Защищаем компьютеры с Windows 10/11. Часть II

А что в Windows 11 с BitLocker?

Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не претерпели серьезных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Ожидания не оправдались. По умолчанию (через BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства «два в одном»; однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остается недоступным.

PIN-код вместо пароля: это действительно безопасней?

Наконец мы добрались до PIN-кодов — того «нового» способа авторизации, который Microsoft предлагает использовать вместо «устаревшего и небезопасного» пароля. Почему — внезапно! — авторизация по паролю стала «устаревшей и небезопасной»? Приведу информацию из статьи Microsoft, в которой и описаны основные различия между подходами.

info

А знаешь ли ты, что в Windows 10 также используется (точнее, может использоваться… а может и не использоваться) модуль безопасности TPM 2.0? Разница между Windows 10 и Windows 11 не в масштабах использования TPM (здесь я не увидел принципиальных отличий), а в том, что в Windows 11 TPM обязателен, а в Windows 10 — нет. Эта, казалось бы, небольшая разница приводит к глобальным последствиям в области безопасности при использовании входа по PIN-коду вместо пароля. Подробно об этом Microsoft рассказывает в следующей статье (на английском).

В этой статье Microsoft высказывает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создает ложное ощущение безопасности. Разберем подробности. Ниже приводится цитата из статьи (Microsoft использует автоматический перевод; я сохранил орфографию оригинала):

ПИН‑код привязан к устройству

Одно важное отличие между онлайн‑паролем и ПИН‑кодом Hello состоит в том, что ПИН‑код привязан к определенному устройству, на котором он был настроен. ПИН‑код не может использоваться без конкретного оборудования. Кто‑то, кто крадет ваш пароль в Интернете, может войти в вашу учетную запись из любого места, но если он украдет ПИН‑код, им также придется украсть ваше физическое устройство!

ПИН‑код поддерживается оборудованием

ПИН‑код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Многие современные устройства имеют TPM. Windows 10, с другой стороны, имеет дефект, не связывающий локальные пароли с TPM. Именно по этой причине ПИН‑коды считаются более безопасными, чем локальные пароли.

Если воспринимать информацию буквально, создается ощущение, будто PIN-код — это своеобразная панацея, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причем пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню Miscellaneous и включить настройку, которая может называться, к примеру, Intel Platform Trust Technology (PTT). Сколько пользователей включит эту настройку, а какое количество оставит ее неизменной или просто не узнает о ее существовании?

Если TPM в системе отсутствует или не включен в UEFI BIOS, Windows 11 просто откажется от установки. А вот Windows 10 все равно предложит использовать для входа PIN-код, а Microsoft все так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учетной записи в виде хеша все так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, получится перебрать за считаные секунды).

Без модуля TPM вход в Windows по PIN-коду небезопасен

Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM 2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.

Сценарий 1: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 2: система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 3: система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 4: система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учетной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.

Очевидно, что только четвертый сценарий соответствует модели безопасности, описанной Microsoft в статье.

Можно ли использовать вход без пароля в Windows 10?

Можно. Но нужно ли?

В сентябре 2021 года компания анонсировала свое видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учетной записи Microsoft Account, запретив вход в нее по паролю. Такая учетная запись для входа в систему позволяла избавиться от хранения хеша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учетную запись Microsoft из браузера по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нем приложением Microsoft Authenticator. С учетом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность нововведения представляется несколько сомнительной. Подробнее об этом можно прочитать здесь. Новшество не получило заметного распространения из‑за неочевидных преимуществ и существенного неудобства использования.

Как Windows использует TPM при авторизации входа в систему через PIN

В документации Microsoft описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учетной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учетной записи пользователя.

Вместо того чтобы использовать TPM для хранения все большего количества данных, в Microsoft попытались обойти проблему, предоставив способ входа в учетную запись по PIN-коду и без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учетной записи: теперь защищенные DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведет к тому, что модуль TPM не отдаст нужный ключ и защищенные данные расшифровать не удастся.

В итоге в оборудованных TPM системах с Windows 10 и Windows 11 невозможно взломать PIN-код, а в Windows 11 с новым типом учетных записей с авторизацией без пароля его невозможно подобрать или использовать пароль от Microsoft Account, извлеченный из другого компьютера или учетной записи.

Выводы

Перечитав статью, я понял, что количество информации и многочисленные отсылки, «но», «если» и «да, но…» способны вскипятить содержимое черепной коробки не хуже, чем это делает документация Microsoft. Поэтому вместо заключения я хочу перечислить основные тезисы статьи в формате вопросов и ответов.

Шифрование системного диска BitLocker безопасно?

Да, если в системе есть (и активирован) модуль TPM, Intel PTT или AMD fTPM. Для полной уверенности можно включить режим шифрования с 256-битным ключом (по умолчанию используется 128-битный). Более того, политики безопасности BitLocker можно гибко настраивать (например, требуя ввести отдельный PIN-код перед загрузкой); об этих настройках я также планирую написать в одной из следующих статей.

Но ведь… уязвимости?

Большинство уязвимостей TPM носит скорее теоретический характер. Более того, они не распространяются на программную эмуляцию в виде Intel PTT или AMD fTPM, в которых уязвимостей не обнаружено.

Реальная уязвимость BitLocker (как, впрочем, и многих других систем шифрования дисков в Windows) заключается в хранении ключа шифрования в оперативной памяти компьютера. При использовании TPM системный раздел разблокируется в процессе загрузки еще до авторизации пользователя (то есть до запроса пароля или PIN-кода). Существует атака, в ходе которой модули оперативной памяти физически замораживаются, извлекаются, а их содержимое считывается и анализируется. Эта атака действительно позволяет обнаружить ключ шифрования и разблокировать диск. В то же время такая атака требует оборудованной лаборатории и работы квалифицированного специалиста; она и подобные ей атаки используются исключительно спецслужбами при расследовании особо важных дел.

За что ты так не любишь Windows 10?

А почему она продолжает работать, если в системе нет TPM? И ладно бы продолжала работать, так ведь предлагает настроить вход по PIN-коду вместо пароля! Для справки: скорость перебора паролей NTLM такова, что цифровой PIN-код, даже состоящий из шести цифр, перебирается за несколько секунд. Да, эта проблема решается включением TPM (тогда PIN-код подобрать невозможно), но возникает другая: в учетную запись Microsoft можно войти, если известен пароль от нее.

Но ведь можно не использовать учетную запись Microsoft?

Можно. Но не во всех редакциях Windows. И ты проигрываешь в удобстве (нарушается пресловутый баланс удобства и безопасности).

Так ведь и BitLocker доступен не во всех редакциях Windows!

С точки зрения Microsoft, пользователям «домашней» редакции по определению «скрывать нечего». Если ты с этим не согласен — тебе поможет VeraCrypt, о котором мы поговорим в одной из следующих статей.

Если я обновлюсь на Windows 11 и зашифрую диск, все станет безопасно?

Почти. Не забудь еще выключить вход в учетную запись по паролю; тогда и только тогда PIN-код будет защищен TPM. И кстати, проконтролируй, куда конкретно сохраняется ключ восстановления доступа BitLocker. Если в твою учетную запись Microsoft, то извлечь его оттуда — дело несложное.

А если не обновлюсь?

В принципе, сравнимого с практической точки зрения уровня безопасности можно достичь, используя локальную учетную запись Windows со стойким уникальным паролем. В теории Windows 11 будет безопаснее за счет возможности полностью отказаться от способов авторизации, не защищенных аппаратным способом (TPM).

Можно ли взломать PIN?

Да, можно — если в системе нет (или не активирован) TPM. Если же TPM активен, то аппаратный модуль будет ограничивать скорость перебора, а через какое‑то время заблокирует дальнейшие попытки.

А если у меня нет TPM?

Если твой компьютер оснащен процессором Intel 8-го поколения или более новым либо AMD Zen или более новым, то, вероятнее всего, функциональность TPM у тебя есть в виде эмулятора (Intel PTT, AMD fTPM), просто не включена в UEFI BIOS. Найди и включи.

Если же у тебя более старый компьютер, то есть варианты. О них я планирую написать в следующей статье.

Часть I.

Олег Афонин, xakep.ru