Aracılığıyla paylaş

OEM'ler için Windows 11'de BitLocker sürücü şifrelemesi

BitLocker sürücü şifrelemesi, işletim sistemi çevrimdışıyken sürücünün üzerinde oynanmamasını sağlayarak çevrimdışı veri ve işletim sistemi koruması sağlar. BitLocker sürücü şifrelemesi, Güvenilen Bilgi İşlem Grubu tarafından tanımlanan Statik Güven Kökü Ölçümünü destekleyen ayrık veya üretici yazılımı tabanlıbir TPM kullanır.

BitLocker otomatik cihaz şifrelemesi

BitLocker otomatik cihaz şifrelemesi, kullanıcı donanım gereksinimlerini karşılayan cihazlarda İlk Çalıştırma Deneyimi'ni (OOBE) tamamladıktan sonra dahili sürücüleri otomatik olarak şifrelemek için BitLocker sürücü şifreleme teknolojisini kullanır.

Not

BitLocker otomatik cihaz şifrelemesi, kutudan çıkarma (OOBE) deneyimi sırasında başlar. Ancak koruma, kullanıcılar bir Microsoft Hesabı veya bir Azure Active Directory hesabıyla oturum açtıktan sonra etkinleştirilir. Bu süreye kadar koruma askıya alınır ve veriler korunmaz. BitLocker otomatik cihaz şifrelemesi yerel hesaplarla etkinleştirilmez ve bu durumda BitLocker, BitLocker Denetim Masası kullanılarak el ile etkinleştirilebilir.

BitLocker otomatik cihaz şifreleme donanım gereksinimleri

Not

Microsoft, Windows 11 sürüm 24H2'den başlayarak Windows'ta Otomatik Cihaz Şifrelemesi (Auto-DE) için donanım gereksinimlerini azaltmıştır:

  • Auto-DE artık Donanım Güvenlik Testi Arabirimine (HSTI) / Modern Bekleme konumuna artık bağımlı değil.
  • Güvenilmeyen Doğrudan Bellek Erişimi (DMA) veri yolları/arabirimleri algılandığında bile Auto-DE etkinleştirilir

Başka bir deyişle, OEM'lerin AllowedBuses kayıt defteri anahtarına DMA arabirimleri eklemesi gerekmez: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Yeni azaltılmış gereksinimler otomatik olarak HLK testlerine yansıtılır ve OEM'ler için başka eylem gerekmez.

Bu değişiklik Windows IoT sürümleri için geçerli değildir.

BitLocker otomatik cihaz şifrelemesi şu durumlarda etkinleştirilir:

  • Cihaz, TPM 1.2 veya TPM 2.0 olan bir TPM (Güvenilen Platform Modülü) içerir.
  • UEFI Güvenli Önyükleme etkindir. Daha fazla bilgi için Güvenli Önyükleme 'ye bakın.
  • Platform Güvenli Önyükleme etkinleştirildi
  • Platform Modern Bekleme Modu veya HSTI uyumlu (bu gereksinim Windows 11 24H2'den beri kaldırılmıştır)
  • İzin verilmeyen Doğrudan bellek erişimi (DMA) arabirimleri yoktur (bu gereksinim Windows 11 24H2'den beri kaldırılmıştır)

Windows 11 Otomatik BitLocker cihaz şifrelemesini etkinleştirmeden önce aşağıdaki testlerin geçmesi gerekir. Bu özelliği destekleyen bir donanım oluşturmak istiyorsanız, cihazınızın bu testleri geçtiğini doğrulamanız gerekir.

  1. TPM: Cihaz PCR 7 desteğine sahip bir TPM içermelidir. Bkz. system.fundamentals.TPM20.TPM20.

    • Genişletilebilir kartlar mevcutsa ve bu durum önyükleme sırasında UEFI BIOS'un OROM UEFI sürücülerini yüklemesine neden olursa, BitLocker PCR7 bağlamasını kullanmaz.
    • PCR7'ye bağlanmayan bir cihaz çalıştırıyorsanız ve Bitlocker etkinse, normal UEFI PCR profili (0,2,4,11) kullanılırken BitLocker hala güvenli olduğundan güvenlik dezavantajları yoktur.
    • Son önyükleme öncesi ek CA karması (Windows Prod CA bile) Windows Prod CA bitLocker'ın PCR7 kullanmayı seçmesini engeller. Ek karmaların UEFI CA'dan (yani Microsoft 3. Taraf CA) veya başka bir CA'dan gelmesi fark etmez.

  2. Güvenli önyükleme: UEFI Güvenli Önyükleme etkinleştirildi. Bkz. System.Fundamentals.Firmware.UEFISecureBoot.

  3. Modern Bekleme gereksinimleri veya HSTI doğrulamasıyla ilgili. (Windows 11 24H2'den itibaren kaldırıldı)
    Bu gereksinim aşağıdakilerden biri tarafından karşılanır:

    • Modern Bekleme gereksinimleri uygulanmıştır. Bunlar UEFI Güvenli Önyükleme için gereksinimlerini ve yetkisiz DMA'dan korumayı içerir.
    • Windows 10, sürüm, 1703'den itibaren bu gereksinim HSTI testaracılığıyla karşılanabilir:
      1. Platform Güvenli Önyükleme kendi kendine testi (veya kayıt defterinde yapılandırıldığı gibi ek kendi kendine testler) HSTI tarafından uygulanmış ve geçilmiş olarak bildirilmelidir.
      2. Thunderbolt hariç, HSTI hiçbir izin verilmeyen DMA veri yolunu bildirmemelidir.
      3. Thunderbolt varsa HSTI, Thunderbolt'un güvenli bir şekilde yapılandırıldığını bildirmelidir (güvenlik düzeyi SL1 – "Kullanıcı Yetkilendirmesi" veya üzeri olmalıdır).

  4. Önyükleme yapmanız (ve WinRE'yi sistem bölümüne koyarsanız Windows'un kurtarılması) için ihtiyacınız olan her şeyin üzerinde 250 MB boş alanınız olmalıdır. Daha fazla bilgi için bkz. Sistem ve yardımcı program bölümleri.

Yukarıda listelenen gereksinimler karşılandığında, Sistem Bilgileri sistemin BitLocker otomatik cihaz şifrelemesini desteklediğini gösterir. Bu işlev Windows 10, sürüm 1703 veya sonraki sürümlerde kullanılabilir. Sistem Bilgileri'ne şu şekilde göz atalım.

  1. Başlattıklayın ve Sistem Bilgileri yazın
  2. Sistem Bilgileri uygulamasına sağ tıklayın ve Yönetici olarak açtıklayın. Evettıklayarak uygulamanın cihazınızda değişiklik yapmasına izin verin. Bazı cihazlar şifreleme ayarlarını görüntülemek için yükseltilmiş izinler gerektirebilir.
  3. Sistem Özetibölümünde bkz. Cihaz Şifreleme Desteği. Cihaz şifrelenirse veya şifrelenmediyse, devre dışı bırakılmasının nedenleri değerde belirtilir.

İzin verilmeyen DMA özellikli veri yolu/cihazları algılandı

Cihaz Şifreleme Desteği'ndeki bu Sistem Bilgileri durumu, Windows'un DMA tehdidini ortaya çıkarabilecek en az bir olası dış DMA özellikli veri yolu veya cihazı algıladığını gösterir.

Bu sorunu çözmek için IHV'lere başvurarak bu cihazın dış DMA bağlantı noktası olup olmadığını belirleyin. IHV'ler tarafından veri yolu veya cihazın yalnızca iç DMA'sına sahip olduğu onaylanırsa, OEM bunu izin verilenler listesine ekleyebilir.

İzin verilenler listesine veri yolu veya cihaz eklemek için kayıt defteri anahtarına bir değer eklemeniz gerekir. Bunu yapmak için önce AllowedBuses kayıt defteri anahtarının sahipliğini almanız gerekir. Şu adımları izleyin:

  1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses kayıt defteri anahtarına gidin.

  2. Kayıt defteri anahtarına sağ tıklayın ve İzinler...seçin.

  3. Gelişmiş'e tıklayın, Sahibi alanındaki Değiştir bağlantısına tıklayın, kullanıcı hesabınızın adını girin, Adları Denetle'ye tıklayın ve ardından tüm izin iletişim kutularını kapatmak üzere üç kez Tamam'a tıklayın.

  4. Kayıt defteri anahtarına sağ tıklayın ve İzinler... öğesini yeniden seçin.

  5. Ekle... düğmesine tıklayın, kullanıcı hesabınızı ekleyin, Adları Denetle'ye tıklayın ve ardından Tamam'a tıklayın. Ardından Tam Denetime İzin Ver'in altındaki onay kutusunu seçin. Ardından Tamam'a tıklayın.

Ardından, AllowedBuses anahtarı altında, güvenli olduğu belirlenen her işaretlenmiş DMA özellikli veri yolu için dize (REG_SZ) adı/değeri çiftleri ekleyin.

  • Anahtar: cihaz dostu adı /açıklama
  • Değer: PCI\VEN_ID&DEV_ID.

Kimliklerin HLK testinden elde edilen çıkışla eşleştiğinden emin olun. Örneğin, "Contoso PCI Express Kök Bağlantı Noktası" adlı kolay bir isme, satıcı kimliği 1022 ve Cihaz Kimliği 157C'ye sahip güvenli bir cihazınız varsa, Contoso PCI Express Kök Bağlantı Noktası adlı bir Kayıt Defteri girdisini REG_SZ veri türü olarak oluşturursunuz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Değerin olduğu yer = "PCI\VEN_1022&DEV_157C"

Not: Bu kayıt defteri anahtarı Windows 11 24H2'den başlayarak yoksayılır.

BitLocker sürücü şifrelemesi bölüm düzeni

BitLocker sürücü şifrelemesi, Windows bölümünden ayrı bir sistem bölümü kullanır. BitLocker sistem bölümü aşağıdaki gereksinimleri karşılamalıdır.

  • BitLocker sistem bölümü etkin bölüm olarak yapılandırılır.
  • BitLocker sistem bölümü şifrelenmemelidir.
  • BitLocker sistem bölümü, gerekli dosyalar tarafından kullanılan herhangi bir alanın üzerinde ve ötesinde en az 250 MB boş alana sahip olmalıdır. Bu ek sistem bölümü, 250 MB boş alan gereksinimini karşılamaya devam ettiği sürece Windows Kurtarma Ortamı (RE) ve OEM araçlarını (OEM tarafından sağlanır) barındırmak için kullanılabilir.

Daha fazla bilgi için bkz. Sistem ve yardımcı program bölümlerive Sabit sürücüler ve bölümler.

BitLocker otomatik cihaz şifrelemesini devre dışı bırakma

OEM'ler cihaz şifrelemesini devre dışı bırakabilir ve bunun yerine cihazda kendi şifreleme teknolojisini uygulayabilir. Bu senaryo dışında şifrelemenin devre dışı bırakılması, Windows 11 lisanslama gereksinimlerini ihlal ettiği ve Windows 11'in varsayılan olarak güvenli ilkesini ihlal ettiği için yasaktır. BitLocker otomatik cihaz şifrelemesini devre dışı bırakmak için bir Katılımsız dosya kullanabilir ve PreventDeviceEncryption ayarını True olarak yapabilirsiniz.

Alternatif olarak, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker kayıt defteri anahtarını güncelleştirebilirsiniz:

Değer: PreventDeviceEncryption True (1) değerine eşittir.

Geri Çağırma özelliğine sahip cihazlarda bu kayıt defteri anahtarının ayarlanması önerilmez."

BitLocker HLK Testlerinin Sorunlarını Giderme

Test altındaki cihaz hakkında aşağıdaki bilgi parçalarını bildiğinizde önceliklendirme çok daha basittir:

  1. TPM belirtimi (örn. 1.2, 2.0)
  2. BitLocker PCR profili (örn. 7, 11 veya 0, 2, 4, 11)
  3. Makinenin AOAC veya AOAC dışı olup olmadığı (örneğin Surface cihazları AOAC makineleridir)

Bu bilgiler önerilir ancak önceliklendirme gerçekleştirmek için gerekli değildir.

BitLocker HLK sorunları genellikle aşağıdakilerden biriyle ilgilidir: test sonuçlarını yanlış yorumlama veya PCR7 bağlama sorunları.

Test sonuçlarını yanlış yorumlama

HLK testi birden çok test adımından oluşur. Bazı test adımları, genel testin başarısını/başarısızlığını etkilemeden başarısız olabilir. Sonuçlar sayfasını yorumlama hakkında daha fazla bilgi için buraya bakın. Bazı test adımları başarısız olduysa ancak genel test geçerse (test adının yanında yeşil tik işareti ile gösterildiği gibi), burada durun. Test başarıyla çalıştırılır ve sizin için başka eylem gerekmez.

Sınıflandırma adımları:

  1. Makinede doğru testi çalıştırdığınızı onaylayın. Başarısız test Altyapı Toplayıcı günlüklerinin herhangi bir adımına sağ tıklayın IsAOACöğe için RUNTIMEBLOCK.xml bakın. IsAOAC=true ise ve AOAC olmayan bir test çalıştırıyorsanız, hatayı göz ardı edin ve bu testi makinede çalıştırmayın. Gerekirse çalma listesini paylaşmak için Microsoft Destek ekibine bir hata listesi için ulaşın.

    Başarısız testin ekran görüntüsü. A O A C öğesi seçilir.

  2. Teste filtre uygulanıp uygulanmadığını belirleyin. HLK, yanlış eşlenmiş bir test için otomatik olarak filtre önerebilir. Filtre, test adımının yanındaki dairenin içinde yeşil onay işareti olarak görünür. (Bazı filtrelerin sonraki test adımlarının başarısız olduğunu veya iptal edilmiş olduğunu gösterebileceğini unutmayın.) Test adımını özel simgeyle genişleterek filtreyle ilgili genişletilmiş bilgileri inceleyin. Filtre test hatasını görmezden gelin diyorsa burada durun.

Filtreler ekran görüntüsü

PCR7 sorunları

İki PCR7 testine özgü yaygın bir BitLocker sorunu, PCR7'ye bağlanma hatasıdır.

Sınıflandırma adımları:

  1. HLK günlüklerinde hata iletisini bulun. Başarısız olan test adımını genişletin ve Te.wtl günlüğünü inceleyin. (Te.wtl Görev günlükleri bir test adımına sağ tıklayarak da bu günlüğe erişebilirsiniz) Bu hatayı görürseniz önceliklendirme adımlarını takip edin:

    H L K günlüklerindeki hata iletisinin ekran görüntüsü.

  2. msinfo32'yi yönetici olarak çalıştırın ve Güvenli Önyükleme Durumu/PCR7 Yapılandırması'nı denetleyin. Test, Güvenli Önyükleme açık olarak çalıştırılmalıdır. PCR7 bağlaması desteklenmiyorsa, bunun yerine uygun Eski PCR HLK testini çalıştırın. PCR7 bağlaması mümkün değilse, önceliklendirme adımlarını izlemeye devam edin.

  3. Hata günlüklerini inceleyin. Test görevi > Ek dosyalar üzerinde sağ tıklayın. Genellikle PCR7 bağlama sorunu, PCR7'de yapılan yanlış ölçümlerin bir sonucudur.

    1. Olay günlükleri. Microsoft-BitLocker-Management günlüğü, PCR7'nin neden kullanılamayacağı hakkında değerli hata bilgileri içerir. BitLocker HLK testi yalnızca BitLocker yüklü bir makinede çalıştırılmalıdır. Olay günlükleri, bunları oluşturan makinede denetlenecektir.
    2. Ölçülen önyükleme günlükleri. Bunlar C:\Windows\Logs\MeasuredBoot konumunda da bulunabilir

  4. Ölçülen önyükleme günlüğünü TBSLogGenerator.exe veya eşdeğerini kullanarak ayrıştırın. HLK denetleyicisinde TBSLogGenerator.exe, HLK'yi yüklediğiniz HLK testleri dizininin altında bulunur, örneğin C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe."

    1. Ölçülen önyükleme günlüğü<> OutputLog.txt yolu TBSLogGenerator.exe -lf >
    2. OutputLog.txtbölümünde "PCR[07]" araması yapın ve sırasıyla listelenen ölçümleri inceleyin. İlk ölçüm şöyle görünmelidir:

Çıkış Günlüğü nokta t x t. ölçüm listesinin ekran görüntüsü

BitLocker, PCR7'deki ve statik güven kökü ölçümlerini bekler ve bu ölçümlerdeki herhangi bir değişiklik genellikle PCR7'ye bağlanmayı engeller. Aşağıdaki değerler PCR7'ye ölçülmelidir (sırasıyla ve arada gereksiz ölçümler olmadan):

  • SecureBoot değişkeninin içeriği
  • PK değişkeninin içeriği
  • KEK değişkeninin içeriği
  • EFI_IMAGE_SECURITY_DATABASE değişkeninin (DB) içeriği
  • EFI_IMAGE_SECURITY_DATABASE1 değişkeninin (DBX) içeriği
  • (isteğe bağlı ancak yaygın olarak kullanılan EV_SEPARATOR)
  • EFI_IMAGE_SECURITY_DATABASE'deki, önyükleme yolunda EFI Sürücülerini veya EFI Önyükleme Uygulamalarını doğrulamak için kullanılan girişler. BitLocker burada yalnızca bir giriş bekler.

Ölçülen önyükleme günlüğüyle ilgili yaygın sorunlar:

  • UEFI hata ayıklama modu açık
  • Eksik PK veya KEK değişkenleri: PK/KEK ölçümünde veri yok (örneğin 4 bayt 0)
  • Güvenilmeyen UEFI CA imzalayan

UEFI hata ayıklama modu açık olduğunda karşılaşılan bazı ölçülü önyükleme sorunları, test eden tarafından düzeltilebilir. Diğer sorunlar bir düzeltme listesi gerektirebilir, bu durumda rehberlik için Microsoft Destek ekibi ile iletişime geçmeniz gerekir.

Cihazlara üretici yazılımı güncellemeleri uygulama

OEM'lerin HLK testlerini çalıştırmaya ek olarak, BitLocker açık durumdayken üretici yazılımı güncelleştirmelerini test etmeleri gerekir. Cihazların gereksiz yere kurtarma başlatmasını önlemek için üretici yazılımı güncelleştirmelerini uygulamak için şu yönergeleri izleyin:

  1. BitLocker'ı askıya al (PCR[07]'ye bağlı cihazlar için gereklidir, ancak yalnızca üretici yazılımı güncellemesi Güvenli Önyükleme ilkesini değiştiriyorsa)
  2. Güncelleştirmeyi uygulama
  3. Cihazı yeniden başlatma
  4. BitLocker'ı Devam Ettir

Üretici yazılımı güncelleştirmesi, cihazın Bitlocker'ı yalnızca kısa bir süre askıya almasını ve cihazın mümkün olan en kısa sürede yeniden başlatılmasını gerektirmelidir. BitLocker, Windows Yönetim Araçları'nda (WMI) DisableKeyProtectors yöntemi kullanılarak kapatılmadan hemen önce program aracılığıyla askıya alınabilir.

  • OEM'ler için Windows 10 S güvenlik özelliklerini ve gereksinimlerini
  • Last updated on