Tutustu BitLockeriin

  • 8 minuuttia

BitLocker suojaa käyttöjärjestelmää ja tietoja, jotka käyttöjärjestelmän volyymi tallentaa muiden tietokoneen määrien lisäksi. Se auttaa varmistamaan, että tietokoneeseen tallennetut tiedot pysyvät salattuina, vaikka joku peukaloisi tietokonetta, kun käyttöjärjestelmä ei ole käynnissä. BitLocker tarjoaa Windowsiin tiiviisti integroidun ratkaisun tietovarkauksiin tai kadonneiden, varastettujen tai väärin käytöstä poistettujen tietokoneiden altistumiseen kohdistuviin uhkiin.

Kadonneen tai varatun tietokoneen tiedot voivat muodostua luvattomalle käyttöoikeudelle, kun pahantahtoinen käyttäjä suorittaa ohjelmistohyökkäystyökalun tätä vastaan tai siirtää tietokoneen kiintolevyn eri tietokoneeseen. BitLocker auttaa vähentämään tietojen luvatonta käyttöä parantamalla tiedostojen ja järjestelmän suojauksia. BitLocker auttaa lisäksi tekemään tiedoista käyttökelvottomia, kun poistat käytöstä tai kierrätät BitLocker-suojattuja tietokoneita.

BitLocker suorittaa kaksi funktiota, jotka tarjoavat offline-tietojen suojauksen ja järjestelmän eheyden tarkistuksen:

  • Se salaa kaikki Windowsin käyttöjärjestelmän määrään tallennetut tiedot ja määritetyt tietomäärät. Tämä sisältää Windows-käyttöjärjestelmän, horrostila- ja sivutustiedostot, sovellukset ja sovellustiedot. BitLocker tarjoaa myös sateenvarjosuojan muille kuin Microsoftin sovelluksille, mikä hyödyttää sovelluksia automaattisesti, kun asennat ne salattuun tilavuuteen.
  • Se on oletusarvoisesti määritetty käyttämään TPM (Trusted Platform Module) -turvapiiriä tietokoneen päätaulussa, jotta voidaan varmistaa käyttöjärjestelmän käyttämien käynnistyskomponenttien eheys käynnistysprosessin alkuvaiheessa. BitLocker lukitsee kaikki BitLocker-suojatut volyymit niin, että ne pysyvät suojattuina, vaikka joku peukaloisi tietokonetta, kun käyttöjärjestelmä ei ole käynnissä.

Järjestelmän eheyden tarkistus

BitLocker tarkistaa TPM:n avulla käynnistysprosessin eheyden seuraavasti:

  • Tarjoamalla menetelmän, jolla tarkistetaan, että varhainen käynnistystiedostojen eheys on ylläpitää, ja jotta voidaan varmistaa, että näihin tiedostoihin, kuten käynnistysalan viruksiin tai pääpaketeihin, ei ole tehty haitallisia muutoksia.
  • Suojauksen lisääminen ohjelmistopohjaisten offline-hyökkäysten lieventämiseksi. Vaihtoehtoisilla ohjelmistoilla, jotka saattavat käynnistää järjestelmän, ei ole pääsyä Windows-käyttöjärjestelmän määrän salauksen purkuavaimiin.
  • Järjestelmän lukitus, kun se havaitsee peukaloinnin. Jos BitLocker määrittää, että valvottuja tiedostoja on peukaloinnin tehnyt, järjestelmä ei käynnisty. Tämä hälyttää käyttäjän peukaloinnista, koska järjestelmä ei käynnisty tavalliseen tapaan. Jos järjestelmän lukitus tapahtuu, BitLocker tarjoaa yksinkertaisen palautusprosessin.

BitLocker tarkistaa yhdessä TPM:n kanssa varhaisten käynnistyskomponenttien eheyden, mikä auttaa estämään muita offline-hyökkäyksiä, kuten yrityksiä lisätä haitallista koodia kyseisiin osiin. Tämä toiminto on tärkeä, koska komponenttien on käynnistysprosessin varhaisessa osassa oltava salaamattomia, jotta tietokone voi käynnistyä.

Tämän seurauksena hyökkääjä voi muuttaa kyseisten varhaisen käynnistyksen osien koodia ja päästä sitten tietokoneeseen, vaikka levyn tiedot on salattu. Jos hyökkääjä pääsee käyttämään luottamuksellisia tietoja, kuten BitLocker-avaimia tai käyttäjän salasanoja, hyökkääjä voi kiertää BitLockerin ja muut Windowsin suojaukset.

BitLockerin ja EFS:n vertailu

Kuten aiemmin todettiin, sekä BitLocker että EFS tarjoavat salaustoimintoja. Nämä tekniikat eivät kuitenkaan ole samoja, ja niillä ei ole samaa tarkoitusta. Vaikka EFS keskittyy tarjoamaan suojauksen tiedosto- ja kansiotasolla, BitLocker tekee sen äänenvoimakkuuden tai levyn tasolla. Kun olet suojannut tiedoston EFS-tiedostolla, se säilyy suojattuna siihen asti, kunnes avaat tiedoston (tai muun henkilön, jolla on siihen asianmukaiset käyttöoikeudet) ja että suojaus ei riipu tiedoston sijainnista. BitLocker-suojatulla asemalla olevat tiedostot taas suojataan, kunhan ne ovat kyseisellä asemalla. Seuraavassa taulukossa verrataan BitLocker- ja EFS-salaustoimintoja.

BitLocker-toiminnot EFS-toiminnot
Salaa volyymit (koko käyttöjärjestelmän tilavuus, mukaan lukien Windows-järjestelmätiedostot ja lepotilatiedoston). Salaa tiedostot.
Ei edellytä käyttäjävarmenteita. Edellyttää käyttäjävarmenteita.
Suojaa käyttöjärjestelmää muokkaamiselta. Ei suojaa käyttöjärjestelmää muokkaulta.

Laitteen salaus

Laitteen salaus on sisäinen Windows-ominaisuus. Oletusarvoisesti laitteen salaus suojaa käyttöjärjestelmäaseman ja järjestelmän kiinteät tietoasemat käyttämällä 128-bittistä Advanced Encryption Standard (AES) -salausta, joka käyttää samaa tekniikkaa kuin BitLocker. Voit käyttää laitteen salausta Microsoft-tilin tai toimialuetilin kanssa.

Laitteen salaus otetaan automaattisesti käyttöön kaikissa Windows 10:n tai uudemmissa versioissa uusissa laitteissa, joten laite on aina suojattu. Tuetut laitteet, jotka päivitetään Windows 10:een tai joissa on puhdas asennus, sisältävät myös laitteen salauksen automaattisesti käytössä.

BitLocker nyt

Kun kannettava tietokone katoaa tai varastetaan, tietojen menetyksellä on yleensä suurempi vaikutus kuin tietokoneresurssin menetyksellä. Kun yhä useammat käyttäjät käyttävät siirrettävää tallennuslaitetta, he voivat menettää tietoja menettämättä tietokonetta. BitLocker To Go suojaa tietovarkauksilta ja altistumisilta laajentamalla BitLocker-tuen siirrettävät tallennuslaitteet, kuten USB-muistiasemat. Voit hallita BitLocker-siirtymistoimintoa käyttämällä ryhmäkäytäntöä Windows PowerShellistä ja käyttämällä BitLocker Drive Encryption Control Panel -sovellusta.

Windowsissa käyttäjät voivat salata siirrettävän tietovälineen avaamalla Resurssienhallinnan, napsauttamalla asemaa hiiren kakkospainikkeella ja valitsemalla Ota BitLocker käyttöön. Käyttäjät voivat sitten valita menetelmän, jolla aseman lukitus poistetaan, mukaan lukien salasanan tai älykortin käyttö.

Kun olet valinnut avaamattoman menetelmän, käyttäjien on tulostettava tai tallennettava palautusavain. Voit määrittää Windowsin tallentamaan tämän 48-numeroisen avaimen Active Directory -toimialuepalveluihin (AD DS) automaattisesti, jotta voit käyttää sitä, jos muut lukitusmenetelmät epäonnistuvat, kuten kun käyttäjät unohtavat salasanansa. Lopuksi käyttäjien on vahvistettava lukituksen poistovalinnat, jotta salaus voidaan aloittaa. Kun lisäät bitlocker-suojatun aseman tietokoneeseen, Windows-käyttöjärjestelmä tunnistaa salatun aseman ja pyytää sinua avaamaan sen lukituksen.

Microsoft BitLockerin hallinta ja valvonta (MBAM)

Kuten minkä tahansa käyttöön otettavan suojaustekniikan kohdalla, suosittelemme keskitettyä hallintaa. Voit hallita BitLockeria keskitetysti ryhmäkäytännön avulla, mutta vain rajoitetuin toiminnoin. Osana Microsoft Desktopin optimointipakettia MBAM helpottaa BitLockerin ja BitLockerin täydellistä toiminnallisuutta ja tukea sitä. Uusin MBAM 2.5 ja Service Pack 1 sisältävät seuraavat keskeiset ominaisuudet:

  • Järjestelmänvalvojat voivat automatisoida koko yrityksen asiakastietokoneiden määrien salausprosessin.
  • Tietoturvavalvojat voivat määrittää yksittäisten tietokoneiden tai jopa itse yrityksen vaatimustenmukaisuustilan.
  • Tarjoaa keskitetyn raportoinnin ja laitteiston hallinnan Microsoft Endpoint Configuration Managerin avulla.
  • Pienentää tukipalvelun kuormitusta, joka auttaa loppukäyttäjiä BitLocker-palautuspyyntöjen yhteydessä.
  • Loppukäyttäjät voivat palauttaa salattuja laitteita itsenäisesti Self-Service-portaalin avulla.
  • Suojausvalvojat voivat valvoa palautusavaintietojen käyttöoikeuksia.
  • Windows Enterprise -käyttäjät voivat jatkaa työskentelyä missä tahansa käyttäen suojattuja yritystietojaan.
  • Toteuttaa bitlocker-salauskäytännön asetukset, jotka määrität yrityksellesi.
  • Integrointia olemassa oleviin hallintatyökaluihin, kuten Endpoint Configuration Manageriin.
  • Tarjoaa IT-mukautettavan palautuksen käyttökokemuksen.

Näyttökuva Microsoft MBAM -kehotuksesta avaimen tunnistuksesta ja syystä salatun aseman käytön takaisin saamiseen.