10.1. Пароль на BIOS: ставить ли?
Любой компьютер, будь то ноутбук или стационарный компьютер, позволяет установить пароль на BIOS – при включении компьютера (еще до загрузки ОС) вы увидите запрос на ввод пароля. Если пароль неправильный, компьютер даже не подумает загружать операционную систему.
Стоит ли устанавливать пароль на BIOS или ограничиться паролем учетной записи? Вы должны понимать, что пароль на BIOS – не панацея, и отпугнет он только дилетанта. Если кому-то в руки (а мы говорим именно о физическом доступе к компьютеру – ведь по сети пароль BIOS не введешь) попадет ваш компьютер, обойти такой пароль не составит труда.
Во-первых, есть так называемые инженерные пароли – универсальные пароли, при вводе которых гарантируется доступ в BIOS. Какой именно инженерный пароль подойдет к вашему компьютеру, зависит от производителя и номера версии BIOS. Так что злоумышленнику не обязательно долго заниматься перебором вашего пароля, если он знает инженерный пароль.
Во-вторых, для сброса пароля BIOS достаточно выполнить несложную процедуру его сброса – переключить первый джампер материнской платы в положение сброса или просто отключить батарейку на несколько минут. Вариант с батарейкой универсальный, поскольку избавляет от необходимости искать первый джампер и читать документацию по материнской плате.
Другое дело – ноутбуки. Некоторые модели нельзя разобрать с помощью обычной отвертки – нужна специальная, а обычной можно сорвать шлицы винтов, после чего открыть корпус вообще будет проблематично. Одним словом, пароль на BIOS может создать больше проблем владельцу ноутбука, нежели злоумышленнику. Ведь если вы забудете пароль и не сможете разобрать ноутбук (вопрос о гарантии сейчас поднимать не будем), то придется обращаться в сервисный центр – только они смогут сбросить пароль. Вот только там еще придется доказывать, что ноутбук ваш… Надеюсь, у вас сохранились гарантийный талон, чек, упаковка и прочие принадлежности, способные доказать законность владения (что вы ни у кого его не украли).
А злоумышленник? Даже если у него не будет специальной отвертки, ему проще вытащить жесткий диск (он закрывается крышкой, прикрученной к корпусу четырьмя винтами) и подключить его к своему компьютеру. Это раньше для подключения жесткого диска от ноутбука к стационарному компьютеру нужен был специальный адаптер, сегодня на ноутбуки устанавливаются обычные SATA-диски, которые отличаются от своих стационарных собратьев только меньшими размерами.
Как видите, проку от пароля на BIOS нет. Впрочем, из каждого правила есть исключения. Большинство BIOS позволяют установить пароли раздельно: на загрузку компьютера и на вход в SETUP – программу настройки BIOS компьютера. Я бы рекомендовал установить пароль именно на BIOS SETUP – дабы дети или просто малограмотные в компьютерном смысле пользователи, работающие с вашим компьютером, не смогли установить в BIOS SETUP неправильные параметры. В этом случае загрузка системы будет произведена без пароля, а если кто-то захочет войти в SETUP, компьютер попросит его ввести пароль.
Если вы таки решили установить пароль BIOS, прочитайте руководство по вашей материнской плате – в нем описана процедура установки пароля в вашей версии BIOS. В этой процедуре нет ничего сложного и любой пользователь, обладающий минимальными знаниями английского языка, сможет установить пароль.
10.2. Учетные записи пользователей в Windows 7
Из соображений безопасности рекомендуется задать пароль для своей учетной записи, если вы этого не сделали при установке системы. Для домашнего стационарного компьютера пароль не обязателен (если, конечно, вы не хотите закрыть доступ к компьютеру своим родственникам). А вот для корпоративного (офисного) компьютера и ноутбука – пароль обязателен.
Чтобы задать (или изменить) пароль пользователя, выполните команду Панель управления | Учетные записи пользователей и семейная безопасность | Изменение пароля Windows (рис. 10.1).
Рис. 10.1. Учетные записи пользователей и семейная безопасность
Нужно, чтобы родственники или коллеги тоже пользовались компьютером? Тогда одного пароля для вашей учетной записи недостаточно. Необходимо создать отдельную учетную запись для каждого пользователя, который должен работать с компьютером. Есть как минимум три причины создать дополнительные учетные записи.
Разграничение доступа к файлам и папкам – другие пользователи не смогут просмотреть ваш пользовательский каталог. Посмотрите на рис. 10.2. Работая под незамысловатым именем Пользователь, я попытался получить доступ к пользовательскому каталогу пользователя Денис. В ответ система сообщила, что у меня пока нет разрешения на доступ к этой папке. Если нажать кнопку Продолжить, система предложит получить доступ к этой папке, но в обмен на пароль ее владельца (рис. 10.3). Если пользователь не знает пароля владельца каталога, доступ к нему он не получит.
Рис. 10.2. Отказ в доступе
Рис. 10.3. Ввод пароля для получения доступа
Естественно, вашего пароля другие пользователи знать не будут, а вы им его не сообщите (зачем тогда затевать разграничение доступа, если другие пользователи будут знать ваш пароль?). Да и что делать другим пользователям в вашем личном каталоге? Правильно – нечего. Если есть необходимость обмена файлами между пользователями, то можно использовать папку Общие (C: \Пользователи\Общие или C: \Users\Public). В эту папку (рис. 10.4) можно поместить фильмы, музыку, изображения, общие документы и т. п.
Рис. 10.4. Общая папка
Ограничение прав пользователя – вы будете администратором на данном компьютере, а все остальные – обычными пользователями. Пользователи имеют доступ к уже установленным программам, а также имеют право изменять параметры системы, не влияющие на безопасность компьютера и не затрагивающие настройки других пользователей. А вот администратор имеет полный доступ к компьютеру, может устанавливать программы и может изменять любые настройки.
Персональные настройки – каждый пользователь сможет выбрать свою тему рабочего стола, установить фоновые изображения рабочего стола и т. д.
Итак, для создания новой учетной записи выполните команду Панель управления | Учетные записи пользователей и семейная безопасность | Добавление или удаление учетных записей пользователей | Создание учетной записи (рис. 10.5). Далее нужно ввести имя пользователя и выбрать тип учетной записи (Обычный доступ или Администратор).
Рис. 10.5. Создание учетной записи пользователя
После этого вы увидите окно с уже созданными учетными записями пользователя (рис. 10.6). Выберите только что созданную учетную запись. Вы можете изменить пароль учетной записи, имя учетной записи, рисунок, установить родительский контроль (актуально для учетных записей детей) и изменить другие параметры (рис. 10.7).
Рис. 10.6. Список учетных записей
Рис. 10.7. Изменение параметров учетной записи
10.3. UAC в Windows 7
UAC (User Account Control) – контроль учетных записей пользователей. Впервые UAC появился в Windows Vista. Компонент UAC из соображений безопасности запрашивает подтверждение действий, требующих прав администратора. Вирус или другая вредоносная программа, которой необходимы права администратора, не сможет их получить, поскольку UAC приостановит выполнение программы до вашего разрешения. Если вы знаете, что это за программа, то можете продолжить ее выполнение или завершить ее.
Недостатков у UAC два. Первый заключается в том, что UAC раздражает своей назойливостью, особенно если производится много административных действий. Второй – в том, что окно UAC не выводит достаточно информации о том, что собирается сделать программа.
UAC отключается элементарно – в панели управления, для этого даже не нужно редактировать реестр. Для отключения UAC выполните следующие действия (рис. 10.8):
Откройте Панель управления.
Установите удобный вам размер значков (Мелкие значки или Крупные значки) и зайдите в раздел Учетные записи пользователей.
Выберите команду Изменение параметров контроля учетных записей.
Переместите ползунок вниз, выбрав Никогда не уведомлять.
Нажмите кнопку OK.
Согласитесь с предупреждением об отключении UAC и нажмите кнопку Да.
Перезагрузите компьютер.
Рис. 10.8. Отключение UAC
Из соображений безопасности лучше не отключать UAC для пользовательских учетных записей (только если вы установили сверхбезопасный брандмауэр). Но и для них можно сделать работу с UAC немного удобнее. Дело в том, что когда UAC срабатывает, весь рабочий стол затемняется и блокируется – пользователь не может больше обратиться ни к одной программе, пока не разрешит или не запретит выполнение программы.
Внимание!
Чуть ранее было сказано, что UAC не нужно отключать для пользовательских учетных записей. Для учетной записи администратора его можно отключить – предполагается, что администратор знает, что делает. Но это только в том случае, если вы прислушались к моим рекомендациям и выполняете ежедневные операции (работа с Интернетом, с документами, игры и т. п.) под обычной учетной записью, а учетная запись администратора используется вами по прямому назначению – для администрирования системы. Если это не так, ни в коем случае не отключайте UAC.
Данную функцию можно отключить. Перейдите в следующий раздел реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Найдите параметр PromptOnSecureDesktop и присвойте ему значение 0. Закройте редактор реестра и перезагрузите компьютер.
В Windows 7 есть одна особенность. Если вы отключили UAC, гаджеты и боковая панель будут работать некорректно. Чтобы все было в порядке и гаджеты работали, как и раньше, вам нужно изменить всего один параметр реестра. Перейдите в следующий раздел реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Setting
Измените значение параметра AllowElevatedProcess в 1. Чтобы изменения вступили в силу, компьютер нужно перезагрузить.
10.4. Шифрование в Windows 7
Самые дорогие выпуски Windows 7: Профессиональная (Professional), Корпоративная (Enterprise) и Максимальная (Ultimate) – поддерживают функцию шифрования файлов и каталогов (система EFS). Зашифрованные файлы нельзя просмотреть на другом компьютере – в случае, если, например, другой пользователь системы скопирует зашифрованную вами папку или даже украдет ваш жесткий диск.
О шифровании файлов нужно знать следующее:
✓ лучше всего шифровать не отдельные файлы, а создать папку, поместить туда все файлы, которые вы хотите зашифровать, и зашифровать всю папку;
✓ помните, что при копировании зашифрованных объектов на диски, которые не поддерживают шифрование (например, на раздел FAT32 или флешку), файлы будут автоматически расшифрованы.
А как же с кражей данных? Если некто проникнет к вашему компьютеру во время вашего отсутствия, а рабочий стол не будет заблокирован (вы не выполнили ни блокировку, ни завершение сеанса, а просто встали из-за стола и отошли), то он сможет скопировать зашифрованные файлы, скажем, на свою флешку. Система просто не сможет отличить, где вы, а где – злоумышленник. Поэтому, если у вас есть конфиденциальные данные, не забывайте блокировать компьютер, когда отходите от него. А вот если кто-то украдет ваш компьютер или жесткий диск, не зная пароля от вашей учетной записи, он не сможет прочитать зашифрованные файлы;
✓ не нужно шифровать все файлы подряд, иначе система станет изрядно подтормаживать – ведь ей придется расшифровывать все файлы "на лету".
Для шифрования папки (или файла – последовательность действий такая же) щелкните на ней правой кнопкой мыши и выберите команду Свойства. В области Атрибуты нажмите кнопку Другие. В открывшемся окне (рис. 10.9) включите атрибут Шифровать содержимое для защиты данных и нажмите кнопку ОK, затем еще раз нажмите кнопку ОK в окне свойств папки.
Рис. 10.9. Включение шифрования
Система спросит вас, нужно шифровать только эту папку или все вложенные в нее папки и файлы. Лучше выбрать второй вариант – К данной папке и ко всем вложенным папкам и файлам (рис. 10.10).
Все, осталось только подождать, пока файлы будут зашифрованы (рис. 10.11). Название зашифрованной папки в Проводнике будет отмечено зеленой подсветкой.
Рис. 10.10. Как шифровать папку
Рис. 10.11. Шифрование файлов
10.5. Программа TrueCrypt
10.5.1. Пароли, документы, архивы
Представим, что у вас есть конфиденциальный документ (пусть это будет документ MS Word), и вы не хотите, чтобы его смог открыть кто-либо еще, кроме вас. Как это можно организовать?
Один из вариантов – использовать стандартное шифрование Windows 7. Но это шифрование не всегда работает, как нужно. Например, в ряде случаев после переустановки Windows пользователи не могли получить доступ к своим зашифрованным файлам. Проблемы могут возникнуть (это же Windows!), даже если все делать по инструкции…
Примечание
Не верите? Прочитайте следующую тему форума – пользователь все сделал правильно, но все равно столкнулся с проблемой расшифровки файлов после переустановки системы:
http://social.technet.microsoft.com/Forums/ru/windows7ru/thread/b616823d-fd4d-44d7-a4a1-c5a0ef9a52bb.
Если набрать такой длинный адрес сложно, можете воспользоваться его сокращенной версией: http://tinyurl.com/5rtbjdv.
Не мудрено, что пользователи пытаются найти более предсказуемые решения. Некоторые из них идут по пути наименьшего сопротивления. Тот же MS Word позволяет установить пароль на открытие файла. Другие упаковывают конфиденциальные файлы в архив (например, с помощью программы WinRAR) и устанавливают на архив пароль. Но такие формы защиты хороши только от дилетантов и легко взламываются с помощью специальных программ, которые без особых проблем можно скачать в Интернете. Выход, как всегда, есть, и вы сейчас узнаете, какая защита файлов является почти идеальной.
Если у вас имеются действительно конфиденциальные данные, вам нужно использовать программу TrueCrypt – лучшую бесплатную программу для шифрования "на лету". Программа работает во всех 32– и 64-разрядных системах Windows, Linux и Mac OS X. Поскольку последние две операционные системы в этой книге не рассматриваются, мы остановимся именно на Windows-версии.
Программа позволяет создать виртуальный зашифрованный логический диск (на обычном жестком диске он будет храниться в виде файла). С помощью TrueCrypt вы также сможете полностью зашифровать весь раздел жесткого диска или другого любого носителя, например флешку.
Все данные, сохраненные в томе TrueCrypt, шифруются. Также будут зашифрованы имена файлов и каталогов. Со смонтированным томом TrueCrypt можно работать как с обычным логическим диском, вы даже можете проверять "поверхность" этого диска и производить дефрагментацию.
10.5.2. Возможности TrueCrypt
Как уже было отмечено, TrueCrypt умеет создавать зашифрованный виртуальный диск тремя способами:
✓ в виде файла, который легко использовать. Вы можете перенести или скопировать этот файл, скажем, на флешку или на USB-диск, не заботясь о файловой системе, в которой отформатирован носитель. Даже если он будет отформатирован как FAT32, это никак не повлияет на качество шифрования. Размер такого файла – динамический и увеличивается по мере добавления в него новых файлов и каталогов – вплоть до всего свободного места на разделе. Однако если предполагается работа с большим объемом зашифрованных данных, лучше сразу зашифровать весь раздел – так производительность работы с зашифрованными данными будет выше;
✓ с помощью полного шифрования содержимого устройства. Этот способ подходит для флешек и внешних USB-дисков. Дискеты, увы, уже не актуальны, поэтому не поддерживаются современными версиями TrueCrypt;
✓ с помощью шифрования одного из разделов жесткого диска. Вы можете зашифровать раздел жесткого диска и поместить на него все ваши конфиденциальные документы, в том числе и базу данных своего почтового клиента.
Шифрование TrueCrypt очень надежно. Программа поддерживает алгоритмы шифрования AES, Serpent, Twofish и др. Поддерживается и "вложенное" шифрование различными алгоритмами – например, можно сначала зашифровать данные алгоритмом AES, затем – Serpent, а затем – Twofish.
Все алгоритмы шифрования используют безопасный режим работы, что позволяет выполнять шифрование и дешифровку данных "на лету", не боясь их потерять.
Примечание
Шифрование TrueCrypt настолько надежно, что спецслужбам и органам власти частенько приходится прибегать к не совсем законным методам, дабы расшифровать данные. Да, намного проще запугать человека, чтобы узнать пароль к данным, нежели заниматься их расшифровкой.
В подтверждение своих слов привожу ссылку на один из проектов, посвященных программе TrueCrypt: http://truecrypt.org.ua/content/пользователь-truecrypt-был-арестован-по-причине-отказа-назвать-пароль-0.
Для доступа к зашифрованным данным может использоваться пароль (ключевая фраза), ключевые файлы или и пароль, и ключевые файлы. Самый надежный способ – это использование для доступа к данным и пароля, и ключевых файлов. Чуть менее надежный – только ключевых файлов. Ну и самый простой (конечно, относительно – все зависит от пароля) – только пароля.
С ключевыми файлами все не так просто. Ведь возникает необходимость их постоянно копировать, хранить где-нибудь и т. д. Нет смысла хранить ключевые файлы вместе с зашифрованным томом TrueCrypt – сами понимаете почему. Поэтому зачастую пользователи предпочитают использовать для доступа к данным только пароль. Пароль, в конце-концов, можно просто запомнить. Не надо беспокоиться о том, что нужно скопировать его куда-нибудь, он всегда с вами.
Особенность TrueCrypt заключается также и в том, что в качестве ключевых файлов могут использоваться любые файлы на вашем жестком диске, а не специальные сертификаты, кем-то проверенные и кем-то подписанные. Вы создаете любой файл, пусть это будет обычный документ, и с его помощью зашифровываете целый раздел. Злоумышленник никогда не догадается, какой именно файл вы выбрали.
Впрочем, неприятный момент присутствует и здесь – если вы потеряете этот файл (вы или кто-то другой его случайно удалит, или же произойдет сбой на жестком диске и будет поврежден хотя бы один байт этого файла), то уже не сможете получить доступ к своим данным.
Итак, если вы не храните государственную тайну, то вполне подойдет обычный надежный пароль. Из главы9 вы уже знаете, как его создать.
Программу TrueCrypt можно запускать без установки в операционной системе – для ее запуска не требуются права членов группы администраторов. А это очень удобно – для установки той или иной программы иногда может не хватить прав доступа. В случае же с TrueCrypt вы можете использовать программу с обычными правами пользователя.
Вот некоторые второстепенные особенности программы:
✓ возможность изменения пароля и ключевых файлов зашифрованного тома без потери зашифрованных данных – так что пароли менять не только можно, но и нужно;
✓ возможность назначения "горячих клавиш" для различных операций – например, для монтирования или размонтирования зашифрованного тома;
✓ возможность резервного сохранения заголовка тома, что полезно при восстановлении информации в случае повреждения тома и для восстановления старого пароля, который был действителен для старого заголовка;
✓ шифрование системного физического или логического диска. Да, вы можете зашифровать даже системный диск, аутентификация (ввод пароля) будет дозагрузочной – очень удобно.
Примечание
Такая же функция – BitLocker – имеется и в Windows 7 (в редакциях Корпоративная и Максимальная), но ходят слухи, что в BitLocker встроена лазейка для обхода защиты. Правда это или нет, точно не знаю, но в неофициальных кругах такие сведения циркулируют. А дыма без огня, как известно, не бывает…
10.5.3. Кратко об истории TrueCrypt
Первая версия программы появилась 2 февраля 2004 года. Изначально она основывалась на проекте E4M (Encryption for the Masses), появившемся еще в 1997 году. Проект был очень популярен среди пользователей, еще бы – бесплатная программа с открытым кодом для шифрования "на лету". Но в 2000 году работу над проектом приостановили, поскольку создатель E4M переключился на коммерческие разработки.
Как уже отмечалось, разработчики TrueCrypt взяли за основу код программы E4M. И в 2004-м году TrueCrypt стала единственной программой с открытым исходным кодом для шифрования на лету и с полной поддержкой Windows XP, чем не могли похвастаться другие бесплатные программы.
Настоящий прорыв в развитии TrueCrypt произошел с выходом четвертой версии в 2005-м году – тогда программа стала кроссплатформенной (появилась ее Linux-версия). Кроме этого появились поддержка x86–64, хэш-алгоритм Whirlpool и многое другое. В том же 2005-м году (в версии 4.1) была существенно увеличена стабильность работы благодаря использованию нового режима работы (LRW).
В 2006-м году программа "научилась" создавать тома, изменять пароли и ключевые файлы, генерировать ключевые файлы и создавать резервные копии заголовков томов. А для Windows NT появилась поддержка динамических томов.
В 2007-м году появилась полная поддержка 32– и 64-разрядных версий Windows Vista, были также исправлены некоторые ошибки. Linux-версия отставала – для этой операционной системы пока не был разработан даже графический интерфейс. Его добавили только лишь в пятую версию, вышедшую в 2008 году. В этой же версии появилась поддержка шифрования всей файловой система Windows, в том числе и системного раздела.
В версии 5.1 (тоже 2008-й год) реализация алгоритма AES была переписана на языке ассемблера (ранее она была написана на языке C). В результате производительность шифрования диска существенно выросла.
В шестой версии тоже появились довольно интересные возможности:
✓ параллельное шифрование/дешифрование, что повышает производительность на многоядерных и многопроцессорных системах;
✓ возможность создания скрытых разделов при работе с Linux и Mac OS;
✓ возможность установки скрытых операционных систем, существование которых невозможно доказать (интересная возможность для пиратов).
Поддержка Windows 7 появилась только в версии 6.3. Так что, если по какой-то причине вам придется использовать непоследнюю версию программы (на момент написания этих строк – 7.1), то версию ниже 6.3 устанавливать не стоит.
В версии 7.0 еще больше ускорили алгоритм AES, появилась возможность автоматического монтирования томов, поддержка больших томов с размером сектора 1024, 2048 и 4096 байтов; кроме того, теперь TrueCrypt умеет шифровать файл подкачки Windows, который может содержать конфиденциальную информацию.
10.5.4. Использование TrueCrypt
Вы уже столько знаете о TrueCrypt, что наверняка хотите ее скачать. Зайдите на сайт разработчика http://www.truecrypt.org/ в раздел Downloads и скачайте самую последнюю версию для Windows (на данный момент – это версия 7.1). Там же можно найти версии для Linux и Mac OS, если они вам нужны.
Внимание!
Не следует загружать TrueCrypt с неофициальных сайтов. Популярность программы огромная, и о ней знают не только законопослушные пользователи. Поскольку исходники программы доступны на сайте разработчиков всем желающим, каждый может их скачать, встроить "черный ход" и выложить на своем сайте. Да и немало вирусов распространяется под видом различных популярных программ. Например, думаешь, что устанавливаешь Firefox, а на самом деле – троян. Поэтому только официальный сайт!
Локализацию для программы тоже можно взять с официального сайта: http://www.truecrypt.org/localizations. Локализация для русского языка неполная, поэтому для создания иллюстраций в книге использована нелокализированная, английская версия программы. Если вы решите локализировать программу, то распакуйте скачанный со странички локализации архив с русскими языковыми файлами в каталог, в который установили TrueCrypt. Далее запустите программу и из меню выберите Settings | Language, а затем – из списка – Русский язык.
Запустите программу установки. Первым делом она предложит прочитать лицензию TrueCrypt – она чем-то напоминает GPL, но все же отличается от нее. В подробности можете не вдаваться, примите лицензию и нажмите кнопку Next. А вот дальше вам будут предложены два режима установки (рис. 10.12):
✓ Install – обычная установка, для выбора этого варианта вам нужны права администратора. В большинстве случаев (если вы сам владелец компьютера, на который устанавливается программа) нужно выбрать этот вариант;
✓ Extract – простое извлечение файлов программы в выбранный вами каталог. Фактически происходит извлечение мобильной (Portable) версии программы. Этот вариант не требует установки, следовательно, права администратора не понадобятся.
Рис. 10.12. Выбор варианта установки программы
Вы можете вообще извлечь программу на флешку и на этой же флешке создать зашифрованный файл, в котором и станете хранить все ваши конфиденциальные данные. Для запуска программы надо будет запустить исполнимый файл TrueCrypt.exe непосредственно из каталога установки. У этого способа есть один недостаток, иначе все бы только и работали с TrueCrypt в portable-режиме. Система UAC в этом случае будет "ругаться" каждый раз при запуске TrueCrypt, что очень неудобно, когда работаешь с зашифрованным томом каждый день. Другое дело, если, действительно, нужно записать на флешку что-то такое, чтобы никто посторонний не смог прочитать. Или когда нет другого выхода – нет, например, прав администратора.
Далее установка программы ничем не отличается от установки других программ– нажимаем кнопку Next столько раз, сколько требуется, и ждем, пока программа будет установлена (рис. 10.13). Сразу после установки инсталлятор предлагает ознакомиться с руководством. Если вы сначала отказались, но потом посчитали, что все-таки руководство следовало прочитать, специально для вас я сохранил ссылку, открываемую программой, когда пользователь хочет ознакомиться с документацией: http://www.truecrypt.org/docs/?s=tutorial.
Рис. 10.13. Программа успешно установлена
Запустите программу (рис. 10.14). Вы увидите список незанятых букв устройств. Их набор зависит от количества разделов на вашем жестком диске (или дисках) и подключенных носителей данных.
Нажмите кнопку Create Volume. Не беспокойтесь – хоть в названии этой кнопки и есть слово Volume (том), создавать еще один раздел на жестком диске никто не будет. Программа просто предложит вам один из вариантов (рис. 10.15):
Create an encrypted file container – создать виртуальный зашифрованный диск, который будет сохранен в файловой системе как обычный файл. В большинстве случаев рекомендуется именно этот вариант. Конечно, при условии, что у вас относительно немного данных (скажем, несколько гигабайт), подлежащих шифрованию. Если же нужно зашифровать несколько сотен гигабайт, то подойдет следующий вариант;
Encrypt a non-system partition/drive – зашифровать несистемный раздел или диск. Вы можете зашифровать раздел вашего жесткого диска или полностью все устройство, например флешку. Подходит, когда нужно зашифровать все устройство (сменный носитель), или же когда данных много и приходится шифровать весь раздел;
Рис. 10.14. Программа TrueCrypt
Рис. 10.15. Мастер создания зашифрованного тома
Encrypt the system partition or entire system drive – зашифровать системный раздел или весь системный диск. Будьте осторожны – программа вносит изменения в процесс загрузки системы – ведь ей нужно запросить пароль до запуска Windows. Этот же вариант можно использовать для создания скрытой операционной системы.
Неопытным пользователям не рекомендуется связываться с шифрованием системного диска, поскольку в случае малейшего сбоя все может закончиться переформатированием жесткого диска и потерей данных. А вот опытным пользователям могу порекомендовать нажать кнопку Help – откроется PDF-файл с документацией о программе. Перейдите в раздел System encryptipon (страница 33) и читайте, читайте и еще раз читайте.
Примечание
Шифрование системного диска в этой книге не рассматривается намеренно. Большинство читателей этой книги – начинающие пользователи (опытным такие книги не нужны), и я не хочу брать на себя ответственность, если читатель потеряет все свои данные.
Какой вариант выбрать? Самый удобный – первый, поскольку вы можете перемещать файл виртуального зашифрованного диска в пределах всей файловой системы, как вам заблагорассудится. Можно, например, вообще скопировать его на внешний жесткий диск и спрятать в сейф.
Второй вариант менее удобен, и его желательно использовать в двух случаях:
✓ когда шифруемых данных очень много, и для обеспечения приемлемой производительности при работе с зашифрованным диском имеет смысл зашифровать целый раздел;
✓ когда вам нужно зашифровать весь носитель, например флешку.
Совет
Не следует шифровать все данные подряд. Шифруйте только те, которые действительно представляют для вас ценность, и вы не хотите, чтобы кто-то их увидел. Шифрование всего подряд приводит к снижению производительности работы системы. Если разобраться, то конфиденциальных данных не столь уж и много.
Поэтому выбираем первый вариант. Теперь программа предложит выбрать тип тома (рис. 10.16):
✓ Standard TrueCrypt Volume – стандартный зашифрованный том. Он будет виден в системе как обычный диск. Это не слишком хорошо, поскольку том будет виден всем, следовательно, кто-то может попытаться подобрать к нему пароль. А вдруг у него получится?
✓ Hidden TrueCrypt Volume – скрытый том. Скрытый том не будет виден в списке дисков, и о его существовании будете знать только вы.
Рис. 10.16. Выбор типа тома
Рекомендую пока выбрать стандартный том – для начинающего пользователя TrueCrypt этого вполне достаточно. Тем более, что при надежном пароле вскрыть ваш том будет очень непросто.
Далее программа предложит выбрать местоположение для файла виртуального зашифрованного диска (рис. 10.17). Файл можно расположить в любом каталоге, к которому у вас есть доступ, а также на флешке или внешнем жестком диске. Нажмите кнопку Select File для выбора файла (рис. 10.18).
Рис. 10.17. Выбор местоположение для файла зашифрованного диска
Рис. 10.18. Ввод имени файла
На следующем шаге вам будет предложено выбрать алгоритм шифрования и алгоритм хэширования (рис. 10.19). Вы можете выбрать алгоритмы шифрования AES, Serpent, Twofish или же их комбинации AES-Twofish или Seprent-Twofish-AES и т. п. Но имейте в виду, что при двойном или тройном шифровании у каждого алгоритма будет свой ключ, и вам придется помнить не один, а три пароля. Возрастает как надежность шифрования, так и вероятность забыть пароль. Тут уж решать вам.
Рис. 10.19. Выбор алгоритмов шифрования и хэширования
В качестве алгоритма хэширования вам предлагается на выбор три варианта: RIPEMD-160, SHA-512 и Whirlpool. Длина хэша первого – 160 битов, двух последних – 512 битов. Понятно, что два последних алгоритма – надежнее. Какой из них выбрать? Оба алгоритма в равной степени надежны. Если вы когда-нибудь имели дело с шифрованием, точнее с хэшированием, то наверняка выберите привычный SHA-512. Я же выбрал Whirlpool – уж очень это название напоминает производителя моего холодильника. Шутка. Алгоритм Whirlpool более свежий – появился в 2004 году (точнее, окончательно стандартизирован), поэтому должен быть надежнее, чем SHA-512.
Далее нужно ввести размер виртуального диска (рис. 10.20). Программа сообщает, сколько свободного места осталось на разделе, где хранится файл виртуального диска. У меня конфиденциальных данных мало, поэтому и установил такой размер (всего 50 Мбайт). Если же вы планируете хранить на зашифрованном диске, скажем, базу почтового клиента, потребуется как минимум несколько гигабайт.
Рис. 10.20. Размер виртуального диска
А теперь самое важное – ввод пароля (рис. 10.21). Не нужно выбирать в качестве пароля словарное слово (или комбинацию таких слов), пароль не должен содержать дату вашего рождения. Регистр символов пароля должен быть разный, в пароле должны быть цифры и неалфавитные символы (@, ^, =, $, * и др.). Рекомендуемая разработчиком минимальная длина пароля – 20 символов, максимальная возможная длина – 64 символа. Если вы пропустили главу 9, настоятельно рекомендую ее прочитать, – там мы рассмотрели вопросы выбора надежного пароля.
Рис. 10.21. Установка пароля
Программа не устанавливает ограничение на длину пароля, но обязательно сообщит вам, если вы попробуете предложить ей ненадежный пароль. Решение принимать вам – или ввести надежный пароль, или оставить как есть.
Включив режим Use Keyfiles, вы можете задать использование ключевых файлов для доступа к тому. Указать ключевые файлы можно, нажав кнопку Keyfiles.
Следующий шаг – форматирования тома (рис. 10.22). Просто нажмите кнопку Format и подождите, пока форматирование не будет завершено (рис. 10.23). Время ожидания зависит от выбранного размера диска.
Рис. 10.22. Форматирование виртуального тома
Рис. 10.23. Процесс форматирования виртуального диска
В конце концов вы увидите сообщение, свидетельствующее об успешном создании виртуального диска (рис. 10.24). Нажмите кнопку OK.
Рис. 10.24. Виртуальный диск успешно создан
Если вы желаете создать еще один зашифрованный диск, в следующем окне (рис. 10.25) нажмите кнопку Next, в противном случае – Exit.
Рис. 10.25. Мастер создания зашифрованного диска завершил свою работу
Виртуальный жесткий диск после создания нужно подмонтировать. Для этого в основном окне программы (рис. 10.26) выберите букву устройства, которая будет использоваться для доступа к виртуальному диску, затем – файл виртуального диска (нажав кнопку Select File) и нажмите кнопку Mount.
Рис. 10.26. Выбор файла виртуального диска
Программа попросит указать пароль для доступа к тому (рис. 10.27). Если при создании тома вы решили использовать ключевые файлы, установите флажок Use keyfiles и нажмите кнопку Keyfiles для выбора ключевых файлов.
Рис. 10.27. Ввод пароля при монтировании тома
В основном окне программы (рис. 10.28) вы увидите, что том подмонтирован (конечно, при условии правильного ввода пароля). В нашем случае том подмонтирован как диск Q:, размер тома – 49,8 Мбайт, алгоритм – AES.
Рис. 10.28. Виртуальный диск подмонтирован
После монтирования вы можете открывать окно Компьютер и работать с зашифрованным диском как с самым обычным диском (рис. 10.29). Никаких ограничений на использование виртуального диска нет.
Рис. 10.29. Виртуальный диск Q: в окне Компьютер
Закончив работу с виртуальным диском, перейдите в окно программы TrueCrypt (см. рис. 10.28), выберите смонтированный диск и нажмите кнопку Dismount.
Как видите, ничего сложного в использовании TrueCrypt нет. На досуге рекомендую прочитать PDF-файл, поставляемый вместе с программой, – в нем вы найдете много интересного. Одно плохо – нет его русской версии, поэтому если с английским не все хорошо, можете посетить сайт русскоязычного сообщества TrueCrypt: http://truecrypt.org.ua/docs.
10.6. Удаление информации без возможности восстановления
Когда вы удаляете файл, на самом деле он с жесткого диска не удаляется. Просто запись о файле удаляется из таблицы размещения файлов (не говоря уже о том, что существует копия этой таблицы – по ней и производится восстановление удаленных файлов). И несмотря на то, что файл якобы удален, все данные, содержащиеся в нем, физически все еще на жестком диске находятся. Система перезапишет их только тогда, когда ей понадобится дисковое пространство, которое раньше занимал удаленный файл. Учитывая огромную емкость современных жестких дисков, может пройти несколько месяцев с момента удаления файла, а содержащиеся в нем данные все еще будут находиться на жестком диске с возможностью их восстановления.
Из личной практики
Вообще-то, как подмечено лично мной, при удалении файлов работает закон Мерфи, который вполне можно назвать законом подлости. Если вы случайно удаляете важный файл, его зачастую нельзя восстановить или удается восстановить только частично – видите ли, системе срочно понадобилось место, которое раньше занимал важный для вас файл.
Когда же вы удаляете, например, компрометирующие вас файлы, физически они еще долго находятся на жестком диске и свободно могут быть восстановлены…
Существует несколько способов безвозвратного удаления данных:
✓ микроволновка – жесткий диск извлекается из компьютера и помещается в микроволновую печь. Включаете печь на одну минуту, а сами немедленно покидаете помещение и вызываете пожарную охрану или готовите огнетушитель. Недостаток у этого способа один – кроме жесткого диска будет повреждена еще и ни в чем не повинная печь;
✓ молоток – достаточно несколько раз изо всех сил ударить увесистым молотком по жесткому диску, и все данные будут удалены.
Оба эти способа хороши, когда вашу дверь уже взламывают, и нет времени искать утилиту для безопасного удаления файлов. Но недостатки у них тоже имеются: вы несете определенные финансовые потери (в первом случае пострадает печь и жесткий диск, во втором – только жесткий диск), а также данные удаляются все без разбора. Дабы не прибегать к помощи молотка, нужно заранее позаботиться о выборе программы для безопасного удаления данных. Перед удалением файла такие программы вычищают все блоки жесткого диска, занимаемые файлом. После удаления записи о файле из таблицы размещения все блоки данных файла перезаписываются случайной информацией или просто нулями, то есть происходит физическое удаление данных с жесткого диска.
Существует много программ подобного рода, но я остановил свой выбор на программе Eraser, скачать которую можно абсолютно бесплатно с сайта разработчика: http://eraser.heidi.ie/. Почему именно эта программа? Да потому что она, в отличие от некоторых других, нормально работает с Windows 7.
Разобраться с использованием программы очень просто – с этим вы справитесь и без моих комментариев. Единственное, что нужно отметить – программа требует. NET Framework, поэтому перед установкой программы нужно скачать и установить эту платформу. Благо, она доступна бесплатно и ее скачать можно с сайта Microsoft: http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=9cfb2d51-5ff4-4491-b0e5-b386f32c0992.
В четвертой части книги вы узнаете, как не допустить ошибок, ведущих к потере анонимности, и какие лучше использовать программы для работы в Интернете.