Jak šifrovat disky a chránit data pomocí nástroje BitLocker

Jak šifrovat disky a chránit data pomocí nástroje BitLocker

05.01.2024

Tento technický a vzdělávací článek má vést bezpečnostní analytiky, IT administrátory a systémové inženýry při aktivaci, konfiguraci a správě BitLocker, řešení šifrování celého disku od společnosti Microsoft. Ochrana dat v klidu je zásadní pro zabezpečení informací, zejména na mobilních zařízeních, jako jsou notebooky a tablety, která jsou náchylná ke krádeži nebo ztrátě. BitLocker pomáhá zmírnit riziko neoprávněného přístupu k datům v případě ohrožení fyzického zařízení [1].

Úvod

S rostoucí mobilitou pracovní síly a rozšířením zařízení, která uchovávají citlivé informace, se šifrování disku stalo nepostradatelným bezpečnostním opatřením. BitLocker, zabudovaný do operačního systému Windows, nabízí robustní způsob šifrování celých svazků a zajišťuje, že data zůstanou nečitelná pro kohokoli bez správného dešifrovacího klíče. To je zásadní pro splnění požadavků na shodu a ochranu duševního vlastnictví [2].

Tato praktická příručka pokryje aktivaci nástroje BitLocker v různých scénářích (jednotky s operačním systémem a pevné/vyměnitelné datové jednotky), správu klíčů pro obnovení, ověření stavu šifrování a osvědčené postupy pro jeho nasazení v podnikových prostředích. Budou poskytnuty podrobné pokyny, skutečné příkazy a popisy, aby čtenář mohl efektivně implementovat a spravovat šifrování disku, chránit data v klidu a posilovat bezpečnostní pozici vaší organizace.

Proč používat BitLocker?

  • Ochrana dat v klidu: Zajišťuje, že data uložená na pevném disku jsou chráněna před neoprávněným přístupem, a to i v případě odcizení nebo ztráty zařízení.
  • Soulad: Pomáhá splnit regulační požadavky a požadavky na shodu, které vyžadují šifrování dat (např. HIPAA, GDPR, LGPD).
  • Integrace s Windows: Jako nedílná součást Windows nabízí zjednodušenou správu a integraci s dalšími nástroji společnosti Microsoft.
  • Breach Prevention: Zabraňuje útočníkům v přístupu k citlivým datům spuštěním alternativních operačních systémů nebo odebráním pevného disku.

Předpoklady

Chcete-li povolit a nakonfigurovat nástroj BitLocker, budete potřebovat následující položky:

  1. Verze pro Windows: BitLocker je k dispozici ve verzích Pro, Enterprise a Education Windows 10 a 11. Edice Home má základnější verzi nazvanou „Device Encryption“ [3].
  2. TPM (Trusted Platform Module): Pro šifrování jednotky operačního systému se důrazně doporučuje TPM verze 1.2 nebo vyšší (a obecně vyžadována pro automatickou aktivaci). TPM je mikročip, který uchovává šifrovací klíče a pomáhá ověřovat integritu systému [4].
  3. Administrativní oprávnění: Účet s oprávněními místního správce na zařízení.
  4. Klíč pro obnovení: Bezpečné umístění pro uložení klíče pro obnovení nástroje BitLocker (účet Microsoftu, soubor, USB nebo Azure AD/Active Directory).

Krok za krokem: Povolení a konfigurace nástroje BitLocker

Pojďme se zabývat povolením nástroje BitLocker pro jednotku operačního systému a pro datové jednotky.

1. Kontrola stavu TPM

Je důležité ověřit, zda je modul TPM povolen a připraven k použití, zejména pro jednotku operačního systému.

  1. Stiskněte Win + R, napište tpm.msc a stiskněte Enter.
  2. V okně Správa TPM zkontrolujte Stav a Verze TPM.
    • Pokud je stav TPM je připraven k použití, můžete pokračovat.
    • Pokud ne, možná ji budete muset povolit v systému BIOS/UEFI počítače.

2. Povolení nástroje BitLocker pro jednotku operačního systému

Jedná se o nejběžnější způsob ochrany notebooku nebo stolního počítače.

  1. Otevřete Ovládací panely.
  2. Přejděte na Systém a zabezpečení > BitLocker Drive Encryption.

  3. V části Jednotky operačního systému klikněte na Povolit BitLocker pro jednotku C:.

  4. Spustí se průvodce nástrojem BitLocker. Vyberte, jak chcete zálohovat klíč pro obnovení:

    • Uložit do účtu Microsoft: Doporučeno pro domácí uživatele. Klíč je uložen ve vašem online účtu Microsoft.
    • Uložit do souboru: Uloží klíč do souborutextu. Ujistěte se, že jste jej uložili na bezpečné místo (např. samostatný USB disk, zabezpečené síťové sdílení).
    • Vytisknout klíč pro obnovení: Vytiskne klíč. Uložte jej na bezpečném fyzickém místě.
    • Firemní tip: V podnikovém prostředí by měl být klíč pro obnovení automaticky uložen v Azure AD nebo Active Directory Domain Services (AD DS) prostřednictvím GPO nebo Intune pro centralizovanou správu [5].

  5. Vyberte způsob šifrování disku:

    • Šifrovat pouze použité místo na disku: Nejrychlejší, ideální pro nové nebo prázdné disky.
    • Šifrovat celý disk: Pomalejší, ale zajistí, že všechna data (včetně smazaných dat) budou zašifrována. Doporučeno pro disky se stávajícími daty.

  6. Vyberte režim šifrování:

    • Nový režim šifrování (XTS-AES): Doporučeno pro pevné disky.
    • Kompatibilní režim (AES-CBC): Pro vyměnitelné jednotky, které lze použít na starších systémech.

  7. Potvrďte nastavení a klikněte na Start Encryption.

  8. BitLocker bude vyžadovat restart, aby mohl začít proces šifrování. Po restartu bude šifrování pokračovat na pozadí.

3. Povolení nástroje BitLocker pro datové jednotky (pevné a vyměnitelné)

Proces je podobný, ale s určitými rozdíly v možnostech odemykání.

  1. Otevřete Ovládací panely > Systém a zabezpečení > BitLocker Drive Encryption.
  2. V části Fixed Data Drives nebo Removable Drives klikněte na Povolit BitLocker pro požadovanou jednotku.

  3. Vyberte způsob odemknutí disku:

    • K odemknutí disku použijte heslo: Nastavte heslo pro přístup k disku.
    • K odemknutí jednotky použijte čipovou kartu: Vyžaduje čipovou kartu.
    • Automaticky odemknout na tomto počítači: U pevných disků umožňuje automatické odemknutí disku při spuštění operačního systému (pokud je disk s operačním systémem také zašifrován pomocí nástroje BitLocker).

  4. Zálohujte obnovovací klíč (podle možností popsaných v části 2).

  5. Vyberte typ a režim šifrování a spusťte proces.

4. Správa klíčů pro obnovení nástroje BitLocker

Obnovovací klíč je nezbytný pro přístup k datům v případě problémů (zapomenuté heslo, selhání TPM atd.).

  1. V Ovládací panely > Systém a zabezpečení > BitLocker Drive Encryption.
  2. Klikněte na Zálohovat obnovovací klíč na požadovaný disk.

  3. Můžete uložit do souboru, vytisknout nebo znovu uložit na účet Microsoft.

  4. Příkaz ke kontrole stavu a získání ID klíče: Otevřete příkazový řádek (Admin) a spusťte: cmd spravovat-bde -stav Chcete-li získat ID klíče pro obnovení: cmd spravovat-bde -ochrany C: -get „ID klíče“ lze použít k vyhledání klíče pro obnovení ve službě Azure AD nebo Active Directory.

Validace a testování

Je důležité ověřit, zda je nástroj BitLocker aktivní a funguje správně.

1. Kontrola stavu šifrování

  1. Otevřete Průzkumník souborů.

  2. Na zašifrovaném disku by se měla zobrazit ikona zámku, která označuje, že nástroj BitLocker je aktivní.

  3. Otevřete Příkazový řádek (Admin) a spusťte příkaz manage-bde -status.

  4. Ověřte, že „Stav konverze“ je „Plně zašifrováno“ a „Stav ochrany“ je „Ochrana povolena“.

2. Testování obnovovacího klíče

  1. Simulace situace obnovy: V testovacím prostředí nebo z opatrnosti můžete zkusit dočasně deaktivovat TPM v BIOS/UEFI nebo přesunout disk do jiného počítače.
  2. Při spuštění systému Windows by měl nástroj BitLocker přejít do režimu obnovení a požádat o klíč pro obnovení.
  3. Zadejte klíč pro obnovení, který jste si uložili, a zkontrolujte, zda funguje.

Bezpečnostní tipy a doporučené postupy

  • Centralizovaná správa: V podnikových prostředích použijte Microsoft Intune nebo objekty zásad skupiny (GPO) k centrální správě BitLockeru, včetně vynucení zásad šifrování a automatického zálohování klíčů pro obnovení do Azure AD nebo AD DS [5].
  • Uložení zabezpečeného klíče: Nikdy neukládejte klíč pro obnovení na stejný disk, který je šifrován. Použijte samostatné, zabezpečené umístění, jako je trezor hesel, aze šifrovaného USB nebo adresářové služby.
  • TPM je zásadní: Upřednostňujte zařízení s TPM 2.0 pro větší zabezpečení a jednodušší správu BitLocker.
  • PIN/Heslo před spuštěním: Pro větší zabezpečení jednotky operačního systému zvažte nastavení kódu PIN nebo hesla před spuštěním kromě modulu TPM. To vyžaduje, aby uživatel zadal kód PIN ještě před načtením systému Windows, což chrání před útoky za studena.
  • Šifrování vyměnitelného disku: Podporuje nebo vyžaduje šifrování všech vyměnitelných disků (USB, externí HD), které mohou obsahovat citlivá data.
  • Pravidelná kontrola: Pravidelně kontrolujte stav šifrování zařízení a dostupnost klíčů pro obnovení.
  • Vzdělávání uživatelů: Poučte uživatele o důležitosti nástroje BitLocker, o tom, jak spravovat své klíče pro obnovení a co dělat v případě problémů.

Běžné odstraňování problémů

  • BitLocker se neaktivuje: Zkontrolujte, zda je modul TPM aktivován a správně nakonfigurován v systému BIOS/UEFI. Ujistěte se, že má disk systémový oddíl EFI/UEFI (pokud se jedná o jednotku operačního systému). Zkontrolujte zásady skupiny, které mohou aktivaci bránit.
  • Požadavek na obnovení klíče při spuštění: K tomu může dojít, pokud došlo ke změnám hardwaru (např. aktualizace systému BIOS/UEFI, změna základní desky) nebo pokud byl deaktivován modul TPM. Zadejte klíč pro obnovení. Pokud je to časté, prozkoumejte hlavní příčinu (např. nestabilní modul TPM, problém s hardwarem).
  • Lost Recovery Key: Pokud dojde ke ztrátě klíče pro obnovení a na dostupném místě není žádná záloha, data na šifrovaném disku mohou být neobnovitelná. To je důvod, proč je bezpečné zálohování tak důležité.
  • Snížený výkon: Šifrování a dešifrování v reálném čase může způsobit malý pokles výkonu, zejména na starším hardwaru. Ujistěte se, že hardware splňuje požadavky na výkon.
  • Problémy s GPO/Intune: Pokud je BitLocker spravován prostřednictvím GPO nebo Intune a vyskytnou se problémy, zkontrolujte vynucení zásad, protokoly událostí na zařízeních a připojení k Azure AD/AD DS kvůli zálohování klíčů.

Závěr

Šifrování disku pomocí nástroje BitLocker je výkonný a nezbytný nástroj pro ochranu dat v klidu na zařízeních se systémem Windows. Implementací BitLockeru mohou organizace zajistit, aby citlivé informace byly zabezpečeny před neoprávněným přístupem v případě krádeže hardwaru, ztráty nebo nesprávné likvidace. Správná konfigurace, bezpečná správa klíčů pro obnovení a dodržování osvědčených postupů jsou zásadní pro maximalizaci účinnosti nástroje BitLocker. Pomocí této příručky budou bezpečnostní analytici, správci IT a systémoví inženýři vybaveni k posílení zabezpečení dat ve svých prostředích, což přispěje k robustnějšímu zabezpečení, které odpovídá současným požadavkům.

Reference:

[1] Microsoft Learn. Přehled nástroje BitLocker. Dostupné na: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] Microsoft Learn. Příručka plánování nástroje BitLocker. Dostupné na: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] Microsoft Learn. Šifrování zařízení v systému Windows. Dostupné na: [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] Microsoft Learn. Přehled technologie modulu Trusted Platform. Dostupné na: https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] Microsoft Learn. Zálohujte klíče pro obnovení nástroje BitLocker. Dostupné na: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage