استكشاف BitLocker
يوفر BitLocker حماية لنظام التشغيل والبيانات التي يخزنها وحدة تخزين نظام التشغيل بالإضافة إلى وحدات التخزين الأخرى على الكمبيوتر. يساعد على التأكد من أن البيانات المخزنة على جهاز كمبيوتر تظل مشفرة، حتى إذا عبث شخص ما بالكمبيوتر عندما لا يكون نظام التشغيل قيد التشغيل. يوفر BitLocker حلا متكاملا بشكل وثيق في Windows لمعالجة تهديدات سرقة البيانات أو التعرض من أجهزة الكمبيوتر المفقودة أو المسروقة أو التي تم إيقاف تشغيلها بشكل غير مناسب.
يمكن أن تصبح البيانات الموجودة على جهاز كمبيوتر مفقود أو مسروق عرضة للوصول غير المصرح به عندما يقوم مستخدم ضار بتشغيل أداة هجوم البرامج عليه أو نقل القرص الثابت للكمبيوتر إلى كمبيوتر آخر. يساعد BitLocker على التخفيف من الوصول غير المصرح به إلى البيانات من خلال تحسين حماية الملفات والنظام. بالإضافة إلى ذلك، يساعد BitLocker في جعل البيانات غير قابلة للوصول عند إيقاف تشغيل أجهزة الكمبيوتر المحمية ب BitLocker أو إعادة تدويرها.
يقوم BitLocker بتنفيذ دالتين توفران حماية البيانات دون اتصال والتحقق من سلامة النظام:
- يقوم بتشفير جميع البيانات المخزنة على وحدة تخزين نظام تشغيل Windows ووحدات تخزين البيانات المكونة. يتضمن ذلك نظام تشغيل Windows، والإسبات، وملفات الترحيل، والتطبيقات، وبيانات التطبيق. يوفر BitLocker أيضا حماية شاملة للتطبيقات غير التابعة ل Microsoft، والتي تفيد التطبيقات تلقائيا عند تثبيتها على وحدة تخزين مشفرة.
- يتم تكوينه، بشكل افتراضي، لاستخدام شريحة وحدة النظام الأساسي الموثوق بها (TPM)، على اللوحة الرئيسية للكمبيوتر، للمساعدة في ضمان تكامل مكونات بدء التشغيل التي يستخدمها نظام التشغيل في المراحل المبكرة من عملية بدء التشغيل. يقوم BitLocker بتأمين أي وحدات تخزين محمية ب BitLocker، بحيث تظل محمية حتى إذا عبث شخص ما بالكمبيوتر عندما لا يكون نظام التشغيل قيد التشغيل.
التحقق من سلامة النظام
يستخدم BitLocker TPM للتحقق من سلامة عملية بدء التشغيل من خلال:
- توفير طريقة للتحقق من الحفاظ على تكامل ملف التمهيد المبكر، وللمساعدة في ضمان عدم وجود تعديل سلبي لتلك الملفات، مثل فيروسات قطاع التمهيد أو مجموعات الجذر.
- تعزيز الحماية للتخفيف من الهجمات المستندة إلى البرامج دون اتصال. لا يمكن لأي برنامج بديل قد يبدأ تشغيل النظام الوصول إلى مفاتيح فك التشفير لتخزين نظام تشغيل Windows.
- تأمين النظام عندما يكتشف العبث. إذا حدد BitLocker أن العبث قد حدث مع أي ملفات مراقبة، فلن يبدأ تشغيل النظام. هذا ينبه المستخدم إلى العبث لأن النظام يفشل في البدء كالمعتاد. في حالة حدوث تأمين النظام، يوفر BitLocker عملية استرداد بسيطة.
بالتزامن مع TPM، يتحقق BitLocker من تكامل مكونات بدء التشغيل المبكر، مما يساعد على منع هجمات إضافية دون اتصال، مثل محاولات إدراج تعليمات برمجية ضارة في هذه المكونات. هذه الوظيفة مهمة لأن المكونات في الجزء الأول من عملية بدء التشغيل يجب أن تظل غير مشفرة بحيث يمكن بدء تشغيل الكمبيوتر.
ونتيجة لذلك، يمكن للمهاجم تغيير التعليمات البرمجية لمكونات بدء التشغيل المبكر هذه ثم الوصول إلى جهاز كمبيوتر على الرغم من تشفير بيانات القرص. بعد ذلك، إذا تمكن المهاجم من الوصول إلى معلومات سرية، مثل مفاتيح BitLocker أو كلمات مرور المستخدم، يمكن للمهاجم التحايل على BitLocker وغيرها من حماية أمان Windows.
مقارنة BitLocker وEFS
كما ذكر سابقا، يوفر كل من BitLocker وEFS وظائف التشفير. ومع ذلك، فإن هذه التقنيات ليست هي نفسها وليس لها نفس الغرض. بينما يركز EFS على توفير الحماية على مستوى الملف والمجلد، يقوم BitLocker بذلك على مستوى وحدة التخزين أو القرص. بمجرد حماية الملف باستخدام EFS، يظل هذا الملف محميا حتى تقوم (أو شخص آخر لديه الإذن المناسب) بإلغاء تأمينه، ولا تعتمد هذه الحماية على موقع الملف. من ناحية أخرى، فإن الملفات الموجودة على محرك الأقراص المحمية باستخدام BitLocker محمية طالما أنها موجودة على محرك الأقراص المحدد هذا. يقارن الجدول التالي وظائف تشفير BitLocker وEFS.
وظيفة BitLocker | وظيفة EFS |
---|---|
تشفير وحدات التخزين (وحدة تخزين نظام التشغيل بأكملها، بما في ذلك ملفات نظام Windows، وملف الإسبات). | تشفير الملفات. |
لا يتطلب شهادات المستخدم. | يتطلب شهادات المستخدم. |
يحمي نظام التشغيل من التعديل. | لا يحمي نظام التشغيل من التعديل. |
تشفير الجهاز
تشفير الجهاز هو ميزة Windows مضمنة. بشكل افتراضي، يحمي تشفير الجهاز محرك أقراص نظام التشغيل وأي محركات أقراص بيانات ثابتة على النظام باستخدام تشفير 128 بت من معيار التشفير المتقدم (AES)، والذي يستخدم نفس تقنية BitLocker. يمكنك استخدام تشفير الأجهزة باستخدام حساب Microsoft أو حساب مجال.
يتم تمكين تشفير الأجهزة تلقائيا على جميع إصدارات Windows 10 والإصدارات الأحدث على الأجهزة الجديدة، بحيث يكون الجهاز محميا دائما. الأجهزة المدعومة التي تقوم بالترقية إلى Windows 10 أو مع تثبيت نظيف لها أيضا تشفير الأجهزة ممكن تلقائيا.
BitLocker To Go
عند فقدان كمبيوتر محمول أو سرقته، عادة ما يكون لفقدان البيانات تأثير أكبر من فقدان أصل الكمبيوتر. نظرا لأن المزيد من الأشخاص يستخدمون أجهزة تخزين قابلة للإزالة، فقد يفقدون البيانات دون فقدان جهاز كمبيوتر. يوفر BitLocker To Go الحماية من سرقة البيانات والتعرض لها من خلال توسيع دعم BitLocker لأجهزة التخزين القابلة للإزالة، مثل محركات أقراص USB المحمولة. يمكنك إدارة BitLocker To Go باستخدام نهج المجموعة، ومن Windows PowerShell، وباستخدام تطبيق لوحة التحكم تشفير محرك الأقراص BitLocker.
في Windows، يمكن للمستخدمين تشفير الوسائط القابلة للإزالة عن طريق فتح مستكشف الملفات والنقر بزر الماوس الأيمن فوق محرك الأقراص وتحديد تشغيل BitLocker. يمكن للمستخدمين بعد ذلك اختيار طريقة لإلغاء تأمين محرك الأقراص، بما في ذلك استخدام كلمة مرور أو بطاقة ذكية.
بعد اختيار طريقة إلغاء تأمين، يجب على المستخدمين طباعة مفتاح الاسترداد الخاص بهم أو حفظه. يمكنك تكوين Windows لتخزين هذا المفتاح المكون من 48 رقما في خدمات مجال Active Directory (AD DS) تلقائيا، بحيث يمكنك استخدامه إذا فشلت أساليب إلغاء القفل الأخرى، مثل عندما ينسى المستخدمون كلمات المرور الخاصة بهم. وأخيرا، يجب على المستخدمين تأكيد تحديدات إلغاء تأمينهم لبدء التشفير. عند إدراج محرك أقراص محمي ب BitLocker في الكمبيوتر، سيكتشف نظام التشغيل Windows محرك الأقراص المشفر وسيطالبك بإلغاء تأمينه.
Microsoft BitLocker مسؤول istration and Monitoring (MBAM)
كما هو الحال مع أي تقنية أمان تنفذها، يوصى بالإدارة المركزية. يمكنك إدارة BitLocker مركزيا باستخدام نهج المجموعة، ولكن بوظائف محدودة. كجزء من حزمة تحسين سطح المكتب من Microsoft، تسهل MBAM إدارة BitLocker وBitLocker To Go ودعمهما باستخدام الوظائف الكاملة. يحتوي MBAM 2.5 مع حزمة الخدمة 1، أحدث إصدار، على الميزات الرئيسية التالية:
- يمكن مسؤول istrators أتمتة عملية تشفير وحدات التخزين على أجهزة الكمبيوتر العميلة عبر المؤسسة.
- يمكن لمسؤولي الأمن تحديد حالة التوافق لأجهزة الكمبيوتر الفردية أو حتى للمؤسسة نفسها.
- يوفر التقارير المركزية وإدارة الأجهزة مع Microsoft Endpoint Configuration Manager.
- يقلل من حمل عمل مكتب المساعدة لمساعدة المستخدمين النهائيين مع طلبات استرداد BitLocker.
- يمكن للمستخدمين النهائيين استرداد الأجهزة المشفرة بشكل مستقل باستخدام مدخل الخدمة الذاتية.
- يمكن لضباط الأمن مراجعة الوصول إلى معلومات مفتاح الاسترداد.
- يمكن لمستخدمي Windows Enterprise متابعة العمل في أي مكان مع حماية بيانات الشركة الخاصة بهم.
- يفرض خيارات نهج تشفير BitLocker التي قمت بتعيينها لمؤسستك.
- يتكامل مع أدوات الإدارة الموجودة، مثل Endpoint Configuration Manager.
- يوفر تجربة مستخدم استرداد قابلة للتخصيص في مجال تكنولوجيا المعلومات.