Omówienie narzędzia BitLocker

Narzędzie BitLocker zaimplementowano wraz z systemem Windows Vista, zaś w Windows 7 pojawiła się druga odsłona tego narzędzia. Zadaniem BitLocker’a jest szyfrowanie dysków, partycji i nośników wymiennych. To ukryte w cieniu narzędzie posiada sporo możliwości, więc warto mu się bliżej przyjrzeć.

Funkcja BitLocker znajduje się tylko w edycjach Enterprise oraz Ultimate.

Aby uruchomić narzędzie BitLocker klikamy na Start, Panel sterowania, zmieniamy typ widoku na ikony i klikamy na Szyfrowanie dysków funkcją BitLocker.

Po kliknięciu pojawi nam się okno zarządzania tym narzędziem:

Kliknij na włącz funkcję BitLocker przy dowolnej partycji.

U niektórych z Was rozpocznie się inicjowanie funkcji, zaś u niektórych wywali taki komunikat:

Coś jest nie tak z modułem TPM.

Tajemniczy moduł TPM.

Cóż to takiego ten moduł TPM. Moduł TPM (Trusted Platform Module) to specjalny mikroukład znajdujący na się na płycie głównej, który zdolny jest do tworzenia kluczy szyfrowania, które mogą być odszyfrowane tylko za pomocą tego samego modułu. A bardziej po ludzku?

Szyfrujemy dysk za pomocą BitLockera, który wykorzystuje dodatkowo moduł TPM. Podczas korzystania z systemu, zamykanie, uruchamianie nie czujemy żadnych różnic. W pewnym momencie dochodzi do kradzieży dysku twardego. Zadowolony złodziej podłącza HDD pod swoją maszynę, uruchamia a tu… lipa.
Dysk nie zostanie odszyfrowany ponieważ:

      – nie znaleziono lub został wykryty inny moduł TPM. Zaszyfrowany dysk modułem TPM o nazwie A może być tylko nim odszyfrowany
    – nie zgadza się konfiguracja BIOS

W takiej sytuacji partycja zostanie zablokowana aż do momentu wprowadzenia klucza odzyskiwania.

A ja nie mam TPM ;-(

Jeżeli ktoś nie ma modułu TPM, to nie szkodzi. Można to wyłączyć. Konsekwencja tego działania będzie taka, że zawsze trzeba będzie mieć specjalny plik pod ręką, aby uruchomić system. O tym później.

Jeżeli komuś pojawił się taki komunikat, to naciska kombinację klawiszy Logo Windows + r i w okienku uruchom wpisuje:

gpedit.msc

W nowym oknie po lewej stronie rozwijamy następujące gałęzie:

Konfiguracja komputera

Szablony administracyjne

Składniki systemu Windows

Szyfrowanie dysków funkcją BitLocker

Dyski z systemem operacyjnym

i po prawej stronie odszukujemy Wymagaj dodatkowego uwierzytelniania przy uruchamianiu.

Zaznaczamy opcję Włączone oraz Zezwalaj na używanie funkcji BitLocker bez zgodnego modułu TPM:

Resztę opcji pozostawiamy bez zmian. Klikamy na ok i pozostałe okna zamykamy.

Ponownie wchodzimy w ustawienia BitLocker’a i i już komunikat o błędzie powinien nam zniknąć:

Szyfrowanie pendrive

Pendrive to małe urządzenie, które niekiedy lubi się gdzieś zapodziać. Przykładowo u mnie w szkole w ciągu mojej 2,5 letniej kadencji znalazłem około 7 sztuk, bo ktoś zostawił. Na szczęście właściciel szybko się odnajdywał. Załóżmy, że ktoś zapisał sobie przykładowo hasło w pliku tekstowym do swojego konta na allegro. Ja, znajdując taki pendrive mógłbym śmiało podłączyć go do komputera i sprawdzić co na nim jest. Znajdując hasło na allegro pierwsze co bym zrobił to się zalogował, wpisał frazę „iPhone”, oczywiście nówki, jakie tam używki i około 10 sztuk :D. Oczywiście to jest tylko przykład, żeby znowu wojny nie było :P
Gdybym znalazł teki pendrive, ale byłby on zaszyfrowany, to mógłbym się w d…. (przepraszam, w cztery litery) pocałować. Oczywiście zawsze można próbować złamać hasło, cudować.

Dlatego zawsze pendrive, który nosimy ze sobą do szkoły, pracy powinien być zaszyfrowany. Funkcja BitLocker nam to umożliwia. Ale oczywiście jest jeden myk. Taki zaszyfrowany pendrive otworzymy tylko pod systemem Windows 7, Windows Server 2008, 2008 R2 (pod Vistą nie jestem pewien, nie testowałem, jak coś to poprawiać). Jeżeli w szkole, w pracy występuje środowisko mieszane, czyli część komputerów pracuje np. pod Windows 7, część pod Windows XP, to na tym drugim systemie pedrive nie uruchomimy. Należy o tym pamiętać.

Tyle teorii, teraz praktyka. Wkładamy nasz pendrive do portu USB. Gdy pojawi się on w oknie Mój Komputer, wchodzimy w Start, Panel Sterowania, BitLocker. W oknie powinien pojawić się nasz nowy sprzęt:

Klikamy na włącz funkcję BitLocker.

Rozpocznie się inicjowanie funkcji:

W kolejnym oknie wybieramy metodę zabezpieczenia:

My użyjemy hasła. Zaznaczamy więc opcję przy opcji Użyj hasła w celu odblokowania dysku.

W dwa pola wpisujemy nasze hasło.

UWAGA !!!

Hasło powinno być jednocześnie łatwe do zapamiętania i trudne do odgadnięcia. Pod groźbą kary śmierci zabrania się używania haseł qwerty, zxasqw12 i tym podobnych. Szyfrowanie dysku przy pomocy słabego hasła mija się całkowicie z celem.

Po wpisaniu dwukrotnie hasła klikamy na dalej.

Teraz kreator zapyta nas, gdzie zapisać klucz odzyskiwania:

Teraz co to jest ten klucz odzyskiwania.

Jeżeli nie daj Boże zapomnielibyśmy hasła, to mamy prawie pozamiatane. Jednak klucz odzyskiwania daje nam ostatnią deskę ratunku. Gdy zapomnimy hasła, to nie próbujemy strzelać, lecz w zamian wpisujemy klucz odzyskiwania, który to odblokuje naszego pendrive. Dlatego ważne jest, aby zapisać go w bezpiecznym, trudno dostępnym miejscu, a najlepiej go wydrukować, zapakować po plastikowego pudełka i zakopać 1 metr po ziemię. Klucz odzyskiwania MUSI być zachowany.

W moim przypadku na testowej maszynie zapiszę ten klucz do pliku, jednak gdybym robił to faktycznie, to bym go wydrukował. Gdy będziemy zapisywać plik z kluczem, nie jest zalecane zmienianie jego nazwy. Mamy go tylko zapisać, innych opcji nie dotykamy.

Klikamy na Dalej.

Kreator poinformuje nas, że jest gotowy do rozpoczęcia szyfrowania.

Klikamy na Rozpocznij szyfrowanie. W tym momencie nawet nie patrzymy na pendrive aż do momentu zakończenia procesu.

Co do czasu szyfrowania to ciężko określić, bo zależy od wielu czynników.

Gdy szyfrowanie zostanie zakończone, to ikona pendrive zmieni się tak w oknie konfiguracyjnym BitLockera:

Jak i z moim komputerze:

Możemy teraz bezpiecznie wyjąć pendrive.

Teraz gdy włożymy go do komputera, to pokaże nam się okno:

Gdy wpiszemy nadane przy szyfrowaniu hasło, to uzyskamy do niego dostęp.

Zapomniałem hasła

Jesteśmy tylko ludźmi i może nam się to zdarzyć. W tej właśnie sytuacji z pomocą przychodzi nam klucz odzyskiwania. Gdy pojawi się okno:

Klikamy na Nie pamiętam hasła.

Teraz klikamy na Wpisz klucz odzyskiwania:

Odszukujemy nasz plik lub kartkę papieru właśnie z tym kluczem i przepisujemy go do okna:

Klikamy na Dalej. Jeżeli klucz się zgadza, to uzyskamy dostęp do naszego pendrive:

Gdy klikniemy na Zarządzaj funkcją BitLocker, to pojawią nam się dodatkowe opcje do wyboru:

Deszyfracja

Jeżeli będziemy chcieli kiedyś odszyfrować dysk, to wchodzimy naturalnie do Panelu sterowania, BitLocerk i klikamy na Wyłącz funkcję BitLocker:

Aby ta opcja była dostępna, musimy wcześniej odblokować nasz pendrive.

Pojawi się okienko, w którym klikamy Odszyfruj dysk:

Rozpocznie się operacja odszyfrowania:

Szyfrujemy partycję systemową

BitLocker umożliwia jeszcze szyfrowanie partycji systemowej. Możemy sprawić tak, że system operacyjny uruchomi się tylko wtedy, gdy będzie znajdował się nośnik, np. karta pamięci lub pendrive z odpowiednim kluczem.

Wchodzimy do narządzania BitLocker i klikamy na Włącz funkcję BitLocker, która znajduje się obok dysku systemowego.

W nowym oknie mamy trzy opcje do wyboru:

U mnie dwie pierwsze są nieaktywne z racji braku modułu TPM, więc wybieramy opcję trzecią. Po tym zabiegu system zostanie uruchomiony tylko wtedy, gdy odpowiedni nośnik wymienny będzie podłączony. Klikamy.

Z listy:

wybieramy dysk wymienny, na którym będzie znajdował się plik odpowiedzialny za uruchomienie systemu. Pojemność tutaj nie odgrywa roli, ponieważ sam plik zajmuje 16 KB. Ważniejsza jest niezawodność. Nie polecam stosowania kart ani pendrivów jakiś mało znanych firm. Lepiej jest kupić droższy, sprawdzonej firmy niż potem płakać, że system się nie uruchamia.

Wybieramy odpowiedni dysk i klikamy na Zapisz.

Teraz wybieramy pierwszą opcję:

W nowym oknie wybieramy dysk wymienny i klikamy na zapisz:

Jeżeli pojawi się informacja, że plik został zapisany pomyślnie, to klikamy na Dalej.

Osobiście polecam dla bezpieczeństwa zaznaczyć opcję:

Klikamy na Kontynuuj. Pojawi się jeszcze komunikat, że należy ponownie uruchomić komputer. Oczywiście zgadzamy się na ten warunek.

Nośnik pozostawiamy na swoim miejscu. Po ponownym uruchomieniu komputera rozpocznie się szyfrowanie partycji. Nie jest wtedy zalecane instalowanie ani usuwanie jakichkolwiek aplikacji. Należy pamiętać, że BitLocker podczas szyfrowania zużywa również wolne miejsca na dysku, także nie przeraźmy się jak ujrzymy, że mamy tylko 6 GB wolnego miejsca. Oczywiście po zakończeniu szyfrowania wolne miejsce powróci do swoich dawnych wartości.

Uruchamianie systemu z klucza

Po zakończeniu szyfrowania wyłączmy na chwilę komputer, wyjmijmy pendrive i włączmy go. Zamiast standardowej procedury uruchamiania systemu zobaczymy taki obrazek

System bez tego klucza nie uruchomi się. Włóżmy pendrive, naciśnij klawisz ESC i zobaczmy co się stanie. Na ułamek sekundy pojawi się komunikat, że klucz został poprawnie załadowany i system zacznie się uruchamiać. Teraz możemy już spokojnie wyjąć go z portu.

Nośnik został uszkodzony

A co się stanie, jeżeli nośnik zostanie uszkodzony? Jeżeli nie wykonaliśmy kopii zapasowej pliku uruchomieniowego, to pozamiatane. Jeżeli zaś posiadamy go, to naciskamy klawisz ENTER i wpisujemy odpowiedni kod:

Jeżeli klucz wpiszemy poprawnie, to system się uruchomi bez problemów.

UWAGA !!!

Taka jeszcze jedna mała uwaga. Ten pendrive/karta pamięci, która będzie służyć do uruchamia systemu niech nie będzie wykorzystywana również do innych celów.