رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 2)

IRCAR201201128
تنظيمات پيش فرض در ويندوز 7 به كاربران اجازه مي‌دهد تا تصميم بگيرند كه چه موقع مي‌خواهند اطلاعات روي دستگاه قابل حمل را رمزگذاري نمايند. در اين مقاله توضيح مي‌دهيم كه چگونه مي‌توان با استفاده از تنظيمات سياست گروهي، BitLocker را اعمال كرد.

مقدمه
در بخش اول از اين سري مقالات، نشان داديم كه چگونه مي‌توانيد به صورت دستي با استفاده از BitLocker محتوي يك درايو فلش USB را رمزگذاري كنيد. اگرچه روشي كه در مقاله قبل ارائه شد به خوبي عمل مي‌كند اما داراي محدوديت‌هايي نيز است. به عنوان مثال تصور كنيد كه شركت شما اطلاعات بسيار حساسي را در يك فايل نگهداري مي‌كند. در حالت ايده آل، احتمالا دوست داريد تا از بيرون رفتن آن اطلاعات از شركت جلوگيري نماييد. از طرفي ممكن است كارمنداني داشته باشيد كه براي انجام كارهايشان نياز به مراجعه به آن فايل را داشته باشند، حتي زماني كه به شبكه متصل نيستند.
هنگامي‌كه يك كارمند يك درايو USB حاوي اطلاعات شخصي درباره تمامي مشتريان سازمان را در اختيار داشته و احتمال گم شدن آن نيز وجود دارد، رمزگذاري يك ضرورت مي‌شود. قطعا BitLocker to Go مي‌تواند نوعي از رمزگذاري را ارائه دهد كه بدان نياز داريد اما روش رمزگذاري كه در بخش اول از اين سري ارائه شد، نيازمند آن است كه كاربران به صورت دستي درايوهاي فلش USB خودشان را رمزگذاري كنند.
بديهي است نمي‌توانيم تنها رمزگذاري را به عهده كاربران بگذاريم و براي انجام اين كار به آن‌ها اعتماد نماييم. خوشبختانه ويندوز 7 و ويندوز سرور 2008 نسخه 2 شامل تنظيمات سياست گروهي هستند كه مي‌توانيد براي كنترل زمان و موقعيت رمزگذاري BitLocker، از اين تنظيمات استفاده نماييد.
ويرايشگر شي سياست گروهي حاوي چند تنظيم مختلف سياست گروهي مربوط به رمزگذاري BitLocker است، اما يك فولدر كامل حاوي تنظيمات مربوط به رمزگذاري BitLocker براي رسانه قابل حمل وجود دارد. مي توانيد از مسير Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Removable Data Drives به اين فولدر دسترسي داشته باشيد.

كنترل استفاده از BitLocker روي درايوهاي قابل حمل
اولين تنظيم سياست گروهي كه توضيح داده مي‌شود، كنترل استفاده از BitLocker روي تنظيمات درايوهاي قابل حمل است. همان‌طور كه از نام آن پيداست، اين تنظيم به شما اجازه مي‌دهد تا كنترل نماييد كه كاربران، مجاز به رمزگذاري رسانه قابل حمل بوسيله BitLocker هستند يا مجاز نيستند. در ساده ترين بيان، غيرفعال نمودن اين تنظيم به كاربران اجازه رمزگذاري رسانه قابل حمل را نمي‌دهد، در حالي‌كه اگر هيچ تنظيمي صورت نگيرد، به كاربران اين اجازه را مي‌دهد تا رسانه قابل حمل خود را رمزگذاري نمايند.
با فعال نمودن اين تنظيم سياست گروهي، دو گزينه براي تنظيم وجود دارد. اولين گزينه اجازه مي‌دهد تا انتخاب نماييد آيا به كاربران اين اجازه را مي‌دهيد تا حفاظت BitLocker را بر روي درايوهاي داده قابل حمل فعال نمايند يا اين اجازه را نمي‌دهيد. بديهي است اين گزينه كمي غير ضروري است اما مايكروسافت به آن دليل اين گزينه را لحاظ كرده است تا بتوانيد تنظيمات دلخواه را اعمال نماييد. تنظيم بعدي كه به طور مستقل در موردش صحبت خواهيم كرد زماني است كه تنظيم سياست گروهي فعال باشد.
دومين تنظيم به كاربران اجازه مي‌دهد تا رمزگذاري را متوقف نمايند و حفاظت BitLocker را روي درايوهاي داده قابل حمل رمزگشايي نمايند. به بيان ديگر، شما مي‌توانيد مشخص كنيد كه آيا كاربران اجازه دارند تا BitLocker را براي دستگاه ذخيره قابل حمل غيرفعال نمايند يا اجازه ندارند.

پيكربندي استفاده از كارت‌هاي هوشمند روي درايوهاي قابل حمل
اين تنظيم سياست گروهي اجازه مي‌دهد تا كنترل كنيد كه آيا كارت‌هاي هوشمند مي‌توانند به عنوان يك مكانيسم براي احرازهويت كاربران براي دسترسي به محتوي رمزشده BitLocker استفاده شوند يا نه. اگر تصميم داشتيد تا اين تنظيم سياست گروهي را فعال نماييد، در نتيجه يك زير گزينه وجود دارد كه مي‌توانيد براي درخواست استفاده از كارت هوشمند اين گزينه را فعال نماييد. اگر اين گزينه را انتخاب كنيد، كاربران قادر خواهند بود تنها با استفاده از كارت هوشمند مبتني بر احرازهويت به محتوي رمز شده BitLocker دسترسي داشته باشند.

منع حق نوشتن روي درايوهاي قابل حمل توسط BitLocker
منع حق نوشتن روي درايوهاي قابل حمل در تنظيمات BitLocker يكي از مهم‌ترين تنظيمات سياست گروهي در رابطه با رمزگذاري رسانه قابل حمل است. هنگامي‌كه اين تنظيم را فعال مي‌كنيد، ويندوز هر دستگاه ذخيره قابل حملي كه به سيستم وارد مي‌شود را بررسي مي‌كند كه آيا رمزگذاري BitLocker بر روي آن فعال است يا نه. اگر BitLocker روي آن درايو غيرفعال باشد، در نتيجه آن درايو تنها قابليت خواندن دارد. كاربران زماني بر روي دستگاه ذخيره قابل حمل حق نوشتن دارند كه BitLocker روي اين درايو فعال باشد. با اين روش مي‌توانيد مانع نوشتن اطلاعات روي رسانه قابل حمل غير رمز شده شويد.
روش‌هاي بالا برخي از حالت‌هاي حفاظتي را در اختيار شما قرار مي‌دهد اما هنوز براي كاربر اين امكان وجود دارد تا بتواند BitLocker را روي يك كامپيوتر خانگي فعال سازد، يك درايو فلش USB را رمزگذاري نمايد و سپس درايو رمز شده را به شركت بياورد و روي آن اطلاعات را بنويسد. فعال كردن گزينه اي با عنوان به دستگاه‌هايي كه در سازمان ديگري حق نوشتن به آن‌ها داده شده است اجازه نوشتن نده، به ويندوز اين امكان را مي‌دهد تا به مكاني كه دستگاه ذخيره قابل حمل در آن‌جا رمز شده است، نگاهي بياندازد. اگر دستگاه توسط سازمان ديگري رمزگذاري شده باشد در نتيجه BitLocker حق نوشتن آن دستگاه را نمي پذيرد.

پيكربندي استفاده از رمزهاي عبور براي درايوهاي داده قابل حمل
اين تنظيم يكي از بديهي‌ترين تنظيمات است. به شما اجازه مي‌دهد تا كنترل نماييد آيا مي‌خواهيد براي رمزگشايي محتويات درايوهاي قابل حمل از رمز عبور استفاده نماييد. فرض كنيد كه مي‌خواهيد حفاظت رمز عبور براي درايوهاي قابل حمل را اعمال نماييد، گزينه اي وجود دارد كه مي توان شرائط طول رمز عبور و پيچيدگي آن را تنظيم نمود.

نتيجه
يكي از مشكلاتي كه در رابطه با داده‌هاي رمزگذاري وجود دارد، گم شدن كليدهاي رمزگذاري است، در نتيجه داده‌ها رمزگشايي نمي‌شوند. در قسمت سوم تكنيكي را نشان مي‌دهيم كه به كمك آن مي‌توانيد با اين مشكل مقابله نماييد.

مطالب مرتبط:
رمزگذاري رسانه قابل حمل با استفاده از BitLocker (قسمت 1)