Blxck.
⭐️
- Сообщения
- 218
- Реакции
- 667
- Баллы
- 94
Доброго времени суток, в данной статье я расскажу Вам как обезопасить свою основную операционную систему на базе Windows 10 и Windows 11 соответственно.
Введение.
Защитить компьютер с Windows не просто, а очень просто: несколько щелчков мышью — и системный раздел зашифрован BitLocker. Но может случиться так, что взломать этот компьютер будет еще проще: достаточно узнать пароль от твоей учетной записи Microsoft, чтобы разблокировать систему, несмотря на шифрование. Очередной шаг в борьбе щита и меча сделан в Windows 11: здесь используется аппаратный контроль безопасности, а взлом пароля при соблюдении определенных условий будет не только совершенно бесполезным, но и невозможным.
Насколько безопаснее стала Windows 11 в сравнении с «десяткой» и почему? Можно ли обезопасить Windows 10 штатными средствами, не прибегая к VeraCrypt и подобным инструментам? И для чего же, в конце концов, Windows 11 так нужен TPM?
Когда я начал разбираться в том, как именно, а главное — для чего в одиннадцатой версии Windows используются модули TPM, я чуть не сломал голову. Традиционно для Microsoft документация существует, ее много, но написанное в ней далеко не всегда соответствует действительности; ряд утверждений (мы рассмотрим их ниже) вселяет ложную уверенность в безопасности. Помнишь, сколько копий было сломано по поводу системных требований Windows 11? Теперь я готов поверить, что решение ограничить совместимость Windows 11 исключительно системами, оборудованными TPM, было не волей маркетологов, а ультиматумом команды разработчиков: «Или компьютеры без TPM идут лесом, или мы умываем руки!»
Пункт 1. Включаем BitLocker.
Шифрование системного раздела — первый, необходимый, но не всегда достаточный шаг к обеспечению безопасности системы. На безопасность зашифрованных данных может повлиять такая неочевидная на первый взгляд вещь, как способ входа в систему.
Примем за аксиому, что в твоем компьютере установлен и активирован в настройках UEFI BIOS модуль TPM 2.0 или его аналог (Intel Platform Trust Technology или AMD firmware TPM). Чуть позже я расскажу о том, что можно сделать при его отсутствии, но пока рассмотрим работу относительно современных систем.
Но ведь TPM у нас запрещен?
Зашифрованный накопитель
Пункт 2. Для чего нужен ключ восстановления доступа (BitLocker Recovery Key).
Не хотелось бы в этой статье глубоко вдаваться в подробности механизма шифрования BitLocker (о нем можно прочитать, например, здесь). В двух словах: именно ключ восстановления доступа поможет тебе разблокировать накопитель, если модуль TPM по какой‑то причине решит не отдавать системе ключ.
В каких случаях TPM может «зажать» ключ? В принципе, это может произойти после любого обновления прошивки либо BIOS самого компьютера или любого подключенного устройства (кроме USB). Еще при изменении аппаратной конфигурации (установил новую видеокарту), при обновлении Windows или одного из драйверов, участвующих в цепочке загрузки. Если такое событие произойдет, то цепочка загрузки нарушится (не совпадут вычисленные в регистрах PCR контрольные суммы) и TPM не отдаст операционной системе ключ, который нужен для разблокировки диска. Как результат — при загрузке система попросит ввести код восстановления доступа.
Система попросит ввести код восстановления доступа
Поскольку при использовании TPM другого метода разблокировки диска по умолчанию не предусмотрено, ключ восстановления доступа остается единственным способом получить доступ к данным.
Почему же этого не происходит каждый раз, когда ты обновляешь ОС через Windows Update? Дело в том, что система знает об этой особенности BitLocker и на время установки отключает защиту. Ровно то же самое ты можешь проделать вручную, воспользовавшись командой Suspend protection.
Suspend protection
После этого ты можешь спокойно обновить BIOS, заменить видеокарту или обновить прошивку одного из устройств. После перезагрузки система вычислит новую цепочку загрузки, которая будет считаться доверенной, а шифрование автоматически включится.
Пункт 3. Какие есть риски при шифровании BitLocker с использованием TPM.
Шифрование BitLocker достаточно надежно, хотя использующийся 128-битный ключ вызывает некоторые сомнения в контексте потенциальной уязвимости для квантовых компьютеров. Если тебя это беспокоит — включи 256-битное шифрование в настройках групповых политик, как показано на скриншоте. Сделать это необходимо до того, как диск будет зашифрован; настройка не влияет на уже созданные зашифрованные диски.
Включение 256-битного шифрования
Проверить, что получилось, можно командой manage-bde -status.
Еще один связанный с BitLocker риск возникает из‑за того, что модуль TPM выдаст ключ шифрования, а Windows автоматически смонтирует зашифрованный диск в процессе загрузки, если цепочка доверенной загрузки не была нарушена. Таким образом, к моменту, когда Windows запрашивает твой пароль (или идентификацию через Windows Hello), зашифрованный диск уже смонтирован, а ключ шифрования… Он, в отличие от систем с macOS, оборудованных чипом T2, хранится в оперативной памяти в чистом, незащищенном виде. Да, злоумышленник не сможет разблокировать компьютер, не зная пароля от твоей учетной записи (или не воспользовавшись твоими биометрическими данными для входа через Windows Hello), однако существуют способы извлечь ключ шифрования из оперативной памяти. Впрочем, способы эти настолько технически сложные, что используют их крайне редко и только при расследовании громких дел.
info:
Пункт 4. В чем проблема с учетными записями Microsoft?
В Windows 10 предусмотрено несколько типов учетных записей, из которых мы рассмотрим две: локальную учетную запись (Windows account) и учетную запись Microsoft (Microsoft account). По поводу обычных учетных записей все ясно: она безопасна ровно настолько, насколько безопасен (сложен и уникален) придуманный тобой пароль. А вот если используется учетная запись Microsoft, дело принимает куда более интересный оборот.
info:
Подводя итог, проблемы с логином в Windows при использовании учетной записи Microsoft можно сформулировать следующим образом.
Пункт 5. Что изменилось в Windows 11?
В новой версии ОС разработчики героически преодолевают последствия старого, еще времен Windows 8, решения использовать для входа в систему логин и пароль от онлайновой учетной записи. Как можно обезопасить компьютер от входа по паролю от учетной записи Microsoft, который злоумышленник может подсмотреть или извлечь из твоего телефона? Конечно же, запретив использование этого пароля для входа в систему! Впрочем, пока воздержимся от фейспалма, благо разработчики Microsoft решили проблему не настолько прямолинейно.
Итак, в Windows 11 появляется новый тип учетных записей, использующих для авторизации входа в систему Microsoft Account, которым не нужен пароль от онлайновой учетной записи. При использовании таких учеток для входа в систему не требуется (да и невозможно) вводить пароль от учетной записи Microsoft; вместо пароля используется PIN-код или биометрические данные подсистемы Windows Hello (например, видеопоток с сертифицированной инфракрасной стереокамеры или данные датчика отпечатков пальцев). О том, где хранится PIN-код и почему такой способ авторизации заметно безопаснее входа по паролю, расскажу дальше; сейчас же перечислим доступные в Windows 11 для обычного (не доменного) пользователя способы входа в систему.
Пункт 6. В каких случаях в Windows 11 используется вход без пароля?
В Windows 11 поддерживаются способы входа как по паролю, так и без него. Режим входа без пароля используется в новом типе учетных записей и включается по умолчанию как во время установки Windows 11 на новый компьютер, так и при создании новой учетной записи на компьютерах, на которых Windows 11 была установлена в виде обновления Windows 10. В то же время существующие в Windows 10 учетные записи, в которых для входа использовался пароль, остаются в Windows 11 в неизменном виде. Чтобы включить вход без пароля, пользователю необходимо выбрать соответствующую опцию в настройках системы (Sign-in options).
Включение входа без пароля в Windows 11
Также этот способ входа можно активировать через Windows Registry.
Включение входа без пароля в Windows 11 через Windows Registry
Подытожим:
Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не претерпели серьезных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Ожидания не оправдались. По умолчанию (через BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства «два в одном»; однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остается недоступным.
Пункт 8. PIN-код вместо пароля: это действительно безопасней?
Наконец мы добрались до PIN-кодов — того «нового» способа авторизации, который Microsoft предлагает использовать вместо «устаревшего и небезопасного» пароля. Почему — внезапно! — авторизация по паролю стала «устаревшей и небезопасной»? Приведу информацию из статьи Microsoft, в которой и описаны основные различия между подходами.
info:
В этой статье Microsoft высказывает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создает ложное ощущение безопасности. Разберем подробности. Ниже приводится цитата из статьи (Microsoft использует автоматический перевод; я сохранил орфографию оригинала):
ПИН‑код привязан к устройству:
ПИН‑код поддерживается оборудованием:
Если воспринимать информацию буквально, создается ощущение, будто PIN-код — это своеобразная панацея, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причем пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню Miscellaneous и включить настройку, которая может называться, к примеру, Intel Platform Trust Technology (PTT). Сколько пользователей включит эту настройку, а какое количество оставит ее неизменной или просто не узнает о ее существовании?
Intel Platform Trust Technology (PTT)
Если TPM в системе отсутствует или не включен в UEFI BIOS, Windows 11 просто откажется от установки. А вот Windows 10 все равно предложит использовать для входа PIN-код, а Microsoft все так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учетной записи в виде хеша все так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, получится перебрать за считаные секунды).
Пункт 8. Без модуля TPM вход в Windows по PIN-коду небезопасен.
Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM 2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.
Сценарий 1: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 2: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 3: система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 4: система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учетной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.
Очевидно, что только четвертый сценарий соответствует модели безопасности, описанной Microsoft в статье.
Пункт 9. Можно ли использовать вход без пароля в Windows 10?
Можно. Но нужно ли?
В сентябре 2021 года компания анонсировала свое видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учетной записи Microsoft Account, запретив вход в нее по паролю. Такая учетная запись для входа в систему позволяла избавиться от хранения хеша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учетную запись Microsoft из браузера по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нем приложением Microsoft Authenticator. С учетом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность нововведения представляется несколько сомнительной. Подробнее об этом можно прочитать здесь. Новшество не получило заметного распространения из‑за неочевидных преимуществ и существенного неудобства использования.
Учетная запись без пароля
Пункт 10. Как Windows использует TPM при авторизации входа в систему через PIN.
В документации Microsoft описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учетной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учетной записи пользователя.
Вместо того чтобы использовать TPM для хранения все большего количества данных, в Microsoft попытались обойти проблему, предоставив способ входа в учетную запись по PIN-коду и без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учетной записи: теперь защищенные DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведет к тому, что модуль TPM не отдаст нужный ключ и защищенные данные расшифровать не удастся.
В итоге в оборудованных TPM системах с Windows 10 и Windows 11 невозможно взломать PIN-код, а в Windows 11 с новым типом учетных записей с авторизацией без пароля его невозможно подобрать или использовать пароль от Microsoft Account, извлеченный из другого компьютера или учетной записи.
Выводы.
Перечитав статью, я понял, что количество информации и многочисленные отсылки, «но», «если» и «да, но…» способны вскипятить содержимое черепной коробки не хуже, чем это делает документация Microsoft. Поэтому вместо заключения я хочу перечислить основные тезисы статьи в формате вопросов и ответов.
Шифрование системного диска BitLocker безопасно?
Но ведь… уязвимости?
За что ты так не любишь Windows 10?
Но ведь можно не использовать учетную запись Microsoft?
Так ведь и BitLocker доступен не во всех редакциях Windows!
Если я обновлюсь на Windows 11 и зашифрую диск, все станет безопасно?
А если не обновлюсь?
Можно ли взломать PIN?
А если у меня нет TPM?
Спасибо всем, кто прочёл эту статью. А тем, кто применил её спасибо ещё больше!
Если я где-то ошибся или Вы знаете какие-то интересные моменты которые я не упомянул - пишите комментарии.
И, если вдруг кто-то хочет отблагодарить меня монеткой, оставляю на всеобщее обозрение место, где ей будут рады:
BTC - 3Fc5TTot5J89dwhS2JdYrTWVFrJub9dv3p
USDT - TVP4YtYsNzWQsoUdfyAd1SJHhYUvCZ6wsp
Monero - 877UivA78m3EFrEKSNsdeXjBB5cLYCQdmh6vZntRL7J7MSw7fQppkx9VhcvAX7SBR8AFdLhZmUKV49fuNZBAJCzY4BJqh1j
Введение.
Защитить компьютер с Windows не просто, а очень просто: несколько щелчков мышью — и системный раздел зашифрован BitLocker. Но может случиться так, что взломать этот компьютер будет еще проще: достаточно узнать пароль от твоей учетной записи Microsoft, чтобы разблокировать систему, несмотря на шифрование. Очередной шаг в борьбе щита и меча сделан в Windows 11: здесь используется аппаратный контроль безопасности, а взлом пароля при соблюдении определенных условий будет не только совершенно бесполезным, но и невозможным.
Насколько безопаснее стала Windows 11 в сравнении с «десяткой» и почему? Можно ли обезопасить Windows 10 штатными средствами, не прибегая к VeraCrypt и подобным инструментам? И для чего же, в конце концов, Windows 11 так нужен TPM?
Когда я начал разбираться в том, как именно, а главное — для чего в одиннадцатой версии Windows используются модули TPM, я чуть не сломал голову. Традиционно для Microsoft документация существует, ее много, но написанное в ней далеко не всегда соответствует действительности; ряд утверждений (мы рассмотрим их ниже) вселяет ложную уверенность в безопасности. Помнишь, сколько копий было сломано по поводу системных требований Windows 11? Теперь я готов поверить, что решение ограничить совместимость Windows 11 исключительно системами, оборудованными TPM, было не волей маркетологов, а ультиматумом команды разработчиков: «Или компьютеры без TPM идут лесом, или мы умываем руки!»
Пункт 1. Включаем BitLocker.
Шифрование системного раздела — первый, необходимый, но не всегда достаточный шаг к обеспечению безопасности системы. На безопасность зашифрованных данных может повлиять такая неочевидная на первый взгляд вещь, как способ входа в систему.
Примем за аксиому, что в твоем компьютере установлен и активирован в настройках UEFI BIOS модуль TPM 2.0 или его аналог (Intel Platform Trust Technology или AMD firmware TPM). Чуть позже я расскажу о том, что можно сделать при его отсутствии, но пока рассмотрим работу относительно современных систем.
Но ведь TPM у нас запрещен?
Зашифрованный накопитель
Пункт 2. Для чего нужен ключ восстановления доступа (BitLocker Recovery Key).
Не хотелось бы в этой статье глубоко вдаваться в подробности механизма шифрования BitLocker (о нем можно прочитать, например, здесь). В двух словах: именно ключ восстановления доступа поможет тебе разблокировать накопитель, если модуль TPM по какой‑то причине решит не отдавать системе ключ.
В каких случаях TPM может «зажать» ключ? В принципе, это может произойти после любого обновления прошивки либо BIOS самого компьютера или любого подключенного устройства (кроме USB). Еще при изменении аппаратной конфигурации (установил новую видеокарту), при обновлении Windows или одного из драйверов, участвующих в цепочке загрузки. Если такое событие произойдет, то цепочка загрузки нарушится (не совпадут вычисленные в регистрах PCR контрольные суммы) и TPM не отдаст операционной системе ключ, который нужен для разблокировки диска. Как результат — при загрузке система попросит ввести код восстановления доступа.
Система попросит ввести код восстановления доступа
Поскольку при использовании TPM другого метода разблокировки диска по умолчанию не предусмотрено, ключ восстановления доступа остается единственным способом получить доступ к данным.
Почему же этого не происходит каждый раз, когда ты обновляешь ОС через Windows Update? Дело в том, что система знает об этой особенности BitLocker и на время установки отключает защиту. Ровно то же самое ты можешь проделать вручную, воспользовавшись командой Suspend protection.
Suspend protection
После этого ты можешь спокойно обновить BIOS, заменить видеокарту или обновить прошивку одного из устройств. После перезагрузки система вычислит новую цепочку загрузки, которая будет считаться доверенной, а шифрование автоматически включится.
Пункт 3. Какие есть риски при шифровании BitLocker с использованием TPM.
Шифрование BitLocker достаточно надежно, хотя использующийся 128-битный ключ вызывает некоторые сомнения в контексте потенциальной уязвимости для квантовых компьютеров. Если тебя это беспокоит — включи 256-битное шифрование в настройках групповых политик, как показано на скриншоте. Сделать это необходимо до того, как диск будет зашифрован; настройка не влияет на уже созданные зашифрованные диски.
Включение 256-битного шифрования
Проверить, что получилось, можно командой manage-bde -status.
Volume C: [NVME]
[OS Volume]
Size: 930,40 GB
BitLocker Version: 2.0c
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
Еще один связанный с BitLocker риск возникает из‑за того, что модуль TPM выдаст ключ шифрования, а Windows автоматически смонтирует зашифрованный диск в процессе загрузки, если цепочка доверенной загрузки не была нарушена. Таким образом, к моменту, когда Windows запрашивает твой пароль (или идентификацию через Windows Hello), зашифрованный диск уже смонтирован, а ключ шифрования… Он, в отличие от систем с macOS, оборудованных чипом T2, хранится в оперативной памяти в чистом, незащищенном виде. Да, злоумышленник не сможет разблокировать компьютер, не зная пароля от твоей учетной записи (или не воспользовавшись твоими биометрическими данными для входа через Windows Hello), однако существуют способы извлечь ключ шифрования из оперативной памяти. Впрочем, способы эти настолько технически сложные, что используют их крайне редко и только при расследовании громких дел.
info:
Пункт 4. В чем проблема с учетными записями Microsoft?
В Windows 10 предусмотрено несколько типов учетных записей, из которых мы рассмотрим две: локальную учетную запись (Windows account) и учетную запись Microsoft (Microsoft account). По поводу обычных учетных записей все ясно: она безопасна ровно настолько, насколько безопасен (сложен и уникален) придуманный тобой пароль. А вот если используется учетная запись Microsoft, дело принимает куда более интересный оборот.
info:
Подводя итог, проблемы с логином в Windows при использовании учетной записи Microsoft можно сформулировать следующим образом.
- Если злоумышленник получит доступ к любому устройству, на котором хранится пароль от учетной записи Microsoft, то с этим паролем он сможет залогиниться в твой компьютер с Windows 10 — даже если в компьютере есть модуль TPM, а системный диск зашифрован BitLocker.
- Если на одном из компьютеров с Windows 10, на котором присутствует твоя учетная запись Microsoft, системный диск не будет зашифрован, то пароль от онлайновой учетной записи может быть восстановлен очень быстрой атакой в режиме офлайн.
Пункт 5. Что изменилось в Windows 11?
В новой версии ОС разработчики героически преодолевают последствия старого, еще времен Windows 8, решения использовать для входа в систему логин и пароль от онлайновой учетной записи. Как можно обезопасить компьютер от входа по паролю от учетной записи Microsoft, который злоумышленник может подсмотреть или извлечь из твоего телефона? Конечно же, запретив использование этого пароля для входа в систему! Впрочем, пока воздержимся от фейспалма, благо разработчики Microsoft решили проблему не настолько прямолинейно.
Итак, в Windows 11 появляется новый тип учетных записей, использующих для авторизации входа в систему Microsoft Account, которым не нужен пароль от онлайновой учетной записи. При использовании таких учеток для входа в систему не требуется (да и невозможно) вводить пароль от учетной записи Microsoft; вместо пароля используется PIN-код или биометрические данные подсистемы Windows Hello (например, видеопоток с сертифицированной инфракрасной стереокамеры или данные датчика отпечатков пальцев). О том, где хранится PIN-код и почему такой способ авторизации заметно безопаснее входа по паролю, расскажу дальше; сейчас же перечислим доступные в Windows 11 для обычного (не доменного) пользователя способы входа в систему.
- Учетная запись Microsoft Account без пароля — используется по умолчанию. Пароль для входа в систему ввести невозможно; поддерживается вход по PIN-коду (TPM), Windows Hello или через авторизацию в приложении Microsoft Authenticator (онлайн).
- Учетная запись Microsoft Account с паролем. Хеш пароля к учетной записи хранится локально и не защищается TPM. Поддерживается вход по PIN-коду (TPM), Windows Hello. Так было в Windows 10, и так остается при обновлении Windows 10 до Windows 11.
- Локальная учетная запись Windows (вход по паролю). Для входа может использоваться локальный пароль (его хеш хранится в системе, не защищается TPM), PIN (TPM) или Windows Hello.
Пункт 6. В каких случаях в Windows 11 используется вход без пароля?
В Windows 11 поддерживаются способы входа как по паролю, так и без него. Режим входа без пароля используется в новом типе учетных записей и включается по умолчанию как во время установки Windows 11 на новый компьютер, так и при создании новой учетной записи на компьютерах, на которых Windows 11 была установлена в виде обновления Windows 10. В то же время существующие в Windows 10 учетные записи, в которых для входа использовался пароль, остаются в Windows 11 в неизменном виде. Чтобы включить вход без пароля, пользователю необходимо выбрать соответствующую опцию в настройках системы (Sign-in options).
Включение входа без пароля в Windows 11
Также этот способ входа можно активировать через Windows Registry.
Включение входа без пароля в Windows 11 через Windows Registry
Подытожим:
- При установке Windows 11 на новый компьютер используется Microsoft Account, вход без пароля.
- При обновлении с Windows 10: используется тот же способ входа, что и в оригинальной ОС Windows 10.
- Новые учетные записи, создаваемые в Windows 11, установленной любым способом: используется Microsoft Account, вход без пароля.
Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не претерпели серьезных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Ожидания не оправдались. По умолчанию (через BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства «два в одном»; однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остается недоступным.
Пункт 8. PIN-код вместо пароля: это действительно безопасней?
Наконец мы добрались до PIN-кодов — того «нового» способа авторизации, который Microsoft предлагает использовать вместо «устаревшего и небезопасного» пароля. Почему — внезапно! — авторизация по паролю стала «устаревшей и небезопасной»? Приведу информацию из статьи Microsoft, в которой и описаны основные различия между подходами.
info:
В этой статье Microsoft высказывает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создает ложное ощущение безопасности. Разберем подробности. Ниже приводится цитата из статьи (Microsoft использует автоматический перевод; я сохранил орфографию оригинала):
ПИН‑код привязан к устройству:
ПИН‑код поддерживается оборудованием:
Если воспринимать информацию буквально, создается ощущение, будто PIN-код — это своеобразная панацея, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причем пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню Miscellaneous и включить настройку, которая может называться, к примеру, Intel Platform Trust Technology (PTT). Сколько пользователей включит эту настройку, а какое количество оставит ее неизменной или просто не узнает о ее существовании?
Intel Platform Trust Technology (PTT)
Если TPM в системе отсутствует или не включен в UEFI BIOS, Windows 11 просто откажется от установки. А вот Windows 10 все равно предложит использовать для входа PIN-код, а Microsoft все так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учетной записи в виде хеша все так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, получится перебрать за считаные секунды).
Пункт 8. Без модуля TPM вход в Windows по PIN-коду небезопасен.
Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM 2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.
Сценарий 1: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 2: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 3: система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.
Сценарий 4: система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учетной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.
Очевидно, что только четвертый сценарий соответствует модели безопасности, описанной Microsoft в статье.
Пункт 9. Можно ли использовать вход без пароля в Windows 10?
Можно. Но нужно ли?
В сентябре 2021 года компания анонсировала свое видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учетной записи Microsoft Account, запретив вход в нее по паролю. Такая учетная запись для входа в систему позволяла избавиться от хранения хеша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учетную запись Microsoft из браузера по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нем приложением Microsoft Authenticator. С учетом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность нововведения представляется несколько сомнительной. Подробнее об этом можно прочитать здесь. Новшество не получило заметного распространения из‑за неочевидных преимуществ и существенного неудобства использования.
Учетная запись без пароля
Пункт 10. Как Windows использует TPM при авторизации входа в систему через PIN.
В документации Microsoft описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учетной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учетной записи пользователя.
Вместо того чтобы использовать TPM для хранения все большего количества данных, в Microsoft попытались обойти проблему, предоставив способ входа в учетную запись по PIN-коду и без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учетной записи: теперь защищенные DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведет к тому, что модуль TPM не отдаст нужный ключ и защищенные данные расшифровать не удастся.
В итоге в оборудованных TPM системах с Windows 10 и Windows 11 невозможно взломать PIN-код, а в Windows 11 с новым типом учетных записей с авторизацией без пароля его невозможно подобрать или использовать пароль от Microsoft Account, извлеченный из другого компьютера или учетной записи.
Выводы.
Перечитав статью, я понял, что количество информации и многочисленные отсылки, «но», «если» и «да, но…» способны вскипятить содержимое черепной коробки не хуже, чем это делает документация Microsoft. Поэтому вместо заключения я хочу перечислить основные тезисы статьи в формате вопросов и ответов.
Шифрование системного диска BitLocker безопасно?
Но ведь… уязвимости?
За что ты так не любишь Windows 10?
Но ведь можно не использовать учетную запись Microsoft?
Так ведь и BitLocker доступен не во всех редакциях Windows!
Если я обновлюсь на Windows 11 и зашифрую диск, все станет безопасно?
А если не обновлюсь?
Можно ли взломать PIN?
А если у меня нет TPM?
Спасибо всем, кто прочёл эту статью. А тем, кто применил её спасибо ещё больше!
Если я где-то ошибся или Вы знаете какие-то интересные моменты которые я не упомянул - пишите комментарии.
И, если вдруг кто-то хочет отблагодарить меня монеткой, оставляю на всеобщее обозрение место, где ей будут рады:
BTC - 3Fc5TTot5J89dwhS2JdYrTWVFrJub9dv3p
USDT - TVP4YtYsNzWQsoUdfyAd1SJHhYUvCZ6wsp
Monero - 877UivA78m3EFrEKSNsdeXjBB5cLYCQdmh6vZntRL7J7MSw7fQppkx9VhcvAX7SBR8AFdLhZmUKV49fuNZBAJCzY4BJqh1j
