A BitLocker meghajtótitkosítás a Windows Server 2008 R2 rendszerben, valamint a Windows 7 egyes kiadásaiban elérhető adatvédelmi szolgáltatás. Az operációs rendszerbe integrált BitLocker-szolgáltatás az adatlopás, valamint az elveszett, ellopott vagy a használatból nem megfelelően kivont számítógépek okozta fenyegetéssel szemben kínál megoldást.

Az elveszett vagy ellopott számítógépeken található adatok esetében fennáll a jogosulatlan hozzáférés veszélye, akár szoftveres támadás, akár a számítógép merevlemezének más számítógépbe való áthelyezése útján. A BitLocker a fájl- és rendszervédelem fokozásával csökkenti a jogosulatlan adathozzáférés kockázatát. A BitLocker ezenkívül segíti az adatok végleges megsemmisítését is a BitLocker-védelemmel ellátott számítógépek használatból való kivonásakor vagy újrahasznosításakor.

A BitLocker a legteljesebb védelmet a Platformmegbízhatósági modul (TPM) 1.2-es verziójának használatakor nyújtja. A TPM egy, a számítógépgyártók által a legtöbb modern számítógépbe beépített hardverösszetevő. A TPM a BitLocker szolgáltatással együttműködve védi a felhasználói adatokat, és megakadályozza, hogy a számítógépet a rendszer offline állapotában manipulálják.

A BitLocker a TPM 1.2-es verziójával nem rendelkező számítógépek esetében is alkalmas a Windows operációs rendszer meghajtójának titkosítására. Ilyenkor azonban a számítógép indításához vagy a hibernált állapotból való visszatéréshez a felhasználónak USB-indítókulcsot kell behelyeznie, és nem elérhető a TPM-el együttműködő BitLocker által nyújtott rendszerindítás előtti rendszerintegritási vizsgálat sem.

A TPM használata mellett a BitLocker lehetőséget biztosít a normál rendszerindítási folyamat zárolására mindaddig, amíg a felhasználó meg nem adja személyes azonosítószámát (PIN), vagy be nem helyez egy indítókulcsot tartalmazó cserélhető eszközt, például egy USB flash meghajtót. Ezek a kiegészítő biztonsági intézkedések többszörös hitelesítést biztosítanak, és garantálják, hogy a számítógép a helyes PIN-kód vagy indítókulcs nélkül nem indítható el, illetve hibernált állapotból nem oldható fel.

A rendszer sértetlenségi vizsgálata

A BitLocker a TPM segítségével ellenőrzi a korai rendszerindítási összetevők sértetlenségét és a rendszerindítási konfigurációs adatokat. Így a BitLocker csak abban az esetben teszi hozzáférhetővé a titkosított meghajtót, ha ezeket a összetevőket nem manipulálták, és a titkosított meghajtó az eredeti számítógépben található.

A BitLocker a következőképpen biztosítja az indítási folyamat sértetlenségét:

  • Lehetővé teszi a rendszerindítási fájlok sértetlenségének ellenőrzését, és biztosítja, hogy ezeket a fájlokat ne módosíthassák ártó szándékkal, például a rendszerindító szektorba beépülő vírusokkal vagy betörést álcázó programcsomagokkal (rootkitekkel).

  • Hatékonyabbá teszi az offline szoftveralapú támadások elleni védelmet. A rendszerindításra alkalmas egyéb szoftverek sem férnek hozzá a Windows operációs rendszer meghajtójának visszafejtő kulcsaihoz.

  • Manipuláció észlelése esetén zárolja a rendszert. Ha bármelyik megfigyelés alatt tartott fájlt módosítják, a rendszer nem indul el. Ezzel felhívja a felhasználó figyelmét az illetéktelen módosításra, hiszen a rendszer a szokott módon nem indítható. A rendszer zárolása esetén a BitLocker egyszerű helyreállítási folyamatot kínál.

A hardverre, a belső vezérlőprogramokra és a szoftverre vonatkozó követelmények

A BitLocker használatához a számítógépnek meg kell felelnie bizonyos követelményeknek:

  • Ahhoz, hogy a BitLocker elvégezhesse a TPM modul által biztosított rendszerintegritási vizsgálatot, a számítógépnek a TPM 1.2-es verziójával kell rendelkeznie. TPM modullal nem rendelkező számítógép használatakor a BitLocker engedélyezéséhez cserélhető USB-eszközre, például flash meghajtóra mentett indítókulcsra van szükség.

  • Ezenkívül a TPM modullal ellátott számítógépeknek a Trusted Computing Group (TCG) szabványnak megfelelő BIOS rendszerrel is kell rendelkeznie. Az operációs rendszer indítását megelőzően a BIOS megbízhatósági láncot hoz létre, továbbá támogatnia kell a TCG által meghatározott Static Root of Trust Measurement előírásait. A TPM nélküli számítógépeken nincs szükség TCG szabványú BIOS rendszerre.

  • A (TPM modullal ellátott, illetve nem ellátott) számítógépek BIOS rendszerének támogatnia kell az USB-háttértároló eszközosztáyt, beleértve az USB flash meghajtón tárolt kisméretű fájlok olvasását az operációs rendszer indítását megelőző környezetben. Az USB-eszközökkel kapcsolatos további információkért olvassa el az USB Mass Storage Bulk-Only és a Mass Storage UFI Command specifikációkat az USB webhelyen (https://go.microsoft.com/fwlink/?LinkId=83120). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

  • A merevlemezt legalább két meghajtóra kell particionálni:

    • Az operációs rendszer meghajtója (más néven rendszerindító meghajtó) tartalmazza az operációs rendszert és annak támogató fájljait; ezt a meghajtót az NTFS fájlrendszerrel kell formázni.

    • A rendszermeghajtó tartalmazza a Windows betöltéséhez szükséges fájlokat; a betöltés előtt a BIOS előkészíti a hardverplatformot. A BitLocker nincs engedélyezve ezen a meghajtón. A BitLocker csak akkor működik, ha a rendszermeghajtó nincs titkosítva, különbözik az operációs rendszer meghajtójától, és NTFS fájlrendszerrel van formázva. A rendszermeghajtónak legalább 1,5 gigabájt (GB) méretűnek kell lennie.

Telepítés és inicializálás

A BitLocker szolgáltatást az operációs rendszer telepítőprogramja automatikusan telepíti. A szolgáltatást azonban engedélyezni is kell, mégpedig a BitLocker telepítővarázslóval, amelyet a Vezérlőpultról érhet el, vagy úgy, hogy a jobb gombbal a meghajtóra kattint a Windows Intézőben.

A telepítés és az operációs rendszer kezdeti beállítása után a rendszergazda a BitLocker telepítővarázslóval bármikor inicializálhatja a BitLocker szolgáltatást. A inicializálási folyamat két lépésből áll:

  1. A TPM modullal ellátott számítógépeken inicializálja a TPM modult a TPM-inicializálás varázsló, a BitLocker meghajtótitkosítás Vezérlőpultelem vagy egy erre a célra létrehozott parancsfájl futtatásával.

  2. Állítsa be a BitLocker szolgáltatást. A Vezérlőpultról elérhető BitLocker telepítővarázsló végigvezeti a telepítési folyamaton, és speciális hitelesítési lehetőségeket is kínál.

Amikor egy helyi rendszergazda inicializálja a BitLocker szolgáltatást, a rendszergazdának létre kell hoznia egy helyreállítási jelszót vagy egy helyreállítási kulcsot is. Helyreállítási kulcs és helyreállítási jelszó nélkül előfordulhat, hogy a BitLocker-védelemmel ellátott meghajtó meghibásodása esetén hozzáférhetetlenné és helyreállíthatatlanná válhatnak a titkosított meghajtón tárolt adatok.

Megjegyzés

A BitLocker és a TPM inicializálását a számítógépen lévő helyi Rendszergazdák csoport valamelyik tagjának kell a végrehajtania.

A BitLocker konfigurálásával és telepítésével kapcsolatos részletes információkért tekintse meg a következő webhelyet: A Windows BitLocker meghajtótitkosítás útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkID=140225.

Vállalati megvalósítási formák

A BitLocker a vállalatok meglévő AD DS-infrastruktúráját felhasználva képes a helyreállítási kulcsok távoli tárolására is. A BitLocker egy varázslót kínál a beállítási és kezelési feladatokhoz, továbbá bővíthetőséget és kezelhetőséget biztosít egy parancsfájlokat is támogató Windows Management Instrumentation (WMI) felületen keresztül. A BitLocker korai rendszerindítási folyamatba integrált helyreállítási konzolja lehetővé teszi a felhasználók vagy a segélyszolgálati munkatársak számára a zárolt számítógép újbóli elérését.

További információk a BitLocker szolgáltatáshoz írt parancsfájlokról: Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Számítógépek használatból való kivonása és újrahasznosítása

Sok mai személyi számítógépet eredeti tulajdonosuktól eltérő felhasználók használnak. Vállalati környezetben előfordulhat, hogy a számítógépeket más osztályokon kell újra üzembe helyezni, vagy a szokásos számítógépes hardverfrissítési ciklus keretében le kell cserélni.

Titkosítatlan meghajtók esetén az adatok a meghajtó formázása után is olvashatók maradhatnak. A vállalatok gyakran folyamodnak a többszörös felülírás vagy a fizikai megsemmisítés eszközéhez, hogy csökkentsék a használatból kivont meghajtókon tárolt adatok kitudódásának kockázatát.

A BitLocker egyszerű és költséghatékony leszerelési megoldást kínál. Az adatok BitLocker általi titkosításának meghagyásával és a kulcsok eltávolításával a vállalatok végérvényesen megszüntethetik az adatok kitudódásának kockázatát. A BitLocker kulcsainak eltávolításával gyakorlatilag lehetetlenné válik a BitLocker által titkosított adatokhoz való hozzáférés, mert ehhez 128 vagy 256 bites AES titkosítást kellene feltörni.

BitLocker - biztonsági szempontok

A BitLocker nem tudja megvédeni a számítógépet az összes lehetséges támadástól. Ha rosszindulatú felhasználók vagy programok, például vírusok vagy betörést álcázó programcsomagok (rootkitek), hozzáférnek a számítógéphez annak elvesztése vagy ellopása előtt, olyan gyenge pontokat építhetnek a rendszerbe, melyek révén később titkosított adatokat is elérhetnek. A BitLocker-védelem akkor is gyengül, ha az USB-indítókulcsot a számítógépben felejtik, illetve ha a PIN-kódot vagy a Windows bejelentkezési jelszót nem tartják titokban.

A csak TPM útján megvalósuló hitelesítést a legegyszerűbb telepíteni, kezelni és használni. Olyan számítógépek esetén is ideális megoldás, amelyek felügyelet nélkül működnek, vagy felügyelet nélküli használat során igényelnek újraindítást. A csak TPM útján megvalósuló hitelesítés ugyanakkor alacsonyabb fokú adatvédelmet kínál, mint a többi módszer. Ha a szervezet bizonyos egységeiben kiemelten kényes adatokat tárolnak hordozható számítógépeken, érdemes megfontolni a BitLocker többszörös hitelesítéssel védett változatának telepítését ezekre a rendszerekre.

További információk a BitLocker szolgáltatással kapcsolatos biztonsági szempontokról: Data Encryption Toolkit for Mobile PCs (Adattitkosítási eszközkészlet hordozható számítógépekhez) (https://go.microsoft.com/fwlink/?LinkId=85982). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

A BitLocker alkalmazása kiszolgálókon

A megosztott vagy biztonsági kockázatokat hordozó, például telephelyi környezetben működő kiszolgálók esetében a BitLocker használatával az azonos kiszolgálón lévő operációsrendszer-meghajtót és a kiegészítő adatmeghajtók is titkosíthatók.

Alapértelmezés szerint a Windows Server 2008 R2 telepítőprogramja nem telepíti a BitLocker szolgáltatást. A BitLocker szolgáltatást a Windows Server 2008 R2 rendszer Kiszolgálókezelő lapjáról adhatja hozzá. A BitLocker kiszolgálóra való telepítése után újra kell indítani a számítógépet. A WMI használata esetén a BitLocker távolról is engedélyezhető.

A BitLocker a 64 bites processzorarchitektúrájú EFI-kiszolgálókon támogatott.

Megjegyzés

A BitLocker nem támogatja a fürtkonfigurációkat.

Kulcskezelés

A meghajtó BitLocker használatával történő titkosítása és védelem alá helyezése után a helyi és tartományi rendszergazdák a Vezérlőpult BitLocker meghajtótitkosítás eszközének BitLocker-alapú titkosítás kezelése lapján módosíthatják a meghajtó zárolását feloldó jelszót, eltávolíthatják a jelszót a meghajtóról, intelligens kártyát adhatnak hozzá a meghajtó zárolásának feloldásához, újra menthetik vagy kinyomtathatják a helyreállítási kulcsot, automatikusan feloldhatják a meghajtó zárolását, kulcsot duplikálhatnak és alaphelyzetbe állíthatják a PIN-kódot.

Megjegyzés

A számítógépen használható kulcsok típusa a csoportházirend segítségével szabályozható. A csoportházirend és a BitLocker együttes használatával kapcsolatos további információkért tekintse meg a következő webhelyet: A BitLocker telepítési útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkId=140286.

A BitLocker-védelem átmeneti letiltása

Előfordulhat, hogy a rendszergazda bizonyos helyzetekben átmenetileg le szeretné tiltani a BitLocker szolgáltatást, például:

  • A számítógép karbantartási célú újraindításakor, ha mindezt felhasználói beavatkozás nélkül szeretné végrehajtani (például PIN-kód vagy indítókulcs nélkül).

  • A BIOS frissítésekor

  • Választható írásvédett memóriával (OPROM) rendelkező hardverösszetevő telepítésekor

  • A kritikus korai rendszerindítási összetevők frissítése esetén a BitLocker-helyreállítás elindítása nélkül. Például:

    • Az operációs rendszer egy másik verziójának telepítése vagy új operációs rendszer telepítése esetén, ami a fő rendszerindítási rekord (MBR) módosításával járhat.

    • A lemez újraparticionálása, ami a partíciós tábla megváltozását vonhatja maga után.

    • Egyéb olyan rendszerfeladatok, amelyek módosítják a TPM által jóváhagyott rendszerindítási összetevőket.

  • Az alaplap frissítése a TPM cseréje vagy eltávolítása érdekében a BitLocker-helyreállítás elindítása nélkül.

  • A TPM kikapcsolása (letiltása) vagy adatainak törlése a BitLocker-helyreállítás elindítása nélkül.

  • BitLocker-védelem alatt álló meghajtó más számítógépre való áthelyezése a BitLocker-helyreállítás elindítása nélkül.

Mindezen forgatókönyvek összefoglaló elnevezése: számítógép-frissítési forgatókönyv. A BitLocker a Vezérlőpult BitLocker meghajtótitkosítás eszközével engedélyezhető vagy tiltható le.

A BitLocker-védelemmel ellátott számítógépek frissítéséhez az alábbi lépések szükségesek:

  1. Átmenetileg kapcsolja ki a BitLocker szolgáltatást úgy, hogy letiltja azt.

  2. Frissítse az operációs rendszert vagy a BIOS rendszert.

  3. Kapcsolja ismét be a BitLocker szolgáltatást.

A BitLocker kényszerített letiltása titkosított állapotban tartja a meghajtót, a meghajtó főkulcsát azonban egy merevlemezen titkosítatlan formában tárolt szimmetrikus kulccsal titkosítja. E titkosítatlan kulcs elérhetősége letiltja a BitLocker nyújtotta adatvédelmet, ugyanakkor biztosítja, hogy a további rendszerindítások alkalmával ne legyen szükség felhasználói beavatkozásra. A BitLocker újbóli engedélyezésekor a rendszer eltávolítja a merevlemezről a titkosítatlan kulcsot, és ismét bekapcsolja a BitLocker-védelmet. Ezenkívül a rendszer újra létrehozza és titkosítja a meghajtó főkulcsát.

A titkosított meghajtó (azaz a fizikai lemez) szintén BitLocker-védelemmel ellátott másik számítógépre való áthelyezésekor további lépésekre nincs szükség, mert a meghajtó főkulcsát védő kulcsot titkosítatlan formában tárolja a lemez.

Figyelem!

A meghajtó főkulcsának akár rövid ideig tartó láthatóvá tétele is biztonsági kockázatot jelent, mert a titkosítatlan kulcs révén a meghajtó főkulcsa és a teljes meghajtót titkosító kulcs is láthatóvá válhat, és így előfordulhat, hogy egy támadó hozzáfér ezekhez.

A BitLocker letiltásával kapcsolatos további részletes információkért tekintse meg a következő webhelyet: A Windows BitLocker meghajtótitkosítás útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkID=140225.

Rendszer-helyreállítás

A helyreállítási folyamatot számos forgatókönyv kiválthatja, például:

  • A BitLocker szolgáltatással védett meghajtó áthelyezése egy új számítógépbe.

  • Új alaplap telepítése új TPM modullal.

  • A TPM kikapcsolása, letiltása vagy a rajta tárolt adatok törlése.

  • A BIOS frissítése

  • OPROM frissítése

  • A kritikus korai rendszerindítási összetevők frissítése, ami a rendszer sértetlenségét ellenőrző vizsgálat meghiúsulását okozza.

  • A PIN-kód elfelejtése a PIN-hitelesítés engedélyezése esetén.

  • Az indítókulcs tárolására használt USB flash meghajtó elvesztése az indítókulcs-hitelesítés engedélyezése esetén.

A rendszergazdák hozzáférés-szabályozási mechanizmusként is kiválthatják a helyreállítási folyamatot (például számítógépek újratelepítése esetén). A rendszergazdák zárolhatják a titkosított meghajtókat, és megkövetelhetik, hogy a felhasználók csak a BitLocker helyreállítási információk birtokában tudják feloldani a zárolást.

Helyreállítási beállítások

Csoportházirendek alkalmazásával az informatikai rendszergazdák meghatározhatják a kötelező, letiltott vagy választható helyreállítási módszereket a BitLocker szolgáltatást engedélyező felhasználók számára. A helyreállítási jelszó az Active Directory tartományi szolgáltatásokban tárolható, és a rendszergazda a számítógép minden felhasználója számára kötelezővé, tiltottá vagy választhatóvá teheti annak használatát. A helyreállítási adatok ezen kívül USB flash meghajtón is tárolhatók.

Helyreállítási jelszó

A helyreállítási jelszó egy 48 jegyű, véletlenszerűen generált szám, amely a BitLocker telepítésekor hozható létre. Amikor a számítógép helyreállító üzemmódba lép, a felhasználót a jelszó funkciógombokkal (F0-F9) való megadására kéri. A helyreállítási jelszó a BitLocker engedélyezése után kezelhető és másolható. A Vezérlőpult BitLocker meghajtótitkosítás eszközének BitLocker-alapú titkosítás kezelése lapján a helyreállítási jelszó kinyomtatható, vagy későbbi felhasználásra fájlba menthető.

A tartományi rendszergazdák a csoportházirendben megadhatják, hogy a BitLocker engedélyezésekor a szolgáltatás automatikusan hozza létre a helyreállítási jelszavakat, majd készítsen róluk biztonsági másolatot az AD DS szolgáltatásban. A tartományi rendszergazda azt is beállíthatja, hogy a BitLocker csak akkor titkosítson egy meghajtót, ha a számítógép hálózathoz csatlakozik, és a helyreállítási jelszó AD DS biztonsági mentése sikeres.

Helyreállítási kulcs

A helyreállítási kulcs a BitLocker beállítása során hozható létre és menthető USB flash meghajtóra, és a BitLocker engedélyezése után is kezelhető és másolható. Ha a számítógép helyreállító üzemmódba lép, a rendszer a felhasználót a helyreállítási kulcs behelyezésére kéri.


Tartalom