Blxck.
⭐️
- Сообщения
- 218
- Реакции
- 667
- Баллы
- 94
Доброго времени суток, в данной статье я расскажу Вам как обезопасить свою основную операционную систему на базе Windows 10 и Windows 11 соответственно.
Введение.
Защитить компьютер с Windows не просто, а очень просто: несколько щелчков мышью — и системный раздел зашифрован BitLocker. Но может случиться так, что взломать этот компьютер будет еще проще: достаточно узнать пароль от твоей учетной записи Microsoft, чтобы разблокировать систему, несмотря на шифрование. Очередной шаг в борьбе щита и меча сделан в Windows 11: здесь используется аппаратный контроль безопасности, а взлом пароля при соблюдении определенных условий будет не только совершенно бесполезным, но и невозможным.
Насколько безопаснее стала Windows 11 в сравнении с «десяткой» и почему? Можно ли обезопасить Windows 10 штатными средствами, не прибегая к VeraCrypt и подобным инструментам? И для чего же, в конце концов, Windows 11 так нужен TPM?
Когда я начал разбираться в том, как именно, а главное — для чего в одиннадцатой версии Windows используются модули TPM, я чуть не сломал голову. Традиционно для Microsoft документация существует, ее много, но написанное в ней далеко не всегда соответствует действительности; ряд утверждений (мы рассмотрим их ниже) вселяет ложную уверенность в безопасности. Помнишь, сколько копий было сломано по поводу системных требований Windows 11? Теперь я готов поверить, что решение ограничить совместимость Windows 11 исключительно системами, оборудованными TPM, было не волей маркетологов, а ультиматумом команды разработчиков: «Или компьютеры без TPM идут лесом, или мы умываем руки!»
Пункт 1. Включаем BitLocker.
Шифрование системного раздела — первый, необходимый, но не всегда достаточный шаг к обеспечению безопасности системы. На безопасность зашифрованных данных может повлиять такая неочевидная на первый взгляд вещь, как способ входа в систему.
Примем за аксиому, что в твоем компьютере установлен и активирован в настройках UEFI BIOS модуль TPM 2.0 или его аналог (Intel Platform Trust Technology или AMD firmware TPM). Чуть позже я расскажу о том, что можно сделать при его отсутствии, но пока рассмотрим работу относительно современных систем.
Но ведь TPM у нас запрещен?

Зашифрованный накопитель
Пункт 2. Для чего нужен ключ восстановления доступа (BitLocker Recovery Key).
Не хотелось бы в этой статье глубоко вдаваться в подробности механизма шифрования BitLocker (о нем можно прочитать, например, здесь). В двух словах: именно ключ восстановления доступа поможет тебе разблокировать накопитель, если модуль TPM по какой‑то причине решит не отдавать системе ключ.
В каких случаях TPM может «зажать» ключ? В принципе, это может произойти после любого обновления прошивки либо BIOS самого компьютера или любого подключенного устройства (кроме USB). Еще при изменении аппаратной конфигурации (установил новую видеокарту), при обновлении Windows или одного из драйверов, участвующих в цепочке загрузки. Если такое событие произойдет, то цепочка загрузки нарушится (не совпадут вычисленные в регистрах PCR контрольные суммы) и TPM не отдаст операционной системе ключ, который нужен для разблокировки диска. Как результат — при загрузке система попросит ввести код восстановления доступа.

Система попросит ввести код восстановления доступа
Поскольку при использовании TPM другого метода разблокировки диска по умолчанию не предусмотрено, ключ восстановления доступа остается единственным способом получить доступ к данным.
Почему же этого не происходит каждый раз, когда ты обновляешь ОС через Windows Update? Дело в том, что система знает об этой особенности BitLocker и на время установки отключает защиту. Ровно то же самое ты можешь проделать вручную, воспользовавшись командой Suspend protection.

Suspend protection
После этого ты можешь спокойно обновить BIOS, заменить видеокарту или обновить прошивку одного из устройств. После перезагрузки система вычислит новую цепочку загрузки, которая будет считаться доверенной, а шифрование автоматически включится.
Пункт 3. Какие есть риски при шифровании BitLocker с использованием TPM.
Шифрование BitLocker достаточно надежно, хотя использующийся 128-битный ключ вызывает некоторые сомнения в контексте потенциальной уязвимости для квантовых компьютеров. Если тебя это беспокоит — включи 256-битное шифрование в настройках групповых политик, как показано на скриншоте. Сделать это необходимо до того, как диск будет зашифрован; настройка не влияет на уже созданные зашифрованные диски.

Включение 256-битного шифрования
Проверить, что получилось, можно командой manage-bde -status.
Еще один связанный с BitLocker риск возникает из‑за того, что модуль TPM выдаст ключ шифрования, а Windows автоматически смонтирует зашифрованный диск в процессе загрузки, если цепочка доверенной загрузки не была нарушена. Таким образом, к моменту, когда Windows запрашивает твой пароль (или идентификацию через Windows Hello), зашифрованный диск уже смонтирован, а ключ шифрования… Он, в отличие от систем с macOS, оборудованных чипом T2, хранится в оперативной памяти в чистом, незащищенном виде. Да, злоумышленник не сможет разблокировать компьютер, не зная пароля от твоей учетной записи (или не воспользовавшись твоими биометрическими данными для входа через Windows Hello), однако существуют способы извлечь ключ шифрования из оперативной памяти. Впрочем, способы эти настолько технически сложные, что используют их крайне редко и только при расследовании громких дел.
info:
Пункт 4. В чем проблема с учетными записями Microsoft?
В Windows 10 предусмотрено несколько типов учетных записей, из которых мы рассмотрим две: локальную учетную запись (Windows account) и учетную запись Microsoft (Microsoft account). По поводу обычных учетных записей все ясно: она безопасна ровно настолько, насколько безопасен (сложен и уникален) придуманный тобой пароль. А вот если используется учетная запись Microsoft, дело принимает куда более интересный оборот.
info:
Подводя итог, проблемы с логином в Windows при использовании учетной записи Microsoft можно сформулировать следующим образом.
Пункт 5. Что изменилось в Windows 11?
В новой версии ОС разработчики героически преодолевают последствия старого, еще времен Windows 8, решения использовать для входа в систему логин и пароль от онлайновой учетной записи. Как можно обезопасить компьютер от входа по паролю от учетной записи Microsoft, который злоумышленник может подсмотреть или извлечь из твоего телефона? Конечно же, запретив использование этого пароля для входа в систему! Впрочем, пока воздержимся от фейспалма, благо разработчики Microsoft решили проблему не настолько прямолинейно.
Итак, в Windows 11 появляется новый тип учетных записей, использующих для авторизации входа в систему Microsoft Account, которым не нужен пароль от онлайновой учетной записи. При использовании таких учеток для входа в систему не требуется (да и невозможно) вводить пароль от учетной записи Microsoft; вместо пароля используется PIN-код или биометрические данные подсистемы Windows Hello (например, видеопоток с сертифицированной инфракрасной стереокамеры или данные датчика отпечатков пальцев). О том, где хранится PIN-код и почему такой способ авторизации заметно безопаснее входа по паролю, расскажу дальше; сейчас же перечислим доступные в Windows 11 для обычного (не доменного) пользователя способы входа в систему.
Пункт 6. В каких случаях в Windows 11 используется вход без пароля?
В Windows 11 поддерживаются способы входа как по паролю, так и без него. Режим входа без пароля используется в новом типе учетных записей и включается по умолчанию как во время установки Windows 11 на новый компьютер, так и при создании новой учетной записи на компьютерах, на которых Windows 11 была установлена в виде обновления Windows 10. В то же время существующие в Windows 10 учетные записи, в которых для входа использовался пароль, остаются в Windows 11 в неизменном виде. Чтобы включить вход без пароля, пользователю необходимо выбрать соответствующую опцию в настройках системы (Sign-in options).

Включение входа без пароля в Windows 11
Также этот способ входа можно активировать через Windows Registry.

Включение входа без пароля в Windows 11 через Windows Registry
Подытожим:
Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не претерпели серьезных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Ожидания не оправдались. По умолчанию (через BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства «два в одном»; однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остается недоступным.
Пункт 8. PIN-код вместо пароля: это действительно безопасней?
Наконец мы добрались до PIN-кодов — того «нового» способа авторизации, который Microsoft предлагает использовать вместо «устаревшего и небезопасного» пароля. Почему — внезапно! — авторизация по паролю стала «устаревшей и небезопасной»? Приведу информацию из статьи Microsoft, в которой и описаны основные различия между подходами.
info:
В этой статье Microsoft высказывает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создает ложное ощущение безопасности. Разберем подробности. Ниже приводится цитата из статьи (Microsoft использует автоматический перевод; я сохранил орфографию оригинала):
ПИН‑код привязан к устройству:
ПИН‑код поддерживается оборудованием:
Если воспринимать информацию буквально, создается ощущение, будто PIN-код — это своеобразная панацея, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причем пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню Miscellaneous и включить настройку, которая может называться, к примеру, Intel Platform Trust Technology (PTT). Сколько пользователей включит эту настройку, а какое количество оставит ее неизменной или просто не узнает о ее существовании?

Intel Platform Trust Technology (PTT)
Если TPM в системе отсутствует или не включен в UEFI BIOS, Windows 11 просто откажется от установки. А вот Windows 10 все равно предложит использовать для входа PIN-код, а Microsoft все так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учетной записи в виде хеша все так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, получится перебрать за считаные секунды).
Пункт 8. Без модуля TPM вход в Windows по PIN-коду небезопасен.
Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM 2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.
Сценарий 1: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 2: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 3: система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 4: система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учетной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.
Очевидно, что только четвертый сценарий соответствует модели безопасности, описанной Microsoft в статье.
Пункт 9. Можно ли использовать вход без пароля в Windows 10?
Можно. Но нужно ли?
В сентябре 2021 года компания анонсировала свое видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учетной записи Microsoft Account, запретив вход в нее по паролю. Такая учетная запись для входа в систему позволяла избавиться от хранения хеша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учетную запись Microsoft из браузера по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нем приложением Microsoft Authenticator. С учетом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность нововведения представляется несколько сомнительной. Подробнее об этом можно прочитать здесь. Новшество не получило заметного распространения из‑за неочевидных преимуществ и существенного неудобства использования.

Учетная запись без пароля
Пункт 10. Как Windows использует TPM при авторизации входа в систему через PIN.
В документации Microsoft описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учетной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учетной записи пользователя.
Вместо того чтобы использовать TPM для хранения все большего количества данных, в Microsoft попытались обойти проблему, предоставив способ входа в учетную запись по PIN-коду и без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учетной записи: теперь защищенные DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведет к тому, что модуль TPM не отдаст нужный ключ и защищенные данные расшифровать не удастся.
В итоге в оборудованных TPM системах с Windows 10 и Windows 11 невозможно взломать PIN-код, а в Windows 11 с новым типом учетных записей с авторизацией без пароля его невозможно подобрать или использовать пароль от Microsoft Account, извлеченный из другого компьютера или учетной записи.
Выводы.
Перечитав статью, я понял, что количество информации и многочисленные отсылки, «но», «если» и «да, но…» способны вскипятить содержимое черепной коробки не хуже, чем это делает документация Microsoft. Поэтому вместо заключения я хочу перечислить основные тезисы статьи в формате вопросов и ответов.
Шифрование системного диска BitLocker безопасно?
Но ведь… уязвимости?
За что ты так не любишь Windows 10?
Но ведь можно не использовать учетную запись Microsoft?
Так ведь и BitLocker доступен не во всех редакциях Windows!
Если я обновлюсь на Windows 11 и зашифрую диск, все станет безопасно?
А если не обновлюсь?
Можно ли взломать PIN?
А если у меня нет TPM?
Спасибо всем, кто прочёл эту статью. А тем, кто применил её спасибо ещё больше!
Если я где-то ошибся или Вы знаете какие-то интересные моменты которые я не упомянул - пишите комментарии.
И, если вдруг кто-то хочет отблагодарить меня монеткой, оставляю на всеобщее обозрение место, где ей будут рады:
BTC - 3Fc5TTot5J89dwhS2JdYrTWVFrJub9dv3p
USDT - TVP4YtYsNzWQsoUdfyAd1SJHhYUvCZ6wsp
Monero - 877UivA78m3EFrEKSNsdeXjBB5cLYCQdmh6vZntRL7J7MSw7fQppkx9VhcvAX7SBR8AFdLhZmUKV49fuNZBAJCzY4BJqh1j
Введение.
Защитить компьютер с Windows не просто, а очень просто: несколько щелчков мышью — и системный раздел зашифрован BitLocker. Но может случиться так, что взломать этот компьютер будет еще проще: достаточно узнать пароль от твоей учетной записи Microsoft, чтобы разблокировать систему, несмотря на шифрование. Очередной шаг в борьбе щита и меча сделан в Windows 11: здесь используется аппаратный контроль безопасности, а взлом пароля при соблюдении определенных условий будет не только совершенно бесполезным, но и невозможным.
Насколько безопаснее стала Windows 11 в сравнении с «десяткой» и почему? Можно ли обезопасить Windows 10 штатными средствами, не прибегая к VeraCrypt и подобным инструментам? И для чего же, в конце концов, Windows 11 так нужен TPM?
Когда я начал разбираться в том, как именно, а главное — для чего в одиннадцатой версии Windows используются модули TPM, я чуть не сломал голову. Традиционно для Microsoft документация существует, ее много, но написанное в ней далеко не всегда соответствует действительности; ряд утверждений (мы рассмотрим их ниже) вселяет ложную уверенность в безопасности. Помнишь, сколько копий было сломано по поводу системных требований Windows 11? Теперь я готов поверить, что решение ограничить совместимость Windows 11 исключительно системами, оборудованными TPM, было не волей маркетологов, а ультиматумом команды разработчиков: «Или компьютеры без TPM идут лесом, или мы умываем руки!»
Пункт 1. Включаем BitLocker.
Шифрование системного раздела — первый, необходимый, но не всегда достаточный шаг к обеспечению безопасности системы. На безопасность зашифрованных данных может повлиять такая неочевидная на первый взгляд вещь, как способ входа в систему.
Примем за аксиому, что в твоем компьютере установлен и активирован в настройках UEFI BIOS модуль TPM 2.0 или его аналог (Intel Platform Trust Technology или AMD firmware TPM). Чуть позже я расскажу о том, что можно сделать при его отсутствии, но пока рассмотрим работу относительно современных систем.
Но ведь TPM у нас запрещен?
В сети ходит много непроверенной информации о законности или незаконности TPM. По слухам, ФСБ запрещает модули TPM из‑за того, что те могут использоваться для шифрования без закладок. Не буду утомлять тебя юридическими подробностями (составленная юристами докладная записка занимает несколько листов), ограничусь лишь краткими выводами.
Во‑первых, на ввоз в страну аппаратных модулей TPM требуется нотификация (то есть для импортеров действует разрешительный режим). Во‑вторых, использование TPM частными лицами внутри страны никаких законов не нарушает. Наконец, в‑третьих: эмуляция TPM вполне легально присутствует во всех процессорах Intel Core с 8-го поколения, а также во всех процессорах с архитектурой AMD Zen и более новых. Использование соответствующих функций законным образом ввезенных в страну комплектующих никаких правил не нарушает.
Чтобы включить шифрование системного диска, пользователям Windows 10 и 11 всех редакций за исключением домашней (Home) достаточно открыть апплет BitLocker Drive Encryption в панели управления Windows. Далее нужно включить шифрование (для твердотельных накопителей вполне достаточно зашифровать только данные; свободное место накопитель очищает самостоятельно по команде trim) и где‑то сохранить (или распечатать) ключ восстановления доступа. Шифрование происходит в фоновом режиме; через некоторое время данные будут зашифрованы, накопитель будет выглядеть следующим образом.

Зашифрованный накопитель
Пункт 2. Для чего нужен ключ восстановления доступа (BitLocker Recovery Key).
Не хотелось бы в этой статье глубоко вдаваться в подробности механизма шифрования BitLocker (о нем можно прочитать, например, здесь). В двух словах: именно ключ восстановления доступа поможет тебе разблокировать накопитель, если модуль TPM по какой‑то причине решит не отдавать системе ключ.
В каких случаях TPM может «зажать» ключ? В принципе, это может произойти после любого обновления прошивки либо BIOS самого компьютера или любого подключенного устройства (кроме USB). Еще при изменении аппаратной конфигурации (установил новую видеокарту), при обновлении Windows или одного из драйверов, участвующих в цепочке загрузки. Если такое событие произойдет, то цепочка загрузки нарушится (не совпадут вычисленные в регистрах PCR контрольные суммы) и TPM не отдаст операционной системе ключ, который нужен для разблокировки диска. Как результат — при загрузке система попросит ввести код восстановления доступа.

Система попросит ввести код восстановления доступа
Поскольку при использовании TPM другого метода разблокировки диска по умолчанию не предусмотрено, ключ восстановления доступа остается единственным способом получить доступ к данным.
Почему же этого не происходит каждый раз, когда ты обновляешь ОС через Windows Update? Дело в том, что система знает об этой особенности BitLocker и на время установки отключает защиту. Ровно то же самое ты можешь проделать вручную, воспользовавшись командой Suspend protection.

Suspend protection
После этого ты можешь спокойно обновить BIOS, заменить видеокарту или обновить прошивку одного из устройств. После перезагрузки система вычислит новую цепочку загрузки, которая будет считаться доверенной, а шифрование автоматически включится.
Пункт 3. Какие есть риски при шифровании BitLocker с использованием TPM.
Шифрование BitLocker достаточно надежно, хотя использующийся 128-битный ключ вызывает некоторые сомнения в контексте потенциальной уязвимости для квантовых компьютеров. Если тебя это беспокоит — включи 256-битное шифрование в настройках групповых политик, как показано на скриншоте. Сделать это необходимо до того, как диск будет зашифрован; настройка не влияет на уже созданные зашифрованные диски.

Включение 256-битного шифрования
Проверить, что получилось, можно командой manage-bde -status.
Volume C: [NVME]
[OS Volume]
Size: 930,40 GB
BitLocker Version: 2.0c
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
Еще один связанный с BitLocker риск возникает из‑за того, что модуль TPM выдаст ключ шифрования, а Windows автоматически смонтирует зашифрованный диск в процессе загрузки, если цепочка доверенной загрузки не была нарушена. Таким образом, к моменту, когда Windows запрашивает твой пароль (или идентификацию через Windows Hello), зашифрованный диск уже смонтирован, а ключ шифрования… Он, в отличие от систем с macOS, оборудованных чипом T2, хранится в оперативной памяти в чистом, незащищенном виде. Да, злоумышленник не сможет разблокировать компьютер, не зная пароля от твоей учетной записи (или не воспользовавшись твоими биометрическими данными для входа через Windows Hello), однако существуют способы извлечь ключ шифрования из оперативной памяти. Впрочем, способы эти настолько технически сложные, что используют их крайне редко и только при расследовании громких дел.
info:
Среди прочего Windows Hello может работать с датчиками отпечатков пальцев и инфракрасными видеокамерами. Чем‑то подобным оборудованы практически все современные ноутбуки, но никто не запрещает тебе подключить такое устройство и к десктопу.
Наконец, в самих модулях TPM (а точнее, в коммуникационном протоколе, по которому этот модуль общается с системой) существует даже не уязвимость, а огромная зияющая дыра: данные, в том числе ключ к зашифрованному диску, передаются в открытом виде, и их достаточно просто перехватить.
Впрочем, эта уязвимость срабатывает только при использовании внешних модулей TPM, которые подключаются к материнской плате через специальный разъем. Эмуляторы Intel PTT и AMD fTPM этой уязвимости не подвержены и, соответственно, обладают более высоким в сравнении с отдельными модулями уровнем безопасности.
Все перечисленные риски действительно существуют, но в реальности их влияние на безопасность минимально: при включении шифрования системного диска файлы подкачки и гибернации шифруются вместе с остальными данными, а извлечь ключ шифрования из модуля TPM невозможно, как невозможно его перехватить при использовании эмуляции TPM. Если для входа в систему ты используешь локальную учетную запись, пароль от которой сложный, уникальный, нигде более не используется и не хранится, то и подобрать его не представляется возможным (напомню, чтобы взломать пароль NTLM, нужно для начала вытащить базу данных SAM, которая зашифрована вместе с остальными данными, и подобраться к ней, не разблокировав сначала зашифрованный диск, не удастся).
Совсем иначе выглядит уязвимость, связанная с новым типом учетных записей Microsoft Account, которые появились еще во времена Windows 8.
Пункт 4. В чем проблема с учетными записями Microsoft?
В Windows 10 предусмотрено несколько типов учетных записей, из которых мы рассмотрим две: локальную учетную запись (Windows account) и учетную запись Microsoft (Microsoft account). По поводу обычных учетных записей все ясно: она безопасна ровно настолько, насколько безопасен (сложен и уникален) придуманный тобой пароль. А вот если используется учетная запись Microsoft, дело принимает куда более интересный оборот.
info:
Отмечу еще один факт. Для портативных устройств с BitLocker Device Encryption ОС автоматически создает ключ восстановления при шифровании системного раздела. Ключ восстановления будет также автоматически загружен в учетную запись Microsoft первого пользователя, который войдет в систему на этом компьютере с правами администратора и использует учетные данные Microsoft для авторизации. Этот ключ может получить любой пользователь, просто войдя в учетную запись Microsoft от твоего имени и перейдя по следующей ссылке: Sign in to your Microsoft account.
Как работают и для чего нужны учетные записи Microsoft? В Windows 10 (а также в Windows 8 и 8.1) для входа в систему можно использовать не только локальную учетную запись, но и учетную запись Microsoft Account — ту самую, через которую ты получаешь доступ к онлайновому почтовому сервису Hotmail, мессенджеру Skype, облачному хранилищу OneDrive, подписке на Office 365 и многим другим сервисам Microsoft. В последующих выпусках Windows учетным записям Microsoft Account придавался все больший вес, а установка ОС без нее становилась все более сложной. В младших редакциях Windows использование локального логина и пароля и вовсе ограничили: настроить систему при установке можно исключительно с использованием онлайновой учетной записи.
Первый вход в учетную запись Microsoft Account требует наличия активного соединения с интернетом. Данные учетной записи проверяются Microsoft на удаленном сервере, после чего хеш от пароля сохраняется (кешируется) на компьютере; это позволяет входить в учетную запись, когда соединение отсутствует. У такого поведения есть и обратная сторона: если системный диск не зашифрован, то хеш можно извлечь из соответствующей базы данных на компьютере, после чего восстановить оригинальный пароль через быструю офлайновую атаку.
Подчеркну, что восстанавливается именно пароль от учетной записи Microsoft Account, с помощью которого можно авторизоваться не только на атакуемом компьютере, но и в онлайновых сервисах Microsoft, получив, таким образом, доступ к переписке в Hotmail, чатам Skype, файлам OneDrive и другой информации. Более того, в учетных записях Microsoft хранятся в том числе и депонированные ключи BitLocker, использующиеся для восстановления доступа к зашифрованным дискам. Добавлю, что скорость атаки на пароли Windows исключительно высокая, а это позволяет (в отсутствие шифрования) в разумные сроки восстанавливать даже достаточно сложные пароли.
Использование двухфакторной аутентификации может защитить содержимое онлайновой учетной записи, однако пароль от учетной записи Microsoft, извлеченный, например, из твоего телефона или с другого компьютера, шифрование на котором не включено, позволяет разблокировать и твой компьютер с TPM, даже если его системный диск зашифрован.
Разработчики Microsoft предложили дополнительные способы авторизации — в первую очередь вход по PIN-коду (о нем будет чуть ниже). Однако даже включение логина по PIN-коду не решает ни одной из двух проблем: возможности восстановления оригинального пароля от онлайновой учетной записи через быструю офлайновую атаку (если системный диск компьютера не зашифрован) и возможности разблокировать зашифрованный диск паролем от учетной записи Microsoft, если его удалось узнать, подсмотреть или извлечь с другого устройства.
Подводя итог, проблемы с логином в Windows при использовании учетной записи Microsoft можно сформулировать следующим образом.
- Если злоумышленник получит доступ к любому устройству, на котором хранится пароль от учетной записи Microsoft, то с этим паролем он сможет залогиниться в твой компьютер с Windows 10 — даже если в компьютере есть модуль TPM, а системный диск зашифрован BitLocker.
- Если на одном из компьютеров с Windows 10, на котором присутствует твоя учетная запись Microsoft, системный диск не будет зашифрован, то пароль от онлайновой учетной записи может быть восстановлен очень быстрой атакой в режиме офлайн.
Пункт 5. Что изменилось в Windows 11?
В новой версии ОС разработчики героически преодолевают последствия старого, еще времен Windows 8, решения использовать для входа в систему логин и пароль от онлайновой учетной записи. Как можно обезопасить компьютер от входа по паролю от учетной записи Microsoft, который злоумышленник может подсмотреть или извлечь из твоего телефона? Конечно же, запретив использование этого пароля для входа в систему! Впрочем, пока воздержимся от фейспалма, благо разработчики Microsoft решили проблему не настолько прямолинейно.
Итак, в Windows 11 появляется новый тип учетных записей, использующих для авторизации входа в систему Microsoft Account, которым не нужен пароль от онлайновой учетной записи. При использовании таких учеток для входа в систему не требуется (да и невозможно) вводить пароль от учетной записи Microsoft; вместо пароля используется PIN-код или биометрические данные подсистемы Windows Hello (например, видеопоток с сертифицированной инфракрасной стереокамеры или данные датчика отпечатков пальцев). О том, где хранится PIN-код и почему такой способ авторизации заметно безопаснее входа по паролю, расскажу дальше; сейчас же перечислим доступные в Windows 11 для обычного (не доменного) пользователя способы входа в систему.
- Учетная запись Microsoft Account без пароля — используется по умолчанию. Пароль для входа в систему ввести невозможно; поддерживается вход по PIN-коду (TPM), Windows Hello или через авторизацию в приложении Microsoft Authenticator (онлайн).
- Учетная запись Microsoft Account с паролем. Хеш пароля к учетной записи хранится локально и не защищается TPM. Поддерживается вход по PIN-коду (TPM), Windows Hello. Так было в Windows 10, и так остается при обновлении Windows 10 до Windows 11.
- Локальная учетная запись Windows (вход по паролю). Для входа может использоваться локальный пароль (его хеш хранится в системе, не защищается TPM), PIN (TPM) или Windows Hello.
Пункт 6. В каких случаях в Windows 11 используется вход без пароля?
В Windows 11 поддерживаются способы входа как по паролю, так и без него. Режим входа без пароля используется в новом типе учетных записей и включается по умолчанию как во время установки Windows 11 на новый компьютер, так и при создании новой учетной записи на компьютерах, на которых Windows 11 была установлена в виде обновления Windows 10. В то же время существующие в Windows 10 учетные записи, в которых для входа использовался пароль, остаются в Windows 11 в неизменном виде. Чтобы включить вход без пароля, пользователю необходимо выбрать соответствующую опцию в настройках системы (Sign-in options).

Включение входа без пароля в Windows 11
Также этот способ входа можно активировать через Windows Registry.

Включение входа без пароля в Windows 11 через Windows Registry
Подытожим:
- При установке Windows 11 на новый компьютер используется Microsoft Account, вход без пароля.
- При обновлении с Windows 10: используется тот же способ входа, что и в оригинальной ОС Windows 10.
- Новые учетные записи, создаваемые в Windows 11, установленной любым способом: используется Microsoft Account, вход без пароля.
Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не претерпели серьезных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Ожидания не оправдались. По умолчанию (через BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства «два в одном»; однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остается недоступным.
Пункт 8. PIN-код вместо пароля: это действительно безопасней?
Наконец мы добрались до PIN-кодов — того «нового» способа авторизации, который Microsoft предлагает использовать вместо «устаревшего и небезопасного» пароля. Почему — внезапно! — авторизация по паролю стала «устаревшей и небезопасной»? Приведу информацию из статьи Microsoft, в которой и описаны основные различия между подходами.
info:
А знаешь ли ты, что в Windows 10 также используется (точнее, может использоваться… а может и не использоваться) модуль безопасности TPM 2.0? Разница между Windows 10 и Windows 11 не в масштабах использования TPM (здесь я не увидел принципиальных отличий), а в том, что в Windows 11 TPM обязателен, а в Windows 10 — нет. Эта, казалось бы, небольшая разница приводит к глобальным последствиям в области безопасности при использовании входа по PIN-коду вместо пароля. Подробно об этом Microsoft рассказывает в следующей статье (на английском).
В этой статье Microsoft высказывает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создает ложное ощущение безопасности. Разберем подробности. Ниже приводится цитата из статьи (Microsoft использует автоматический перевод; я сохранил орфографию оригинала):
ПИН‑код привязан к устройству:
Одно важное отличие между онлайн‑паролем и ПИН‑кодом Hello состоит в том, что ПИН‑код привязан к определенному устройству, на котором он был настроен. ПИН‑код не может использоваться без конкретного оборудования. Кто‑то, кто крадет ваш пароль в Интернете, может войти в вашу учетную запись из любого места, но если он украдет ПИН‑код, им также придется украсть ваше физическое устройство!
ПИН‑код поддерживается оборудованием:
ПИН‑код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Многие современные устройства имеют TPM. Windows 10, с другой стороны, имеет дефект, не связывающий локальные пароли с TPM. Именно по этой причине ПИН‑коды считаются более безопасными, чем локальные пароли.
Если воспринимать информацию буквально, создается ощущение, будто PIN-код — это своеобразная панацея, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причем пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню Miscellaneous и включить настройку, которая может называться, к примеру, Intel Platform Trust Technology (PTT). Сколько пользователей включит эту настройку, а какое количество оставит ее неизменной или просто не узнает о ее существовании?

Intel Platform Trust Technology (PTT)
Если TPM в системе отсутствует или не включен в UEFI BIOS, Windows 11 просто откажется от установки. А вот Windows 10 все равно предложит использовать для входа PIN-код, а Microsoft все так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учетной записи в виде хеша все так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, получится перебрать за считаные секунды).
Пункт 8. Без модуля TPM вход в Windows по PIN-коду небезопасен.
Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM 2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.
Сценарий 1: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 2: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 3: система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 4: система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учетной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.
Очевидно, что только четвертый сценарий соответствует модели безопасности, описанной Microsoft в статье.
Пункт 9. Можно ли использовать вход без пароля в Windows 10?
Можно. Но нужно ли?
В сентябре 2021 года компания анонсировала свое видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учетной записи Microsoft Account, запретив вход в нее по паролю. Такая учетная запись для входа в систему позволяла избавиться от хранения хеша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учетную запись Microsoft из браузера по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нем приложением Microsoft Authenticator. С учетом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность нововведения представляется несколько сомнительной. Подробнее об этом можно прочитать здесь. Новшество не получило заметного распространения из‑за неочевидных преимуществ и существенного неудобства использования.

Учетная запись без пароля
Пункт 10. Как Windows использует TPM при авторизации входа в систему через PIN.
В документации Microsoft описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учетной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учетной записи пользователя.
Вместо того чтобы использовать TPM для хранения все большего количества данных, в Microsoft попытались обойти проблему, предоставив способ входа в учетную запись по PIN-коду и без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учетной записи: теперь защищенные DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведет к тому, что модуль TPM не отдаст нужный ключ и защищенные данные расшифровать не удастся.
В итоге в оборудованных TPM системах с Windows 10 и Windows 11 невозможно взломать PIN-код, а в Windows 11 с новым типом учетных записей с авторизацией без пароля его невозможно подобрать или использовать пароль от Microsoft Account, извлеченный из другого компьютера или учетной записи.
Выводы.
Перечитав статью, я понял, что количество информации и многочисленные отсылки, «но», «если» и «да, но…» способны вскипятить содержимое черепной коробки не хуже, чем это делает документация Microsoft. Поэтому вместо заключения я хочу перечислить основные тезисы статьи в формате вопросов и ответов.
Шифрование системного диска BitLocker безопасно?
Да, если в системе есть (и активирован) модуль TPM, Intel PTT или AMD fTPM. Для полной уверенности можно включить режим шифрования с 256-битным ключом (по умолчанию используется 128-битный). Более того, политики безопасности BitLocker можно гибко настраивать (например, требуя ввести отдельный PIN-код перед загрузкой); об этих настройках я также планирую написать в одной из следующих статей.
Но ведь… уязвимости?
Большинство уязвимостей TPM носит скорее теоретический характер. Более того, они не распространяются на программную эмуляцию в виде Intel PTT или AMD fTPM, в которых уязвимостей не обнаружено.
Реальная уязвимость BitLocker (как, впрочем, и многих других систем шифрования дисков в Windows) заключается в хранении ключа шифрования в оперативной памяти компьютера. При использовании TPM системный раздел разблокируется в процессе загрузки еще до авторизации пользователя (то есть до запроса пароля или PIN-кода). Существует атака, в ходе которой модули оперативной памяти физически замораживаются, извлекаются, а их содержимое считывается и анализируется. Эта атака действительно позволяет обнаружить ключ шифрования и разблокировать диск. В то же время такая атака требует оборудованной лаборатории и работы квалифицированного специалиста; она и подобные ей атаки используются исключительно спецслужбами при расследовании особо важных дел.
За что ты так не любишь Windows 10?
А почему она продолжает работать, если в системе нет TPM? И ладно бы продолжала работать, так ведь предлагает настроить вход по PIN-коду вместо пароля! Для справки: скорость перебора паролей NTLM такова, что цифровой PIN-код, даже состоящий из шести цифр, перебирается за несколько секунд. Да, эта проблема решается включением TPM (тогда PIN-код подобрать невозможно), но возникает другая: в учетную запись Microsoft можно войти, если известен пароль от нее.
Но ведь можно не использовать учетную запись Microsoft?
Можно. Но не во всех редакциях Windows. И ты проигрываешь в удобстве (нарушается пресловутый баланс удобства и безопасности).
Так ведь и BitLocker доступен не во всех редакциях Windows!
С точки зрения Microsoft, пользователям «домашней» редакции по определению «скрывать нечего». Если ты с этим не согласен — тебе поможет VeraCrypt, о котором мы поговорим в одной из следующих статей.
Если я обновлюсь на Windows 11 и зашифрую диск, все станет безопасно?
Почти. Не забудь еще выключить вход в учетную запись по паролю; тогда и только тогда PIN-код будет защищен TPM. И кстати, проконтролируй, куда конкретно сохраняется ключ восстановления доступа BitLocker. Если в твою учетную запись Microsoft, то извлечь его оттуда — дело несложное.
А если не обновлюсь?
В принципе, сравнимого с практической точки зрения уровня безопасности можно достичь, используя локальную учетную запись Windows со стойким уникальным паролем. В теории Windows 11 будет безопаснее за счет возможности полностью отказаться от способов авторизации, не защищенных аппаратным способом (TPM).
Можно ли взломать PIN?
Да, можно — если в системе нет (или не активирован) TPM. Если же TPM активен, то аппаратный модуль будет ограничивать скорость перебора, а через какое‑то время заблокирует дальнейшие попытки.
А если у меня нет TPM?
Если твой компьютер оснащен процессором Intel 8-го поколения или более новым либо AMD Zen или более новым, то, вероятнее всего, функциональность TPM у тебя есть в виде эмулятора (Intel PTT, AMD fTPM), просто не включена в UEFI BIOS. Найди и включи.
Спасибо всем, кто прочёл эту статью. А тем, кто применил её спасибо ещё больше!
Если я где-то ошибся или Вы знаете какие-то интересные моменты которые я не упомянул - пишите комментарии.
И, если вдруг кто-то хочет отблагодарить меня монеткой, оставляю на всеобщее обозрение место, где ей будут рады:
BTC - 3Fc5TTot5J89dwhS2JdYrTWVFrJub9dv3p
USDT - TVP4YtYsNzWQsoUdfyAd1SJHhYUvCZ6wsp
Monero - 877UivA78m3EFrEKSNsdeXjBB5cLYCQdmh6vZntRL7J7MSw7fQppkx9VhcvAX7SBR8AFdLhZmUKV49fuNZBAJCzY4BJqh1j