Я много лет пользовался Ubuntu, а теперь вынужден перейти на Windows 11 Pro.
У меня есть машина с TPM 2.0, поэтому на сайте Microsoft/Windows 11 мне сообщается, что теперь устройство (надеюсь, диск?!) зашифровано.
Однако я не понимаю, как я могу попасть на экран входа в Windows, если весь SSD зашифрован (по крайней мере, как мне хотелось бы)? Как он может прочитать ОС без ключа, чтобы расшифровать то, что находится на диске?
Или я просто неправильно понял, что на самом деле делает «Шифрование устройства»?
решение1
Однако я не понимаю, как я могу попасть на экран входа в Windows, если весь SSD зашифрован (по крайней мере, как мне хотелось бы)? Как он может прочитать ОС без ключа, чтобы расшифровать то, что находится на диске?
Этоделаетиметь ключ. Ключ шифрования BitLocker не основан на вашем пароле для входа — он полностью независим, очень похож на парольную фразу LUKS в Ubuntu.
По своей сути BitLocker в Windows работает почти так же, как LUKS в Ubuntu. Он работает на уровне раздела (не на уровне всего диска), поэтому весь раздел ОС зашифрован, но есть небольшая часть ОС, котораянетзашифрован 1 и хранится в другом разделе, который запрашивает у вас пароль «диска» или использует TPM для его автоматического получения.
Когда "Шифрование устройства" активно, парольная фраза диска шифруется ("запечатывается") с помощью TPM и сохраняется в метаданных BitLocker диска. Когда система загружается, загрузчик Windows распечатывает парольную фразу (т.е. просит TPM расшифровать ее) и может разблокировать зашифрованный том C:\дозагрузка ОС.
К тому времени, как вы дойдете до приглашения на вход в ОС, все уже будет разблокировано.
(Того же самого можно добиться в Linux с помощью systemd-cryptenroll, который использует TPM для запечатывания ключа LUKS и сохраняет его внутри заголовка LUKS2 как «токен». В этом случае незашифрованное ядро Linux+initrd — это то, что запрашивает парольную фразу или взаимодействует с TPM.)
Полная версия BitLocker (в «Pro» и более поздних версиях Windows) также поддерживает использование обычной парольной фразы без TPM. (Это не считается конкретно «шифрованием устройства», но тем не менее по сути это тот же BitLocker.) Если бы вы настроили BitLocker таким образом без TPM, вы бы также получили запрос на ввод парольной фразы от загрузчика Windows до того, как ОС сможет начать загрузку, так же, как это было в Ubuntu.
1 "Полное шифрование диска" на самом деле выполняется по разделам большую часть времени, а не по всему диску. Обычно главный раздел C:\ или Linux "/" шифруется, но "EFI System Partition" - нет.
И загрузчик Windows (который обрабатывает BitLocker), и ядро Linux+initrd (который обрабатывает LUKS) должны храниться в незашифрованном системном разделе EFI. (Аналогично в системах BIOS у вас будет незашифрованный /boot или «системный раздел Microsoft», который является эквивалентом /boot в Windows.)
Одной из важных частей всей этой установки является то, что ключ «TPM-sealed» имеетусловия для расшифровкиприкреплённый к нему – TPM фактически откажется распечатывать его, если загружена другая ОС (или если включена/отключена безопасная загрузка), так что загрузчик защищён от несанкционированного доступа, даже если он не зашифрован. Обычное шифрование на основе пароля обычно не имеет такой защиты.
На дисках Windows обычно есть раздел "Rescue" с мини-ОС только для чтения; он также не зашифрован (но защищен Secure Boot). Если у вас есть какие-либо пользовательские разделы данных на том же диске, они могут быть зашифрованы или нет; если они зашифрованы, то их пароль просто хранится где-то в C:.
решение2
От Шифрование устройства в Windows:
Шифрование устройств помогает защитить ваши данные и доступно на широком спектре устройств Windows.
Обычно, когда вы получаете доступ к своим данным, это происходит через Windows и имеет обычную защиту, связанную со входом в Windows. Однако, если кто-то захочет обойти эту защиту Windows, он может открыть корпус компьютера и извлечь физический жесткий диск. Затем, добавив ваш жесткий диск в качестве второго диска на контролируемой им машине, он сможет получить доступ к вашим данным без необходимости вводить ваши учетные данные.
Однако если ваш диск зашифрован, то когда они попытаются использовать этот метод для доступа к диску, им придется предоставить ключ дешифрования (который у них не должен быть), чтобы получить доступ к чему-либо на диске. Без ключа дешифрования данные на диске будут выглядеть для них просто как бессмыслица.
Шифрование устройства защищает от кражи ваш диск, а не ваш компьютер.
Чтобы защитить компьютер, вам нужно включить Bitlocker, который требует ключ для разблокировки компьютера, если ваш компьютер подходит для его использования. Вам следует бережно относиться к ключу Bitlocker и ключу восстановления, иначе вы рискуете потерять свои данные.
Для получения более подробной информации см. Обзор BitLocker.