BitLocker bez tajemnic

Funkcja Windows BitLocker Drive Encryption została stworzona przede wszystkim w odpowiedzi na potrzeby przedsiębiorstw skarżących się na duże ilości kradzieży notebooków zawierających cenne dane. Wartość takich informacji - np. planów przyszłej oferty handlowej - nieraz wielokrotnie przewyższa wartość samego sprzętu komputerowego. Materiały te są też często poufne - np. dane osobowe klientów - i nie mogą przedostać się w niepowołane ręce, a jednak podczas kradzieży laptopa z reguły nie ma na to rady. Mało kto używa bowiem szyfrowania, bo jest skomplikowane i wymaga najczęściej dodatkowych nakładów w postaci wdrożenia oprogramownia firmy trzeciej. Kłopotliwe są też procedury odzyskiwania w razie zgubienia hasła bądź klucza.

BitLocker rozwiązuje przynajmniej część tych problemów. Po pierwsze jest zintegrowany z systemem operacyjnym Windows Vista, więc nie wymaga dodatkowej instalacji. Standardowo wyposażone są w niego dwie edycje - przeznaczona dla firm Windows Vista Enterprise oraz specjalna, najbogatsza wersja Ultimate. Po drugie procesem szyfrowania i dostępu do danych zajmuje się specjalny układ scalony na płycie głównej nazywany Trusted Platform Module w wersji 1.2. Dzięki temu nie ma potrzeby stosowania dodatkowych kluczy czy haseł poza hasłem konta użytkownika w Windows. Oczywiście jest to także opcja - dla zwiększenia bezpieczeństwa. Wreszcie po trzecie hasło odzyskiwania może być bardzo łatwo i automatycznie przechowywane w usłudze katalogowej Active Directory na serwerze firmowym, w związku z tym nie trzeba martwić się zarządzaniem kopiami zapasowymi kluczy.

Jak to działa?

BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego pomocą można także zaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej. Pliki odpowiedzialne za ładowanie systemu operacyjnego muszą pozostać niezaszyfrowane. Najważniejszą zaletą BitLockera jest jednak fakt, że w całości zaszyfrowane zostają takie pliki systemowe jak plik hibernacji, plik stronicowania oraz katalog Windows, Users i Program Files włączając wszystkie katalogi tymczasowe. Co więcej, ważne dane można zaszyfrować podwójnie używając znanej już od wielu lat technologii Encrypted File System (EFS) udostępnianej przez NTFS.

BitLocker opiera swoje działanie o mechanizm weryfikacyjny integralność dysku twardego. Jego działanie przypomina bramę warowni - gdy Windows stwierdzi, że nie zdarzyło się nic skłaniającego do wątpliwości i dane nie zostały naruszone, brama zostaje otwarta i system jest ładowany. Jednak w przypadku, gdy Windows stwierdzi, że dysk był przenoszony do innego komputera, zmieniła się jego struktura, zmieniono BIOS lub pliki startowe - zablokuje dostęp do niego pozostawiając dane zaszyfrowane, a jedyną metodą "otwarcia bramy" będzie wpisanie 26-znakowego hasła odzyskiwania. Ten schemat działania może nieznacznie różnić się dla systemów bez układu Trusted Platform Module 1.2 lub z innymi opcjami zabezpieczeń ustwionymi podczas włączania BitLocker.

Tryby pracy funkcji BitLocker

BitLocker może pracować w trzech trybach - w zależności od wymagań użytkownika co do poziomu bezpieczeństwa oraz technicznych możliwości komputera.

Tryb bez dodatkowych kluczy

W tym domyślnym trybie funkcja BitLocker zaszyfruje dane oraz wygeneruje specjalne hasło odzyskiwania. Hasła tego będzie można użyć w celu przywrócenia dostępu do dysku w momencie, gdy zostanie on zablokowany przez BitLocker.


Tryb z numerem PIN

Tryb ten różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem danych numeru PIN. W przypadku jego zapomnienia lub zablokowaniu dostępu do dysku z innych powodów konieczne będzie podanie hasła odzyskiwania.


Tryb z kluczem USB

Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB, na którym zapisane jest hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym uruchomieniu komputera użytkownik zostanie poproszony o włożenie klucza USB w celu odczytania hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia nośnika USB jedyną możliwością uzyskania dostępu do danych jest podanie hasła odzyskiwania.

Wymagania wstępne

BitLocker wymaga, aby przed jego włączeniem system spełniał kilka warunków. Wiążą się one z fizycznymi parametrami komputera, jak i logiczną konfiguracją dysków i systemu.

Układ TPM w wersji 1.2 na płycie głównej.

Obecność Trusted Platform Module 1.2 na płycie głównej oraz jego włączenie w BIOSie komputera jest wymagane do pracy funkcji BitLocker w trybie bez dodatkowych kluczy i haseł oraz w trybie z hasłem PIN. Jeśli komputer jest pozbawiony TPM lub posiada wersję starszą niż 1.2, jedyną dostępną opcją będzie tryb z kluczem USB. Wariant taki należy jednak włączyć poprzez Zasady grupy, gdyż domyślnie BitLocker odmówi pracy po nieudanej próbie wykrycia TPM.


Przynajmniej dwie partycje, osobna na system i pliki rozruchowe

BitLocker wymaga, aby pliki odpowiedzialne za ładowanie systemu operacyjnego były zlokalizowane na osobnej niż system partycji, tzw. partycji rozruchowej (aktywnej). Inaczej mówiąc pliki te nie mogą zostać zaszyfrowane, dlatego muszą znajdować się na innej partycji. Nie stanowi problemu pozostała zawartość takiej partycji rozruchowej. Obie partycje muszą być sformatowane w systemie plików NTFS.


BIOS musi obsługiwać urządzenia USB

W przypadku korzystania z trybu uwzględniającego klucze USB należy upewnić się, że BIOS komputera obsługuje dostęp do nośników USB w fazie bootowania systemu.

Zarządzanie modułem Trusted Platform Module

Przed rozpoczęciem pracy z modułem TPM musi on przejść procedurę inicjacji i przyjęcia własności. Podczas tej procedury moduł generuje tzw. hasło właściciela, które jest jedynym kluczem uprawniającym do późniejszego wyłączania TPM lub jego wyczyszczenia (zresetowania). W domyślnej konfiguracji kreator funkcji BitLocker inicjuje TPM automatycznie, nadaje losowe hasło i przechowuje je w pliku razem z hasłem odzyskiania BitLocker w miejscu, które kreatorowi wskaże użytkownik. Istnieje jednak możliwość nadania własnego hasła i zapamiętania go.

Moduł TPM w systemie Windows Vista ma swoją specjalną przystawkę do konsoli MMC - Zarządzanie modułem TPM. W przystawce tej można między innymi zainicjować moduł, włączyć go lub wyłączyć, zmienić hasło właściciela oraz wyczyścić (zresetować). Można również zarządzać zaawansowanymi poleceniami TPM. Aby uruchomić tę konsolę, należy w menu Start wpisać słowo Uruchom, a następnie otworzyć tpm.msc.

Jeśli TPM był wcześniej nieużywany, ale jest załączony w BIOSie, będzie on prezentował status Włączony i bez własności. Aby rozpocząć procedurę inicjacji modułu, należy wybrać z panelu akcji link Inicjuj moduł TPM. Kreator zapyta, czy utworzyć hasło automatycznie czy ręcznie.

Po wybraniu opcji wprowadzenia hasła ręcznie należy podać przynajmniej ośmioznakowe hasło i potwierdzić je. Jako opcja można zapisać hasło na nośniku wymiennym lub wydrukować. Po zakończeniu procesu inicjacji można korzystać z wszystkich aplikacji wykorzystujących TPM, także z szyfrowania funkcją BitLocker.

Włączanie funkcji BitLocker

Aby włączyć funkcję BitLocker, należy udać się do Panelu sterowania i wybrać kategorię Zabezpieczenia, a następnie opcję Szyfrowanie dysków funkcją BitLocker. Jeśli komputer nie posiada TPM v1.2 i wyświetlany jest komunikat o jego braku, a BitLocker ma być wykorzystywany w trybie z kluczem USB (jedynym możliwym) należy włączyć tę funkcję w Zasadach grupy.

W menu Start należy wpisać słowo Uruchom lub jego pierwsze litery, a następnie uruchomić polecenie gpedit.msc. W drzewie folderów należy przejść do gałęzi Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Szyfrowanie dysków funkcją BitLocker. Z listy opcji należy wybrać Konfiguracja w Panelu sterowania: Włącz zaawansowane opcje uruchamiania. Następnie można zamknąć wszystkie okna i otworzyć wiersz poleceń. Po wykonaniu polecenia

gpupdate /force

należy powrócić do okna funkcji BitLocker (ew. zamknąć je i otworzyć ponownie).

Jeśli w komputerze jest zainstalowany TPM v1.2, a system Windows nie wykrywa go, oznacza to brak odpowiedniej konfiguracji w BIOSie komputera. Należy upewnić się, że układ TPM jest włączony w BIOSie i powrócić do tego okna.

W oknie funkcji BitLocker może pojawić się informacja o nieprawidłowym układzie partycji. Do takiej sytuacji najczęściej dochodzi po wykonaniu standardowej instalacji systemu Windows na czystym dysku twardym - system oraz pliki rozruchowe są wtedy instalowane na tej samej partycji, co nie jest dopuszczalne dla funkcji BitLocker. W części Najczęściej zadawane pytania pod koniec artykułu znajduje się opis obejścia tego problemu i przeniesienia plików rozruchowych na inną partycję.

Jeśli nie ma przeciwskazań, przy literze dysku systemowego będzie dostępna opcja służąca do rozpoczęcia kreatora BitLocker. Zależnie od tego, czy komputer posiada moduł TPM oraz czy zostały włączone zaawansowane opcje uruchamiania w Zasadach grupy nastąpi inicjacja modułu TPM, użytkownik zostanie zaś poproszony o wybranie trybu pracy lub od razu kreator przejdzie do fazy zapisu hasła odzyskiwania.

Wariant I - TPM v1.2 obecny

Po inicjacji modułu TPM v1.2 system zapisze w nim informacje szyfrowania i zapyta użytkownika, jak ma zostać mu przekazane hasło odzyskiwania. Wśród dostępnych opcji jest wydrukowanie, zapis do pliku lub na nośnik wymienny. Hasło to jest jedyną możliwością uzyskania dostępu do zaszyfrowanych danych w przypadku zablokowania dysku przez BitLocker. Należy trzymać je w bezpiecznym miejscu i pod żadnym pozorem nie nosić przy sobie oraz nie przechowywać na komputerze, który jest poddawany szyfrowaniu.

Wariant II - TPM v1.2 obecny, włączone opcje zaawansowane

Po włączeniu w Zasadach grupy zaawansowanych opcji uruchamiania przed rozpoczęciem procedury aktywacyjnej użytkownik zostanie zapytany o tryb pracy funkcji BitLocker. Dostępne są trzy tryby opisane wyżej - bez dodatkowych kluczy, z numerem PIN oraz z kluczem USB.

Po wybraniu opcj z numerem PIN kreator poprosi o nadanie nowego numeru, który będzie się składał z od 4 do 20 znaków numerycznych (litery nie mogą występować w PINie).

Pomimo posiadania układu TPM v1.2 na płycie głównej wciąż można korzystać także z najsilniejszej ochrony jaką daje opcja z kluczem USB.

Następnie użytkownik zostanie poproszony o utworzenie i zapisanie hasła odzyskiwania oraz o wykonanie testu uruchomieniowego przed rozpoczęciem szyfrowania danych.

Wariant III - TPM nieobecny

Użytkownik zostanie poproszony o wybranie trybu pracy z listy, gdzie jedynym dostępnym będzie opcja z kluczem USB. Następnie konieczne będzie włożenie klucza do gniazda USB w celu zapisania hasła uruchomieniowego. Potem użytkownikowi przedstawiane jest hasło odzyskiwania podobnie jak w wariancie I.

Przed zakończeniem kreatora i wybraniu trybu pracy z kluczem USB zalecane jest skorzystanie z opcji testowej i ponowne uruchomienie komputera z kluczem USB obecnym w napędzie jeszcze przed zaszyfrowaniem dysku. Windows Vista sprawdzi wtedy, czy na pewno hasło uruchomieniowe zostało poprawnie zapisane na nośniku i czy jest on odczytywalny przez BIOS. W razie problemów podczas testu cała dotąd wykonana procedura zostanie anulowana bez konsekwencji.

Po zamknięciu okna kreatora rozpocznie się szyfrownie partycji systemowej w tle. Można spokojnie kontynuować normalną pracę podczas gdy BitLocker będzie szyfrował dane, chociaż proces ten wiąże się z pewnym spadkiem wydajności do momentu jego ukończenia. W razie potrzeby szyfrowanie można wstrzymać i wznowić w tym samym momencie później, nawet po ponownym uruchomieniu komputera. Warto jednak pamiętać, że procedury uruchomieniowe (a co się z tym wiąże: blokady, numery PIN oraz klucze USB) obowiązują natychmiast po zakończeniu kreatora bez względu na postęp szyfrowania danych.

Wyłączanie funkcji BitLocker a odszyfrowywanie danych

Może się zdarzyć, że wystąpi potrzeba czasowego lub stałego wyłączenia funkcji BitLocker. Sytuacją, w której należy chwilowo wyłączyć BitLocker jest np. chęć modyfikacji BIOSu, repartycjonowania dysku czy dokonania innych operacji poza samym systemem Windows. Takie wyłączenie nie oznacza rezygnacji z szyfrowania. Wyłączany jest bowiem jedynie mechanizm weryfikujący możliwość startu systemu operacyjnego. Oznacza to, że dane pozostaną zaszyfrowane, ale BitLocker zawsze zezwoli na dostęp do nich. Dzięki temu można szybko i łatwo włączać i wyłączać funkcję BitLocker bez konieczności czasochłonnego i każdorazowego szyfrowania i odszyfrowywania danych.

Aby wyłączyć funkcję BitLocker, należy udać się do tego samego okna w Panelu sterowania co podczas jego włączania. Tym razem należy użyć opcji Wyłącz. Z listy należy wybrać jeden z dwóch wariantów - wyłączenie BitLocker (tymczasowe, dane pozostają zaszyfrowane) oraz odszyfrowanie danych (stałe wyłączenie i odszyfrowanie danych, wszystkie hasła uruchomieniowe i odzyskiwania wygasają).

Najczęściej zadawane pytania

Pytanie: W jaki sposób zainstalować system Windows Vista na czystym dysku, aby uniknąć późniejszych problemów z nieprawidłowym układem partycji?

Postępując zgodnie z kreatorem instalacji Windows Vista nie uda się zainstalować systemu tak, aby możliwe było skorzystanie z funkcji BitLocker. Kluczem do rozwiązania tej kwestii jest odpowiedni układ partycji. Trzeba go skonfigurować ręcznie na etapie wyboru miejsca instalacji Windows.

W momencie, gdy instalator zapyta, na którym dysku zainstalować Windows Vista należy upewnić się, że widoczne są wszystkie dyski (w przeciwnym razie należy załadować odpowiednie sterowniki) i wcisnąć kombinację klawiszy SHIFT-F10. Otworzy się okno wiersza polecenia, w którym należy skorzystać z narzędzia diskpart.exe do ręcznego stworzenia partycji. Wymagane są przynajmniej dwie partycje - jedna na system oraz jedna na pliki rozruchowe, która będzie ustawiona jako aktywna. Aby doprowadzić do takiej konfiguracji, należy wykonywać następujące polecenia (po każdej linii należy zatwierdzić komendę klawiszem Enter).

select disk 0
clean
create partition primary size=1600
assign letter=D
active
format fs=ntfs quick
create partition primary
assign letter=C
format fs=ntfs quick
list volume
exit

Powyższa procedura czyści wybrany dysk twardy (o numerze 0) z wszelkich partycji, a następnie tworzy partycję o rozmiarze 1600 MB (minimalny rozmiar partycji rozruchowej) i ustawia ją jako aktywną. Diskpart przypisuje tej partycji literę D i formatuje ją w systemie plików NTFS. Drugie polecenie tworzenia partycji (tym razem z przeznaczeniem an system) nie zawiera informacji o rozmiarze, więc używa maksymalnego dozwolonego rozmiaru (pozostałego po stworzeneniu pierwszej partycji). Można oczywiście podzielić dysk inaczej niż na powyższym przykładzie, ale ważne, aby jako aktywną ustawić partycję inną niż tę z przeznaczeniem na system oraz aby sformatować wszystkie nowe partycje. Tak zainstalowany system umożliwi włączenie funkcji BitLocker od razu po instalacji.

Pytanie: Co zrobić, jeśli instalacja została jednak wykonana nieprawidłowo i pliki rozruchowe znajdują się na partycji systemowej?

Taka sytuacja będzie wymagała podjęcia dodatkowych kroków w celu przeniesienia plików rozruchowych na inną partycję. Po pierwsze należy sprawdzić, czy na dysku stworzona jest w ogóle jakakolwiek inna partycja niż systemowa. Jeśli nie, należy zmniejszyć posiadaną partycję i w zwolnionym miejscu utworzyć nową. W systemie Windows Vista nie trzeba do tego celu używać żadnych dodatkowych narzędzi, wystarczy skorzystać z narzędzia graficznego Zarządzanie dyskami.

Z menu Start należy kliknąć prawym przyciskiem myszy ikonę Komputer i wybrać opcję Zarządzaj. W drzewie folderów należy otworzyć gałąź Zarządzanie dyskami. Po załadowaniu konfiguracji należy kliknąć prawym przyciskiem myszy obszar partycji systemowej i wybrać opcję Zmniejsz wolumin. Następnie wystarczy wprowadzić ilość wolnych MB, jakie mają zostać wydzielone ze zmniejszanej partycji. Zmniejszenia można dokonać tylko na podstawie wolnej przestrzeni i do momentu, w którym napotkane zostaną nieprzenośne pliki (np. plik stronicowania). Windows Vista wymaga, aby partycja rozruchowa posiadała przynajmniej 1600 MB przestrzeni dyskowej.

Po zmniejszeniu partycji systemowej należy stworzyć nową partycję klikając prawym przyciskiem myszy w obszar nieprzydzielony i wybierając opcję Nowy wolumin prosty i postępując według poleceń kreatora. Wolumin musi zostać później sformatowany w systemie plików NTFS. Istnieją dwie metody dalszego postępowania - jedna jest szybsza, ale trzeba dokonać jej ręcznie. Druga wymaga większej ilości restartów, ale wykonuje ją kreator naprawy systemu Windows.

Sposób I

Po procesie formatowania należy oznaczyć nową partycję jako aktywną. W tym celu należy kliknąć ją prawym przyciskiem myszy i wybrać opcję Oznacz jako aktywną. Komunikat ostrzegający o konsekwencjach można zignorować.

Po wykonaniu powyższych czynności konieczne jest użycie płyty instalacyjnej z systemem Windows Vista. Należy włożyć ją do napędu i uruchomić z niej komputer. Po załadowaniu środowiska preinstalacyjnego należy wybrać opcję Napraw komputer. Po pojawieniu się komunikatu o wykryciu problemu z opcjami startowymi należy zgodzić się na automatyczną naprawę. Uruchamiając komputer po raz drugi trzeba jednak jeszcze raz zabootować z płyty instacyjnej Windows i w tym samym miejscu należy z menu naprawczego wybrać opcję Narzędzie do naprawy systemu podczas uruchomienia. Narzędzie to wykryje, że na partycji aktywnej nie ma plików rozruchowych, po czym zainstaluje je tam na nowo. Na koniec tego procesu komputer zostanie uruchomiony ponownie.

Sposób II

Bez oznaczania nowej partycji jako aktywną należy zrestartować komputer i uruchomić go z płyty instalacyjnej systemu Windows Vista. Po załadowaniu środowiska graficznego należy wybrać opcję Napraw komputer. Następnie z menu należy otworzyć Wiersz polecenia. Celem naszej pracy jest skopiowanie plików rozruchowych na nową partycję. Najpierw należy skopiować katalog boot zlokalizowany na dysku C (systemowym, który chwilowo jest jeszcze rozruchowym, ale zaraz to się zmieni):

xcopy C:boot D:boot -e -h

Pozostaje tylko skopiowanie pliku bootloadera, czyli programu odpowiedzialnego za ładowanie systemu operacyjnego. Służy do tego polecenie:

xcopy C:bootmgr D:bootmgr -h

Teraz ustawiamy nową partycję rozruchową, na którą skopiowaliśmy pliki jako aktywną. Posłuży do tego narzędzie diskpart.exe. Po wejściu do narzędzie należy wybrać dysk (prawdopodobnie numer 0), a następnie przekonać się, jakie liczby porządkowe zostały przypisane do partycji (najprawdopodobniej numer 2, ale koniecznie trzeba sprawdzić poleceniem list partition). Następnie:

select partition 2
active

Od tej pory pliki rozruchowe są zlokalizowane na drugiej partycji. Narzędzie BitLocker nie powinno też już więcej wyświetlać informacji o nieprawidłowym układzie partycji.

Pytanie: Jak powielić hasło uruchomieniowe, np. na drugim kluczu USB i móc używać obu? Jak przypomnieć hasło odzyskiwania?

Hasło uruchomieniowe można łatwo skopiować na nowy nośnik USB i używać ich obu - wystarczy do tego celu użyć kreatora BitLocker już po jego włączeniu. Również hasło odzyskiwania da się przypomnieć w zaszyfrowanym systemie, pod warunkiem że BitLocker nie zablokował do niego dostępu. Z menu po lewej stronie okna BitLocker należy wybrać link Zarządzaj kluczami funkcji BitLocker. W oknie, które się pojawi wystarczy wybrać stosowną opcję - Duplikuj hasło odzyskiwania lub Duplikuj klucz uruchomienia (jeśli istnieje).

Pytanie: Jak zaszyfrować inne partycje niż partycja systemowa?

Założeniem Microsoft podczas projektowania funkcji BitLocker było szyfrowanie partycji systemowej, gdyż to na niej znajdują się na ogół najcenniejsze dane, a poza tym także pliki, których nie da się zaszyfrować na poziomie systemu operacyjnego (np. plik stronicowania czy plik hibernacji). Niemniej możliwe jest użycie funkcji BitLocker do zaszyfrowania także innej partycji, oczywiście poza partycją zawierającą pliki rozruchowe. Takie działanie jest jednak oficjalnie niewspierane przez Microsoft - otrzyma oficjalne wsparcie dopiero w systemie Windows Server Codename "Longhorn".

Przed zaszyfrowaniem woluminu z danymi należy zdać sobie sprawę, że szyfrowanie takie działa wyłącznie przy jednoczesnym włączonym szyfrowaniu partycji systemowej. Co więcej, jeśli podczas jej szyfrowania korzystaliśmy z interfejsu graficznego (czyli z kreatora), nie da się później zaszyfrować innej partycji. Należy w obu przypadkach posłużyć się wierszem poleceń. Kolejną ważną kwestią jest fakt, że mechanizm BitLocker nie weryfikuje automatycznie stanu innych partycji niż systemowa, dlatego po uruchomieniu komputera i pomyślnym załadowaniu systemu Windows dostęp do drugiej partycji będzie zablokowany do czasu ręcznego odblokowania. Ten problem można jednak łatwo obejść instruując BitLocker, aby odblokowywał dostęp automatycznie po każdym załadowaniu systemu. Warto jednak pamiętać, że klucz odblokowujący drugą partycję zostanie zapisany na partycji systemowej - niemniej też wcześniej zaszyfrowanej.

Aby zaszyfrować dowolną partycję inną niż partycja rozruchowa poprzez BitLocker i z poziomu wiersza poleceń, należy wywołać następujące polecenie:

cscript manage-bde.wsf -on -?

Spowoduje to wyświetlenie pomocy z wszystkimi dostępnymi opcjami, które działają w identyczny sposób jak w procedurze z kreatorem. Aby ustawić automatyczne odblokowywanie np. partycji D (lub każdej innej niż systemowa) po załadowaniu systemu należy użyć polecenia

cscript manage-bde.wsf -autounlock -enable D:

Pytanie: Jakiego algorytmu i o jakiej sile używa funkcja BitLocker?

BitLocker Drive Encryption wykorzystuje algorytm AES w trybie CBC oraz z dodatkowym uwzględnieniem Elephant Diffuser o sile 128 lub 256 bitów. Siłę algorytmu można konfigurować przy pomocy Zasad grupy. Więcej szczegółów na ten temat można znaleźć w obszernym dokumencie poświęconym algorytmowi użytemu w funkcji BitLocker dostępnym na stronach Microsoft.

Pytanie: Jak skonfigurować kopię zapasową haseł odzyskiwania do katalogu Active Directory?

Do tego celu służy zestaw skryptów, które wraz z przykładami użycia można pobrać z witryny Microsoft. Należy zdawać sobie sprawę, że konfiguracja kopii zapasowej haseł odzyskiwania do katalogu Active Directory wymaga wcześniejszego rozszerzenia schematu. Wszystkie informacje oraz linki do plików znajdują się na stronach Microsoft.

Materiały dodatkowe

Podczas korzystania z funkcji BitLocker pomocne mogą okazać się następujące materiały:

• BitLocker Drive Encryption Technical Overview
• Windows Vista Trusted Platform Module Services Step by Step Guide