Клокер на материнской плате что это

Клокер на материнской плате что это

Здравствуйте, любители покопаться в компьютерном железе. В этой статье мы расскажем, что располагается на материнской плате. Иными словами, перечислим все компоненты и их назначение. И речь пойдет не только о разъемах, хотя и о них мы также писали, но и таких элементах как цепи питания, контроллеры и микросхемы.

p, blockquote 1,0,0,0,0 —>

Возможно, данная информация пригодится вам в дальнейшем для сборки, для ремонта, или собственного образования. Здесь мы хотим кратко пройтись по компонентам, чтобы ваше представление о характеристиках компьютера было более обширным.

p, blockquote 2,0,0,0,0 —>

p, blockquote 3,0,0,0,0 —>

Что находится на материнской плате ПК

Представьте себе среднестатистическую МП в форм-факторе ATX (про другие вы можете почитать в этой статье). Ее компоновка выглядит таким образом:

p, blockquote 4,0,0,0,0 —>

Сокет – разъем, в который вставляется центральный процессор. Разъем зачастую имеет квадратную, либо прямоугольную форму. С одной стороны от него располагается прижимной рычаг. Сразу скажем, что сокеты Intel и AMD кардинально отличаются друг от друга, так что перепутать материнку будет сложно.

p, blockquote 5,0,0,0,0 —>

Северный мост – один из ключевых компонентов такого понятия как чипсет. Данный компонент серьезно влияет на возможности и характеристики МП, а также подключаемых к ней комплектующих (разгон и его стабильность, количество одновременно работающих плат расширения и аппаратных элементов, число портов расширения).

p, blockquote 6,0,0,0,0 —>

Свое «географическое» прозвище получил из-за расположения на плате (под процессором). Северный мост связывает воедино процессор, видеокарты и прочие комплектующие, работающие через шину PCI‑E, а также ОЗУ.

p, blockquote 7,0,1,0,0 —>

Южный мост – вторая часть чипсета, распаянная на нижней части МП. Ответственный за стабильную работу «медленных» портов и слотов расширения (USB), а также звуковой и сетевой карты. На его совести работоспособность всех гнезд задней панели, SATA и PCI.

p, blockquote 8,0,0,0,0 —>

Слоты для ОЗУ – порты, в которые устанавливается оперативная память. На данный момент самый распространенный стандарт – DDR4.Слоты PCI‑E – используются для высокоскоростных устройств (видеокарты, SSD NVMe, Intel Optane). Существуют порты PCI‑E x16/x8/x4/x1. Последние, напоминают собой сильно урезанные разъемы, хотя их функционал полностью идентичен полноформатным. Для работы используются, как ни странно, линии PCI-Express, количество которых определяется процессором.Слот PCI – стандартное гнездо для установки сетевых карт и контроллеров, плат расширения, звуковых карт, кард-ридеров, дополнительных USB-портов, ТВ-тюнеров и карт захвата. Курируется южным мостом.

p, blockquote 9,0,0,0,0 —>

Разъем питания – порт, к которому подключается блок питания, подающий напряжение на всю систему. Зачастую схема подключения имеет формулу 24+4 или 24+8 pin (материнская плата + процессор/видеокарты). Некоторые современные МП обладают усиленной схемой с формулой 24+4+4 либо 24+4+6 pin. Платы для майнинга могут иметь еще более серьезную подсистему питания, ввиду наличия большого числа разъемов PCI‑E.

p, blockquote 10,0,0,0,0 —>

Разъемы вывода на переднюю панель корпуса – к ним подключаются кнопки включения и перезагрузки и LED-индикаторы состояния системы.

p, blockquote 11,0,0,0,0 —>

Порт SATA – порт подключения жестких дисков и скоростных SSD-накопителей. Также с его помощью коннектится оптический привод, который сейчас практически не востребован.

p, blockquote 12,0,0,0,0 —>

Цифровые и аналоговые аудиоразъемы/контроллеры – служат для подключения наушников, гарнитуры с микрофоном, акустических систем и рекордеров. Функционал разъемов и качество воспроизведения музыки контролируется отдельным звуковым чипом, распаянным возле выходов.

p, blockquote 13,0,0,0,0 —>

USB (внешние и внутренние) – гнезда для подключения практически любой современной периферии и внешних устройств. Практика показывает, что лишних USB в принципе не бывает.

p, blockquote 14,1,0,0,0 —>

Это, что касалось разъемов. Если думаете, что на ней (на плате само собой) больше ничего нет, то ошибаетесь. Теперь перейдем к функциональным элементам.

p, blockquote 15,0,0,0,0 —>

Сетевой контроллер – микросхема, отвечающая за стабильную работу интернета и локальной сети. Контроллер используется с Ethernet-розеткой, распаянной на МП. Если он выгорает, что может случиться из-за грозы или отсутствия заземления, спасет только внешняя сетевая карта.

p, blockquote 16,0,0,0,0 —>

Стабилизатор – микросхема, обеспечивающая стабильные 12В от блока питания, выравнивающая напряжение от скачков и перепадов. Также схема преобразует ток, подавая его на ЦП.

p, blockquote 17,0,0,0,0 —>

BIOS (UEFI) – ключевая схема компьютера, имеющая собственное предустановленное ПО, которое отвечает за стабильную работу абсолютно всех комплектующих на ПК. С помощью этой микросхемы можно разогнать железо, протестировать комплектующие на стабильность, выставить время, изменить приоритет загрузки носителей, задать скорость вращения вентиляторов (с ШИМ-контроллером), выставить ограничения на работу и не только. Питается от отдельной батарейки CR2032.

p, blockquote 18,0,0,0,0 —>

Транзисторы цепей питания (мосфеты) – используются для создания, усиления или преобразования электрических сигналов.

p, blockquote 19,0,0,0,0 —>

Конденсаторы – используются для выравнивания напряжения, которое подается на материнскую плату с помощью БП. Также они блокируют постоянный ток в цепи. Принцип действия схож с аккумуляторами, но «бочонки» отдают весь свой заряд мгновенно.

p, blockquote 20,0,0,0,0 —>

LED-индикаторы состояния – показывают статус устройства (подключено или нет). Довольно распространенная фишка в новых или дорогих материнских платах.

p, blockquote 21,0,0,1,0 —>

Генераторы тактовой частоты (клокеры) – устройство, формирующее частоту процессора.ШИМ-контроллер – главная микросхема, которая управляет напряжением на всей материнской плате и распределяет нагрузку по компонентам системы.

p, blockquote 22,0,0,0,0 —>

Мультиконтроллер – третья после мостов микросхема, по значимости, однако на данный момент считается устаревшей. Отвечает за работу портов LPT, COM (RS-232, PS/2) и выполняет часть прошивки BIOS. Из дополнительных возможностей стоит отметить:

p, blockquote 23,0,0,0,0 —>

  • встроенный Hardware Monitoring;
  • управление скоростью вращения кулеров;
  • интерфейс подключения CompactFlash-карт.

А вы думали, что компьютером магия управляет? Сразу хочу сказать, что все тонкости работы знать не обязательно, хотя иногда полезно для саморазвития. Если желаете заполучить отличное современное устройство для создания ПК, на базе того же Intel Core i5-8400 или любого другого представителя семейства Coffee Lake, то присмотритесь к следующим платам:

p, blockquote 24,0,0,0,0 —>

  • ASUS ROG Strix B360‑G Gaming;
  • ASUS TUF B360-Plus Gaming;
  • ASUS Prime H310M‑K;
  • Gigabyte B360M DS3H.

Нет, я не фанат ASUS, хотя платы у них действительно достойные, но большинство пользователей проголосовало рублем именно за них.

p, blockquote 25,0,0,0,0 —>

Надееюсь, теперь вы стали понимать свой ПК немного лучше. Читайте, делитесь с друзьями и не забывайте подписываться на обновления. Пока.

p, blockquote 26,0,0,0,0 —>

p, blockquote 27,0,0,0,0 —> p, blockquote 28,0,0,0,1 —>

Диагностика.

Диагностика неисправности ноутбука это сложная тема и у каждого имеется свой подход к решению данной проблемы. В этой статье мы хотим поделиться своим опытом выявления неисправности материнских плат. Конечно же, полностью разобрать все нюансы и проблемы, возникающие при тестировании плат в одной статье не получится. Поэтому изложим материал в сжатой форме, что бы был понятен принцип диагностики.

Причин неработоспособности ноутбука существует множество. Поэтому рассмотрим самые сложные случаи, при которых стандартные операции, такие как блочная замена комплектующих не помогает и все упирается в неработоспособность материнской платы.

Проблема, из-за которой материнская плата не работает, может скрываться на этапе до или после выполнения инструкций BIOS .

В этой статье мы будем рассматривать проблемы, возникающие до выполнения BIOS .

В качестве примера возьмем ноутбук A 6 F .

Для того что бы выяснить почему плата не подает признаков жизни, нужно для начала разобраться в схеме распределения питания и последовательности запуска( Power On Sequence ).

Последовательность запуска — схематическое отображение процесса запуска платы от момента подачи напряжений на плату до готовности процессора к выполнению задач BIOS .

Весь процесс запуска разбит на 14 этапов, на каждом из которых можно увидеть, что происходит с платой и если плата не стартует, то выполняя проверку шаг за шагом 1-14, можно определить на каком этапе возникла проблема и устранить ее.

Читайте также:  Ввод строки с клавиатуры java

Так выглядит последовательность запуска ноутбука A 6 F .

В качестве вспомогательной схемы используется более детальная схема распределения напряжений, к ней можно обращаться если на каком-то из этапов последовательности возникли проблемы с питанием.

Разберем шаг за шагом последовательность запуска и рассмотрим типичные проблемы на каждом из этапов запуска.

Как видим, весь процесс разбит на 14 этапов, но до выполнения 1го этапа существует еще один не менее важный для диагностики. Он отвечает за подачу входных напряжений на плату. Условно обозначим этот этап «0-1».

0-1 Входные напряжения (напряжения источников питания AD_DOCK_IN и AC_BAT_SYS)

Отсутствие входных напряжений является распространённой проблемой. Происходит это из-за некачественных источников питания или из-за перегрузки, вызванной высоким потреблением любого из компонентов использующих внешнее питание.

Напряжения входа(19 В ) проходят дистанцию с чекпоинтами и далеко не всегда доходят до финиша. Эту дистанцию можно отобразить в упрощенной блок схеме:

Более подробно участок схемы ( Разъем – Pmosfet ) выглядит следующим образом:

Если нет напряжения на участке ( Разъем – Pmosfet ) , то необходимо разорвать связь между сигналами AD _ DOCK _ IN и AC _ BAT _ SYS и если напряжение со стороны AD _ DOCK _ IN появилось, то причина неисправности скрывается дальше и надо разбираться с участком ( Pmosfet — Нагрузка):

Необходимо исключить вариант короткого замыкания (КЗ) по AC _ BAT _ SYS (19В) . Чаще всего КЗ заканчивается не дальше чем на силовых транзисторах в цепях требующих высокой мощности (п итане проце с сора, видео-карты) или на керамических конденсаторах. В ином случае необходимо проверять все к чему прикасается AC _ BAT _ SYS .

Если КЗ отсутствует, то обращаем внимание на контроллер заряда и P — MOS транзисторы, которые являются своеобразным «разводным мостом» между блоком питания и аккумулятором. Контроллер заряда выполняет функцию переключателя входных напряжений. Для понимания процесса работы, обратимся к datasheet , в котором нас интересует минимальные условия работы контроллера заряда:

Как видно по схеме, контроллер MAX 8725 управляет транзисторами P 3 и P 2. Тем самым переключает источники питания БП и Аккумулятор.

P 3 отвечает за блок питания, P 2 – за ак к умулятор. Необходимо проверить работоспособность этих транзисторов.

Разберем принцип работы контроллера:

При отсутствии основного питания, контроллер автоматически закрывает транзистор P 3 (управляющий сигнал PDS ) тем самым перекрывает доступ блока питания к материнской плате и открывает транзистор P 2 (управляющий сигнал PDL ). В таком случае плата может работать только от аккумулятора. Если мы подключим блок питания, контроллер должен перекрыть питание от аккумулятора закрывая P 2 и открывая P 3, обеспечив питание от внешнего блока питания и зарядку аккумулятора.

При диагностике входного напряжения от сети мы не используем аккумулятор и проверяем только сигнал PDS . В нормальном режиме он должен подтягиваться к земле, тем самым открывая P — MOS и пропуская 19В на плату. Если контроллер не правильно управляет транзистором P 3, то необходимо проверить запитан ли сам контроллер.

Затем проверяем основные сигналы DCIN , ACIN , ACOK , PDS . Если сигналы отсутствуют, то меняем контроллер и на всякий случай P — mos транзисторы.

Если в процессе диагностики проблем с входными напряжениями небыли обнаружены, или были устранены, но плата все равно не работает, то переходим к следующему этапу.

1-2 Питание embedded контроллера. (EC)

Embedded Contoller – это сложное, комплексное, высокоинтегрированное устройство, предназначеное для управления мобильной платформой (материнской платой ноутбука). Этот контроллер полостью взаимодействует с системой по шине LPC обеспечивая целый ряд функций, такие как контроллер ACPI, контроллер клавиатуры (KBC), внешний flash интерфейс для системного BIOS и EC программы, ШИМ, аналого-цифровой преобразователь, управление оборотами куллеров, PS/2 интерфейс для подключение внешних устройств, RTC и system wake up функции для управления питанием, а так же целый ряд функций, которые сложно сразу перечислить. Посмотрите на блок диаграмму этого устройства.

Эту микросхему часто еще называют SMC (System Management Controller) или MIO(Multi Input Output)

Микросхема уникальна тем, что имеет большое количество General Purpose Input/Output (GPIO) контактов, которые запрограммированы специально для конкретной платформы. Программа управления этим контроллером чаще всего хранится вместе с BIOS или на отдельной FLASH микросхеме.

Возвращаясь к диагностике, смотрим на последовательность запуска, пункт 1. На данном этапе нас интересует напряжение +3 VA _ EC . Оно и является основным питание EC контроллера и микросхемы BIOS .

Судя по схеме распределения питания, это напряжение формирует линейный стабилизатор MIC 5236 YM :

Благодаря присутствию сигнала AC _ BAT _ SYS , с которым мы разобрались ранее, микросхема должна выдать напряжение +3 VAO которое с помощью диагностических джамперов преобразуется в +3 VA и +3 VA _ EC .

+3 VA и +3 VA _ EC питают Embedded контроллер и BIOS , при этом запускается основная логика платы, которая отрабатывается внутри EC контроллера. Если нет этих напряжений, то разбираемся почему.

Причины отсутствия +3 VA и +3 VA _ EC :

1) Короткое замыкание внутри компонентов (ЕС, BIOS и т.д.), которые запитаны от этих напряжений.

2) Повреждение линейного стабилизатора или его обвязки.

Разобравшись с +3 VA и +3 VA _ EC , переходим к следующему этапу.

3 Дежурные напряжения (+3 VSUS , +5 VSUS , +12 VSUS ).

После того как был запитан EC и он считал свою прошивку, контроллер выдает разрешающий сигнал VSUS _ ON для подачи дежурных напряжений (см. пункт 3 последовательности запуска). Этот сигнал поступает на импульсную систему питания во главе которой стоит микросхема TPS 51020:

Как видно на схеме, нас интересуют напряжения, отмеченные на схеме зеленым цветом +5 VO , +5 VSUS , +3 VO , +3 VSUS .

Для того, что бы эти напряжения появились на плате необходимо что бы микросхема была запитана 19В ( AC _ BAT _ SYS ) и на входы 9, 10 приходили разрешающие сигналы ENBL 1, и ENBL 2.

Разрешающие сигналы на платформе A 6 F формируются из сигналов FORCE _ OFF # и VSUS _ ON .

В первую очередь нужно обратить внимание на VSUS _ ON который выдается EC контроллером, а сигнал FORCE _ OFF # рассмотрим позже.

Отсутствие сигнала VSUS _ ON говорит о том, что либо повреждена прошивка (хранящаяся в BIOS ), либо сам EC контроллер.

Если же напряжение ENBL присутствует на плате и TPS 51020 запитан, то значит TPS 51020 должен формировать +5 VO , +5 VSUS , +3 VO , +3 VSUS . Проверяем их мильтиметром на соответствующих контрольных точках.

Если напряжения +5 VO , +3 VO не формируются, проверяем эти линии на КЗ или заниженное сопротивление.

Если обнаружено КЗ, разрываем цепь и выясняем, каким компонентом оно вызвано.

При отсутствии или после устранения КЗ, снова проверяем напряжения и если их нет, то меняем сам контроллер вместе с транзисторами которыми он управляет.

4 Сигнал VSUS _ GD #

На этом этапе контроллер дежурных напряжений сообщает EC контроллеру о том, что дежурные питания в норме.

Проблем быть не должно, разве что промежуточный транзистор между EC и TPS 51020 , вышел из строя.

5 Сигнал RSMRST#

RSMRST # — A resume and reset signal output . На этом этапе EC контроллер выдает сигнал готовности системы к включению. Этот сигнал непосредственно проходит между EC и южным мостом. Если он отсутствует, то причиной тому может быть как сам контроллер, южный мост, так и прошивка EC .

Проще всего сначала прошить BIOS , где хранится прошивка EC .

Если результата нет, отпаиваем и поднимаем соответствующую сигналу RSMRST # 105 ножку EC , и проверяем выход сигнала на EC контроллера. Если сигнал все равно не выходит, то меняем контроллер.

Если сигнал выходит, но до южного моста не доходит, то проверяем южный мост и часовой кварц, в худшем случае надо будет менять сам южный мост.

6 Кнопка включения (сигнал PWRSW #_ EC )

На этом этапе необходимо проверить прохождение сигнала от кнопки включения до EC контроллера. Для этого меряем напряжение на кнопке и проверяем ее функциональность, если после нажатия напряжение не падает, то проблема в кнопке. Так же можно закоротить этот сигнал с землей и проверить включение.

Читайте также:  Коммуникатор на windows mobile

7 Сигнал включения (сигнал PM _ PWRBTN #)

После того как сигнал от кнопки включения попадает на EC , EC в свою очередь передает этот сигнал в виде PM_PWRBTN# на южный мост.

Если южный мост его успешно принял, то следующим этапом является выдача ответа в виде двух сигналов PM _ SUSC #, PM _ SUSB #, которые в свою очередь являются разрешением южного моста EC контроллеру включать основные напряжения платы.

Если южный мост никак не реагирует на сигнал PM_PWRBTN#, то проблема скрывается в нем.

8-9 Основные напряжения

Как уже было сказано ранее, EC контроллер обрабатывает ACPI-события.

Но каким образом? В предыдущем пункте было сказано, что южный мост отправляет на EC два сигнала PM _ SUSC #, PM _ SUSB #. Эти сигналы еще называют SLP _ S 3# и SLP _ S 4#, это отмечено красным блоком на след схеме:

Рассмотрим более подробно ACPI состояния:

– S1—POS(Power on Suspend)

– S3—STR(Suspend to RAM), Memory Working

– S4—STD(Suspend to Disk), H.D.D. Working

Так вот, состояние этих сигналов отвечает за ACPI состояние питания на материнской плате:

Мы будем рассматривать случай, когда оба сигнала SLP _ S 3# и SLP _ S 4# , соответственно сигналы SUSC _ EC #, SUSB _ EC # в состоянии HI . То есть, материнская плата находится в режиме S 0 (полностью работает, все напряжения присутствуют).

Как видно из последовательности запуска, при появлении сигналов SUSC _ EC #, SUSB _ EC #, на плате должны появиться следующие напряжения:

SUSC _ EC #, отвечает за напряжения: +1.8V , +1.5V , +2.5V , +3V , +5V , +1V ;

SUSB _ EC #, отвечает за напряжения: +0.9VS , +1.5VS , +2.5VS , +3VS , +5VS , +12VS

Если хоть одного из этих напряжений не будет, плата не запустится, по этому, проверяем каждую систему питания, начиная от +1.8V, заканчивая +12VS.

Сигналы SUSC _ EC #, SUSB _ EC #, поступают как на ENABLE отдельных импульсных систем питания (например 1.8 V DUAL — питание памяти), так и на целые каскады напряжений преобразовывая уже существующие ранее дежурные напряжения в основные:

10 Питание процессора

Проверяем разрешающий сигнал VRON , который с определенной задержкой поступает на контроллер питания CPU сразу после выдачи сигналов SUSC _ EC #, SUSB _ EC #. Далее на CPU должно появится напряжение, если такого не произошло, разбираемся с контроллером питания и его обвязкой. Причин неработоспособности системы питания CPU достаточно много. Основная из них — это выход из строя самого контроллера. Необходимо проверить минимальные условия работы, для этого не помешает даташит контроллера и сама схема.

11 Включение тактового генератора

После того, как на плате появилось напряжение CPU , контроллер должен выдать 2 сигнала, это IMVPOK # ( Intel Mobile Voltage Positioning — OK ) и CLK _ EN #. Сигнал IMVPOK # уведомляет EC о том, что питание процессора в норме, а сигнал CLK _ EN # включает тактовую генерацию основных логических узлов. Что бы проверить работоспособность клокера ICS954310 необходимо измерить частоту хотя бы на одном из выводов на котором тактовая частота наименьшая, или такая, которую словит ваш осциллограф. Выберем для этого 12 ножку ICS954310, которая отвечает за выдачу FSLA/USB_48MHz. Если нет генерации, то проверяем минимальные условия для работы ICS954310. Это кварц 14 Mhz и питание 3 VS и 3 VS _ CLK .

12 Завершающий сигнал готовности питания ( PWROK ).

Если этот сигнал присутствует, и логика EC исправна, то это значит, что все напряжения на плате должны быть включены.

13 PLT_RST#, H_PWRGD

PLT_RST# — сигнал reset для северного моста, H_PWRGD сообщает процессору о том, что питание северного моста в норме.

Если возникли проблемы с этими сигналами, то проверяем работоспособность северного и южного моста.

Проверка мостов это тема, заслуживающая отдельной статьи. Но в вкратце можно сказать, что необходимо проверять сопротивления по всем линиям питания этих мостов, и при отклонении от нормы мосты нужно менять. Так же обычная диодная прозвонка сигнальных линий может определить неисправный мост, но из-за того что эти сложные микросхемы припаяны по технологии BGA , добраться до выводов практически невозможно. Эти выводы не всегда приходят на элементы, которые легко достать щупом тестера. Поэтому, существует более удобный способ добраться до выводов, это вспомогательные диагностические платы, которые вставляются в разъемы, идущие прямо к выводам мостов. Например, диагностическая плата для проверки северного моста и каналов памяти:

Или плата для проверки связи процессора с северным мостом:

14 Завершающий этап последовательности запуска

H _ CPURST # — сигнал reset , выдаваемый северным мостом CPU .

После завершения последовательности начинается выполнение инструкций BIOS .

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Читайте также:  Как сохранить аудиозапись с вайбера

Схема работы BitLocker:

  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
  2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
  3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
  4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
    К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
    Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
    И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
  5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
    Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

  • FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
  • FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

  • Encrypted-partition— для зашифрованного раздела;
  • Decrypted-partition — для расшифрованного раздела.

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

Введем команду для монтирования раздела:

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

Ссылка на основную публикацию
Калибровка монитора macbook pro
Сервисный центр MacPlus (ремонт Apple) раскрывает секреты калибровки дисплея iMac и Macbook Вы замечали, что одни и те же изображения...
Какие разделы нужны для ubuntu
Разделы в Ubuntu и Windows: в чем отличия? Разметка диска, или по-другому — создание разделов, всегда вызывала у начинающих пользователей...
Какие роутеры подходят для билайн домашнего интернета
Хочу купить вай-фай роутер (провайдер Билайн) , что бы можно было вай фай раздавать на ноут и др устройства плюсь...
Калькулятор градусов и минут сложение и вычитание
Калькулятор, поддерживающий основные арифметические действия над выражениями с градусами. Создан по запросу пользователя. Этот калькулятор выполняет арифметические действия над градусами....
Adblock detector