Připravoval jsem přednášku na toto téma a je možno stáhnout prezentaci ITAdminTalks#2 - BitLocker - šifrování disků nejen pro firmy.
Pro základní informace o šifrování je tu článek Obecný úvod do šifrování dat.
V tomto článku se primárně věnujeme BitLockeru na operačním systému Windows 10 (v předchozích verzích nejsou tak zásadní změny, takže lze vesměs aplikovat i na ně) a šifrování diskového oddílu s operačním systémem (pro nesystémový oddíl či externí médium platí méně omezení, takže je jednodušší).
Článek je relativně dlouhý, někoho mohou zajímat pouze určité části. Pro přehled stručně obsah:
- TPM - Trusted Platform Module
- Identifikace TPM a verze
- Upgrade či konverze TPM u HP zařízení
- Microsoft BitLocker
- Nástroje pro správu BitLocker
- Požadavky pro BitLocker
- Diskové oddíly - Partition / Volume
- Zašifrování disku - zapnutí BitLocker
- Problémy se zapnutím BitLockeru
- Odemykání BitLockeru - šifrovací klíče a autentizace
- Šifrovací klíče a ochránci klíčů (Protectors)
- Autentizační metody
- Povolené autentizační metody
- BitLocker bez TPM čipu
- Změna autentizační metody - Protector
- Další nastavení BitLockeru pomocí politik
- Uložení BitLocker klíčů pro obnovu v Active Directory
- Group Policy pro nastavení ukládání informací do AD DS
- Informace ukládané do AD DS a jejich zobrazení
- Dodatečné uložení informací do AD DS
- Problém s politikami při šifrování různých typů disků
- Nastavení pomocí Group Policy
- Problém u pevných a výměnných disků
- Obnova (Recovery), aneb nouzové situace
- Zapomenutý PIN a BitLocker Recovery
- Připojení disku k jinému počítači
TPM - Trusted Platform Module
V současnosti je mnoho notebooků a počítačů vybaveno TPM čipem. Aktuální je verze 2.0 (podpora od Windows 8.1, Win7SP1 hotfix), u starších zařízení se setkáme s verzí 1.2 (podpora od Windows Vista) či 1.3. TPM je zabezpečený kryptoprocesor, který podporuje bezpečné generování a uložení kryptografických klíčů. TPM má svůj unikátní RSA klíč. Vytváří si hashe o HW a SW konfiguraci, takže rozezná, pokud došlo ke změně. BitLocker jej používá k ochraně klíčů používaných k zašifrování pevných disků a poskytuje ověření integrity pro důvěryhodnou zaváděcí cestu (boot systému). TPM poskytne šifrovací klíče pouze pro zavaděč operačního systému, pokud nejsou modifikovány jeho soubory. Je možno jej využít i k dalším účelům.
Na internetu nalezneme různé články, které popisují, že TPM nedodává dostatečnou bezpečnost, takže některé aplikace pro šifrování disků jej ani nepodporují. Microsoft BitLocker jej primárně využívá, i když je možno zprovoznit šifrování i bez TPM čipu. Pokud TPM čip máme, tak považuji za vhodné jej použít.
Identifikace TPM a verze
Zda je náš počítač vybaven TPM čipem se můžeme podívat do BIOSu nebo jednodušeji ve Windows do správce zařízení (Device Manager), to ale musí být v BIOSu zapnutý.
Pozn.: Také když spustíme průvodce pro šifrování disku (zapnutí BitLocker), tak se testuje TPM a případně provádí jeho inicializace.
Další možnost je použít aplikaci pro správu TPM čipu, která je součástí Windows. Jedná se o Snap-in tpm.msc.
Pokud TPM nemáme, tak se zobrazí informace Compatible TPM cannot be found. Pokud ano, tak může být v jednom ze tří stavů:
The TPM is not ready for use.The TPM is ready for use, with reduced functionality.The TPM is ready for use.
Pozn.: Ve Windows 10 by se měla provést inicializace (a převzetí vlastnictví) TPM automaticky, pokud není nějaký problém.
Pro správu TPM můžeme také využít určité TPM Cmdlets in Windows PowerShell. Je zde například cmdlet Get-Tpm, který vypíše informace o zamčení TPM při špatně zadaných PINech.
Zajímavé informace o TPM si můžeme zobrazit pomocí příkazu
TpmTool GetDeviceInformation
Upgrade či konverze TPM u HP zařízení
HP má k dispozici nástroj HP TPM Configuration Utility, který spolu s odpovídajícím firmware souborem umožňuje provést upgrade verze TPM čipu nebo konverzi z 1.2 na 2.0 a opačně z 2.0 na 1.2. Zatím poslední verze SP78910 obsahuje firmware 7.61, nalezneme ji v článku Advisory: HP Desktops, Notebooks, and Workstations - HP TPM Configuration Utility With Windows 10 Anniversary Edition Compatible TPM 2.0 Firmware. Po instalaci se nám nástroj rozbalí do (defaultně) složky c:\SWsetup\SP78910. Zavolat se musí z příkazové řádky (práva admin) s patřičným souborem firmwaru (nejjednodušší je zkopírovat jej do stejné složky jako exe). Příklad níže (v oficiální dokumentaci jsou trochu chyby).
tpmconfig64 -f TPM12_6.40.190.0_to_TPM20_7.61.2785.0.BIN
Microsoft BitLocker
BitLocker je technologie pro šifrování disků, která je součástí klientských i serverových operačních systémů Microsoft. Objevila se spolu s Windows Vista a Windows Server 2008. U serverových OS je součástí všech edicí, u klientských Windows 7 a 8 jde o edice Enterprise a Ultimate, ve Windows 10 edice Pro a Enterprise.
BitLocker umožňuje šifrovat (Full Disk Encryption) celé systémové (Operating System Drives) i nesystémové (Fixed Data Drives) oddíly, označuje se jako BitLocker Drive Encryption, nebo výměnná datová média (Removable Data Drives - USB Flash disky, externí disky, SD karty, apod.), což je BitLocker To Go.
Používá, jako šifrovací algoritmus, Advanced Encryption Standard (AES) s délkou klíče 128 nebo 256 bitů (nastavuje se pomocí Group Policy). Do Windows 10 verze 1511 byl přidán bezpečnější algoritmus XTS-AES.
Microsoft v současnosti doporučuje, pro použití BitLocker na klientské stanici, mít operační systém Windows 10, SSD disk a TPM čip 2.0. Já rovnou doplním z praxe, nainstalovat poslední verzi BIOSu a mít jej zapnutý v UEFI módu.
Oficiální dokumentace
- BitLocker - Windows 10
- BitLocker Overview - Windows 8
- BitLocker Drive Encryption Technical Overview - Windows Vista
- BitLocker Frequently Asked Questions (FAQ)
- Trusted Platform Module
Nástroje pro správu BitLocker
Ve Windows 10, o kterých se zde v souvislosti s technologií BitLocker bavíme, máme k dispozici následující nástroje:
- BitLocker Drive Encryption - grafický nástroj pro zapnutí/vypnutí šifrování disku a základní nastavení, nalezneme jej pod Control Panel
- manage-bde - řádkový příkaz, který nabízí více možností než grafické rozhraní
- repair-bde - řádkový příkaz, který slouží k obnově zašifrovaných dat na poškozeném disku (používá Key Packages)
- BitLocker Module - řada PowerShell cmdletů, například
Enable-BitLockeraGet-BitLockerVolume
Požadavky pro BitLocker
Požadavků pro provozování BitLocker není moc. V řadě případů jej jednoduše zapneme a používáme. Pár podmínek zde ale je.
- doporučuje se mít TPM čip, ale alternativně můžeme použít USB Flash disk (povoluje se pomocí Group Policy) nebo heslo
- BitLocker nepodporuje dynamické disky (Dynamic Disk), ale pouze základní disky (Basic Disk)
- na disku musí být speciální oddíl System Partition (viz. dále), musíme tedy mít minimálně dva oddíly
- systémový oddíl (OS a active system partition) musí být formátovaný s NTFS (ostatní mohou být FAT)
- musíme mít administrátorská oprávnění (běžní uživatelé mohou šifrovat pouze výměnná média)
Diskové oddíly - Partition / Volume
Při standardní instalaci na prázdný disk si Windows vytvoří potřebné oddíly automaticky. Jaké přesně oddíly se vytváří, záleží na verzi operačního systému, a zda používáme MBR nebo GPT. Pokud se v systému nenachází potřebný oddíl, tak se jej BitLocker průvodce pokusí vytvořit.
Pro zavedení systému musíme mít systémový oddíl (system partition / boot partition), standardně je skrytý, který obsahuje startovací soubory. Tento oddíl nesmí být šifrovaný, a tudíž se musí jednat o jiný oddíl než oddíl s operačním systémem (většinou má přiřazeno písmeno C). Pro Legacy BIOS musí být formátovaný s NTFS, pro UEFI s FAT32. Jeho velikost má být minimálně 350 MB (můj systém si ale vytvořil 100 MB, což uvádí i dokumentace k diskovým oddílům). Oficiální informace Windows 7 - Understanding Disk Partitions, Windows 10 - Hard Drives and Partitions.
Seznam typů oddílů:
- EFI System Partition (ESP) - systémový oddíl pro bootování, pokud používáme UEFI a GPT, minimálně 100 MB, FAT32, obsahuje NTLDR, HAL, Boot.txt a další soubory pro zavedení systému
- System Reserved (Active System Partition) - systémový oddíl pro bootování, pokud používáme Legacy BIOS s MBR, minimálně 100 MB, NTFS, obsahuje Boot Manager (bootmgr), Boot Configuration Data (BCD) a startovací soubory
- Microsoft Reserved Partition (MSR) - MS ji doporučuje pro každý GPT disk kvůli správě disku, na Windows 10 má velikost 16 MB, není vidět ve správě disku (pouze pomocí
diskpart) - Recovery Partition (WinRE Partition) - zde je uložen obraz Windows Recovery Environment tools (winre.wim, využívá WinPE), který se spouští, pokud kvůli chybě nemůže naběhnout OS, obsahuje nástroje pro práci s šifrovanými BitLocker disky, oddíl nesmí být šifrovaný, jeho velikost je minimálně 300 MB (standardně 450 MB)
- OS Partition (Windows Partition) - obsahuje operační systém (standardně složka Windows), minimálně 20 GB, NTFS
- Data Partition - volitelné další oddíly pro data
Pozn.: Speciální oddíly (jako System a Recovery) nemají přiřazeno písmenko disku, ale pomocí diskpart a příkazu assign jej můžeme přiřadit a podívat se na jejich obsah.
WinRE - Windows Recovery Environment
Můžeme narazit na problémy s nástroji pro obnovu. Pokud je nemáme na samostatném svazku. Nástroje mohou být umístěny (pořadí je dle doporučeného použití):
- speciální Recovery Partition
- systémový oddíl System Reserved nebo EFI System Partition
- OS oddíl s Windows, složka C:\Recovery nebo C:\Windows\System32\Recovery
Pokud systém při instalaci nemá k dispozici speciální oddíl, nebo na něm není dostatek místa (v současnosti je potřeba 350 až 500 MB dle jazyků apod.), tak nainstaluje nástroje na disk spolu s OS. Můžeme použít řádkový příkaz pro zjištění, zda je WinRE zapnuté a kde je uložené.
C:\>reagentc /info Windows Recovery Environment (Windows RE) and system reset configuration Information: Windows RE status: Enabled Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition2\Recovery\WindowsRE Boot Configuration Data (BCD) identifier: ff771aa2-2581-11e6-a0e4-c3c0b5456bec Recovery image location: Recovery image index: 0 Custom image location: Custom image index: 0 REAGENTC.EXE: Operation Successful.
Případně můžeme WinRE zapnout (či vypnout).
C:\>reagentc /enable REAGENTC.EXE: Operation Successful.
Pokud je ale na systémovém disku zapnutý BitLocker a WinRE by se mělo nacházet na něm, tak při zapnutí dostaneme chybu.
REAGENTC.EXE: Windows RE cannot be enabled on a volume with BitLocker Drive Encryption enabled.
Zašifrování disku - zapnutí BitLocker
Pokud se neobjeví žádný problém, tak je zapnutí i užívání funkce BitLocker jednoduché a intuitivní. Následující kroky zobrazují i různé speciální stavy, které v ideálním případě nenastanou (takže se s řadou kroků nepotkáme).
- spustíme grafický nástroj BitLocker Drive Encryption
- vedle disku, který chceme šifrovat (zde řešíme systémový disk C), klikneme na Turn on BitLocker
- (můžeme také ve File Explorer kliknout pravým tlačítkem na disk a zvolit Turn on BitLocker)
- spustí se průvodce, který nejprve kontroluje, zda systém splňuje dané požadavky (a případně provede určité potřebné akce, jako zapnutí TPM - ukazuje druhý obrázek)
- jiná možnost je, že zjistí problém s diskem. V tomto případě není WinRE umístěn na speciálním oddíle, ale nachází se na OS disku C (takže po zašifrování by Recovery Environment tools nebyly dostupné). Průvodce se chce pokusit přesunout WinRE do System Reserved oddílu, ale to se mu nepovede (není tam volných potřebných 350 MB). Automaticky WinRE vypne a pouze nás informuje.
- následující krok se zobrazí pouze, pokud upravíme nastavení Group Policy a jednotlivé položky se odvíjí od nastavených hodnot (podrobně popsáno dále v kapitole Povolené autentizační metody). Volíme metodu odemknutí disku (autentizaci). První obrázek ukazuje možnosti s TPM čipem, druhý bez TPM.
- volíme, kam se uloží klíč pro obnovu (Recovery Key), který můžeme použít v případě problémů, třeba pokud bychom museli připojit disk k jinému počítači (a neměli tedy k dispozici klíče v TPM), nabízené možnosti záleží na různých okolnostech (třeba pokud není počítač v doméně, tak se nabízí uložení do Microsoft účtu)
Pozn.: Nějakou dobu jsem byl dost zmatený z určitého chování, které jsem nenalezl nikde popsané. Patrně to celé bude z toho, že v různých dialozích MS používá pouze termín Recovery Key (a nerozlišuje Recovery Password od Recovery Key). Pokud zvolíme tisk nebo uložení do souboru, tak se použije textové Recovery Password. Pokud zvolíme USB flash disk, tak se na něj uloží oboje do dvou souborů.
- volíme, zda se má zašifrovat celý disk (včetně prázdného místa, kde mohou být nějaká smazaná data) nebo pouze aktuálně používaná část (zbytek se šifruje při ukládání nových dat)
Pozn.: Šifrování celého 250 GB SSD disku na novém výkonném notebooku trvalo 1:24 hod. Šifrování pouze využité části disku (nově instalovaný OS) trvalo 8 minut.
- od Windows 10 verze 1511 volíme, zda chceme použít nový šifrovací algoritmus XTS-AES
- v posledním kroku je dobré zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat
- na závěr je třeba provést restart
Pokud je vše v pořádku, tak se po restartu nezobrazí žádná informace a na pozadí začne probíhat šifrování disku. S počítačem můžeme standardně pracovat. Abychom viděli, jak probíhá šifrování, tak můžeme použít řádkový příkaz či PowerShell cmdlet (příkazy musíme spouštět jako administrátor).
Pozn.: V některých případech se mi v notifikační oblasti zobrazila ikona, která po rozklinutí ukazovala průběh šifrování.
C:\Windows\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]
Size: 237,92 GB
BitLocker Version: 2.0
Conversion Status: Encryption in Progress
Percentage Encrypted: 41,3%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
PS C:\Windows\system32> Get-BitLockerVolume
ComputerName: BITLOCKER-TEST
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 237,92 EncryptionInProgress 43 {Tpm, RecoveryPassword} Off
Můžeme se také podívat do BitLocker Drive Encryption, kde vidíme, zda šifrování probíhá či bylo dokončeno. Také se zde objeví různé konfigurační možnosti (záleží na mnoha okolnostech).
Problémy se zapnutím BitLockeru
Při testování jsem narazil na problém, který není ani příliš na internetu popsaný. Průvodce zapnutí BitLocker prošel v pořádku, na konci se provedl restart, aby došlo k systémové kontrole. Po startu systému se zobrazila chybová zpráva.
Bitlocker could not be enabled. The Bitlocker Encryption key cannot be obtained from the Trusted Platform Module (TPM).
Související informace se zobrazovala ve Snap-in tpm.msc, kdy byl stav zobrazen The TPM is ready for use, with reduced functionality.
Prvním krokem je doporučeno nainstalovat poslední verzi BIOSu, protože často může opravovat operace s TPM čipem. V tomto případě se nic nezměnilo.
Microsoft ve svém článku View status, clear, or troubleshoot the TPM (kde je i řada dalších užitečných informací) uvádí, že pokud je TPM stav with reduced functionality, tak se má provést vymazání klíčů v TPM. Ani toto nepomohlo (na jiném počítači se tímto problém vyřešil).
Nakonec byl problém v tom, že v počítači byl čip TPM 2.0 a BIOS běžel v Legacy módu. S tím také souvisí, že systémový disk měl partitioning scheme typu MBR (Master Boot Record). Našel jsem například zmínku TPM is ready for use, with reduced functionality message when the BIOS is in legacy mode with TPM 2.0, která se sice týká serverových OS, ale patrně bude stejná i pro klientské.
Aby správně fungovalo TPM 2.0, tak musí systémový BIOS být v UEFI (Unified Extensible Firmware Interface) módu a v nastavení musí být zapnuté TPM a Secure Boot. UEFI používá pro disky GPT (GUID Partition Table).
Možnost je tedy provést downgrade TPM na verzi 1.2. Nebo přepnout BIOS do módu UEFI, což si vyžádá změnu oddílu z MBR na GPT. To ještě nedávno z pohledu MS znamenalo reinstalaci operačního systému. Nově do Windows 10 verze 1703 byl doplněn řádkový příkaz MBR2GPT.EXE, který dokáže systémový disk převést do GPT (bez ztráty dat). Následně je třeba přepnout BIOS do UEFI, aby podporoval GPT a mohl systém nabootovat.
Abychom zjistili, v jakém módu máme BIOS, tak můžeme použít nástroj msinfo32.exe, kde se v položce BIOS Mode zobrazí buď UEFI nebo Legacy.
Je zde tedy řada vazeb, zjednodušené shrnutí. Legacy BIOS využívá MBR, UEFI využívá GPT. Windows podporuje GPT na bootovacím disku od 64 bitových Windows Vista nebo 32 bitových Windows 8 a vyžaduje UEFI. TPM 1.2 je podporováno od Windows Vista a TPM 2.0 od Windows 8.1, ale pro Windows 7 SP1 je k dispozici hotfix, který podporu doplní. TPM 2.0 vyžaduje UEFI a Secure Boot.
Odemykání BitLockeru - šifrovací klíče a autentizace
Disk máme zašifrovaný a nyní bychom mohli začít přemýšlet nad tím, jak jsou data zabezpečená a jak se k nim dostaneme.
Abychom mohli pracovat s daty na šifrovaném (encrypted) disku (třeba zavést operační systém), tak je musíme dešifrovat (decrypt). Microsoft říká, že provedeme odemknutí (unlock) BitLocker svazku. K odemknutí se používá určitá forma autentizace (BitLocker Authentication Method).
Šifrovací klíče a ochránci klíčů (Protectors)
BitLocker využívá celou řadu klíčů. Disk (vlastní data) je šifrován pomocí Full Volume Encryption Key (FVEK), ten je šifrován pomocí Volume Master Key (VMK) a ten je chráněn nějakou metodou pro ochranu šifrovacích klíčů, která se označuje jako BitLocker Key Protectors. FVEK i VMK jsou uloženy na zašifrovaném disku na dvou místech, vždy jsou uloženy zašifrovaně, může je číst boot manager. Toto zřetězení umožňuje měnit klíče, aniž bychom museli přešifrovat celý disk. Možnosti ochránců klíčů (Protectors) jsou:
- TPM (Trusted Platform Module) - hardware zařízení pro uložení šifrovacích klíčů
- PIN (Personal Identification Number) - číselný kód (4, nově 6, až 20 číslic), může se použít pouze dohromady s TPM
- Enhanced PIN - alfanumerický kód, může se použít pouze dohromady s TPM
- Startup key - šifrovací klíč uložený na výměnném médiu, může se použít samostatně či dohromady s TPM
- Recovery password - 48-číselný kód, který se může použít k odemčení svazku v Recovery módu (pokud se nedaří zadat pomocí číslic, tak se mohou využít klávesy F1-F10)
- Recovery key - šifrovací klíč uložený na výměnném médiu, který je možno použít k odemčení disku
- Key Package - nejde o Key Protector, ale o balík klíčů, které můžeme použít pro rozšifrování dat na poškozeném disku, je chráněno pomocí Recovery password
Pozn.: Toto jsou možnosti, které se týkají systémového disku. Pro ostatní pevné disky nebo výměnná média platí jiné možnosti. Můžeme třeba použít odemčení certifikátem na čipové kartě (smartcard).
Každý Key Protector, který použijeme (k šifrovanému disku jich můžeme nastavit několik najednou, pak pomocí libovolného z nich odemkneme disk, ale povolené jsou pouze určité kombinace), má přiřazené svoje ID, pomocí kterého jej jednoznačně identifikujeme.
Recovery Password se buď vytiskne jako číselný kód nebo se ukládá do textového souboru. Ten má standardní pojmenování, které obsahuje jeho ID BitLocker Recovery Key B36838F0-D01B-4427-8607-D438FB725BB5.TXT. Jeho obsahem je primárně číselný kód. Nástroj manage-bde jej označuje jako Numerical Password. Příklad obsahu souboru:
BitLocker Drive Encryption recovery key To verify that this is the correct recovery key, compare the start of the following identifier with the identifier value displayed on your PC. Identifier: B36838F0-D01B-4427-8607-D438FB725BB5 If the above identifier matches the one displayed by your PC, then use the following key to unlock your drive. Recovery Key: 180092-326667-085987-089089-423016-163515-262691-143924 If the above identifier doesn't match the one displayed by your PC, then this isn't the right key to unlock your drive. Try another recovery key, or refer to http://go.microsoft.com/fwlink/?LinkID=260589 for additional assistance.
Startup Key se ukládá do skrytého binárního souboru s příponou BEK. Název je jeho ID, třeba 6F3C8360-046A-4F19-9DAF-AE473D83042D.BEK. Na některých místech se označuje jako External Key protector for startup.
Recovery Key se ukládá do stejného souboru, a má stejný tvar, jako Startup Key. Na některých místech se označuje jako External Key protector for recovery. Pokud máme Recovery Key na USB disku, který je připojen do počítače, tak počítač automaticky nastartuje, i když máme třeba ochranu PINem (použije se jiný Protector).
Autentizační metody
Pokud máme zašifrovaný systémový disk pomocí BitLockeru, tak na začátku startu operačního systému musí získat šifrovací klíče, aby mohl data dešifrovat. Přitom záleží na použitých BitLocker Key Protectors. Mluvíme o různých autentizačních metodách (BitLocker Authentication Methods). Pokud je použito více možností než jedna, tak jde o vícefaktorovou autentizaci (Multifactor Authentication) a většinou to zajistí, aby systém sám nenastartoval, tedy zabezpečí data při krádeži počítače. Autentizační metody jsou:
- TPM - nejjednodušší možnost, umožňuje vzdálený restart (nevyžaduje uživatelskou interakci při startu), ale také nejméně bezpečná (klíče jsou uloženy v počítači v TPM čipu, takže automaticky nastartuje)
- TPM + PIN - uživatel musí při startu zadat PIN, aby došlo k přístupu ke klíčům v TPM , při opakovaném zadání chybného PINu dojde k zamčení (u TPM 1.2 dáno výrobce, u TPM 2.0 defaultně 32, možno změnit)
- TPM + Network Key - využívá se síťové odemčení (Network Unlock), pokud je počítač ve firemní síti, tak získá klíč z WDS serveru a automaticky odemkne disk a nastartuje, využívá certifikáty a DHCP (vyžaduje řadu nastavení)
- TPM + Startup Key - při startu musí být vložen USB Flashdisk, který obsahuje Startup Key
- TPM + PIN + Startup Key - při startu musíme vložit USB Flashdisk a zadat PIN
- Startup Key - pokud nemáme TPM čip, tak můžeme použít USB Flashdisk, který obsahuje Startup Key
- Password - MS tuto možnost neuvádí v seznamu autentizačních metod, ale pokud nemáme TPM čip, tak máme na výběr mezi USB Flashdisk (Startup Key) a heslem, které zadáváme při startu
Pozn.: Aby mělo používání Startup Key smysl, tak nesmíme USB Flashdisk nechávat stále zapojený v počítači. Stejně tak Recovery password a key bychom neměli uchovávat u počítače, ale na jiném místě.
Povolené autentizační metody
Uvedli jsme si různé možnosti autentizace (zabezpečení klíčů - Protectors) pro BitLocker. Ve výchozím stavu je ale povolena pouze jediná (a relativně nebezpečná) TPM only. Pokud TPM čip nemáme, tak vůbec nemůžeme BitLocker zapnout, a nelze zvýšit bezpečnost třeba PINem. Změnit výchozí možnosti můžeme pouze pomocí Group Policy (ať v rámci domény nebo lokálně).
Jedná se o položku Require additional authentication at startup v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives. Zde máme různé možnosti, které můžeme povolit, případně jednu nastavit jako povinnou.
BitLocker bez TPM čipu
Pokud zkusíme zapnout BitLocker a nemáme v počítači TPM čip (může být pouze vypnutý v BIOSu nebo špatně instalovaný ovladač), tak se na začátku průvodce zobrazí chyba:
This device can’t use a Trusted Platform Module. Your administrator must set the "Allow BitLocker without a compatible TPM" option in the "Require additional authentication at startup" policy for OS volumes.
Jak nám hlášení napovídá, nastavíme politiku popsanou v minulé kapitole. Group Policy položka Require additional authentication at startup v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives. Toto nastavení povolíme (Enabled) a zatrhneme Allow BitLocker without a compatible TPM.
Změna autentizační metody - Protector
Nastavení politiky, kde povolíme požadované autentizační metody, můžeme provést před šifrováním disku. Pak nám průvodce zapnutí BitLockeru nabídne výběr metody pro odemčení disku. V průvodci (obecně v GUI) se nabízí možnost:
- pokud máme zapnutý TPM čip
- Enter a PIN - autentizace TPM + PIN
- Insert a USB flash drive - autentizace TPM + Startup Key
- Let BitLocker automatically unlock my drive - autentizace TPM
- bez TPM čipu
- Insert a USB flash drive - autentizace Startup Key
- Enter a password - autentizace Password
Nebo můžeme metodu změnit na již zašifrovaném disku. K tomu můžeme použít nástroj BitLocker Drive Encryption, který nám (za určitých podmínek) nabídne novou volbu Change how drive is unlocked at startup.
Více možností nám poskytne řádkový příkaz manage-bde nebo PowerShell cmdlety. Zde můžeme nastavit i kombinace více metod (TPM + PIN + Startup Key) nebo několik alternativních možností (každá sama odemkne disk, s TPM může být pouze jedna, k ní můžeme přidat další bez TPM). Základní použití je následující (vždy můžeme za příkaz zadat -? a dostaneme nápovědu).
Vypsání použité autentizační metody:
manage-bde -protectors -get C: (Get-BitLockerVolume -MountPoint C:).KeyProtector
Nastavení TPM + PIN, následně dostaneme dotaz na zadání PINu:
manage-bde -protectors -add C: -tpmandpin Add-BitLockerProtector -MountPoint C: -TPMandPinProtector
Další nastavení BitLockeru pomocí politik
Pomocí Group Policy můžeme ovlivnit řadu parametrů a chování BitLockeru nebo TPM čipu. Oficiální dokumentace BitLocker Group Policy settings. Pár příkladů:
V cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives
- pokud chceme místo standardního (číselného) PINu využívat Enhanced PIN, kde se k číslům přidávají písmena, tak musíme povolit nastavení
Allow enhanced PINs for startup - můžeme změnit minimální požadovanou délku PINu (za aktuálního minima 6 do maxima 20) v
Configure minimum PIN length for startup
V cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption
- nastavení šifrovací metody a síly šifry můžeme v
Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later)
V cestě Computer Configuration - Administrative Templates - System - Trusted Platform Module Services
- počet chybně zadaných PINů, kdy dojde k uzamčení TPM na určitou dobu, můžeme nastavit v
Standard User Lockout Duration,Standard User Individual Lockout ThresholdaStandard User Total Lockout Threshold
Uložení BitLocker klíčů pro obnovu v Active Directory
Důležitou částí BitLockeru jsou klíče pro obnovu (Recovery Keys), abychom se v případě nějakých problémů dostali k zašifrovaným datům na disku. Ve firemním prostředí určitě chceme nějaké centralizované řešení pro správu těchto klíčů a často potřebujeme mít možnost, jako administrátoři, dostat se k šifrovaným datům uživatelů. Microsoft nabízí jednoduchou možnost uložit (zálohovat) tyto klíče do Active Directory Domain Services (Store recovery keys in Active Directory). Ukládat můžeme 48-číselný Recovery password nebo také Key Package, který umožní získat data z poškozeného disku (uložení do AD DS je jediná jednoduchá možnost, jak se k Key Package dostat).
Nastavení se provádí opět pomocí Group Policy. Můžeme zálohovat informace pro obnovu BitLocker nebo TPM (různé diskuse uvádí, že záloha TPM je zbytečná, ač MS doporučuje zálohovat oboje, navíc došlo ke změně ve Windows 10 verze 1607). K uloženým informacím v AD DS se standardně dostanou pouze Domain Admins.
Pozn.: Pro lepší správu firemního prostředí má Microsoft k dispozici nástroj Microsoft BitLocker Administration and Monitoring (MBAM), který je součástí Microsoft Desktop Optimization Pack (MDOP). Používá serverovou část (a SQL Server + Reporting Services) a klienty, zobrazuje přehled verzí BIOSu a TPM, provádí instalace BitLocker, obsahuje řadu reportů a webový portál pro získání BitLocker Recovery Key a TPM Owner Password.
Group Policy pro nastavení ukládání informací do AD DS
Na začátek poznámka, jelikož mne dost zarazilo, že je patrně chyba v Microsoft dokumentaci. I poslední verze, kterou jsem nalezl, pro Windows 10 - Active Directory Domain Services considerations, uvádí politiky Turn on BitLocker backup to Active Directory Domain Services a Turn on TPM backup to Active Directory Domain Services. Takové ale ve Windows 10 verze 1607 neexistují.
Nalezl jsem zmínku, že Microsoft ve Windows 10 verze 1607 odstranil možnost zálohy TPM. V této verzi se změnila práce a přístup k TPM Owner Password (Change the TPM owner password) a proto tuto hodnotu nemůže zálohovat do AD. Určité možnosti nabízí nástroj Microsoft BitLocker Administration and Monitoring (MBAM), ale TPM heslo není potřeba pro přístup k datům, která jsou šifrovaná pomocí BitLocker, takže by nám to zásadně nemělo vadit (používá se pro odemčení zamknutého TPM čipu).
Informace k záloze BitLocker uvádí lépe stará dokumentace Backing Up BitLocker and TPM Recovery Information to AD DS v kapitole Configure Group Policy to enable backup of BitLocker and TPM recovery information in AD DS. Zjistíme, že od Windows 7 se používá nastavení Choose how BitLocker-protected operating system drives can be recovered v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives.
Zde nastavíme volbu Save BitLocker recovery information to AD DS for operating system drives a rozhodneme se, zda chceme do AD ukládat pouze Recovery Password nebo také Key Package. Můžeme také aktivovat volbu Do not enable BitLocker until recovery information is stored in AD DS for operating system drives, pak nelze aktivovat BitLocker, dokud není počítač zařazen do domény a informace k obnově nejsou korektně uloženy (například se při zapínání BitLockeru nenachází v síti).
Pokud používáme BitLocker Data Recovery Agents, což jsou účty, jejichž PKI certifikát je použit globálně jako Key Protector, takže mohou odemknout BitLocker disky na všech počítačích, tak povolíme Allow data recovery agent. Musíme mít také nastavenou politiku Provide the unique identifiers for your organization a další nastavení. Pokud tedy Recovery Agents nepoužíváme, tak musíme hodnotu odškrtnout!
Informace ukládané do AD DS a jejich zobrazení
BitLocker informace se ukládají v AD DS jako objekt, který je pod objektem počítače. Jde o objekt msFVE-RecoveryInformation, který má atributy:
- ms-FVE-RecoveryPassword - 48-číselný kód používaný v Recovery módu
- ms-FVE-RecoveryGuid - GUID přiřazené k Recovery Password pro jeho identifikace
- ms-FVE-VolumeGuid - GUID šifrovaného disku
- ms-FVE-KeyPackage - obsahuje šifrovací klíč zabezpečený pomocí Recovery Password, je možno použít pro obnovu části dat při poruše disku
Pro prohlížení informací slouží nástroj BitLocker Password Recovery Viewer, který je součástí Remote Server Administration Tools (RSAT). Jedná se pouze o rozšíření Active Directory Users and Computers, které u počítačových objektů přidává záložka BitLocker Recovery.
Nebo si můžeme data zobrazit přímo v Active Directory Users and Computers (či ADSI Edit). V menu View zatrhneme Users, Contacts, Groups, and Computers as containers, pak můžeme rozkliknout objekt počítače a vidíme objekty pod ním.
Dodatečné uložení informací do AD DS
Pokud na některých počítačích aktivujeme BitLocker dříve, než nastavíme politiku pro ukládání klíčů pro obnovu do AD DS, tak se těmto počítačům nic neuloží. Máme k dispozici příkazy, kterými můžeme uložení ručně vyvolat. Buď použijeme řádkový příkaz nebo PowerShell.
Nejprve musíme získat ID pro Protector, který chceme do AD zálohovat. Jedná se o Recovery Password (Numerical Password). Pokud zkusíme ID jiného Protectoru, tak dostaneme chybu.
C:\>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {BB30F4FB-9263-45D2-B227-799E22582B20}
Password:
079552-555544-716221-392788-505340-245069-453937-232727
TPM And PIN:
ID: {8D1F2731-31E7-40F1-9FEB-8D04079835AB}
PCR Validation Profile:
0, 2, 4, 11
PS C:\> (Get-BitLockerVolume -MountPoint c:).KeyProtector
KeyProtectorId : {BB30F4FB-9263-45D2-B227-799E22582B20}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 079552-555544-716221-392788-505340-245069-453937-232727
KeyCertificateType :
Thumbprint :
KeyProtectorId : {8D1F2731-31E7-40F1-9FEB-8D04079835AB}
AutoUnlockProtector :
KeyProtectorType : TpmPin
KeyFileName :
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Pak vyvoláme zálohování (musí být politikou povoleno zálohování do AD DS).
C:\>manage-bde -protectors -adbackup C: -id {BB30F4FB-9263-45D2-B227-799E22582B20}
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Recovery information was successfully backed up to Active Directory.
PS C:\> Backup-BitLockerKeyProtector -MountPoint C: -KeyProtectorId "{BB30F4FB-9263-45D2-B227-799E22582B20}"
ComputerName: BITLOCKER-TEST
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 237,92 FullyEncrypted 100 {RecoveryPassword, Tpm... On
Problém s politikami při šifrování různých typů disků
V článku se věnujeme použití BitLockeru při šifrování diskového oddílu s operačním systémem. Po čase jsem chtěl použít šifrování i pro výměnné disky a při tom jsem narazil na podivnou chybu. Nikde na internetu jsem nenašel vysvětlení, takže jsem doplnil tuto kapitolu z mých zkušeností.
Nastavení pomocí Group Policy
Ukázali jsme si, že mnoho věcí okolo nastavení BitLockeru, lze řídit pomocí skupinových politik (není to vše, třeba nemůžeme zakázat vypnutí BitLockeru pro administrátora). Nastavení se nachází v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption, kde máme tři podsložky a nastavení v nich se týká určité skupiny disků.
- Fixed Data Drives - další pevné disky (přesněji svazky/oddíly) v počítači
- Operating System Drives - systémové disky (těm se zde věnujeme)
- Removable Data Drives - výměnné disky (externí USB disky, Flash disky, apod.), tedy BitLocker To Go
Pro každou skupinu disků máme k dispozici určité politiky, ale základní jsou stejné. Popsali jsme si politiku Require additional authentication at startup, která je pouze pro systémové disky a nastavujeme povolené autentizační metody (ve firmě patrně nastavíme jednu jako povinnou a ostatní pak musíme zakázat).
Druhá, podle mne, nejdůležitější politika se jmenuje Choose how BitLocker-protected operating system drives can be recovered a existuje pro všechny typy disků (jen se v názvu politiky mění označení disku). Nastavujeme, jestli a jaké informace k obnově si může uložit uživatel a jestli se tyto údaje ukládají do AD DS.
Nastavení, které jsem původně provedl, ukazuje následující obrázek. Nepoužívám Recovery agenty, nechtěl jsem, aby si uživatelé ukládali informace k obnově (šifrování systémového disku pro ně stejně provádí správci a musel by se vkládat externí disk), naopak chci ukládat všechny údaje do AD DS a pokud to nelze, tak nešifrovat.
Problém u pevných a výměnných disků
S nastavením výše funguje šifrování systémového disku bez problémů. Průvodce se téměř na nic neptá (jsou použity i další politiky) a údaje pro obnovu se uloží do AD DS. Ale při pokusu o použití BitLockeru na jiný pevný disk nebo libovolné výměnné médium, se zobrazí chyba:
BitLocker Drive Encryption cannot be applied to this drive because there are conflicting Group Policy settings for recovery options on operating system drives. Storing recovery information to Active Directory Domain Services cannot be required when the generation of recovery password is not permitted.
Při různých pokusech s nastavením politiky Choose how BitLocker-protected operating system drives can be recovered pro pevné a výměnné disky (když jsem zadal stejné hodnoty jako pro systémový disk) se mi zobrazila ještě jiná chyba.
Výsledkem je, že pro systémový disk (a případně i pro všechny ostatní, pokud politiku nastavujeme) musíme nastavit Allow u Recovery informací. Pokud chceme, aby se uživatelům v průvodci nezobrazila možnost uložit informace pro obnovu, tak použijeme zatržítko Omit recovery options from the BitLocker setup wizard.
Pozn.: Uživatelé mají u šifrovaných disků v nástroji BitLocker Drive Encryption k dispozici možnost Back up your recovery key.
Obnova (Recovery), aneb nouzové situace
Stručně zmíníme některé možnosti, jak se dostat k datům na šifrovaném disku v případě nějakých problémů. Navíc existuje mnoho situací, kdy počítač při startu spustí BitLocker Recovery a my musíme, pro start operačního systému, zadat Recovery Key. Nejvíce situací je v souvislosti s TPM čipem, který chrání integritu hardwarových a softwarových komponent. Pak třeba, pokud dojde k upgradu BIOS/UEFI/TPM firmware (doporučeno je předem pozastavit BitLocker), změně partition tabulky, zapnutí bootování z USB, přidání HW komponenty nebo také opakovanému zadání chybného PINu, tak systém nenastartuje a musíme tuto operaci autorizovat pomocí Recovery Key. Samozřejmě je to ochrana před různými útoky. Kompletní výpis událostí je v BitLocker recovery guide.
Opět zde hraje velkou roli, co jsem zmiňoval při zapínání BitLockeru. Microsoft u Recovery procesu patrně používá pouze termín Recovery Key a nerozlišuje Recovery Password od Recovery Key. Podle toho, jaké Protectory (z těchto dvou) máme na disku nastavené, je můžeme využívat. Průvodce pak chce vložení USB disku, když hledá Recovery Key. Nebo zadání číselného kódu, když používá Recovery Password.
Pozastavení BitLocker - Suspend Protection
Pokud provádíme cíleně změny (jako upgrade firmware), tak se má provést pozastavení BitLockeru. Pak vše proběhne, disk se chová jako nešifrovaný, standardně se po restartu BitLocker automaticky zapne. Některé nástroje provedou pozastavení automaticky. Při pozastavení nedojde k rozšifrování disku, ale použije se Clear Key, kterým se zašifruje Volume Master Key, a ten se uloží nešifrovaně na disk. Po obnovení se změní VMK, aktualizují protektory a smaže Clear Key.
Pro pozastavení BitLockeru můžeme použít GUI BitLocker Drive Encryption - Suspend protection. Nebo příkazy:
manage-bde –pause C: Suspend-BitLocker -MountPoint "C:" -RebootCount 1
Zapomenutý PIN a BitLocker Recovery
Pokud máme nastaveno odemykání systémového disku pomocí PINu, tak se před startem OS zobrazuje dialog na zadání tohoto PINu.
Pokud bychom PIN zapomněli, tak můžeme stisknout klávesu ESC a provést BitLocker recovery. Pokud máme nastavený Recovery Key, tak se dozvíme, že máme vložit odpovídající USB flash disk a restartovat. Systém naběhne bez dotazu na PIN.
Pokud nastavený Recovery Password, tak můžeme stisknout ESC pro další možnosti a zobrazí se políčko na zadání číselného kódu. Po jeho správném zadání systém nastartuje.
Když se dostaneme do operačního systému, tak můžeme pomocí nástroj BitLocker Drive Encryption, zvolit Change PIN a nastavit nový PIN.
Připojení disku k jinému počítači
Zašifrovaný systémový disk můžeme připojit k jinému počítači (s OS, které podporuje BitLocker). Disk se zobrazí jako zamčený pomocí BitLockeru a můžeme jej odemknout.
Jednoduše zadáme 48-znakové Recovery Password, které například vykopírujeme z AD DS. Nebo pokud máme textový soubor s BitLocker Recovery Key na Flash disku, tak jej připojíme a klikneme na Load key from USB drive.
Následně můžeme s diskem standardně pracovat.
Komentáře
Moc pekny clanek.
Palec nahoru, perfektní!
Moc díky za přínosný článek
Ahoj, diky za super clanek!
Mam dotaz: Funguje ulozeni klicu i do Azure AD?
odpověď na [4]Jan: anderseideblog.wordpress.com/2016/05/27/finding-your-bitlocker-recovery-key-in-azure-ad/
Super článek, díky
Docela dlouho jsem hledal, jaké parametry musí splňovat certifikát na čipové kartě, aby se mohl použít pro BitLocker To Go. Tak zde je odkaz technet.microsoft.com/en-us/library/dd875548(WS.10).aspx.
Ahoj,
moc hezky clanek. Co se tyka Recovery, problem neni ani tak v TPM chipu, jako spise v kombinaci UEFI a TPM (presneji casti UEFI nazyvane SecureBoot) a pripadne jeste spolu s Management Engine a Trusted Execution Technology. Zde jakakoliv zmena digitalnich podpisu prohlasi danou cast kodu za "neverifikovanou" a odmitne ji spustit. Ale to je tema na delsi diskusi.
Luxusni clanek, od ted se toho bojim :). Jak se to všechno chova s putovnim profilem? Je potřeba nejake klice z jednoho PC exportovat na ostatní, nebo je to transparentni?
Dekujeme ;)
odpověď na [9]Hafajs: Bát se není čeho. Na Roaming User Profiles to nemá žádný vliv. Šifrují se data pouze na vybraném lokálním disku. Aplikace v rámci OS pracují s rozšifrovaným diskem (ani neví, že je šifrovaný).
Myslel jsem na stav, kdy data opousteji sifrovany disk kvůli synchronizaci profilu. Data sifrovana EFS při pokusu o vykopirovani jsou desifrovana (uživatel je upozornen), ale při synchronizaci profilu nejsou prenesena. Vim, ze jsou to dva ruzne zpusoby, ale nemam si jak ověřit chovani u BL. Proto se ptam.
ahoj, chystam se zapnout Bitlocker ve WIN 10 (puvodne win8) na Lenovu E540 z druhe ruky... Bios/disk je v legacy-CSM modu s MBR diskem. Podle toho co tu ctu, je pravda ze TPM 1.2 nepotrebuje UEFI rezim, respektive GPT? Jinak v UEFI rezimu to snad umi bootovat i z MBR? nebo jak to teda je mysleno?
https://superuser.com/questions/739153/uefi-with-mbr-partition-table
recovery/EFI? partition windows ma..
Cip TPM je pripraven k pouziti s omezenou funkcnosti FLAGS 0x100
Mam ho tedy promaznout a pojede to, nebo pred tim aspon zapnout UEFI?
Kvuli vytvorene bitove kopie disku na MBR nechci delat konverzi na GPT pak to uz vubec nepojede obnovit.... staci ted jsem jen klonoval disk na SSD a uz je problem v tom ze je rozbity soubor ReAgent.xml. Bude mi ted vubec fungovat obnoveni z bitove kopie disku ze ktereho jsem se naklonoval? (opravim ten ReAgent?) https://superuser.com/questions/1172548/cannot-re-enable-bitlocker
mimochodem co nejake ciste reseni z prikazove radky namisto smaznuti/prejmenovani toho souboru xml?
odpověď na [12]michal:
No zapl jsem bitlocker, mam ted Key Protectors: TPM, Numerical Password, pridal jsem External key (recovery) a po zasifrovani a restartu mi to porad hlasi TPM pripraven ke spusteni s omezenou funkcnosti 0x100, ale haluz po dalsim restartu to normalne nabootuje i bez key a nic to po mne nechce (zadne recovery)
Na jedinem miste, co jsem nasel, kde se resi tento kod se pise... from Win10 v1607 on Windows actually doesn't store the TPM ownership information anymore by default...takze asi OK
Skvělá práce !!!
Ahoj, výborný článek. Podělím se s rozdílným chováním při dodatečném uložení recovery key do AD.
- pokud jsem postupoval podle článku
manage-bde -protectors c: -adbackup -id {6CEA8E62-9492-4CB3-A64D-D7F726878E37}
- dostal jsem následující chybu
ERROR: Parameter "-ID" requires an argument.
- pro řešení je nutné ID ohraničit jednoduchými uvozovkami.
manage-bde -protectors c: -adbackup -id '{6CEA8E62-9492-4CB3-A64D-D7F726878E37}'
- výsledek je OK
Recovery information was successfully backed up to Active Directory.
[url=https://smeshnoe-video-prikoly.blogspot.com/]Уральские Пельмени смотреть онлайн[/url]
Смотри онлайн шоу Уральские пельмени! Полный сборник видеовыступлений команды КВН Уральские пельмени: записи концертов шоу-программ, лучшие номера и песни!
Zdravím,
Instalační program nástroje BitLocker nenašel cílovou systémovou jednotku.Zřejmě bude nutné ji ručně připravit.
Touto hláškou končím při pokusu zapnout BL.
Byla by nějaká rada,ja jej zprovoznit,mám W10/64 Pro. TMP v Biosu nastaven,vypadá to že nevidí systém.. díky za help,moc fajn článek.
Ahoj,
při zapínání bitlockeru jsme narazili na velmi obecnou hlášku "systém nemůže nalézt uvedený soubor" - pomohlo přejmenovat soubor C:\Windows\System32\Recovery\ReAgent.xml a následně zapnout Bitlocker.
Třeba se to bude někomu hodit. :)
Nastavil jsem BitLocker na TPM a PIN, ale když zapnu počítač, tak mi nenaběhne vůbec nic, jen černá, resp. nezapnutá obrazovka a dokud ten PIN nezadám, tak to nedělá nic. Není někde chyba, podle mého by se měla aspoň ukázat výzva k zadání toho PINu, ne?
Předem díky.
odpověď na [19]Stouny: To bude nějaká chyba ve výstupu obrazu textového režimu. Ke konci článku je snímek obrazovky, jak vypadá zadání PINu.
Zdravím,
řeším s BitLockerem následující problém - čistá instalace Windows 10 Pro, instalace ovladačů, zapnutí šifrování systémového disku s uložením klíče do TPM... (Thinkpad T540p)
vše fungovalo dobře, pak se v rámci aktualizací stáhl ovladač "Intel 8 Series Chipset Family SATA AHCI Controller" a začaly problémy.
1) NB se neprobudí ze režimu spánku – pouze do blackscreen - po tvrdém vypnutí a opětovném zapnutí systém naběhne..
2) NB požadoval při každém startu zadání BL klíče
3) a hlavní problém - po naběhnutí systému není u systémového disku ikona se "zámečkem" a Windows si myslí, že disk šifrovaný není - nabízí "zapnout nástroj bitlocker". Nicméně disk zašifrovaný je, po přípojení k jinému pc se nenačte - vyskočí hláška "disk není naformátovaný"
- Pokud kliknu na "zapnout nástroj bitlocker", systém už nenaběhne vůbec a je třeba všechny oddíly odstranit a udělat čistou instalaci Windows
Nikde jsem řešení takového problému neobjevil – dokážete někdo poradit?
Díky
-DoDo-
odpověď na [21]DoDo: Doplnění:
manage-bde -status vypíše:
Size: 930,91 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found
Nicméně pokud v BIOSu zakážu TPM systém chce při bootu zadat BL klíč...
Pokud disk připojím k jinému PC, nezobrazí se obsah disku ani požadavek o dešifrování, ale hláška, že disk není naformátován s požadavkem na spuštění formátování...
Zdravim,
Zasifroval som usbcko cez Windows 7 BitLocker, zabudol som heslo a stratil recovery key.
Je nejaka moznost dostat sa do usb?
Dobrý den,
spustil jsem na svém NB (Win10 Pro) šifrování prostřednictvím nástroje BitLocker a zjistil jsem, že mi po jeho spuštění přestal fungovat Windows Update (neinstalují se mi aktualizace OS). Poradil byste mi, prosím, jak tento problém vyřešit? Děkuji
odpověď na [24]Pavel: Doplňující informace: Jakmile BitLocker vypnu (nestačí jej pouze pozastavit) proběhne instalace aktualizací OS standardním způsobem.
Dobry den, chcel by som sa spytat ci sa da nejako obist zasifrovanie...
Zasifroval som usb, no heslo som zabudol, neviem si spomenut.
Recovery key tiez nemam, mam tam dolezite dokumenty a neviem si spomenut na heslo.
Uz som skusal vsetko.
Neviete mi niekto poradit ci sa to da nejako obist?
Dakujem za odpoved
odpověď na [18]Had: Mnohokrát děkuji za radu. Velmi mi pomohla
Po klonování disku SSD z menšího na větší mi to napsalo hlášku s BCD kterou jsem opravil podle Windows Support, ale poté se objevila nová hláška ta co tobě. Potom jsem použil tvůj fígl a už mi to dovolilo započít šifrování. Celou dobu jsem řešil problém s TPM nějak se mi nezdálo to vymazání čipu jakoby neodňal vlastnictví. Díky předchozí totožné instanci kde byl uložen tebou popsaný soubor nemohl napsat nový soubor a tudíž blokoval zašifrování. Ještě jednou díky !
Zdravím. Mám doma tuhle paranoidní sestavu: Deska PC má slot pro TPM čip který jsem osadil TPM čipem. Mám klávesnici se čtečkou čipových karet (má zvládat i naše nové občanky) a mám i biometrický snímač otisků prstů (odemykám s ním svůj profil). V počítači mám vyhrazená ssd disk pro osobní soubory (fotky, dokumenty). Tento disk chci šifrovat bitlockerem tak aby pro dešifrování bylo nutné použít konkrétní otisk prstu, ve čtečce mít vloženu konkrétní kartu a pak jen zadat 4 číselný pin. Jakmile se vytáhne karta tak se disk zašifruje. Jde to? Jak správně na to? Která čipová karta je pro toto vhodná? Bude stačit naše nová občanka? Díky všem za rady.
odpověď na [27]Daxters: K čemu by bylo šifrování ke kterému by se dostal kdokoliv co nezná heslo? Bral by jsi zámek ve dveřích bytu který by se dal otevřít párátkem? Pokud jsi zapomněl heslo (což je stejné jako našel jsem zašifrovaný disk a heslo do něj neznám) pak se k souborům nikdy (doufám) nedostaneš.
Dobry den pri aktivacii bitlockeru vo faze zmensenia jednotky c vypise chybu 0x80042574, je to ssd disk ked su vytvorene dve particie: C win10 a druhy oddiel 468MB systemovy oddiel kde je windowsRE recovery. Mozete mi pomoct ako dalej? Dakujem Marian.
Zdravím, mám následující problém.
Mám NB, který byl nainstalován LEGACY WIN 10 a šifrován. Provedl jsem následující: Pozastavil jsem šifrování, provedl převod z LEGACY na UEFI. Nyní nejde zapnou šifrování, bitlocker hlásí, že nemůže najít uvedený soubor. Disk nyní není zašifrovaný, je celý rozšifrovaný, což šlo provést. Je nutná reinstalace, nebo existuje nějaký fígl jak opět disk zašifrovat?
[35] pomohl komentář 18, který jsem prve přehlédl
Děkuji za podrobné iformace. Pomohlo mi to
Dobrý den,
řešil jsem u nás na firmě zašifrovaný disk jednoho zákazníka. Nenapadlo ho nic lepšího, než si zašifrovat systémový disk a nepoznačit si recovery password 48-místný kód. Používal TPM a dítě mu polilo notebook, takže došlo ke kompletní výměně základní desky a následně po zapnutí TPM vyžadoval zadání recovery password pro odemčení systémového disku pří bootování Win.
Zkoušel jsem vytáhnout klíč z registrů, dohledat na dalším disku, v archivu mailu apod. bez úspěchu. Jelikož si to zašifroval sám, tak to nebylo přes Group policy a tudíž nejsem schopen z DC vytáhnout recovery password.
Strávil jsem nad tím několik hodin a marně.
Existuje prosím nějaký způsob, jak data z disku dostat, nebo o ně nadobro přišel? Prosím o odpověď na mail: mmesser@seznam.cz
Děkuji moc!
<a href=http://video-time.ru>смотреть бесплатно видео ролик</a>
odpověď na [18]Had: Díky za návod, pomohlo to
Dobrý den, mam slozity orisek. Nemohu nainstalovat eset deslock, protože mi to blokuje bitlocker, byt není zapnuty. Jedna se o nove HP notebooky. Doposud jsem s tim nikde nemel problem. Potreboval bych ho odebrat uplne ze systemu, ale nikde nemuzu najit navod. Poradite?
Mám Windows 10 na notebooku s TPM a používám BitLocker. Když jsem zkusil zašifrovat starší externí HDD, BitLocker to odmítl a dal hlášku
[strong]"Nastavení zásad skupiny pro možnosti spouštění nástroje BitLocker jsou konfliktní a nelze je použít. O další informace požádejte správce systému."
[/strong]
Poradíte někdo kam mám sáhnout a co s tím? Na "zásady skupiny" jsem nesahal. Kontroloval jsem zásady "Šifrování jednotky nástrojem BitLocker -> Vyměnitelné datové jednotky" a tam jsou všechny zásady "není nakonfigurováno".
V notebooku mám TPM a dosud BitLocker fungoval bez problémů. V notebooku jsou dva disky - systémový SSD (C:) a HDD (D:) na data. Oba jsou zašifrované BitLockerem. Kromě toho občas připojím dva externí HDD připojené přes USB, rovněž jejich šifrování (i čtení) proběhlo bez problémů, už to nějaký rok používám.
Starší HDD který BitLocker odmítá byl formátovaný NTFS pod Win7, bez BitLockeru (je to WD s 1TB).
Dobrý den.
Prosím o radu: Mám firemní Ntb, na kterém je BitLocker Osazen je HDD 2,5'' a SSD karta, na které jsou data. Bohužel HDD kleknul a nemohu se k datům na SSD dostat. Lze se k těmto datům na SSD nějak dostat? Na IT jsem mnoho nepořídil
odpověď na [18]Had: Super, zafungovalo mi, díky.
Dobrý den,
zatím nejfundovanější článek o BitLockeru, který jsem na webu našel.
Potřeboval bych ale poradit s jedním netypickým problémem.
Na USB FlashDisku mi zmizely dva oddíly, z nichž jeden byl zašifrován Bitlockerem. Pomocí TestDisku se mi podařilo najít a obnovit pouze ten druhý nezamčený. Teď ale nevím jak dál a ta data jsou pro mne dost důležitá.
Díky za případnou pomoc.