Windows 7: Bitlocker to go

Mnoho společností dnes řeší bezpečnost dat a hlavně, jak zabezpečit přenosná zařízení, která jsou rizikovou skupinou, neb se ze své podstaty často vyskytují mimo bezpečné prostory společnosti. Microsoft uvedl ve Windows Vista nástroj pro šifrování interních disků – Bitlocker. Ale to byl jen první krok. Je jasné, že stejně jako např. notebooky jsou velmi rizikovými zařízeními tzv. Flash disky. Zde je ovšem problém nejen ve faktu, že jsou přenositelné, ale že jejich cena klesla na takové minimum, kdy se z nich stalo klasické spotřební zboží. Uživatel pak nedbá patřičné pozornosti, aby „flešku“ neztratil. Bohužel. Společnost Microsoft se proto rozhodla do nadcházejícího operačního systému Windows 7 přidat funkci Bitlocker To Go, která je přímo určena pro přenosné disky. Správci sítí tak dostávají nástroj, který jim nabídne například pohodlnou centrální správu, jednoduché a intuitivní ovládání, ale hlavně dobrý pocit, že další rizikové místo je zabezpečeno. Bitlocker To Go je zatím součástí edic Windows 7 Ultimate a Enterprise. Vše se ale může ještě změnit, přeci jen jsme ve stádiu Beta.

A jak na to?

Připojíte flash disk a přejdete v Ovládacích panelech do správy funkce Bitlocker, kde už uvidíte inicializované disky připravené pro zapnutí funkce Bitlocker nebo Bitlocker To Go.

clip_image002

Po klepnutí na „Turn On Bitlocker“ v sekci BitLocker Drive Encryption – Bitlocker To Go se spustí průvodce, který s vámi projde zašifrování Vašeho přenosného disku.

clip_image004

Po inicializaci disku se Vás průvodce dotazuje na způsob ověřování vůči zašifrovanému disku. Na výběr máte z možností „ověřování heslem“ nebo „ověřování smart kartou“.

clip_image006

Následující dialog už je jen způsob uchování klíče pro obnovení. Na výběr je tištěná podoba, nebo uložení jako soubor .txt (nebo obojí J )

clip_image008

Následuje souhrn všech zvolených možností a vlastní zahájení enkrypce zvoleného přenosného disku.

clip_image010

Doba trvání celé procesu je závislá na zaplnění media respektive volném místě. Pokud jsou na výměném médiu vadné sektory, je samotný proces kryptování pozastaven a je nutno disk zpět dekryptovat. Se samotným šifrováním je pak na šifrovaný disk nahrána aplikace BitLocker To Go Reader, který slouží k práci se soubory na systémech Windows XP a Windows Vista. Práce se šifrovaným diskem přímo přes Windows Explorer je zatím možná jen ve Windows 7 Beta. Zde ovšem zdůrazňuji zatím. Správci sítí dále ocení cetrální správu přes Group Policy, spolupráci AD DS nebo s firemní certifikační autoritou.

Možnosti konfigurace přes Group Policy:

  1. Kontrolované použití BitLockeru na výměných jednotkách
    1. Povolit uživatelům zapnout BitLocker na výměnná média
    2. Povolit uživatelům vypnout BitLocker na výměnná média
    3. Vypnout BitLocker To Go
  2. Konfigurace užití smart karet na výměnná media
    1. Vyžadovat užití smart karty
    2. Vypnuto
  3. Odepřít zápis na jednotky nechraněnné BitLockerem To Go
    1. Zapnuto + Odepřít zápis na jednotky konfigurované v jiné organizaci
    2. Vypnuto
  4. Povolit přístup na chráněnná media z předchozích verzí Windows
    1. Zapnuto
    2. Vypnuto
  5. Konfigurace složitosti a minimální délky hesla pro přístup k chráněnému mediu
    1. Zapnuto
      1. Povolena složitost hesla
      2. Vyžadována složitost hesla
      3. Zakázána složitost hesla
      4. Minimální délka hesla (0 – 99 znaků)
    2. Vypnuto
  6. Jak mají být chráněnná media obnovena
    1. Povolit Data Recovery Agent
      1. Povolit 48-místné heslo pro obnovení
      2. Vyžadovat 48-místné heslo pro obnovení
      3. Nepovolit 48-místné heslo pro obnovení
      4. Povolit 256-bitový klíč pro obnovení
      5. Vyžadovat 256-bitový klíč pro obnovení
      6. Nepovolit 256-bitový klíč pro obnovení
    2. Vynechat možnosti pro obnovení získané BitLocker průvodcem
    3. Uložit nastavení obnovy do AD DS pro výměnná media
    4. Konfigurace uložiště AD DS pro uložení informací pro obnovení
      1. Ukládat heslo i klíč pro obnovu
      2. Ukládat pouze heslo pro obnovu
    5. Nezapínat BitLocker dokudnejsou informace pro obnovu výměnných medií uloženy v AD DS

- Jan Pilař (WUG Písek)