BitLocker Sürücü Şifrelemesi, Windows Server 2008 R2 işletim sisteminde ve Windows 7 işletim sisteminin bazı sürümlerinde bulunur. BitLocker'ın işletim sistemiyle tümleştirilmesi, kaybedilen, çalınan veya uygun olmayan şekilde devre dışı bırakılan bilgisayarlardan kaynaklanacak veri hırsızlığı tehditlerini veya açıklıkları önlemeye yöneliktir.

Kaybolan veya çalınan bir bilgisayarda bulunan veriler, bir yazılım saldırı aracı kullanılarak veya bilgisayarın sabit diski farklı bir bilgisayara aktarılarak gerçekleştirilebilecek yetkisiz erişimlere açık olur. BitLocker, dosya ve sistem korumalarını geliştirerek yetkisiz erişim sorunlarını azaltmaktadır. BitLocker ayrıca, BitLocker tarafından korunan bilgisayarlar hizmet dışı bırakıldığında veya geri dönüşüme gönderildiğinde de verileri erişilemez duruma getirir.

BitLocker, en fazla korumayı Güvenilen Platform Modülü (TPM) sürüm 1.2 ile birlikte kullanıldığında sağlar. TPM, bilgisayar üreticileri tarafından çoğu yeni bilgisayara takılan bir donanım bileşenidir. BitLocker ile birlikte çalışarak, verileri korumaya ve bir bilgisayarın sistem çevrimdışı durumdayken kurcalanmamasını sağlamaya yardımcı olur.

TPM sürüm 1.2 bulunmayan bilgisayarlarda, Windows işletim sistemi sürücüsünü kilitlemek için yine BitLocker'ı kullanabilirsiniz. Bununla birlikte, bu yöntem kullanıcının bilgisayarı başlatmak veya hazırda bekleme modundan geri döndürmek için bir USB başlangıç anahtarı takmasını gerektirir ve TPM ile birlikte çalışan BitLocker tarafından sağlanan başlatma öncesi sistem bütünlüğünü doğrulama özelliğini sağlamaz.

TPM'ye ek olarak, BitLocker, kullanıcı kişisel bir kimlik numarası (PIN) girene kadar veya bir başlangıç anahtarı içeren bir USB flash sürücüsü gibi çıkarılabilir bir USB aygıtı takana kadar normal başlatma işlemini kilitleme seçeneği de sunar. Bu ek güvenlik önlemleri, çok faktörlü kimlik doğrulama sağlar ve bilgisayarın doğru PIN veya başlangıç anahtarı sağlanana kadar başlatılmamasını veya hazırda bekleme modundan geri dönmemesini sağlar.

Sistem bütünlüğünü doğrulama

BitLocker, erken önyükleme bileşenleriyle önyükleme yapılandırma verilerinin bütünlüğünü doğrulamak için bir TPM'yi kullanabilir. Bu da, BitLocker'ın şifreli sürücüyü yalnızca bu bileşenler kurcalanmamışsa ve şifreli sürücü ait olduğu bilgisayarda bulunuyorsa erişime açmasını sağlar.

BitLocker, aşağıdakileri yaparak, başlatma işleminin bütünlüğünü sağlamaya yardımcı olur:

  • Erken önyükleme dosyasının bütünlüğünün korunduğunu denetlemek ve bu dosyalarda önyükleme kesimi virüsleri veya kök dizin setleri gibi olumsuz değişiklikler olmadığını doğrulamaya yardımcı olmak üzere bir yöntem sağlama.

  • Çevrimdışı yazılım tabanlı saldırıları azaltmak üzere korumayı geliştirme. Sistemi başlatabilecek hiçbir alternatif yazılımın Windows işletim sistemi sürücüsünün şifre çözme anahtarlarına erişimi yoktur.

  • Kurcalandığında sistemi kilitleme. İzlenen dosyalar kurcalanırsa sistem başlamaz. Sistem olağan şekilde başlayamayacağı için, kurcalama kullanıcıya bildirilmiş olur. Sistem kilitleme durumu oluşursa, BitLocker basit bir kurtarma işlemi sunar.

Donanım, ürün yazılımı ve yazılım gereksinimleri

BitLocker'ı kullanabilmek için bilgisayarların aşağıdaki gereksinimleri karşılaması gerekir:

  • BitLocker'ın TPM tarafından sağlanan sistem bütünlüğü denetimini kullanabilmesi için, bilgisayarda TPM sürüm 1.2 olması gerekir. Bilgisayarınızda TPM yoksa, BitLocker'ı etkinleştirmek için flash sürücüsü gibi çıkarılabilir bir aygıta bir başlangıç anahtarı kaydetmeniz gerekir.

  • TPM bulunan bir bilgisayarın Trusted Computing Group (TCG) uyumlu BIOS'u da olmalıdır. BIOS işletim sistemi öncesi başlatma için bir güven zinciri oluşturur ve TCG tarafından belirtilen Güven Ölçüsü Statik Kökü desteği içermesi gerekir. TPM bulunmayan bilgisayarlar için TCG uyumlu BIOS gerekmez.

  • Sistem BIOS'unun (TPM içeren ve içermeyen bilgisayarlarda ), işletim sistemi öncesi ortamında bir USB flash sürücüsünde bulunan küçük dosyaların okunması dahil olmak üzere USB yığın depolama aygıtı sınıfını desteklemesi gerekir. USB hakkında daha fazla bilgi için, USB Web sitesinde (https://go.microsoft.com/fwlink/?LinkId=83120) USB Mass Storage Bulk-Only ve Mass Storage UFI Command belirtimlerine bakın (Bu sayfa İngilizce içeriğe sahip olabilir).

  • Sabit disk en az iki sürücüye ayrılmış olmalıdır:

    • İşletim sistemi sürücüsü (veya önyükleme sürücüsü), işletim sistemini ve destek dosyalarını içerir ve NTFS dosya sistemiyle biçimlendirilmiş olmalıdır.

    • Sistem sürücüsü, BIOS sistem donanımını hazırladıktan sonra Windows'u yüklemek için gereken dosyaları içerir. BitLocker bu sürücüde etkinleştirilmez. BitLocker'ın çalışması için, sistem sürücüsünün şifreli olmaması, işletim sistemi sürücüsünden farklı olması ve NTFS dosya sistemiyle biçimlendirilmiş olması gerekir. Sistem sürücüsü en az 1,5 gigabayt (GB) büyüklüğünde olmalıdır.

Yükleme ve başlatma

BitLocker, işletim sistemiyle birlikte otomatik olarak yüklenir. Bununla birlikte, BitLocker, Denetim Masası'ndan veya Windows Gezgini'nde sürücü sağ tıklatılarak erişilebilecek BitLocker kurulum sihirbazı kullanılarak çalıştırılıncaya kadar etkinleşmez.

Yükleme ve işletim sistemi kurulumundan sonra, istenildiği zaman sistem yöneticisi BitLocker kurulum sihirbazını kullanarak BitLocker'ı kullanıma hazırlayabilir. Hazırlama işleminin iki adımı vardır:

  1. TPM bulunan bilgisayarlarda, TPM Başlatma Sihirbazı'nı, Denetim Masası'ndaki BitLocker Sürücü Şifrelemesi öğesini kullanarak veya başlatmak üzere tasarlanmış bir komut dosyasını çalıştırarak TPM'yi başlatın.

  2. BitLocker'ı ayarlama. Kurulum adımlarında size yol gösteren ve gelişmiş kimlik doğrulama seçenekleri sunan BitLocker kurulum sihirbazına Denetim Masası'ndan erişin.

BitLocker bir yerel yönetici tarafından başlatıldığında, yöneticinin bir kurtarma parolası ve bir kurtarma anahtarı da oluşturması gerekir. Kurtarma anahtarı veya kurtarma parolası olmazsa, BitLocker korumalı sürücüde sorun oluşması durumunda, şifreli sürücüdeki verilere erişilemeyebilir ve kurtarılamayabilir.

Not

BitLocker ve TPM hazırlama işlemlerinin bilgisayardaki yerel Administrators grubunun bir üyesi tarafından gerçekleştirilmesi gerekir.

BitLocker'ı yapılandırma ve dağıtma konusunda ayrıntılı bilgi için bkz. Windows BitLocker Sürücü Şifrelemesi Ayrıntılı Kılavuzu (https://go.microsoft.com/fwlink/?LinkID=140225). (Bu sayfa İngilizce içeriğe sahip olabilir.)

Kuruluşlarda kullanım

BitLocker, kurtarma anahtarlarını uzakta depolamak için bir kuruluşun var olan Active Directory Etki Alanı Hizmetleri (AD DS) alt yapısını kullanabilir. BitLocker, komut dosyası destekli bir Windows Yönetim Araçları (WMI) arabirimi üzerinden genişletilebilirlik ve yönetilebilirlik özelliklerinin yanı sıra, kurulum ve yönetim için bir sihirbaz sağlar . BitLocker ayrıca kullanıcının veya yardım masası yetkilisinin kilitlenen bir bilgisayara yeniden erişebilmesini sağlamak için, erken önyükleme işlemiyle tümleşik bir kurtarma konsoluna da sahiptir.

BitLocker için komut dosyası yazma konusunda daha fazla bilgi için bkz. Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983) (Bu sayfa İngilizce içeriğe sahip olabilir).

Bilgisayarı hizmet dışı bırakma veya geri dönüşüme gönderme

Günümüzde birçok kişisel bilgisayar ilk sahibinden başka kişiler tarafından tekrar kullanılmaktadır. Kuruluş senaryolarında, bilgisayarlar başka bölümlere yeniden dağıtılabilir ya da standart bilgisayar donanımı yenileme döngüsünün parçası olarak geri dönüştürülebilir.

Şifrelenmemiş sürücülerde bulunan veriler sürücü biçimlendirildikten sonra bile okunur durumda kalabilir. Kuruluşlar hizmet dışı bırakılan sürücülerdeki verilerin ortaya çıkması riskini azaltmak için çoğunlukla birçok kez üzerine yazma veya fiziksel olarak yok etme yöntemini kullanır.

BitLocker basit ve hesaplı bir hizmet dışı bırakma süreci oluşturmaya yardımcı olabilir. Kuruluşlar verilerini BitLocker tarafından şifrelenmiş durumda bırakarak ve anahtarları kaldırarak, verilerin ortaya çıkarılması riskini sürekli olarak azaltabilir. Tüm BitLocker anahtarları kaldırıldıktan sonra, 128 bit veya 256 bit AES şifrelemeyi kırmak gerekeceğinden, BitLocker şifreli verilere erişmek için neredeyse olanaksızlaşır.

BitLocker için güvenlikle ilgili noktalar

BitLocker, bir bilgisayarı olası tüm saldırılara karşı koruyamaz. Örneğin, bir bilgisayar kaybolmadan veya çalınmadan önce kötü amaçlı kullanıcılar ya da virüs veya kök dizin setleri gibi programlar bilgisayara erişirse, güvenlikle ilgili bazı açıklara neden olabilirler ve daha sonra bunları kullanarak şifreli verilere erişebilirler. Ve USB başlangıç anahtarı bilgisayarda bırakılırsa ya da PIN veya Windows oturum açma parolası gizli tutulmazsa, BitLocker koruması da zayıflık gösterebilir.

Yalnızca TPM kimlik doğrulaması modu dağıtımı, yönetimi ve kullanımı en kolay olandır. Katılımsız olan veya katılımsız durumdayken yeniden başlaması gereken bilgisayarlar için de daha uygun olabilir. Bununla birlikte, yalnızca TPM modu en düşük düzeyde veri koruma sağlar. Kuruluşunuzun bazı bölümlerinde mobil bilgisayarlar için çok hassas kabul edilen veriler bulunuyorsa, bu bilgisayarlarda çok faktörlü kimlik doğrulama içeren BitLocker dağıtmayı düşünebilirsiniz.

BitLocker güvenliğiyle ilgili önemli noktalar hakkında daha fazla bilgi için bkz. Mobil Bilgisayarlar için Veri Şifreleme Araç Takımı (https://go.microsoft.com/fwlink/?LinkId=85982) (Bu sayfa İngilizce içeriğe sahip olabilir).

Sunucularda BitLocker uygulama

Bir şube ofisi yeri gibi paylaşılan veya potansiyel olarak güvenli olmayan ortamlardaki sunucular için, BitLocker işletim sistemi sürücüsünü ve aynı sunucudaki ek veri sürücülerini şifrelemek için kullanılabilir.

Varsayılan olarak, BitLocker Windows Server 2008 R2 ile birlikte yüklenmez. BitLocker'ı Windows Server 2008 R2 Sunucu Yöneticisi sayfasından ekleyin. BitLocker'ı bir sunucuya yükledikten sonra makineyi yeniden başlatmanız gerekir. WMI'yi kullanarak BitLocker'ı uzaktan etkinleştirebilirsiniz.

BitLocker, 64 bit işlemci mimarisi kullanan Genişletilebilir Ürün Bilgisi Arabirimi (EFI) sunucularında desteklenir.

Not

BitLocker küme yapılandırmalarını desteklemez.

Anahtar yönetimi

Sürücü BitLocker ile şifrelendikten ve korunduktan sonra, sürücünün kilidini açma parolasını değiştirmek, sürücüden parolayı kaldırmak,sürücünün kilidini açmak için akıllı kart eklemek, kurtarma anahtarını yeniden kaydetmek veya yazdırmak, sürücünün kilidini otomatik olarak açmak, anahtarları çoğaltmak ve PIN'i sıfırlamak için, yerel ve etki alanı yöneticileri Denetim Masası'ndaki BitLocker Sürücü Şifrelemesi öğesinde BitLocker'ı Yönet sayfasını kullanabilirler.

Not

Bir bilgisayarda kullanılabilecek anahtar türleri, Grup İlkesi kullanılarak denetlenebilir. BitLocker ile Grup İlkesi kullanma hakkında daha fazla bilgi için bkz. BitLocker Dağıtım Kılavuzu (https://go.microsoft.com/fwlink/?LinkID=140286). (Bu sayfa İngilizce içeriğe sahip olabilir.)

BitLocker korumasını geçici olarak devre dışı bırakma

Yönetici aşağıdaki gibi bazı senaryolarda BitLocker'ı geçici olarak devre dışı bırakmak isteyebilir:

  • Bilgisayarı, kullanıcı girişi (örneğin, PIN veya başlangıç anahtarı) gerekmeksizin bakım için yeniden başlatma.

  • BIOS'u güncelleştirme.

  • İsteğe bağlı salt okunur bellek (seçenek ROM'u) içeren bir donanım bileşenini yükleme.

  • BitLocker kurtarma işlemine yol açmadan kritik erken önyükleme bileşenlerini yükseltme. Örneğin:

    • İşletim sisteminin farklı bir sürümünü yükleme veya başka bir işletim sistemi yükleme ve böylece ana önyükleme kaydının (MBR) değişmesi.

    • Diskin yeniden bölümlenmesi ve böylece bölümleme tablosunun değişmesi.

    • TPM tarafından doğrulanan önyükleme bileşenlerinin değişmesine neden olan diğer sistem görevlerini gerçekleştirme.

  • BitLocker kurtarma işlemine neden olmaksızın, TPM'yi değiştirmek veya kaldırmak amacıyla ana kartı yükseltme.

  • BitLocker kurtarma işlemine neden olmaksızın TPM'yi kapatma (devre dışı bırakma) veya temizleme.

  • BitLocker kurtarma işlemine yol açmaksızın BitLocker korumalı bir sürücüyü başka bir bilgisayara taşıma.

Bu senaryolara topluca bilgisayar yükseltme senaryoları denir. BitLocker, Denetim Masası'ndaki BitLocker Sürücü Şifrelemesi öğesi kullanılarak etkinleştirilebilir veya devre dışı bırakılabilir.

BitLocker korumalı bir bilgisayarı yükseltmek için aşağıdaki adımların uygulanması gerekir:

  1. BitLocker'ı devre dışı moduna alarak geçici olarak kapatın.

  2. Sistemi veya BIOS'u yükseltin.

  3. BitLocker'ı yeniden açın.

BitLocker'ın zorunlu olarak devre dışı moduna alınmasıyla sürücü şifreli olarak kalır, ancak sürücü ana anahtarı sabit diskte şifrelenmemiş olarak depolanan simetrik bir anahtarla şifrelenir. Bu şifrelenmemiş anahtarın kullanılabilmesi, BitLocker tarafından sağlanan veri korumayı devre dışı bırakır, ancak bilgisayarın sonraki başlatılmalarının kullanıcı girişi olmadan başarıyla gerçekleşmesini sağlar. BitLocker yeniden etkinleştirildiğinde, şifresiz anahtar diskten kaldırılır ve BitLocker koruması yeniden etkinleşir. Ayrıca, sürücü ana anahtarı tuşlanır ve yeniden şifrelenir.

Sürücü ana anahtarını koruyan anahtar diskte şifrelenmemiş olarak depolandığından, şifreli sürücüyü (fiziksel diski) BitLocker korumalı olan başka bir bilgisayara taşımak için gerekli başka adım yoktur.

Dikkat

Sürücü ana anahtarının kısa bir süre için bile açığa çıkarılması bir güvenlik riski oluşturur, çünkü bu anahtarlar şifrelenmemiş anahtar tarafından açığa çıkarıldığı sırada, kötü niyetli biri sürücü ana anahtarına ve tam sürücü şifreleme anahtarına erişebilir.

BitLocker'ı devre dışı bırakma konusunda ayrıntılı bilgi için bkz. Windows BitLocker Sürücü Şifrelemesi Ayrıntılı Kılavuzu (https://go.microsoft.com/fwlink/?LinkID=140225). (Bu sayfa İngilizce içeriğe sahip olabilir.)

Sistem kurtarma

Kurtarma işlemine yol açabilecek aşağıdaki gibi birçok senaryo vardır:

  • BitLocker korumalı sürücünün yeni bir bilgisayara taşınması.

  • Yeni TPM içeren yeni bir ana kart takma.

  • TPM'nin kapatılması, devre dışı bırakılması veya temizlenmesi.

  • BIOS'u güncelleştirme.

  • Seçenek ROM'unu güncelleştirme.

  • Önemli erken önyükleme bileşenlerinin yükseltilmesi ve dolayısıyla sistem bütünlüğü doğrulamasının başarısız olması.

  • PIN kimlik doğrulaması etkinken, PIN'in unutulması.

  • Başlangıç anahtarı kimlik doğrulaması etkinken, başlangıç anahtarının depolandığı USB flash sürücünün kaybedilmesi.

Yöneticiler bir erişim denetimi mekanizması olarak da kurtarma işlemi başlatabilir (örneğin, bilgisayarın yeniden dağıtımı sırasında). Bir yönetici şifreli bir sürücüyü kilitlemeye ve kullanıcıların sürücünün kilidini açmak için BitLocker kurtarma bilgilerine sahip olmasını gerekli kılmaya karar verebilir.

Kurtarma ayarı

Grup İlkesi kullanarak, bir BT yöneticisi BitLocker'ı etkinleştiren kullanıcılardan hangi kurtarma yöntemlerini isteyeceğini, hangilerine izin vermeyeceğini veya hangilerinin isteğe bağlı olacağını seçebilir. Kurtarma parolası AD DS'de depolanabilir ve yönetici bu seçeneği bilgisayarın her bir kullanıcısı için zorunlu, yasak veya isteğe bağlı olarak belirleyebilir. Ayrıca, kurtarma verileri de bir USB flash sürücüsünde depolanabilir.

Kurtarma parolası

Kurtarma parolası 48 basamaklı, rasgele üretilen ve BitLocker kurulumu sırasında oluşturulabilen bir sayıdır. Bilgisayar kurtarma moduna girerse, kullanıcıdan işlev tuşlarını (F0 - F9 arası) kullanarak bu parolayı yazması istenir. Kurtarma parolası BitLocker etkinleştirildikten sonra yönetilebilir veya kopyalanabilir. Denetim Masası'nda BitLocker Sürücü Şifrelemesi öğesindeki BitLocker'ı Yönet sayfasını kullanarak, kurtarma parolası ileride kullanılmak üzere yazdırılabilir veya bir dosyaya kaydedilebilir.

Etki alanı yöneticileri otomatik olarak kurtarma parolaları üretmek ve BitLocker etkinleştirildiğinde bunları AD DS'de yedeklemek için üzere Grup İlkesi yapılandırabilir. Etki alanı yöneticileri ayrıca, bilgisayar ağa bağlı olmadıkça ve kurtarma parolasının AD DS'de yedeklenmesi başarılı olmadıkça BitLocker'ın bir sürücüyü şifrelemesini engellemeyi de seçebilir.

Kurtarma anahtarı

Kurtarma anahtarı BitLocker kurulumu sırasında oluşturulabilir ve bir USB flash sürücüsüne kaydedilebilir; BitLocker etkinleştirildikten sonra da yönetilebilir ve kopyalanabilir. Bilgisayar kurtarma moduna girerse, kullanıcıdan kurtarma anahtarını bilgisayara takması istenir.


İçindekiler