Выбор оптимального средства шифрования

Шифрование диска

Шифрование всего диска – наиболее радикальный метод шифрования. Преимущество этого способа в том, что пока вы введете пароль (или кто-то другой, кому в руки попал ваш компьютер), операционная система не загрузится. Если вы – агент 007 или просто страдаете паранойей, то этот способ для вас.

Но это далеко не самый оптимальный способ шифрования данных. Во-первых, вы должны понимать, что любое шифрование – это, прежде всего, преобразование, видоизменение данных. Следовательно, при записи дан-ных на диск их нужно зашифровать, а при чтении – расшифровать. В ре-зультате снижается общая производительность работы с системой.

Во-вторых, далеко не все данные нужно шифровать. Например, зачем шиф-ровать файлы операционной системы, исполнимые файлы программ?

Если вы – настоящий параноик, то можете возразить, мол, операционная система и приложения могут хранить конфиденциальные данные не только в пользовательских файлах, но и во временных файлах, в Cookies, в реестре,

Выбор оптимального средства шифрования - student2.ru Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru Windows 10

в файлах программы (каталог AppData). Когда нет времени, желания или возможности выяснить, что нужно шифровать, а что нет, часто шифруют весь жесткий диск, жертвуя производительностью.

Нужно отметить, что далеко не все программы умеют шифровать систем-ный диск. Проверенных вариантов (чтобы вы могли не только зашифровать системный диск, но и потом расшифровать его) всего два – или стандартное средство BitLocker, или всем известная программа TrueCrypt или ее наслед-ница VeraCrypt. Но опять-таки ни TrueCrypt, ни VeraCrypt не поддержива-ют UEFI. Впрочем, об этом мы еще поговорим.

Менее радикальный способ – шифрование одного из разделов. Вы може-те выделить один из разделов для своих секретных документов и зашиф-ровать его. Все ваши секретные данные (и приложения – при желании) будут храниться на этом диске. Перенести пользовательский профиль на зашифрованный диск, увы, не получится, так как далеко не все програм-мы шифрования могут монтировать диск до входа пользователя в систему. Если вы опасаетесь, что кто-то сможет прочитать данные из вашего ката-лога AppData, лучше перестраховаться и зашифровать весь жесткий диск.

У шифрования раздела есть огромное преимущество перед шифрованием всего диска. Во-первых, больше выбор программ, которые могут шифровать раздел диска (просто не все программы шифрования могут зашифровать системный диск, а вот программ для шифрования обычных разделов гораз-до больше). Во-вторых, все-таки файлы операционной системы не шифру-ются, как и файлы приложений, следовательно, с производительностью все будет в порядке.

Если у вас только один раздел, не беда. Существуют программы, которые могут «отрезать» свободное дисковое пространство и на его месте создать новый раздел. Например, пусть у вас есть один раздел (диск С:) размером 500 Гб. Из этих 500 Гб пусть свободно 250 Гб. Свободное дисковое про-странство можно использовать, чтобы создать новый раздел. Например, вы можете «отрезать» 50 Гб (для секретных документов, думаю, этого более чем достаточно). После этого данный раздел можно зашифровать и исполь-зовать для хранения секретных файлов.

В качестве программы для изменения таблицы разделов я рекомендую ис-пользовать AOMEI Partition Assistant. Программа гораздо компактнее и дешевле Acronis, а работает не хуже. Изменение таблицы разделов происхо-дит без перезагрузки компьютера (если, конечно, изменяется не системный раздел).

На рис. 16.1 изображена таблица разделов моего сервера. Для изменения размера раздела нужно щелкнуть по нему и выбрать команду меню Parti-

Выбор оптимального средства шифрования - student2.ru Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru Windows 10

Выбор оптимального средства шифрования - student2.ru

Рис. 16.1. Программа AOMEI Partition Assistant (серверная версия)

tion, Resize Partition. После этого появится окно, в котором нужно будетустановить новый размер раздела. На рис. 16.2 видно, что я собираюсь «от-резать» 5.6 Гб дискового пространства от диска H:.

Выбор оптимального средства шифрования - student2.ru

Рис. 16.2. Изменение размера раздела

Выбор оптимального средства шифрования - student2.ru Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru Windows 10

После того, как программа уменьшит размер раздела, на жестком диске по-явится нераспределенная область. Нужно щелкнуть по ней и выбрать ко-манду меню Partition, Create Partition. Далее все просто – нужно создать новый раздел (это и делает команда Create Partition), а потом отформати-ровать его как NTFS (команда Partition, Format Partition).

Все, теперь у вас есть отдельный раздел, который можно зашифровать. О том, как это сделать, будет сказано далее в этой главе.

Внимание!После шифрования нельзя будет изменять размер раздела. Поэтомусразу установите необходимый размер, возможно, с небольшим запасом (20-30%).

Типичный сценарий шифрования раздела – это совместное использование компьютера. Допустим, есть жесткий диск на 500 Гб и есть три пользова-теля, которые периодически работают с компьютером. Несмотря на то, что файловая система NTFS все же поддерживает права доступа и позволяет ограничить доступ одного пользователя к файлам другого пользователя,

ее защиты недостаточно. Ведь у одного из этих трех пользователей будут права администратора, и он сможет получить доступ к файлам оставшихся двух пользователей.

Поэтому дисковое пространство жесткого диска можно разделить следую-щим образом:

• Примерно 200 Гб – общий раздел. Этот раздел также будет систем-ным разделом. На нем будет установлена операционная система, программа и будут храниться общие файлы всех трех пользовате-лей.

• Три раздела по ~100 Гб – думаю, 100 Гб вполне достаточно для хранения личных файлов каждого пользователя. Каждый из этих разделов будет зашифрован, а пароль доступа к зашифрованному разделу будет знать только тот пользователь, который зашифровал этот раздел. При этом администратор при всем своем желании не сможет расшифровать раздел другого пользователя и получить до-ступ к его файлам. Да, при желании администратор может отформа-тировать раздел и даже удалить его, но получить доступ он сможет только лишь в том случае, если обманом выведает у пользователя его пароль. Но, думаю, этого не произойдет, поэтому шифрование раздела – гораздо более эффективная мера, чем разграничение прав доступа с помощью NTFS.

Выбор оптимального средства шифрования - student2.ru Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru

Выбор оптимального средства шифрования - student2.ru Windows 10

Наши рекомендации