Решетки на «Окна». Защищаем компьютеры с Windows 10 и особенно — с Windows 11

Нас­коль­ко безопас­нее ста­ла Windows 11 в срав­нении с «десят­кой» и почему? Мож­но ли обе­зопа­сить Windows 10 штат­ными средс­тва­ми, не при­бегая к VeraCrypt и подоб­ным инс­тру­мен­там? И для чего же, в кон­це кон­цов, Windows 11 так нужен TPM?

Ког­да я начал раз­бирать­ся в том, как имен­но, а глав­ное — для чего в один­надца­той вер­сии Windows исполь­зуют­ся модули TPM, я чуть не сло­мал голову. Тра­дици­онно для Microsoft докумен­тация сущес­тву­ет, ее мно­го, но написан­ное в ней далеко не всег­да соот­ветс­тву­ет дей­стви­тель­нос­ти; ряд утвер­жде­ний (мы рас­смот­рим их ниже) все­ляет лож­ную уве­рен­ность в безопас­ности. Пом­нишь, сколь­ко копий было сло­мано по поводу сис­темных тре­бова­ний Windows 11? Теперь я готов поверить, что решение огра­ничить сов­мести­мость Windows 11 исклю­читель­но сис­темами, обо­рудо­ван­ными TPM, было не волей мар­кетоло­гов, а уль­тимату­мом коман­ды раз­работ­чиков: «Или компь­юте­ры без TPM идут лесом, или мы умы­ваем руки!»

Шиф­рование сис­темно­го раз­дела — пер­вый, необ­ходимый, но не всег­да дос­таточ­ный шаг к обес­печению безопас­ности сис­темы. На безопас­ность зашиф­рован­ных дан­ных может пов­лиять такая неоче­вид­ная на пер­вый взгляд вещь, как спо­соб вхо­да в сис­тему.

При­мем за акси­ому, что в тво­ем компь­юте­ре уста­нов­лен и акти­виро­ван в нас­трой­ках UEFI BIOS модуль TPM 2.0 или его ана­лог (Intel Platform Trust Technology или AMD firmware TPM). Чуть поз­же я рас­ска­жу о том, что мож­но сде­лать при его отсутс­твии, но пока рас­смот­рим работу отно­ситель­но сов­ремен­ных сис­тем.

В сети ходит мно­го неп­роверен­ной информа­ции о закон­ности или незакон­ности TPM. По слу­хам, ФСБ зап­реща­ет модули TPM из‑за того, что те могут исполь­зовать­ся для шиф­рования без зак­ладок. Не буду утом­лять тебя юри­дичес­кими под­робнос­тями (сос­тавлен­ная юрис­тами док­ладная запис­ка занима­ет нес­коль­ко лис­тов), огра­ничусь лишь крат­кими вывода­ми.

Во‑пер­вых, на ввоз в стра­ну аппа­рат­ных модулей TPM тре­бует­ся нотифи­кация (то есть для импорте­ров дей­ству­ет раз­решитель­ный режим). Во‑вто­рых, исполь­зование TPM час­тны­ми лицами внут­ри стра­ны никаких законов не наруша­ет. Наконец, в‑треть­их: эму­ляция TPM впол­не легаль­но при­сутс­тву­ет во всех про­цес­сорах Intel Core с 8-го поколе­ния, а так­же во всех про­цес­сорах с архи­тек­турой AMD Zen и более новых. Исполь­зование соот­ветс­тву­ющих фун­кций закон­ным обра­зом вве­зен­ных в стра­ну ком­плек­тующих никаких пра­вил не наруша­ет.

Что­бы вклю­чить шиф­рование сис­темно­го дис­ка, поль­зовате­лям Windows 10 и 11 всех редак­ций за исклю­чени­ем домаш­ней (Home) дос­таточ­но открыть апплет BitLocker Drive Encryption в панели управле­ния Windows. Далее нуж­но вклю­чить шиф­рование (для твер­дотель­ных накопи­телей впол­не дос­таточ­но зашиф­ровать толь­ко дан­ные; сво­бод­ное мес­то накопи­тель очи­щает самос­тоятель­но по коман­де trim) и где‑то сох­ранить (или рас­печатать) ключ вос­ста­нов­ления дос­тупа. Шиф­рование про­исхо­дит в фоновом режиме; через некото­рое вре­мя дан­ные будут зашиф­рованы, накопи­тель будет выг­лядеть сле­дующим обра­зом.

Не хотелось бы в этой статье глу­боко вда­вать­ся в под­робнос­ти механиз­ма шиф­рования BitLocker (о нем мож­но про­читать, нап­ример, здесь. В двух сло­вах: имен­но ключ вос­ста­нов­ления дос­тупа поможет тебе раз­бло­киро­вать накопи­тель, если модуль TPM по какой‑то при­чине решит не отда­вать сис­теме ключ.

В каких слу­чаях TPM может «зажать» ключ? В прин­ципе, это может про­изой­ти пос­ле любого обновле­ния про­шив­ки либо BIOS самого компь­юте­ра или любого под­клю­чен­ного устрой­ства (кро­ме USB). Еще при изме­нении аппа­рат­ной кон­фигура­ции (уста­новил новую виде­окар­ту), при обновле­нии Windows или одно­го из драй­веров, учас­тву­ющих в цепоч­ке заг­рузки. Если такое событие про­изой­дет, то цепоч­ка заг­рузки нарушит­ся (не сов­падут вычис­ленные в ре­гис­трах PCR кон­троль­ные сум­мы) и TPM не отдаст опе­раци­онной сис­теме ключ, который нужен для раз­бло­киров­ки дис­ка. Как резуль­тат — при заг­рузке сис­тема поп­росит ввес­ти код вос­ста­нов­ления дос­тупа.

Пос­коль­ку при исполь­зовании TPM дру­гого метода раз­бло­киров­ки дис­ка по умол­чанию не пре­дус­мотре­но, ключ вос­ста­нов­ления дос­тупа оста­ется единс­твен­ным спо­собом получить дос­туп к дан­ным.

По­чему же это­го не про­исхо­дит каж­дый раз, ког­да ты обновля­ешь ОС через Windows Update? Дело в том, что сис­тема зна­ет об этой осо­бен­ности BitLocker и на вре­мя уста­нов­ки отклю­чает защиту. Ров­но то же самое ты можешь про­делать вруч­ную, вос­поль­зовав­шись коман­дой Suspend protection.

Пос­ле это­го ты можешь спо­кой­но обно­вить BIOS, заменить виде­окар­ту или обно­вить про­шив­ку одно­го из устрой­ств. Пос­ле перезаг­рузки сис­тема вычис­лит новую цепоч­ку заг­рузки, которая будет счи­тать­ся доверен­ной, а шиф­рование авто­мати­чес­ки вклю­чит­ся.

Шиф­рование BitLocker дос­таточ­но надеж­но, хотя исполь­зующий­ся 128-бит­ный ключ вызыва­ет некото­рые сом­нения в кон­тек­сте потен­циаль­ной уяз­вимос­ти для кван­товых компь­юте­ров. Если тебя это бес­поко­ит — вклю­чи 256-бит­ное шиф­рование в нас­трой­ках груп­повых политик, как показа­но на скрин­шоте. Сде­лать это необ­ходимо до того, как диск будет зашиф­рован; нас­трой­ка не вли­яет на уже соз­данные зашиф­рован­ные дис­ки.

Про­верить, что получи­лось, мож­но коман­дой manage-bde -status.

Volume C: [NVME]
[OS Volume]
Size: 930,40 GB
BitLocker Version: 2.0c
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password

Еще один свя­зан­ный с BitLocker риск воз­ника­ет из‑за того, что модуль TPM выдаст ключ шиф­рования, а Windows авто­мати­чес­ки смон­тиру­ет зашиф­рован­ный диск в про­цес­се заг­рузки, если цепоч­ка доверен­ной заг­рузки не была наруше­на. Таким обра­зом, к момен­ту, ког­да Windows зап­рашива­ет твой пароль (или иден­тифика­цию через Windows Hello), зашиф­рован­ный диск уже смон­тирован, а ключ шиф­рования… Он, в отли­чие от сис­тем с macOS, обо­рудо­ван­ных чипом T2, хра­нит­ся в опе­ратив­ной памяти в чис­том, незащи­щен­ном виде. Да, зло­умыш­ленник не смо­жет раз­бло­киро­вать компь­ютер, не зная пароля от тво­ей учет­ной записи (или не вос­поль­зовав­шись тво­ими биомет­ричес­кими дан­ными для вхо­да через Windows Hello), одна­ко сущес­тву­ют спо­собы извлечь ключ шиф­рования из опе­ратив­ной памяти. Впро­чем, спо­собы эти нас­толь­ко тех­ничес­ки слож­ные, что исполь­зуют их край­не ред­ко и толь­ко при рас­сле­дова­нии гром­ких дел.

Сре­ди про­чего Windows Hello может работать с дат­чиками отпе­чат­ков паль­цев и инфрак­расны­ми виде­ока­мера­ми. Чем‑то подоб­ным обо­рудо­ваны прак­тичес­ки все сов­ремен­ные ноут­буки, но ник­то не зап­реща­ет тебе под­клю­чить такое устрой­ство и к дес­кто­пу.

На­конец, в самих модулях TPM (а точ­нее, в ком­муника­цион­ном про­токо­ле, по которо­му этот модуль обща­ется с сис­темой) сущес­тву­ет даже не уяз­вимость, а огромная зияющая дыра: дан­ные, в том чис­ле ключ к зашиф­рован­ному дис­ку, переда­ются в откры­том виде, и их дос­таточ­но прос­то перех­ватить. Под­робнее об этом читай в нашей статье «Страш­ный сон TPM. Взла­мыва­ем защиту модулей TPM и шиф­рование BitLocker».

Впро­чем, эта уяз­вимость сра­баты­вает толь­ко при исполь­зовании внеш­них модулей TPM, которые под­клю­чают­ся к материн­ской пла­те через спе­циаль­ный разъ­ем. Эму­лято­ры Intel PTT и AMD fTPM этой уяз­вимос­ти не под­верже­ны и, соот­ветс­твен­но, обла­дают более высоким в срав­нении с отдель­ными модуля­ми уров­нем безопас­ности.

Все перечис­ленные рис­ки дей­стви­тель­но сущес­тву­ют, но в реаль­нос­ти их вли­яние на безопас­ность минималь­но: при вклю­чении шиф­рования сис­темно­го дис­ка фай­лы под­качки и гибер­нации шиф­руют­ся вмес­те с осталь­ными дан­ными, а извлечь ключ шиф­рования из модуля TPM невоз­можно, как невоз­можно его перех­ватить при исполь­зовании эму­ляции TPM. Если для вхо­да в сис­тему ты исполь­зуешь локаль­ную учет­ную запись, пароль от которой слож­ный, уни­каль­ный, ниг­де более не исполь­зует­ся и не хра­нит­ся, то и подоб­рать его не пред­став­ляет­ся воз­можным (напом­ню, что­бы взло­мать пароль NTLM, нуж­но для начала вытащить базу дан­ных SAM, которая зашиф­рована вмес­те с осталь­ными дан­ными, и подоб­рать­ся к ней, не раз­бло­киро­вав сна­чала зашиф­рован­ный диск, не удас­тся).

Сов­сем ина­че выг­лядит уяз­вимость, свя­зан­ная с новым типом учет­ных записей Microsoft Account, которые появи­лись еще во вре­мена Windows 8.

В Windows 10 пре­дус­мотре­но нес­коль­ко типов учет­ных записей, из которых мы рас­смот­рим две: локаль­ную учет­ную запись (Windows account) и учет­ную запись Microsoft (Microsoft account). По поводу обыч­ных учет­ных записей все ясно: она безопас­на ров­но нас­толь­ко, нас­коль­ко безопа­сен (сло­жен и уни­кален) при­думан­ный тобой пароль. А вот если исполь­зует­ся учет­ная запись Microsoft, дело при­нима­ет куда более инте­рес­ный обо­рот.

От­мечу еще один факт. Для пор­татив­ных устрой­ств с BitLocker Device Encryption ОС авто­мати­чес­ки соз­дает ключ вос­ста­нов­ления при шиф­ровании сис­темно­го раз­дела. Ключ вос­ста­нов­ления будет так­же авто­мати­чес­ки заг­ружен в учет­ную запись Microsoft пер­вого поль­зовате­ля, который вой­дет в сис­тему на этом компь­юте­ре с пра­вами адми­нис­тра­тора и исполь­зует учет­ные дан­ные Microsoft для авто­риза­ции. Этот ключ может получить любой поль­зователь, прос­то вой­дя в учет­ную запись Microsoft от тво­его име­ни и перей­дя по сле­дующей ссыл­ке: https://account.microsoft.com/devices/recoverykey.

Как работа­ют и для чего нуж­ны учет­ные записи Microsoft? В Windows 10 (а так­же в Windows 8 и 8.1) для вхо­да в сис­тему мож­но исполь­зовать не толь­ко локаль­ную учет­ную запись, но и учет­ную запись Microsoft Account — ту самую, через которую ты получа­ешь дос­туп к онлай­новому поч­товому сер­вису Hotmail, мес­сен­дже­ру Skype, облачно­му хра­нили­щу OneDrive, под­писке на Office 365 и мно­гим дру­гим сер­висам Microsoft. В пос­леду­ющих выпус­ках Windows учет­ным записям Microsoft Account при­давал­ся все боль­ший вес, а уста­нов­ка ОС без нее ста­нови­лась все более слож­ной. В млад­ших редак­циях Windows исполь­зование локаль­ного логина и пароля и вов­се огра­ничи­ли: нас­тро­ить сис­тему при уста­нов­ке мож­но исклю­читель­но с исполь­зовани­ем онлай­новой учет­ной записи.

Пер­вый вход в учет­ную запись Microsoft Account тре­бует наличия активно­го соеди­нения с интерне­том. Дан­ные учет­ной записи про­веря­ются Microsoft на уда­лен­ном сер­вере, пос­ле чего хеш от пароля сох­раня­ется (кеширу­ется) на компь­юте­ре; это поз­воля­ет вхо­дить в учет­ную запись, ког­да соеди­нение отсутс­тву­ет. У такого поведе­ния есть и обратная сто­рона: если сис­темный диск не зашиф­рован, то хеш мож­но извлечь из соот­ветс­тву­ющей базы дан­ных на компь­юте­ре, пос­ле чего вос­ста­новить ори­гиналь­ный пароль через быс­трую офлай­новую ата­ку.

Под­чер­кну, что вос­ста­нав­лива­ется имен­но пароль от учет­ной записи Microsoft Account, с помощью которо­го мож­но авто­ризо­вать­ся не толь­ко на ата­куемом компь­юте­ре, но и в онлай­новых сер­висах Microsoft, получив, таким обра­зом, дос­туп к перепис­ке в Hotmail, чатам Skype, фай­лам OneDrive и дру­гой информа­ции. Более того, в учет­ных записях Microsoft хра­нят­ся в том чис­ле и депони­рован­ные клю­чи BitLocker, исполь­зующиеся для вос­ста­нов­ления дос­тупа к зашиф­рован­ным дис­кам. Добав­лю, что ско­рость ата­ки на пароли Windows исклю­читель­но высокая, а это поз­воля­ет (в отсутс­твие шиф­рования) в разум­ные сро­ки вос­ста­нав­ливать даже дос­таточ­но слож­ные пароли. Ког­да‑то дав­но я уже писал об этой уяз­вимос­ти в статье «Microsoft Account: удобс­тво или дыра в безопас­ности?».

Ис­поль­зование двух­фактор­ной аутен­тифика­ции может защитить содер­жимое онлай­новой учет­ной записи, одна­ко пароль от учет­ной записи Microsoft, извле­чен­ный, нап­ример, из тво­его телефо­на или с дру­гого компь­юте­ра, шиф­рование на котором не вклю­чено, поз­воля­ет раз­бло­киро­вать и твой компь­ютер с TPM, даже если его сис­темный диск зашиф­рован.

Раз­работ­чики Microsoft пред­ложили допол­нитель­ные спо­собы авто­риза­ции — в пер­вую оче­редь вход по PIN-коду (о нем будет чуть ниже). Одна­ко даже вклю­чение логина по PIN-коду не реша­ет ни одной из двух проб­лем: воз­можнос­ти вос­ста­нов­ления ори­гиналь­ного пароля от онлай­новой учет­ной записи через быс­трую офлай­новую ата­ку (если сис­темный диск компь­юте­ра не зашиф­рован) и воз­можнос­ти раз­бло­киро­вать зашиф­рован­ный диск паролем от учет­ной записи Microsoft, если его уда­лось узнать, под­смот­реть или извлечь с дру­гого устрой­ства.

Под­водя итог, проб­лемы с логином в Windows при исполь­зовании учет­ной записи Microsoft мож­но сфор­мулиро­вать сле­дующим обра­зом.

Имен­но эти проб­лемы раз­работ­чики Microsoft решили испра­вить в Windows 11, добавив новый тип учет­ных записей Microsoft, пароль для вхо­да в которые не тре­бует­ся.

В новой вер­сии ОС раз­работ­чики геро­ичес­ки пре­одо­лева­ют пос­ледс­твия ста­рого, еще вре­мен Windows 8, решения исполь­зовать для вхо­да в сис­тему логин и пароль от онлай­новой учет­ной записи. Как мож­но обе­зопа­сить компь­ютер от вхо­да по паролю от учет­ной записи Microsoft, который зло­умыш­ленник может под­смот­реть или извлечь из тво­его телефо­на? Конеч­но же, зап­ретив исполь­зование это­го пароля для вхо­да в сис­тему! Впро­чем, пока воз­держим­ся от фей­спал­ма, бла­го раз­работ­чики Microsoft решили проб­лему не нас­толь­ко пря­моли­ней­но.

Итак, в Windows 11 появ­ляет­ся новый тип учет­ных записей, исполь­зующих для авто­риза­ции вхо­да в сис­тему Microsoft Account, которым не нужен пароль от онлай­новой учет­ной записи. При исполь­зовании таких уче­ток для вхо­да в сис­тему не тре­бует­ся (да и невоз­можно) вво­дить пароль от учет­ной записи Microsoft; вмес­то пароля исполь­зует­ся PIN-код или биомет­ричес­кие дан­ные под­систе­мы Windows Hello (нап­ример, виде­опо­ток с сер­тифици­рован­ной инфрак­расной сте­реока­меры или дан­ные дат­чика отпе­чат­ков паль­цев). О том, где хра­нит­ся PIN-код и почему такой спо­соб авто­риза­ции замет­но безопас­нее вхо­да по паролю, рас­ска­жу даль­ше; сей­час же перечис­лим дос­тупные в Windows 11 для обыч­ного (не домен­ного) поль­зовате­ля спо­собы вхо­да в сис­тему.

В Windows 11 под­держи­вают­ся спо­собы вхо­да как по паролю, так и без него. Режим вхо­да без пароля исполь­зует­ся в новом типе учет­ных записей и вклю­чает­ся по умол­чанию как во вре­мя уста­нов­ки Windows 11 на новый компь­ютер, так и при соз­дании новой учет­ной записи на компь­юте­рах, на которых Windows 11 была уста­нов­лена в виде обновле­ния Windows 10. В то же вре­мя сущес­тву­ющие в Windows 10 учет­ные записи, в которых для вхо­да исполь­зовал­ся пароль, оста­ются в Windows 11 в неиз­менном виде. Что­бы вклю­чить вход без пароля, поль­зовате­лю необ­ходимо выб­рать соот­ветс­тву­ющую опцию в нас­трой­ках сис­темы (Sign-in options).

Так­же этот спо­соб вхо­да мож­но акти­виро­вать через Windows Registry.

По­дыто­жим:

Ни сам механизм BitLocker, ни полити­ки шиф­рования в Windows 11 не пре­тер­пели серь­езных изме­нений в срав­нении с Windows 10. Пос­ле анон­са Windows 11 у мно­гих обоз­ревате­лей воз­никло впе­чат­ление, что Microsoft будет шиф­ровать сис­темный раз­дел Windows 11 так же, как это дела­ют про­изво­дите­ли смар­тфо­нов. Ожи­дания не оправда­лись. По умол­чанию (через BitLocker Device Encryption) шиф­руют­ся лишь обо­рудо­ван­ные TPM пор­татив­ные устрой­ства — ноут­буки, план­шеты и устрой­ства «два в одном»; одна­ко точ­но таким же обра­зом шиф­рование вклю­чалось и в Windows 8, и в Windows 10. При уста­нов­ке Windows 11 на нас­толь­ный компь­ютер шиф­рование по умол­чанию не вклю­чает­ся; более того, что­бы исполь­зовать BitLocker, тре­бует­ся редак­ция Windows 11 Pro, Enterprise или Education. Для поль­зовате­лей млад­шей редак­ции Home шиф­рование оста­ется недос­тупным.

На­конец мы доб­рались до PIN-кодов — того «нового» спо­соба авто­риза­ции, который Microsoft пред­лага­ет исполь­зовать вмес­то «уста­рев­шего и небезо­пас­ного» пароля. Почему — вне­зап­но! — авто­риза­ция по паролю ста­ла «уста­рев­шей и небезо­пас­ной»? При­веду информа­цию из статьи Microsoft, в которой и опи­саны основные раз­личия меж­ду под­ходами.

А зна­ешь ли ты, что в Windows 10 так­же исполь­зует­ся (точ­нее, может исполь­зовать­ся… а может и не исполь­зовать­ся) модуль безопас­ности TPM 2.0? Раз­ница меж­ду Windows 10 и Windows 11 не в мас­шта­бах исполь­зования TPM (здесь я не уви­дел прин­ципи­аль­ных отли­чий), а в том, что в Windows 11 TPM обя­зате­лен, а в Windows 10 — нет. Эта, казалось бы, неболь­шая раз­ница при­водит к гло­баль­ным пос­ледс­тви­ям в области безопас­ности при исполь­зовании вхо­да по PIN-коду вмес­то пароля. Под­робно об этом Microsoft рас­ска­зыва­ет в сле­дующей статье (на англий­ском).

В этой статье Microsoft выс­казыва­ет нес­коль­ко не впол­не кор­рек­тных утвер­жде­ний, «оче­вид­ная» интер­пре­тация которых соз­дает лож­ное ощу­щение безопас­ности. Раз­берем под­робнос­ти. Ниже при­водит­ся цитата из статьи (Microsoft исполь­зует авто­мати­чес­кий перевод; я сох­ранил орфогра­фию ори­гина­ла):

Од­но важ­ное отли­чие меж­ду онлайн‑паролем и ПИН‑кодом Hello сос­тоит в том, что ПИН‑код при­вязан к опре­делен­ному устрой­ству, на котором он был нас­тро­ен. ПИН‑код не может исполь­зовать­ся без кон­крет­ного обо­рудо­вания. Кто‑то, кто кра­дет ваш пароль в Интерне­те, может вой­ти в вашу учет­ную запись из любого мес­та, но если он укра­дет ПИН‑код, им так­же при­дет­ся украсть ваше физичес­кое устрой­ство!

ПИН‑код Hello под­держи­вает­ся мик­росхе­мой доверен­ного плат­формен­ного модуля (TPM), пред­став­ляющей собой надеж­ный крип­тогра­фичес­кий про­цес­сор для выпол­нения опе­раций шиф­рования. Эта мик­росхе­ма содер­жит нес­коль­ко механиз­мов физичес­кой защиты для пре­дот­вра­щения взло­ма, и вре­донос­ные прог­раммы не могут обой­ти фун­кции безопас­ности TPM. Мно­гие сов­ремен­ные устрой­ства име­ют TPM. Windows 10, с дру­гой сто­роны, име­ет дефект, не свя­зыва­ющий локаль­ные пароли с TPM. Имен­но по этой при­чине ПИН‑коды счи­тают­ся более безопас­ными, чем локаль­ные пароли.

Ес­ли вос­при­нимать информа­цию бук­валь­но, соз­дает­ся ощу­щение, буд­то PIN-код — это сво­еоб­разная панацея, всег­да хра­нит­ся в модуле TPM и не может быть взло­ман. Это не так. Дело в том, что Windows 10 работа­ет как на компь­юте­рах с модулем TPM, так и без него, при­чем поль­зовате­лю об этом сис­тема не сооб­щает. Более того, даже на компь­юте­рах, в про­шив­ке которых при­сутс­тву­ет эму­ляция TPM, эта эму­ляция чаще все­го по умол­чанию отклю­чена — поль­зовате­лю пред­лага­ется самос­тоятель­но зай­ти в UEFI BIOS, отыс­кать меню Miscellaneous и вклю­чить нас­трой­ку, которая может называть­ся, к при­меру, Intel Platform Trust Technology (PTT). Сколь­ко поль­зовате­лей вклю­чит эту нас­трой­ку, а какое количес­тво оста­вит ее неиз­менной или прос­то не узна­ет о ее сущес­тво­вании?

Ес­ли TPM в сис­теме отсутс­тву­ет или не вклю­чен в UEFI BIOS, Windows 11 прос­то отка­жет­ся от уста­нов­ки. А вот Windows 10 все рав­но пред­ложит исполь­зовать для вхо­да PIN-код, а Microsoft все так же будет убеж­дать, что этот спо­соб вхо­да более безопа­сен по срав­нению с паролем. Это не так. Пароль от учет­ной записи в виде хеша все так же хра­нит­ся на дис­ке, а сам PIN-код с компь­юте­ра без TPM мож­но взло­мать прос­тым перебо­ром (циф­ровые PIN-коды, даже шес­тизнач­ные, получит­ся переб­рать за счи­таные секун­ды).

Сов­сем ина­че дела обсто­ят в слу­чае, если в сис­теме при­сутс­тву­ет и акти­виро­ван модуль TPM 2.0 в физичес­ком виде либо в виде про­цес­сорной эму­ляции. Рас­смот­рим поведе­ние сис­темы в сле­дующих сце­нари­ях, которые мы про­тес­тирова­ли в нашей лабора­тории.

Сце­нарий 1: сис­тема с Windows 10 (вход по PIN-коду) без TPM перено­сит­ся на дру­гой компь­ютер без TPM. Перено­сит­ся физичес­кий диск с уста­нов­ленной ОС. Резуль­тат: вход по PIN-коду сра­баты­вает на новом компь­юте­ре так же, как и на ста­ром.

Сце­нарий 2: сис­тема с Windows 10 (вход по PIN-коду) без TPM перено­сит­ся на дру­гой компь­ютер без TPM. Перено­сит­ся толь­ко копия раз­дела с уста­нов­ленной ОС; аппа­рат­ное обес­печение меж­ду дву­мя компь­юте­рами не сов­пада­ет ни по одной позиции. Резуль­тат: вход по PIN-коду сра­баты­вает на новом компь­юте­ре так же, как и на ста­ром.

Сце­нарий 3: сис­тема с Windows 10 (вход по PIN-коду) без TPM перено­сит­ся на компь­ютер с уста­нов­ленным и активным модулем TPM. Перено­сит­ся толь­ко копия раз­дела с уста­нов­ленной ОС; аппа­рат­ное обес­печение меж­ду дву­мя компь­юте­рами не сов­пада­ет ни по одной позиции. Резуль­тат: вход по PIN-коду сра­баты­вает на новом компь­юте­ре так же, как и на ста­ром.

Сце­нарий 4: сис­тема с Windows 10 (вход по PIN-коду) с активным модулем TPM перено­сит­ся на дру­гой компь­ютер с активным модулем TPM. Перено­сит­ся копия раз­дела с уста­нов­ленной ОС; аппа­рат­ное обес­печение меж­ду дву­мя компь­юте­рами не сов­пада­ет. Резуль­тат: вход по PIN-коду на новом компь­юте­ре не сра­баты­вает; для вхо­да тре­бует­ся пароль от учет­ной записи; для исполь­зования PIN-кода пот­ребова­лось уда­лить ста­рый PIN и нас­тро­ить новый.

Оче­вид­но, что толь­ко чет­вертый сце­нарий соот­ветс­тву­ет модели безопас­ности, опи­сан­ной Microsoft в статье.

Мож­но. Но нуж­но ли?

В сен­тябре 2021 года ком­пания анон­сирова­ла свое ви­дение будуще­го без паролей. Поль­зовате­лям оче­ред­ной сбор­ки Windows 10 пред­лагалось изме­нить нас­трой­ки учет­ной записи Microsoft Account, зап­ретив вход в нее по паролю. Такая учет­ная запись для вхо­да в сис­тему поз­воляла изба­вить­ся от хра­нения хеша пароля на локаль­ном компь­юте­ре. В то же вре­мя поль­зователь терял воз­можность вой­ти в учет­ную запись Microsoft из бра­узе­ра по логину и паролю; для успешно­го вхо­да тре­бовал­ся дос­туп к доверен­ному телефон­ному номеру или ранее авто­ризо­ван­ному устрой­ству с уста­нов­ленным на нем при­ложе­нием Microsoft Authenticator. С уче­том того, что дан­ное при­ложе­ние дос­тупно исклю­читель­но для смар­тфо­нов на iOS и Android (но не для компь­юте­ров под управле­нием Windows), целесо­образность новов­ведения пред­став­ляет­ся нес­коль­ко сом­нитель­ной. Под­робнее об этом мож­но про­читать здесь. Нов­шес­тво не получи­ло замет­ного рас­простра­нения из‑за неоче­вид­ных пре­иму­ществ и сущес­твен­ного неудобс­тва исполь­зования.

В до­кумен­тации Microsoft опи­саны спо­собы, которы­ми Windows может исполь­зовать аппа­рат­ный модуль безопас­ности. Реаль­ность зна­читель­но скром­нее: «может» не озна­чает «исполь­зует». Так, пароли, которые поль­зователь хра­нит в бра­узе­ре Microsoft Edge, защище­ны механиз­мом DPAPI, но ключ шиф­рования хра­нит­ся на сис­темном дис­ке (он зашиф­рован дан­ными учет­ной записи) и не защища­ется TPM, что поз­воля­ет извлечь эти пароли из обра­за дис­ка, если известен пароль от учет­ной записи поль­зовате­ля.

Вмес­то того что­бы исполь­зовать TPM для хра­нения все боль­шего количес­тва дан­ных, в Microsoft попыта­лись обой­ти проб­лему, пре­дос­тавив спо­соб вхо­да в учет­ную запись по PIN-коду и без пароля. Имен­но этот спо­соб — и толь­ко на сис­темах с TPM! — поз­воля­ет говорить о безопас­ности учет­ной записи: теперь защищен­ные DPAPI дан­ные невоз­можно рас­шифро­вать, не вой­дя в сис­тему, а вой­ти в сис­тему мож­но исклю­читель­но по PIN-коду (или через Windows Hello), который будет про­верять­ся аппа­рат­ным модулем TPM. Любое изме­нение в кон­фигура­ции сис­темы (как изме­нение аппа­рат­ной час­ти, так и заг­рузка с внеш­него накопи­теля) при­ведет к тому, что модуль TPM не отдаст нуж­ный ключ и защищен­ные дан­ные рас­шифро­вать не удас­тся.

В ито­ге в обо­рудо­ван­ных TPM сис­темах с Windows 10 и Windows 11 невоз­можно взло­мать PIN-код, а в Windows 11 с новым типом учет­ных записей с авто­риза­цией без пароля его невоз­можно подоб­рать или исполь­зовать пароль от Microsoft Account, извле­чен­ный из дру­гого компь­юте­ра или учет­ной записи.

Пе­речи­тав статью, я понял, что количес­тво информа­ции и мно­гочис­ленные отсылки, «но», «если» и «да, но…» спо­соб­ны вски­пятить содер­жимое череп­ной короб­ки не хуже, чем это дела­ет докумен­тация Microsoft. Поэто­му вмес­то зак­лючения я хочу перечис­лить основные тезисы статьи в фор­мате воп­росов и отве­тов.

Шиф­рование сис­темно­го дис­ка BitLocker безопас­но?

Да, если в сис­теме есть (и акти­виро­ван) модуль TPM, Intel PTT или AMD fTPM. Для пол­ной уве­рен­ности мож­но вклю­чить режим шиф­рования с 256-бит­ным клю­чом (по умол­чанию исполь­зует­ся 128-бит­ный). Более того, полити­ки безопас­ности BitLocker мож­но гиб­ко нас­тра­ивать (нап­ример, тре­буя ввес­ти отдель­ный PIN-код перед заг­рузкой); об этих нас­трой­ках я так­же пла­нирую написать в одной из сле­дующих ста­тей.

Но ведь… уяз­вимос­ти?

Боль­шинс­тво уяз­вимос­тей TPM носит ско­рее теоре­тичес­кий харак­тер. Более того, они не рас­простра­няют­ся на прог­рам­мную эму­ляцию в виде Intel PTT или AMD fTPM, в которых уяз­вимос­тей не обна­руже­но.

Ре­аль­ная уяз­вимость BitLocker (как, впро­чем, и мно­гих дру­гих сис­тем шиф­рования дис­ков в Windows) зак­люча­ется в хра­нении клю­ча шиф­рования в опе­ратив­ной памяти компь­юте­ра. При исполь­зовании TPM сис­темный раз­дел раз­бло­киру­ется в про­цес­се заг­рузки еще до авто­риза­ции поль­зовате­ля (то есть до зап­роса пароля или PIN-кода). Сущес­тву­ет ата­ка, в ходе которой модули опе­ратив­ной памяти физичес­ки замора­жива­ются, извле­кают­ся, а их содер­жимое счи­тыва­ется и ана­лизи­рует­ся. Эта ата­ка дей­стви­тель­но поз­воля­ет обна­ружить ключ шиф­рования и раз­бло­киро­вать диск. В то же вре­мя такая ата­ка тре­бует обо­рудо­ван­ной лабора­тории и работы ква­лифи­циро­ван­ного спе­циалис­та; она и подоб­ные ей ата­ки исполь­зуют­ся исклю­читель­но спец­служ­бами при рас­сле­дова­нии осо­бо важ­ных дел.

За что ты так не любишь Windows 10?

А почему она про­дол­жает работать, если в сис­теме нет TPM? И лад­но бы про­дол­жала работать, так ведь пред­лага­ет нас­тро­ить вход по PIN-коду вмес­то пароля! Для справ­ки: ско­рость перебо­ра паролей NTLM такова, что циф­ровой PIN-код, даже сос­тоящий из шес­ти цифр, переби­рает­ся за нес­коль­ко секунд. Да, эта проб­лема реша­ется вклю­чени­ем TPM (тог­да PIN-код подоб­рать невоз­можно), но воз­ника­ет дру­гая: в учет­ную запись Microsoft мож­но вой­ти, если известен пароль от нее.

Но ведь мож­но не исполь­зовать учет­ную запись Microsoft?

Мож­но. Но не во всех редак­циях Windows. И ты про­игры­ваешь в удобс­тве (наруша­ется прес­ловутый баланс удобс­тва и безопас­ности).

Так ведь и BitLocker дос­тупен не во всех редак­циях Windows!

С точ­ки зре­ния Microsoft, поль­зовате­лям «домаш­ней» редак­ции по опре­деле­нию «скры­вать нечего». Если ты с этим не сог­ласен — тебе поможет VeraCrypt, о котором мы погово­рим в одной из сле­дующих ста­тей.

Ес­ли я обновлюсь на Windows 11 и зашиф­рую диск, все ста­нет безопас­но?

Поч­ти. Не забудь еще вык­лючить вход в учет­ную запись по паролю; тог­да и толь­ко тог­да PIN-код будет защищен TPM. И кста­ти, про­кон­тро­лируй, куда кон­крет­но сох­раня­ется ключ вос­ста­нов­ления дос­тупа BitLocker. Если в твою учет­ную запись Microsoft, то извлечь его отту­да — дело нес­ложное.

А если не обновлюсь?

В прин­ципе, срав­нимого с прак­тичес­кой точ­ки зре­ния уров­ня безопас­ности мож­но дос­тичь, исполь­зуя локаль­ную учет­ную запись Windows со стой­ким уни­каль­ным паролем. В теории Windows 11 будет безопас­нее за счет воз­можнос­ти пол­ностью отка­зать­ся от спо­собов авто­риза­ции, не защищен­ных аппа­рат­ным спо­собом (TPM).

Мож­но ли взло­мать PIN?

Да, мож­но — если в сис­теме нет (или не акти­виро­ван) TPM. Если же TPM акти­вен, то аппа­рат­ный модуль будет огра­ничи­вать ско­рость перебо­ра, а через какое‑то вре­мя заб­локиру­ет даль­нейшие попыт­ки.

А если у меня нет TPM?

Ес­ли твой компь­ютер осна­щен про­цес­сором Intel 8-го поколе­ния или более новым либо AMD Zen или более новым, то, веро­ятнее все­го, фун­кци­ональ­ность TPM у тебя есть в виде эму­лято­ра (Intel PTT, AMD fTPM), прос­то не вклю­чена в UEFI BIOS. Най­ди и вклю­чи.

Ес­ли же у тебя более ста­рый компь­ютер, то есть вари­анты. О них я пла­нирую написать в сле­дующей статье.

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
- Киб.Безопасность: Access Allowed
- IT Агрегатор : Бункер Айтишника