IRCAR201212158
تاريخ: 04/10/91
در اين مقاله به بررسي بهبود عملكرد BitLocker در ويندوز سرور 2012 و ويندوز 8 مي پردازيم. اين بهبودها عبارتند از: پشتيباني جديد درايوهايي كه خود را به صورت خودكار رمزنگاري مي كنند (SEDها) و ويژگي جديد Network Unlock كه اجازه مي دهد زماني كه رايانه به شبكه سيمي شركت متصل مي شود به طور خودكار درايوهايي را كه توسط BitLocker رمزنگاري شده بودند، رمزگشايي شوند.
رمزنگاري درايوها با استفاده از BitLocker در سال 2006 در ويندوز ويستا معرفي شد. BitLocker با پيشرفت فناوري و ارتقاء سيستم عامل ويندوز پيشرفته تر شده است. نسخه جديد آن در ويندوز 2012 و ويندوز 8 داراي گزينه هاي ويژه و كامل تري براي حفاظت از رايانه در برابر حملات فيزيكي مهاجمان مي باشد. اين مساله به خصوص براي دستگاه هاي سيار كه امروزه به عنوان يك ابزار محاسباتي كسب و كار براي كاربران به شمار مي رود، از اهميت ويژه اي برخوردار است.
اگر لپ تاپي كه حاوي اطلاعات حساس يا ارتباطات راه دور مانند ارتباطات VPN به شبكه شركت مي باشد گم شود يا به سرقت برده شود، ممكن است يك فرد غيرمجاز بتواند حتي بدون دانستن يا شكستن رمز عبور كاربر، به اطلاعات درايو آن دسترسي يابد. آن فرد مي تواند با خارج كردن درايو سخت از سيستم و متصل كردن آن به يك سيستم ديگر، به اطلاعات درايوها دسترسي يابد.
براي حفاظت از داده ها در برابر دسترسي افراد غيرمجازي كه دسترسي فيزيكي به سيستم دارند، مي توان داده ها را رمزگذاري كرد. با رمزگذاري فايل هاي سيستم عامل مي توان اطمينان حاصل كرد كه فرد غيرمجاز هيچگاه نمي تواند به فايل هاي سيستم دسترسي يابد. رمزگذاري سطح فايل مانند EFS را مي توان براي رمزگذاري داده ها به كار برد اما براي فايل هاي سيستم عامل به گزينه ي ديگري نياز است. براي اين منظور بايد كل درايو يا ولوم را رمزگذاري نمود.
يشنهاد مايكروسافت
راه حل مايكروسافت براي رمزگذاري كل درايو استفاده از BitLocker است. اين گزينه با ويندوز ويستا معرفي شد و همزمان يا انتشار نسخه هاي جديد ويندوز به مرور كامل تر شد و گزينه هاي بيشتري به آن اضافه گرديد. شركت مايكروسافت در ويندوز 7، ويژگي جديد تحت عنوان BitLocker To Go را معرفي كرد كه توانايي رمزگذاري درايوهاي قابل حمل را نيز داشت. رمزگذاري رسانه هاي قابل حمل با استفاده از BitLocker To Go در مقالات پيشين شرح داده شده است.
در ويندوز 8 و ويندوز سرور 2012، مايكروسافت گزينه هاي مهمي را به BitLocker افزوده است كه مي توان در بسياري از موارد از آن استفاده نمود.
پشتيباني SED
در نسخه هاي پيشين BitLocker، اين فناوري استفاده از درايو سخت رمزگذاري شده را به عنوان درايو بوت پشتيباني نمي كرد. اما در نسخه جديد BitLocker گزينه اي وجود دارد كه توسط آن درايوها خودشان را به طور خودكار رمزگذاري مي كنند. انواع گسترده اي از درايوها مانند IDE، ATA، SATA، eSATA، SAS و SCSI، هم چنين IEEE 1394 و USB را پشتيباني مي كند. در ويندوز سرور 2012، BitLocker درايوهاي كانال فيبر و iSCSI را نيز پشتيباني مي كند. هم چنين مي توان از آن براي آرايه هاي RAID مبتني بر سخت افزار نيز استفاده نمود.
Network Unlock
ويژگي ديگر BitLocker در نسخه ويندوز سرور 2012 و ويندوز 8، Network Unlock مي باشد. اين ويژگي براي محيط شركت ها قرار داده شده است به خصوص سيستم هايي كه متعلق به دامنه ويندوز مي باشند. در اين حالت اگر سيستم به شبكه شركت متصل شود، درايوهايي كه با BitLocker رمزگذاري شده اند، رمزگشايي مي شوند.(اتصال به شبكه بايد از طريق كابل باشد و اين ويژگي اتصالات بي سيم و راه دور را پشتيباني نمي كند)
اين مساله باعث مي شود زمانيكه كاربران به شبكه معتبر متصل مي شوند و كليدهاي USB يا شماره PIN را فراموش كرده اند، درايو آن ها به طور خودكار رمزگشايي شده و مشكلي براي آن ها به وجود نمي آيد. هم چنين اعمال به روز رساني ها و اصلاحيه ها را بر روي درايوهايي كه رمزگذاري شده اند، راحت تر مي كند. البته اين تنظيمات اختياري است و سازمان ها مي توانند براي امنيت بيشتر، وارد كردن شماره PIN را الزام كنند.
پيش نيازهاي Network Unlock
برخي پيش نيازها براي استفاده از ويژگيNetwork Unlock لازم است. سيستمي كه با BitLocker محافظت مي شود بايد از ميان افزار UEFI استفاده كند و مستلزم آن است كه يك درايو DHCP در ميان افزار داشته باشد. نقش WDS در شبكه بايد بر روي ويندوز سرور 2012 تعريف شده باشد و هم چنين سرور DHCP بايد از سرور WDS جدا باشد. بايد سياست گروهي براي Network Unlock تنظيم شده باشد و بايد ويژگي Network Unlock بر روي ويندوز سرور 2012 نصب شده باشد. مي توان اين كار را از طريق Server Manager يا با PowerShell انجام داد. اين ويژگي از يك كليد رمزگذاري عمومي و يك كليد شبكه كه بر روي درايو سيستم ذخيره شده است، استفاده مي كند.
Network Unlock چگونه كار مي كند
مدير بوت رايانه كلاينت، محافظ كليد Network Unlock را تشخيص مي دهد. محافظ كليد يعني با كدام كليد BitLocker اين درايو رمزگذاري شده است. اين كليدها شامل رمز عبور، PIN، فايل كليد، كارت هوشمند، گواهينامه مي شود. هنگامي كه كلاينت اين محافظ را پيدا كرد، از DHCP براي گرفتن آدرس IP استفاده مي كند. سپس يك درخواست DHCP با كليد رمزگذاري و كليد نشست ارسال مي كند.
سرور بايد يك جفت كليد 2048 بيتي RSA داشته باشد. كلاينت تنها به كليد عمومي نياز دارد. گواهينامه از طريق ويرايشگر سياست گروهي بر روي كنترل كننده دامنه مستقر شده است. سرور WDS با استفاده از كليد خصوصي RSA، درخواست را رمزگشايي مي كند و سپس كليد شبكه را برمي گرداند.
اگر سرور WDS در دسترسي نباشد يا كليد مناسب را برنگرداند چه اتفاقي مي افتد؟ در اين مورد، كاربر بايد با استفاده از روش استاندارد درايو را رمزگشايي نمايد.
استقرار Network Unlock
در زير مراحل راه اندازي Network Unlock براي دامنه ويندوز آورده شده است:
1. نقش سرور WDS از طريق Server Manager يا PowerShell نصب شود. دستور براي نصب از طريق PowerShell به صورت زير مي باشد:
Install-WindowsFeature WDS-Deployment
2. در Server Manager يا PowerShell اطمينان حاصل گردد كه سرويس WDS در حال اجرا است. دستور PowerShell به صورت زير مي باشد:
Get-Service WDSServer
3. از طريق Server Manager يا PowerShell ويژگي Network Unlock نصب شود. دستور PowerShell به صورت زير مي باشد:
Install-WindowsFeature BitLocker-NetworkUnlock
4. با استفاده از كنسول Certificates Management(certmgr.msc) يك گواهينامه Network Unlock ايجاد گردد.
5. گواهينامه كليد عمومي از فايل .cer خارج شود.
6. كليد خصوصي از فايل .pfx خارج شود.
7. كليد خصوصي و گواهينامه در سرور WDS مستقر شود.
8. فايل .cer در كنترل كننده دامنه كپي شود و يك سياست گروهي جديد براي فعال كردن سياست "Allow network unlock at startup" ايجاد شود.
9. گواهينامه عمومي از طريق سياست گروهي در رايانه كلاينت مستقر شود.
10. سياست گروهي براي "Require additional authentication at startup" تنظيم شده و گزينه "Require Startup PIN with TPM." انتخاب شود.
11. يك نمونه گواهينامه براي Network Unlock ايجاد شود، اين نمونه براي استفاده توسط اكتيو دايركتوري مي باشد تا بتواند گواهينامه هاي Network Unlock را ايجاد و منتشر نمايد.
خلاصه
در اين مقاله نگاهي به بهبودهاي جديد در BitLocker نسخه ويندوز سرور 2012 و ويندوز 8 انداختيم. اين بهبودها شامل پشتيباني SED وNetwork Unlock مي شوند. در مقاله بعدي ويژگي جديد ديگري را مورد بررسي قرار مي دهيم.
مطالب مرتبط:
رمزگذاري رسانه قابل حمل با استفاده ازBitLocker قسمت (1)
رمزگذاري رسانه قابل حمل با استفاده ازBitLocker قسمت (2)
رمزگذاري رسانه قابل حمل با استفاده از BitLockerقسمت (3)
رمزگذاري رسانه قابل حمل با استفاده از BitLocker قسمت (4)
- 4