BitLocker چیست؟
BitLocker یکی از feature های ویندوز Vista و 7 ، Ultimate و Enterprise است که امکان رمزنگاری کامل هارد دیسک را به کاربر می دهد. این امکان در Windows Server 2008 هم وجود دارد ولی برای استفاده از آن ابتدا باید از قسمت Add Feature آن را نصب نمود.
BitLocker To Go امکان جدیدی است که در ویندوز 7 اضافه شده و امکان رمزنگاری Removable Device ها را نیز به کاربر می دهد.
BitLocker از الگوریتم رمزنگاری AES با کلید 128 بیتی برای رمز نگاری هارد استفاده می کند(می توان از کلید 256 بیتی نیز استفاده نمود) که شکستن قفل آن و دسترسی به اطلاعات را تغریبا غیر ممکن می کند.
کاربرد BitLocker:
BitLocker برای حفاظت از اطلاعات طراحی شده تا درصورتی که هارد دیسک یا Flash شما دزدیده شد امکان دسترسی به اطلاعات ارزشمند شما را به دیگران ندهد. این سیستم بصورتی طراحی شده که در عین امنیت بالا مزاحمتی برای کار شما ایجاد نکند و بصورت نامحسوس و در پشت صحنه اطلاعات را رمزنگاری و ذخیره نماید.
البته برای این کار می توان از EFS هم استفاده نمود اما تفاوتهای زیادی بین EFS و BitLocker وجود دارد . در ادامه این دو روش را مقایسه می کنیم،البته باید این موضوع را در نظر داشته باشید که این دو روش برای دو منظور مختلف طراحی شده اند و می توان آنها را در کنار یکدیگر برای امنیت بیشتر استفاده نمود.
مقایسه EFS و BitLocker
راه اندازی BitLocker:
BitLocker از الگوریتم رمزنگاری AES با کلید 128 بیتی برای رمز نگاری هارد استفاده می کند(می توان از کلید 256 بیتی نیز استفاده نمود) که شکستن قفل آن و دسترسی به اطلاعات را تغریبا غیر ممکن می کند.
کاربرد BitLocker:
BitLocker برای حفاظت از اطلاعات طراحی شده تا درصورتی که هارد دیسک یا Flash شما دزدیده شد امکان دسترسی به اطلاعات ارزشمند شما را به دیگران ندهد. این سیستم بصورتی طراحی شده که در عین امنیت بالا مزاحمتی برای کار شما ایجاد نکند و بصورت نامحسوس و در پشت صحنه اطلاعات را رمزنگاری و ذخیره نماید.
البته برای این کار می توان از EFS هم استفاده نمود اما تفاوتهای زیادی بین EFS و BitLocker وجود دارد . در ادامه این دو روش را مقایسه می کنیم،البته باید این موضوع را در نظر داشته باشید که این دو روش برای دو منظور مختلف طراحی شده اند و می توان آنها را در کنار یکدیگر برای امنیت بیشتر استفاده نمود.
مقایسه EFS و BitLocker
- EFS برای رمزنگاری فایل استفاده می شود اما BitLocker برای رمزنگاری یک Volume(یک درایو)
- EFS از امکانات فایل سیستم NTFS است اما BitLocker مستقل از فایل سیستم عمل می کند
- EFS از User Certificate برای رمزنگاری استفاده می کند
- EFS اطلاعات را بر حسب کاربر رمز نگاری می کند و در صورتی که فایلی را با EFS رمزنگاری کنید فقط همان کاربر می تواند از آن استفاده کند اما در صورت رمزنگاری درایو با BitLocker تمام کاربران سیستم امکان دسترسی به اطلاعات را دارند.
- به کمک BitLocker می توان از فایلهای سیستم عامل نیز محافظت نمود
راه اندازی BitLocker:
برای استفاده از BitLocker سه سناریو وجود دارد
- فعال نمودن BitLocker برروی Operating System Driver
- فعال نمودن BitLocker برروی دیگر Fixed Driver ها
- فعال نمودن BitLocker برروی Removable Device ها.
BitLocker برروی درایو Windows
برای فعال نمودن BitLocker برروی Operating System Driver نیاز به روشی است که سیستم عامل بتواند به کمک آن کلید رمزنگاری را خارج از Windows ذخیره نماید. برای اینکار دو راه وجود دارد:
1. استفاده از TPM ورژن 1.2 به بالا
2. استفاده از USB Flash Key
(TPM(Trusted Platform Module: یک Chipset است که برروی بعضی مادربورد ها قرار دارد و برای ذخیره کلید های رمزنگاری و اطلاعات امنیتی طراحی شده. اگر سیستم شما این امکان را داشته باشد می توانید به راحتی OS Driver خود را رمزنگاری نمایید.
اما اگر TPM وجود نداشته باشد برای رمزنگاری OS System Drive باید از یک USB Flash به عنوان Key استفاده نمایید در نتیجه کامپیوتر شما تنها زمانی Boot می شود که این USB Key به سیستم متصل باشد پس در صورتی که کامپیوتر شما دزدیده شود بدون وجود این کلید امکان مشاهده اطلاعات آن وجود ندارد.
در صورت وجود TPM می توان از آن به چند روش برای امنیت بیشتر سیستم عامل استفاده نمود:
طریقه استفاده از BitLocker
برای فعال نمودن BitLocker می توانید از قسمت Manage BitLocker در Control Panel استفاده نمایید.
برای فعال نمودن BitLocker برروی Operating System Driver نیاز به روشی است که سیستم عامل بتواند به کمک آن کلید رمزنگاری را خارج از Windows ذخیره نماید. برای اینکار دو راه وجود دارد:
1. استفاده از TPM ورژن 1.2 به بالا
2. استفاده از USB Flash Key
(TPM(Trusted Platform Module: یک Chipset است که برروی بعضی مادربورد ها قرار دارد و برای ذخیره کلید های رمزنگاری و اطلاعات امنیتی طراحی شده. اگر سیستم شما این امکان را داشته باشد می توانید به راحتی OS Driver خود را رمزنگاری نمایید.
 |
| یک چیپ TPM برروی مادربورد Asus |
در صورت وجود TPM می توان از آن به چند روش برای امنیت بیشتر سیستم عامل استفاده نمود:
- TPM Only: برای Boot شدن سیستم تنها وجود TPM بررسی می شود یعنی اگر کامپیوتر دزدیده شود باز سیستم به خطر می افتد اما اگر Hard Disk به سرقت برود اطلاعات قابل دسترسی نیست
- TPM and Pin: برای Boot شدن Windows علاوه بر برسی TPM یک Pin Code از کاربر سوال می شود در نتیجه در صورت به سرقت رفتن رایانه اطلاعات بدون PIN قابل دسترس نیست
- TPM and Flash Key: در این حالت BitLocker علاوه بر استفاده از TPM یک کلید رمزنگاری در یک Flash ذخیره می نماید در نتیجه برای Boot شدن Windows نیاز به این Flash Disk است
- TPM and Pin and Flash Key: امن ترین روش برای اینکار استفاده از PIN و Flash Key در کنار TPM است که برای Boot شده Windows نیاز به Flash Key و وارد نمودن Pin Code هست
طریقه استفاده از BitLocker
برای فعال نمودن BitLocker می توانید از قسمت Manage BitLocker در Control Panel استفاده نمایید.
سپس می توانید با انتخاب گزینه Turn On BitLocker درایو مورد نظر را رمزنگاری کنید.
برای اینکار باید برروی درایو یک Password تنظیم کنید تا به کمک آن بتوانید درایو را unlock نمایید و از آن استفاده نمایید
البته به جای استفاده از Password می توانید از smartcard هم استفاده نمایید.
در قسمت بعد ویندوز یک Recovery Key برای این درایو تولید می کند که در صورت فراموش نمودن Password می توانید با استفاده از آن درایو را باز کنید.این کلید یک کد 48 رقمی است که با استفاده از آن می توان درایو را باز نمود.
می توانید این کلید را چاپ کنید یا در یک فایل ذخیره نمایید .
پس از این مرحله رمزنگاری درایو شروع می شود . مدت زمان این کار به سایز درایو و سرعت هارد دیسک بستگی دارد.
پس اتمام آن اطلاعات درایو مورد نظر محافظت می شود. با Restart شدن سیستم درایو به حالت Lock برمی گردد ، در این حالت اطلاعات قابل دسترسی نیست و برای استفاده از این درایو باید آن را به کمک Password یا Smartcard باز کنید.
ضمنا در صورتی که نیاز به تغییر password یا ذخیره دوباره Recovery Key داشتید می توانید برروی درایو Unlock شده کلیک راست کنید و گزینه manage bitlocker را انتخاب کنید تا یک صفحه مانند عکس زیر باز شود.
BitLocker To Go
امکانی است که برروی Windows 7 اضافه شده و به کمک آن می توانید درایو های removable مانند فلش مموری ها را رمزنگاری نمود . از فلش مموری هایی که از این راه رمز نگاری شده اند می توان در ویندوزهایی قدیمی ترمانند Windows XP هم استفاده نمود، برای این کار نرم افزار کوچکی به نام BitLocker To Go Reader در فلش قرار می گیرد که به صورت Autorun اجرا شده و پس از دریافت رمز عبور فایلها را نمایش می دهد.
همچنین می توانید این نرم افزار را از اینجا دانلود کنید.
تنظیمات BitLocker در Group Policy
تنظیمات بیشتر BitLocker در Group Policy قرار دارد که از این مسیر قابل دسترسی است:
1.دستور gpedit.msc را اجرا کنید
2. گزینه BitLocker Drive Encryption را از مسیر زیر باز کنید.
Computer Configuration -> Administrative Templates-> Windows Components
بعضی از این تنظمیات که کاربرد بیشتر دارند را در زیر توضیح می دهم:
1. برای اینکه بتوانید درایو ویندوز را بدون TPM رمزنگاری کنید باید گزینه Allow BitLocker without a compatible TPM را فعال کنید.
برای اینکار قسمت Operating System Driver را انتخاب کنید و برروی گزینه Require additional authentication at startup
کلیک کنید . سپس از گزینه Enable را فعال کنید . به شکل زیر توجه کنید
برای اینکه نرم افزار BitLocker To Go Reader به صورت خودکار به Flash Memory های رمز نگاری شده اضافه شود باید از قسمت Removable Data Drives گزینه Allow Access to BitLocker-protected removable data drives fromearlier versions of windows را enable کنید.
دستورات BitLocker
برای استفاده م مدیریت BitLocker می توانید از دستور Manage-bde استفاده کنید.
چند نمونه از استفاده های این دستور:(cmd را run as administrator کنید)
فعال نمودن BitLocker برروی یک درایو
منابع:
برای اینکار باید برروی درایو یک Password تنظیم کنید تا به کمک آن بتوانید درایو را unlock نمایید و از آن استفاده نمایید
البته به جای استفاده از Password می توانید از smartcard هم استفاده نمایید.
می توانید این کلید را چاپ کنید یا در یک فایل ذخیره نمایید .
پس اتمام آن اطلاعات درایو مورد نظر محافظت می شود. با Restart شدن سیستم درایو به حالت Lock برمی گردد ، در این حالت اطلاعات قابل دسترسی نیست و برای استفاده از این درایو باید آن را به کمک Password یا Smartcard باز کنید.
 |
| درایو M در حالت Unlock |
 |
| درایو M در حالت Lock |
BitLocker To Go
امکانی است که برروی Windows 7 اضافه شده و به کمک آن می توانید درایو های removable مانند فلش مموری ها را رمزنگاری نمود . از فلش مموری هایی که از این راه رمز نگاری شده اند می توان در ویندوزهایی قدیمی ترمانند Windows XP هم استفاده نمود، برای این کار نرم افزار کوچکی به نام BitLocker To Go Reader در فلش قرار می گیرد که به صورت Autorun اجرا شده و پس از دریافت رمز عبور فایلها را نمایش می دهد.
همچنین می توانید این نرم افزار را از اینجا دانلود کنید.
f |
| BitLocker To Go Reader |
تنظیمات بیشتر BitLocker در Group Policy قرار دارد که از این مسیر قابل دسترسی است:
1.دستور gpedit.msc را اجرا کنید
2. گزینه BitLocker Drive Encryption را از مسیر زیر باز کنید.
Computer Configuration -> Administrative Templates-> Windows Components
1. برای اینکه بتوانید درایو ویندوز را بدون TPM رمزنگاری کنید باید گزینه Allow BitLocker without a compatible TPM را فعال کنید.
برای اینکار قسمت Operating System Driver را انتخاب کنید و برروی گزینه Require additional authentication at startup
کلیک کنید . سپس از گزینه Enable را فعال کنید . به شکل زیر توجه کنید
دستورات BitLocker
برای استفاده م مدیریت BitLocker می توانید از دستور Manage-bde استفاده کنید.
چند نمونه از استفاده های این دستور:(cmd را run as administrator کنید)
فعال نمودن BitLocker برروی یک درایو
manage-bde -on <drive> -pw
و برای خاموش نمودن BitLocker
manage-bde -off <drive>
برای Lock نمودن یک درایو از دستور
manage-bde -lock <drive>
و برای unlock نمودن آن می توانید از دستورات زیر استفاده کنید
manage-bde -unlock e: -RecoveryKey "f:\File Folder\Filename"
manage-bde -unlock e: -Certificate -cf "c:\File Folder\Filename.cer"
manage-bde -unlock e: -pw
manage-bde -unlock e: -Certificate -cf "c:\File Folder\Filename.cer"
manage-bde -unlock e: -pw
به کمک دستور زیر می توانید ببینید که یک درایو از چه راههای می تواند Unlock شود و ID کلید recovery آن چیست
manage-bde -protectors -get <drive>
امیدوارم این مقاله تا اینجا مفید بوده باشه در مقاله بعدی طریقه راه اندازی Recovery Agent برا BitLocker و Recover نمودن درایو های رمزنگاری شده به کمک Certificate را آموزش می دهیم . موفق باشد
منابع:
