Nástroj BitLocker Drive Encryption je funkce ochrany dat, která je k dispozici v systému Windows Server 2008 R2 a v některých verzích systému Windows 7. Integrace nástroje BitLocker do operačního systému zajišťuje ochranu před nebezpečím vyplývajícím ze zcizení dat nebo ze ztráty, zcizení nebo nesprávného vyřazení počítačů.
K datům ve ztracených nebo ukradených počítačích mohou získat přístup neoprávnění uživatelé spuštěním útočného softwarového nástroje nebo přenosem pevného disku počítače do jiného počítače. Nástroj BitLocker umožňuje zlepšit ochranu před neoprávněným přístupem díky zdokonalení ochrany systému a souborů v systému. Nástroj BitLocker také usnadňuje označení dat jako nepřístupných, pokud jsou počítače chráněné nástrojem BitLocker vyřazeny nebo recyklovány.
Nástroj BitLocker zajišťuje nejvyšší ochranu, je-li použit společně s čipem TPM (Trusted Platform Module) verze 1.2. Čip TPM je hardwarová komponenta nainstalovaná výrobci do řady novějších počítačů. Čip spolupracuje s nástrojem BitLocker, umožňuje chránit uživatelská data a zajišťuje, aby s počítačem nikdo neoprávněně nemanipuloval v době, kdy je systém offline.
V počítačích, které neobsahují čip TPM verze 1.2, je nadále možné používat nástroj BitLocker k šifrování jednotky operačního systému Windows. Tato implementace však vyžaduje, aby uživatel před spuštěním počítače nebo obnovením jeho činnosti z režimu spánku vložil spouštěcí klíč USB, a není k dispozici ověření integrity systému před spuštěním, které nabízí nástroj BitLocker ve spolupráci s čipem TPM.
Nástroj BitLocker navíc k čipu TPM nabízí možnost uzamknutí normálního procesu spuštění systému, dokud uživatel nezadá osobní identifikační číslo (PIN) nebo nevloží vyměnitelné zařízení USB, například jednotku USB Flash, která obsahuje spouštěcí klíč. Tato dodatečná bezpečnostní opatření umožňují vícestupňové ověření a zajišťují, že počítač nebude spuštěn nebo jeho činnost nebude obnovena z režimu spánku, dokud není zadáno správné číslo PIN nebo spouštěcí klíč.
Ověření integrity systému
Nástroj BitLocker používá čip TPM k ověření integrity první fáze spouštění systému a dat konfigurace spouštění systému. To umožňuje zajistit, že nástroj BitLocker zpřístupní šifrovanou jednotku pouze tehdy, když nebylo s těmito komponentami neoprávněně manipulováno a když je šifrovaná jednotka umístěna v původním počítači.
Nástroj BitLocker umožňuje zajistit integritu procesu spuštění pomocí následujících akcí:
-
Poskytuje zajištění kontroly zachování integrity souborů první fáze spouštění a zabránění neoprávněným úpravám těchto souborů, například viry spouštěcího sektoru nebo programy rootkit.
-
Zdokonaluje ochranu zabraňující softwarovým útokům offline. Žádný alternativní software, který by mohl spustit systém, nemá přístup k dešifrovacím klíčům pro jednotku operačního systému Windows.
-
Uzamkne systém, pokud s ním bylo neoprávněně manipulováno. Pokud bylo neoprávněně manipulováno se sledovanými soubory, systém se nespustí. Dojde k upozornění uživatele na neoprávněnou manipulaci a systém se nespustí obvyklým způsobem. V případě, že dojde k uzamčení systému, nabídne nástroj BitLocker jednoduchý proces obnovení.
Požadavky na hardware, firmware a software
Pokud chcete použít nástroj BitLocker, musí počítač splňovat určité požadavky:
-
Má-li nástroj BitLocker využít kontrolu integrity systému pomocí čipu TPM, musí počítač obsahovat čip TPM verze 1.2. Pokud počítač čip TPM neobsahuje, bude povolení nástroje BitLocker vyžadovat uložení spouštěcího klíče na vyměnitelné zařízení, například na jednotku USB Flash.
-
Počítač s čipem TPM musí také obsahovat systém BIOS kompatibilní se standardem TCG (Trusted Computing Group). Systém BIOS vytvoří důvěryhodný řetězec pro spuštění před operačním systémem a musí podporovat model důvěryhodnosti Static Root of Trust Measurement tak, jak byl definován standardem TCG. Počítač bez čipu TPM nemusí obsahovat systém BIOS kompatibilní se standardem TCG.
-
Systém BIOS (pro počítače s čipem TPM i bez čipu TPM) musí podporovat třídu velkokapacitních paměťových zařízení USB, včetně malých souborů na jednotce USB Flash v prostředí před spuštěním operačního systému. Další informace o rozhraní USB naleznete v rámci specifikací příkazu pro velkokapacitní paměťová zařízení USB a hromadná úložiště UFI na webu (
https://go.microsoft.com/fwlink/?LinkId=83120 (stránka může být v angličtině) ).
-
Pevný disk musí být rozdělen minimálně na dvě jednotky:
-
Jednotka operačního systému (spouštěcí jednotka) obsahuje operační systém a související podpůrné soubory. Tato jednotka musí být formátována pomocí systému souborů NTFS.
-
Systémová jednotka obsahuje soubory, které jsou nutné k načtení systému Windows poté, kdy systém BIOS připraví systémový hardware. Nástroj BitLocker není na této jednotce povolen. Aby mohl nástroj BitLocker fungovat, je nutné, aby systémová jednotka nebyla šifrována, aby se lišila od jednotky operačního systému a aby byla formátována pomocí systému souborů NTFS. Systémová jednotka by měla mít velikost minimálně 1,5 GB.
-
Jednotka operačního systému (spouštěcí jednotka) obsahuje operační systém a související podpůrné soubory. Tato jednotka musí být formátována pomocí systému souborů NTFS.
Instalace a inicializace
Nástroj BitLocker je nainstalován automaticky jako součást instalace operačního systému. Nástroj BitLocker však není povolen, dokud není zapnut pomocí průvodce nastavením nástroje BitLocker, který je možno spustit z Ovládacích panelů nebo kliknutím pravým tlačítkem na jednotku v programu Průzkumník Windows.
Po instalaci a úvodním nastavení operačního systému může správce systému nástroj BitLocker kdykoli inicializovat pomocí průvodce nastavením nástroje BitLocker. Proces inicializace se skládá ze dvou kroků:
-
V počítačích s čipem TPM lze tento čip inicializovat pomocí Průvodce inicializací čipu TPM, pomocí položky BitLocker Drive Encryption v Ovládacích panelech nebo spuštěním skriptu určeného k jeho inicializaci.
-
Nastavení nástroje BitLocker: Spusťte Průvodce nastavením nástroje BitLocker v Ovládacích panelech. Tento průvodce vás provede procesem nastavení a zobrazí upřesňující možnosti ověřování.
Pokud místní správce spustí nástroj BitLocker, měl by také vytvořit heslo pro obnovení nebo obnovovací klíč. Bez obnovovacího klíče nebo hesla pro obnovení se může stát, že v případě problému s jednotkou chráněnou nástrojem BitLocker nebude možné získat přístup k datům na šifrované jednotce ani tato data obnovit.
Poznámka | |
Inicializaci nástroje BitLocker a čipu TPM musí provést člen místní skupiny Administrators v počítači. |
Podrobné informace o konfiguraci a nasazení nástroje BitLocker naleznete v Podrobné příručce k nástroji Windows BitLocker Drive Encryption (
Implementace v podnicích
Nástroj BitLocker umožňuje například využít existující podnikovou infrastrukturu služby Active Directory Domain Services (AD DS) ke vzdálenému ukládání obnovovacích klíčů. Nástroj BitLocker obsahuje průvodce instalací a správou a také možnosti rozšíření a správy v rámci rozhraní WMI (Windows Management Instrumentation) s podporou skriptování. Nástroj BitLocker také obsahuje konzolu pro obnovení integrovanou do procesu počáteční fáze spouštění umožňující uživateli nebo pracovníkům technické podpory znovu získat přístup k uzamknutému počítači.
Další informace o vytváření skriptů pro nástroj BitLocker naleznete na stránce týkající se rozhraní Win32_EncryptableVolume (
Vyřazení a recyklace počítače
Většinu osobních počítačů používají v dnešní době kromě původního vlastníka nebo uživatele počítače také další osoby. Ve scénářích rozlehlých sítí mohou být počítače převedeny do jiných oddělení nebo mohou být recyklovány v rámci standardního cyklu obnovy počítačového hardwaru.
Data na nešifrovaných jednotkách mohou zůstat čitelná i po zformátování jednotky. V podnicích se často používá několikanásobné přepsání nebo fyzické zničení, které snižují riziko úniku dat na vyřazených jednotkách.
Nástroj BitLocker usnadňuje vytvoření jednoduchého a nenákladného procesu vyřazení. Při zachování šifrování dat nástrojem BitLocker a odebrání klíčů může podnik trvale snížit riziko úniku těchto dat. Je téměř nemožné získat přístup k datům šifrovaným pomocí nástroje BitLocker po odebrání všech klíčů nástroje BitLocker, protože to by znamenalo prolomení 128bitového nebo 256bitového šifrování AES.
Informace k zabezpečení pomocí nástroje BitLocker
Nástroj BitLocker nedokáže počítač ochránit před všemi možnými útoky. Pokud například uživatel se zlými úmysly nebo programy, jako jsou viry nebo programy rootkit, získají přístup k počítači před jeho ztrátou nebo zcizením, je možné, že v počítači vytvoří slabá místa, pomocí kterých získají později přístup k šifrovaným datům. Ochrana nástrojem BitLocker může být také narušena, pokud je v počítači ponechán spouštěcí klíč USB nebo pokud není utajeno identifikační číslo PIN či heslo pro přihlášení do systému Windows.
Režim využívající pouze čip TPM je nejjednodušší z hlediska nasazení, správy a použití. Tento režim by také mohl být nejvhodnější pro počítače, které pracují bez obsluhy nebo se restartují bez obsluhy. Režim využívající pouze čip TPM však nabízí nejnižší úroveň ochrany dat. Pokud některé části organizace používají vysoce citlivá data uložená v mobilních počítačích, zvažte v těchto počítačích nasazení nástroje BitLocker s několika stupni ověření.
Další informace o zabezpečení pomocí nástroje BitLocker naleznete v tématu týkajícím se sady nástrojů pro šifrování dat v mobilních počítačích (
Implementace nástroje BitLocker na serverech
V případě serverů ve sdíleném nebo potenciálně nezabezpečeném prostředí, jako jsou podnikové pobočky, lze nástroj BitLocker použít k šifrování jednotky s operačním systémem a dalších datových jednotek na stejném serveru.
Ve výchozím nastavení není nástroj BitLocker se systémem Windows Server 2008 R2 nainstalován. Nástroj BitLocker je možné přidat ze stránky Správce serveru systému Windows Server 2008 R2. Po instalaci nástroje BitLocker je nutné server restartovat. Pomocí rozhraní WMI je možné nástroj BitLocker povolit vzdáleně.
Nástroj BitLocker je podporován na serverech s rozhraním EFI (Extensible Firmware Interface) využívajících architekturu 64bitového procesoru.
Poznámka | |
Nástroj BitLocker nepodporuje konfigurace clusteru. |
Správa klíčů
Po zašifrování jednotky a jejím zabezpečení nástrojem BitLocker mohou místní správci a správci domény použít stránku Správa nástroje BitLocker pod položkou BitLocker Drive Encryption v Ovládacích panelech ke změně hesla k odemčení disku, k odebrání hesla z disku, k přidání čipové karty k odemčení disku, k uložení nebo opětovnému vytištění obnovovacího klíče, k automatickému odemčení jednotky, k duplikování klíčů nebo k resetování kódu PIN.
Poznámka | |
Typy klíčů, které lze použít v počítači lze řídit pomocí Zásad skupiny. Další informace o použití Zásad skupiny s nástrojem BitLocker naleznete v průvodci nasazením nástroje BitLocker ( |
Dočasný zákaz zabezpečení nástrojem BitLocker
Je možné, že správce bude v některých případech potřebovat dočasně vypnout nástroj BitLocker, mezi tyto situace patří například:
-
Restartování počítače za účelem údržby bez nutnosti vstupu ze strany uživatele (například zadání čísla PIN nebo spouštěcího klíče).
-
Aktualizace systému BIOS.
- Instalace hardwarové komponenty, která má volitelnou paměť ROM (komponenta ROM).
-
Upgrade důležitých komponent první fáze spouštění bez zahájení obnovení pomocí nástroje BitLocker. Příklad:
-
Instalace různých verzí operačního systému nebo jiného operačního systému, kdy může dojít ke změně hlavního spouštěcího záznamu (MBR).
-
Změna rozdělení disku na oddíly, kdy může dojít ke změně tabulky oddílů.
-
Provedení dalších úkolů týkajících se systému, které změní komponenty spouštění ověřované čipem TPM.
-
Instalace různých verzí operačního systému nebo jiného operačního systému, kdy může dojít ke změně hlavního spouštěcího záznamu (MBR).
-
Upgrade základní desky za účelem výměny nebo odebrání čipu TPM bez spuštění obnovení pomocí nástroje BitLocker.
-
Vypnutí (zakázání) nebo vymazání čipu TPM bez spuštění obnovení pomocí nástroje BitLocker.
-
Přesunutí svazku disku chráněného nástrojem BitLocker do jiného počítače bez spuštění obnovení nástrojem BitLocker.
Tyto scénáře se souhrnně nazývají scénář upgradu počítače. Nástroj BitLocker lze povolit nebo zakázat pomocí položky BitLocker Drive Encryption v Ovládacích panelech.
K upgradu počítače chráněného nástrojem BitLocker je třeba podniknout následující kroky.
-
Dočasně vypněte nástroj BitLocker tak, že jej přepnete do režimu, kdy je zakázán.
-
Proveďte upgrade systému nebo systému BIOS.
-
Znovu zapněte nástroj BitLocker.
Při vynuceném přechodu nástroje BitLocker do režimu, kdy je zakázán, bude zachováno šifrování jednotky, ale hlavní klíč jednotky bude šifrován pomocí symetrického klíče, který je uložen v nešifrované podobě na pevném disku. Dostupnost tohoto nešifrovaného klíče vypne ochranu dat zajišťovanou nástrojem BitLocker, ale umožní to, že následující spuštění počítače je úspěšné bez dalšího vstupu ze strany uživatele. Po opětovném povolení nástroje BitLocker je nešifrovaný klíč odebrán z disku a ochrana pomocí nástroje BitLocker je znovu zapnuta. Hlavní klíč jednotky je znovu vytvořen a zašifrován.
Přesunutí šifrované jednotky (tedy fyzického disku) na jiný počítač chráněný nástrojem BitLocker nevyžaduje žádné další kroky, protože klíč chránící hlavní klíč jednotky je uložen v nešifrované podobě na disku.
Upozornění | |
Oslabení ochrany hlavního klíče jednotky i po krátké období představuje riziko zabezpečení, protože je možné, že útočník mohl získat přístup k hlavnímu klíči jednotky a šifrovacímu klíči celé jednotky v době, kdy ochrana těchto klíčů byla oslabena z důvodu použití nezašifrovaného klíče. |
Podrobné informace o zakázání nástroje BitLocker naleznete v Podrobné příručce k nástroji Windows BitLocker Drive Encryption (
Obnovení systému
Proces obnovení může být spuštěn v různých případech, například:
-
Přesunutí jednotky chráněné nástrojem BitLocker do nového počítače
-
Instalace nové základní desky s čipem TPM
-
Vypnutí, zakázání nebo vymazání čipu TPM
-
Aktualizace systému BIOS
-
Aktualizace komponenty ROM
-
Upgrade důležitých komponent první fáze spouštění, který způsobí chybu ověření integrity systému
-
Ztráta čísla PIN v případě povoleného ověřování čísla PIN
-
Ztráta jednotky USB Flash obsahující spouštěcí klíč v případě povoleného ověřování pomocí spouštěcího klíče
Správce může také spustit obnovení jako mechanismus kontroly přístupu (například při novém nasazení počítače). Správce se také může rozhodnout šifrovanou jednotku uzamknout a požadovat, aby uživatelé k odemknutí jednotky získali informace o obnovení nástrojem BitLocker.
Nastavení obnovení
Správce IT může pomocí zásad skupiny zvolit, jaké metody obnovení budou požadovány, zakázány nebo nastaveny jako volitelné pro uživatele s povolenou službou BitLocker. Heslo pro obnovení lze uložit ve službě AD DS a správce může tuto možnost nastavit jako povinnou, zakázanou nebo volitelnou pro jednotlivé uživatele počítače. Data pro obnovení lze také uložit na jednotku USB Flash.
Heslo pro obnovení
Heslo pro obnovení je 48místné náhodně generované číslo, které lze vytvořit během nastavení nástroje BitLocker. Pokud počítač přejde do režimu obnovení, bude uživatel vyzván k zadání hesla pomocí funkčních kláves (F0 až F9). Heslo pro obnovení lze spravovat a kopírovat po povolení nástroje BitLocker. Na stránce Správa nástroje BitLocker, pod položkou BitLocker Drive Encryption v Ovládacích panelech, lze heslo pro obnovení vytisknout nebo uložit do souboru pro budoucí použití.
Po povolení nástroje BitLocker může správce domény nakonfigurovat zásady skupiny k automatickému generování hesel pro obnovení a jejich zálohování ve službě AD DS. Správce domény se také může rozhodnout zabránit nástroji BitLocker v šifrování jednotky, pokud není počítač připojen k síti a úspěšně proběhlo vytvoření zálohy hesla pro obnovení ve službě AD DS.
Obnovovací klíč
Obnovovací klíč je možné vytvořit a uložit na jednotku USB Flash během nastavení nástroje BitLocker. Klíč je také možné spravovat a kopírovat po povolení nástroje BitLocker. Pokud počítač přejde do režimu obnovení, bude uživatel vyzván k vložení obnovovacího klíče do počítače.