www.SAMURAJ-cz.com 

14.12.2017 Lýdie Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

BitLocker - šifrování systémových disků

Upraveno 21.11.2017 12:10 | vytvořeno 18.09.2017 17:30 | Samuraj - Petr Bouška |
Bezpečnost dat je stále důležitější, například i s blížícím se GDPR. Jedna z možností zabezpečení je šifrování celých disků a zabezpečení startovacího procesu operačního systému. Microsoft má již delší dobu nástroj BitLocker, který je zdarma součástí řady edic Windows. Funguje relativně jednoduše a dobře (zatížení by mělo být pár jednotek procent) a má funkce pro firemní použití. Častá je obava, že při poruše počítače nebo disku se již k datům nedostaneme. Ale i když máme uložené klíče v TPM čipu, tak se vytváří klíče pro obnovu, které můžeme zálohovat třeba do AD DS, a použít na jiném počítači k přístupu k datům.

V tomto článku se primárně věnujeme BitLockeru na operačním systému Windows 10 (v předchozích verzích nejsou tak zásadní změny, takže lze vesměs aplikovat i na ně) a šifrování diskového oddílu s operačním systémem (pro nesystémový oddíl či externí médium platí méně omezení, takže je jednodušší).

Článek je relativně dlouhý, někoho mohou zajímat pouze určité části. Pro přehled stručně obsah:

  • TPM - Trusted Platform Module
    • Identifikace TPM a verze
    • Upgrade či konverze TPM u HP zařízení
  • Microsoft BitLocker
    • Nástroje pro správu BitLocker
    • Požadavky pro BitLocker
    • Diskové oddíly - Partition / Volume
    • Zašifrování disku - zapnutí BitLocker
    • Problémy se zapnutím BitLockeru
  • Odemykání BitLockeru - šifrovací klíče a autentizace
    • Šifrovací klíče a ochránci klíčů (Protectors)
    • Autentizační metody
    • Povolené autentizační metody
    • BitLocker bez TPM čipu
    • Změna autentizační metody - Protector
    • Další nastavení BitLockeru pomocí politik
  • Uložení BitLocker klíčů pro obnovu v Active Directory
    • Group Policy pro nastavení ukládání informací do AD DS
    • Informace ukládané do AD DS a jejich zobrazení
    • Dodatečné uložení informací do AD DS
  • Problém s politikami při šifrování různých typů disků
    • Nastavení pomocí Group Policy
    • Problém u pevných a výměnných disků
  • Obnova (Recovery), aneb nouzové situace
    • Zapomenutý PIN a BitLocker Recovery
    • Připojení disku k jinému počítači

TPM - Trusted Platform Module

V současnosti je mnoho notebooků a počítačů vybaveno TPM čipem. Aktuální je verze 2.0, u starších zařízení se setkáme s verzí 1.2 či 1.3. TPM je zabezpečený kryptoprocesor, který podporuje bezpečné generování a uložení kryptografických klíčů. TPM má svůj unikátní RSA klíč. Vytváří si hashe o HW a SW konfiguraci, takže rozezná, pokud došlo ke změně. BitLocker jej používá k ochraně klíčů používaných k zašifrování pevných disků a poskytuje ověření integrity pro důvěryhodnou zaváděcí cestu (boot systému). TPM poskytne šifrovací klíče pouze pro zavaděč operačního systému, pokud nejsou modifikovány jeho soubory. Je možno jej využít i k dalším účelům.

Na internetu nalezneme různé články, které popisují, že TPM nedodává dostatečnou bezpečnost, takže některé aplikace pro šifrování disků jej ani nepodporují. Microsoft BitLocker jej primárně využívá, i když je možno zprovoznit šifrování i bez TPM čipu. Pokud TPM čip máme, tak považuji za vhodné jej použít.

Identifikace TPM a verze

Zda je náš počítač vybaven TPM čipem se můžeme podívat do BIOSu nebo jednodušeji ve Windows do správce zařízení (Device Manager), to ale musí být v BIOSu zapnutý.

Device Manager a TPM

Pozn.: Také když spustíme průvodce pro šifrování disku (zapnutí BitLocker), tak se testuje TPM a případně provádí jeho inicializace.

Další možnost je použít aplikaci pro správu TPM čipu, která je součástí Windows. Jedná se o Snap-in tpm.msc.

Správa TPM - tpm.msc

Pokud TPM nemáme, tak se zobrazí informace Compatible TPM cannot be found. Pokud ano, tak může být v jednom ze tří stavů:

  • The TPM is not ready for use.
  • The TPM is ready for use, with reduced functionality.
  • The TPM is ready for use.

Pozn.: Ve Windows 10 by se měla provést inicializace (a převzetí vlastnictví) TPM automaticky, pokud není nějaký problém.

Pro správu TPM můžeme také využít určité TPM Cmdlets in Windows PowerShell. Je zde například cmdlet Get-Tpm, který vypíše informace o zamčení TPM při špatně zadaných PINech.

Upgrade či konverze TPM u HP zařízení

HP má k dispozici nástroj HP TPM Configuration Utility, který spolu s odpovídajícím firmware souborem umožňuje provést upgrade verze TPM čipu nebo konverzi z 1.2 na 2.0 a opačně z 2.0 na 1.2. Zatím poslední verze SP78910 obsahuje firmware 7.61, nalezneme ji v článku Advisory: HP Desktops, Notebooks, and Workstations - HP TPM Configuration Utility With Windows 10 Anniversary Edition Compatible TPM 2.0 Firmware. Po instalaci se nám nástroj rozbalí do (defaultně) složky c:\SWsetup\SP78910. Zavolat se musí z příkazové řádky (práva admin) s patřičným souborem firmwaru (nejjednodušší je zkopírovat jej do stejné složky jako exe). Příklad níže (v oficiální dokumentaci jsou trochu chyby).

tpmconfig64 -f TPM12_6.40.190.0_to_TPM20_7.61.2785.0.BIN

Microsoft BitLocker

BitLocker je technologie pro šifrování disků, která je součástí klientských i serverových operačních systémů Microsoft. Objevila se spolu s Windows Vista a Windows Server 2008. U serverových OS je součástí všech edicí, u klientských Windows 7 a 8 jde o edice Enterprise a Ultimate, ve Windows 10 edice Pro a Enterprise.

BitLocker umožňuje šifrovat (Full Disk Encryption) celé systémové (Operating System Drives) i nesystémové (Fixed Data Drives) oddíly, označuje se jako BitLocker Drive Encryption, nebo výměnná datová média (Removable Data Drives - USB Flash disky, externí disky, SD karty, apod.), což je BitLocker To Go.

Používá, jako šifrovací algoritmus, Advanced Encryption Standard (AES) s délkou klíče 128 nebo 256 bitů (nastavuje se pomocí Group Policy). Do Windows 10 verze 1511 byl přidán bezpečnější algoritmus XTS-AES.

Microsoft v současnosti doporučuje, pro použití BitLocker na klientské stanici, mít operační systém Windows 10, SSD disk a TPM čip 2.0. Já rovnou doplním z praxe, nainstalovat poslední verzi BIOSu a mít jej zapnutý v UEFI módu.

Oficiální dokumentace

Nástroje pro správu BitLocker

Ve Windows 10, o kterých se zde v souvislosti s technologií BitLocker bavíme, máme k dispozici následující nástroje:

  • BitLocker Drive Encryption - grafický nástroj pro zapnutí/vypnutí šifrování disku a základní nastavení, nalezneme jej pod Control Panel
  • manage-bde - řádkový příkaz, který nabízí více možností než grafické rozhraní
  • repair-bde - řádkový příkaz, který slouží k obnově zašifrovaných dat na poškozeném disku (používá Key Packages)
  • BitLocker Module - řada PowerShell cmdletů, například Enable-BitLocker a Get-BitLockerVolume

Požadavky pro BitLocker

Požadavků pro provozování BitLocker není moc. V řadě případů jej jednoduše zapneme a používáme. Pár podmínek zde ale je.

  • doporučuje se mít TPM čip, ale alternativně můžeme použít USB Flash disk (povoluje se pomocí Group Policy) nebo heslo
  • BitLocker nepodporuje dynamické disky (Dynamic Disk), ale pouze základní disky (Basic Disk)
  • na disku musí být speciální oddíl System Partition (viz. dále), musíme tedy mít minimálně dva oddíly
  • systémový oddíl (OS a active system partition) musí být formátovaný s NTFS (ostatní mohou být FAT)
  • musíme mít administrátorská oprávnění (běžní uživatelé mohou šifrovat pouze výměnná média)

Diskové oddíly - Partition / Volume

Při standardní instalaci na prázdný disk si Windows vytvoří potřebné oddíly automaticky. Jaké přesně oddíly se vytváří, záleží na verzi operačního systému, a zda používáme MBR nebo GPT. Pokud se v systému nenachází potřebný oddíl, tak se jej BitLocker průvodce pokusí vytvořit.

Pro zavedení systému musíme mít systémový oddíl (system partition / boot partition), standardně je skrytý, který obsahuje startovací soubory. Tento oddíl nesmí být šifrovaný, a tudíž se musí jednat o jiný oddíl než oddíl s operačním systémem (většinou má přiřazeno písmeno C). Pro Legacy BIOS musí být formátovaný s NTFS, pro UEFI s FAT32. Jeho velikost má být minimálně 350 MB (můj systém si ale vytvořil 100 MB, což uvádí i dokumentace k diskovým oddílům). Oficiální informace Windows 7 - Understanding Disk Partitions, Windows 10 - Hard Drives and Partitions.

Seznam typů oddílů:

  • EFI System Partition (ESP) - systémový oddíl pro bootování, pokud používáme UEFI a GPT, minimálně 100 MB, FAT32, obsahuje NTLDR, HAL, Boot.txt a další soubory pro zavedení systému
  • System Reserved (Active System Partition) - systémový oddíl pro bootování, pokud používáme Legacy BIOS s MBR, minimálně 100 MB, NTFS, obsahuje Boot Manager (bootmgr), Boot Configuration Data (BCD) a startovací soubory
  • Microsoft Reserved Partition (MSR) - MS ji doporučuje pro každý GPT disk kvůli správě disku, na Windows 10 má velikost 16 MB, není vidět ve správě disku (pouze pomocí diskpart)
  • Recovery Partition (WinRE Partition) - zde je uložen obraz Windows Recovery Environment tools (winre.wim, využívá WinPE), který se spouští, pokud kvůli chybě nemůže naběhnout OS, obsahuje nástroje pro práci s šifrovanými BitLocker disky, oddíl nesmí být šifrovaný, jeho velikost je minimálně 300 MB (standardně 450 MB)
  • OS Partition (Windows Partition) - obsahuje operační systém (standardně složka Windows), minimálně 20 GB, NTFS
  • Data Partition - volitelné další oddíly pro data

Pozn.: Speciální oddíly (jako System a Recovery) nemají přiřazeno písmenko disku, ale pomocí diskpart a příkazu assign jej můžeme přiřadit a podívat se na jejich obsah.

WinRE - Windows Recovery Environment

Můžeme narazit na problémy s nástroji pro obnovu. Pokud je nemáme na samostatném svazku. Nástroje mohou být umístěny (pořadí je dle doporučeného použití):

  • speciální Recovery Partition
  • systémový oddíl System Reserved nebo EFI System Partition
  • OS oddíl s Windows, složka C:\Recovery nebo C:\Windows\System32\Recovery

Pokud systém při instalaci nemá k dispozici speciální oddíl, nebo na něm není dostatek místa (v současnosti je potřeba 350 až 500 MB dle jazyků apod.), tak nainstaluje nástroje na disk spolu s OS. Můžeme použít řádkový příkaz pro zjištění, zda je WinRE zapnuté a kde je uložené.

C:\>reagentc /info
Windows Recovery Environment (Windows RE) and system reset configuration
Information:

   Windows RE status:         Enabled
   Windows RE location:       \\?\GLOBALROOT\device\harddisk0\partition2\Recovery\WindowsRE
   Boot Configuration Data (BCD) identifier: ff771aa2-2581-11e6-a0e4-c3c0b5456bec
   Recovery image location:
   Recovery image index:      0
   Custom image location:
   Custom image index:        0

REAGENTC.EXE: Operation Successful.

Případně můžeme WinRE zapnout (či vypnout).

C:\>reagentc /enable
REAGENTC.EXE: Operation Successful.

Pokud je ale na systémovém disku zapnutý BitLocker a WinRE by se mělo nacházet na něm, tak při zapnutí dostaneme chybu.

REAGENTC.EXE: Windows RE cannot be enabled on a volume with BitLocker Drive Encryption enabled.

Zašifrování disku - zapnutí BitLocker

Pokud se neobjeví žádný problém, tak je zapnutí i užívání funkce BitLocker jednoduché a intuitivní. Následující kroky zobrazují i různé speciální stavy, které v ideálním případě nenastanou (takže se s řadou kroků nepotkáme).

  • spustíme grafický nástroj BitLocker Drive Encryption
nástroj BitLocker Drive Encryption
  • vedle disku, který chceme šifrovat (zde řešíme systémový disk C), klikneme na Turn on BitLocker
  • (můžeme také ve File Explorer kliknout pravým tlačítkem na disk a zvolit Turn on BitLocker)
  • spustí se průvodce, který nejprve kontroluje, zda systém splňuje dané požadavky (a případně provede určité potřebné akce, jako zapnutí TPM - ukazuje druhý obrázek)
BitLocker Drive Encryption - zapnutí 01 BitLocker Drive Encryption - zapnutí 02
  • jiná možnost je, že zjistí problém s diskem. V tomto případě není WinRE umístěn na speciálním oddíle, ale nachází se na OS disku C (takže po zašifrování by Recovery Environment tools nebyly dostupné). Průvodce se chce pokusit přesunout WinRE do System Reserved oddílu, ale to se mu nepovede (není tam volných potřebných 350 MB). Automaticky WinRE vypne a pouze nás informuje.
BitLocker Drive Encryption - zapnutí 03 BitLocker Drive Encryption - zapnutí 04 BitLocker Drive Encryption - zapnutí 05
  • následující krok se zobrazí pouze, pokud upravíme nastavení Group Policy a jednotlivé položky se odvíjí od nastavených hodnot (podrobně popsáno dále v kapitole Povolené autentizační metody). Volíme metodu odemknutí disku (autentizaci). První obrázek ukazuje možnosti s TPM čipem, druhý bez TPM.
BitLocker Drive Encryption - zapnutí 06 BitLocker Drive Encryption - zapnutí 07
  • volíme, kam se uloží klíč pro obnovu (Recovery Key), který můžeme použít v případě problémů, třeba pokud bychom museli připojit disk k jinému počítači (a neměli tedy k dispozici klíče v TPM), nabízené možnosti záleží na různých okolnostech (třeba pokud není počítač v doméně, tak se nabízí uložení do Microsoft účtu)

Pozn.: Nějakou dobu jsem byl dost zmatený z určitého chování, které jsem nenalezl nikde popsané. Patrně to celé bude z toho, že v různých dialozích MS používá pouze termín Recovery Key (a nerozlišuje Recovery Password od Recovery Key). Pokud zvolíme tisk nebo uložení do souboru, tak se použije textové Recovery Password. Pokud zvolíme USB flash disk, tak se na něj uloží oboje do dvou souborů.

BitLocker Drive Encryption - zapnutí 08
  • volíme, zda se má zašifrovat celý disk (včetně prázdného místa, kde mohou být nějaká smazaná data) nebo pouze aktuálně používaná část (zbytek se šifruje při ukládání nových dat)

Pozn.: Šifrování celého 250 GB SSD disku na novém výkonném notebooku trvalo 1:24 hod. Šifrování pouze využité části disku (nově instalovaný OS) trvalo 8 minut.

BitLocker Drive Encryption - zapnutí 09
  • od Windows 10 verze 1511 volíme, zda chceme použít nový šifrovací algoritmus XTS-AES
BitLocker Drive Encryption - zapnutí 10
  • v posledním kroku je dobré zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat
BitLocker Drive Encryption - zapnutí 11
  • na závěr je třeba provést restart
BitLocker Drive Encryption - zapnutí 12

Pokud je vše v pořádku, tak se po restartu nezobrazí žádná informace a na pozadí začne probíhat šifrování disku. S počítačem můžeme standardně pracovat. Abychom viděli, jak probíhá šifrování, tak můžeme použít řádkový příkaz či PowerShell cmdlet (příkazy musíme spouštět jako administrátor).

Pozn.: V některých případech se mi v notifikační oblasti zobrazila ikona, která po rozklinutí ukazovala průběh šifrování.

C:\Windows\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

  Size:                 237,92 GB
  BitLocker Version:    2.0
  Conversion Status:    Encryption in Progress
  Percentage Encrypted: 41,3%
  Encryption Method:    XTS-AES 128
  Protection Status:    Protection Off
  Lock Status:          Unlocked
  Identification Field: Unknown
  Key Protectors:
    TPM
    Numerical Password

PS C:\Windows\system32> Get-BitLockerVolume
ComputerName: BITLOCKER-TEST

VolumeType      Mount CapacityGB VolumeStatus          Encryption KeyProtector            AutoUnlock Protection
Point                                                  Percentage                         Enabled    Status
----------      ----- ---------- ------------          ---------- ------------            ---------- ----------
OperatingSystem C:        237,92 EncryptionInProgress  43         {Tpm, RecoveryPassword}            Off

Můžeme se také podívat do BitLocker Drive Encryption, kde vidíme, zda šifrování probíhá či bylo dokončeno. Také se zde objeví různé konfigurační možnosti (záleží na mnoha okolnostech).

BitLocker Drive Encryption - šifrovaný disk

Problémy se zapnutím BitLockeru

Při testování jsem narazil na problém, který není ani příliš na internetu popsaný. Průvodce zapnutí BitLocker prošel v pořádku, na konci se provedl restart, aby došlo k systémové kontrole. Po startu systému se zobrazila chybová zpráva.

Bitlocker could not be enabled. The Bitlocker Encryption key cannot be obtained from the Trusted Platform Module (TPM).
BitLocker Drive Encryption - chyba při testu

Související informace se zobrazovala ve Snap-in tpm.msc, kdy byl stav zobrazen The TPM is ready for use, with reduced functionality.

Prvním krokem je doporučeno nainstalovat poslední verzi BIOSu, protože často může opravovat operace s TPM čipem. V tomto případě se nic nezměnilo.

Microsoft ve svém článku View status, clear, or troubleshoot the TPM (kde je i řada dalších užitečných informací) uvádí, že pokud je TPM stav with reduced functionality, tak se má provést vymazání klíčů v TPM. Ani toto nepomohlo (na jiném počítači se tímto problém vyřešil).

Nakonec byl problém v tom, že v počítači byl čip TPM 2.0 a BIOS běžel v Legacy módu. S tím také souvisí, že systémový disk měl partitioning scheme typu MBR (Master Boot Record). Našel jsem například zmínku TPM is ready for use, with reduced functionality message when the BIOS is in legacy mode with TPM 2.0, která se sice týká serverových OS, ale patrně bude stejná i pro klientské.

Aby správně fungovalo TPM 2.0, tak musí systémový BIOS být v UEFI (Unified Extensible Firmware Interface) módu a v nastavení musí být zapnuté TPM a Secure Boot. UEFI používá pro disky GPT (GUID Partition Table).

Možnost je tedy provést downgrade TPM na verzi 1.2. Nebo přepnout BIOS do módu UEFI, což si vyžádá změnu oddílu z MBR na GPT. To ještě nedávno z pohledu MS znamenalo reinstalaci operačního systému. Nově do Windows 10 verze 1703 byl doplněn řádkový příkaz MBR2GPT.EXE, který dokáže systémový disk převést do GPT (bez ztráty dat). Následně je třeba přepnout BIOS do UEFI, aby podporoval GPT a mohl systém nabootovat.

Abychom zjistili, v jakém módu máme BIOS, tak můžeme použít nástroj msinfo32.exe, kde se v položce BIOS Mode zobrazí buď UEFI nebo Legacy.

Je zde tedy řada vazeb, zjednodušené shrnutí. Legacy BIOS využívá MBR, UEFI využívá GPT. Windows podporuje GPT na bootovacím disku od 64 bitových Windows Vista nebo 32 bitových Windows 8 a vyžaduje UEFI. TPM 1.2 je podporováno od Windows Vista a TPM 2.0 od Windows 8.1, ale pro Windows 7 SP1 je k dispozici hotfix, který podporu doplní. TPM 2.0 vyžaduje UEFI a Secure Boot.

Odemykání BitLockeru - šifrovací klíče a autentizace

Disk máme zašifrovaný a nyní bychom mohli začít přemýšlet nad tím, jak jsou data zabezpečená a jak se k nim dostaneme.

Abychom mohli pracovat s daty na šifrovaném (encrypted) disku (třeba zavést operační systém), tak je musíme dešifrovat (decrypt). Microsoft říká, že provedeme odemknutí (unlock) BitLocker svazku. K odemknutí se používá určitá forma autentizace (authentication).

Šifrovací klíče a ochránci klíčů (Protectors)

BitLocker využívá celou řadu klíčů. Disk je šifrován pomocí Full Volume Encryption Key, ten je šifrován pomocí Volume Master Key a ten je chráněn nějakou metodou pro ochranu šifrovacích klíčů, která se označuje jako BitLocker Key Protectors. Toto zřetězení umožňuje měnit klíče, aniž bychom museli přešifrovat celý disk. Možnosti ochránců klíčů (Protectors) jsou:

  • TPM (Trusted Platform Module) - hardware zařízení pro uložení šifrovacích klíčů
  • PIN (Personal Identification Number) - číselný kód (4, nově 6, až 20 číslic), může se použít pouze dohromady s TPM
  • Enhanced PIN - alfanumerický kód, může se použít pouze dohromady s TPM
  • Startup key - šifrovací klíč uložený na výměnném médiu, může se použít samostatně či dohromady s TPM
  • Recovery password - 48-číselný kód, který se může použít k odemčení svazku v Recovery módu (pokud se nedaří zadat pomocí číslic, tak se mohou využít klávesy F1-F10)
  • Recovery key - šifrovací klíč uložený na výměnném médiu, který je možno použít k odemčení disku
  • Key Package - nejde o Key Protector, ale o balík klíčů, které můžeme použít pro rozšifrování dat na poškozeném disku, je chráněno pomocí Recovery password

Pozn.: Toto jsou možnosti, které se týkají systémového disku. Pro ostatní pevné disky nebo výměnná média platí jiné možnosti. Můžeme třeba použít odemčení certifikátem na čipové kartě (smartcard).

Každý Key Protector, který použijeme (k šifrovanému disku jich můžeme nastavit několik najednou, pak pomocí libovolného z nich odemkneme disk, ale povolené jsou pouze určité kombinace), má přiřazené svoje ID, pomocí kterého jej jednoznačně identifikujeme.

Recovery Password se buď vytiskne jako číselný kód nebo se ukládá do textového souboru. Ten má standardní pojmenování, které obsahuje jeho ID BitLocker Recovery Key B36838F0-D01B-4427-8607-D438FB725BB5.TXT. Jeho obsahem je primárně číselný kód. Nástroj manage-bde jej označuje jako Numerical Password. Příklad obsahu souboru:

BitLocker Drive Encryption recovery key

To verify that this is the correct recovery key, compare the start of the following identifier with the identifier value displayed on your PC.

Identifier:
       B36838F0-D01B-4427-8607-D438FB725BB5

If the above identifier matches the one displayed by your PC, then use the following key to unlock your drive.

Recovery Key:
       180092-326667-085987-089089-423016-163515-262691-143924

If the above identifier doesn't match the one displayed by your PC, then this isn't the right key to unlock your drive.
Try another recovery key, or refer to http://go.microsoft.com/fwlink/?LinkID=260589 for additional assistance.

Startup Key se ukládá do skrytého binárního souboru s příponou BEK. Název je jeho ID, třeba 6F3C8360-046A-4F19-9DAF-AE473D83042D.BEK. Na některých místech se označuje jako External Key protector for startup.

Recovery Key se ukládá do stejného souboru, a má stejný tvar, jako Startup Key. Na některých místech se označuje jako External Key protector for recovery. Pokud máme Recovery Key na USB disku, který je připojen do počítače, tak počítač automaticky nastartuje, i když máme třeba ochranu PINem (použije se jiný Protector).

Autentizační metody

Pokud máme zašifrovaný systémový disk pomocí BitLockeru, tak na začátku startu operačního systému musí získat šifrovací klíče, aby mohl data dešifrovat. Přitom záleží na použitých BitLocker Key Protectors. Mluvíme o různých autentizačních metodách (BitLocker Authentication Methods). Pokud je použito více možností než jedna, tak jde o vícefaktorovou autentizaci (Multifactor Authentication) a většinou to zajistí, aby systém sám nenastartoval, tedy zabezpečí data při krádeži počítače. Autentizační metody jsou:

  • TPM - nejjednodušší možnost, umožňuje vzdálený restart (nevyžaduje uživatelskou interakci při startu), ale také nejméně bezpečná (klíče jsou uloženy v počítači v TPM čipu, takže automaticky nastartuje)
  • TPM + PIN - uživatel musí při startu zadat PIN, aby došlo k přístupu ke klíčům v TPM , při opakovaném zadání chybného PINu dojde k zamčení (u TPM 1.2 dáno výrobce, u TPM 2.0 defaultně 32, možno změnit)
  • TPM + Network Key - využívá se síťové odemčení (Network Unlock), pokud je počítač ve firemní síti, tak získá klíč z WDS serveru a automaticky odemkne disk a nastartuje, využívá certifikáty a DHCP (vyžaduje řadu nastavení)
  • TPM + Startup Key - při startu musí být vložen USB Flashdisk, který obsahuje Startup Key
  • TPM + PIN + Startup Key - při startu musíme vložit USB Flashdisk a zadat PIN
  • Startup Key - pokud nemáme TPM čip, tak můžeme použít USB Flashdisk, který obsahuje Startup Key
  • Password - MS tuto možnost neuvádí v seznamu autentizačních metod, ale pokud nemáme TPM čip, tak máme na výběr mezi USB Flashdisk (Startup Key) a heslem, které zadáváme při startu

Pozn.: Aby mělo používání Startup Key smysl, tak nesmíme USB Flashdisk nechávat stále zapojený v počítači. Stejně tak Recovery password a key bychom neměli uchovávat u počítače, ale na jiném místě.

Povolené autentizační metody

Uvedli jsme si různé možnosti autentizace (zabezpečení klíčů - Protectors) pro BitLocker. Ve výchozím stavu je ale povolena pouze jediná (a relativně nebezpečná) TPM only. Pokud TPM čip nemáme, tak vůbec nemůžeme BitLocker zapnout, a nelze zvýšit bezpečnost třeba PINem. Změnit výchozí možnosti můžeme pouze pomocí Group Policy (ať v rámci domény nebo lokálně).

Jedná se o položku Require additional authentication at startup v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives. Zde máme různé možnosti, které můžeme povolit, případně jednu nastavit jako povinnou.

Group Policy BitLocker - Povolené autentizační metody

BitLocker bez TPM čipu

Pokud zkusíme zapnout BitLocker a nemáme v počítači TPM čip (může být pouze vypnutý v BIOSu nebo špatně instalovaný ovladač), tak se na začátku průvodce zobrazí chyba:

This device can’t use a Trusted Platform Module. Your administrator must set the "Allow BitLocker without a compatible TPM"
 option in the "Require additional authentication at startup" policy for OS volumes.

Jak nám hlášení napovídá, nastavíme politiku popsanou v minulé kapitole. Group Policy položka Require additional authentication at startup v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives. Toto nastavení povolíme (Enabled) a zatrhneme Allow BitLocker without a compatible TPM.

Změna autentizační metody - Protector

Nastavení politiky, kde povolíme požadované autentizační metody, můžeme provést před šifrováním disku. Pak nám průvodce zapnutí BitLockeru nabídne výběr metody pro odemčení disku. V průvodci (obecně v GUI) se nabízí možnost:

  • pokud máme zapnutý TPM čip
    • Enter a PIN - autentizace TPM + PIN
    • Insert a USB flash drive - autentizace TPM + Startup Key
    • Let BitLocker automatically unlock my drive - autentizace TPM
  • bez TPM čipu
    • Insert a USB flash drive - autentizace Startup Key
    • Enter a password - autentizace Password

Nebo můžeme metodu změnit na již zašifrovaném disku. K tomu můžeme použít nástroj BitLocker Drive Encryption, který nám (za určitých podmínek) nabídne novou volbu Change how drive is unlocked at startup.

BitLocker Drive Encryption - Change how drive is unlocked at startup

Více možností nám poskytne řádkový příkaz manage-bde nebo PowerShell cmdlety. Zde můžeme nastavit i kombinace více metod (TPM + PIN + Startup Key) nebo několik alternativních možností (každá sama odemkne disk, s TPM může být pouze jedna, k ní můžeme přidat další bez TPM). Základní použití je následující (vždy můžeme za příkaz zadat -? a dostaneme nápovědu).

Vypsání použité autentizační metody:

manage-bde -protectors -get C:

(Get-BitLockerVolume -MountPoint C:).KeyProtector

Nastavení TPM + PIN, následně dostaneme dotaz na zadání PINu:

manage-bde -protectors -add C: -tpmandpin

Add-BitLockerProtector -MountPoint C: -TPMandPinProtector

Další nastavení BitLockeru pomocí politik

Pomocí Group Policy můžeme ovlivnit řadu parametrů a chování BitLockeru nebo TPM čipu. Oficiální dokumentace BitLocker Group Policy settings. Pár příkladů:

V cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives

  • pokud chceme místo standardního (číselného) PINu využívat Enhanced PIN, kde se k číslům přidávají písmena, tak musíme povolit nastavení Allow enhanced PINs for startup
  • můžeme změnit minimální požadovanou délku PINu (za aktuálního minima 6 do maxima 20) v Configure minimum PIN length for startup

V cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption

  • nastavení šifrovací metody a síly šifry můžeme v Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later)

V cestě Computer Configuration - Administrative Templates - System - Trusted Platform Module Services

  • počet chybně zadaných PINů, kdy dojde k uzamčení TPM na určitou dobu, můžeme nastavit v Standard User Lockout Duration, Standard User Individual Lockout Threshold a Standard User Total Lockout Threshold

Uložení BitLocker klíčů pro obnovu v Active Directory

Důležitou částí BitLockeru jsou klíče pro obnovu (Recovery Keys), abychom se v případě nějakých problémů dostali k zašifrovaným datům na disku. Ve firemním prostředí určitě chceme nějaké centralizované řešení pro správu těchto klíčů a často potřebujeme mít možnost, jako administrátoři, dostat se k šifrovaným datům uživatelů. Microsoft nabízí jednoduchou možnost uložit (zálohovat) tyto klíče do Active Directory Domain Services (Store recovery keys in Active Directory). Ukládat můžeme 48-číselný Recovery password nebo také Key Package, který umožní získat data z poškozeného disku (uložení do AD DS je jediná jednoduchá možnost, jak se k Key Package dostat).

Nastavení se provádí opět pomocí Group Policy. Můžeme zálohovat informace pro obnovu BitLocker nebo TPM (různé diskuse uvádí, že záloha TPM je zbytečná, ač MS doporučuje zálohovat oboje, navíc došlo ke změně ve Windows 10 verze 1607). K uloženým informacím v AD DS se standardně dostanou pouze Domain Admins.

Pozn.: Pro lepší správu firemního prostředí má Microsoft k dispozici nástroj Microsoft BitLocker Administration and Monitoring (MBAM), který je součástí Microsoft Desktop Optimization Pack (MDOP). Používá serverovou část (a SQL Server + Reporting Services) a klienty, zobrazuje přehled verzí BIOSu a TPM, provádí instalace BitLocker, obsahuje řadu reportů a webový portál pro získání BitLocker Recovery Key a TPM Owner Password.

Group Policy pro nastavení ukládání informací do AD DS

Na začátek poznámka, jelikož mne dost zarazilo, že je patrně chyba v Microsoft dokumentaci. I poslední verze, kterou jsem nalezl, pro Windows 10 - Active Directory Domain Services considerations, uvádí politiky Turn on BitLocker backup to Active Directory Domain Services a Turn on TPM backup to Active Directory Domain Services. Takové ale ve Windows 10 verze 1607 neexistují.

Nalezl jsem zmínku, že Microsoft ve Windows 10 verze 1607 odstranil možnost zálohy TPM. V této verzi se změnila práce a přístup k TPM Owner Password (Change the TPM owner password) a proto tuto hodnotu nemůže zálohovat do AD. Určité možnosti nabízí nástroj Microsoft BitLocker Administration and Monitoring (MBAM), ale TPM heslo není potřeba pro přístup k datům, která jsou šifrovaná pomocí BitLocker, takže by nám to zásadně nemělo vadit (používá se pro odemčení zamknutého TPM čipu).

Informace k záloze BitLocker uvádí lépe stará dokumentace Backing Up BitLocker and TPM Recovery Information to AD DS v kapitole Configure Group Policy to enable backup of BitLocker and TPM recovery information in AD DS. Zjistíme, že od Windows 7 se používá nastavení Choose how BitLocker-protected operating system drives can be recovered v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives.

Zde nastavíme volbu Save BitLocker recovery information to AD DS for operating system drives a rozhodneme se, zda chceme do AD ukládat pouze Recovery Password nebo také Key Package. Můžeme také aktivovat volbu Do not enable BitLocker until recovery information is stored in AD DS for operating system drives, pak nelze aktivovat BitLocker, dokud není počítač zařazen do domény a informace k obnově nejsou korektně uloženy (například se při zapínání BitLockeru nenachází v síti).

Pokud používáme BitLocker Data Recovery Agents, což jsou účty, jejichž PKI certifikát je použit globálně jako Key Protector, takže mohou odemknout BitLocker disky na všech počítačích, tak povolíme Allow data recovery agent. Musíme mít také nastavenou politiku Provide the unique identifiers for your organization a další nastavení. Pokud tedy Recovery Agents nepoužíváme, tak musíme hodnotu odškrtnout!

Informace ukládané do AD DS a jejich zobrazení

BitLocker informace se ukládají v AD DS jako objekt, který je pod objektem počítače. Jde o objekt msFVE-RecoveryInformation, který má atributy:

  • ms-FVE-RecoveryPassword - 48-číselný kód používaný v Recovery módu
  • ms-FVE-RecoveryGuid - GUID přiřazené k Recovery Password pro jeho identifikace
  • ms-FVE-VolumeGuid - GUID šifrovaného disku
  • ms-FVE-KeyPackage - obsahuje šifrovací klíč zabezpečený pomocí Recovery Password, je možno použít pro obnovu části dat při poruše disku

Pro prohlížení informací slouží nástroj BitLocker Password Recovery Viewer, který je součástí Remote Server Administration Tools (RSAT). Jedná se pouze o rozšíření Active Directory Users and Computers, které u počítačových objektů přidává záložka BitLocker Recovery.

Nebo si můžeme data zobrazit přímo v Active Directory Users and Computers (či ADSI Edit). V menu View zatrhneme Users, Contacts, Groups, and Computers as containers, pak můžeme rozkliknout objekt počítače a vidíme objekty pod ním.

AD DS - BitLocker Password Recovery Viewer

Dodatečné uložení informací do AD DS

Pokud na některých počítačích aktivujeme BitLocker dříve, než nastavíme politiku pro ukládání klíčů pro obnovu do AD DS, tak se těmto počítačům nic neuloží. Máme k dispozici příkazy, kterými můžeme uložení ručně vyvolat. Buď použijeme řádkový příkaz nebo PowerShell.

Nejprve musíme získat ID pro Protector, který chceme do AD zálohovat. Jedná se o Recovery Password (Numerical Password). Pokud zkusíme ID jiného Protectoru, tak dostaneme chybu.

C:\>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []
All Key Protectors

  Numerical Password:
    ID: {BB30F4FB-9263-45D2-B227-799E22582B20}
    Password:
      079552-555544-716221-392788-505340-245069-453937-232727

  TPM And PIN:
    ID: {8D1F2731-31E7-40F1-9FEB-8D04079835AB}
    PCR Validation Profile:
      0, 2, 4, 11

PS C:\> (Get-BitLockerVolume -MountPoint c:).KeyProtector

KeyProtectorId      : {BB30F4FB-9263-45D2-B227-799E22582B20}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 079552-555544-716221-392788-505340-245069-453937-232727
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {8D1F2731-31E7-40F1-9FEB-8D04079835AB}
AutoUnlockProtector :
KeyProtectorType    : TpmPin
KeyFileName         :
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

Pak vyvoláme zálohování (musí být politikou povoleno zálohování do AD DS).

C:\>manage-bde -protectors -adbackup C: -id {BB30F4FB-9263-45D2-B227-799E22582B20}
BitLocker Drive Encryption: Configuration Tool version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Recovery information was successfully backed up to Active Directory.

PS C:\> Backup-BitLockerKeyProtector -MountPoint C: -KeyProtectorId "{BB30F4FB-9263-45D2-B227-799E22582B20}"

   ComputerName: BITLOCKER-TEST

VolumeType      Mount  CapacityGB VolumeStatus   Encryption KeyProtector              AutoUnlock Protection
                Point                            Percentage                           Enabled    Status
----------      -----  ---------- ------------   ---------- ------------              ---------- ----------
OperatingSystem C:         237,92 FullyEncrypted 100        {RecoveryPassword, Tpm...            On

Problém s politikami při šifrování různých typů disků

V článku se věnujeme použití BitLockeru při šifrování diskového oddílu s operačním systémem. Po čase jsem chtěl použít šifrování i pro výměnné disky a při tom jsem narazil na podivnou chybu. Nikde na internetu jsem nenašel vysvětlení, takže jsem doplnil tuto kapitolu z mých zkušeností.

Nastavení pomocí Group Policy

Ukázali jsme si, že mnoho věcí okolo nastavení BitLockeru, lze řídit pomocí skupinových politik (není to vše, třeba nemůžeme zakázat vypnutí BitLockeru pro administrátora). Nastavení se nachází v cestě Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption, kde máme tři podsložky a nastavení v nich se týká určité skupiny disků.

  • Fixed Data Drives - další pevné disky (přesněji svazky/oddíly) v počítači
  • Operating System Drives - systémové disky (těm se zde věnujeme)
  • Removable Data Drives - výměnné disky (externí USB disky, Flash disky, apod.), tedy BitLocker To Go
BitLocker Group Policy

Pro každou skupinu disků máme k dispozici určité politiky, ale základní jsou stejné. Popsali jsme si politiku Require additional authentication at startup, která je pouze pro systémové disky a nastavujeme povolené autentizační metody (ve firmě patrně nastavíme jednu jako povinnou a ostatní pak musíme zakázat).

BitLocker Group Policy - Require additional authentication

Druhá, podle mne, nejdůležitější politika se jmenuje Choose how BitLocker-protected operating system drives can be recovered a existuje pro všechny typy disků (jen se v názvu politiky mění označení disku). Nastavujeme, jestli a jaké informace k obnově si může uložit uživatel a jestli se tyto údaje ukládají do AD DS.

Nastavení, které jsem původně provedl, ukazuje následující obrázek. Nepoužívám Recovery agenty, nechtěl jsem, aby si uživatelé ukládali informace k obnově (šifrování systémového disku pro ně stejně provádí správci a musel by se vkládat externí disk), naopak chci ukládat všechny údaje do AD DS a pokud to nelze, tak nešifrovat.

BitLocker Group Policy - drives can be recovered

Problém u pevných a výměnných disků

S nastavením výše funguje šifrování systémového disku bez problémů. Průvodce se téměř na nic neptá (jsou použity i další politiky) a údaje pro obnovu se uloží do AD DS. Ale při pokusu o použití BitLockeru na jiný pevný disk nebo libovolné výměnné médium, se zobrazí chyba:

BitLocker Drive Encryption cannot be applied to this drive because there are conflicting Group Policy settings for recovery
 options on operating system drives. Storing recovery information to Active Directory Domain Services cannot be required
 when the generation of recovery password is not permitted. 
BitLocker error 1

Při různých pokusech s nastavením politiky Choose how BitLocker-protected operating system drives can be recovered pro pevné a výměnné disky (když jsem zadal stejné hodnoty jako pro systémový disk) se mi zobrazila ještě jiná chyba.

BitLocker error 2

Výsledkem je, že pro systémový disk (a případně i pro všechny ostatní, pokud politiku nastavujeme) musíme nastavit Allow u Recovery informací. Pokud chceme, aby se uživatelům v průvodci nezobrazila možnost uložit informace pro obnovu, tak použijeme zatržítko Omit recovery options from the BitLocker setup wizard.

Pozn.: Uživatelé mají u šifrovaných disků v nástroji BitLocker Drive Encryption k dispozici možnost Back up your recovery key.

BitLocker Group Policy - drives can be recovered 2

Obnova (Recovery), aneb nouzové situace

Stručně zmíníme některé možnosti, jak se dostat k datům na šifrovaném disku v případě nějakých problémů. Navíc existuje mnoho situací, kdy počítač při startu spustí BitLocker Recovery a my musíme, pro start operačního systému, zadat Recovery Key. Nejvíce situací je v souvislosti s TPM čipem, který chrání integritu hardwarových a softwarových komponent. Pak třeba, pokud dojde k upgradu BIOSu (doporučeno je předem pozastavit BitLocker), změně partition tabulky, zapnutí bootování z USB, přidání HW komponenty nebo také opakovanému zadání chybného PINu, tak systém nenastartuje a musíme tuto operaci autorizovat pomocí Recovery Key. Samozřejmě je to ochrana před různými útoky. Kompletní výpis událostí je v BitLocker recovery guide.

Opět zde hraje velkou roli, co jsem zmiňoval při zapínání BitLockeru. Microsoft u Recovery procesu patrně používá pouze termín Recovery Key a nerozlišuje Recovery Password od Recovery Key. Podle toho, jaké Protectory (z těchto dvou) máme na disku nastavené, je můžeme využívat. Průvodce pak chce vložení USB disku, když hledá Recovery Key. Nebo zadání číselného kódu, když používá Recovery Password.

Zapomenutý PIN a BitLocker Recovery

Pokud máme nastaveno odemykání systémového disku pomocí PINu, tak se před startem OS zobrazuje dialog na zadání tohoto PINu.

BitLocker - TPM a PIN start

Pokud bychom PIN zapomněli, tak můžeme stisknout klávesu ESC a provést BitLocker recovery. Pokud máme nastavený Recovery Key, tak se dozvíme, že máme vložit odpovídající USB flash disk a restartovat. Systém naběhne bez dotazu na PIN.

BitLocker recovery při startu OS

Pokud nastavený Recovery Password, tak můžeme stisknout ESC pro další možnosti a zobrazí se políčko na zadání číselného kódu. Po jeho správném zadání systém nastartuje.

BitLocker recovery při startu OS - Recovery Password

Když se dostaneme do operačního systému, tak můžeme pomocí nástroj BitLocker Drive Encryption, zvolit Change PIN a nastavit nový PIN.

Připojení disku k jinému počítači

Zašifrovaný systémový disk můžeme připojit k jinému počítači (s OS, které podporuje BitLocker). Disk se zobrazí jako zamčený pomocí BitLockeru a můžeme jej odemknout.

BitLocker - připojený šifrovaný disk

Jednoduše zadáme 48-znakové Recovery Password, které například vykopírujeme z AD DS. Nebo pokud máme textový soubor s BitLocker Recovery Key na Flash disku, tak jej připojíme a klikneme na Load key from USB drive.

BitLocker - připojený šifrovaný disk - odemčení

Následně můžeme s diskem standardně pracovat.

BitLocker - připojený odemčený disk
zobrazeno: 4346krát | Komentáře [8]

Autor:

Související články:

Windows OS

Články, které se věnují operačním systémům firmy Microsoft, jak klientských, tak serverových.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] nostromo

    Moc pekny clanek.

    Čtvrtek, 21.09.2017 17:42 | odpovědět
  2. [2] Kamil

    Palec nahoru, perfektní!

    Čtvrtek, 21.09.2017 20:08 | odpovědět
  3. [3] Pavel

    Moc díky za přínosný článek :-)

    Pátek, 22.09.2017 14:03 | odpovědět
  4. [4] Jan

    Ahoj, diky za super clanek!

    Mam dotaz: Funguje ulozeni klicu i do Azure AD?

    Sobota, 23.09.2017 10:43 | odpovědět
  5. [5] Samuraj

    odpověď na [4]Jan: https://anderseideblog.wordpress.com/2016/05/27/finding-your-bitlocker-recovery-key-in-azure-ad/

    Čtvrtek, 09.11.2017 15:19 | odpovědět
  6. [6] Michal

    Super článek, díky:-)

    Pátek, 17.11.2017 11:54 | odpovědět
  7. [7] Samuraj

    Docela dlouho jsem hledal, jaké parametry musí splňovat certifikát na čipové kartě, aby se mohl použít pro BitLocker To Go. Tak zde je odkaz https://technet.microsoft.com/en-us/library/dd875548(WS.10).aspx.

    Středa, 22.11.2017 12:48 | odpovědět
  8. [8] Duch

    Ahoj,

    moc hezky clanek. Co se tyka Recovery, problem neni ani tak v TPM chipu, jako spise v kombinaci UEFI a TPM (presneji casti UEFI nazyvane SecureBoot) a pripadne jeste spolu s Management Engine a Trusted Execution Technology. Zde jakakoliv zmena digitalnich podpisu prohlasi danou cast kodu za "neverifikovanou" a odmitne ji spustit. Ale to je tema na delsi diskusi.

    Úterý, 28.11.2017 12:16 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách