Najczęściej zadawane pytania dotyczące funkcji szyfrowania BitLocker
| Pyt. | Czym jest funkcja BitLocker i jak działa? |
| Odp. | Narzędzie BitLocker™ Drive Encryption służy do ochrony danych i jest dostępne dla komputerów klienckich w systemach Windows Vista, Enterprise i Ultimate, oraz w systemie Windows Server „Longhorn”. Narzędzie BitLocker powstało jako reakcja firmy Microsoft na najważniejsze prośby zgłaszane przez klientów: by w systemie Windows wprowadzone zostało ściśle zintegrowane narzędzie, umożliwiające zabezpieczenie się przed ryzykiem kradzieży lub ujawnienia poufnych danych w razie zgubienia, skradzenia czy nieprawidłowego wycofania z użytku sprzętu komputerowego. BitLocker uniemożliwia złamanie zabezpieczeń plików i systemu Windows Vista oraz podgląd plików zachownych na dysku przy użyciu innego komputera przez złodzieja, nawet w razie uruchomienia sprzętu przy pomocy innego systemu operacyjnego lub użycia narzędzi hakerskich. Funkcja ta zapewnia najlepszą ochronę dzięki współpracy z Trusted Platform Module (TPM 1.2), co gwarantuje bezpieczeństwo danych użytkownika i daje pewność, że nikt nie włamał się do komputera z systemem Windows Vista w czasie, gdy był on wyłączony. Dzięki funkcji BitLocker zarówno użytkownicy komputerów przenośnych jak i stacjonarnych zyskują zwiększoną ochronę danych na wypadek zagubienia lub kradzieży sprzętu, oraz bezpieczne usunięcie danych gdy komputer jest wycofywany z użytku. Funkcja BitLocker podnosi poziom ochrony danych przez połączenie dwóch głównych funkcji: pełnego szyfrowania twardego dysku oraz sprawdzania integralności komponentów ładowanych na początku startu komputera. Szyfrowanie dysku chroni dane, uniemożliwiając nieupoważnionym użytkownikom złamanie ochrony plików i systemu Windows na skradzionych lub zagubionych komputerach. Ochronę tę zapewnia zaszyfrowanie całego woluminu Windows. BitLocker szyfruje wszystkie pliki systemowe i pliki użytkownika, włączając w to plik wymiany i hibernacji. Sprawdzanie integralności komponentów ładowanych na początku uruchomienia komputera zapewnia, że dekodowanie danych odbywa się tylko w wypadku, gdy komponenty te pozostały niezmienione, a zaszyfrowany dysk nie został przeniesiony do innego komputera. Funkcja BitLocker jest ściśle zintegrowana z systemem Windows Vista. Jest to bezpieczne, niezawodne i łatwe w zarządzaniu rozwiązanie, zapewniające ciągłą ochronę danych. Funkcja BitLocker może korzystać z istniejącej infrastruktury Active Directory Domain Services do zdalnego deponowania kluczy odtwarzania. Funkcja BitLocker wyposażona została również w konsolę odzyskiwania, zintegrowaną z komponentami ładowanymi podczas początkowego startu komputera. Umożliwia to odzyskiwanie danych w trakcie pracy. |
| Pyt. | Dlaczego firma Microsoft uważa tę technologię za istotną? |
| Odp. | Kradzież danych – lub gorzej – niepożądane ich ujawnienie z zagubionych lub skradzionych urządzeń PC rodzi rosnącą obawę wśród ekspertów od zabezpieczeń oraz pracowników szczebla kierowniczego w przedsiębiorstwach. Utrata takich informacji może zaszkodzić reputacji oraz na dłuższą metę przetrwaniu organizacji – skutkując utratą dochodu, osłabieniem przewagi nad konkurencją oraz zmniejszonym zaufaniem klientów. Funkcja BitLocker zapewnia lepszą ochronę komputerów z Windows Vista, nawet w wypadku, gdy sprzęt znajdzie się w niepowołanych rękach. Funkcja ta w Windows Vista chroni cały wolumin przed atakami i podglądem danych po wyłączeniu komputera, co zapobiega ujawnieniu informacji z komputerów zagubionych lub skradzionych. BitLocker zapewnia też ochronę przed atakami osób uruchamiających komputer w innym systemie lub używających narzędzi hakerskich. |
| Pyt. | Dla kogo przeznaczony jest BitLocker? |
| Odp. | Odbiorcą docelowym BitLockera jest, krótko mówiąc, każda organizacja, która na komputerach klasy PC przechowuje poufne dane, których utrata lub ujawnienie miałoby negatywny wpływ na organizację, jej klientów, udziałowców lub pracowników. Szyfrowanie dysku twardego BitLocker zostało zaprojektowane z myślą o ochronie danych oraz prostocie instalacji, obsługi i zarządzania. |
| Pyt. | Co odróżnia funkcję BitLocker od innych dostępnych obecnie produktów szyfrujących dyski? |
| Odp. | Funkcja BitLocker wykorzystuje specyfikację układu TPM 1.2 oraz specyfikację Trusted Computing Group (TCG) dla metodyki Static Root of Trust Measurement (SRTM), zapewniając wysoki poziom wykrywania zmian kodu ładowania systemu. Połączenie ze zintegrowanym szyfrowaniem dysku oznacza, że jest to najbezpieczniejsze rozwiązanie ochrony danych systemu operacyjnego, jakie do tej pory opracowano dla systemu WindowsTM. Funkcja BitLocker jest ściśle zintegrowana z Windows Vista i zapewnia ciągłą, solidną ochronę danych, którą łatwo zarządzać. Przykładowo, funkcja BitLocker może korzystać z istniejącej infrastruktury Active Directory Domain Services do zdalnego deponowania kluczy odtwarzania. |
| Pyt. | Jakie szyfrowanie wykorzystywane jest przez Bitlocker i czy można je konfigurować? |
| Odp. | Funkcja BitLocker korzysta z AES – algorytmu szyfrowania z konfigurowalną długością klucza 128 lub 256 bitów. Opcje te można ustawić przy pomocy Zasad Grupy. |
| Pyt. | Jaki wpływ na szybkość pracy komputera z systemem Windows Vista ma funkcja BitLocker? |
| Odp. | Na razie trudno jest mówić o wpływie na wydajność w systemie Windows Vista; jednakże przewidujemy, że BitLocker nie wpłynie znacząco na codzienną wydajność PC. |
| Pyt. | Czy możliwe będzie szyfrowanie dodatkowych woluminów oprócz systemowego w systemie Windows Vista? |
| Odp. | Funkcja BitLocker zapewni szyfrowanie dla całego woluminu systemu operacyjnego, włączając w to pliki systemowe Windows oraz plik hibernacji, wspomagając w ten sposób ochronę danych przed ujawnieniem z zagubionego lub skradzionego komputera. By zabezpieczyć inne woluminy, użytkownik może skorzystać z funkcji Encrypting File System (EFS), dostępnej w Windows Vista. Plik „root secrets” funkcji EFS domyślnie przechowywany jest w woluminie systemowym, dlatego wszystkie dane chronione przez EFS są dodatkowo zabezpieczone funkcją BitLocker. |
| Pyt. | Obecnie do włączenia szyfrowania dysku niezbędny jest układ TPM 1.2, czy starsze wersje układów TPM będą również obsługiwane? Jeśli nie, dlaczego? |
| Odp. | Funkcja BitLocker została utworzona pod kątem zgodności z wersją 1.2 układu TPM i jest mało prawdopodobne, że zapewniona zostanie kompatybilność wsteczna do starszej wersji układu TPM. Specyfikacja1.2 zapewnia wyższy poziom zabezpieczeń i standaryzacji. |
| Pyt. | Czy funkcja BitLocker obsługuje uwierzytelnienie łańcuchowe? |
| Odp. | BitLocker jest zgodna zarówno z funkcją pre-boot PIN, jak i USB Startup Key, umożliwiając uwierzytelnienie łańcuchowe. Użytkownik może podnieść poziom zabezpieczeń oferowanych przez TPM, wymagając podania kodu PIN przed rozruchem systemu, lub wykorzystując urządzenie USB z zapisanym kluczem uruchomienia komputera (który jest tworzony w momencie aktywowania funkcji). Zespół inżynierów BitLocker pracuje obecnie nad sposobem zapewnienia kompatybilności dla dodatkowych scenariuszy łańcuchowego uwierzytelniania – podobnie jak w wypadku każdego produktu Microsoft, będziemy kontynuować jego rozwój i wprowadzać innowacje w odpowiedzi na potrzeby naszych klientów. |
| Pyt. | Jaki jest najbezpieczniejszy sposób skonfigurowania BitLocker? |
| Odp. | Najbardziej bezpiecznym sposobem skonfigurowania BitLocker jest wykorzystanie TPM 1.2 łącznie z wersją BIOS zgodną z wymogami Trusted Computing Group oraz kluczem uruchomienia komputera. Klucz uruchomienia komputera to dodatkowe zabezpieczenie, polegające na konieczności wprowadzenia dodatkowego klucza fizycznego (napęd USB z zapisanym na nim kluczem odczytywalnym komputerowo) lub podania przez użytkownika kodu PIN. Koniecznością jest także wymaganie od użytkowników silnych haseł. |
| Pyt. | W jaki sposób należy przechowywać klucz odzyskiwania? |
| Odp. | Hasło odzyskiwania można zapisać w folderze, na urządzeniu lub urządzeniach USB lub po prostu wydrukowane. Administrator domeny może dodatkowo skonfigurować Zasady Grupy w celu automatycznego generowania haseł odzyskiwania i deponowania ich w Active Directory. |
| Pyt. | Jakie zasady zarządzania kluczami odzyskiwania powinien przyjąć główny administrator przedsiębiorstwa? |
| Odp. | Administratorzy mogą zarządzać hasłami odzyskiwania w sposób najbardziej odpowiedni dla swojej infrastruktury. W środowiskach firmowych najskuteczniejszym sposobem przechowywania kluczy BitLocker jest ich zdeponowanie w Active Directory. Funkcję tę można włączyć przy pomocy Zasad Grupy lub WMI. W takim wypadku, administratorzy domen mogą w dowolnej chwili uzyskać dostęp do kluczy odzyskiwania przy pomocy skryptów lub prostych poleceń LDAP. Innym sposobem jest zapisanie kluczy odzyskiwania na nośnikach USB. Urządzenia USB można przechowywać z dala od komputera, dzięki czemu klucze będą chronione przed dostępem fizycznym. |
