Připravoval jsem přednášku na toto téma a je možno stáhnout prezentaci ITAdminTalks#2 - BitLocker - šifrování disků nejen pro firmy.
Tento článek navazuje na přechozí BitLocker - šifrování systémových disků, kde je popis BitLockeru a nástrojů pro správu. Užitečné jsou také kapitoly:
- Další nastavení BitLockeru pomocí politik
- Uložení BitLocker klíčů pro obnovu v Active Directory
- Nastavení pomocí Group Policy
Správa BitLocker To Go
BitLocker To Go se označuje BitLocker Drive Encryption (pořád je to stejná technologie) určená pro výměnná média (Removable Data Drives), což jsou USB flash disky, externí hard disky, SD karty a jiné disky, které jsou formátované pomocí NTFS, FAT16, FAT32 nebo exFAT. Můžeme tak ochránit data, která nosíme sebou. Zašifrovaný disk otevřeme na každém počítači, který podporuje technologii BitLocker. Případně můžeme využít aplikaci BitLocker To Go Reader (pouze pro čtení).
BitLocker To Go nepoužívá TPM čip, takže odpadá řada složitostí (stejně tak nemusíme řešit odemykání disku při startu počítače). Pro odemčení (unlock) šifrovaného disku můžeme použít
- heslo
- certifikát na čipové kartě (smart card)
- doménový účet nebo skupinu (SID protector)
- automatické odemčení (pomocí údajů uložených u účtu na určitém počítači)
- klíč pro obnovu (Recovery Key)
Nastavení pomocí Group Policy
Jak jsme si popsali již dříve, mnoho věcí můžeme nastavit pomocí skupinových politik. Nastavení se nachází v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Removable Data Drives
. Můžeme nastavit, jak se pracuje s informacemi k obnově a můžeme je opět ukládat do AD DS. Nebo definovat parametry hesel k odemčení disku (povinnost použít, komplexnost, délku).
Odemykání čipovou kartou
Pokud chceme použít certifkát na čipové kartě, tak musí splňovat určité parametry nebo musíme nastavit politiku. Pokud má certifikát atribut Key Usage, tak musí mít jednu z hodnot Data Encipherment
, Key Agreement
nebo Key Encipherment
. Pokud má atribut Enhanced Key Usage (EKU), tak musí mít hodnotu OID 1.3.6.1.4.1.311.67.1.1
nebo definovanou politikou Validate smart card certificate usage rule compliance
v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption
.
Použití šifrování z pohledu uživatele
Zašifrování výměnného disku
je velmi jednoduché (v následujícím postupu jsou některé vlastnosti nastaveny pomocí politik):
- připojíme disk
- spustíme grafický nástroj BitLocker Drive Encryption (nalezneme jej třeba pod Control Panel)
- rozklikneme daný externí disk
- klikneme na Turn on BitLocker (případně můžeme rovnou použít File Explorer a volba se nachází v kontextovém menu)
- spustí se průvodce, kde v prvním kroku volíme metodu, jakou budeme disk odemykat
Pozn.: Jistější je použít heslo. Druhá možnost je využít certifikát na čipové kartě. Ale je třeba myslet na to, kde všude budeme potřebovat externí disk použít.
- poslední krok již pouze potvrdíme zahájení šifrování
- šifrování určitou dobu trvá a průběh vidíme v okně
Odemknutí disku
Když následně připojíme disk do libovolného počítače (který podporuje BitLocker), tak jej vidíme jako zamčený a musíme zadat zvolené heslo.
Nastavení automatického odemykání
Pokud připojíme šifrovaný externí disk a odemkneme jej, tak ve správě BitLockeru BitLocker Drive Encryption, můžeme nastavit Auto-unlock. Tím se uloží údaje k disku do Windows (v profilu přihlášeného uživatele) a při připojení (na tomto počítači) se automaticky odemkne (samozřejmě se trochu snižuje bezpečnost). Pokud bychom tuto metodu chtěli použít pro pevné disky (Fixed Data Drives), tak musí být systémový disk šifrovaný. U výměnných médií (Removable Data Drives) tato podmínka neplatí.
Nastavení odemykání pomocí doménového účtu nebo skupiny
V rámci domény můžeme nastavit pro odemčení svazku doménový účet nebo skupinu (AD DS Account Key Protector / Security Identifier (SID)-based Identity Protector). Nastavení provedeme pomocí PowerShell cmdletu Add-BitLockerKeyProtector nebo řádkového příkazu manage-bde -protectors. Potom, když je k počítači přihlášený daný účet, tak dojde k automatickému odemčení svazku. Pokud budeme přihlášeni jiným účtem, tak svazek neodemkneme (pokud nebudeme mít nastavenu ještě jinou metodu).
Ukázka nastavení účtu bouska pro odemčení disku E (místo parametru ADAccountOrGroup
můžeme využít alias SID
).
PS C:\> Add-BitLockerKeyProtector -MountPoint E: -ADAccountOrGroupProtector -AdAccountOrGroup firma\bouska ComputerName: BITLOCKER-TEST VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection Point Percentage Enabled Status ---------- ----- ---------- ------------ ---------- ------------ ---------- ---------- Data E: 0,94 FullyEncrypted 100 {AdAccountOrGroup} False On C:\> manage-bde -protectors -add E: -ADAccountOrGroup firma\bouska BitLocker Drive Encryption: Configuration Tool version 10.0.16299 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Key Protectors Added: Identity: ID: {43DDD924-E476-4256-933D-75C7781E33CB} SID: S-1-5-21-2200562112-3866772066-1594429334-1123 Account Name: FIRMA\bouska
Zobrazení nastavených metod (ochránců). Možná je pro PowerShell další možnost, ale takto jednoduše mi toho řádkový příkaz ukáže více.
PS C:\> (Get-BitLockerVolume E:).KeyProtector KeyProtectorId : {43DDD924-E476-4256-933D-75C7781E33CB} AutoUnlockProtector : KeyProtectorType : AdAccountOrGroup KeyFileName : RecoveryPassword : KeyCertificateType : Thumbprint : C:\> manage-bde -protectors -get E: BitLocker Drive Encryption: Configuration Tool version 10.0.16299 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume E: [] All Key Protectors Identity: ID: {43DDD924-E476-4256-933D-75C7781E33CB} SID: S-1-5-21-2200562112-3866772066-1594429334-1123 Account Name: FIRMA\bouska
Pokud chceme metodu odstranit.
PS C:\> Remove-BitLockerKeyProtector -MountPoint E: -KeyProtectorId "{43DDD924-E476-4256-933D-75C7781E33CB}"
Zdravím.
Je nějaká možnost šifrovat USB disk jak na iOS tak na Windows, tak aby bylo šifrování použitelné a funkční na obou platformách?
Děkuji
Dobrý den, líbí se mi disk Seagate Expansion 3TB odtud https://www.arecenze.cz/externi-disky/#nejlepsich10 jsem naprostý laik, půjde mi zašifrovat podle vašeho návodu?
odpověď na [2]Asha: půjde