Настраиваем шифрование жесткого диска, чтобы избежать утечек данных

В каждой компании есть сотрудники, которые хранят на рабочем компьютере конфиденциальную информацию, и её утечка может оказаться катастрофой. Среди таких данных, как минимум, доступ к VPN, почте, а то и к коду различных сервисов и другой коммерческой тайне. Вместе со специалистом по безопасности REG.RU Филиппом Охонько расскажем, как защитить данные с помощью шифрования жёсткого диска.

Для пользователей Windows и macOS этот процесс очень прост. В случае с Linux всё немного сложнее, но раз уж вы выбрали Linux, то явно были готовы к этому. Let’s encrypt!

Придумайте надёжный пароль

В первую очередь вы должны придумать хороший пароль, которым будет зашифрован диск. Иначе все нижеописанные действия теряют смысл, а защита данных и шифрование не спасут от взлома. Чтобы создать надёжный пароль, воспользуйтесь следующими советами:

Используйте не одно слово, а несколько — например небольшую фразу.
Не используйте для пароля стандартные словарные слова, термины, имена, названия и даты. Можете взять слово и разделить его на части символами, скажем, p@S5w0r&?15D (здесь скрыто слово “password”).
Пароль должен содержать не менее 8 символов (лучше больше), а также прописные и строчные буквы, цифры и стандартные символы на клавиатуре.

Теперь можно переходить к настройкам шифрования.

macOS

Зашифровать диск в macOS можно с помощью стандартного инструмента FileVault. Инструкцию можно найти здесь.

Процесс займёт всего несколько минут вашего времени, но нужно будет подождать, пока файлы зашифруются.

Windows

Есть два популярных способа зашифровать диск в Windows:

с помощью VeraCrypt;
с помощью стандартного шифрования BitLocker.

Veracrypt

Мы рекомендуем использовать решение VeraCrypt. Это ПО неоднократно подвергалось независимым аудитам и считается достаточно надёжным.

Инструкцию по шифрованию диска с VeraCrypt вы сможете найти здесь. Настройка займёт около 10 минут вашего времени, а само шифрование продлится до 1-2 часов. Рекомендуем зашифровать весь диск.

BitLocker

В Windows имеется встроенная система шифрования BitLocker (начиная с Профессиональной версии ОС).

Введите в поиск Windows «Управление BitLocker» и откройте панель настроек. По умолчанию BitLocker использует аппаратный криптопроцессор Trusted Platform Module (TPM), который может отсутствовать в материнской плате. Но последние версии Windows поддерживают использование BitLocker без TPM.

Здесь можно прочитать инструкцию, как использовать BitLocker без модуля TPM. Многие эксперты считают шифрование BitLocker ненадёжным. Однако в случае риска простой утери или кражи устройства этой утилиты будет достаточно.

Linux

Самый простой способ — настроить шифрование диска при установке системы. Для этого используется технология LUKS.

Ещё один вариант — отформатировать отдельный раздел с поддержкой шифрования и все важные данные (например документы или код) хранить там. Для этого запустите утилиту gnome-disks с root-правами, выберите нужный раздел и отформатируйте его, поставив галочку напротив шифрования LUKS:

Ключи восстановления

При включении шифрования любая из вышеперечисленных утилит предложит вам сохранить ключ или образ восстановления. Он понадобится в случае, если вы забудете пароль. Ключ восстановления обязательно нужно хранить отдельно от компьютера, например на флешке, так как в случае его утечки злоумышленнику не составит труда получить доступ к зашифрованным данным.

Что ещё учесть при шифровании

Стоит отметить несколько важных вещей, которые могут скомпрометировать устройство вне зависимости от ОС и типа шифрования:

1. Ключи шифрования данных хранятся в оперативной памяти (ОЗУ), если вы используете спящий режим вместо выключения ПК. Это опасно тем, что в случае кражи устройства злоумышленники могут сохранить образ оперативной памяти и извлечь из неё нужные данные. Чтобы решить проблему, можно использовать режим гибернации. Гибернация — это тот же спящий режим, но данные о состоянии ПК выгружаются на диск, а не в ОЗУ.

Инструкция по включению гибернации вместо сна в Windows.

Для включения гибернации в macOS выполните в терминале:

sudo pmset hibernatemode 1

2. Если кто-то отключит питание ПК, то ключи шифрования могут остаться на жёстком диске в файлах гибернации или подкачки (swap-файл), поэтому эти файлы обязательно должны находиться на зашифрованном разделе.

В первую очередь шифрование помогает в случае утери или кражи компьютера. Если вы используете рабочий ноутбук и часто разъезжаете с ним, всегда выключайте устройство при транспортировке или настройте режим гибернации.

⌘⌘⌘

Включив шифрование, не забывайте завершать работу своего ПК, и тогда у злоумышленников не останется шансов — разумеется, если у вас хороший пароль. Кстати, инсайд от безопасников: самое надёжное место хранения паролей — в вашей голове. Поэтому несколько наиболее важных паролей (например от личного кабинета банка или менеджера паролей) лучше нигде не хранить, а постараться запомнить.