Bitlocker to go

Szyfrowanie dysków i pamięci przenośnych w systemach Windows 2008 R2 i 7 na przykładzie Windows 7 Ultimate PL

BitLocker™ to stworzona przez firmę Microsoft technologia pełnego szyfrowania woluminu dyskowego, która jest dostępna w edycjach Windows Vista Enterprise oraz Ultimate a także w nowszych systemach rodziny Windows:

¨ Windows Server 2008

¨ Windows Server 2008 R2

¨ Windows 7

Wraz z wprowadzeniem dodatku SP1 technologia ta umożliwiła szyfrowanie wielu woluminów na komputerze przy użyciu jednego lub więcej składników uwierzytelniania. Zadaniem funkcji BitLocker jest ochrona danych zgromadzonych na twardym dysku. Stanowi ona odpowiedź Microsoftu na żądania użytkowników, którzy domagali się rozwiązania problemu bezpieczeństwa plików na maszynach, które w drodze różnych okoliczności przestały być ich własnością. Dodatkowo, opisane narzędzie miało być wysoce zintegrowane z systemem.

BitLocker gwarantuje, że nikt nie zdobędzie cennych informacji majstrując przy zabezpieczonym dysku. Niemożliwym ma być skopiowanie danych z dysku przy pomocy innego systemu operacyjnego, uruchomionego na danym komputerze. Bezskuteczne również mają być próby "wydłubania" czegoś z dysku za pomocą odpowiednich programów.

Zabezpieczenia Bitlocker

Z założenia BitLocker służy wyłącznie do ochrony dysków przed nieuprawnionymi osobami oraz atakami offline, na które systemy Windows były dotąd podatne. W żaden sposób nie gwarantuje on ochrony informacji pomiędzy uprawnionymi użytkownikami tego samego komputera.

BitLocker wykorzystuje moduł TPM (Trusted Platform Module). Jest to najnowsze rozwiązanie w dziedzinie bezpieczeństwa danych. Bazuje ono na mikrochipie, znajdującym się na płycie głównej, który sprzętowo szyfruje i deszyfruje dane na dysku. Bez właściwego modułu TPM dane na dysku są już tylko pozbawionymi sensu bajtami. Szyfrowany jest cały wolumin, wraz z plikami systemowymi, plikami użytkowników, plikami wymiany i plikami hibernacji.

Poza tym mechanizm BitLocker kontroluje integralność pierwszych bootowanych komponentów. Mamy dzięki temu pewność, że dane zawarte na dysku zostaną odszyfrowane tylko wtedy, gdy elementy te pozostają niezmienione, a dysk znajduje się w odpowiednim komputerze.

Dzięki ścisłej integracji z systemem, funkcja szyfrowania woluminów dostarcza bezpiecznego, a przy tym łatwego w zarządzaniu narzędzia do ochrony danych. Przykładowo, korzystając z usługi Active Directory możliwe jest zdalne przechowywanie kluczy. Poza tym, w BitLockerze wbudowana jest konsola odzyskiwania. Umożliwia ona odzyskanie danych w wypadku różnych niespodziewanych okoliczności.

Kolejną opcją jest możliwość zablokowania bootowania systemu do momentu, gdy użytkownik wprowadzi PIN lub podłączy dysk USB zawierający dane uwierzytelniające. Ta właściwość praktycznie eliminuje możliwość uruchomienia systemu lub wznowienia po hibernacji przez osobę nieposiadającą PIN-u czy odpowiedniego dysku USB. Niestety, mechanizm ten nie wspiera uwierzytelniania odciskiem palca.

Funkcja ta zapewnia najlepszą ochronę dzięki współpracy z Trusted Platform Module (TPM 1.2), co gwarantuje bezpieczeństwo danych użytkownika i daje pewność, że nikt nie włamał się do komputera w czasie, gdy był on wyłączony. Dzięki funkcji BitLocker zarówno użytkownicy komputerów przenośnych jak i stacjonarnych zyskują zwiększoną ochronę danych na wypadek zagubienia lub kradzieży sprzętu, oraz bezpieczne usunięcie danych gdy komputer jest wycofywany z użytku.

Sprawdzanie integralności komponentów ładowanych na początku uruchomienia komputera zapewnia, że dekodowanie danych odbywa się tylko w wypadku, gdy komponenty te pozostały niezmienione, a zaszyfrowany dysk nie został przeniesiony do innego komputera.

Wpływ na system

Jako użytkownicy mamy w codziennej pracy w ogóle nie doświadczać istnienia BitLockera. Może poza opcjonalnym wprowadzaniem PIN-u lub podłączaniem karty inteligentnej albo klucza USB przy starcie systemu.

Szyfrowanie danych na dysku w czasie rzeczywistym podnosi zużycie mocy obliczeniowej o 2-3%, co jest praktycznie nieodczuwalne.

BitLocker to Go jest funkcjonalnością systemu Microsoft Windows 7. Umożliwia on kryptograficzną ochronę danych przechowywanych na dyskach USB Flash. Funkcjonalność BitLocker to Go jest rozszerzeniem dostępnego od Windows Vista mechanizmu BitLocker, który mógł działać wyłącznie na systemie plików NTFS.

Użycie NTFS na dyskach USB Flash jest niewygodne, ponieważ odłączanie takich nośników w czasie pracy systemu nie zawsze jest możliwe (mogą wystąpić utraty danych ze względu na sposób ich cache’owania). Problem ten niemal nie występuje w przypadku systemów plików FAT, FAT32 oraz exFAT.

Użytkownicy BitLocker i BitLocker To Go

Odbiorcą docelowym BitLockera jest każda organizacja, która na komputerach klasy PC lub pamięciach przenośnych przechowuje poufne dane, których utrata lub ujawnienie miałoby negatywny wpływ na organizację, jej klientów, udziałowców lub pracowników. Może być też używana przez każdą osobę, której potrzeba tak bezpiecznego przechowywania danych.

Szyfrowanie dysku twardego BitLocker zostało zaprojektowane z myślą o ochronie danych oraz prostocie instalacji, obsługi i zarządzania.

Wymaganie sprzętowe Bitlocker

¨ komputer spełniający minimalne wymagania dla Windowsa Vista,

¨ mikrochip TPM, wersja 1.2, włączony (mimo, że bez TPM też da się uruchomić, wersja z TPM jest o wiele bezpieczniejsza),

¨ BIOS spełniający standardy organizacji Trusted Computing Group (TCG),

¨ dwie partycje NTFS na dysku, jedna na wolumen systemowy, a druga na wolumen startowy. Partycja systemowa musi mieć co najmniej 1,5 GB i być partycją aktywną,

¨ ustawienia BIOSu wskazujące na dysk twardy, jako pierwsze urządzenie startowe, nie na napędy USB czy CD.

¨ Przewodnik szyfrowania dysku BitLocker’em:

http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr007.mspx

Odszyfrowanie dysku

Klucze umożliwiające odszyfrowanie danych mogą pochodzić z:

¨ TPM – tylko dla partycji systemowej

¨ pliku (na przykład na nośniku USB)

¨ wprowadzonego z klawiatury kodu, składającego się z 48 cyfr

¨ rejestru – tylko dla partycji innych niż systemowa i pod warunkiem zaszyfrowania partycji systemowej

BitLocker to Go – szyfrowanie

Klikając prawym przyciskiem myszy na danym dysku lub pamięci przenośnej mamy do wyboru opcję szyfrowania:

clip_image004

Po jej wybraniu pojawi się nam okno kreatora uruchamiania funkcji BitLocker:

clip_image006

Musimy także zachować klucz odzyskiwania, bez tego kreator nie umożliwi kontynuacji:

clip_image008

Zawartość pliku z 48-cyfrowym kluczem odzyskiwania:

clip_image010

Pojawia nam się pytanie czy rozpocząć szyfrowanie:

clip_image012

Po czym możemy rozpocząć proces szyfrowania. Proces ten nie trwa długo a mimo to, można go przerwać:

clip_image014

clip_image016

Nie trzeba jednak wznawiać od razu, można kontynuować szyfrowanie po kolejnym uruchomieniu komputera lub na całkowicie innym komputerze:

clip_image018

Aby wznowić proces szyfrowania wystarczy podać hasło. Okno to wygląda tak samo jak okno odblokowania dysku już w pełni zaszyfrowanego:

clip_image020

Co ciekawe, po wpisaniu hasła następuje kontynuacja szyfrowania ale równocześnie zyskujemy normalny dostęp do pamięci:

clip_image022clip_image024

clip_image026

Po zakończeniu szyfrowania zmienia się nam ikona zaszyfrowanego dysku:

clip_image028

W menu podręcznym pojawia się opcja zarządzania funkcją BitLocker:

clip_image032

Zarządzanie funkcją BitLocker jest możliwe tylko po odblokowaniu dysku. Można tu zmienić hasło, jednak jeśli hasło jest jedyną opcją odblokowania dysku, nie można go usunąć:

clip_image034clip_image036

clip_image038

W przypadku zapomnienia hasła lub zagubienia karty inteligentnej możemy użyć opcji odblokowania dysku. Dla dysków przenośnych jedyną opcją jest 48-cyfrowy klucz odzyskiwania.

clip_image040

clip_image042

Wpisanie klucza daje nam dostęp do okna zarządzania funkcją BitLocker

clip_image044

Zaawansowane zarządzanie funkcjami BitLockera dostępne jest z okna polityk lokalnych komputera (lub przez wymuszone polityki dla komputerów w domenie Active Directory).

clip_image046

Zasady grup lokalnych dotyczące BitLocker znajdują się w gałęzi: Konfiguracja komputera Szablony administracyjne Składniki systemu Windows Szyfrowanie dysków funkcją BitLocker

clip_image048

Po włączeniu polityki dotyczącej metody szyfrowania i siły szyfrowania możemy wybrać metodę szyfrowania.

clip_image050

Przez polityki możemy także wymusić lub zabronić stosowanie silnych haseł.

Silne hasło (wg Microsoft) spełnia co najmniej 3 z 4 własności:

– Zawiera małą literę

– Zawiera wielką literę

– Zawiera cyfrę

– Zawiera znak specjalny

Mamy też możliwość zmiany wymaganej długości hasła (domyślnie ustawiona jest minimalna długość – 8 znaków).

clip_image052

Innymi politykami możemy np. wymusić stosowanie szyfrowania dla każdego podłączanego nośnika danych, wyłączyć możliwość dostępu do danych ze starszych wersji systemu Windows lub wymusić używanie kart inteligentnych jako sposobu uzyskiwania dostępu do dysku.

clip_image054

Źródła

¨ http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/

¨ http://pl.wikipedia.org/

¨ http://blogs.technet.com/plwit/

¨ http://stilger.eu/tag/bitlocker/

¨ http://noiserobert.spaces.live.com/

¨ http://www.microsoft.com/windows/windows-vista/features/bitlocker.aspx