа к фс мимо ОС, то есть способ работы с телефоном изменился незначительно, если вообще хоть как-то изменился: как бекапились настройки приложений в гугль, так и бекапятся, как восстанавливалось из гугля, так и восстанавливается (недавно проверил — отлично работает).
В случае винды — таки заметное изменение поведения системы, довольно сильное, меняющее достаточно многие сценарии работы, причём в тех случаях, когда доступность важнее конфиденциальности.
Петиция - хорошо, многие подпишутся, но есть проблема, при управлении Наделлы капитализация MS выросла примерно в 8 раз
Windmills capitalism does not work that way! Good night. 🐢
индус непричём -- это федералы готовят нам свинтуса через недельку, сначала зашифруют все носители до которых дотянуться, а потом доступ к ключам грохнут
без предварительного контекста прям сложно осознать заметку. что такое BYPASSNRO и как этот скрипт связан с bitlocker.. догадываюсь, что МС теперь шифрует диск, и в каких-то случаях будет невозможно его восстановить, но логической цепочки своих дальнейших действий построить не смог.
Раньше: ничего не шифровалось, не было проблем.
Сейчас: шифрование включается незаметно и ключ шифрования (по умолчанию) сохраняется только в МС аккаунте.
Поэтому сейчас если а) забыл пароль к МС аккаунту и б) не сохранил ключ шифрования и в) не делаешь бакап диска, то теряешь доступ к данным в случае если вылетаешь из МС аккаунта и а) не помнишь пароль б) не сохранил ключ шифрования и в) не сделал бакап диска
Если пользователь использует онлайн-учётку для входа, то логично, что он не должен забывать пароль или, хотя бы, должен позаботиться о возможности его восстановления. Как он иначе планирует входить-то?
А если не использует онлайн-учетку, тоже весело.
Ключ в tpm, биос слетел, в сервисе микруху перепаяли, биос прошили, tpm заметил изменения, сбросил ключ.
Все, сушим весла. Пользователь, десяток лет не вводивший пароль для входа в комп, вдруг оказывается перед голубым экраном с запросом ключа восстановления.
Без онлайн-учётки шифрование не включается само. Только вручную через управление BitLocker, для чего ещё и потребуется редакция Pro или выше. При этом, пользователю явно пишут "сохрани вот этот ключ прямо сейчас!" (и пока он его не сохранит, защита не включается).
Включается. Я прямо удивился из этой статьи, думал, что это по умолчанию с Windows 10 уже сто лет везде, а оказывается, только на брендовых компьютерах.
Dell and Lenovo systems that ship with the Windows 10 operating system and are equipped with Trusted Platform Module (TPM) capability will have Microsoft BitLocker encryption enabled from the factory. It has been found that once the device is registered to a Active Directory domain - Office 365 Azure AD, Windows 10 automatically encrypts the system drive. You find this once you reboot your computer and are then prompted for the BitLocker key."
На Surface'ах шифрование включается автоматически при установке Windows 10, даже Home.
И да, на Surface Go приходится вводить ключ восстановления каждый раз при смене настроек UEFI (возврат настроек не даёт компьютеру загрузиться снова, какой-то из PCR'ов всегда уникально меняется).
Ну так с онлайн-учёткой или AD. В 10-ке это зависело не от брендовости, а от того, удовлетворяет ли ПК аппаратным требованиям.
Сейчас в 24H2 эти требования ослабили.
Но, всё равно, до входа с онлайн-учёткой шифрование формально хоть и включено, но защиты нет (т.е. ключ шифрования не защищён предохранителем), поэтому нет и риска потерять данные. Этот накопитель можно переставить в другой ПК или загрузиться с Windows PE и вытащить все данные.
Нет, это бэкап ключа автоматически выполняется при наличии онлайн-учётки или AD, а шифрование, привязанное к TPM, активируется на этапе установки. После установки, до первого входа, диск уже зашифрован.
Никогда не видел, чтобы защита включалась без бэкапа. Именно поэтому включение её и привязали к онлайн-учётке, чтобы гарантированно сохранить ключ восстановления в OneDrive.
Может, путаница из-за терминологии: BitLocker разделает включение шифрования и включение защиты. Раздел всегда шифруется во время установки, просто ключ шифрования остаётся незащищённым.
Оно, скорее всего, «приостановлено» до входа в онлайн-аккаунт, точно не помню. Диск шифруется непосредственно во время установки ОС, но если не входить в онлайн-аккаунт, мастер-ключ (volume key) хранится в открытом виде на самом диске, не защищённый паролем или TPM-данными.
Но все данные на диске зашифрованы VLK.
А как только входишь в аккаунт, шифрование включается моментально, без перешифровки данных. Это на Home-версии, на Pro оно, если память не изменяет опять же, включено полностью автоматически с самого начала (в Home-версии Windows 10 нет привычного "Bitlocker", там "Шифрование диска" с одной кнопкой и без настроек — технически всё то же самое, но другой продукт и другой интерфейс).
Ну, для пользователя это практически всё равно, что отсутствие шифрования. Риска потери данных нет.
Единственное неудобство, с разделом в таком состоянии могут не работать всякие старые акронисы и линуксовый dislocker (когда я его смотрел в последний раз, он не умел).
На Windows 11 G и одном подопытном ноуте вчера столкнулся со странной фигней. Скачивал софт для обновления всего от Dell - ругался что шифрование диска в процессе и обновить не могу. Удивился, открыл GUI - написано не зашифровано. Открыл manage-bde - написано зашифровано 86.4% и все тут. Счетчик стоит как вкопанный. Пришлось расшифровать, зашифровать снова (тогда стало 100%, но bde not active) и тогда уже обновился биос. Непонятно что за фигня.
Включается. Год назад устанавливал систему шифрование диска включилось. Отключал потом его.
Тут не все так очевидно.
Вы ставите винду, все шифруется, ключ сохраняется в учетку. Уведомление о необходимости сохранить ключ не всегда всплывает (всегда всплывает только при ручном шифровании) и даже при всплытии лишь мягко напоминает о необходимости сохранить ключ (а не прямо говорит - я все шифранул, фиг тебе а не данные, если не запишешь ключ).
Дальше при запуске виндов Вы каждый раз пароль не вводите, поэтому достаточно легко его забыть, его же годами может не запрашивать. Особенно если продуктами МС с онлайн активацией Вы не пользуетесь.
Кроме того, и это прям очень сильно не очевидно, что для доступу к данным на своем "оффлайн" диске от самсунга (допустим) внезапно становится необходимо помнить пароль от какой-то "онлайн" учетки МС.
К тому же прошлый опыт говорит о том, что даже если забыл пароль для входа в винды, то доступ к диску не теряешь.
Короче - для рядового пользователя это реальная подстава.
Уведомление о необходимости сохранить ключ не всегда всплывает
Если мы говорим про автоматическое шифрование, ключ автоматически сохраняется в OneDrive. Никаких уведомлений не будет.
Если мы говорим про ручное включение BitLocker (Pro и выше), там не просто уведомление, а само шифрование не начинается, пока ключ не будет сохранён (причём, его предусмотрительно не дадут сохранить на шифруемом накопителе).
Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль. Но если пользователь добрался до консоли, он, очевидно, понимает, что делает.
Дальше при запуске виндов Вы каждый раз пароль не вводите
От учётной записи? По умолчанию как раз вводите каждый раз. Опять же, если вы умудрились включить автологин (для чего в современных виндах зачастую нужно лезть в реестр), вы явно понимаете, что вы делаете.
И в линуксах пароль запрашивается при каждом логине, если только при установке вы явно не включили опцию "автовход" в инсталляторе.
От учётной записи? По умолчанию как раз вводите каждый раз.
Я, вот, тоже не вспомню :P
Я аутентифицируюсь по отпечатку пальца или лицу. Знаю PIN от Windows Hello, но от учётки пароль вряд ли вспомню.
От учётной записи?
Учетная запись виндов != учетная запись МС аккаунта.
если вы умудрились включить автологин (для чего в современных виндах нужно лезть в реестр),
Обойти эту защиту от дурака можно только, если управлять BitLocker через консоль
Возможно для каких-то сценариев Вы и правы.
С пару месяцев назад на новый ноут ставили 11 винду (проху), ставили без входа в учетку, диск шифранулся сразу, в учетку потом уже входили после установки. С тех пор - диск зашифрован, в учетку МС ни разу не входили больше, в реестр не лезли, ключ созранили на шифруемом накопителе.
А знаете в чем еще прикол? В шифровании второго диска с авторазблоком. Данные для его разблока в учетку МС не сохраняются, сохраняются только в реестр виндов. То есть если основная винда так или иначе потеряна, то даже доступ в МС аккаунт не поможет восстановить к нему доступ.
А теперь представьте сценарий, который неоднократно уже писали выше: винда установлена не самостоятельно, а от магазина/завода. Ни каких OneDrive там нет, а вход настроен по пин-коду (это не тоже самое, что пароль от учетки), либо вообще без пароля. И вот, с очередным обновлением у пользователя все молча шифруется и при апгрейде системы вдруг выясняется, что данные утеряны безвозвратно
Раньше и на мобилках не было шифрования и залоченного загрузчика. И проблемы были. В любой подворотни был большой шанс получить в тыкву и пролюбить мобилку.
Сейчас же, отжимать смарты почти бесполезно. Да и даже если нашел, проще вернуть, ибо могут приехать и спросить с тебя.
Да, раньше, когда 99 процентов ПК были десктопы, реально никто не парился. Я плевался с того что надо зачем то пароль вводить при входе в Винду 8, ведь до этого на 7ке и хрюшке, заходил так.
Но вот только недавно, когда появился мелкий и лёгкий ноут, я понял, что сканер пальца и шифрование это действительно полезно.
А если домашним компьютером пользуются два пользователя (например, муж и жена)?
Недавно пользователь Reddit поделился такой историей. Он отметил, что Microsoft теперь автоматически включает BitLocker во время регистрации при входе в учётную запись. При этом компания не выдаёт никаких предупреждений. В итоге пользователи лишаются доступа к аккаунтам, а, значит — и всех данных.
В оригинале: "Microsoft now automatically enables BitLocker during onboarding when signing into a Microsoft Account. Lose access to your MS account = lose your data forever. "
Гугл транслейт?
Смысл в исходнике мягко говоря другой. Нигде ничего не теряется от шифрования самого по себе "из-за включения шифрования".
Речь о том, что если диск шифруется по умолчанию и по умолчанию ключи сохраняются только в мс аккаунте, и если потом теряешь доступ к мс аккаунту (не сделав бакап ключа или данных или доступа в мс аккаунт), то теряется и доступ к диску.
Да, всё равно проблема, т.к. не думаешь что твои данные зависят становятся зависимы от пароля, но все же исходный смысл другой.
Если на диске стоит вторая ос, она станет неработоспособной.
Вообще, Майкрософт жжег всегда, а в последнее время жжёт не по детски. Например, предоставляю доступ ссылкой к папке на OneDrive. По ссылке человек переходил и можно было скачать папку целиком. Сейчас уже нет. Надо по одному файлу щёлкать и так скачивать. Можно залогиниться и тогда будет доступна скачивание папки по одному клику.
Или ситуация с remote desktop app. Всегда ей пользовался так как мне лично удобно и подходит под мои задачи. Теперь в конце мая программу удалят из магазина. Взамен windows app. Она потребовала аккаунт Майкрософт. Мой акк ей не нравится так как он не рабочий и не учебный. Что за дичь! Воспользовался copilot чтобы написать гневное письмо:))
Воспользовался copilot чтобы написать гневное письмо:))
Видимо именно для этого этот самый копилот и был добавлен в систему принудительно. :)
Если на диске стоит вторая ос, она станет неработоспособной.
BitLocker оперирует на уровне разделов, а не накопителей. Никто не мешает иметь на одном разделе Linux, а на другом зашифрованную Windows.
Единственное, что может испортить вторая ОС - это авторасшифровку раздела с Windows (потому что Microsoft не принимает во внимание сценарий, при котором перед загрузчиком Windows находится ещё один загрузчик, из-за чего не сойдутся значения PCR у TPM). Но в современные дистрибутивы Linux уже завезли костыли для этого (reboot-for-bitlocker в systemd-boot, который при выборе загрузки Windows не грузит Windows сразу, а перезагружает машину и грузит Windows напрямую, уже в обход линуксового загрузчика).
Я года два назад с этим возился и подробностей не помню. Вроде, сначала расшифровывал диск, потом делал раздел под линукс, ставил Линукс, затем зашифровывал раздел с виндой. И что-то ломалось. У меня глючит ноут в дуалбуте (нет звука после перезагрузки) поэтому бросил это дело.
Ого, я что-то пропустил и Bitlocker теперь доступен и в Home редакции винды? Вот это отличная новость, раньше только из-за него апгрейдил предустановленную Home на Pro на всех ноутах.
Ещё раз перепроверил свою память: Device Encryption есть в Windows 10 Home, включён автоматически после установки, диск на современных компьютерах зашифрован до первого входа.
Вроде бы, ничего с Windows 10 образца 2019 года не менялось.
О чём эта новость — непонятно.
When you first sign in or set up a device with a Microsoft account, or work or school account, Device Encryption is turned on and a recovery key is attached to that account. If you're using a local account, Device Encryption isn't turned on automatically.
Unlike BitLocker Drive Encryption, which is available on Windows Pro, Enterprise, or Education editions, Device Encryption is available on a wider range of devices, including those running Windows Home.
Сэкономлю всем время. Новость заключается в том, что теперь для автоматического включения шифрования не требуются особые условия:
In Windows 11 version 24H2, Microsoft is reducing the hardware requirements for automatic device encryption, opening it up to many more devices — including ones running the Home version of Windows 11. Device encryption no longer requires Hardware Security Test Interface (HSTI) or Modern Standby, and encryption will also be enabled even if untrusted direct memory access (DMA) buses / interfaces are detected.
Надо гуглить, первый раз слышу про то, что есть Device Encryption, отличающийся от BitLocker Drive Encryption (и в чём, собственно, их отличие). Я, конечно, очень давно уже не интересовался, но раньше на Home редакции надо было или TrueCrypt->VeraCrypt ставить, или обновлять до Pro, чтобы получить шифрование...
P.S. Судя по результатам поверхностного гугления, Device Encryption позволяет использовать только TPM (т.е. никаких ключевых файлов и ПИНов) и только с учёткой MS. Ну т.е. вроде и шифрование, но нет, спасибо... для полноценного Bitlocker всё равно нужна Pro-редакция, а заголовок новости вводит в заблуждение, даже MS это недошифрование Bitlocker'ом не называет.
В итоге пользователи лишаются доступа к аккаунтам, а, значит — и всех данных.
Я что-то пропустил, в какой момент перестало быть зашкварным хранить "все данные" на диске Ц?
BitLocker, очевидно, не влияет на скорость и производительность диска (вот драйверы скорее всего могут влиять - например устанавливая неоптимальный режим работы диска). BitLocker добавляет некоторую "ренту" - тратит системные ресурсы на расшифроку (и шифрование) тех данных, которые приходят с диска (и уходят на диск). Для современных систем это обычно менее 1% от вычислительных ресурсов, что обычно незаметно. (Для высоконагруженных серверных систем это может иметь значение - но такие диски никто обычно и не шифрует).
В тестах SSD вида «копируем набор больших файлов» под Windows я ни разу не видел скоростей выше 4 ГБ/С, даже на самых современных NVMe-дисках со скоростью линейной записи в 12 ГБ/с.
Microsoft для игр сделала DirectStorage, который исключает Bitlocker и минифильтры — полагаю, что стек в Windows очень тормознутый, раз приходится делать подобные технологии.
https://learn.microsoft.com/en-us/windows-hardware/drivers/ifs/bypassio
Так...
Windows 7 - rulez
Windows 8 - suxx
Windows 10 - rulez
Windows 11 - suxx
Windows 12 - ждем!!!
https://habr.com/ru/companies/jugru/articles/581592/
"Значит ли это, что Windows 11 предначертано остаться в истории «неудачной»? Мы воздержимся от комментариев"
8.1 была нормальная
Vista после сервиспаков работала отлично
7 на выходе работала далеко не идеально, на ноуте (где виста sp2 работала отлично) работала ужасно с графикой амд и с wifi, проблемы ушли только с SP1, хотя драйверы не менялись.
На десятку на старте тоже все плевались.
Вообще-то, больше на параболу похоже. С пиком на XP.
12 тоже будет плохой из-за Проводника, который не меняется два мажорных релиза и для меня был главным недостатком Висты-Семёрки. А судя по количество альтернативных проводников для 11, не я один от него страдаю и ситуация аналогична отсутствию кнопки пуск в 8.
Никогда не понимал зачем нужен такой битлок по умолчанию с настройкой внутренних ключей ))) то есть если твой ноутбук украдут , похитителю досиаточки нажать на кнопку включить питание и вот все твои шифрованные данные у него )))
Тоже самое например представить с обычным ПК , господа майоры придут к тебе и что ты думаешь они будут выворачивать женский диск где как раз сработает защита? ) конечно они возьмут весь ПК, по приезду в офис достаточно нажать кнопку питания и все твои шифрованные данные раскрыты )))
И третий момент чтобы изменить поведение по умолчанию , сделать нормально например пароль на уровне загрузки, нужно править или реестр или политику виндовс.
В общем это самая тупая вещь на мой взгляд и как вы понимаете 99.9% людей попадут под 1 и 2 мой абзац
К тому же при сбое файловой системы (или бэдах на диске) не отделаешься потерей нескольких файлов, а теряешь контент всего диска сразу.
Никогда не понимал зачем нужен такой битлок по умолчанию с настройкой внутренних ключей ))) то есть если твой ноутбук украдут , похитителю досиаточки нажать на кнопку включить питание и вот все твои шифрованные данные у него )))
Что за ерунда? А как он пройдёт экран логина по-вашему?
BitLocker, в первую очередь, защищает от оффлайн атак. От банального "я вытащу накопитель, вставлю его в другую машину и прочитаю данные". От несанкционированного входа в "родную" Windows защищает экран логина.
Именно поэтому в конфигурации по умолчанию он настроен так, чтобы защита обеспечивалась максимально прозрачно.
сделать нормально например пароль на уровне загрузки, нужно править или реестр или политику виндовс.
Не забывайте, что в первую очередь Windows разрабатывается для корпоратов, от которых и поступает львиная доля прибыли (именно отсюда, к слову, растёт та самая обратная совместимость, которой славится Windows - не дай бог её сломать, взвоет бизнес). А в корпоративной среде на машине зачастую работает не один пользователь. Вам придётся каждому пользователю сообщить общий пароль. Пользователям придётся вводить два пароля (один от битлокера и второй от учётной записи, ведь никто не захочет, чтобы один пользователь шарился по файлам другого). Наконец, что вы будете делать, когда пользователь уволен и вам нужно аннулировать его доступ? Будете пароль от битлокера менять и заставлять всех его заучивать? Не смешите.
При этом, одиноким "админам локалхоста" никто не мешает с помощью политик и реестра превратить битлокер в средство авторизации (даже я, например, так и сделал). Правда, встаёт вопрос, что вы будете делать, например, когда вашей жене или ребёнкуу понадобится доступ к ПК. Пускать в свою учётку? Ну, такое (я бы не рискнул). Вот тут-то вы и придёте к всё той же схеме, когда для членов семьи создаются отдельные учётки и за авторизацию отвечает Windows, а BitLocker работает тихонько и не мешает им.
Вы походу плохо понимаете где хранятся ключи (в каком чипе) по умолчанию , и в какой момент происходит дешифр. Пароль Логина Виндовс происходит уже на расшифре и вообще никак не связан с битлоком, (только хранить бюкап ключ в облаке).
Перечитайте, пожалуйста, ветку. Где хранятся ключи абсолютно не важно в рамках обсуждаемого вопроса.
Вопрос, на который я отвечал, был, если по-простому: "когда битлокер настроен на авторазблокировку (т.е. используется лишь TPM в качестве предохранителя), что помешает вору, укравшему машину, получить расшифрованные данные?"
Теперь вспоминаем последовательность: сначала происходит автораззблокировка BitLocker, затем наш вор сталкивается с экраном логина Windows. На этом он и обломается. В систему его не пустит. Файлы он не получит. А если он захочет обойти логин в Windows (например, загрузившись с другого накопителя), то авторазблокировка не произойдёт - она срабатывает лишь при штатной загрузке.
Про атаку, которая позволяет при включенной авторазблокировке вытащить ключ, я знаю (это к вопросу о том, что я ничего не знаю про BitLocker). Но эту лазейку можно самостоятельно закрыть уже сейчас, обновив загрузчик и удалив старый ключ Microsoft из доверенных Secure Boot.
Такс, ясно, понятно. На Windows 11 и 10-ки пока не переходим.
До сих пор кста не понимаю, нахера вообще нужна была Win11.
Бредовая статья. Если у тебя не hdd, то снижения скорости работы из-за шифрования ты не заметишь. Сбоев системы из-за шифрования я тоже за годы не видел. Слетела система - переустановил и всё. А для данных, есть второй раздел и настроенные бэкапы нужных файлов с диска С: . Эппл давным давно, например, по умолчанию шифрует диски и айфоны (данные), но никто что-то не жалуется.
А помните, были такие вирусы-шифровальщики: сначала молча шифрует, а потом Заплатите 10 биткоинов или останетесь без "Моих документов"
Я как-то столкнулся с тем, что загрузил линукс с флешки, и после этого винда перестала грузиться, прося по-китайски ввести ключ шифрования.
К счастью, смог с телефона зайти на Майкрософт, нашёл там ключ. Но так ведь у кого угодно можно авторасшифровку сломать флешкой, если биос не залочен. А я специально флешку заводил, чтобы грузиться в свою настроенную систему с любого компа в любом месте.
Кажется, достаточно даже просто выбрать загрузку с другого устройства, не вставляя новое загрузочное устройство. Но это не точно. Тоже сталкивался, в общем. Чтобы грузиться в настроенную винду можно попробовать загрузку с VHD (rufus + windows to go). Как то на ноуте стоял Dual Boot Windows 8.1 + Windows 10 - windows10 грузилась из vhd :)).
Ох, как же это знакомо!
Самая подлая штука, это тихое, без каких-либо уведомлений, включение шифрования даже для систем, где только локальные учетки. В результате, о том что носитель зашифрован, пользователь узнает только когда ему понадобится спасти данные с поврежденного носителя, поменять материнку и всяком подобном. В смысле, если нет учетки MS, где можно подглядеть ключик, то это попадалово.
...про потери производительности я и не заикаюсь, "проблемы индейцев шерифа не интересуют".
Странно. Может, я чего-то не понял? Написано, что в версии 24H2 Bitlocker шифрует данные "по умолчанию". Полез у себя смотреть - Windows11Pro 24H2, C: Bitlocker off...
Не понимаю из-за чего столько шума, если заходите в аккаунт все ваши битлокер ключи копируются в облако и можно диск открыть даже из под Линукс
Ну разве что шутка о "мой компьютер" совсем не шутка
Как будто у Гугла и Вала шифрование на телефонах и ноутах не было включено уже много лет назад
Там оно было включено сразу при покупке. И при этом я не помню случаев, когда можно было вытащить флешку с ОС из телефона и воткнуть куда-то, чтобы вытащить данные, все доступы уже дохрена лет — только через ОС, ещё до шифрования, в отличие от.
Тут — ВНЕЗАПНО включили шифрование там, где его не было до обновления. Благодетели, блин...
К шифрованию, включенному по-умолчанию после установки, претензий не имею. Претензии — к принудительному включению там, где его не просили.
Так суть шифрования как раз в том чтобы нельзя было прочитать (украсть) данные вытащив накопитель.
Но вообще именно флешку можно что из компа, что из телефона вытащить и прочитать данные. Если эта флешка выбрана в настройках просто для хранения данных.
>Внезапно и раньше не было
Вообще в топовых виндовых устройствах (например, Surface) было шифрование уже 10+ лет включено с завода, щас просто наконец-то стали вообще всем автоматом включать. Мешаться оно может только на каких-то домашних/корпоративных серверах, и вот на домашних серверах действительно проблемой может стать, а у Windows Server не точно такие же обновления (так что там скорее всего автоматическое шифрование не включилось). Ещё на домашних древних и слабых компах может стать проблемой, но на таких даже просто браузер тормозит - так что там уже нечего терять в перфомансе.
>Где его не было до обновления
Просто у винды поддержка сильно дольше, чем у андроида и даже вала. Вот и приносят новшества обновлениями за бесплатно, а не за покупку целиком нового железа. Возможно более красивым шагом было бы включить шифрование вместе с выходом Windows 12, но опять же благодаря традиционной для Microsoft долгой поддержке Windows 11 - люди обновятся до Windows 12 только лет через 5-10 после её выхода
Но вообще именно флешку можно что из компа, что из телефона вытащить и прочитать данные. Если эта флешка выбрана в настройках просто для хранения данных.
Речь всё ж была про ту флеш-память, на которой в том числе и ОС. То есть то, что изначально впаяно. То есть, не про подключаемый носитель только данных. Его всё ж по-умолчанию не шифруют, хоть и предлагают иногда.
в топовых виндовых устройствах
Именно что в топовых. И именно что изначально.
Проблема не в том, что шифрование есть изначально, а в том, что его включили принудительно там, где оно, скорее всего, нах не сдалось и в случае чего создаст проблем больше, чем решит.
Так суть шифрования как раз в том чтобы нельзя было прочитать (украсть) данные вытащив накопитель.
Перекрытие рисков конфиденциальности (кража носителя) отлично ломает доступность (получение данных при проблемах с железом).
Средне-домашний комп стоит себе дома, никуда не таскается. Накопитель из него вытаскивается, чтобы воткнуться в следующую версию железа. Из данных там — фоточки, давно выложенные куда-нибудь в вк, какие-то документы, которые лежат ещё с позапрошлого диска (не говоря уже о компах) и игры. Конфиденциальность тут не особо требуется, а вот доступность нужна (как минимум, фоточки лучшего качества, чем в вк). Зачастую комп до сих пор стационарный, по разным причинам, от геймеров до: "ноуты какие-то хлипкие" © :-)
Картина примерно такая у 2/3 знакомых мне домашних пользователей. Ещё 1/4 — таки чуть-чуть понимают что почём, пользуются облачными сервисами не только через браузер, делают бекапы и т.п. У них таки обычно ноут, им шифрование может быть полезно, но только не внезапное. Остальные — айтишники, если что сломалось, чинят сами. Так вот, те, которые не it - вряд ли будут рады ВНЕЗАПНОМУ включению шифрования, которого до этого не было. Особенно, если узнают про это не во время или после обновления (при наличии детей, желающих поиграть - могут даже не увидеть, что там сообщалось, если сами не смахнут не читая) или моего случайного визита в гости спустя полгода, а когда комп таки сдохнет.
За последние 10 лет сменилось 3 вида накопителей: hdd=>sata ssd=>m2 (nvme) ssd. Так что из компа в комп оно уже не так уж просто таскается, а обычно обновляется вместе с остальным железом.
А данные даже домохозяйки должны в облаке хранить или хотя бы пароль помнить от учетки (с помощью которого они они смогут диск и в другом компе прочитать) - иначе нечего их вообще в интернет пускать, а без доступа к интернету обновление и не установится
Но вообще ладно, хотелось бы чтобы у мирного обновления это всё таки активировалось через галочку
Наконец-то! Рад, что они решились на такой шаг, который подпалит порядочное количество луддитских задниц, но это давно пора было сделать.
Пользователи Windows 11 теряют данные из-за принудительного шифрования BitLocker от Microsoft