Domyślne ustawienia szyfrowania dysków w Windows są zaprojektowane pod kątem maksymalnej wygody. BitLocker ma być więc niezauważalny. Jednak jego automatyzacja odbywa się kosztem bezpieczeństwa. Aby je zwiększyć, należy dodać do BitLockera kod PIN.
Kod PIN BitLockera jest czymś innym niż opcjonalny kod PIN logowania do samego systemu Windows i oba te PIN-y mogą być różne od siebie. O ten pierwszy zostaniemy zapytani na wczesnym etapie uruchamiania systemu, daleko przed dostępnością ekranu logowania, i jeżeli jest ustawiony, nie uruchomimy systemu bez podania go.
Dalsza część artykułu pod materiałem wideo
PIN + TPM
Wbrew niektórym opiniom, dodanie kodu PIN nie zastępuje użycia układu TPM (jest to możliwe, ale wymaga oddzielnej konfiguracji). PIN jest uzupełnieniem działania TPM: odblokowuje możliwość skorzystania z niego celem odczytu stanu bezpieczeństwa. Jeżeli TPM uzna, że integralność systemu została naruszona, to mimo podania PIN-u w dalszym ciągu zostaniemy poproszeni o kod odblokowujący (48-znakowy kod klucz numeryczny).
Konfiguracja z użyciem PIN domyślnie nie jest przewidziana w kreatorach konfiguracji BitLockera ani nie jest dostępna w Windowsie. Aby móc z niej skorzystać, konieczne jest zdefiniowanie odpowiedzialnej za to Zasady Grupy (GPO). Są one dostępne tylko w wariantach Pro, Enterprise i Education (oraz ich wariantach pochodnych). Dopiero po takiej konfiguracji, dostępna będzie możliwość dodania kodu PIN do BitLockera.
GPO
Odblokowanie opcji działania kodu PIN przeprowadza się w Edytorze Obiektów Zasad Grupy. Należy go wyszukać za pomocą frazy "gpedit.msc", w przeciwnym razie nie będzie możliwe uruchomienie go jako administrator, a tylko w taki sposób możliwe jest wprowadzanie zmian w obiektach GPO (nawet, gdy dotyczą tylko użytkownika). Odpowiednie ustawienie znajduje się w sekcji Konfiguracja komputera, w dziale Szablony administracyjne.
Szablon Składniki systemu Windows zawiera dział Szyfrowanie dysków funkcją BitLocker i sekcję Dyski z systemem operacyjnym. To tam znajduje się potrzebna nam opcja, zatytułowana "Wymagaj dodatkowego uwierzytelniania przy uruchamianiu". Musimy ją przestawić, bowiem jak mówi sam jej opis: "Jeśli wyłączysz to ustawienie zasad albo go nie skonfigurujesz, użytkownicy będą mogli konfigurować tylko podstawowe opcje na komputerach z modułem TPM". Potrzebne są następujące ustawienia:
- Zezwalaj na używanie numeru PIN uruchomienia z modułem TPM
- Zezwalaj na używanie klucza uruchomienia z modułem TPM
- Zezwalaj na używanie klucz i numeru PIN uruchomienia z modułem TPM
Dodatkowo, niezaznaczone powinno pozostać pole "Zezwalaj na używanie funkcji BitLocker bez zgodnego modułu TPM", a samo GPO powinno stać się Włączone (domyślnie: Nie skonfigurowano). Dopiero przy tym zestawie ustawień, możliwe jest zastosowanie kodu PIN. Po ich wprowadzeniu, należy odświeżyć zastosowane zasady grupy, wykonując jako administrator polecenie gpupdate /force.
Polecenie dodawania klucza
W rezultacie powinny się pojawić nowe klucze Rejestru w lokalizacji HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE, gdzie wszystkie ustawienia dotyczące TPM będą mieć wartość 2. Gdy tak się stanie, możliwe jest dodanie kodu PIN do zaszyfrowanego dysku za pomocą następujących poleceń PowerShell:
# Pobierz PIN z klawiatury, bez pozostawienia go w historii poleceń
$pinstdin = Read-Host
# Zapisz PIN do bezpiecznej zmiennej
$pin = ConvertTo-SecureString $pinstdin -AsPlainText -Force
# Dodaj PIN do odblokowywania TPM
Add-BitLockerKeyProtector -MountPoint C: -TpmAndPinProtector -Pin $pinOperacje te należy wykonywać, gdy mamy dostęp do naszego klucza odblokowującego, bowiem zmiany w BitLockerze mogą wywołać konieczność ręcznego odblokowania TPM. Gdy dodanie PIN się powiedzie, od teraz uruchomienie systemu nie będzie możliwe bez podania kodu PIN. Będzie to dotyczyć wszystkich uruchomień i restartów. Oznacza to, że np. podczas instalowania aktualizacji automatyczny restart "zawiśnie" na oknie podawania PIN-u BitLocker.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl