В Интернете уже есть много статей на эту тему.
Я провёл небольшое исследование, в ходе которого обнаружил, что большинство из них используют стандартные настройки VeraCrypt, которые давно отработаны злоумышленниками и не могут считаться безопасными.
Потому что с развитием и появлением на рынке мощных пользовательских устройств растет и спрос на корпоративное оборудование, превосходящее его по характеристикам.
Сегодня я расскажу вам, как мы построим линию защиты для защиты данных на устройстве Windows.
Этот материал вдохновлен статья Олег Афонин «Как усилить Vera. Сделать зашифрованные VeraCrypt контейнеры непроницаемыми».Если вы хотите глубже углубиться в тему информационной безопасности, вы можете сделать пожертвование и подписаться на него.
Важный
Есть небольшая вероятность, что ваш процессор (старый или недорогой) не поддерживает технологию ускоренной расшифровки AES. В этом случае расшифровка диска при включении устройства займет минуты, а не секунды (время от ввода пароля до начала загрузки ОС займет больше времени).Заранее узнать, поддерживает ли ваш данную технологию, можно на официальном сайте производителя.
Например, Интел: 
Или можно проверить на сторонних сайтах, например Здесь .
Проверить наличие этой технологии можно также с помощью самой программы VeraCrypt. После установки заходим в Инструменты -> Тест скорости .
Нас интересует индикатор в правом нижнем углу.
Индикатор «Да» будет означать наличие ускорения, индикатор «Н/Д» — его отсутствие.
Монтаж
Скачать с официального сайта сайт .
Перейдите на вкладку «Загрузки», выберите версию (Установщик для) для вашей операционной системы, я выбрал Windows. 
Далее откройте скачанный файл и начните установку.
Здесь все просто, подтверждаем все пункты, пока не установим программу.
По окончании процедуры VeraCrypt может жаловаться на функцию быстрого запуска ОС.
В этом случае отключите его: 
Перезагрузите компьютер.
? операция
После перезагрузки откройте VeraCrypt и создайте новый том.В открывшемся мастере создания тома делаем следующее:
- Выберите «Зашифровать раздел или весь диск с системой»
- Тип шифрования - обычный
- Область шифрования – вы можете выбрать один из двух вариантов: «Зашифровать системный раздел Windows» или «Зашифровать весь диск».
Если у вас есть второй, то выберите его.
- Количество операционных систем – «Единая загрузка», если на вашем компьютере установлена только одна ОС.
Шифрование
И здесь мы переходим к самому интересному — методам шифрования.В качестве алгоритма мы выбираем проверенный временем AES, но хеширование у него сложнее.
Прежде всего, злоумышленники работают по наиболее распространённым сценариям — AES и SHA-512, которые используются по умолчанию.
По возможности отказываемся от стандартных настроек : Мы усложняем задачу хакерам, чтобы им приходилось дольше гадать, какой комбинацией вы шифруете.
Лично я выберу Whirlpool.
Внимание, ни при каких обстоятельствах не выбирайте Стрибог , алгоритм содержит дыра по безопасности (разработан Центром защиты информации и спецсвязи ФСБ России при участии АО «ИнфоТеКС»)Далее следует выбор пароля.
Более подробную информацию о том, что такое хороший пароль, вы можете найти в нашей статья .
Важный совет: придумайте уникальный, который больше нигде не использовался.
Корпорации даже хранят ваши старые логины и пароли на серверах.
Один запрос от «правоохранительных» органов и все ваши авторизационные данные окажутся у них в руках.
Ставим галочку «Использовать PIM» и идем дальше.
PIM (персональный множитель итераций)
Нас попросят ввести PIM, там же представлено описание этого термина.Чем больше, тем безопаснее, но в то же время медленнее.
Подождать лишние секунды при загрузке не сложно, но для нас это полезнее.
Если вас интересуют конкретные цифры, то ниже картинки с тестами: Настройки PIM по умолчанию (485): 
500: 
1000: 
Чтобы дать вам представление о том, почему нам следует его использовать, представьте, что даже если злоумышленник знает пароль, ему придется попробовать все варианты PIM, то есть (1,2,3.n), чтобы расшифровать диск.
И если не знать точную цифру, то можно застрять надолго, что нам на руку.
Но даже при большом значении выбирать число следует очень внимательно.
То есть сразу отбрасываем комбинации 1234/2012/1939/год рождения ребенка/поступление/совершеннолетие.
Число не должно быть каким-либо образом связано с вами и в то же время не должно быть слишком тривиальным.
Итак, PIM должен быть большим, анонимным и необычным.
Например 1709 .
Нам будет предложено сгенерировать дополнительные ключи, они нам не нужны, жмем далее.
Затем вам будет предложено создать диск восстановления.
Если вы храните важные данные в безопасном облаке, вы можете пропустить этот шаг.
Если все данные хранятся только на устройстве, то можно создать флешку для восстановления ключей.
Даже если злоумышленники найдут флешку — они ничего не могут с ней сделать.
Как сказано в описании, он подходит только для восстановления загрузочного раздела.
В любом случае вам придется ввести пароль.
Далее идет режим очистки.
Я считаю достаточным описание, данное самой программой; Отмечу лишь, что я выбрал 3 прохода.
Предварительное тестирование
Теперь, когда мы выполнили все необходимые настройки, нам остается только провести предварительную проверку, в ходе которой компьютер перезагрузится, но вместо обычного значка Windows нас встретит холодный интерфейс программы-вымогателя, который попросит ввести ваш пароль и PIM. Давайте войдём.Для особых случаев во время предварительного тестирования (например, если вы вдруг забыли пароль и созданный вами 5 минут назад PIM) предусмотрен механизм обхода ввода пароля.
Нажмите ESC и загрузитесь в Windows. VeraCrypt сообщит нам, что предварительный тест не пройден, и предложит пройти его еще раз.
Мы отказываемся от предложения.
Перейдите в Система -> Полностью расшифровать системный раздел/диск.
Убеждаемся, что ничего не зашифровано и повторяем весь процесс шифрования с начала.
Если вход прошел успешно, VeraCrypt встретит нас уведомлением о том, что предварительный тест завершился успешно, и все, что нам нужно сделать, это зашифровать диск, что мы и делаем, нажав «Зашифровать», а затем подождем около 15 минут.
Ты сделал это.
Вы молодец.
Ниже приведены ответы на вопросы: — Шифруется только 1 диск одновременно? — В этой статье мы зашифровали только системную версию; если у вас есть дополнительные, вы повторяете все те же действия, указанные ранее.
В этом случае для доступа к этому диску вам придется каждый раз заходить в VeraCrypt, чтобы отмонтировать диск и получить к нему доступ.
Важную информацию на втором диске лучше просто не хранить, чтобы не тратить время на ее шифрование.
— Не даст ли увеличение длины пароля на два-три символа из расширенного набора символов аналогичный или даже лучший результат, чем PIM? — Если подойти к этому с чисто вычислительной точки зрения, так и будет. Реальность такова, что большинство атак осуществляются с настройками по умолчанию.
Количество программ, способных использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а количество программ, способных автоматизировать атаки с настраиваемым набором значений PIM, еще меньше.
Теги: #информационная безопасность #Windows #Хранение данных #VeraCrypt #руководство #шифрование диска
-
Гранат
19 Oct, 24 -
Покадровое Сравнение H.264 И Vp8
19 Oct, 24
