Zachowanie poufności i odpowiedniej ochrony danych przechowywanych na stacjach roboczych i systemach serwerowych od zawsze stanowi wyzwanie dla administratorów. Jednym z zabezpieczeń stosowanych w celu podniesienia bezpieczeństwa jest szyfrowanie danych znajdujących się na dyskach twardych. Systemy z rodziny Windows mają własną infrastrukturę szyfrowania danych – technologia ta nazywa się BitLocker.

BitLocker po raz pierwszy zadebiutował w systemie Windows Vista w 2007 r. Poczynając od systemu Windows 10 w wersji 1511, Microsoft zaktualizował funkcjonalność BitLockera, wprowadzając nowe algorytmy szyfrowania, nowe ustawienia zasad grupy, szerszą obsługę dysków systemu operacyjnego (OS) oraz obsługę wymiennych nośników pamięci. Ta aktualizacja dotyczy systemów Windows 11, 10 i Server 2016 oraz nowszych, natomiast warto zwrócić uwagę, iż funkcja szyfrowania przy użyciu BitLockera działa w wersjach Pro, Enterprise i Education systemu Windows. Szyfrowanie dysków BitLocker to funkcja zabezpieczeń umożliwiająca użytkownikom szyfrowanie wszystkiego na dyskach lub partycjach zarządzanych przez system Windows. Gdy stosujemy zabezpieczenie w postaci szyfrowania całych wolumenów, w przypadku utraty dostępu do urządzenia dane pozostaną zaszyfrowane, a tym samym chronimy je przed kradzieżą lub nieautoryzowanym dostępem.

> ZABEZPIECZENIA SPRZĘTOWE

BitLocker wykorzystuje technologię Trusted Platform Module (TPM) w celu zabezpieczania sprzętu za pomocą zintegrowanych kluczy kryptograficznych. Chip TPM to procesor kryptograficzny, który zawiera fizyczne mechanizmy zabezpieczające, dzięki czemu jest odporny na manipulacje i może bezpiecznie wykonywać operacje kryptograficzne, a jednocześnie służy do potwierdzenia tożsamości użytkownika. Moduł TPM zazwyczaj umieszczany jest na płycie głównej komputera jako procesor przeznaczony do przechowywania haseł, certyfikatów lub kluczy szyfrowania Rivest-Shamir-Adleman (RSA). RSA to obecnie jeden z najpopularniejszych asymetrycznych algorytmów kryptograficznych z kluczem publicznym. Każdy układ TPM zawiera parę kluczy RSA generowanych na podstawie klucza poparcia (EK) i hasła określonego przez właściciela.

Ulepszanie modułów Trusted Platform doprowadziło do powstania w 2019 r. TPM 2.0, w którym dodano funkcję wymiany algorytmów, np.: w sytuacji gdy zostaną zidentyfikowane podatności w wykorzystywanych algorytmach. Warto wspomnieć, iż wcześniejsza wersja TPM 1.2 wykorzystywała jedynie algorytm Secure Hash Algorithm 1 (SHA 1). W TPM 2.0 poprawiono również podstawowe podpisy weryfikacyjne, dodając obsługę osobistych numerów identyfikacyjnych oraz danych biometrycznych. Nowe i zaktualizowane funkcje TPM 2.0 zapewniają większą elastyczność, umożliwiając wykorzystanie chipa w urządzeniach o bardziej ograniczonych zasobach. Moduł TPM 2.0 może działać w dowolnej wersji systemu Windows 10 oraz na urządzeniach z systemem Windows 11 obsługujących moduły TPM. Klucze oparte na module TPM można konfigurować na wiele sposobów. Jedną z opcji jest uczynienie takiego klucza niedostępnym poza modułem TPM, co zapobiega kopiowaniu i używaniu go bez modułu TPM. Klucze oparte na module TPM można również skonfigurować, tak aby wymagały autoryzacji do ich użycia i zapobiegania dalszym próbom dostępu w przypadku zbyt wielu błędnych prób autoryzacji.

> WYMAGANIA I TRYBY PRACY

BitLocker został wbudowany w rodzinę systemów Windows, poczynając od Windows 7 (Ultimate, Enterprise), Windows 8 (Pro, Enterprise) oraz Windows 10/11 (Pro, Enterprise) w komputerach z procesorami x86 i x64 z modułem TPM. Szyfrowanie może obejmować wszystkie stałe napędy, w tym dysk systemu operacyjnego, wykorzystując 128- lub 256-bitowe szyfrowanie AES. Stosowanie BitLockera charakteryzuje się dość niewielkim obciążeniem systemu i szacowane jest na poziomie 2–4%. Szyfrowanie urządzenia może być używane z kontem lokalnym, kontem Microsoft lub kontem domeny Active Directory. Aby obsługiwać szyfrowanie urządzeń, system musi obsługiwać tryb gotowości i spełniać wymagania zestawu Windows Hardware Certification Kit (HCK) dla modułu TPM i SecureBoot w systemach ConnectedStandby.

Szyfrowanie dysków przy użyciu funkcji BitLocker szyfruje woluminy logiczne i różni się od systemu szyfrowania plików EFS tym, że BitLocker może szyfrować cały dysk, podczas gdy EFS szyfruje tylko pojedyncze pliki i foldery. Komputery, których nie wyposażono w moduły TPM, mogą używać funkcji BitLocker do szyfrowania dysków systemu operacyjnego Windows, ale wymaga to klucza startowego USB, aby włączyć komputer lub wznowić działanie ze stanu hibernacji. Korzystając z modułu TPM, mamy do dyspozycji większy zakres możliwości weryfikacji integralności systemu przed uruchomieniem.

Jeśli komputer ma moduł TPM do korzystania z funkcji szyfrowania dysków za pomocą BitLockera, musi spełniać następujące wymagania:

ƒ

• sprzętowe moduły TPM muszą implementować wersję 2.0 specyfikacji TPM;
• ƒmoduły TPM, implementujące wersję 2.0, muszą mieć certyfikat EK, który jest wstępnie udostępniony modułowi TPM przez dostawcę sprzętu lub może być pobrany przez urządzenie podczas pierwszego rozruchu;
• ƒmoduły TPM, które implementują wersję 2.0, muszą być dostarczane z bankami SHA-256 PCR i implementować PCR od 0 do 23 dla SHA-256;
• dopuszczalne jest dostarczanie modułów TPM z jednym przełączalnym bankiem PCR, który może być używany zarówno do SHA-1, jak i SHA-256;
• ƒopcja UEFI umożliwiająca wyłączenie modułu TPM nie jest wymagana.

BitLocker wykorzystuje w swoim działaniu pięć trybów pracy:

• ƒTPM + PIN + hasło – system szyfruje informacje za pomocą TPM. Dodatkowo administrator musi wprowadzić swój PIN i hasło, aby uzyskać dostęp;
• ƒTPM + hasło – system szyfruje informacje za pomocą modułu TPM, a administrator musi podać jedynie hasło;
• ƒTPM + PIN – system szyfruje informacje za pomocą TPM, a administrator musi podać swój identyfikator dostępu w postaci PIN-u;
• ƒhasło – administrator musi podać hasło, aby uzyskać dostęp do zarządzania;
• ƒTPM – administrator nie musi podejmować żadnych działań.

Oprócz modułu TPM funkcja BitLocker może blokować proces uruchamiania systemu, dopóki użytkownik nie wprowadzi kodu PIN lub nie włoży urządzenia wymiennego, takiego jak dysk flash z kluczem uruchamiania. Jednocześnie, uruchamiając BitLockera, możemy utworzyć klucz odzyskiwania dla dysku twardego użytkownika niezbędnego w przypadku zapomnienia lub utraty hasła.

[...]

Autor od 2004 r. związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.