BitLocker meghajtótitkosítás - áttekintés

A BitLocker a TPM segítségével ellenőrzi a korai rendszerindítási összetevők sértetlenségét és a rendszerindítási konfigurációs adatokat. Így a BitLocker csak abban az esetben teszi hozzáférhetővé a titkosított meghajtót, ha ezeket a összetevőket nem manipulálták, és a titkosított meghajtó az eredeti számítógépben található.

A BitLocker a következőképpen biztosítja az indítási folyamat sértetlenségét:

• Lehetővé teszi a rendszerindítási fájlok sértetlenségének ellenőrzését, és biztosítja, hogy ezeket a fájlokat ne módosíthassák ártó szándékkal, például a rendszerindító szektorba beépülő vírusokkal vagy betörést álcázó programcsomagokkal (rootkitekkel).
  
  
• Hatékonyabbá teszi az offline szoftveralapú támadások elleni védelmet. A rendszerindításra alkalmas egyéb szoftverek sem férnek hozzá a Windows operációs rendszer meghajtójának visszafejtő kulcsaihoz.
  
  
• Manipuláció észlelése esetén zárolja a rendszert. Ha bármelyik megfigyelés alatt tartott fájlt módosítják, a rendszer nem indul el. Ezzel felhívja a felhasználó figyelmét az illetéktelen módosításra, hiszen a rendszer a szokott módon nem indítható. A rendszer zárolása esetén a BitLocker egyszerű helyreállítási folyamatot kínál.
  
  

A BitLocker használatához a számítógépnek meg kell felelnie bizonyos követelményeknek:

• Ahhoz, hogy a BitLocker elvégezhesse a TPM modul által biztosított rendszerintegritási vizsgálatot, a számítógépnek a TPM 1.2-es verziójával kell rendelkeznie. TPM modullal nem rendelkező számítógép használatakor a BitLocker engedélyezéséhez cserélhető USB-eszközre, például flash meghajtóra mentett indítókulcsra van szükség.
  
  
• Ezenkívül a TPM modullal ellátott számítógépeknek a Trusted Computing Group (TCG) szabványnak megfelelő BIOS rendszerrel is kell rendelkeznie. Az operációs rendszer indítását megelőzően a BIOS megbízhatósági láncot hoz létre, továbbá támogatnia kell a TCG által meghatározott Static Root of Trust Measurement előírásait. A TPM nélküli számítógépeken nincs szükség TCG szabványú BIOS rendszerre.
  
  
• A (TPM modullal ellátott, illetve nem ellátott) számítógépek BIOS rendszerének támogatnia kell az USB-háttértároló eszközosztáyt, beleértve az USB flash meghajtón tárolt kisméretű fájlok olvasását az operációs rendszer indítását megelőző környezetben. Az USB-eszközökkel kapcsolatos további információkért olvassa el az USB Mass Storage Bulk-Only és a Mass Storage UFI Command specifikációkat az USB webhelyen (https://go.microsoft.com/fwlink/?LinkId=83120). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)
  
  
• A merevlemezt legalább két meghajtóra kell particionálni:
  
  
  • Az operációs rendszer meghajtója (más néven rendszerindító meghajtó) tartalmazza az operációs rendszert és annak támogató fájljait; ezt a meghajtót az NTFS fájlrendszerrel kell formázni.
    
    
  • A rendszermeghajtó tartalmazza a Windows betöltéséhez szükséges fájlokat; a betöltés előtt a BIOS előkészíti a hardverplatformot. A BitLocker nincs engedélyezve ezen a meghajtón. A BitLocker csak akkor működik, ha a rendszermeghajtó nincs titkosítva, különbözik az operációs rendszer meghajtójától, és NTFS fájlrendszerrel van formázva. A rendszermeghajtónak legalább 1,5 gigabájt (GB) méretűnek kell lennie.
    
    

A BitLocker szolgáltatást az operációs rendszer telepítőprogramja automatikusan telepíti. A szolgáltatást azonban engedélyezni is kell, mégpedig a BitLocker telepítővarázslóval, amelyet a Vezérlőpultról érhet el, vagy úgy, hogy a jobb gombbal a meghajtóra kattint a Windows Intézőben.

A telepítés és az operációs rendszer kezdeti beállítása után a rendszergazda a BitLocker telepítővarázslóval bármikor inicializálhatja a BitLocker szolgáltatást. A inicializálási folyamat két lépésből áll:

1. A TPM modullal ellátott számítógépeken inicializálja a TPM modult a TPM-inicializálás varázsló, a BitLocker meghajtótitkosítás Vezérlőpultelem vagy egy erre a célra létrehozott parancsfájl futtatásával.
   
   
2. Állítsa be a BitLocker szolgáltatást. A Vezérlőpultról elérhető BitLocker telepítővarázsló végigvezeti a telepítési folyamaton, és speciális hitelesítési lehetőségeket is kínál.
   
   

Amikor egy helyi rendszergazda inicializálja a BitLocker szolgáltatást, a rendszergazdának létre kell hoznia egy helyreállítási jelszót vagy egy helyreállítási kulcsot is. Helyreállítási kulcs és helyreállítási jelszó nélkül előfordulhat, hogy a BitLocker-védelemmel ellátott meghajtó meghibásodása esetén hozzáférhetetlenné és helyreállíthatatlanná válhatnak a titkosított meghajtón tárolt adatok.

	Megjegyzés
	A BitLocker és a TPM inicializálását a számítógépen lévő helyi Rendszergazdák csoport valamelyik tagjának kell a végrehajtania.

A BitLocker konfigurálásával és telepítésével kapcsolatos részletes információkért tekintse meg a következő webhelyet: A Windows BitLocker meghajtótitkosítás útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkID=140225.

A BitLocker a vállalatok meglévő AD DS-infrastruktúráját felhasználva képes a helyreállítási kulcsok távoli tárolására is. A BitLocker egy varázslót kínál a beállítási és kezelési feladatokhoz, továbbá bővíthetőséget és kezelhetőséget biztosít egy parancsfájlokat is támogató Windows Management Instrumentation (WMI) felületen keresztül. A BitLocker korai rendszerindítási folyamatba integrált helyreállítási konzolja lehetővé teszi a felhasználók vagy a segélyszolgálati munkatársak számára a zárolt számítógép újbóli elérését.

További információk a BitLocker szolgáltatáshoz írt parancsfájlokról: Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Sok mai személyi számítógépet eredeti tulajdonosuktól eltérő felhasználók használnak. Vállalati környezetben előfordulhat, hogy a számítógépeket más osztályokon kell újra üzembe helyezni, vagy a szokásos számítógépes hardverfrissítési ciklus keretében le kell cserélni.

Titkosítatlan meghajtók esetén az adatok a meghajtó formázása után is olvashatók maradhatnak. A vállalatok gyakran folyamodnak a többszörös felülírás vagy a fizikai megsemmisítés eszközéhez, hogy csökkentsék a használatból kivont meghajtókon tárolt adatok kitudódásának kockázatát.

A BitLocker egyszerű és költséghatékony leszerelési megoldást kínál. Az adatok BitLocker általi titkosításának meghagyásával és a kulcsok eltávolításával a vállalatok végérvényesen megszüntethetik az adatok kitudódásának kockázatát. A BitLocker kulcsainak eltávolításával gyakorlatilag lehetetlenné válik a BitLocker által titkosított adatokhoz való hozzáférés, mert ehhez 128 vagy 256 bites AES titkosítást kellene feltörni.

A BitLocker nem tudja megvédeni a számítógépet az összes lehetséges támadástól. Ha rosszindulatú felhasználók vagy programok, például vírusok vagy betörést álcázó programcsomagok (rootkitek), hozzáférnek a számítógéphez annak elvesztése vagy ellopása előtt, olyan gyenge pontokat építhetnek a rendszerbe, melyek révén később titkosított adatokat is elérhetnek. A BitLocker-védelem akkor is gyengül, ha az USB-indítókulcsot a számítógépben felejtik, illetve ha a PIN-kódot vagy a Windows bejelentkezési jelszót nem tartják titokban.

A csak TPM útján megvalósuló hitelesítést a legegyszerűbb telepíteni, kezelni és használni. Olyan számítógépek esetén is ideális megoldás, amelyek felügyelet nélkül működnek, vagy felügyelet nélküli használat során igényelnek újraindítást. A csak TPM útján megvalósuló hitelesítés ugyanakkor alacsonyabb fokú adatvédelmet kínál, mint a többi módszer. Ha a szervezet bizonyos egységeiben kiemelten kényes adatokat tárolnak hordozható számítógépeken, érdemes megfontolni a BitLocker többszörös hitelesítéssel védett változatának telepítését ezekre a rendszerekre.

További információk a BitLocker szolgáltatással kapcsolatos biztonsági szempontokról: Data Encryption Toolkit for Mobile PCs (Adattitkosítási eszközkészlet hordozható számítógépekhez) (https://go.microsoft.com/fwlink/?LinkId=85982). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

A megosztott vagy biztonsági kockázatokat hordozó, például telephelyi környezetben működő kiszolgálók esetében a BitLocker használatával az azonos kiszolgálón lévő operációsrendszer-meghajtót és a kiegészítő adatmeghajtók is titkosíthatók.

Alapértelmezés szerint a Windows Server 2008 R2 telepítőprogramja nem telepíti a BitLocker szolgáltatást. A BitLocker szolgáltatást a Windows Server 2008 R2 rendszer Kiszolgálókezelő lapjáról adhatja hozzá. A BitLocker kiszolgálóra való telepítése után újra kell indítani a számítógépet. A WMI használata esetén a BitLocker távolról is engedélyezhető.

A BitLocker a 64 bites processzorarchitektúrájú EFI-kiszolgálókon támogatott.

	Megjegyzés
	A BitLocker nem támogatja a fürtkonfigurációkat.

A meghajtó BitLocker használatával történő titkosítása és védelem alá helyezése után a helyi és tartományi rendszergazdák a Vezérlőpult BitLocker meghajtótitkosítás eszközének BitLocker-alapú titkosítás kezelése lapján módosíthatják a meghajtó zárolását feloldó jelszót, eltávolíthatják a jelszót a meghajtóról, intelligens kártyát adhatnak hozzá a meghajtó zárolásának feloldásához, újra menthetik vagy kinyomtathatják a helyreállítási kulcsot, automatikusan feloldhatják a meghajtó zárolását, kulcsot duplikálhatnak és alaphelyzetbe állíthatják a PIN-kódot.

	Megjegyzés
	A számítógépen használható kulcsok típusa a csoportházirend segítségével szabályozható. A csoportházirend és a BitLocker együttes használatával kapcsolatos további információkért tekintse meg a következő webhelyet: A BitLocker telepítési útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkId=140286.

Előfordulhat, hogy a rendszergazda bizonyos helyzetekben átmenetileg le szeretné tiltani a BitLocker szolgáltatást, például:

• A számítógép karbantartási célú újraindításakor, ha mindezt felhasználói beavatkozás nélkül szeretné végrehajtani (például PIN-kód vagy indítókulcs nélkül).
  
  
• A BIOS frissítésekor
  
  
• Választható írásvédett memóriával (OPROM) rendelkező hardverösszetevő telepítésekor
  
  
• A kritikus korai rendszerindítási összetevők frissítése esetén a BitLocker-helyreállítás elindítása nélkül. Például:
  
  
  • Az operációs rendszer egy másik verziójának telepítése vagy új operációs rendszer telepítése esetén, ami a fő rendszerindítási rekord (MBR) módosításával járhat.
    
    
  • A lemez újraparticionálása, ami a partíciós tábla megváltozását vonhatja maga után.
    
    
  • Egyéb olyan rendszerfeladatok, amelyek módosítják a TPM által jóváhagyott rendszerindítási összetevőket.
    
    
• Az alaplap frissítése a TPM cseréje vagy eltávolítása érdekében a BitLocker-helyreállítás elindítása nélkül.
  
  
• A TPM kikapcsolása (letiltása) vagy adatainak törlése a BitLocker-helyreállítás elindítása nélkül.
  
  
• BitLocker-védelem alatt álló meghajtó más számítógépre való áthelyezése a BitLocker-helyreállítás elindítása nélkül.
  
  

Mindezen forgatókönyvek összefoglaló elnevezése: számítógép-frissítési forgatókönyv. A BitLocker a Vezérlőpult BitLocker meghajtótitkosítás eszközével engedélyezhető vagy tiltható le.

A BitLocker-védelemmel ellátott számítógépek frissítéséhez az alábbi lépések szükségesek:

1. Átmenetileg kapcsolja ki a BitLocker szolgáltatást úgy, hogy letiltja azt.
   
   
2. Frissítse az operációs rendszert vagy a BIOS rendszert.
   
   
3. Kapcsolja ismét be a BitLocker szolgáltatást.
   
   

A BitLocker kényszerített letiltása titkosított állapotban tartja a meghajtót, a meghajtó főkulcsát azonban egy merevlemezen titkosítatlan formában tárolt szimmetrikus kulccsal titkosítja. E titkosítatlan kulcs elérhetősége letiltja a BitLocker nyújtotta adatvédelmet, ugyanakkor biztosítja, hogy a további rendszerindítások alkalmával ne legyen szükség felhasználói beavatkozásra. A BitLocker újbóli engedélyezésekor a rendszer eltávolítja a merevlemezről a titkosítatlan kulcsot, és ismét bekapcsolja a BitLocker-védelmet. Ezenkívül a rendszer újra létrehozza és titkosítja a meghajtó főkulcsát.

A titkosított meghajtó (azaz a fizikai lemez) szintén BitLocker-védelemmel ellátott másik számítógépre való áthelyezésekor további lépésekre nincs szükség, mert a meghajtó főkulcsát védő kulcsot titkosítatlan formában tárolja a lemez.

	Figyelem!
	A meghajtó főkulcsának akár rövid ideig tartó láthatóvá tétele is biztonsági kockázatot jelent, mert a titkosítatlan kulcs révén a meghajtó főkulcsa és a teljes meghajtót titkosító kulcs is láthatóvá válhat, és így előfordulhat, hogy egy támadó hozzáfér ezekhez.

A BitLocker letiltásával kapcsolatos további részletes információkért tekintse meg a következő webhelyet: A Windows BitLocker meghajtótitkosítás útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)https://go.microsoft.com/fwlink/?LinkID=140225.

A helyreállítási folyamatot számos forgatókönyv kiválthatja, például:

• A BitLocker szolgáltatással védett meghajtó áthelyezése egy új számítógépbe.
  
  
• Új alaplap telepítése új TPM modullal.
  
  
• A TPM kikapcsolása, letiltása vagy a rajta tárolt adatok törlése.
  
  
• A BIOS frissítése
  
  
• OPROM frissítése
  
  
• A kritikus korai rendszerindítási összetevők frissítése, ami a rendszer sértetlenségét ellenőrző vizsgálat meghiúsulását okozza.
  
  
• A PIN-kód elfelejtése a PIN-hitelesítés engedélyezése esetén.
  
  
• Az indítókulcs tárolására használt USB flash meghajtó elvesztése az indítókulcs-hitelesítés engedélyezése esetén.
  
  

A rendszergazdák hozzáférés-szabályozási mechanizmusként is kiválthatják a helyreállítási folyamatot (például számítógépek újratelepítése esetén). A rendszergazdák zárolhatják a titkosított meghajtókat, és megkövetelhetik, hogy a felhasználók csak a BitLocker helyreállítási információk birtokában tudják feloldani a zárolást.