BitLocker – Áttekintés

 

Érvényes: Windows Server 2012, Windows 8

A témakör a BitLocker magas szintű áttekintését tartalmazza, beleértve az új és módosult szolgáltatások, a rendszerkövetelmények, a gyakorlati alkalmazásmódok és az elavult funkciók listáját. További tartalmakra mutató hivatkozásokat is tartalmaz, amelyekből többet tudhat meg a BitLocker használatáról.

Hasonló témakörök:

• AppLocker

• EFS

• BitLocker meghajtótitkosítás-szolgáltató

A szolgáltatás leírása

A BitLocker meghajtótitkosítás az operációs rendszer adatvédelmi szolgáltatása, amely először a Windows Vista rendszerben volt elérhető. Az operációs rendszer későbbi kiadásai továbbfejlesztették a BitLocker nyújtotta védelmet, így az operációs rendszer egyre több meghajtón és eszközön kínál védelmet. Az operációs rendszerrel való integráció révén a BitLocker képes kezelni az adatlopás, illetve az elveszett, ellopott vagy nem megfelelően leszerelt számítógépek miatti veszélyeket. A Manage-bde parancssori eszközzel szintén végrehajthatók a számítógépen a BitLockerrel kapcsolatos feladatok. Amikor a választható BitLocker összetevőt telepíti egy kiszolgálón, az Emelt szintű tároló szolgáltatást is telepítenie kell, amely a hardveresen titkosított meghajtókat támogatja. A kiszolgálókon emellett egy további BitLocker-szolgáltatás, a BitLocker hálózati feloldás is telepíthető. A Windows RT, Windows RT 8.1 vagy Windows 8.1 rendszert futtató számítógépek védhetők az eszköztitkosítással, amely a BitLocker testreszabott verziója.

A BitLocker a platformmegbízhatósági modul (TPM) 1.2-es vagy újabb verziójával együtt nyújtja a legjobb védelmet. A TPM hardverösszetevőt a gyártók számos új számítógépbe telepítik. A BitLockerrel együttműködve segít a felhasználói adatok védelmében és a rendszer kapcsolat nélküli módban való illetéktelen módosításának megelőzésében.

A BitLocker azokon a számítógépeken is használható a Windows operációs rendszer meghajtójának titkosítására, amelyeken nincs telepítve a TPM 1.2-es vagy újabb verziója. Az ilyen megvalósításhoz azonban a felhasználónak egy USB-indítókulcsot kell csatlakoztatniuk a számítógép indításához vagy a hibernált állapotból való kilépéshez. A Windows 8-ban a TPM nélküli számítógép operációs rendszerének kötete jelszóval is védhető. Egyik opció sem biztosítja a TPM-mel együttműködő BitLocker által kínált indítás előtti rendszerintegritás-ellenőrzést.

A TPM mellett a BitLocker azt a beállítást is biztosítja, hogy a rendszerindítási folyamat mindaddig zárolva maradjon, amíg a felhasználó meg nem ad egy személyes azonosítószámot (PIN-kódot), vagy nem csatlakoztat egy cserélhető eszközt, például egy USB flash meghajtót, amely tartalmaz egy indítókulcsot. Ezekkel a további biztonsági intézkedésekkel többtényezős hitelesítés valósítható meg, és biztosítható, hogy a számítógép addig ne induljon el vagy ne lépjen ki a hibernált állapotból, amíg a felhasználó meg nem adja a megfelelő PIN-kódot vagy az indítókulcsot.

Gyakorlati alkalmazásmódok

Az elveszett vagy ellopott számítógépeken lévő adatok ki vannak téve az illetéktelen hozzáférés veszélyének, akár szoftveres támadások használatával, akár a merevlemez egy másik számítógépbe való áthelyezésével. A BitLocker segít mérsékelni az adatokhoz való illetéktelen hozzáférés veszélyét a fájlok és a rendszer védelmének erősítésével. A BitLocker emellett segít hozzáférhetetlenné tenni az adatokat a BitLocker által védett számítógépek leszerelésekor vagy újrahasznosításakor.

A Távoli kiszolgálófelügyelet eszközei két további eszközt kínálnak a BitLocker kezeléséhez.

• BitLocker helyreállításijelszó-megjelenítő. A BitLocker helyreállításijelszó-megjelenítő segítségével megtalálhatja és megtekintheti a BitLocker meghajtótitkosítás jelszavait, amelyekről biztonsági másolat készült az Active Directory tartományi szolgáltatásokba (AD DS). Az eszköz a BitLockerrel titkosított meghajtókon tárolt adatok helyreállítását segíti. A BitLocker helyreállításijelszó-megjelenítő eszköz az Active Directory – felhasználók és számítógépek Microsoft Management Console (MMC) beépülő modul bővítménye.

  Az eszköz használatával megvizsgálhatja a számítógép-objektumok Tulajdonságok párbeszédpanelét, és megtekintheti a megfelelő BitLocker helyreállítási jelszavakat. Továbbá ha jobb gombbal egy tartománytárolóra kattint, az Active Directory-erdőhöz tartozó összes tartományban kereshet a helyreállítási jelszavakra. A helyreállítási jelszavak megtekintéséhez tartományi rendszergazdának kell lennie, illetve delegált engedélyeket kell kapnia egy tartományi rendszergazdától.

• BitLocker meghajtótitkosítási eszközök. A BitLocker meghajtótitkosítási eszközök közé tartoznak a manage-bde és a repair-bde parancssori eszközök, valamint a Windows PowerShell BitLocker-parancsmagjai. A manage-bde és a BitLocker-parancsmagok is használhatók a BitLocker vezérlőpultján elérhető összes feladat végrehajtására, és alkalmasak automatizált telepítésekhez és a parancsfájlokkal végzett egyéb tevékenységekhez. A repair-bde olyan vész-helyreállítási forgatókönyvekhez használható, amikor egy BitLockerrel védett meghajtó nem a normál módon vagy a helyreállítási vezérlőpult használatával.

Új és módosított funkciók

A következő táblázat a BitLocker új és módosított funkcióit írja le Windows 8 és Windows Server 2012 rendszer alatt. Tekintse át a következőt: A BitLocker újdonságai.

Szolgáltatás/funkció	Windows 7	Windows 8 és Windows Server 2012
A BitLocker PIN-kódjának vagy jelszavának visszaállítása	Az operációs rendszert tartalmazó meghajtókon a BitLocker PIN-kódjának visszaállításához, rögzített vagy eltávolítható meghajtókon pedig a jelszó visszaállításához rendszergazdai jogosultság szükséges.	A normál felhasználók az operációs rendszert tartalmazó meghajtókon, rögzített adatmeghajtókon és eltávolítható adatmeghajtókon visszaállíthatják a BitLocker PIN-kódját vagy jelszavát.
Lemeztitkosítás	A BitLocker engedélyezésekor a teljes lemez titkosítva lesz.	A BitLocker engedélyezésekor választhat, hogy a teljes lemezt, vagy csak a használt lemezterületet kívánja titkosítani. A lemezterület feltöltése során a lemez titkosítva lesz.
Hardveresen titkosított meghajtók támogatása	A BitLocker nem támogatja natív módon.	A BitLocker támogatja az olyan Windows emblémás merevlemezeket, amelyeket a gyártó előzetes titkosítással ad ki.
Feloldás hálózati kulccsal kéttényezős hitelesítés biztosításához	Nem érhető el. A kéttényezős hitelesítéshez korábban fizikailag a számítógépnél kellett lenni.	Egy új típusú kulcsvédő segítségével egy speciális hálózati kulcs használható a PIN-bevitel kérdés feloldásához és kihagyásához az olyan helyzetekben, amikor a számítógépek megbízható vezetékes hálózatokon indulnak újra. Így a PIN-kóddal védett számítógépek karbantartása munkaidőn kívül, távolról végezhető, és fizikai jelenlét nélkül biztosítható a kéttényezős hitelesítés úgy, hogy ha a számítógép nem csatlakozik a megbízható hálózathoz, továbbra is kötelező a felhasználói hitelesítés.
Fürtvédelem	Nem érhető el.	A Windows Server 2012-ben a BitLocker támogatja az olyan Windows-fürtök megosztott köteteit és Windows feladatátvételi fürtöket, amelyek egy engedélyezett Kerberos kulcsszolgáltató szolgáltatással működő Windows Server 2012-tartományvezérlő által létrehozott tartományban futnak.
BitLocker-kulcsvédő összekapcsolása egy Active Directory-fiókkal	Nem érhető el.	Lehetővé teszi egy BitLocker-kulcsvédő, illetve egy Active Directory felhasználói, csoport- vagy számítógépfiók összekapcsolását. Az adott kulcsvédő használható a BitLocker által védett adatkötetek zárolásának feloldásához, ha a felhasználó megfelelő hitelesítő adatokkal van bejelentkezve, vagy egy megfelelő hitelesítő adatokkal rendelkező számítógépre van bejelentkezve.

 

Eltávolított vagy elavult funkciók

A Diffúzor beállítás már nem adható hozzá az AES titkosítási algoritmushoz.

A „TPM érvényesítési profil konfigurálása” csoportházirend-beállítás a Windows 8 és Windows Server 2012 rendszerekben elavult. A helyét a BIOS-, valamint UEFI-alapú számítógépekhez készült rendszerspecifikus házirendek vették át.

A manage-dbe már nem támogatja a –tpm kapcsolót.

Rendszerkövetelmények

A BitLocker hardverkövetelményei a következők:

Ahhoz, hogy a BitLocker használja a platformmegbízhatósági modul (TPM) által biztosított rendszerintegritás-ellenőrzést, a számítógépnek rendelkeznie kell a TPM 1.2-es vagy 2.0-s verziójával. Ha a számítógépen nincs TPM, a BitLocker engedélyezéséhez rendelkeznie kell egy indítókulccsal egy cserélhető eszközön, például egy USB flash meghajtón.

A TPM-mel rendelkező számítógépnek emellett Trusted Computing Group (TCG)-kompatibilis BIOS vagy UEFI belső vezérlőprogrammal kell rendelkeznie. A BIOS vagy UEFI belső vezérlőprogram egy megbízhatósági láncot létesít az operációs rendszer előtti rendszerindításhoz, és biztosítania kell a TCG által meghatározott Statikus bizalmigyökér-mérést. A TPM-mel nem rendelkező számítógépeken nem szükséges TCG-kompatibilis belső vezérlőprogram.

A rendszer BIOS vagy UEFI belső vezérlőprogramjának (TPM-számítógépeken és nem TPM-számítógépeken) támogatnia kell az USB-háttértár eszközosztályt, beleértve a kisméretű fájlok olvasását az USB flash meghajtókon az operációs rendszer előtti környezetben. Az USB-vel kapcsolatos további információkért lásd az USB Mass Storage Bulk-Only (USB-háttértár – csak tömeges) valamint a Mass Storage UFI Command (Háttértár UFI-parancs) specifikációját az USB webhelyen.

A merevlemezt legalább két meghajtóval kell particionálni:

• Az operációs rendszert tartalmazó meghajtó (vagy rendszerindítási meghajtó) az operációs rendszert és az azt támogató fájlokat tartalmazza. Ezt a meghajtót NTFS fájlrendszerrel kell formázni.

• A rendszermeghajtó tartalmazza a Windows betöltéséhez szükséges fájlokat, miután a belső vezérlőprogram előkészítette a rendszerhardvert. A BitLocker nincs engedélyezve ezen a meghajtón. A BitLocker működéséhez a rendszermeghajtó nem lehet titkosított, el kell térnie az operációs rendszert tartalmazó meghajtótól, valamint az UEFI-alapú belső vezérlőprogramot használó számítógépeken FAT32, a BIOS belső vezérlőprogramot használó számítógépeken pedig NTFS fájlrendszerrel kell formázva lennie. A rendszermeghajtó javasolt mérete hozzávetőleg 350 MB. A BitLockernek a bekapcsolása után körülbelül 250 MB szabad hellyel kell rendelkeznie.

A Windows új számítógépre telepítve automatikusan létrehozza a BitLocker számára szükséges partíciókat.

A könyvtár tartalma

• A BitLocker újdonságai

• A BitLocker újdonságai a Windows 8-ban és Windows Server 2012-ben [átirányítva]

• BitLocker – gyakori kérdések (GYIK)

• BitLocker alapvető telepítés

• BitLocker: A Windows Server 2012 telepítéséről

• BitLocker: Hogyan lehet engedélyezni a hálózati zárolásának feloldása

• BitLocker: BitLocker meghajtó titkosítási eszközök használatával BitLocker kezelése

• BitLocker: Használja a BitLocker helyreállításijelszó-megjelenítő

• BitLocker csoportházirend-beállítások

• BCD-beállításokat és a BitLocker

• BitLocker helyreállítási útmutatója

• Védelmét fürt megosztott kötetei és a tárolóhálózat a BitLocker szolgáltatással való

Lásd még:

• A szervezet felkészítése a BitLocker használatára: Tervezés és házirendek

• A BitLocker védelme a rendszerindítás előtti támadások ellen

• Titkosított merevlemez

• BitLocker-parancsmagok a Windows PowerShellben

• TechNet wikicikkek

• Biztonság és védelem

• Kiszolgálói szerepkörök és technológiák a Windows Server 2012 R2-ben és a Windows Server 2012-ben