Návod: Bitlocker a Bitlocker To Go

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod t85m 28. 2. 2010 18:11

Bitlocker bol v obmedzenejšej podobe dostupný už v systéme Windows Vista. Ide o súčasť
systému, ktorá je primárne určená pre podnikové prostredia. Z toho dôvodu je dostupná
iba v edíciách Enterprise a Ultimate. Jeho primárnym poslaním je ochrana dát na diskových
priestoroch. V predchádzajúcich verziách Bitlocker dokázal ochrániť iba závádzací oddiel
(boot partition). Naviac, proces prípravy bol značne komplikovaný – bolo potrebné zmeniť
veľkosť bootovacieho oddielu a vytvoriť systémový oddiel s veľkosťou 1,5 GB.

V systéme Windows 7 sú implementované všetky doplnky, v minulosti dostupné iba cez
program Ultimate Extras.

Z praktického hľadiska to znamená, že systém sám vykoná zmeny v diskovom subsytéme
tak, aby bolo možné vykonať šifrovanie. Šifrovanie sa už neobmedzuje len na oddiel, kde
sa nachádza priečinok Windows, ale môžeme šifrovať všetky lokálne disky. Okrem toho
môžeme použiť Bitlocker To Go na šifrovanie externých diskov ba dokonca aj USB kľúčov.

Správa šifrovania diskov nástrojom BitLocker

Šifrovanie jednotiek nástrojom BitLocker môžeme používať na ochranu všetkých súborov
uložených na zväzku, na ktorom je nainštalovaný systém Windows 7 a aj na zväzkoch
s dátami (napr. na interných pevných diskoch). Pomocou funkcie BitLocker To Go môžeme
zabezpečiť všetky súbory uložené na vymeniteľných jednotkách s údajmi (napr. externé
pevné disky alebo flash disky).

Na rozdiel od systému šifrovania súborov EFS, ktorý umožňuje šifrovanie jednotlivých súborov,
šifrovanie BitLocker šifruje celý diskový oddiel. Do takto chráneného systému sa
môžeme prihlásiť a pracovať so súbormi ako zvyčajne; úlohou BitLocker je blokovať prístup
nepovolaných osôb k systémovým súborom. BitLocker takisto zabraňuje v prístupe
k disku po jeho odstránení z počítača a nainštalovaní do iného počítača. Tým sa chránia
dáta aj po dekomitovaní stanice alebo servera.

Po zápise nových súborov na jednotku, ktorá je zašifrovaná pomocou šifrovania BitLocker,
sú tieto automaticky zašifrované. Súbory ostávajú šifrované iba počas uloženia na šifrovanej
jednotke. Súbory, ktoré sú skopírované na inú jednotku alebo na iný počítač, sa dešifrujú.
Ak zdieľame súbory s inými používateľmi, napr. v sieti, tieto súbory sú šifrované počas uloženia
na šifrovanej jednotke, ale oprávnení používatelia k nim majú normálny prístup. Ak
zašifrujeme zavádzací zväzok (oddiel s operačným systémom), šifrovanie BitLocker skontroluje
počas štartu počítača všetky príznaky, ktoré by mohli predstavovať bezpečnostné
riziko (napr. zmena systému BIOS alebo zmeny bootovacích súborov).

Pri zistení potenciálneho bezpečnostného rizika BitLocker zablokuje jednotku s operačným
systémom a na jej odomknutie je potrebný špeciálny kľúč na obnovenie. Tento kľúč na
obnovenie musíme vytvoriť pri inicializácii šifrovania, v opačnom prípade by sme mohli
natrvalo stratiť prístup k súborom. Ak je v počítači nainštalovaný mikročip TPM (Trusted
Platform Module), šifrovanie BitLocker ho používa na zabezpečenie kľúčov používaných na
odomknutie zašifrovanej jednotky s operačným systémom. Keď spustíme počítač, šifrovanie
BitLocker získa kľúče jednotky z modulu TPM a odomkne jednotku.

Ak sme zašifrovali jednotky (pevné alebo vymeniteľné) s údajmi, môžeme ich odomknúť
pomocou hesla alebo karty Smart Card, alebo môžeme jednotku nastaviť tak, aby sa automaticky
odomkla po prihlásení do systému. Šifrovanie BitLocker môžeme kedykoľvek
vypnúť, či už dočasne jeho odstavením alebo natrvalo dešifrovaním jednotky.
Aby bolo možné používať šifrovanie jednotiek BitLocker, počítač musí spĺňať určité hardvérové
požiadavky. Tieto požiadavky sa líšia v závislosti od typu šifrovanej jednotky:

• jednotka, na ktorej je nainštalovaný systém Windows;
• jednotky s dátami.

Pri šifrovaní zväzku, na ktorom je nainštalovaný systém Windows, ukladá BitLocker svoj
vlastný šifrovací a dešifrovací kľúč v hardvérovom zariadení, ktoré je oddelené od pevného
disku. Existuje niekoľko variant:
• počítač s modulom TPM, verzie 1.2 alebo vyššou;
• USB flash disk. Táto možnosť je dostupná len v prípade, ak nastavíme skupinovú
politiku tak, aby umožňovala používanie spúšťacieho kľúča namiesto modulu TPM.
Ak chceme zapnúť šifrovanie jednotiek na oddiele s operačným systémom, pevný disk
počítača musí obsahovať:
• aspoň 2 oblasti: systémovú oblasť (obsahujúcu súbory potrebné na spustenie počítača
s veľkosťou aspoň 100 MB) a zavádzaciu oblasť. Oddiel s operačným systémom
sa zašifruje, ale systémová oblasť ostáva nezašifrovaná, aby bolo možné počítač
naštartovať. Ak počítač neobsahuje dve oblasti, BitLocker ich automaticky vytvorí.
Obe oblasti musia byť naformátované pomocou NTFS;
• BIOS, ktorý je kompatibilný s modulom TPM alebo podporuje zariadenia USB pri
spustení počítača. V opačnom prípade bude potrebné pred použitím šifrovania
BitLocker BIOS aktualizovať.

Existenciu modulu TPM v počítači overíme nasledovným postupom:
1. V ponuke Štart klikneme na Ovládací panel, potom klikneme na kategóriu Systém
a zabezpečenie.
2. Klikneme na odkaz Šifrovanie jednotiek BitLocker. Otvorí sa rovnomenné dialógové
okno.
Obrázek

3. Vľavo dole klikneme na odkaz Správa modulu TPM.
Otvorí sa konzola TPM Management, ktorá informuje o existencii modulu TPM.
Ak počítač TPM neobsahuje, na šifrovanie budeme potrebovať USB flash disk.

http://i46.tinypic.com/nx458m.jpg

Šifrovanie jednotky, na ktorej je nainštalovaný systém Windows

Ak nemáme dostupný modul TPM, musíme pred šifrovaním upraviť skupinovú politiku. V doméne
musíme vytvoriť alebo upraviť príslušný objekt skupinovej politiky (GPO) pomocou konzoly
Group Policy Management. V pracovnej skupine upravíme lokálnu politiku nasledovne:
1. V ponuke Štart naeditujeme do vyhľadávacieho poľa gpedit.msc a stlačíme kláves Enter.
Spustí sa konzola Group Policy Object Editor, kde môžeme upravovať lokálnu politiku.
2. V konzole prejdeme do priečinku Politika Lokálny počítač/Konfigurácia počítača/
Administrative Templates/Windows Components/BitLocker Drive Encryption/
Operating System Drives a povolíme šablónu správy Require additional authentication
at startup. Ponecháme predvolené nastavenia.

Obrázek

3. Ako správca spustíme Príkazový riadok a v ňom zaktualizujeme skupinovú politiku
príkazom gpupdate /force.
Po tejto procedúre nebude šifrovanie BitLocker vyžadovať TPM modul pre povolenie šifrovania
zavádzacieho disku (so systémom Windows 7). Samotné šifrovanie disku so systémom
začneme tým, že zasunieme USB flash disk do počítača a otvoríme okno šifrovania
BitLocker z Ovládacieho panela. Potom budeme postupovať nasledovne:

1. Klikneme na odkaz Zapnúť šifrovanie BitLocker.
2. Spustí sa sprievodca Šifrovanie jednotky BitLocker (C:) klikneme na tlačidlo Ďalej.
3. V dialógovom okne Šifrovanie jednotky BitLocker (C:)si vyberieme typ ochrany
BitLocker:

Obrázek

»» Používať šifrovanie BitLocker bez ďalších kľúčov – možnosť je dostupná iba
v prípade, keď je modul TPM k dispozícii. Systém sa bude normálne štartovať
až do okamihu, kým sa nezmenia nastavenia v systéme BIOS, nepoškodí sa TPM
alebo sa neobjaví nejaké iné bezpečnostné riziko.
»» Vyžadovať kód PIN pri každom spustení – možnosť je dostupná iba v prípade, keď
je modul TPM k dispozícii. Systém sa bude štartovať iba po zadaní PIN kódu ( jeho
dĺžka musí byť v intervale (4 – 20) znakov), sledujú sa bezpečnostné riziká.
»» Vyžadovať kľúč pri každom spustení – možnosť je dostupná aj bez modulu TPM,
pri spustení však bude nutné mať k dispozícii USB flash disk s uloženým kľúčom.

4. Pokiaľ nemáme TPM, vyberieme tretiu možnosť a klikneme na tlačidlo Ďalej.
5. V ďalšom dialógovom okne vyberieme miesto, kam uložíme kľúč na obnovu. Kľúč na
obnovu nie je to isté ako PIN alebo kľúč pre spustenie, ktoré sme opisovali v kroku
3. Tento Kľúč na obnovu použijeme iba v prípade, že sme zabudli PIN alebo sa nám
poškodil/stratil USB flash disk so štartovacím kľúčom. Je to 48 miestny kód, ktorý
v prípade problémov budeme zadávať pomocou funkčných klávesov pred spustením
chráneného systému.
6. Vyberieme spôsob uloženia kľúča a klikneme na tlačidlo Ďalej.

Obrázek

7. Po tomto kroku ponecháme USB flash disk pripojený do počítača a systém
reštartujeme.
Po reštarte sa iniciuje vlastné šifrovanie zavádzacieho disku.

Šifrovanie ostatných diskov

Keď šifrujeme diskový oddiel na internom disku s údajmi pomocou šifrovania jednotiek
BitLocker alebo vymeniteľnú jednotku pomocou funkcie BitLocker To Go, vyberáme hneď
v prvom dialógovom okne sprievodcu šifrovaním spôsob odomknutia jednotky. Spôsob
závisí od typu šifrovanej jednotky a požadovanej flexibility.
Možností sú nasledovné:

• Heslo – predstavuje znakový reťazec, ktorý sa používa na získanie prístupu
k informáciám v počítači. Pomocou hesla môžeme odomknúť pevné jednotky
s údajmi (napr. interné pevné disky) a vymeniteľné jednotky s údajmi (napr. externé
pevné disky a USB kľúče). Čítač pre BitLocker To Go umožňuje odomknúť zašifrované
jednotky na počítačoch so systémom Windows Vista alebo Windows XP. Aby bolo
možné používať čítač pre BitLocker To Go, jednotka musí byť naformátovaná
pomocou súborového systému FAT a na jej zašifrovanie je nutné použiť heslo. Heslo
môžeme kedykoľvek zmeniť v ovládacom paneli šifrovania jednotiek BitLocker.

• Karta Smart Card – je plastová karta vreckovej veľkosti so zabudovaným čipom. Ak
chceme použiť kartu Smart Card, potrebujeme aj zariadenie na jej čítanie. Karty Smart
Card sa používajú najmä v bezpečnostne senzitívnych prostrediach. Karty Smart Card
nie je možné používať s čítačom pre BitLocker To Go, ktorý vyžaduje odomykanie
jednotiek na počítačoch so systémom Windows Vista alebo Windows XP. Ak chceme
odomknúť jednotku, musíte vložiť kartu Smart Card a zadať jej PIN kód.

• Automatické odomknutie – aplikuje sa iba pri šifrovaní pevných jednotiek s údajmi
(nie pre vymeniteľné jednotky). Vymeniteľné jednotky s údajmi je možné nastaviť
na automatické odomknutie po zašifrovaní tak, že klikneme pravým tlačidlom myši
na ikonu jednotky a potom klikneme na položku Spravovať funkciu BitLocker. Aby
bolo možné automaticky odomknúť pevné jednotky s údajmi, pomocou šifrovania
BitLocker musí byť zašifrovaná aj jednotka, na ktorej je nainštalovaný systém
Windows.

Po výbere spôsobu odomykania uložíme kľúč na obnovenie. Po úspešnom uložení kľúča
na obnovenie sa spustí šifrovanie jednotky. Po zašifrovaní jednotky je táto dostupná podľa
toho, aký spôsob odomykania sme zvolili.

Odomykanie diskových oddielov šifrovaných funkciou BitLocker

Ak je jednotka, na ktorej je nainštalovaný systém Windows ( jednotka s operačným systémom),
zašifrovaná funkciou BitLocker, šifrovanie BitLocker ju môže uzamknúť a môže
vyžadovať kľúč na obnovenie v nasledujúcich situáciách:

• Počítač je funkčný, ale šifrovanie BitLocker pri štarte zistilo možné riziko zabezpečenia;
• Počítač je funkčný, ale spúšťací kľúč šifrovania BitLocker alebo kód PIN sme stratili,
alebo je spúšťací kľúč poškodený;
• Počítač nie je funkčný (napr. problém s napájaním) a jeho pevný disk sme presunuli
do iného počítača.

Ak chceme jednotku odomknúť a opäť získať prístup k súborom, budeme potrebovať kľúč
na obnovenie šifrovania BitLocker.

Ak odomykáme jednotku s operačným systémom na pôvodnom počítači, po naštartovaní
počítača šifrovanie BitLocker preruší proces a zobrazí hlásenie s informáciou o tom, že systémová
jednotka je uzamknutá. Stlačíme kláves Enter pre iniciovanie obnovy a pripravíme
si kľúč na obnovenie šifrovania BitLocker.

Kľúč sa skladá z ôsmich šestíc číslic, ktoré musíme zadávať pomocou funkčných kláves F1
až F10 (F10 napíše nulu, ostatné podľa číslic).

Obrázek

Po zadaní správneho kľúča systém štartuje normálnym spôsobom. Po prihlásení do systému,
môžeme štartovací kľúč obnoviť alebo šifrovanie vypnúť.

Ak odomykáme jednotku s operačným systémom po jej prenesení do iného počítača, musíme
pred odstránením jednotky z nefunkčného počítača skontrolovať stanicu, do ktorej
chceme disk umiestniť. V hostiteľskom počítači musí byť nainštalovaný systém Windows 7
a musí mať k dispozícii šifrovanie BitLocker (zatiaľ ešte v neaktívnom stave). Vypneme oba
počítače, odstránime disk z nefunkčného počítača a nainštalujeme ho do hostiteľského
počítača. Potom naštartujeme hostiteľský počítač a prihlásime sa.

Vyššie popísaným spôsobom otvoríme okno Šifrovanie jednotiek BitLocker. Prenesený
disk bude označený v zozname jednotiek ako Zamknutá jednotka. Klikneme na položku
Odomknúť jednotku a potom už budeme postupovať podľa pokynov v dialógovom okne,
čo znamená, že zadáme kľúč na obnovenie a tým získame dočasný prístup k disku. Ak
chceme získať prístup trvalý, jednotku dešifrujeme alebo aktivujeme správu šifrovania;
nastavíme možnosti správy šifrovania.

Správu šifrovania môžeme spustiť kedykoľvek pre disky, ktoré sú zašifrované funkciou Bit-
Locker alebo BitLocker To Go. Spúšťame ju cez kontextovú ponuku na šifrovanom disku,
vyberieme si položku Spravovať funkciu BitLocker. Počet a presné znenie možností správy
sa kontextovo menia v závislosti od toho o aký disk sa jedná.

Napr. zašifrovaný zavádzací disk má možností menej ako zašifrovaný USB kľúč. Na nasledujúcom
obrázku sú zobrazené možnosti správy šifrovania pre interný disk neobsahujúci inštaláciu
Windows 7.

Obrázek

K možnostiam dostupným na diskoch bez ohľadu na typ patria:
• Pridať/zmeniť/odstrániť heslo na odomknutie jednotky – môžeme pridať, zmeniť
alebo odstrániť heslo potrebné pre prístup k jednotke; netýka sa to disku so
systémom;

• Pridať kartu SmartCard na odomknutie jednotky – ak máme k dispozícii čítačku kariet
a SmartCard kartu môžeme na kartu uložiť prístupový kľúč;

• Uložiť alebo znovu vytlačiť kľúč na obnovu – v prípade strateného kľúča na obnovu je
možné opäť ho vygenerovať a vytlačiť;

• Vypnúť/zapnúť automatické odomykanie jednotky v tomto počítači – platí iba
v staniciach, kde je šifrovaný zavádzací disk:

• Duplikovať spúšťací kľúč – vygeneruje kľúč, ktorý musí byť dostupný na USB flash
disku pri štarte systému (platí len pre zavádzací disk).

Mierne odlišná je funkcionalita šifrovaných vymeniteľných diskov. Šifrujú a dešifrujú sa
funkciou BitLocker To Go. Po vložení šifrovaného kľúča do nového systému, sa najprv nainštalujú
ovládače. Potom sa otvorí dialógové okno pre odomknutie.

Obrázek

Po zadaní hesla môžeme určiť automatické odomykanie na danom počítači. Tento typ
odomykania už nie je viazaný na šifrovanie zavádzacieho disku. Po odomknutí máme k dispozícii
vypnutie šifrovania alebo vyššie uvedenú správu šifrovania.

Na nasledujúcom obrázku vidíme ovládací panel šifrovania BitLocker, ktorý informuje
o možnostiach šifrovania jednotlivých typov diskov.

Obrázek

Existujú 3 úkony, ktoré môžeme robiť so šifrovanými oddielmi:
• Vypnúť šifrovanie BitLocker – spustí proces dešifrovania daného disku. Po jeho
úspešnom dokončení bude disk v stave, v akom bol pred šifrovaním;

• Spravovať šifrovanie BitLocker;
• Odstaviť ochranu – vypne kontrolu šifrovania. Disk ostáva naďalej zašifrovaný
(možnosť je dostupná iba na zavádzacom disku). Použijeme to napríklad pri
aktualizácii systému BIOS.

// mod: pridat do sekcie FAQ
***
t85m
Junior

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků