Nástroj BitLocker Drive Encryption - přehled

Nástroj BitLocker používá čip TPM k ověření integrity první fáze spouštění systému a dat konfigurace spouštění systému. To umožňuje zajistit, že nástroj BitLocker zpřístupní šifrovanou jednotku pouze tehdy, když nebylo s těmito komponentami neoprávněně manipulováno a když je šifrovaná jednotka umístěna v původním počítači.

Nástroj BitLocker umožňuje zajistit integritu procesu spuštění pomocí následujících akcí:

• Poskytuje zajištění kontroly zachování integrity souborů první fáze spouštění a zabránění neoprávněným úpravám těchto souborů, například viry spouštěcího sektoru nebo programy rootkit.
  
  
• Zdokonaluje ochranu zabraňující softwarovým útokům offline. Žádný alternativní software, který by mohl spustit systém, nemá přístup k dešifrovacím klíčům pro jednotku operačního systému Windows.
  
  
• Uzamkne systém, pokud s ním bylo neoprávněně manipulováno. Pokud bylo neoprávněně manipulováno se sledovanými soubory, systém se nespustí. Dojde k upozornění uživatele na neoprávněnou manipulaci a systém se nespustí obvyklým způsobem. V případě, že dojde k uzamčení systému, nabídne nástroj BitLocker jednoduchý proces obnovení.
  
  

Pokud chcete použít nástroj BitLocker, musí počítač splňovat určité požadavky:

• Má-li nástroj BitLocker využít kontrolu integrity systému pomocí čipu TPM, musí počítač obsahovat čip TPM verze 1.2. Pokud počítač čip TPM neobsahuje, bude povolení nástroje BitLocker vyžadovat uložení spouštěcího klíče na vyměnitelné zařízení, například na jednotku USB Flash.
  
  
• Počítač s čipem TPM musí také obsahovat systém BIOS kompatibilní se standardem TCG (Trusted Computing Group). Systém BIOS vytvoří důvěryhodný řetězec pro spuštění před operačním systémem a musí podporovat model důvěryhodnosti Static Root of Trust Measurement tak, jak byl definován standardem TCG. Počítač bez čipu TPM nemusí obsahovat systém BIOS kompatibilní se standardem TCG.
  
  
• Systém BIOS (pro počítače s čipem TPM i bez čipu TPM) musí podporovat třídu velkokapacitních paměťových zařízení USB, včetně malých souborů na jednotce USB Flash v prostředí před spuštěním operačního systému. Další informace o rozhraní USB naleznete v rámci specifikací příkazu pro velkokapacitní paměťová zařízení USB a hromadná úložiště UFI na webu (https://go.microsoft.com/fwlink/?LinkId=83120 (stránka může být v angličtině)).
  
  
• Pevný disk musí být rozdělen minimálně na dvě jednotky:
  
  
  • Jednotka operačního systému (spouštěcí jednotka) obsahuje operační systém a související podpůrné soubory. Tato jednotka musí být formátována pomocí systému souborů NTFS.
    
    
  • Systémová jednotka obsahuje soubory, které jsou nutné k načtení systému Windows poté, kdy systém BIOS připraví systémový hardware. Nástroj BitLocker není na této jednotce povolen. Aby mohl nástroj BitLocker fungovat, je nutné, aby systémová jednotka nebyla šifrována, aby se lišila od jednotky operačního systému a aby byla formátována pomocí systému souborů NTFS. Systémová jednotka by měla mít velikost minimálně 1,5 GB.
    
    

Nástroj BitLocker je nainstalován automaticky jako součást instalace operačního systému. Nástroj BitLocker však není povolen, dokud není zapnut pomocí průvodce nastavením nástroje BitLocker, který je možno spustit z Ovládacích panelů nebo kliknutím pravým tlačítkem na jednotku v programu Průzkumník Windows.

Po instalaci a úvodním nastavení operačního systému může správce systému nástroj BitLocker kdykoli inicializovat pomocí průvodce nastavením nástroje BitLocker. Proces inicializace se skládá ze dvou kroků:

1. V počítačích s čipem TPM lze tento čip inicializovat pomocí Průvodce inicializací čipu TPM, pomocí položky BitLocker Drive Encryption v Ovládacích panelech nebo spuštěním skriptu určeného k jeho inicializaci.
   
   
2. Nastavení nástroje BitLocker: Spusťte Průvodce nastavením nástroje BitLocker v Ovládacích panelech. Tento průvodce vás provede procesem nastavení a zobrazí upřesňující možnosti ověřování.
   
   

Pokud místní správce spustí nástroj BitLocker, měl by také vytvořit heslo pro obnovení nebo obnovovací klíč. Bez obnovovacího klíče nebo hesla pro obnovení se může stát, že v případě problému s jednotkou chráněnou nástrojem BitLocker nebude možné získat přístup k datům na šifrované jednotce ani tato data obnovit.

	Poznámka
	Inicializaci nástroje BitLocker a čipu TPM musí provést člen místní skupiny Administrators v počítači.

Podrobné informace o konfiguraci a nasazení nástroje BitLocker naleznete v Podrobné příručce k nástroji Windows BitLocker Drive Encryption (https://go.microsoft.com/fwlink/?LinkID=140225 (stránka může být v angličtině)).

Nástroj BitLocker umožňuje například využít existující podnikovou infrastrukturu služby Active Directory Domain Services (AD DS) ke vzdálenému ukládání obnovovacích klíčů. Nástroj BitLocker obsahuje průvodce instalací a správou a také možnosti rozšíření a správy v rámci rozhraní WMI (Windows Management Instrumentation) s podporou skriptování. Nástroj BitLocker také obsahuje konzolu pro obnovení integrovanou do procesu počáteční fáze spouštění umožňující uživateli nebo pracovníkům technické podpory znovu získat přístup k uzamknutému počítači.

Další informace o vytváření skriptů pro nástroj BitLocker naleznete na stránce týkající se rozhraní Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983 (stránka může být v angličtině)).

Většinu osobních počítačů používají v dnešní době kromě původního vlastníka nebo uživatele počítače také další osoby. Ve scénářích rozlehlých sítí mohou být počítače převedeny do jiných oddělení nebo mohou být recyklovány v rámci standardního cyklu obnovy počítačového hardwaru.

Data na nešifrovaných jednotkách mohou zůstat čitelná i po zformátování jednotky. V podnicích se často používá několikanásobné přepsání nebo fyzické zničení, které snižují riziko úniku dat na vyřazených jednotkách.

Nástroj BitLocker usnadňuje vytvoření jednoduchého a nenákladného procesu vyřazení. Při zachování šifrování dat nástrojem BitLocker a odebrání klíčů může podnik trvale snížit riziko úniku těchto dat. Je téměř nemožné získat přístup k datům šifrovaným pomocí nástroje BitLocker po odebrání všech klíčů nástroje BitLocker, protože to by znamenalo prolomení 128bitového nebo 256bitového šifrování AES.

Nástroj BitLocker nedokáže počítač ochránit před všemi možnými útoky. Pokud například uživatel se zlými úmysly nebo programy, jako jsou viry nebo programy rootkit, získají přístup k počítači před jeho ztrátou nebo zcizením, je možné, že v počítači vytvoří slabá místa, pomocí kterých získají později přístup k šifrovaným datům. Ochrana nástrojem BitLocker může být také narušena, pokud je v počítači ponechán spouštěcí klíč USB nebo pokud není utajeno identifikační číslo PIN či heslo pro přihlášení do systému Windows.

Režim využívající pouze čip TPM je nejjednodušší z hlediska nasazení, správy a použití. Tento režim by také mohl být nejvhodnější pro počítače, které pracují bez obsluhy nebo se restartují bez obsluhy. Režim využívající pouze čip TPM však nabízí nejnižší úroveň ochrany dat. Pokud některé části organizace používají vysoce citlivá data uložená v mobilních počítačích, zvažte v těchto počítačích nasazení nástroje BitLocker s několika stupni ověření.

Další informace o zabezpečení pomocí nástroje BitLocker naleznete v tématu týkajícím se sady nástrojů pro šifrování dat v mobilních počítačích (https://go.microsoft.com/fwlink/?LinkId=85982 (stránka může být v angličtině)).

V případě serverů ve sdíleném nebo potenciálně nezabezpečeném prostředí, jako jsou podnikové pobočky, lze nástroj BitLocker použít k šifrování jednotky s operačním systémem a dalších datových jednotek na stejném serveru.

Ve výchozím nastavení není nástroj BitLocker se systémem Windows Server 2008 R2 nainstalován. Nástroj BitLocker je možné přidat ze stránky Správce serveru systému Windows Server 2008 R2. Po instalaci nástroje BitLocker je nutné server restartovat. Pomocí rozhraní WMI je možné nástroj BitLocker povolit vzdáleně.

Nástroj BitLocker je podporován na serverech s rozhraním EFI (Extensible Firmware Interface) využívajících architekturu 64bitového procesoru.

	Poznámka
	Nástroj BitLocker nepodporuje konfigurace clusteru.

Po zašifrování jednotky a jejím zabezpečení nástrojem BitLocker mohou místní správci a správci domény použít stránku Správa nástroje BitLocker pod položkou BitLocker Drive Encryption v Ovládacích panelech ke změně hesla k odemčení disku, k odebrání hesla z disku, k přidání čipové karty k odemčení disku, k uložení nebo opětovnému vytištění obnovovacího klíče, k automatickému odemčení jednotky, k duplikování klíčů nebo k resetování kódu PIN.

	Poznámka
	Typy klíčů, které lze použít v počítači lze řídit pomocí Zásad skupiny. Další informace o použití Zásad skupiny s nástrojem BitLocker naleznete v průvodci nasazením nástroje BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 (stránka může být v angličtině)).

Je možné, že správce bude v některých případech potřebovat dočasně vypnout nástroj BitLocker, mezi tyto situace patří například:

• Restartování počítače za účelem údržby bez nutnosti vstupu ze strany uživatele (například zadání čísla PIN nebo spouštěcího klíče).
  
  
• Aktualizace systému BIOS.
  
  
• Instalace hardwarové komponenty, která má volitelnou paměť ROM (komponenta ROM).
  
  
• Upgrade důležitých komponent první fáze spouštění bez zahájení obnovení pomocí nástroje BitLocker. Příklad:
  
  
  • Instalace různých verzí operačního systému nebo jiného operačního systému, kdy může dojít ke změně hlavního spouštěcího záznamu (MBR).
    
    
  • Změna rozdělení disku na oddíly, kdy může dojít ke změně tabulky oddílů.
    
    
  • Provedení dalších úkolů týkajících se systému, které změní komponenty spouštění ověřované čipem TPM.
    
    
• Upgrade základní desky za účelem výměny nebo odebrání čipu TPM bez spuštění obnovení pomocí nástroje BitLocker.
  
  
• Vypnutí (zakázání) nebo vymazání čipu TPM bez spuštění obnovení pomocí nástroje BitLocker.
  
  
• Přesunutí svazku disku chráněného nástrojem BitLocker do jiného počítače bez spuštění obnovení nástrojem BitLocker.
  
  

Tyto scénáře se souhrnně nazývají scénář upgradu počítače. Nástroj BitLocker lze povolit nebo zakázat pomocí položky BitLocker Drive Encryption v Ovládacích panelech.

K upgradu počítače chráněného nástrojem BitLocker je třeba podniknout následující kroky.

1. Dočasně vypněte nástroj BitLocker tak, že jej přepnete do režimu, kdy je zakázán.
   
   
2. Proveďte upgrade systému nebo systému BIOS.
   
   
3. Znovu zapněte nástroj BitLocker.
   
   

Při vynuceném přechodu nástroje BitLocker do režimu, kdy je zakázán, bude zachováno šifrování jednotky, ale hlavní klíč jednotky bude šifrován pomocí symetrického klíče, který je uložen v nešifrované podobě na pevném disku. Dostupnost tohoto nešifrovaného klíče vypne ochranu dat zajišťovanou nástrojem BitLocker, ale umožní to, že následující spuštění počítače je úspěšné bez dalšího vstupu ze strany uživatele. Po opětovném povolení nástroje BitLocker je nešifrovaný klíč odebrán z disku a ochrana pomocí nástroje BitLocker je znovu zapnuta. Hlavní klíč jednotky je znovu vytvořen a zašifrován.

Přesunutí šifrované jednotky (tedy fyzického disku) na jiný počítač chráněný nástrojem BitLocker nevyžaduje žádné další kroky, protože klíč chránící hlavní klíč jednotky je uložen v nešifrované podobě na disku.

	Upozornění
	Oslabení ochrany hlavního klíče jednotky i po krátké období představuje riziko zabezpečení, protože je možné, že útočník mohl získat přístup k hlavnímu klíči jednotky a šifrovacímu klíči celé jednotky v době, kdy ochrana těchto klíčů byla oslabena z důvodu použití nezašifrovaného klíče.

Podrobné informace o zakázání nástroje BitLocker naleznete v Podrobné příručce k nástroji Windows BitLocker Drive Encryption (https://go.microsoft.com/fwlink/?LinkID=140225 (stránka může být v angličtině)).

Proces obnovení může být spuštěn v různých případech, například:

• Přesunutí jednotky chráněné nástrojem BitLocker do nového počítače
  
  
• Instalace nové základní desky s čipem TPM
  
  
• Vypnutí, zakázání nebo vymazání čipu TPM
  
  
• Aktualizace systému BIOS
  
  
• Aktualizace komponenty ROM
  
  
• Upgrade důležitých komponent první fáze spouštění, který způsobí chybu ověření integrity systému
  
  
• Ztráta čísla PIN v případě povoleného ověřování čísla PIN
  
  
• Ztráta jednotky USB Flash obsahující spouštěcí klíč v případě povoleného ověřování pomocí spouštěcího klíče
  
  

Správce může také spustit obnovení jako mechanismus kontroly přístupu (například při novém nasazení počítače). Správce se také může rozhodnout šifrovanou jednotku uzamknout a požadovat, aby uživatelé k odemknutí jednotky získali informace o obnovení nástrojem BitLocker.