В сборке Windows 11 24H2 произошли изменения в политике шифрования дисков — изменения, которые будут иметь долгосрочные последствия для цифровой криминалистики. В этой версии  Windows системный раздел автоматически шифруется BitLocker в процессе установки Windows, если во время настройки используется учётная запись Microsoft. Шифрование происходит в фоновом режиме, и включается в большинстве редакций Windows и устройств, включая настольные компьютеры, на которых ранее шифрование автоматически не включалось.

Важно: шифрование не включается автоматически при обновлении существующей сборки Windows 11 до 24H2 через Центр обновления Windows.

Ничего нового?

В многочисленных публикациях, последовавших за выпуском новой сборки ОС, нововведение подаётся как что-то беспрецедентное — хотя на деле «новая» политика Microsoft является логическим продолжением более ранней функции под названием BitLocker Device Encryption, появившейся ещё в Windows 8.1, Windows RT и Windows 10 Home. Device Encryption представляла собой урезанную версию BitLocker, предназначенную для автоматической защиты загрузочного тома системы при совпадении ряда условий:

• Устройство соответствует спецификациям Connected Standby или Modern Standby (как правило, было достаточно наличия твердотельного накопителя).
• Оперативная память распаяна (для защиты от «холодной» атаки).
• В наличии модуль TPM 2.0.
• В системе присутствует хотя бы одна учётная запись администратора, привязанная к учётной записи Microsoft (а не локальной учётной записи). Именно в неё будет выгружен ключ восстановления доступа, который позволит расшифровать диск BitLocker в случае проблем.

Этим требованиям, как правило, соответствовали планшеты (в своё время мы протестировали Lenovo ThinkPad 8, Nokia Lumia 2520 и Dell Venue 8 Pro), бизнес-ноутбуки и дорогие модели ультрабуков (на недорогих моделях, как правило, мощности не хватало, и шифрование не использовалось). При совпадении всех условий было достаточно войти в систему с административной учётной записью Microsoft Account, чтобы инициировать шифрование загрузочного диска. Шифрование происходило начиналось в фоновом режиме; многие пользователи даже не подозревали, что диск был зашифрован; единственными признаками могли быть повышенная дисковая активность и ускоренный расход заряда.

Всё-таки новая политика

Тем не менее, сказать, что ничего не изменилось, нельзя. До выхода сборки Windows 11 24H2 автоматическое шифрование если и применялось, то в основном к мобильным устройствам — ноутбукам, планшетам, устройствам 2-в-1. Настольные компьютеры политики шифрования обходили стороной; включить BitLocker могли только пользователи профессиональных редакций Windows и выше. Домашняя редакция Windows Home вообще не позволяла зашифровать системный раздел за исключением случаев, когда включался BitLocker Device Encryption, использование которого всегда было вне контроля пользователя.

В сборке Windows 11 24H2 эти политики изменились. Теперь шифрование доступно и в младшей редакции Windows 11 Home, а системный раздел будет автоматически зашифрован независимо от того, какое используется устройство, включая настольные компьютеры. Более того, единственное оставшееся требование — вход административного аккаунта в учётную запись Microsoft, — теперь является обязательным: штатного способа обойтись локальным аккаунтом компания пользователям не оставила. Наличие же модуля TPM 2.0 или его программного аналога (эмуляция на уровне процессора) изначально являлось одним из системных требований Windows 11.

Старых пользователей не трогают

Новая политика шифрования распространяется только на тех пользователей, которые устанавливают Windows 11 24H2 с нуля, настраивают новый компьютер с предустановленной версией ОС либо настраивают ОС после сброса к заводским настройкам. Если же пользователь просто обновляет систему через Центр обновлений Windows и получает сборку 24H2 через него, то никаких немедленных изменений в шифровании не происходит: незашифрованные диски так и остаются незашифрованными.

Последствия новой политики шифрования дисков

Немедленных последствий нововведение не несёт, но долгоиграющие — будут, и весьма серьёзные. Системные разделы всех новых компьютеров с предустановленной Windows 11 будут зашифрованы. По мере обновления парка цифровых устройств всё большее число компьютеров, использовавших старые версии Windows, будет заменяться на новые, в которых шифрование включено по умолчанию.

Без ключа восстановления доступа зашифрованные диски BitLocker невозможно будет прочитать или смонтировать. Основные последствия таковы:

• Нет смысла извлекать диск или создавать образ с «холодного» диска, если нет ключа восстановления доступа.
• Парольные атаки бесполезны: шифрование системного раздела не использует пароля, двоичный ключ хранится в TPM (а ключ восстановления доступа — в облаке).
• Нужен ключ восстановления доступа. Извлечь его можно из облака Microsoft (для персональных учётных записей) либо из Active Directory (например, при помощи Elcomsoft System Recovery), если компьютер корпоративный.
• Исследование авторизованной пользовательской сессии становится ещё более важным: из сессии пользователя можно извлечь ключи от зашифрованных дисков (через командную строку либо снятием дампа оперативной памяти) и получить доступ к файловой системе.
• Замедление сроков расследования. Ожидание ключей восстановления от Microsoft или корпоративного IT-отдела может привести к значительным задержкам.

В итоге с этого момента специалисты должны рассматривать изъятые устройства с Windows в качестве зашифрованных со всеми вытекающими последствиями.

Ссылки по теме

Дополнительные материалы по BitLocker:

• BitLocker overview — Microsoft Support
• BitLocker recovery overview | Microsoft Learn
• Government Requests for Customer Data Report | Microsoft CSR
• Microsoft’s default BitLocker on your Windows 11 PC is hitting even the fastest SSDs hard — Neowin
• Microsoft may default-encrypt your data with BitLocker on Windows 11 24H2 Home PCs too — Neowin

Заключение

Ещё в 2022 году в статье Windows 11: TPM, новый тип учётных записей и логин без пароля мы писали:

«Несмотря на бесчисленные копья, сломанные в спорах о явно завышенных системных требованиях Windows 11, разработчики Microsoft сделали шаг в верном направлении. Обязательное требование наличия TPM совместно с новым способом авторизации устраняют серьёзную уязвимость в механизме авторизации Windows при входе в учётную запись. В то же время мы не заметили изменений в политике шифрования. На портативных устройствах всё так же используется BitLocker Device Encryption, а в настольных компьютерах шифрование по-прежнему остаётся опциональным; для доступа к зашифрованным данным всё так же используется депонированный в Microsoft Account ключ BitLocker Recovery Key.»

Разработчики Microsoft сделали последний логический шаг на пути защиты данных, включив, наконец, обязательное шифрование системного раздела BitLocker. Это было ожидаемо, и это произошло.