OneDrive Personal Vault

В OneDrive появилась нововведение — личное хранилище. Его позиционируют как дополнительное средство защиты самых ценных файлов.

personal vault01 - OneDrive Personal Vault

Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности личного хранилища в различных сценариях. На момент написания статьи функцию включили еще не у всех, но это должно произойти до конца 2019 года.

Общие сведения

Личное хранилище – это защищенная область OneDrive, доступ в которую в веб-версии и клиентах на разных ОС дополнительно подтверждается вторым этапом или фактором аутентификации.

Personal Vault – очередная премиальная возможность OneDrive. Без подписки Office 365 в хранилище можно поместить не более трех файлов.

В веб-версии и приложении для смартфонов создается отдельная «папка» Personal Vault, а у клиента Windows — одноименный ярлык в корне папки OneDrive. До первой настройки ярлык может быть недоступен, но в любом случае щелчок правой кнопкой мыши по значку OneDrive в области уведомлений открывает меню с пунктом для разблокировки хранилища.

personal vault02 - OneDrive Personal Vault

Перейдя в Personal Vault впервые, вы инициализируете его настройку, а впоследствии — второй этап аутентификации, открывающий доступ в хранилище.

Оно автоматически запирается через 20 минут, однако в Windows 10 перед этим появляется уведомление, позволяющее продлить разблокированное состояние.

Двухэтапная или двухфакторная аутентификация

Поскольку приложение OneDrive запоминает учетные данные, первый этап аутентификации выполняется автоматически. Реализация работы второго этапа для доступа в личное хранилище различается в зависимости от клиента OneDrive.

Клиент для Windows и веб-версия OneDrive

При разблокировании хранилища требуется дополнительное подтверждение. Конкретный процесс зависит от того, включена ли 2FA и/или установлено ли приложение Microsoft Authenticator.

Например, у меня включена 2FA и установлено данное приложение, при этом аутентификация в учетной записи Microsoft (MSA) настроена на вход без пароля. В этом случае доступ подтверждается одобрением уведомления в приложении (если ПК не входит в список доверенных, также требуется ввести ПИН-код на смартфоне).

При минимальном уровне безопасности MSA, т.е. при отсутствии 2FA и приложения, одноразовый пароль отправляется на номер телефона или почту, указанные в настройках безопасности.

Клиент для Android / iOS

В Android при первоначальной настройке хранилища требуется создать шестизначный ПИН-код. После этого им или биометрическим фактором (отпечаток пальца, лицо) можно разблокировать защищенную область.

personal vault025 - OneDrive Personal Vault

Вероятно, в iOS работает так же – напишите в комментариях.

Техническая реализация в Windows

Контекст рассказа — Windows 10. В более старых ОС я не проверял, но должно работать аналогично.

Шифрование

В официальной новости упомянули защищенную область на диске, зашифрованную с помощью BitLocker. И вот как отреагировал на это один из участников чата инсайдеров.

personal vault03 - OneDrive Personal Vault

На самом деле BitLocker шифрует тома целиком, и было бы странно видеть реализацию нового подхода к шифрованию ради личного хранилища, ориентированного на потребителей. (Для шифрования отдельных файлов в Windows есть EFS, но имена файлов при этом не скрываются.)

Принцип работы

Складываем заявленную защиту папки с имеющимся в BitLocker шифрованием тома, держим в уме возможность подключения тома в папку и получаем… VHDX!

Проверяем теорию с PowerShell, предварительно разблокировав хранилище:

1234567891011Get-Item -Path "$ENV:userprofile\OneDrive\Personal Vault" -Force | Format-List Directory: C:\Users\User\OneDrive Name           : Personal VaultCreationTime   : 29.09.2019 12:11:39LastWriteTime  : 29.09.2019 12:11:39LastAccessTime : 29.09.2019 12:11:39Mode           : d--h-lLinkType       : JunctionTarget         : {Volume{652a76e2-0000-0000-0080-000000000000}\VaultData}

Напомню, что в проводнике виден ярлык Personal Vault в папке OneDrive. PowerShell показывает, что с помощью соединения осуществляется перенаправление в некий том. Посмотрим на него.

12345678910111213Get-Volume -FileSystemLabel 'OneDrive Personal Vault' | Get-Partition | Get-Disk | Format-List -Property DiskNumber,PartitionStyle,ProvisioningType,BusType,Model,PhysicalSectorSize,Size,Location  DiskNumber         : 4PartitionStyle     : MBRProvisioningType   : ThinBusType            : File Backed VirtualModel              : Virtual DiskPhysicalSectorSize : 4096Size               : 1099511627776Location           : C:\OneDriveTemp\<SID>\{28AF6376-833A-41E9-A825-2B9730F18041}.vhdx

Что и требовалось доказать! Виртуальный диск в разметке MBR и с размером сектора 4KB создается и затем хранится во временной папке OneDrive — в подпапке с именем, равным SID пользователя. Когда вы разблокируете хранилище, виртуальный диск подключается в папку OneDrive\Personal Vault. Соответственно, VHDX виден в оснастке управления дисками.

personal vault04 - OneDrive Personal Vault

Виртуальный диск является динамически расширяемым, а его максимальный объем в 1TB, видимо, приравняли к стандартному объему пространства OneDrive у подписчиков Office 365. При пустом хранилище VHDX занимает около 150MB на диске.

Разблокировка личного хранилища без 2FA

При желании аналогичное решение можно запилить на коленке в изданиях Pro и выше – создать VHDX, зашифровать BitLocker, закрыть паролем и подключить в папку.

Да, придется скриптовать подключение VHDX и инициализацию расшифровки после перезагрузки, но ничего технически нового в хранилище нет (кроме автоматической блокировки и UI/UX).

Все это можно проделать даже с диском Personal Vault, поскольку используются стандартные технологии BitLocker.

Подключение VHDX вручную ничего не дает, поскольку диск зашифрован. Командлет Get-BitlockerVolume показывает, что у него один предохранитель – внешний (external protector). Можно добавить свой, например, 48-значный пароль восстановления, такой же как при автоматическом шифровании.

Его генерирует и отображает командлет Add-BitLockerKeyProtector. Выглядит это примерно так:

12345678910111213141516Add-BitLockerKeyProtector -MountPoint "\\?\Volume{e22ebd10-0000-0000-0080-000000000000}\" -RecoveryPasswordProtectorWARNING: ACTIONS REQUIRED: 1. Save this numerical recovery password in a secure location away from your computer: 278949-295020-526823-437129-178134-226974-583726-024255 To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.  ComputerName: DESKTOP-TADMRIH VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock ProtectionPoint                                   Percentage                           Enabled    Status----------      ----- ---------- ------------           ---------- ------------              ---------- ----------Data            E:      1,024.00 FullyEncrypted         100        {ExternalKey, Recovery... False      On

Теперь можно заблокировать Personal Vault из меню OneDrive, подключить VHDX в консоли или оснастке и разблокировать том командлетом Unlock-Bitlocker, указав пароль восстановления.

1Unlock-BitLocker -MountPoint "\\?\Volume{e22ebd10-0000-0000-0080-000000000000}\" -RecoveryPassword 278949-295020-526823-437129-178134-226974-583726-024255

На диске две папки – OneDriveTemp для временных файлов и VaultData для содержимого хранилища.

personal vault05 - OneDrive Personal Vault

Кстати, если назначить VHDX букву диска, она будет подхватываться при разблокировании хранилища стандартным путем. Выше видно, что у меня назначена буква E.

В каких изданиях и на каких ПК это будет работать

Казалось бы, странный вопрос. Это должно работать у всех – ведь новая функция нацелена на самых технически слабых домашних пользователей. Но тут есть интересный нюанс.

Я очень подробно рассказывал о шифровании в статье Автоматическое шифрование BitLocker в Windows 10. Напомню, что BitLocker явно работает в изданиях Pro и выше, а неявно – даже в домашних изданиях начиная с Windows 8.1. Однако автоматическое шифрование включается лишь на ПК, обладающих рядом аппаратных характеристик.

Раз Windows может обеспечить шифрование VHDX с хранилищем OneDrive, то что мешает зашифровать другие тома?

Вопрос риторический, и очевидно, что хранилище будет работать на любых ПК и во всех изданиях. Что лишь укрепляет мой тезис в той статье – недоступность шифрования BitLocker в домашних изданиях является исключительно маркетинговым решением Microsoft.

Кому нужно личное хранилище в OneDrive

На мой взгляд, хранилище дает преимущества лишь тем людям, которые не соблюдают ключевые правила обеспечения безопасности и конфиденциальности своих устройств, аккаунтов и личных данных. Например тем, кто испокон веков искал возможность поставить в Windows пароль на папку ;)

Давайте рассмотрим сценарии использования хранилища OneDrive на ПК и смартфоне.

ПК с Windows 10

Единственный сценарий, в котором я вижу реальную пользу, это — домашнее издание Windows 10 на ПК, где не поддерживается автоматическое шифрование устройства, а его владелец не хочет применять сторонние средства шифрования. В этом случае зашифрованный том личного хранилища OneDrive действительно предоставляет дополнительную защиту данных.

В остальном повышение уровня конфиденциальности достигается, когда несколько членов семьи рутинно пользуются общей учетной записью, либо владелец индивидуальной учетной записи не блокирует ее, отходя от ПК.

Однако все это попадает в категорию «нам нечего скрывать друг от друга». И тогда непонятно, зачем скрывать файлы в хранилище :)

Смартфон с Android или iOS

Если смартфон не защищен ПИН-кодом или паролем, это уже плохо, поскольку конфиденциальность отсутствует в принципе, а устройство не зашифровано. (Строго говоря, в Android дисковое шифрование включается сразу, но вплоть до указания пользовательского ПИН-кода используется озвученный в документации пароль. Это похоже на инициализацию автоматического шифрования устройства в Windows).

Однако приложение OneDrive позволяет установить шестизначный ПИН-код на вход в него. Тогда еще один ПИН-код на хранилище явно лишний.

Я не в курсе шифруются ли файлы личного хранилища OneDrive на диске. Если да, с тем же успехом это можно делать для всех файлов, если вход в приложение защищает ПИН-код (по крайней мере, в Android).

Мнение и заключение

Я традиционно приветствую укрепление безопасности и конфиденциальности в устройствах и ПО. Мне понравилась реализация личного хранилища OneDrive с точки зрения пользовательского опыта и было любопытно поковырять ее в Windows. Однако от Personal Vault осталось стойкое ощущение, что маркетинга в нем больше, чем реальной защиты личных данных.

Да, всегда есть люди, которые не устанавливают ПИН-код на телефоне или входят в OneDrive на публичном ПК и забывают выйти.

В таких случаях личное хранилище подтолкнет к использованию 2FA и поможет обезопасить самые ценные файлы. Если, конечно, они купят подписку Office 365 или догадаются сложить все в архив :)

Но надеюсь, что большинство читателей этого блога более ответственно относятся к защите личных данных. Поэтому в контексте статьи моя рекомендация остается неизменной:

  1. Защищайте все аккаунты двухфакторной аутентификацией, по возможности исключая номер телефона из списка факторов ( ТГ | ВК).
  2. Используйте шифрование на всех устройствах.