www.SAMURAJ-cz.com 

21.10.2018 Brigita Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

BitLocker - šifrování externích disků

Upraveno 03.07.2018 13:24 | vytvořeno 26.11.2017 23:01 | Samuraj - Petr Bouška |
Z pohledu uživatele by použití BitLockeru mělo být stejně jednoduché pro jakýkoliv typ disku. Z pohledu správce je nejsložitější konfigurace pro systémové disky, které jsme se věnovali minule. V tomto článku se krátce podíváme na šifrování výměnných disků, tedy BitLocker To Go, což je velmi podobné jako BitLocker Drive Encryption pro Fixed Data Drives.

Připravoval jsem přednášku na toto téma a je možno stáhnout prezentaci ITAdminTalks#2 - BitLocker - šifrování disků nejen pro firmy.

Tento článek navazuje na přechozí BitLocker - šifrování systémových disků, kde je popis BitLockeru a nástrojů pro správu. Užitečné jsou také kapitoly:

  • Další nastavení BitLockeru pomocí politik
  • Uložení BitLocker klíčů pro obnovu v Active Directory
  • Nastavení pomocí Group Policy

Správa BitLocker To Go

BitLocker To Go se označuje BitLocker Drive Encryption (pořád je to stejná technologie) určená pro výměnná média (Removable Data Drives), což jsou USB flash disky, externí hard disky, SD karty a jiné disky, které jsou formátované pomocí NTFS, FAT16, FAT32 nebo exFAT. Můžeme tak ochránit data, která nosíme sebou. Zašifrovaný disk otevřeme na každém počítači, který podporuje technologii BitLocker. Případně můžeme využít aplikaci BitLocker To Go Reader (pouze pro čtení).

BitLocker To Go nepoužívá TPM čip, takže odpadá řada složitostí (stejně tak nemusíme řešit odemykání disku při startu počítače). Pro odemčení (unlock) šifrovaného disku můžeme použít

  • heslo
  • certifikát na čipové kartě (smart card)
  • doménový účet nebo skupinu (SID protector)
  • automatické odemčení (pomocí údajů uložených u účtu na určitém počítači)
  • klíč pro obnovu (Recovery Key)

Nastavení pomocí Group Policy

Jak jsme si popsali již dříve, mnoho věcí můžeme nastavit pomocí skupinových politik. Nastavení se nachází v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Removable Data Drives. Můžeme nastavit, jak se pracuje s informacemi k obnově a můžeme je opět ukládat do AD DS. Nebo definovat parametry hesel k odemčení disku (povinnost použít, komplexnost, délku).

Odemykání čipovou kartou

Pokud chceme použít certifkát na čipové kartě, tak musí splňovat určité parametry nebo musíme nastavit politiku. Pokud má certifikát atribut Key Usage, tak musí mít jednu z hodnot Data Encipherment, Key Agreement nebo Key Encipherment. Pokud má atribut Enhanced Key Usage (EKU), tak musí mít hodnotu OID 1.3.6.1.4.1.311.67.1.1 nebo definovanou politikou Validate smart card certificate usage rule compliance v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption.

Group Policy pro BitLocker certifikát

Použití šifrování z pohledu uživatele

Zašifrování výměnného disku

je velmi jednoduché (v následujícím postupu jsou některé vlastnosti nastaveny pomocí politik):

  • připojíme disk
  • spustíme grafický nástroj BitLocker Drive Encryption (nalezneme jej třeba pod Control Panel)
  • rozklikneme daný externí disk
BitLocker To Go
  • klikneme na Turn on BitLocker (případně můžeme rovnou použít File Explorer a volba se nachází v kontextovém menu)
  • spustí se průvodce, kde v prvním kroku volíme metodu, jakou budeme disk odemykat

Pozn.: Jistější je použít heslo. Druhá možnost je využít certifikát na čipové kartě. Ale je třeba myslet na to, kde všude budeme potřebovat externí disk použít.

BitLocker To Go - odemykání
  • poslední krok již pouze potvrdíme zahájení šifrování
BitLocker To Go - zahájit šifrování
  • šifrování určitou dobu trvá a průběh vidíme v okně
BitLocker To Go - průběh šifrování

Odemknutí disku

Když následně připojíme disk do libovolného počítače (který podporuje BitLocker), tak jej vidíme jako zamčený a musíme zadat zvolené heslo.

BitLocker To Go - odemknutí disku

Nastavení automatického odemykání

Pokud připojíme šifrovaný externí disk a odemkneme jej, tak ve správě BitLockeru BitLocker Drive Encryption, můžeme nastavit Auto-unlock. Tím se uloží údaje k disku do Windows (v profilu přihlášeného uživatele) a při připojení (na tomto počítači) se automaticky odemkne (samozřejmě se trochu snižuje bezpečnost). Pokud bychom tuto metodu chtěli použít pro pevné disky (Fixed Data Drives), tak musí být systémový disk šifrovaný. U výměnných médií (Removable Data Drives) tato podmínka neplatí.

BitLocker To Go - auto-unlock

Nastavení odemykání pomocí doménového účtu nebo skupiny

V rámci domény můžeme nastavit pro odemčení svazku doménový účet nebo skupinu (AD DS Account Key Protector / Security Identifier (SID)-based Identity Protector). Nastavení provedeme pomocí PowerShell cmdletu Add-BitLockerKeyProtector nebo řádkového příkazu manage-bde -protectors. Potom, když je k počítači přihlášený daný účet, tak dojde k automatickému odemčení svazku. Pokud budeme přihlášeni jiným účtem, tak svazek neodemkneme (pokud nebudeme mít nastavenu ještě jinou metodu).

Ukázka nastavení účtu bouska pro odemčení disku E (místo parametru ADAccountOrGroup můžeme využít alias SID).

PS C:\> Add-BitLockerKeyProtector -MountPoint E: -ADAccountOrGroupProtector -AdAccountOrGroup firma\bouska
   ComputerName: BITLOCKER-TEST

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status    
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
Data            E:          0,94 FullyEncrypted         100        {AdAccountOrGroup}        False      On        

C:\> manage-bde -protectors -add E: -ADAccountOrGroup firma\bouska
BitLocker Drive Encryption: Configuration Tool version 10.0.16299
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Key Protectors Added:

    Identity:
      ID: {43DDD924-E476-4256-933D-75C7781E33CB}
      SID:
        S-1-5-21-2200562112-3866772066-1594429334-1123
      Account Name:
        FIRMA\bouska

Zobrazení nastavených metod (ochránců). Možná je pro PowerShell další možnost, ale takto jednoduše mi toho řádkový příkaz ukáže více.

PS C:\> (Get-BitLockerVolume E:).KeyProtector

KeyProtectorId      : {43DDD924-E476-4256-933D-75C7781E33CB}
AutoUnlockProtector : 
KeyProtectorType    : AdAccountOrGroup
KeyFileName         : 
RecoveryPassword    : 
KeyCertificateType  : 
Thumbprint          : 

C:\> manage-bde -protectors -get E:
BitLocker Drive Encryption: Configuration Tool version 10.0.16299
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume E: []
All Key Protectors

    Identity:
      ID: {43DDD924-E476-4256-933D-75C7781E33CB}
      SID:
        S-1-5-21-2200562112-3866772066-1594429334-1123
      Account Name:
        FIRMA\bouska

Pokud chceme metodu odstranit.

PS C:\> Remove-BitLockerKeyProtector -MountPoint E: -KeyProtectorId "{43DDD924-E476-4256-933D-75C7781E33CB}" 
zobrazeno: 5959krát | Komentáře [1]

Autor:

Související články:

Windows OS

Články, které se věnují operačním systémům firmy Microsoft, jak klientských, tak serverových.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

  1. [1] Michal Ryba

    Zdravím.

    Je nějaká možnost šifrovat USB disk jak na iOS tak na Windows, tak aby bylo šifrování použitelné a funkční na obou platformách?

    Děkuji

    Pondělí, 03.09.2018 13:32 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách