Przejdź do treści

Szyfrowanie dysku pod Windowsem – BitLocker (GUI)

5
(1)

Szyfrowanie dysków twardych jest niezwykle istotne w kwestii utrzymywania bezpieczeństwa danych, które na nich zapisujemy. Nie dotyczy to jedynie komputerów firmowych, na których przechowywane są poufne dane dotyczące organizacji, ale również prywatnych komputerów, z których można wyciągnąć szereg prywatnych informacji, zdjęć, wiadomości. W przypadku każdorazowej fizycznej utraty dostępu do naszego dysku istnieje ryzyko, że ktoś niepowołany uzyska dostęp do naszych danych. Najprostszym przykładem może być tutaj kradzież naszego laptopa. Mimo, iż (mam nadzieję!) laptop zabezpieczony jest hasłem, nie uchroni to naszych danych, znajdujących się na dysku, przed dostępem do nich. Jedną z najprostszych metod pozwalających na odczytanie danych z takiego dysku jest fizyczne wyciągnięcie go z wspomnianego laptopa i wpięcie go do innego komputera. W takim przypadku dostęp do danych nie będzie już chroniony ustawionym hasłem dostępu do systemu operacyjnego – będzie traktowany jak zwyczajny dodatkowy zasób pamięci masowej, czyli inaczej dodatkowy dysk, z którego bez żadnego problemu będzie można odczytać dane.

Powyższą sytuację można łatwo wyobrazić sobie na przykładzie PenDrive-a. Przecież wyjmując niezaszyfrowany PenDrive z jednego komputera i wkładając go do innego nie mamy problemu z odczytaniem znajdujących się na nim danych, prawda? Nieco upraszczając – czym jest PenDrive jeżeli nie przenośnym dyskiem twardym o nieco mniejszej pojemności niż te wewnętrzne? Z resztą nie sytuacja ma się dokładnie analogicznie w przypadku coraz bardziej popularnych dysków zewnętrznych, które są podpinane do komputera za pomocą portu USB – w przypadku niezaszyfrowanego dysku również nie ma najmniejszego problemu z uzyskaniem dostępu do znajdujących się na nim danych.

Co więcej, do samego uzyskania dostępu do danych, w przypadku niezaszyfrowanego dysku oraz ustawionego hasła dostępu na komputerze, nie trzeba wcale wymontowywać dysku z komputera – abstrahując od siły hasła i możliwości jego złamania metodą słownikową czy brute-force możemy przecież uruchomić system z innego nośnika. Tak samo jak ma to miejsce podczas instalacji systemu operacyjnego w komputerze, gdzie jednym ze sposobów jest uruchomienie instalatora systemu z bootowalnego PenDrive-a, możemy zmienić kolejność bootowania i uruchomić system operacyjny właśnie ze specjalnie przygotowanego nośnika danych. W ten sposób także będziemy w stanie bez problemu odczytać dane znajdujące się na dysku twardym.

W systemie Windows wbudowanym narzędziem pozwalającym na szyfrowanie dysków jest BitLocker. Tak naprawdę najpoważniejszą słabością tego rozwiązania jest brak jego dostępności w wersji Home, więc posiadając taką wersję najlepiej jest wykorzystać oprogramowania firm trzecich do zaszyfrowania dysku. BitLocker jest dostępny we wszystkich pozostałych wersjach (Pro, Enterprise, Education).

BitLocker pozwala na zaszyfrowanie trzech, rozróżnianych przez niego typów dysków:

  • dyski systemowe
  • inne dyski wewnętrzne
  • zewnętrzne nośniki danych

Do odszyfrowywania możemy wykorzystać trzy oferowane metody:

  • TPM (Trusted Platform Module) – czyli domyślna forma przechowywania hasła pozwalającego na odszyfrowanie takiego dysku. TPM jest układem scalonym wbudowanym w płytę główną, który pozwala na wykonywanie prostych operacji kryptograficznych.
  • hasło – przy którym należy pamiętać o odpowiedniej złożoności. Złamanie słabego hasła nie będzie stanowiło większego problemu nawet przy wykorzystaniu metody brute-force. Silne, złożone hasło będzie oczywiście cięższe do zapamiętania, ale tylko w wtedy taka forma zabezpieczeń ma sens (naturalnie można też wykorzystać jeden z dostępnych menadżerów haseł)
  • hasło zapisywane na zewnętrznym nośniku – którego wadą jest przede wszystkim fakt, że jest ono przechowywane w plain text czyli w formie jawnej/niezaszyfrowanej. Oznacza to mniej więcej tyle, że bezpieczeństwo naszych danych opiera się jedynie na nieutraceniu dostępu do komputera oraz zewnętrznego nośnika.

Zdecydowanie najlepszą opcją pod względem nie tylko bezpieczeństwa, ale i wygody korzystania, wydaje się być TPM. Jest on obecnie wbudowany w większości płyt głównych oraz zapewnia najlepszą ochronę będąc przy tym praktycznie niezauważalnym z punktu widzenia użytkownika (nie trzeba tutaj podawać żadnego hasła itp.). Przez to pozwala on na stosowanie dłuższych i bardziej skomplikowanych haseł, jednocześnie posiadając bardzo dobre zabezpieczenia przed nieautoryzowanym dostępem do nich. Istotną przewagą modułu TPM jest również domyślna możliwość szyfrowania dysku systemowego – jeżeli nie mamy go wbudowanego w płytę główną, będziemy zmuszeni dokonać odpowiednich zmian w lokalnym GPO, aby w ogóle móc przystąpić do szyfrowania dysku systemowego.

Ale jak w zasadzie działa moduł TPM? Przechowuje on klucze niezbędne do odszyfrowania dysku. Podczas startu systemu moduł TPM sprawdza aktualną konfigurację komputera. Jeżeli wykryje jakąkolwiek zmianę w sprzęcie bądź w zdefiniowanej kolejności bootowania nie zwróci on klucza potrzebnego do odszyfrowania dysków. Eliminuje on tym samym zagrożenia związane z przełożeniem dysku do innego komputera czy próbą bootowania systemu z innego nośnika, a jednocześnie zabezpiecza dysk przed próbą łamania hasła – ze względu na zdecydowanie większą długość oraz złożoność hasła przy dzisiejszej mocy obliczeniowej komputerów w zasadzie nie jest ono możliwe do złamania w rozsądnej ilości czasu. Przełożenie samego modułu TPM do innej typy głównej także nie zda egzaminu ze względu na wykrycie zmiany konfiguracji komputera.

Na wypadek potrzeby autoryzowanej zmiany konfiguracji komputera czy awarii modułu TPM BitLocker podczas szyfrowania dysku zwraca również tzw. recovery key. Jest to klucz odzyskiwania na wszelkiego rodzaju nieprzewidziane sytuacje. Powinien on być bezpiecznie przechowywany, ponieważ jego znajomość pozwala ominąć całe zabezpieczenie.

Włączenie możliwości szyfrowania dysku systemowego bez TPM w GPO

W przypadku, gdy nie posiadamy wbudowanego modułu TPM (co tyczy się min. maszyn wirtualnych) jest jeden sposób, aby umożliwić zaszyfrowanie takiego dysku wykorzystując jedną z dwóch pozostałych metod (hasła lub hasła na nośniku zewnętrznym). Początkowo przy próbie zaszyfrowania dysku systemowego otrzymujemy następujący komunikat:

Aby wyłączyć to zabezpieczenie przechodzimy do lokalnego GPO np. poprzez uruchomienie (Win+R) gpedit.msc:

W ustawieniach lokalnego GPO znajdujemy opcję Require additional authentication at startup:

Następnie konfigurujemy to ustawienie na Enabled.

e

Od tego momentu możliwe dla nas będzie zaszyfrowanie dysku systemowego bez konieczności wykorzystania do tego modułu TPM.

Szyfrowanie dysku w praktyce

Jak to zwykle bywa dyski można szyfrować zarówno z poziomu GUI jak i Command Line. Póki co skupmy się na GUI. Tutaj szyfrowanie jest niezwykle proste – klikamy PPM na dysk, który chcemy zaszyfrować, a następnie na „Turn on BitLocker”:

Dzięki wcześniejszym ustawieniom w lokalnym GPO możemy zaszyfrować dysk systemowy mimo braku posiadania modułu TPM. Do wyboru mamy dwie pozostałe opcje. Na potrzeby tego przykładu wykorzystam najprostszą metodę – hasło. Gdy możliwy jest TPM krok ten zostanie pominięty ze względu na domyślny wybór metody TPM.

Następnie wprowadzam przykładowe hasło:

W kolejnym kroku możemy wybrać gdzie chcemy zapisać Recovery Key, czyli klucz który pozwoli nam na odszyfrowanie dysku we wszelkich nieprzewidzianych wypadkach. Mamy do wyboru 3 podstawowe opcje, 4 gdy jesteśmy zalogowaniu na naszym urządzeniu swoim kontem Microsoft. Klucz możemy więc zapisać do pliku na dysku, na zewnętrznym nośniku pamięci, wydrukować go, bądź zapisać go w chmurze wykorzystując swoje konto Microsoft:

Po zapisaniu klucza odzyskiwania w kolejnym kroku wybieramy sposób szyfrowania dysku. Wybór jest dość prosty oraz dobrze opisany – zależnie od tego czy jest to nowy, czysty dysk czy dysk, który jest już używany należy wybrać odpowiednią opcję:

Następnie wybieramy tryb szyfrowania – zależnie od tego czy dysk jest przeznaczony tylko dla obecnego urządzenia (co przy dysku systemowym wydaje się być jedyną słuszną opcją) lub czy dysk będzie przenoszony na inne urządzenia (istotne w przypadku szyfrowania zewnętrznych nośników):

W kolejnym kroku potwierdzamy chęć szyfrowania dysku, uruchomienie test sprawdzającego system:

Aby dokończysz szyfrowanie dysku niezbędny będzie restart komputera:

Przy wybranej opcji do odszyfrowywania dysku – hasła, przy ponownym uruchomieniu zmuszeni jesteśmy do wpisania naszego hasła. W przypadku zapisania hasła na zewnętrznym nośniku niezbędne będzie włożenie go np. do portu USB komputera. W przypadku TPM, moduł przekaże odpowiedni klucz i dysk zostanie odszyfrowany automatycznie:

Po wprowadzeniu hasła system opracyjny uruchomi się normalnie. Na tym etapie dysk został już zaszyfrowany. Potwierdzenie tego możemy zaobserwować poprzez ikonkę kłódki, która pojawiła się obok dysku:

Otwarta kłódka oznacza oczywiście, że dysk jest chroniony przez BitLockera natomiast w tym momencie został on odszyfrowany. W przypadku dysków innych niż systemowy będziemy mogli zaobserwować sytuację, gdy będą one zaszyfrowane po uruchomieniu systemu operacyjnego (jeżeli opcja domyślnego odszyfrowywania jest wyłączona). Wtedy koło takiego dysku zaobserwujemy zamkniętą kłódkę:

Przy próbie uzyskania dostępu do dysku zostaniemy poproszeni o podanie hasła (w przypadku, gdy właśnie hasło jest metodą odszyfrowywania dysku):

Po wprowadzeniu odpowiedniego hasła dysk stanie się dla nas dostępny:

Zapisywanie Recovery Key na szyfrowanym dysku

Ze względów bezpieczeństwa system nie pozwoli nam na zapisanie klucza do pliku znajdującego się na szyfrowanym dysku. Logika tego rozwiązania jest dość oczywista – po co nam klucz do oszyfrowania dysku, który znajduje się na zaszyfrowanym dysku i nie mamy do niego dostępu ?

Jeżeli jednak z jakiegoś powodu niezbędne jest zapisanie klucza na szyfrowanym dysku (co stanowczo odradzam!) wystarczy zmienić ścieżkę lokalną na ścieżkę sieciową, aby „oszukać” mechanizm sprawdzający. Przykładowo zapisując taki klucz na pulpicie zamiast ścieżki:

Wystarczy podać:

W tym momencie plik z kluczem bez problemu został zapisany na pulpicie:

Coś jest dla Ciebie niezrozumiałe? Chciałbyś wyrazić opinię na temat artykułu? Znalazłeś jakiś błąd? Koniecznie daj mi o tym znać wysyłając maila lub wypełniając formularz!

Czy ten wpis był dla Ciebie przydatny?

Zostaw ocenę!

Średnia ocena 5 / 5. 1

Nikt nie ocenił jeszcze tego wpisu. Bądź pierwszym, który to zrobi!

Przykro mi, że post nie był dla Ciebie przydatny ...

Podziel się proszę swoją opinią

Twoja opinia jest dla mnie niezwykle ważna

1 komentarz do “Szyfrowanie dysku pod Windowsem – BitLocker (GUI)”

  1. Pingback: Instalacja Windows 10 (GUI) - mlodszybezpiecznik.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *