Windows Vista. Для профессионалов
Шрифт:
Рис. 7.4. Мастер шифрования содержимого раздела диска
Мастер содержит следующие возможности.
• Запрашивать USB-ключ запуска при запуске – если вы решили зашифровать содержимое раздела, то необходимо воспользоваться данной кнопкой, чтобы сохранить загрузочный ключ (он будет запрашиваться при попытке запуска операционной системы, если вы шифруете загрузочный раздел) на USB-носителе, который нужно будет выбрать из списка USB-носителей, подключенных к компьютеру.
После того как вы нажмете кнопку Сохранить, загрузочный ключ будет сохранен на USB-носителе, а вам будет предложено установить пароль восстановления. Пароль восстановления создается автоматически (вы его не вводите), а вы можете также сохранить его на USB-носителе или в папке, отобразить на экране либо распечатать на принтере.
Это последний шаг мастера шифрования выбранного раздела диска. После того как вы сохраните пароль восстановления и нажмете кнопку Зашифровать, начнется процесс шифрования раздела диска. Учтите, что в случае большого объема раздела диска процесс шифрования может занять много времени (шифруются не только используемые кластеры раздела диска, а полностью весь раздел диска, независимо от того, сколько места на нем используется). Также учтите, что для работы механизма Шифрование диска BitLocker операционная система обязательно создает дополнительный раздел объемом 1,5 Гбайт.
• Запрашивать PIN-код при запуске – позволяет установить загрузочный PIN.
• Использовать BitLocker без дополнительных ключей – разрешает отключить механизм использования загрузочного ключа или ПИН-кода при выполнении загрузки с зашифрованного раздела.
Программа fveupdate.exeРасположение: %systemroot%\system32\fveupdate.ехе.
В операционной системе Windows Vista присутствует программа командной
Данная программа имеет следующие параметры, выполняющие запрос на обслуживание.
• /memtest – программы memtest.ехе.
• /bootmgr – загрузочного меню.
• /windowsbootenvironment – программ загрузки операционной системы winload.ехе и winresume.ехе.
Работа с WMIДля работы с BitLocker можно также использовать новый класс репозитария управления CIM. Он содержит обширный набор методов, которые предоставляют доступ к основным возможностям работы механизма Шифрование диска BitLocker. Он находится в пространстве имен \\. \root\cimv2\Security\ MicrosoftVolumeEncryption и называется Win32_EncryptableVolume. Класс поддерживает следующие свойства.
• DevicelD, тип: string – является ключевым. Оно определяет уникальный идентификатор раздела.
• DriveLetter, тип: string – содержит букву раздела, который описывается данным экземпляром класса.
• PersistentVolumelD, тип: string – хранит постоянный идентификатор раздела.
Данный класс также поддерживает следующие методы.
• ClearAllAutoUnlockKeys – очищает все ключи разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Decrypt – расшифровывает зашифрованный файл.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DeleteKeyProtector – удаляет ключ защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• DeleteKeyProtectors – удаляет ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableAutoUnlock – запрещает выполнение автоматической разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableKeyProtectors – запрещает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• EnableAutoUnlock – разрешает выполнение автоматической разблокировки.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• EnableKeyProtectors – разрешает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Encrypt – шифрует файл.
Входящий параметр: определяет метод шифрования, имеет тип uint32. Возвращаемые параметры: нет.
• GetConversionStatus – возвращает статус конверсии файла.
Входящие параметры: нет.
Возвращаемые параметры:
– определяет статус конверсии, имеет тип uint32;
– определяет процент шифрования, имеет тип uint32.
• GetEncryptionMethod – возвращает используемый метод шифрования.
Входящие параметры: нет.
Возвращаемый параметр: определяет метод шифрования, имеет тип uint32.
• GetExternalKeyFileName – возвращает путь к файлу, содержащему внешний ключ.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий путь к файлу.
• GetExternalKeyFromFile – возвращает внешний ключ, полученный из файла.
Входящий параметр: строковый параметр, определяющий путь к файлу.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorExternalKey – возвращает ключ защиты для внешнего ключа.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorFriendlyName – возвращает имя ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий имя ключа защиты.
• GetKeyProtectorNumericalPassword – возвращает пароль ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий пароль ключа защиты.
• GetKeyProtectorPlatf ormValidationProf Не – возвращает платформы аутентификации профиля, поддерживаемые ключом защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: массив параметров типа uint8, определяющих платформы аутентификации профиля.
• GetKeyProtectors – возвращает ключи защиты.
Входящий параметр: определяет тип ключа защиты, имеет тип uint32.
Возвращаемый параметр: массив строковых параметров, определяющий идентификаторы метки ключа защиты.
• GetKeyProtectorType – возвращает тип ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: определяет тип ключа защиты, имеет тип uint32.
• GetLockStatus – возвращает статус блокировки.
Входящие параметры: нет.
Возвращаемый параметр: определяет статус блокировки, имеет тип uint32.
• GetProtectionStatus – возвращает статус защиты.
Входящие параметры: нет.
Возвращаемый параметр: определяет статус защиты, имеет тип uint32.
• IsAutoUnlockEnabled – указывает, разрешена ли автоматическая разблокировка.
Входящие параметры: нет.
Возвращаемые параметры:
– определяет, разрешена ли автоматическая разблокировка, имеет тип boolean;
– строковый параметр, определяющий идентификатор метки ключа защиты.
• IsAutoUnlockKeyStored – указывает, разрешена ли автоматическая разблокировка хранилища ключей.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешена ли автоматическая разблокировка хранилища ключей, имеет тип boolean.
• IsKeyProtectorAvailable – определяет, разрешен ли ключ защиты.
Входящий параметр: определяет тип ключа защиты, имеет тип uint32.
Возвращаемый параметр: определяет, разрешен ли ключ защиты, имеет тип boolean.
• IsNumericalPasswordValid – указывает, является ли пароль истинным.
Входящий параметр: содержит пароль, имеет тип uint32.
Возвращаемый параметр: определяет, является ли пароль истинным, имеет тип boolean.
• Lock – выполняет блокировку.
Входящий параметр: определяет, будет ли выполняться принудительная блокировка, имеет тип boolean.
Возвращаемые параметры: нет.
• PauseConversion – приостанавливает конверсию.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• ProtectKeyWithExternalKey – ключ защиты с внешним ключом.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих внешний ключ.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithNumericalPassword – ключ защиты с паролем.
Входящие строковые параметры, определяющие:
– имя;
– пароль.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPM – ключ защиты с ТРМ.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPMAndPIN – ключ защиты с ТРМ и ПИН-код.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем;
– строковый параметр, определяющий ПИН-код.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPMAndStartupKey – ключ защиты с ТРМ и загрузочным ключом.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем;
– массив параметров типа uint8, определяющих внешний ключ.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ResumeConversion – продолжает конверсию.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• SaveExternalKeyToFile – сохраняет внешний ключ в файле.
Входящие строковые параметры, определяющие:
– идентификатор метки ключа защиты;
– путь к файлу. Возвращаемые параметры: нет.
• UnlockWithExternalKey – выполняет разблокировку на основе внешнего ключа.
Входящие параметры: массив параметров типа uint8, определяющих внешний ключ.
Возвращаемые параметры: нет.
• UnlockWithNumericalPassword – выполняет разблокировку на основе пароля.
Входящий параметр: строковый параметр, определяющий пароль.
Возвращаемые параметры: нет.
Групповые политикиПараметры работы механизма шифрования Шифрование диска BitLocker можно настроить с помощью групповых политик файла VolumeEncryption. admx, расположенных в подразделе Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker.
Данные политики изменяют значения следующих параметров типа REGDWORD, расположенных в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\FVE.
• ActiveDirectoryBackup –
• RequireActiveDirectoryBackup – при установке значения этого параметра равным 1 перед выполнением шифрования система должна выполнить архивирование данных BitLocker на контроллере домена. Если архивирование данных не будет выполнено, то шифрование данных будет отменено.
• ActiveDirectorylnf oToStore – если значение данного параметра равно 1, то на контроллере домена будет архивироваться вся дополнительная информация, необходимая для восстановления. Если значение равно 2, то на контроллере домена будет архивироваться только пароль восстановления.
• Def aultRecoveryFolderPath – имеет тип REG_EXPAND_SZ. Параметр содержит путь к папке для сохранения паролей восстановления по умолчанию.
• UseRecoveryDrive – если значение данного параметра равно 1, то перед шифрованием необходимо сохранить ключ шифрования на съемном носителе. Это позволяет повысить отказоустойчивость механизма шифрования.
• UseRecoveryPassword – при установке значения этого параметра равным 1 перед шифрованием необходимо указать пароль шифрования и сохранить его. Это позволяет повысить отказоустойчивость механизма шифрования.
• EnableNonTPM – если значение данного параметра равно 1, то использование механизма BitLocker на компьютерах без чипа ТРМ будет разрешено.
• UsePartialEncryptionKey – при установке значения этого параметра равным О ТРМ при запуске компьютера не будет требовать предъявления «флэшки», содержащей ключ запуска. Если значение равно 1, то значение параметра Use PIN должно быть равно 0.
• UsePIN – если значение данного параметра равно 0, то ТРМ при запуске компьютера не будет требовать ввод ПИН-кода (от 2 до 20 символов). Если значение равно 1, то значение параметра UsePartialEncryptionKey должно быть равно 0.
• EncryptionMethod – значение параметра определяет алгоритм шифрования, который будет использоваться при следующем выполнении шифрования. Если значение равно 1 (по умолчанию), то будет использоваться шифрование с помощью 128-битного ключа алгоритма AES с диффузором. Если значение равно 2, то будет использоваться шифрование с помощью 256-битного ключа алгоритма AES с диффузором. Если же значение параметра равно 3, будет использоваться шифрование с помощью 128-битного ключа алгоритма AES без диффузора. Ну, а если значение параметра равно 4 – 256-битного ключа алгоритма AES без диффузора.
• MorBehavior – при установке значения этого параметра равным 1 при перезагрузке компьютера не будет выполняться перезапись содержимого памяти. Это позволяет повысить скорость перезагрузки компьютера, хотя безопасность работы BitLocker будет понижена.
Вы также можете изменить профиль проверки целостности компьютера, используемый чипом ТРМ по умолчанию для определения применяемых способов защиты ключа шифрования BitLocker. Для этого нужно изменить значения параметров REG_DWORD-типа, расположенных в подразделе PlatformValidation указанной ветви реестра.
По умолчанию используется проверка изменений базовой точки начала доверительных измерений (CRTM), BIOS и расширений платформы (регистр PCR 0), кода Option ROM (PCR 2), основной загрузочной записи (MBR) (PCR 4), загрузочного сектора NTFS (PCR 8), загрузочного блока NTFS (PCR 9), диспетчера загрузки (PCR 10) и управления доступом BitLocker (PCR 11). Если какой-то из этих компонентов окажется измененным, то ТРМ запретит расшифровку данных механизмом BitLocker и начнет процесс восстановления.7.5. Работа с драйверами
Драйвер представляет собой программу в специальном формате, которая управляет работой определенного устройства или, в некоторых случаях, программы. Как правило, драйвер работает в нулевом кольце защиты, поэтому он может выполнить любую операцию в системе.
Установка драйверов
Если только что установленное оборудование компьютера не распознается, то, скорее всего, операционная система не смогла найти драйвер для него. Чтобы проверить эту догадку, нужно запустить оснастку Диспетчер устройств (devmgmt. msc) и посмотреть список найденного операционной системой оборудования. По умолчанию после запуска данной оснастки вы сразу же заметите неработающее оборудование – оно будет отображаться в списке Другие устройства, который будет раскрыт, и в нижней части значка каждого неработающего оборудования будет отображаться восклицательный или вопросительный знак.
Примечание
Информация о загруженных и выгруженных драйверах пользовательского режима заносится в журнал подраздела Журналы приложений и служб → Microsoft → Windows → DriverFrameworks-UserMode.
Если установленное вами оборудование выводится в оснастке devmgmt.msc и напротив него действительно отображается восклицательный знак, то зайдите в свойства данного оборудования (команда Свойства контекстного меню значка оборудования) и посмотрите на поле Состояние устройства. Если в нем написано, что драйвер оборудования не установлен, то проблему нераспознавания оборудования мы нашли.
Процесс установки
Используем оболочку
Чтобы установить драйвер для оборудования (если у вас есть диск с драйвером), нужно нажать кнопку Обновить драйверы окна свойств неработающего оборудования. После этого перед вами отобразится мастер Обновление драйверов, содержащий две ссылки.
• Автоматический поиск обновленных драйверов – выполняет поиск файлов драйвера в стандартном каталоге операционной системы, содержащем драйверы устройств, или в Интернете на сайте Microsoft. Если вы не установили переключатель Хотите, чтобы при подключении новых устройств выполнялся поиск подходящих драйверов в Центре обновления Windows? (расположен в окне Параметры поиска драйверов в Центре обновления Windows, которое можно отобразить с помощью одноименной кнопки вкладки Оборудование окна Свойства системы) в положение Не выполнять поиск драйверов при подключении новых устройств, то после выбора данной ссылки перед вами откроется еще ряд ссылок:
– Да, всегда выполнять поиск в Интернете (рекомендуется) – выполнить поиск драйвера для устройства на сайте Microsoft и в будущем всегда сначала выполнять поиск драйверов на сайте Microsoft;
– Да, выполнить поиск в Интернете только в этот раз – выполнить поиск драйвера для устройства на сайте Microsoft;
– Не выполнять поиск в Интернете – не выполнять поиск драйвера для устройства на сайте Microsoft, а сразу же перейти к поиску в стандартном каталоге драйверов операционной системы.
Примечание
Окно Параметры поиска драйверов в Центре обновления Windows, содержащее переключатель Хотите, чтобы при подключении новых устройств выполнялся поиск подходящих драйверов в Центре обновления Windows? можно вызвать и с помощью команды rundll32.exe newdev.dll, WindowsUpdateDriverSearchingPolicyUi.
• Выполнить поиск драйверов на этом компьютере – позволяет указать путь к папке или диску, в котором нужно выполнить поиск драйвера. Если у вас действительно есть диск с драйвером для устройства, то его нужно поместить в привод и воспользоваться данной ссылкой для поиска драйвера на диске.
Вы также можете вручную выполнить поиск среди всех обнаруженных драйверов. Для этого нужно выбрать ссылку Установка оборудования, выбранного из списка вручную. После этого нужно выбрать спецификацию оборудования (например, модем, видеокарта, монитор и т. д.) и в появившемся списке драйверов – необходимый драйвер. Обратите также внимание на кнопку Установить с диска, с помощью которой можно указать файл драйвера на диске. Этот способ установки аналогичен использованию мастера Установка оборудования, доступ к которому можно получить с помощью одноименного значка папки Панель управления.
После того как операционная система обнаружит драйвер, она автоматически начнет устанавливать его. Если же на диске будет обнаружено сразу несколько драйверов, то перед вами отобразится их список и будет предложено выбрать один из них.
Используем программу PnPutil.exe
Установить драйвер или пакет драйвера (сам драйвер и спецификацию для работы с ним) можно и с помощью программы командной строки PnPutil.ехе. Она поддерживает следующие возможности.
• pnputil.exe -а <путь к INF-файлу и его имя> – добавляет указанный пакет драйвера. Вместо имени INF-файла можно указать шаблон, чтобы было добавлено сразу несколько пакетов, находящихся в каталоге.
• pnputil.exe -i -а <путь к INF-файлу и его имя >—добавляет указанный пакет драйвера, а также устанавливает сам драйвер.
• s – отображает список всех пакетов, установленных после инсталляции операционной системы.
• pnputil.exe -d <название INF-файла> – удаляет данный пакет. Можно также использовать дополнительный параметр -f, чтобы пакет был удален даже в том случае, если он необходим компонентам операционной системы.
Откат драйвера
Иногда возникают ситуации, когда только что переустановленный драйвер устройства приводит к непредсказуемому поведению операционной системы. В таких ситуациях особо не стоит отчаиваться.
Если после установки нового драйвера операционная система не может корректно загрузиться, отображая «синий экран смерти» на одном из этапов загрузки, для восстановления работоспособности системы достаточно воспользоваться загрузкой последней удачной конфигурации (при отображении загрузочного меню нажать клавишу F8 и в появившемся меню альтернативных способов загрузки выбрать пункт Последняя удачная конфигурация (дополнительно)).
Если же ошибки возникают уже после входа в операционную систему, то можно попробовать откатить установку драйвера. Эта операция приведет к установке прежней версии драйвера.