Bardzo często zdarza się, że informacje przechowywane na komputerze są wielokroć cenniejsze dla firmy od samego sprzętu. Dlatego sporym problemem staje się zagadnienie bezpieczeństwa danych zawartych na skradzionych czy zgubionych komputerach. Ujawnienie lub nieuprawnione wykorzystanie plików zawartych na nośnikach skradzionego sprzętu może być dla firmy wręcz katastrofalne w skutkach.
Opisany problem w całej rozciągłości dotyczy również zestawów komputerowych, których przedsiębiorstwo pozbywa się z różnych względów (np. modernizacja). Koszt bezpiecznego wycofania komputera z firmy przy użyciu dzisiejszych metod może sięgać nawet kilku tysięcy złotych za pojedyncze urządzenie.
BitLocker
BitLocker to funkcja zaimplementowana w Windows Vista Enterprise i Ultimate, której zadaniem jest ochrona danych zgromadzonych na twardym dysku. Stanowi ona odpowiedź Microsoftu na żądania użytkowników, którzy domagali się rozwiązania problemu bezpieczeństwa plików na maszynach, które w drodze różnych okoliczności przestały być ich własnością. Dodatkowo, opisane narzędzie miało być wysoce zintegrowane z systemem.
Jak zapewnia nas koncern z Redmond, BitLocker gwarantuje, że nikt nie zdobędzie cennych informacji majstrując przy zabezpieczonym dysku. Niemożliwym ma być skopiowanie danych z dysku przy pomocy innego systemu operacyjnego, uruchomionego na danym komputerze. Bezskuteczne również mają być próby "wydłubania" czegoś z dysku za pomocą odpowiednich programów.
BitLocker wykorzystuje moduł TPM (Trusted Platform Module). Jest to najnowsze rozwiązanie w dziedzinie bezpieczeństwa danych. Bazuje ono na mikrochipie, znajdującym się na płycie głównej, który sprzętowo szyfruje i deszyfruje dane na dysku. Bez właściwego modułu TPM dane na dysku są już tylko pozbawionymi sensu bajtami. Szyfrowany jest cały wolumin, wraz z plikami systemowymi, plikami użytkowników, plikami wymiany i plikami hibernacji.
Poza tym mechanizm BitLocker kontroluje integralność pierwszych bootowanych komponentów. Mamy dzięki temu pewność, że dane zawarte na dysku zostaną odszyfrowane tylko wtedy, gdy elementy te pozostają niezmienione, a dysk znajduje się w odpowiednim komputerze.
Dzięki ścisłej integracji z systemem Vista, funkcja szyfrowania woluminów dostarcza bezpiecznego, a przy tym łatwego w zarządzaniu narzędzia do ochrony danych. Przykładowo, korzystając z usługi Active Directory możliwe jest zdalne przechowywanie kluczy. Poza tym, w BitLockerze wbudowana jest konsola odzyskiwania. Umożliwia ona odzyskanie danych w wypadku różnych niespodziewanych okoliczności.
Kolejną ciekawą opcją jest możliwość zablokowania bootowania systemu do momentu, gdy użytkownik wprowadzi PIN lub podłączy dysk USB zawierający dane uwierzytelniające. Ta właściwość praktycznie eliminuje możliwość zabootowania systemu lub wznowienia po hibernacji przez osobę nieposiadającą PIN-u czy odpowiedniego dysku USB. W dokumentacji Microsoftu nie ma słowa o tym, że mechanizm ten wspiera uwierzytelnianie odciskiem palca. Szkoda, byłaby to ogromna zaleta. Przecież zdobycie czyjegoś palca jest trochę trudniejsze niż, powiedzmy, kradzież dysku USB, czy wymuszenie PIN-u grożąc różnymi niebezpiecznymi narzędziami.
Jako użytkownicy mamy w codziennej pracy w ogóle nie doświadczać istnienia BitLockera. Może poza opcjonalnym wprowadzaniem PIN-u przy starcie systemu. Ciekawe, jak szyfrowanie danych na dysku w czasie rzeczywistym wpłynie na wydajność systemu. Producent Visty zapewnia, że ubytek prędkości jest nieodczuwalny. Jeżeli tak będzie w rzeczywistości - BitLocker zdaje się być rozwiązaniem niemal doskonałym, dostarczającym zarówno silnego mechanizmu szyfrującego, jak i zaawansowanego narzędzia do odzyskiwania danych.
BitLocker krok po kroku
Na wstępie zaznaczamy, że Microsoft zaleca w swojej dokumentacji, by najpierw zapoznać się z BitLockerem na testowym sprzęcie. Prawdopodobnie nie jest to bezcelowe. Dodatkowo nadmieniamy (za producentem Visty), że informacje zawarte w tym materiale nie powinny być jedynym źródłem, na podstawie którego skonfigurujemy i uruchomimy funkcję BitLocker.
W tym akapicie przestudiujemy uruchamianie i wyłączanie BitLockera oraz odzyskiwanie danych, ale najpierw dowiedzmy się, jakie wymagania musi spełniać nasz system, by używać tego narzędzia.
Wymagania BitLockera
Jak łatwo wywnioskować - potrzebujemy komputera, na którym "ruszy" Windows Vista. Poza tym przyda się układ TPM, w wersji 1.2. lub BIOS zgodny z TCG (Trusted Computing Group). Na dysku powinniśmy posiadać dwie partycje NTFS, w tym jedną przynajmniej półtoragigabajtową, ustawioną jako aktywną (bootowalną). W BIOS-ie ustawmy (dopiero po instalacji systemu), by pierwszym bootowanym nośnikiem był pierwszy twardy dysk (nie CD czy dysk USB).
Czym właściwie jest platforma TPM?
Pod skrótem TPM kryje się sprzętowy mechanizm kryptograficzny wbudowany w płytę główną. Głównym założeniem przyświecającym twórcom TPM było wbudowanie takiego modułu kryptograficznego, w którym niemożliwe byłoby dokonywanie zmian w kluczach lub algorytmach. Aktualnie platformę TPM produkuje kilku wytwórców, ale w swoje płyty główne wbudowują ją praktycznie wszyscy liczący się producenci. Układ TPM obsługuje zaawansowane algorytmy kryptograficzne (np. AES, RSA, SHA1, HMAC), wyposażony jest w generator liczb losowych, a przede wszystkim potrafi obliczyć sumę kontrolną wykonywanego przez procesor kodu. Jest to bardzo przydatne w generowaniu swoistych zapytań o poprawność kodu dostarczonego do procesora. Wystarczy sumę kontrolną porównać z jakimś wzorcem. Na tej podstawie możemy ocenić, czy kod nie został gdzieś "po drodze" zmodyfikowany np. przez jakiś złośliwy program (np. exploit). Dodatkowo każdy pojedynczy układ TPM można jednoznacznie zidentyfikować, co powoduje, że podmienienie go innym zostanie od razu wykryte.
Ważne jest, że praca TPM rozpoczyna się w bardzo wczesnym etapie bootowania się komputera. Umożliwia to kontrolowanie nawet kodu BIOS-u. Chociaż pełna funkcjonalność platformy nie jest dziś w pełni wykorzystywana, to w przyszłości może okazać się wielce użyteczna np. w wykrywaniu szkodliwego oprogramowania.
Krok1: Partycjonowanie dysku dla BitLockera
Wymieniona wcześniej aktywna partycja będzie nieszyfrowana. Zawierać będzie dane niezbędne do uruchomienia systemu, w tym zaszyfrowane klucze rozruchowe. Druga - szyfrowana - służyć będzie do przechowywania systemu operacyjnego i naszych danych. Partycje tworzymy przed zainstalowaniem systemu. Do dzieła. Po włożeniu płyty DVD do napędu bootujemy z niej komputer. Następnie tworzymy nową partycję primary i formatujemy na niej nowy wolumin. W identyczny sposób tworzymy drugą partycję i formatujemy na niej wolumin. Mniejszą (przynajmniej 1.5 GB!) partycję ustawiamy jako aktywną, a Vistę instalujemy na większej.
Krok2: Uruchamianie
W tym kroku zakładamy, że w naszym systemie obecna jest platforma TPM, oraz że zalogowani jesteśmy na konto administratora. Jeżeli nasz system nie posiada wbudowanej platformy TPM - pomijamy ten krok.
W Panelu sterowania wybieramy aplet Bezpieczeństwo, następnie klikamy BitLocker. Być może pojawi się okno dialogowe Kontroli Konta Użytkownika z żądaniem zaakceptowania uprawnień aplikacji. Oczywiście wydajemy zgodę na uruchomienie i w oknie BitLockera klikamy Włącz BitLocker na woluminie z systemem operacyjnym. Jeżeli nie skonfigurowaliśmy urządzenia TPM, włączy się kreator inicjujący platformę TPM. Postępujemy według wskazówek w nim zawartych i po restarcie znów klikamy Włącz BitLocker. W okienku dialogowym Zapisz hasło odzyskiwania będziemy mieli do wyboru kilka opcji. Zapiszmy je przynajmniej w dwóch miejscach. Po ich utracie niemożliwe będzie odzyskanie danych w na przykład wypadku zainstalowania dysku w innym komputerze. W oknie Zaszyfruj wybrany wolumin zaznaczamy Sprawdź system i klikamy Kontynuuj. Po restarcie systemu BitLocker przeprowadzi test kompatybilności i jeśli wypadnie on pozytywnie, rozpocznie się proces szyfrowania dysku.
Krok3: Uruchamianie na systemie bez TPM
Jeżeli z powodzeniem przebrnęliśmy przez krok drugi - ten pomijamy.
W tym miejscu zakładamy, że zalogowani jesteśmy jako administrator i mamy przynajmniej jeden flash-dysk USB dla przechowywania hasła rozruchowego i hasła odzyskiwania. Najlepiej byłoby przechowywać te dwa hasła osobno, na oddzielnych pamięciach USB. Za każdym razem, gdy uruchomimy komputer, będziemy musieli podłączyć flash-dysk z hasłem rozruchowym. Dość gadania, do roboty.
Klikamy Start, a w polu wyszukiwania piszemy gpedit.msc, naciskamy Enter. Być może pojawi się okno Kontroli Konta Użytkownika, akceptujemy. W oknie Zasady Grupy wybieramy Konfiguracja komputera, następnie Szablony Administracyjne i Składniki systemu Windows. Teraz klikamy BitLocker Szyfrowanie Dysków. Wybierzmy Włącz opcje zaawansowane, a w oknie, które się pojawi - Włączone. Zaznaczamy Zezwalaj na uruchamianie bez kompatybilnej TPM i klikamy OK. Teraz w polu wyszukiwania wpisujemy gpupdate i z tak zmienionymi zasadami grupy możemy przystąpić do konfiguracji BitLockera.
Otwórzmy Panel sterowania, kliknijmy Bezpieczeństwo i wybierzmy BitLocker. Jeżeli pojawi się okno Kontroli Konta Użytkownika - akceptujemy podjęte działania. W oknie BitLockera klikamy Włącz BitLocker na dysku systemowym. Teraz w oknie Ustawienia startowe wybierzmy Wymagaj klucza USB przy każdym rozruchu. Podłączamy dysk USB, na którym przechowywać będziemy hasło rozruchowe i w oknie dialogowym Zapisz swój klucz rozruchowy wybieramy nasz pendrive. Klikamy Zapisz. Hasło odzyskiwania zapisujemy analogicznie jak w kroku drugim. Identycznie postępujemy też, aby zaszyfrować wolumin. Jedyną zmianą w porównaniu do systemu wyposażonego w TPM jest fakt, że przy każdym włączeniu komputera musimy podłączyć flash-dysk zawierający hasło rozruchowe. Może być to trochę niewygodne, no, ale coś za coś.
Krok4: Odzyskiwanie danych zabezpieczonych BitLockerem
Nikomu nie życzę, aby musiał przez ten proces przechodzić, jeżeli z naszym systemem jest wszystko w porządku, darujmy sobie lekturę tego akapitu, chyba, że chcemy zaznajomić się z procesem odzyskiwania. Jeżeli jednak wystąpi błąd związany z TPM, któryś z plików rozruchowych zostanie zmodyfikowany, lub nastąpi inna awaria uniemożliwiająca odczytanie danych z dysku - postarajmy się te dane odzyskać.
Kiedy komputer jest zablokowany, musimy wprowadzić hasło odzyskiwania. Cyfry wprowadzamy klawiszami funkcyjnymi - [F1] to jeden, [F2] to dwa, itd. [F10] reprezentuje zero.
Symulacja odzyskiwania
Możemy zmusić BitLockera do uruchomienia procesu odzyskiwania. Polega to na drobnym "oszustwie". Otóż platformę TPM można programowo wyłączyć.
Jeżeli uruchomimy plik tpm.msc (Start\Wszystkie programy\Akcesoria\Uruchom...) pojawi się konsola zarządzania platformą. Znajdźmy polecenie Wyłącz TPM. Pozamykajmy otwarte okna i zrestartujmy komputer. Przy bootowaniu systemu zostaniemy poproszeni o klucz odzyskiwania.
Odzyskiwanie danych
Włączmy komputer. W konsoli Odzyskiwania narzędzia BitLocker zostaniemy poproszeni o podłączenie dysku USB zawierającego hasło odzyskiwania. Po jego podłączeniu wciskamy [ESC], komputer się restartuje i uruchamiany jest system. Możemy również wprowadzić hasło ręcznie. W tym celu zamiast podłączać dysk USB, wciśnijmy [ENTER] w konsoli i wpiszmy klucz. Włączmy komputer. W konsoli Odzyskiwania narzędzia BitLocker zostaniemy poproszeni o podłączenie dysku USB zawierającego hasło odzyskiwania. Po jego podłączeniu wciskamy [ESC], komputer się restartuje i uruchamiany jest system. Możemy również wprowadzić hasło ręcznie. W tym celu zamiast podłączać dysk USB, wciśnijmy [ENTER] w konsoli i wpiszmy klucz.
Krok5: Wyłączanie BitLockera
Opiszemy tu proces wyłączania mechanizmu BitLockera i odszyfrowania woluminu. Procedura ta na szczęście przebiega identycznie zarówno w wypadku, gdy nasz sprzęt jest wyposażony w TPM, jak i wtedy, gdy nie mamy tego rozszerzenia na naszej płycie głównej.
Możemy wybrać dwa sposoby zdeaktywowania opcji BitLocker. Jest to tymczasowe wyłączenie z zachowaniem zaszyfrowanej partycji lub permamentne wyłączenie, z jednoczesnym odszyfrowaniem partycji. Wyłączenie tymczasowe umożliwia dokonanie zmian w hardwarze i w samym TPM.
Klikamy Start, wybieramy Panel Sterowania, Bezpieczeństwo, BitLocker. Znajdujemy teraz wolumin, na którym chcemy wyłączyć tą opcję, klikamy Wyłącz i wybieramy wyłączenie tymczasowe lub całkowite odszyfrowanie partycji. Gotowe. Partycja jest znowu dostępna spoza Visty.
Polskie nazwy okien dialogowych i poleceń zostały opracowane w oparciu o angielską nomenklaturę. Jest wielce prawdopodobne, że określenia te nie będą zbieżne z odpowiednikami w polskiej wersji Windows Vista, jednak w pełni oddają sens podejmowanych działań.
341f31d.png)