В OneDrive появилась нововведение — личное хранилище. Его позиционируют как дополнительное средство защиты самых ценных файлов.
Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности личного хранилища в различных сценариях. На момент написания статьи функцию включили еще не у всех, но это должно произойти до конца 2019 года.
[+] Сегодня в программе
Общие сведения
Личное хранилище – это защищенная область OneDrive, доступ в которую в веб-версии и клиентах на разных ОС дополнительно подтверждается вторым этапом или фактором аутентификации.
Personal Vault – очередная премиальная возможность OneDrive. Без подписки Office 365 в хранилище можно поместить не более трех файлов.
В веб-версии и приложении для смартфонов создается отдельная «папка» Personal Vault, а у клиента Windows — одноименный ярлык в корне папки OneDrive. До первой настройки ярлык может быть недоступен, но в любом случае щелчок правой кнопкой мыши по значку OneDrive в области уведомлений открывает меню с пунктом для разблокировки хранилища.
Перейдя в Personal Vault впервые, вы инициализируете его настройку, а впоследствии — второй этап аутентификации, открывающий доступ в хранилище.
Оно автоматически запирается через 20 минут (Upd. 21-Jan-2020. Позже в настройках OneDrive добавили также варианты 1, 2 и 4 часа), однако в Windows 10 перед этим появляется уведомление, позволяющее продлить разблокированное состояние.
Двухэтапная или двухфакторная аутентификация
Поскольку приложение OneDrive запоминает учетные данные, первый этап аутентификации выполняется автоматически. Реализация работы второго этапа для доступа в личное хранилище различается в зависимости от клиента OneDrive.
Клиент для Windows и веб-версия OneDrive
При разблокировании хранилища требуется дополнительное подтверждение. Конкретный процесс зависит от того, включена ли 2FA и/или установлено ли приложение Microsoft Authenticator.
Например, у меня включена 2FA и установлено данное приложение, при этом аутентификация в учетной записи Microsoft (MSA) настроена на вход без пароля. В этом случае доступ подтверждается одобрением уведомления в приложении (если ПК не входит в список доверенных, также требуется ввести ПИН-код на смартфоне).
При минимальном уровне безопасности MSA, т.е. при отсутствии 2FA и приложения, одноразовый пароль отправляется на номер телефона или почту, указанные в настройках безопасности.
Клиент для Android / iOS
В Android при первоначальной настройке хранилища требуется создать шестизначный ПИН-код. После этого им или биометрическим фактором (отпечаток пальца, лицо) можно разблокировать защищенную область.
Вероятно, в iOS работает так же – напишите в комментариях.
Техническая реализация в Windows
Контекст рассказа — Windows 10. В более старых ОС я не проверял, но должно работать аналогично.
Шифрование
В официальной новости упомянули защищенную область на диске, зашифрованную с помощью BitLocker. И вот как отреагировал на это один из участников чата инсайдеров.
На самом деле BitLocker шифрует тома целиком, и было бы странно видеть реализацию нового подхода к шифрованию ради личного хранилища, ориентированного на потребителей. (Для шифрования отдельных файлов в Windows есть EFS, но имена файлов при этом не скрываются.)
Принцип работы
Складываем заявленную защиту папки с имеющимся в BitLocker шифрованием тома, держим в уме возможность подключения тома в папку и получаем… VHDX!
Проверяем теорию с PowerShell, предварительно разблокировав хранилище:
Get-Item -Path "$ENV:userprofile\OneDrive\Personal Vault" -Force | Format-List Directory: C:\Users\User\OneDrive Name : Personal Vault CreationTime : 29.09.2019 12:11:39 LastWriteTime : 29.09.2019 12:11:39 LastAccessTime : 29.09.2019 12:11:39 Mode : d--h-l LinkType : Junction Target : {Volume{652a76e2-0000-0000-0080-000000000000}\VaultData}
Напомню, что в проводнике виден ярлык Personal Vault в папке OneDrive. PowerShell показывает, что с помощью соединения осуществляется перенаправление в некий том. Посмотрим на него (я выбрал ключевые свойства параметром -Property
).
Get-Volume -FileSystemLabel 'OneDrive Personal Vault' | Get-Partition | Get-Disk | Format-List -Property DiskNumber,PartitionStyle,ProvisioningType,BusType,Model,PhysicalSectorSize,Size,Location DiskNumber : 4 PartitionStyle : MBR ProvisioningType : Thin BusType : File Backed Virtual Model : Virtual Disk PhysicalSectorSize : 4096 Size : 1099511627776 Location : C:\OneDriveTemp\<SID>\{28AF6376-833A-41E9-A825-2B9730F180 41}.vhdx
Что и требовалось доказать! Виртуальный диск в разметке MBR и с размером сектора 4KB создается и затем хранится во временной папке OneDrive — в подпапке с именем, равным SID пользователя. Когда вы разблокируете хранилище, виртуальный диск подключается в папку OneDrive\Personal Vault. Соответственно, VHDX виден в оснастке управления дисками.
Виртуальный диск является динамически расширяемым, а его максимальный объем в 1TB, видимо, приравняли к стандартному объему пространства OneDrive у подписчиков Office 365. При пустом хранилище VHDX занимает около 150MB на диске.
Разблокировка личного хранилища без 2FA
При желании аналогичное решение можно запилить на коленке в изданиях Pro и выше – создать VHDX, зашифровать BitLocker, закрыть паролем и подключить в папку.
Да, придется скриптовать подключение VHDX и инициализацию расшифровки после перезагрузки, но ничего технически нового в хранилище нет (кроме автоматической блокировки и UI/UX).
Все это можно проделать даже с диском Personal Vault, поскольку используются стандартные технологии BitLocker.
Подключение VHDX вручную ничего не дает, поскольку диск зашифрован. Командлет Get-BitlockerVolume показывает, что у него один предохранитель – внешний (external protector). Можно добавить свой, например, 48-значный пароль восстановления, такой же как при автоматическом шифровании.
Его генерирует и отображает командлет Add-BitLockerKeyProtector. Выглядит это примерно так:
Add-BitLockerKeyProtector -MountPoint "\\?\Volume{e22ebd10-0000-0000-0080-000000000000}\" -RecoveryPasswordProtector WARNING: ACTIONS REQUIRED: 1. Save this numerical recovery password in a secure location away from your computer: 278949-295020-526823-437129-178134-226974-583726-024255 To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume. ComputerName: DESKTOP-TADMRIH VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection Point Percentage Enabled Status ---------- ----- ---------- ------------ ---------- ------------ ---------- ---------- Data E: 1,024.00 FullyEncrypted 100 {ExternalKey, Recovery... False On
Теперь можно заблокировать Personal Vault из меню OneDrive, подключить VHDX в консоли или оснастке и разблокировать том командлетом Unlock-Bitlocker, указав пароль восстановления.
Unlock-BitLocker -MountPoint "\\?\Volume{e22ebd10-0000-0000-0080-000000000000}\" -RecoveryPassword 278949-295020-526823-437129-178134-226974-583726-024255
На диске две папки – OneDriveTemp для временных файлов и VaultData для содержимого хранилища.
Кстати, если назначить VHDX букву диска, она будет подхватываться при разблокировании хранилища стандартным путем. Выше видно, что у меня назначена буква E
.
В каких изданиях и на каких ПК это будет работать
Казалось бы, странный вопрос. Это должно работать у всех – ведь новая функция нацелена на самых технически слабых домашних пользователей. Но тут есть интересный нюанс.
Я очень подробно рассказывал о шифровании в статье Автоматическое шифрование BitLocker в Windows 10. Напомню, что BitLocker явно работает в изданиях Pro и выше, а неявно – даже в домашних изданиях начиная с Windows 8.1. Однако автоматическое шифрование включается лишь на ПК, обладающих рядом аппаратных характеристик.
Раз Windows может обеспечить шифрование VHDX с хранилищем OneDrive, то что мешает зашифровать другие тома?
Вопрос риторический, и очевидно, что хранилище будет работать на любых ПК и во всех изданиях. Что лишь укрепляет мой тезис в той статье – недоступность шифрования BitLocker в домашних изданиях является исключительно маркетинговым решением Microsoft.
Кому нужно личное хранилище в OneDrive
На мой взгляд, хранилище дает преимущества лишь тем людям, которые не соблюдают ключевые правила обеспечения безопасности и конфиденциальности своих устройств, аккаунтов и личных данных. Например тем, кто испокон веков искал возможность поставить в Windows пароль на папку ;)
Давайте рассмотрим сценарии использования хранилища OneDrive на ПК и смартфоне.
ПК с Windows 10
Единственный сценарий, в котором я вижу реальную пользу, это — домашнее издание Windows 10 на ПК, где не поддерживается автоматическое шифрование устройства, а его владелец не хочет применять сторонние средства шифрования. В этом случае зашифрованный том личного хранилища OneDrive действительно предоставляет дополнительную защиту данных.
В остальном повышение уровня конфиденциальности достигается, когда несколько членов семьи рутинно пользуются общей учетной записью, либо владелец индивидуальной учетной записи не блокирует ее, отходя от ПК.
Однако все это попадает в категорию «нам нечего скрывать друг от друга». И тогда непонятно, зачем скрывать файлы в хранилище :)
Смартфон с Android или iOS
Если смартфон не защищен ПИН-кодом или паролем, это уже плохо, поскольку конфиденциальность отсутствует в принципе, а устройство не зашифровано. (Строго говоря, в Android дисковое шифрование включается сразу, но вплоть до указания пользовательского ПИН-кода используется озвученный в документации пароль. Это похоже на инициализацию автоматического шифрования устройства в Windows).
Однако приложение OneDrive позволяет установить шестизначный ПИН-код на вход в него. Тогда еще один ПИН-код на хранилище явно лишний.
Я не в курсе шифруются ли файлы личного хранилища OneDrive на диске. Если да, с тем же успехом это можно делать для всех файлов, если вход в приложение защищает ПИН-код (по крайней мере, в Android).
Мнение и заключение
Я традиционно приветствую укрепление безопасности и конфиденциальности в устройствах и ПО. Мне понравилась реализация личного хранилища OneDrive с точки зрения пользовательского опыта и было любопытно поковырять ее в Windows. Однако от Personal Vault осталось стойкое ощущение, что маркетинга в нем больше, чем реальной защиты личных данных.
Да, всегда есть люди, которые не устанавливают ПИН-код на телефоне или входят в OneDrive на публичном ПК и забывают выйти.
В таких случаях личное хранилище подтолкнет к использованию 2FA и поможет обезопасить самые ценные файлы. Если, конечно, они купят подписку Office 365 или догадаются сложить все в архив :)
Но надеюсь, что большинство читателей этого блога более ответственно относятся к защите личных данных. Поэтому в контексте статьи моя рекомендация остается неизменной:
- Защищайте все аккаунты двухфакторной аутентификацией, по возможности исключая номер телефона из списка факторов ( ТГ | ВК).
- Используйте шифрование на всех устройствах.
В комментариях расскажите:
- Интересно ли вам такое решение для защиты важнейших файлов? Допустим, что ограничения на их количество нет.
- Есть ли у домочадцев беспрепятственный доступ к вашей учетной записи в Windows, а у вас — к их аккаунтам? Зашифрован ли диск, стоит ли пароль на BIOS?
DZITs
Отличная статья, Вадим, спасибо.
Интересное наблюдение!
У меня есть юзкейс, когда я одну из папок, синхронизируемых с OneDrive, подключаю как сетевой диск (ну вот мне так удобно). Как только Personal Vault появится, попробую через него, тогда и костыль с сетевым диском будет не нужен. Я так понимаю, что при блокировке Personal Vault этот диск будет «отваливаться»?
Vadim Sterkin
Дмитрий, если подключать Vault через UI OneDrive, то все другие точки входа в него должны отвалиться после блокировки, потому что она отключает VHDX. Но даже если не отвалится, то все равно будет зашифровано.
Konstantin Algash
Только лимиты на бесплатном тарифе подкачали. Ограничение в три файла, это довольно сильно.
Vadim Sterkin
Константин, Windows прозрачно работает с ZIP :)
Артём Алаев
Спасибо за статью!
Пока положил туда пару сканов нужных документов (не паспорт)
Очень удобно иметь доступ со смартфона по клику, при этом греет душу мысль, что оно там не просто в свободном доступе лежит а за отдельным замком.
С другой стороны, если сервис получит широкое распространение, и люди там будут хранить фото своих кредиток, то это станет лакомым кусочком для хацкеров — возможно будет волна новых червей, которые будут нацелены именно на этот vault
Vadim Sterkin
Артем, черви 2FA обойти не смогут. Для этого нужен либо перехват канала аутентификации, либо фишинг ( ТГ ).
Safety1st
Зафанател от новой фишки, особенно от её реализации на W10. Диск не зашифрован: нет аппаратной поддержки + Single Language, но конфиденциальные данные только в одной папке, остальное в менеджере паролей. Кроме меня, браузером пользуется жена под моим аккаунтом.
Vadim Sterkin
Круто! Вы четко попадаете в мое определение целевой аудитории — домашнее издание без сторонних средств шифрования.
А у вас уже была включена 2FA в учётной записи Майкрософт?
Safety1st
Да, была. Теперь не знаю, как отключить отправку кода по SMS по Вашему совету.
Vadim Sterkin
Так в канале прямая ссылка на страницу настроек. Если непонятно, пишите в чат @winsiders, разберемся.
Safety1st
Проглядел. Всё получилось!