Решетки на «Окна». Защищаем компьютеры с Windows 10 и особенно — с Windows 11 - «Новости»

В каких слу­чаях TPM может «зажать» ключ? В прин­ципе, это может про­изой­ти пос­ле любого обновле­ния про­шив­ки либо BIOS самого компь­юте­ра или любого под­клю­чен­ного устрой­ства (кро­ме USB). Еще при изме­нении аппа­рат­ной кон­фигура­ции (уста­новил новую виде­окар­ту), при обновле­нии Windows или одно­го из драй­веров, учас­тву­ющих в цепоч­ке заг­рузки. Если такое событие про­изой­дет, то цепоч­ка заг­рузки нарушит­ся (не сов­падут вычис­ленные в ре­гис­трах PCR кон­троль­ные сум­мы) и TPM не отдаст опе­раци­онной сис­теме ключ, который нужен для раз­бло­киров­ки дис­ка. Как резуль­тат — при заг­рузке сис­тема поп­росит ввес­ти код вос­ста­нов­ления дос­тупа.

Пос­коль­ку при исполь­зовании TPM дру­гого метода раз­бло­киров­ки дис­ка по умол­чанию не пре­дус­мотре­но, ключ вос­ста­нов­ления дос­тупа оста­ется единс­твен­ным спо­собом получить дос­туп к дан­ным.

По­чему же это­го не про­исхо­дит каж­дый раз, ког­да ты обновля­ешь ОС через Windows Update? Дело в том, что сис­тема зна­ет об этой осо­бен­ности BitLocker и на вре­мя уста­нов­ки отклю­чает защиту. Ров­но то же самое ты можешь про­делать вруч­ную, вос­поль­зовав­шись коман­дой Suspend protection.

Пос­ле это­го ты можешь спо­кой­но обно­вить BIOS, заменить виде­окар­ту или обно­вить про­шив­ку одно­го из устрой­ств. Пос­ле перезаг­рузки сис­тема вычис­лит новую цепоч­ку заг­рузки, которая будет счи­тать­ся доверен­ной, а шиф­рование авто­мати­чес­ки вклю­чит­ся.

Какие есть риски при шифровании BitLocker с использованием TPM

Шиф­рование BitLocker дос­таточ­но надеж­но, хотя исполь­зующий­ся 128-бит­ный ключ вызыва­ет некото­рые сом­нения в кон­тек­сте потен­циаль­ной уяз­вимос­ти для кван­товых компь­юте­ров. Если тебя это бес­поко­ит — вклю­чи 256-бит­ное шиф­рование в нас­трой­ках груп­повых политик, как показа­но на скрин­шоте. Сде­лать это необ­ходимо до того, как диск будет зашиф­рован; нас­трой­ка не вли­яет на уже соз­данные зашиф­рован­ные дис­ки.