Artykuł pochodzi z wydania: Maj 2022
Zachowanie poufności i odpowiedniej ochrony danych przechowywanych na stacjach roboczych i systemach serwerowych od zawsze stanowi wyzwanie dla administratorów. Jednym z zabezpieczeń stosowanych w celu podniesienia bezpieczeństwa jest szyfrowanie danych znajdujących się na dyskach twardych. Systemy z rodziny Windows mają własną infrastrukturę szyfrowania danych – technologia ta nazywa się BitLocker.
BitLocker po raz pierwszy zadebiutował w systemie Windows Vista w 2007 r. Poczynając od systemu Windows 10 w wersji 1511, Microsoft zaktualizował funkcjonalność BitLockera, wprowadzając nowe algorytmy szyfrowania, nowe ustawienia zasad grupy, szerszą obsługę dysków systemu operacyjnego (OS) oraz obsługę wymiennych nośników pamięci. Ta aktualizacja dotyczy systemów Windows 11, 10 i Server 2016 oraz nowszych, natomiast warto zwrócić uwagę, iż funkcja szyfrowania przy użyciu BitLockera działa w wersjach Pro, Enterprise i Education systemu Windows. Szyfrowanie dysków BitLocker to funkcja zabezpieczeń umożliwiająca użytkownikom szyfrowanie wszystkiego na dyskach lub partycjach zarządzanych przez system Windows. Gdy stosujemy zabezpieczenie w postaci szyfrowania całych wolumenów, w przypadku utraty dostępu do urządzenia dane pozostaną zaszyfrowane, a tym samym chronimy je przed kradzieżą lub nieautoryzowanym dostępem.
> ZABEZPIECZENIA SPRZĘTOWE
BitLocker wykorzystuje technologię Trusted Platform Module (TPM) w celu zabezpieczania sprzętu za pomocą zintegrowanych kluczy kryptograficznych. Chip TPM to procesor kryptograficzny, który zawiera fizyczne mechanizmy zabezpieczające, dzięki czemu jest odporny na manipulacje i może bezpiecznie wykonywać operacje kryptograficzne, a jednocześnie służy do potwierdzenia tożsamości użytkownika. Moduł TPM zazwyczaj umieszczany jest na płycie głównej komputera jako procesor przeznaczony do przechowywania haseł, certyfikatów lub kluczy szyfrowania Rivest-Shamir-Adleman (RSA). RSA to obecnie jeden z najpopularniejszych asymetrycznych algorytmów kryptograficznych z kluczem publicznym. Każdy układ TPM zawiera parę kluczy RSA generowanych na podstawie klucza poparcia (EK) i hasła określonego przez właściciela.
Ulepszanie modułów Trusted Platform doprowadziło do powstania w 2019 r. TPM 2.0, w którym dodano funkcję wymiany algorytmów, np.: w sytuacji gdy zostaną zidentyfikowane podatności w wykorzystywanych algorytmach. Warto wspomnieć, iż wcześniejsza wersja TPM 1.2 wykorzystywała jedynie algorytm Secure Hash Algorithm 1 (SHA 1). W TPM 2.0 poprawiono również podstawowe podpisy weryfikacyjne, dodając obsługę osobistych numerów identyfikacyjnych oraz danych biometrycznych. Nowe i zaktualizowane funkcje TPM 2.0 zapewniają większą elastyczność, umożliwiając wykorzystanie chipa w urządzeniach o bardziej ograniczonych zasobach. Moduł TPM 2.0 może działać w dowolnej wersji systemu Windows 10 oraz na urządzeniach z systemem Windows 11 obsługujących moduły TPM. Klucze oparte na module TPM można konfigurować na wiele sposobów. Jedną z opcji jest uczynienie takiego klucza niedostępnym poza modułem TPM, co zapobiega kopiowaniu i używaniu go bez modułu TPM. Klucze oparte na module TPM można również skonfigurować, tak aby wymagały autoryzacji do ich użycia i zapobiegania dalszym próbom dostępu w przypadku zbyt wielu błędnych prób autoryzacji.
> WYMAGANIA I TRYBY PRACY
BitLocker został wbudowany w rodzinę systemów Windows, poczynając od Windows 7 (Ultimate, Enterprise), Windows 8 (Pro, Enterprise) oraz Windows 10/11 (Pro, Enterprise) w komputerach z procesorami x86 i x64 z modułem TPM. Szyfrowanie może obejmować wszystkie stałe napędy, w tym dysk systemu operacyjnego, wykorzystując 128- lub 256-bitowe szyfrowanie AES. Stosowanie BitLockera charakteryzuje się dość niewielkim obciążeniem systemu i szacowane jest na poziomie 2–4%. Szyfrowanie urządzenia może być używane z kontem lokalnym, kontem Microsoft lub kontem domeny Active Directory. Aby obsługiwać szyfrowanie urządzeń, system musi obsługiwać tryb gotowości i spełniać wymagania zestawu Windows Hardware Certification Kit (HCK) dla modułu TPM i SecureBoot w systemach ConnectedStandby.
[…]
Piotr Maziakowski
Autor od 2004 r. związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.