Подстава от Microsoft.
Пользователи Windows 11 24H2 столкнулись с неожиданной проблемой после установки свежего обновления системы. Microsoft автоматически активировала шифрование диска BitLocker, что может привести к потере данных и снижению производительности SSD.
Ситуацию усугубил тот факт, что при регистрации и входе в учетную запись BitLocker активируется на всех версиях Windows 11 без предупреждений – даже на облегченной «Домашней» версии ОС.
Функция отключается довольно просто – рассказываем, как это сделать.
BitLocker – это функция безопасности Windows, которая обеспечивает шифрование диска для защиты данных от несанкционированного доступа. Суть ее работы проста: когда пользователь включает компьютер и заходит в свою учетную запись, данные расшифровываются.
Задумка хорошая, но в таком способе защиты есть и существенные недостатки. Технология привязывает ключ восстановления (для отмены шифрования) к учетной записи пользователя. Потеряв этот ключ или доступ к аккаунту, пользователь потеряет доступ и к данным с диска. В таком случае поможет лишь полное форматирование.
Более того, тесты, проведенные Tom’s Hardware, показали, что использование BitLocker снижает производительность SSD до 45% при интенсивных операциях чтения и записи.
Как отключить BitLocker
В большинстве случаев новая фича безопасности Windows попросту лишняя для обычного пользователя. Чтобы отключить BitLocker, нужно перейти в «Параметры» → «Конфиденциальность и защита» → «Безопасность Windows» → «Безопасность устройства».
Далее в настройках находим пункт «Шифрование данных» и кликаем на «Управление шифрованием диска BitLocker».
В открывшемся окне настроек BitLocker выключаем шифрование. После принятия настроек возле вашего диска будет указан актуальный статус BitLocker.
Технология не уникальна для последней версии Windows. Она также включена в состав (пока актуальной) Windows 10 Pro и предыдущих версий Windows 11.
Обновление 24H2 для Windows 11 вошло в последнюю фазу развертывания и автоматически загружается на ПК с устаревшими версиями системы. Отменить установку нельзя, ее можно лишь отсрочить.
* * *
Как установить Windows 11 на Steam Deck
7 умных гаджетов для котиков: полезные и для фана
Все про железо, софт, консоли и людей, с этим связанных
Шифрование диска BitLocker – особая технология защиты данных в операционной системе Microsoft Windows. БитЛокер обеспечивает информационную безопасность через шифрование томов, что позволяет снизить риск похищения и раскрытия персональных данных. Шифрование дисков BitLocker может иметь негативные последствия, поэтому при необходимости его можно отключить.
В этом гайде подробно разберем шифрование BitLocker в Windows 10 и 11. Читайте дальше, чтобы узнать, как отключить БитЛокер и разблокировать диск.
Шифрование BitLocker недоступно в домашней версии Windows 10.
Что такое BitLocker для Windows 10/11
Кратко опишем, зачем нужен BitLocker в системах Windows:
- Защищает данные через полное шифрование.
- Используется для устранения несанкционированного доступа к информации на потерянных или украденных устройствах.
Не смотря на очевидные достоинства, шифрование BitLocker замедляет SSD и жесткие диски.
Как узнать, включен ли BitLocker
Ниже представлена инструкция для проверки шифрования через BitLocker Windows:
- Введите в строку поиска «cmd».
- Откройте приложение «Командная строка» от имени администратора с помощью правой кнопки мыши.
- Введите в консоль команду «Manage-bde –status» и дождитесь загрузки данных.
Если в пункте «Состояние преобразования» [Conversion Status] есть запись «Полностью расшифровано», а в графе «Метод шифрования» [Encryption Method] написано «Нет», то BitLocker отключен.
Нужно ли отключать шифрование диска BitLocker
Бесплатное шифрование диска BitLocker по умолчанию встроено в системы Windows 10/11, поэтому разберем, необходима ли активация этой защиты:
- Если случится так, что ПК будет украден или утерян, то злоумышленники не смогут завладеть данными, что хранятся на дисках.
- Когда пользователь включает компьютер и заходит в свою учетную запись, все данные расшифровываются, поэтому файлы будут защиты до принудительной блокировки ПК.
- Шифрование дисков может замедлить работу системы.
- Если ключ восстановления BitLocker [BitLocker Recovery Key] будет утерян, то зашифрованные данные не получится восстановить, а диск придется форматировать.
Таким образом БитЛокер рекомендуется использовать в том случае, когда есть риск потерять конфиденциальные данные или очень ценную информацию, а если компьютер используется только для видеоигр и воспроизведения медиафайлов, то активировать шифрование не обязательно.
Как отключить шифрование диска BitLocker
В следующих пунктах покажем, как выключить БитЛокер в Windows 10 и 11.
Отключить БитЛокер можно через консоль с помощью команды «Manage-bde -off диск» – где вместо слова «диск» необходимо вписать букву нужного тома.
На Windows 10
Следующие действия помогут отключить BitLocker в Windows 10:
- Войдите в систему с правами администратора.
- Откройте панель управления, нажмите на раздел «Система и безопасность», после чего выберете пункт «Шифрование устройства» или «Шифрование диска BitLocker».
- Около иконки с нужным томом нажмите «Отключить BitLocker».
На Windows 11
Кратко поясним, как отключить BitLocker в Windows 11:
- Запустите Windows с правами администратора.
- Откройте через параметры системы раздел «Конфиденциальность и безопасность» и выберете пункт «Шифрование устройства» или «Шифрование диска BitLocker».
- Около нужного диска нажмите кнопку «Отключить BitLocker».
Как разблокировать диск с BitLocker
Системные диски с защитой БитЛокер можно разблокировать – расскажем об этом в следующих пунктах.
Существует два основных способа для разблокировки диска с защитой БитЛокер – с помощью пароля и через ключ восстановления.
На Windows 10
Перечислим действия, которые позволят разблокировать диск с БитЛокер в Windows 10:
- Откройте панель управления компьютера, после чего перейдите в раздел «Система и безопасность» и нажмите на пункт «Шифрование диска BitLocker».
- В списке выберите зашифрованный том и нажмите «Разблокировать диск».
- Введите правильный пароль или подключите идентификационную карту, а если это невозможно, то используйте ключ восстановления через подраздел «Дополнительные параметры».
На Windows 11
Перечислим действия, которые позволят разблокировать диск с БитЛокер в Windows 11:
- Откройте параметры компьютера, перейдите в раздел «Конфиденциальность и безопасность», выберете пункт «Шифрование».
- Выберите нужный зашифрованный том и нажмите «Разблокировать диск».
- Введите требуемый пароль или ключ восстановления БитЛокер.
Как разблокировать диск без ключа
Бывают ситуации, когда ключ восстановления утерян и стоит вопрос, как разблокировать BitLocker. БитЛокер – это продукт Microsoft для обеспечения безопасности данных, поэтому сотрудники компании и служба поддержки не смогут предоставить новый индивидуальный ключ восстановления. Таким образом разблокировать диск без ключа невозможно.
Как включить шифрование диска BitLocker
Далее приведем инструкции, которые позволят активировать шифрование БитЛокер в Windows.
Обязательно сохраните ключ восстановления БитЛокер в удобном месте (распечатанный лист, текстовый файл или на электронной почте).
На Windows 10
Способ включить BitLocker в Windows 10:
- Войдите в систему под учетной записью администратора.
- Вбейте в строку поиска «BitLocker», чтобы открыть «Шифрование диска BitLocker», или откройте этот раздел через панель управления в пункте «Система и безопасность».
- Выберите из списка нужный диск операционной системы, после чего нажмите на кнопку «Включить BitLocker».
На Windows 11
Способ включить BitLocker в Windows 11:
- Запустите Windows с профиля администратора.
- Откройте через «Пуск» меню «Параметры».
- Выберите раздел «Конфиденциальность и безопасность».
- Откройте пункт «Шифрование устройства», а если он отсутствует, то – «Шифрование диска BitLocker».
- Для нужного диска выберете «Включить BitLocker».
Надеемся, что подготовленный материал помог узнать, что такое БитЛокер Windows, а также отключить его. Дополнительные вопросы можно оставить в комментариях.
Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров16K
В этой статье я покажу, как можно обойти шифрование BitLocker в Windows 11 (версия 24H2) и извлечь из памяти ключи шифрования тома (full volume encryption key, FVEK) при помощи моего инструмента Memory-Dump-UEFI.
Краткая справка
Если у нападающего есть физический доступ к устройству, то он потенциально может получить доступ, резко перезапустив компьютер и выполнив дамп ОЗУ из недавно выполнявшихся экземпляров Windows. Дамп памяти можно проанализировать, чтобы найти конфиденциальную информацию, например, ключи FVEK. Эта методика не работает гарантированно, потому что после отключения питания содержимое ОЗУ быстро деградирует.
Существует множество методик замедления этой деградации памяти, например, физическое охлаждение ОЗУ или использование внешних источников питания с целью поддержания подачи энергии. Для своего демо я закоротил контакты сброса на материнской плате устройства, что заставляет систему резко отключаться без потери питания.
Ещё одна потенциальная проблема заключается в secure boot — стандарте безопасности, который ограничивает то, что может выполняться при запуске системы. Эта защита имеет собственные ограничения, и ещё уже обходили при помощи shim и множества других способов, которые для нашего демо несущественны.
Этап 1: создаём загрузочное USB-устройство
Для этого этапа нам понадобится USB-накопитель, размер которого больше, чем объём ОЗУ целевой системы. Для упрощения этого этапа я написал скрипт flashimage.sh.
Воспользуйтесь инструкциями по созданию и применению загружаемого приложения.
Этап 2: резкий перезапуск целевой системы
Этот этап можно реализовать множеством разных способов; наша основная цель — минимизировать временной промежуток, в течение которого питание компьютера полностью отключено. По моему опыту, максимального успеха можно добиться, перезагружая систему, когда Windows ещё загружается, но не достигла экрана логина; по крайней мере, это справедливо в случае поиска ключей FVEK.
Этап 3: загружаемся с USB-устройства
Незамедлительно выполняем запуск Memory-Dump-UEFI с USB-устройства. Мы окажемся в оболочке UEFI, в которой можно выполнить app.efi. Подробнее о том, как это сделать, можно прочитать в файле README приложения. Объём требуемого времени зависит от объёма ОЗУ, подвергающегося дампу, и скорости USB-устройства. Я рекомендую на этом этапе отключить все другие USB-устройства, чтобы программа случайно не выполнила запись не на тот накопитель.
На скриншоте показано, как должно выглядеть успешное попадание в оболочку. Дамп памяти начнёт генерировать файлы дампа, пока у него не закончится память. После завершения можно спокойно отключить компьютер обычным образом.
Этап 4: анализ дампов
Подготовка
Вероятно, приложение создаст множество дампов. Это вызвано ограничением в 4 ГБ на размер файла, накладываемым файловой системой FAT32. Чтобы соответствовать спецификации UEFI, необходимо использовать эту файловую систему. Для удобства я добавил в папку инструментов программу concatDumps, в хронологическом порядке соединяющую множество дампов в один. Дамп будет состоять из сырых данных, находившихся в памяти на момент его создания, поэтому для удобства чтения я рекомендую воспользоваться инструментом наподобие xxd. В помощь поиску по дампам я написал программу searchMem, позволяющую искать в дампе шестнадцатеричные паттерны. Она находит смещение вхождений таких шестнадцатеричных паттернов, к которым можно затем перейти командой xxd -s <offset> <dump>.
Pool Tag
Pool tag — это 4-символьные идентификаторы, указывающие, где находятся пулы памяти ядра Windows. Пулы распределяются ядром Windows, это отличное место для поиска конфиденциальной информации. Существует большое множество таких pool tag; я составил текстовый файл pooltag.txt, содержащий список всех pool tag и подробности об их предназначении.
Прежде чем двигаться дальше, хотелось бы выразить благодарность Microsoft за то, что она чётко отметила, где в памяти находятся криптографические ключи. В Windows 7 для восстановления ключа достаточно было найти pool tag FVEc, соответствующий криптографическим распределениям fvevol.sys. В Windows 8.1 и 10 ключ можно найти в пуле памяти, маркированном Cngb; он соответствует модулю ksecdd.sys. В процессе моего изучения дампа памяти Windows 11 я не смог найти ключ ни в одном из этих мест, но нашёл его в двух других.
Восстановление ключа FVEK
Первое местоположение ключа FVEK находилось по pool tag dFVE, обозначающему распределение памяти dumpfve.sys, относящегося к фильтру аварийного дампа шифрования тома для шифрования диска Bitlocker. Этот pool tag выделен синим, а ключ FVEK — краснымм. Это было самое простое местоположение ключа из найденных мной; кроме тому, ему предшествует паттерн 0x0480, обозначающий тип используемого шифрования (в моём случае это XTS-AES-128).
Второе место находится под pool tag None, соответствующим вызовам процедуры ExAllocatePool. На этот раз первая половина ключа встречается два раза, а вторая — один раз.
Дальнейшие шаги
Важно отметить, что полученному ключу должно предшествовать обозначение применённого алгоритма. То есть если ключ имеет вид b2cbc06071931b7cc50b59f8789571f4dd815c2008e93c02d5c6cd98c83ef54b, то вам нужно добавить в начало ключа 0x8004 (или обозначение другого алгоритма) в формате little endian:
0480b2cbc06071931b7cc50b59f8789571f4dd815c2008e93c02d5c6cd98c83ef54bДальше нужно сдампить это шестнадцатеричное значение в файл. Это можно сделать так:
echo "0480b2cbc06071931b7cc50b59f8789571f4dd815c2008e93c02d5c6cd98c83ef54b" | xxd -r -p > output.fvek
Я крайне рекомендую использовать набор инструментов dislocker для определения нужного алгоритма/значения и разблокировки диска. Если сделать всё правильно, то можно воспользоваться output.fvek для разблокировки защищённого Bitlocker раздела и доступа к любым данным в томе.
Выводы
Оптимальнее всего разбираться в том, как Microsoft реализовала Bitlocker, выполнив отладку на уровне ядра при помощи windbg. Это достаточно легко сделать при помощи виртуальных машин или кроссоверного кабеля USB 3.0 A/A. Нахождение ключа в первую очередь стало возможным благодаря пошаговому выполнению процесса запуска Windows и наблюдению за действиями Bitlocker. Microsoft предпринимает усилия по удалению ключей при помощи функций наподобие SymCryptSessionDestroy, но им не удаётся уничтожить все ключи, как видно из того, что они присутствуют в куче.
Ссылки
https://tribalchicken.net/recovering-bitlocker-keys-on-windows-8-1-and-10/
https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc
https://github.com/Aorimn/dislocker
https://github.com/microsoft/SymCrypt
https://github.com/libyal/libbde
https://github.com/zodiacon/PoolMonX/blob/master/res/pooltag.txt
https://techcommunity.microsoft.com/blog/askperf/an-introduction-to-pool-tags/372983
Связь
Если у вас возникли какие-то вопросы, то можете связаться со мной по этому адресу:
NoInitRD@gmail.com
Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.
При активации BitLocker перед процедурой шифрования создаётся идентификатор и ключ восстановления — строка из 48-символов, с помощью которой можно разблокировать доступ к зашифрованному тому в случае утере утери пароля или смарт-карты. После того как том будет заблокирован, получить к нему доступ можно будет только подключив к ПК токен и введя его PIN-код или введя обычный пароль либо воспользовавшись ключом восстановления, если токен или пароль были утеряны. Процедура проста и не требует никаких технических навыков.
Кликните дважды по заблокированному разделу, а когда в верхнем правом углу появится приглашение вести пароль, нажмите в окошке «Дополнительные параметры» → «Введите ключ восстановления».
Скопируйте из файла «Ключ восстановления BitLocker» 48-значный ключ, вставьте его в соответствующее поле и, убедившись, что первые восемь символов ID ключа совпадают с первыми восьмью символами идентификатора ключа в файле «Ключ восстановления BitLocker», нажмите «Разблокировать».
Раздел будет разблокирован точно так же, как если бы вы ввели пароль или воспользовались токеном. Если вы зашифровали системный том, на экране ввода пароля нужно будет нажать клавишу ECS и ввести в ключ восстановления.
До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows:
кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать».
В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».
Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker.
А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.
BitLocker is a Windows security program that comes pre-installed on Windows Vista and later Windows versions. It encrypts a drive and you have to input a password to access files therein. One of the major pitfalls of BitLocker is that a drive encrypted in Windows 7 is incompatible with Windows 8.1 and cannot be used. Here is how to turn off BitLocker in Windows 10/8/7.
Switching off BitLocker can circumvent drive encryption problems and allow access to previously locked data. Here are two methods on how to disable BitLocker on Windows 10.
Disable from Control Panel
If you can remember your BitLocker password, you can disable it from the Control Panel. Follow these steps.
- 1. Open the Start menu. In the Cortana search box, enter Manage BitLocker and click Manage BitLocker to open the program.
- 2. On the BitLocker window, the hard drive partitions are displayed with the option to disable or suspend the feature.
Unlock using Command Prompt
It is possible to remove BitLocker encryption in Windows 10 using command prompt. Here are the steps;
- 1. Press Windows key + X and select Command Prompt (Admin) from the menu.
- 2. Once in the Command Prompt window, enter the text manage-bde –off X: and hit Enter to run the command.
- 3. Wait for the process to finish.
Part 2: Disable BitLocker on Windows 8 and 8.1
Are you stuck on how to turn off BitLocker drive encryption on Windows 8/ 8.1? The processes described for Windows 10 are very similar to those for Windows 8.
Disable from Control Panel
Use Windows PowerShell
- 1. From the Start menu, search for power shell or press Windows key + S. Right-click and choose Run as administrator.
- 2. In the Windows PowerShell window, type the following command: Disable-BitLocker –MountPoint “X:” and press Enter to run the command.
- 3. Wait a few minutes for the process to complete.
Part 3: BitLocker Deactivation on Windows 7
You can disable Bitlocker on your Windows 7 drive before moving it to a Windows 8 PC or for any other reason. Follow these steps to disable BitLocker drive encryption service on Window 7 and access a locked drive.
Control Panel Method
- 1. Tap the Start button and select Control Panel from the menu.
- 2. Open the BitLocker Drive Encryption or locate it under System and Security.
- 3. All the hard disk drives will be listed. Choose the one that has BitLocker enabled and select Turn Off Bitlocker.
- 4. Click Decrypt Drive on the pop-up window and wait for the process to finish.
Disable BitLocker Service
- 1. Use the Windows + R shortcut to open the Run window.
- 2. Type in services.msc and click OK to run.
- 3. On the services window, look for BitLocker Drive Encryption Service and double click.
- 4. On the next window, click the drop-down menu and set Startup Type as disabled.
- 5. Click OK and apply the changes and completely remove BitLocker on Windows 7.
Dealing with Lost Windows Password
Now you should be able to turn off BitLocker by using one of mentioned solutions. In terms of password protection, if losing your Windows login password and become unable to access the computer, majority of users will reset their PC or use a recovery disc at this point. However, there is another option. Windows Password Recovery Tool is a remarkable tool used to reset or recover forgotten Windows 10/8/7 password.
Here to check how to remove password from Windows PC.
Free Try Windows Password Recovery Tool
World’s 1st Windows Password Recovery Software to Reset Windows Administrator & User Password.
Free Download
Free Download