Szyfrowanie dysków funkcją BitLocker - omówienie

Funkcja BitLocker może korzystać z modułu TPM do weryfikowania integralności składników biorących udział we wczesnej fazie uruchamiania oraz do weryfikowania danych konfiguracji rozruchu. Dzięki temu funkcja BitLocker umożliwia uzyskanie dostępu do zaszyfrowanego dysku tylko wtedy, gdy te składniki nie zostały naruszone, a zaszyfrowany dysk znajduje się w oryginalnym komputerze.

Funkcja BitLocker zapewnia integralność procesu uruchamiania przez wykonywanie następujących akcji:

• Udostępnianie metody sprawdzania integralności pliku rozruchowego we wczesnej fazie uruchamiania oraz pomoc w zapewnieniu ochrony przed niekorzystnymi modyfikacjami tych plików powstałymi na przykład na skutek ataku wirusów na sektor rozruchowy lub działania programów typu rootkit.
  
  
• Poprawienie ochrony w celu zmniejszenia skuteczności ataków programowych w trybie offline. Żadne oprogramowanie alternatywne, które może uruchomić system, nie ma dostępu do kluczy odszyfrowywania dysku systemu operacyjnego Windows.
  
  
• Blokowanie systemu w przypadku jego naruszenia. System nie zostanie uruchomiony, jeśli monitorowane pliki zostały zmodyfikowane. Informuje to użytkownika o naruszeniu, ponieważ próba normalnego uruchomienia systemu zakończy się niepowodzeniem. W przypadku wystąpienia takiej blokady systemu funkcja BitLocker oferuje prosty proces odzyskiwania.
  
  

Aby można było korzystać z funkcji BitLocker, komputer musi spełniać określone wymagania:

• Aby funkcja BitLocker korzystała z możliwości sprawdzania integralności systemu zapewnianej przez moduł TPM, w komputerze musi być zainstalowany moduł TPM w wersji 1.2. Jeśli w komputerze nie ma zainstalowanego modułu TPM, włączenie funkcji BitLocker będzie wymagać zapisania klucza uruchomienia na urządzeniu wymiennym, takim jak dysk flash USB.
  
  
• Komputer z modułem TPM musi mieć także system BIOS zgodny z organizacją Trusted Computing Group (TCG). System BIOS ustanawia łańcuch zaufania przed uruchomieniem systemu operacyjnego i musi obsługiwać mechanizm SRTM (Static Root of Trust Measurement) zgodny ze standardem organizacji TCG. Komputer bez modułu TPM nie wymaga systemu BIOS zgodnego z organizacją TCG.
  
  
• System BIOS (dla komputerów z modułem TPM i bez tego modułu) musi obsługiwać urządzenia pamięci masowej USB, w tym funkcję odczytu małych plików na dysku flash USB w środowisku przed uruchomieniem systemu operacyjnego. Aby uzyskać więcej informacji na temat magistrali USB, zobacz artykuł dotyczący specyfikacji transportu zbiorczego (z wyłącznością) i poleceń UFI pamięci masowej w witrynie USB sieci Web (https://go.microsoft.com/fwlink/?LinkId=83120) (strona może zostać wyświetlona w języku angielskim).
  
  
• Dysk twardy musi być podzielony na co najmniej dwa dyski:
  
  
  • Dysk systemu operacyjnego (lub dysk rozruchowy) zawiera system operacyjny i pliki pomocnicze, a ponadto musi być sformatowany w systemie plików NTFS.
    
    
  • Dysk systemowy zawiera pliki niezbędne do załadowania systemu Windows po przygotowaniu sprzętu systemu przez system BIOS. Funkcja BitLocker nie jest włączona na tym dysku. Aby funkcja BitLocker działała poprawnie, dysk systemowy nie może być zaszyfrowany, musi być innym dyskiem niż dysk systemu operacyjnego i musi być sformatowany w systemie plików NTFS. Dysk systemowy powinien mieć rozmiar co najmniej 1,5 gigabajta (GB).
    
    

Funkcja BitLocker jest instalowana automatycznie w ramach instalacji systemu operacyjnego. Funkcja ta nie zostanie jednak włączona do chwili jej uaktywnienia za pomocą kreatora konfiguracji funkcji BitLocker, który jest dostępny w Panelu sterowania lub po kliknięciu prawym przyciskiem myszy dysku w Eksploratorze Windows.

Administrator systemu może w dowolnej chwili po zainstalowaniu i wstępnym skonfigurowaniu systemu operacyjnego skorzystać z kreatora konfiguracji funkcji BitLocker, aby zainicjować funkcję BitLocker. Proces inicjowania wymaga wykonania dwóch kroków:

1. Na komputerach wyposażonych w moduł TPM należy zainicjować moduł TPM, korzystając z Kreatora inicjowania modułu TPM lub elementu Szyfrowanie dysków funkcją BitLocker w Panelu sterowania albo uruchamiając skrypt przeznaczony do jego inicjowania.
   
   
2. Należy skonfigurować funkcję BitLocker. Z Panelu sterowania można uzyskać dostęp do kreatora konfiguracji funkcji BitLocker, który prowadzi użytkownika przez proces konfiguracji i przedstawia zaawansowane opcje uwierzytelniania.
   
   

Administrator lokalny, po zainicjowaniu funkcji BitLocker, powinien utworzyć także hasło odzyskiwania lub klucz odzyskiwania. W przypadku wystąpienia problemu z dyskiem chronionym za pomocą funkcji BitLocker brak klucza odzyskiwania lub hasła odzyskiwania może spowodować, że wszystkie dane znajdujące się na zaszyfrowanym dysku będą niedostępne lub ich odzyskanie będzie niemożliwe.

	Uwaga
	Inicjowanie funkcji BitLocker i modułu TPM musi być wykonane przez członka grupy Administratorzy na danym komputerze.

Aby uzyskać szczegółowe informacje dotyczące konfigurowania i wdrażania funkcji BitLocker, zobacz Przewodnik krok po kroku dotyczący szyfrowania dysków funkcją BitLocker w systemie Windows (https://go.microsoft.com/fwlink/?LinkID=140225 - strona może zostać wyświetlona w języku angielskim).

Funkcja BitLocker może korzystać z istniejącej w przedsiębiorstwie infrastruktury Usług domenowych w usłudze Active Directory (AD DS) do zdalnego przechowywania kluczy odzyskiwania. Funkcja BitLocker zawiera kreatora umożliwiającego konfigurację i zarządzanie, a także zapewnia możliwości rozszerzania i zarządzania przez interfejs Instrumentacji zarządzania Windows (WMI, Windows Management Instrumentation) z obsługą skryptów. Ponadto funkcję BitLocker wyposażono w konsolę odzyskiwania zintegrowaną z procesem wczesnej fazy uruchamiania, która umożliwia użytkownikowi lub pracownikom pomocy technicznej odzyskanie dostępu do zablokowanego komputera.

Aby uzyskać więcej informacji na temat pisania skryptów dla funkcji BitLocker, zobacz stronę dotyczącą klasy Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983) (strona może zostać wyświetlona w języku angielskim).

Obecnie wiele komputerów osobistych może być używanych ponownie przez osoby inne niż pierwotny właściciel czy użytkownik. W kontekście działalności przedsiębiorstw komputery mogą być wdrażane ponownie w innych działach lub utylizowane w ramach standardowego cyklu odświeżania sprzętu komputerowego.

Dane na niezaszyfrowanych dyskach mogą zostać odczytane nawet po ich sformatowaniu. Przedsiębiorstwa często korzystają z wielokrotnego zastępowania danych lub fizycznego niszczenia dysków, aby zmniejszyć ryzyko ujawnienia danych znajdujących się na likwidowanych dyskach.

Funkcja BitLocker pomaga stworzyć prosty i ekonomiczny proces likwidowania. Przedsiębiorstwo może w sposób trwały zmniejszyć ryzyko ujawnienia tych danych, pozostawiając dane zaszyfrowane funkcją BitLocker i usuwając klucze. Uzyskanie dostępu do danych zaszyfrowanych funkcją BitLocker po usunięciu wszystkich kluczy funkcji BitLocker jest praktycznie niemożliwe, gdyż wymagałoby to złamania 128-bitowego lub 256-bitowego szyfrowania AES.

Funkcja BitLocker nie chroni komputera przed wszystkimi możliwymi atakami. Jeśli na przykład złośliwi użytkownicy lub złośliwe programy, takie jak wirusy lub programy typu rootkit, mają dostęp do komputera przed jego utratą lub kradzieżą, istnieje możliwość wprowadzenia słabości, dzięki którym będzie później możliwe uzyskanie dostępu do zaszyfrowanych danych. Ochrona funkcją BitLocker może zostać naruszona, jeśli klucz uruchomienia USB pozostanie w komputerze lub jeśli osobisty numer identyfikacyjny (numer PIN) albo hasło logowania do systemu Windows przestaną być tajne.

Tryb uwierzytelniania tylko za pomocą modułu TPM jest łatwiejszy we wdrażaniu, zarządzaniu i użytkowaniu. Może być także bardziej odpowiedni w przypadku komputerów nienadzorowanych lub wymagających nienadzorowanego uruchamiania ponownie. Jednak tryb uwierzytelniania tylko za pomocą modułu TPM oferuje najniższy stopień ochrony danych. Jeśli część organizacji dysponuje niezwykle poufnymi danymi na komputerach przenośnych, należy rozważyć wdrożenie na tych komputerach funkcji BitLocker z uwierzytelnianiem wieloskładnikowym.

Aby uzyskać więcej informacji na temat zabezpieczeń funkcji BitLocker, zobacz artykuł dotyczący zestawu narzędzi do szyfrowania danych dla komputerów przenośnych (https://go.microsoft.com/fwlink/?LinkId=85982) (strona może zostać wyświetlona w języku angielskim).

W przypadku serwerów w środowisku udostępnionym lub potencjalnie niezabezpieczonym, takim jak lokalizacja oddziału firmy, funkcja BitLocker może być używana do szyfrowania dysku systemu operacyjnego i dodatkowych dysków z danymi znajdujących się na tym samym serwerze.

Domyślnie funkcja BitLocker nie jest instalowana z systemem Windows Server 2008 R2. Funkcję BitLocker można dodać, korzystając ze strony Menedżer serwera systemu Windows Server 2008 R2. Po zainstalowaniu funkcji BitLocker na serwerze należy uruchomić ponownie system. Funkcję BitLocker można włączyć zdalnie za pomocą interfejsu WMI.

Funkcja BitLocker jest obsługiwana przez serwery rozszerzalnego interfejsu oprogramowania układowego (Extensible Firmware Interface, EFI) za pomocą 64-bitowej architektury procesora.

	Uwaga
	Funkcja BitLocker nie obsługuje konfiguracji klastra.

Gdy dysk zostanie już zaszyfrowany i będzie chroniony funkcją BitLocker, administratorzy lokalni i administratorzy domeny mogą korzystać ze strony Zarządzaj funkcją BitLocker w elemencie Panelu sterowania Szyfrowanie dysków funkcją BitLocker do zmiany hasła używanego do odblokowywania dysku, usunięcia hasła z dysku, dodania karty inteligentnej na potrzeby odblokowania dysku, ponownego zapisania lub wydrukowania klucza odzyskiwania, automatycznego odblokowania dysku, utworzenia kopii kluczy i zresetowania osobistego numeru identyfikacyjnego (numeru PIN).

	Uwaga
	Typami używanych na komputerze kluczy można sterować za pomocą zasad grupy. Aby uzyskać więcej informacji o stosowaniu zasad grupy w przypadku funkcji BitLocker, zobacz Przewodnik wdrażania funkcji BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 - strona może zostać wyświetlona w języku angielskim).

Administrator może tymczasowo wyłączyć funkcję BitLocker w niektórych scenariuszach, takich jak:

• Ponowne uruchamianie komputera w celu konserwacji, bez konieczności podawania danych (na przykład numeru PIN czy klucza uruchomienia) przez użytkownika.
  
  
• Aktualizowanie systemu BIOS.
  
  
• Instalowanie składnika sprzętowego z opcjonalną pamięcią tylko do odczytu (ROM).
  
  
• Uaktualnianie krytycznych składników biorących udział we wczesnej fazie uruchamiania bez wyzwalania odzyskiwania funkcji BitLocker. Na przykład:
  
  
  • Instalowanie innej wersji systemu operacyjnego lub innego systemu operacyjnego, co może zmienić główny rekord rozruchowy (MBR).
    
    
  • Ponowne dzielenie dysku na partycje, co może zmienić tabelę partycji.
    
    
  • Wykonywanie innych zadań systemowych, które zmieniają składniki rozruchowe, sprawdzane przez moduł TPM.
    
    
• Uaktualnianie płyty głównej w celu wymiany lub usunięcia modułu TPM bez wyzwalania odzyskiwania funkcji BitLocker.
  
  
• Zatrzymywanie (wyłączanie) lub czyszczenie modułu TPM bez wyzwalania odzyskiwania funkcji BitLocker.
  
  
• Przenoszenie dysku chronionego funkcją BitLocker na inny komputer bez wyzwalania odzyskiwania funkcji BitLocker.
  
  

Te scenariusze są nazywane ogólnie scenariuszem uaktualniania komputera. Funkcję BitLocker można włączyć lub wyłączyć za pomocą elementu Szyfrowanie dysków funkcją BitLocker w Panelu sterowania.

Aby uaktualnić komputer chroniony funkcją BitLocker, konieczne jest wykonanie następujących kroków:

1. Tymczasowe zatrzymanie funkcji BitLocker przez jej wyłączenie.
   
   
2. Uaktualnienie systemu (w tym systemu BIOS).
   
   
3. Ponowne włączenie funkcji BitLocker.
   
   

Wymuszenie stanu wyłączenia funkcji BitLocker pozwoli zachować szyfrowanie dysku, ale klucz główny dysku zostanie zaszyfrowany kluczem symetrycznym przechowywanym w postaci niezaszyfrowanej na dysku twardym. Dostępność tego niezaszyfrowanego klucza jest równoznaczne z wyłączeniem ochrony danych oferowanej przez funkcję BitLocker, ale gwarantuje, że kolejne uruchomienia komputera zakończą się pomyślnie bez dalszej interwencji użytkownika. Po ponownym włączeniu funkcji BitLocker niezaszyfrowany klucz jest usuwany z dysku, a ochrona funkcją BitLocker jest ponownie włączana. Ponadto następuje ponowne utworzenie, a następnie zaszyfrowanie klucza głównego dysku.

Przeniesienie zaszyfrowanego dysku (tj. dysku fizycznego) do innego komputera chronionego funkcją BitLocker nie wymaga żadnych dodatkowych kroków, gdyż klucz chroniący klucz główny dysku jest przechowywany w postaci niezaszyfrowanej na tym dysku.

	Przestroga
	Ujawnienie klucza głównego dysku nawet na krótki okres czasu jest zagrożeniem bezpieczeństwa, ponieważ istnieje możliwość, że intruz mógł uzyskać dostęp do tego klucza oraz do klucza szyfrowania całych dysków, kiedy te klucze były ujawnione przez klucz niezaszyfrowany.

Aby uzyskać szczegółowe informacje dotyczące wyłączania funkcji BitLocker, zobacz Przewodnik krok po kroku dotyczący szyfrowania dysków funkcją BitLocker w systemie Windows (https://go.microsoft.com/fwlink/?LinkID=140225 - strona może zostać wyświetlona w języku angielskim).

Proces odzyskiwania mogą wyzwolić różne scenariusze, na przykład:

• Przeniesienie dysku chronionego za pomocą funkcji BitLocker do nowego komputera.
  
  
• Zainstalowanie nowej płyty głównej z nowym modułem TPM.
  
  
• Zatrzymanie, wyłączenie lub wyczyszczenie modułu TPM.
  
  
• Aktualizowanie systemu BIOS.
  
  
• Aktualizowanie opcjonalnej pamięci tylko do odczytu (ROM).
  
  
• Uaktualnianie krytycznych składników biorących udział we wczesnej fazie uruchamiania, powodujących niepowodzenie podczas sprawdzania poprawności integralności systemu.
  
  
• Zapomnienie numeru PIN, jeśli włączono uwierzytelnianie za pomocą numeru PIN.
  
  
• Utrata dysku flash USB zawierającego klucz uruchomienia, jeśli włączono uwierzytelnianie za pomocą klucza uruchomienia.
  
  

Administrator może także wyzwolić odzyskiwanie jako mechanizm kontroli dostępu (na przykład, podczas ponownego wdrażania komputera). Administrator może zdecydować o zablokowaniu zaszyfrowanego dysku i wymagać, aby użytkownicy uzyskiwali informacje odzyskiwania funkcji BitLocker w celu odblokowania dysku.