BitLocker bez tajemnic

Strona głównaBitLocker bez tajemnic
01.01.1999 02:07

Windows Vista jest już oficjalniedostępny i to w polskiej wersji językowej. Nietrudno się zatemdziwić, że pojawia się coraz więcej pytań użytkowników dotyczącychposzczególnych jego funkcji. Jedną z funkcji najczęściej budzącychrozmaite wątpliwości jest technologia szyfrowania dysku BitLocker.W niniejszym artykule postaramy się pokrótce omówić tę funkcję,pokażemy, jak ją włączyć oraz odpowiemy na najczęściej zadawanepytania.

Funkcja Windows BitLocker DriveEncryption została stworzona przede wszystkim w odpowiedzi napotrzeby przedsiębiorstw skarżących się na duże ilości kradzieżynotebooków zawierających cenne dane. Wartość takich informacji -np. planów przyszłej oferty handlowej - nieraz wielokrotnieprzewyższa wartość samego sprzętu komputerowego. Materiały te sąteż często poufne - np. dane osobowe klientów - i nie mogąprzedostać się w niepowołane ręce, a jednak podczas kradzieżylaptopa z reguły nie ma na to rady. Mało kto używa bowiemszyfrowania, bo jest skomplikowane i wymaga najczęściej dodatkowychnakładów w postaci wdrożenia oprogramownia firmy trzeciej.Kłopotliwe są też procedury odzyskiwania w razie zgubienia hasłabądź klucza. BitLocker rozwiązuje przynajmniej część tych problemów. Po pierwszejest zintegrowany z systemem operacyjnym Windows Vista, więc niewymaga dodatkowej instalacji. Standardowo wyposażone są w niegodwie edycje - przeznaczona dla firm Windows Vista Enterprise orazspecjalna, najbogatsza wersja Ultimate. Po drugie procesemszyfrowania i dostępu do danych zajmuje się specjalny układ scalonyna płycie głównej nazywany Trusted Platform Module w wersji 1.2.Dzięki temu nie ma potrzeby stosowania dodatkowych kluczy czy hasełpoza hasłem konta użytkownika w Windows. Oczywiście jest to takżeopcja - dla zwiększenia bezpieczeństwa. Wreszcie po trzecie hasłoodzyskiwania może być bardzo łatwo i automatycznie przechowywane wusłudze katalogowej Active Directory na serwerze firmowym, wzwiązku z tym nie trzeba martwić się zarządzaniem kopiamizapasowymi kluczy.

Jak to działa? BitLocker jest systemem szyfrującympartycję systemową (domyślnie), ale za jego pomocą można takżezaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej.Pliki odpowiedzialne za ładowanie systemu operacyjnego musząpozostać niezaszyfrowane. Najważniejszą zaletą BitLockera jestjednak fakt, że w całości zaszyfrowane zostają takie plikisystemowe jak plik hibernacji, plik stronicowania oraz katalogWindows, Users i Program Files włączając wszystkie katalogitymczasowe. Co więcej, ważne dane można zaszyfrować podwójnieużywając znanej już od wielu lat technologii Encrypted File System(EFS) udostępnianej przez NTFS. BitLocker opiera swoje działanie o mechanizm weryfikacyjnyintegralność dysku twardego. Jego działanie przypomina bramęwarowni - gdy Windows stwierdzi, że nie zdarzyło się nicskłaniającego do wątpliwości i dane nie zostały naruszone, bramazostaje otwarta i system jest ładowany. Jednak w przypadku, gdyWindows stwierdzi, że dysk był przenoszony do innego komputera,zmieniła się jego struktura, zmieniono BIOS lub pliki startowe -zablokuje dostęp do niego pozostawiając dane zaszyfrowane, a jedynąmetodą "otwarcia bramy" będzie wpisanie 26-znakowego hasłaodzyskiwania. Ten schemat działania może nieznacznie różnić się dlasystemów bez układu Trusted Platform Module 1.2 lub z innymiopcjami zabezpieczeń ustwionymi podczas włączania BitLocker.

Tryby pracy funkcji BitLocker BitLocker może pracować w trzechtrybach - w zależności od wymagań użytkownika co do poziomubezpieczeństwa oraz technicznych możliwości komputera.

Tryb bez dodatkowychkluczy W tym domyślnym trybie funkcja BitLocker zaszyfruje dane orazwygeneruje specjalne hasło odzyskiwania. Hasła tego będzie możnaużyć w celu przywrócenia dostępu do dysku w momencie, gdy zostanieon zablokowany przez BitLocker. Tryb z numerem PIN Tryb ten różni się od domyślnego jedynie wymogiem podaniaustalonego przed zaszyfrowaniem danych numeru PIN. W przypadku jegozapomnienia lub zablokowaniu dostępu do dysku z innych powodówkonieczne będzie podanie hasła odzyskiwania. Tryb z kluczem USB Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB,na którym zapisane jest hasło uruchomieniowe. Różni się ono jednakod hasła odzyskiwania. Przy każdym normalnym uruchomieniu komputeraużytkownik zostanie poproszony o włożenie klucza USB w celuodczytania hasła uruchomieniowego. Zaleca się stosowanie kluczykryptograficznych. W przypadku zgubienia nośnika USB jedynąmożliwością uzyskania dostępu do danych jest podanie hasłaodzyskiwania.

Wymagania wstępne BitLocker wymaga, aby przed jegowłączeniem system spełniał kilka warunków. Wiążą się one zfizycznymi parametrami komputera, jak i logiczną konfiguracjądysków i systemu.

Układ TPM w wersji 1.2 napłycie głównej. Obecność Trusted Platform Module 1.2 na płycie głównej oraz jegowłączenie w BIOSie komputera jest wymagane do pracy funkcjiBitLocker w trybie bez dodatkowych kluczy i haseł oraz w trybie zhasłem PIN. Jeśli komputer jest pozbawiony TPM lub posiada wersjęstarszą niż 1.2, jedyną dostępną opcją będzie tryb z kluczem USB.Wariant taki należy jednak włączyć poprzez Zasady grupy, gdyżdomyślnie BitLocker odmówi pracy po nieudanej próbie wykryciaTPM. Przynajmniej dwie partycje, osobna na system i plikirozruchowe BitLocker wymaga, aby pliki odpowiedzialne za ładowanie systemuoperacyjnego były zlokalizowane na osobnej niż system partycji,tzw. partycji rozruchowej (aktywnej). Inaczej mówiąc pliki te niemogą zostać zaszyfrowane, dlatego muszą znajdować się na innejpartycji. Nie stanowi problemu pozostała zawartość takiej partycjirozruchowej. Obie partycje muszą być sformatowane w systemie plikówNTFS. BIOS musi obsługiwać urządzenia USB W przypadku korzystania z trybu uwzględniającego klucze USB należyupewnić się, że BIOS komputera obsługuje dostęp do nośników USB wfazie bootowania systemu.

Zarządzanie modułem Trusted Platform Module Przed rozpoczęciem pracy z modułemTPM musi on przejść procedurę inicjacji i przyjęcia własności.Podczas tej procedury moduł generuje tzw. hasło właściciela, którejest jedynym kluczem uprawniającym do późniejszego wyłączania TPMlub jego wyczyszczenia (zresetowania). W domyślnej konfiguracjikreator funkcji BitLocker inicjuje TPM automatycznie, nadaje losowehasło i przechowuje je w pliku razem z hasłem odzyskiania BitLockerw miejscu, które kreatorowi wskaże użytkownik. Istnieje jednakmożliwość nadania własnego hasła i zapamiętania go. Moduł TPM w systemie Windows Vista ma swoją specjalną przystawkę dokonsoli MMC - Zarządzanie modułem TPM. W przystawce tejmożna między innymi zainicjować moduł, włączyć go lub wyłączyć,zmienić hasło właściciela oraz wyczyścić (zresetować). Możnarównież zarządzać zaawansowanymi poleceniami TPM. Aby uruchomić tękonsolę, należy w menu Start wpisać słowo Uruchom, a następnieotworzyć tpm.msc. Jeśli TPM był wcześniej nieużywany, ale jest załączony w BIOSie,będzie on prezentował status Włączony i bez własności. Abyrozpocząć procedurę inicjacji modułu, należy wybrać z panelu akcjilink Inicjuj moduł TPM. Kreator zapyta, czy utworzyć hasłoautomatycznie czy ręcznie.

Kreator inicjacji modułu TPM

Po wybraniu opcji wprowadzenia hasłaręcznie należy podać przynajmniej ośmioznakowe hasło i potwierdzićje. Jako opcja można zapisać hasło na nośniku wymiennym lubwydrukować. Po zakończeniu procesu inicjacji można korzystać zwszystkich aplikacji wykorzystujących TPM, także z szyfrowaniafunkcją BitLocker.

Włączanie funkcji BitLocker Aby włączyć funkcję BitLocker, należyudać się do Panelu sterowania i wybrać kategorię Zabezpieczenia, anastępnie opcję Szyfrowanie dysków funkcją BitLocker. Jeślikomputer nie posiada TPM v1.2 i wyświetlany jest komunikat o jegobraku, a BitLocker ma być wykorzystywany w trybie z kluczem USB(jedynym możliwym) należy włączyć tę funkcję w Zasadachgrupy. W menu Start należy wpisać słowo Uruchom lub jego pierwsze litery,a następnie uruchomić polecenie gpedit.msc. W drzewie folderównależy przejść do gałęzi Konfiguracja komputera - Szablonyadministracyjne - Składniki systemu Windows - Szyfrowanie dyskówfunkcją BitLocker. Z listy opcji należy wybrać Konfiguracja wPanelu sterowania: Włącz zaawansowane opcje uruchamiania.Następnie można zamknąć wszystkie okna i otworzyć wiersz poleceń.Po wykonaniu polecenia gpupdate /force należy powrócić do okna funkcji BitLocker (ew. zamknąć je iotworzyć ponownie).

Zaawansowane opcje funkcji BitLocker w Zasadach grupy

Jeśli w komputerze jest zainstalowanyTPM v1.2, a system Windows nie wykrywa go, oznacza to brakodpowiedniej konfiguracji w BIOSie komputera. Należy upewnić się,że układ TPM jest włączony w BIOSie i powrócić do tego okna. W oknie funkcji BitLocker może pojawić się informacja onieprawidłowym układzie partycji. Do takiej sytuacji najczęściejdochodzi po wykonaniu standardowej instalacji systemu Windows naczystym dysku twardym - system oraz pliki rozruchowe są wtedyinstalowane na tej samej partycji, co nie jest dopuszczalne dlafunkcji BitLocker. W części Najczęściej zadawane pytania pod koniecartykułu znajduje się opis obejścia tego problemu i przeniesieniaplików rozruchowych na inną partycję.

Strona główna okna konfiguracji funkcji BitLocker

Jeśli nie ma przeciwskazań, przyliterze dysku systemowego będzie dostępna opcja służąca dorozpoczęcia kreatora BitLocker. Zależnie od tego, czy komputerposiada moduł TPM oraz czy zostały włączone zaawansowane opcjeuruchamiania w Zasadach grupy nastąpi inicjacja modułu TPM,użytkownik zostanie zaś poproszony o wybranie trybu pracy lub odrazu kreator przejdzie do fazy zapisu hasła odzyskiwania.

Wariant I - TPM v1.2obecny Po inicjacji modułu TPM v1.2 system zapisze w nim informacjeszyfrowania i zapyta użytkownika, jak ma zostać mu przekazane hasłoodzyskiwania. Wśród dostępnych opcji jest wydrukowanie, zapis dopliku lub na nośnik wymienny. Hasło to jest jedyną możliwościąuzyskania dostępu do zaszyfrowanych danych w przypadku zablokowaniadysku przez BitLocker. Należy trzymać je w bezpiecznym miejscu ipod żadnym pozorem nie nosić przy sobie oraz nie przechowywać nakomputerze, który jest poddawany szyfrowaniu.

Kreator włączania funkcji BitLocker z domyślnymiustawieniami

Wariant II - TPM v1.2 obecny,włączone opcje zaawansowane Po włączeniu w Zasadach grupy zaawansowanych opcji uruchamianiaprzed rozpoczęciem procedury aktywacyjnej użytkownik zostaniezapytany o tryb pracy funkcji BitLocker. Dostępne są trzy trybyopisane wyżej - bez dodatkowych kluczy, z numerem PIN oraz zkluczem USB.

Kreator włączania funkcji BitLocker z włączonymi opcjamizaawansowanymi

Po wybraniu opcj z numerem PINkreator poprosi o nadanie nowego numeru, który będzie się składał zod 4 do 20 znaków numerycznych (litery nie mogą występować wPINie).

Żądanie nadania kodu PIN w kreatorze włączania funkcjiBitLocker

Pomimo posiadania układu TPM v1.2 napłycie głównej wciąż można korzystać także z najsilniejszej ochronyjaką daje opcja z kluczem USB.

Opcja z hasłem uruchomieniowym w kreatorze włączania funkcjiBitLocker

Następnie użytkownik zostaniepoproszony o utworzenie i zapisanie hasła odzyskiwania oraz owykonanie testu uruchomieniowego przed rozpoczęciem szyfrowaniadanych.

Wariant III - TPMnieobecny Użytkownik zostanie poproszony o wybranie trybu pracy z listy,gdzie jedynym dostępnym będzie opcja z kluczem USB. Następniekonieczne będzie włożenie klucza do gniazda USB w celu zapisaniahasła uruchomieniowego. Potem użytkownikowi przedstawiane jesthasło odzyskiwania podobnie jak w wariancie I. Przed zakończeniem kreatora i wybraniu trybu pracy z kluczem USBzalecane jest skorzystanie z opcji testowej i ponowne uruchomieniekomputera z kluczem USB obecnym w napędzie jeszcze przedzaszyfrowaniem dysku. Windows Vista sprawdzi wtedy, czy na pewnohasło uruchomieniowe zostało poprawnie zapisane na nośniku i czyjest on odczytywalny przez BIOS. W razie problemów podczas testucała dotąd wykonana procedura zostanie anulowana bezkonsekwencji.

Sugestia wykonania testu uruchomieniowego

Po zamknięciu okna kreatorarozpocznie się szyfrownie partycji systemowej w tle. Możnaspokojnie kontynuować normalną pracę podczas gdy BitLocker będzieszyfrował dane, chociaż proces ten wiąże się z pewnym spadkiemwydajności do momentu jego ukończenia. W razie potrzeby szyfrowaniemożna wstrzymać i wznowić w tym samym momencie później, nawet poponownym uruchomieniu komputera. Warto jednak pamiętać, żeprocedury uruchomieniowe (a co się z tym wiąże: blokady, numery PINoraz klucze USB) obowiązują natychmiast po zakończeniu kreatora bezwzględu na postęp szyfrowania danych.

Szyfrowanie dysku w toku

Wyłączanie funkcji BitLocker a odszyfrowywanie danych Może się zdarzyć, że wystąpi potrzebaczasowego lub stałego wyłączenia funkcji BitLocker. Sytuacją, wktórej należy chwilowo wyłączyć BitLocker jest np. chęć modyfikacjiBIOSu, repartycjonowania dysku czy dokonania innych operacji pozasamym systemem Windows. Takie wyłączenie nie oznacza rezygnacji zszyfrowania. Wyłączany jest bowiem jedynie mechanizm weryfikującymożliwość startu systemu operacyjnego. Oznacza to, że danepozostaną zaszyfrowane, ale BitLocker zawsze zezwoli na dostęp donich. Dzięki temu można szybko i łatwo włączać i wyłączać funkcjęBitLocker bez konieczności czasochłonnego i każdorazowegoszyfrowania i odszyfrowywania danych. Aby wyłączyć funkcję BitLocker, należy udać się do tego samego oknaw Panelu sterowania co podczas jego włączania. Tym razem należyużyć opcji Wyłącz. Z listy należy wybrać jeden z dwóch wariantów -wyłączenie BitLocker (tymczasowe, dane pozostają zaszyfrowane) orazodszyfrowanie danych (stałe wyłączenie i odszyfrowanie danych,wszystkie hasła uruchomieniowe i odzyskiwania wygasają).

Opcje wyłączenia BitLocker lub odszyfrowania dysku

Najczęściej zadawane pytania Pytanie: W jaki sposób zainstalować system Windows Vista naczystym dysku, aby uniknąć późniejszych problemów z nieprawidłowymukładem partycji? Postępując zgodnie z kreatorem instalacji Windows Vista nie uda sięzainstalować systemu tak, aby możliwe było skorzystanie z funkcjiBitLocker. Kluczem do rozwiązania tej kwestii jest odpowiedni układpartycji. Trzeba go skonfigurować ręcznie na etapie wyboru miejscainstalacji Windows. W momencie, gdy instalator zapyta, na którym dysku zainstalowaćWindows Vista należy upewnić się, że widoczne są wszystkie dyski (wprzeciwnym razie należy załadować odpowiednie sterowniki) i wcisnąćkombinację klawiszy SHIFT-F10. Otworzy się okno wiersza polecenia,w którym należy skorzystać z narzędzia diskpart.exe doręcznego stworzenia partycji. Wymagane są przynajmniej dwiepartycje - jedna na system oraz jedna na pliki rozruchowe, którabędzie ustawiona jako aktywna. Aby doprowadzić do takiejkonfiguracji, należy wykonywać następujące polecenia (po każdejlinii należy zatwierdzić komendę klawiszem Enter). select disk 0 clean create partition primary size=1600 assign letter=D active format fs=ntfs quick create partition primary assign letter=C format fs=ntfs quick list volume exit Powyższa procedura czyści wybrany dysk twardy (o numerze 0) zwszelkich partycji, a następnie tworzy partycję o rozmiarze 1600 MB(minimalny rozmiar partycji rozruchowej) i ustawia ją jako aktywną.Diskpart przypisuje tej partycji literę D i formatuje ją w systemieplików NTFS. Drugie polecenie tworzenia partycji (tym razem zprzeznaczeniem an system) nie zawiera informacji o rozmiarze, więcużywa maksymalnego dozwolonego rozmiaru (pozostałego postworzeneniu pierwszej partycji). Można oczywiście podzielić dyskinaczej niż na powyższym przykładzie, ale ważne, aby jako aktywnąustawić partycję inną niż tę z przeznaczeniem na system oraz abysformatować wszystkie nowe partycje. Tak zainstalowany systemumożliwi włączenie funkcji BitLocker od razu po instalacji.

Pytanie: Co zrobić, jeśliinstalacja została jednak wykonana nieprawidłowo i pliki rozruchoweznajdują się na partycji systemowej? Taka sytuacja będzie wymagała podjęcia dodatkowych kroków w celuprzeniesienia plików rozruchowych na inną partycję. Po pierwszenależy sprawdzić, czy na dysku stworzona jest w ogóle jakakolwiekinna partycja niż systemowa. Jeśli nie, należy zmniejszyć posiadanąpartycję i w zwolnionym miejscu utworzyć nową. W systemie WindowsVista nie trzeba do tego celu używać żadnych dodatkowych narzędzi,wystarczy skorzystać z narzędzia graficznego Zarządzaniedyskami. Z menu Start należy kliknąć prawym przyciskiem myszy ikonę Komputeri wybrać opcję Zarządzaj. W drzewie folderów należy otworzyć gałąźZarządzanie dyskami. Po załadowaniu konfiguracji należy kliknąćprawym przyciskiem myszy obszar partycji systemowej i wybrać opcjęZmniejsz wolumin. Następnie wystarczy wprowadzić ilość wolnych MB,jakie mają zostać wydzielone ze zmniejszanej partycji. Zmniejszeniamożna dokonać tylko na podstawie wolnej przestrzeni i do momentu, wktórym napotkane zostaną nieprzenośne pliki (np. plikstronicowania). Windows Vista wymaga, aby partycja rozruchowaposiadała przynajmniej 1600 MB przestrzeni dyskowej. Po zmniejszeniu partycji systemowej należy stworzyć nową partycjęklikając prawym przyciskiem myszy w obszar nieprzydzielony iwybierając opcję Nowy wolumin prosty i postępując według poleceńkreatora. Wolumin musi zostać później sformatowany w systemieplików NTFS. Istnieją dwie metody dalszego postępowania - jednajest szybsza, ale trzeba dokonać jej ręcznie. Druga wymaga większejilości restartów, ale wykonuje ją kreator naprawy systemuWindows. Sposób I Po procesie formatowania należy oznaczyć nową partycję jakoaktywną. W tym celu należy kliknąć ją prawym przyciskiem myszy iwybrać opcję Oznacz jako aktywną. Komunikat ostrzegający okonsekwencjach można zignorować. Po wykonaniu powyższych czynności konieczne jest użycie płytyinstalacyjnej z systemem Windows Vista. Należy włożyć ją do napędui uruchomić z niej komputer. Po załadowaniu środowiskapreinstalacyjnego należy wybrać opcję Napraw komputer. Popojawieniu się komunikatu o wykryciu problemu z opcjami startowyminależy zgodzić się na automatyczną naprawę. Uruchamiając komputerpo raz drugi trzeba jednak jeszcze raz zabootować z płytyinstacyjnej Windows i w tym samym miejscu należy z menu naprawczegowybrać opcję Narzędzie do naprawy systemu podczas uruchomienia.Narzędzie to wykryje, że na partycji aktywnej nie ma plikówrozruchowych, po czym zainstaluje je tam na nowo. Na koniec tegoprocesu komputer zostanie uruchomiony ponownie. Sposób II Bez oznaczania nowej partycji jako aktywną należy zrestartowaćkomputer i uruchomić go z płyty instalacyjnej systemu WindowsVista. Po załadowaniu środowiska graficznego należy wybrać opcjęNapraw komputer. Następnie z menu należy otworzyć Wiersz polecenia.Celem naszej pracy jest skopiowanie plików rozruchowych na nowąpartycję. Najpierw należy skopiować katalog boot zlokalizowany nadysku C (systemowym, który chwilowo jest jeszcze rozruchowym, alezaraz to się zmieni): xcopy C:boot D:boot -e-h Pozostaje tylko skopiowanie pliku bootloadera, czyli programuodpowiedzialnego za ładowanie systemu operacyjnego. Służy do tegopolecenie: xcopy C:bootmgr D:bootmgr-h Teraz ustawiamy nową partycję rozruchową, na którą skopiowaliśmypliki jako aktywną. Posłuży do tego narzędzie diskpart.exe. Powejściu do narzędzie należy wybrać dysk (prawdopodobnie numer 0), anastępnie przekonać się, jakie liczby porządkowe zostały przypisanedo partycji (najprawdopodobniej numer 2, ale koniecznie trzebasprawdzić poleceniem list partition). Następnie: select partition 2 active Od tej pory pliki rozruchowe są zlokalizowane na drugiej partycji.Narzędzie BitLocker nie powinno też już więcej wyświetlaćinformacji o nieprawidłowym układzie partycji.

Pytanie: Jak powielić hasłouruchomieniowe, np. na drugim kluczu USB i móc używać obu? Jakprzypomnieć hasło odzyskiwania? Hasło uruchomieniowe można łatwo skopiować na nowy nośnik USB iużywać ich obu - wystarczy do tego celu użyć kreatora BitLocker jużpo jego włączeniu. Również hasło odzyskiwania da się przypomnieć wzaszyfrowanym systemie, pod warunkiem że BitLocker nie zablokowałdo niego dostępu. Z menu po lewej stronie okna BitLocker należywybrać link Zarządzaj kluczami funkcji BitLocker. W oknie,które się pojawi wystarczy wybrać stosowną opcję - Duplikujhasło odzyskiwania lub Duplikuj klucz uruchomienia(jeśli istnieje).

Pytanie: Jak zaszyfrować innepartycje niż partycja systemowa? Założeniem Microsoft podczas projektowania funkcji BitLocker byłoszyfrowanie partycji systemowej, gdyż to na niej znajdują się naogół najcenniejsze dane, a poza tym także pliki, których nie da sięzaszyfrować na poziomie systemu operacyjnego (np. plikstronicowania czy plik hibernacji). Niemniej możliwe jest użyciefunkcji BitLocker do zaszyfrowania także innej partycji, oczywiściepoza partycją zawierającą pliki rozruchowe. Takie działanie jestjednak oficjalnie niewspierane przez Microsoft - otrzyma oficjalnewsparcie dopiero w systemie Windows Server Codename"Longhorn". Przed zaszyfrowaniem woluminu z danymi należy zdać sobie sprawę, żeszyfrowanie takie działa wyłącznie przy jednoczesnym włączonymszyfrowaniu partycji systemowej. Co więcej, jeśli podczas jejszyfrowania korzystaliśmy z interfejsu graficznego (czyli zkreatora), nie da się później zaszyfrować innej partycji. Należy wobu przypadkach posłużyć się wierszem poleceń. Kolejną ważnąkwestią jest fakt, że mechanizm BitLocker nie weryfikujeautomatycznie stanu innych partycji niż systemowa, dlatego pouruchomieniu komputera i pomyślnym załadowaniu systemu Windowsdostęp do drugiej partycji będzie zablokowany do czasu ręcznegoodblokowania. Ten problem można jednak łatwo obejść instruującBitLocker, aby odblokowywał dostęp automatycznie po każdymzaładowaniu systemu. Warto jednak pamiętać, że klucz odblokowującydrugą partycję zostanie zapisany na partycji systemowej - niemniejteż wcześniej zaszyfrowanej. Aby zaszyfrować dowolną partycję inną niż partycja rozruchowapoprzez BitLocker i z poziomu wiersza poleceń, należy wywołaćnastępujące polecenie: cscript manage-bde.wsf -on-? Spowoduje to wyświetlenie pomocy z wszystkimi dostępnymi opcjami,które działają w identyczny sposób jak w procedurze z kreatorem.Aby ustawić automatyczne odblokowywanie np. partycji D (lub każdejinnej niż systemowa) po załadowaniu systemu należy użyćpolecenia cscript manage-bde.wsf-autounlock -enable D:

Narzędzie konfiguracyjne modułu TPM z wiersza poleceń

Pytanie: Jakiego algorytmu io jakiej sile używa funkcja BitLocker? BitLocker Drive Encryption wykorzystuje algorytm AES w trybie CBCoraz z dodatkowym uwzględnieniem Elephant Diffuser o sile 128 lub256 bitów. Siłę algorytmu można konfigurować przy pomocy Zasadgrupy. Więcej szczegółów na ten temat można znaleźć w obszernymdokumencie poświęconym algorytmowi użytemu w funkcji BitLockerdostępnym na stronach Microsoft.

Pytanie: Jak skonfigurowaćkopię zapasową haseł odzyskiwania do katalogu ActiveDirectory? Do tego celu służy zestaw skryptów, które wraz z przykładami użyciamożna pobrać z witryny Microsoft. Należy zdawać sobie sprawę, żekonfiguracja kopii zapasowej haseł odzyskiwania do katalogu ActiveDirectory wymaga wcześniejszego rozszerzenia schematu. Wszystkieinformacje oraz linki do plików znajdują się na stronach Microsoft.

Materiały dodatkowe Podczas korzystania z funkcjiBitLocker pomocne mogą okazać się następujące materiały:

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (25)