بهبود عملكرد BitLocker در ويندوز سرور 2012 و ويندوز 8 – قسمت دوم

بهبود عملكرد BitLocker در ويندوز سرور 2012 و ويندوز 8 – قسمت دوم

تاریخ ایجاد

IRCAR201301161
تاريخ: 25/10/91

مقدمه
در قسمت اول از اين سري مقالات، به بررسي بهبود عملكرد BitLocker در ويندوز سرور 2012 و ويندوز 8 پرداختيم و دو ويژگي مهم را با عنوان پشتيباني SED و Network Unlock به تفصيل توضيح داديم. در اين قسمت قصد داريم تا نگاهي به دو ويژگي جديد و مهم ديگر BitLocker بياندازيم. اين دو ويژگي عبارتند از: رمزگذاري فضاي استفاده شده از ديسك و آماده سازي BitLocker قبل از نصب ويندوز.

رمزگذاري فضاي استفاده شده از ديسك
در نسخه هاي پيشين BitLocker، اگر شما قصد داشتيد تا BitLocker را بر روي يك درايو اجرا نماييد، بايد تمامي داده ها و تمامي فضاي خالي بر روي آن درايو را رمزگذاري مي كرديد. اين راه امن ترين گزينه محسوب مي شد زيرا هر داده اي كه بر روي ديسك قرار داده بوديد و سپس آن را حذف مي كرديد، مي توانستيد با استفاده از ابزارهاي جرم شناسي رايانه اي، آن داده را بازيابي نماييد. با اين حال فرآيند رمزگذاري يك درايو با حجم بالا توسط BitLocker زمان زيادي را به خود اختصاص مي داد و اگر درايو مذكور جديد و بدون هيچ داده اي بود، رمزگذاري آن ضرورتي نداشت.
در ويندوز 8 و ويندوز سرور 2012 گزينه اي براي رمزگذاري تنها "فضاي استفاده شده" وجود دارد يعني تنها بخشي از درايو كه داده ها بر روي آن ذخيره شده اند، رمزگذاري مي شوند. اين گزينه زمان رمزگذاري درايوي كه حجم زيادي از آن خالي است را به طور قابل توجهي كاهش مي دهد. البته هنوز شما مي توانيد كل درايو را نيز رمزگذاري كنيد و براي اين كار بايد گزينه "رمزگذاري كامل" را انتخاب نماييد. اگر داده هاي شما به قدري حساس مي باشند كه در صورت پاك شدن آن ها نياز به بازيابي داريد، بهتر است از گزينه رمزگذاري كامل استفاده نماييد.
هنگام تنظيم BitLocker با استفاده از ويزارد تنظيم BitLocker، مي توانيد گزينه رمزگذاري كامل يا گزينه رمزگذاري فضاي استفاده شده را در صفحه "چه مقدار از درايو را رمزگذاري مي كنيد" انتخاب نماييد.

استفاده از Manage-bde براي تنظيم نوع رمزگذاري
اگر شما ترجيح مي دهيد تا از واسط خط فرمان استفاده نماييد، مي توانيد براي انتخاب نوع رمزگذاري يك درايو توسط BitLocker از ابزار Manage-bde استفاده نماييد. به طور پيش فرض گزينه رمزگذاري كامل فعال است و در نتيجه اگر براي فعال كردن BitLocker از دستور manage-bde –on <drive letter>: استفاده نماييد، كل درايو رمزگذاري خواهد شد.
براي رمزگذاري تنها " فضاي استفاده شده" مي توانيد از دستور زير استفاده نماييد:
manage-bde –on –used <drive letter>:
اگر مي خواهيد سيستم عاملي را بر روي رايانه اي كه تراشه TPM دارد، رمزگذاري كنيد، محافظ TPM به طور خودكار اضافه خواهد شد. اگر سيستم تراشه TPM نداشته باشد، نياز است تا براي BitLocker مشخص نماييد كه از چه نوع محافظي استفاده مي كنيد. محافظ روشي است كه براي محافظت از رمزگذاري استفاده مي شود و شامل رمز عبور، PIN يا كليد USB مي باشد. مي توانيد يكي از پارامترهاي زير را به دستور فوق اضافه نماييد:

-Password
-StartupKey

اگر يك درايو داده را رمزگذاري مي كنيد، نياز است تا قبل از آن كه درايو حفاظت شود، محافظ مناسب را براي آن مشخص نماييد. مي توانيد وضعيت را با استفاده از دستور زير بررسي كنيد:

Manage-bde –status <drive letter>:

اين دستور سايز درايو، نسخه BitLocker استفاده شده، وضعيت تبديل ( رمزگذاري كامل يا فضاي استفاده شده)، درصدي از درايو كه رمزگذاري شده است، روش رمزگذاري مانند AES 128، آيا بازگشايي خودكار رمز فعال است يا غيرفعال است، كليدهاي محافظ مانند رمز عبور و وضعيت حفاظت (خاموش يا روشن) را نشان مي دهد.
هنگامي كه يك درايو داده را رمزگذاري مي كنيد، Manage-bde وضعيت را به عنوان "حفاظت خاموش" نشان مي دهد تا زماني كه يك محافظ اضافه نماييد و در صفحه كنترل BitLocker، "انتظار براي فعالسازي" را نشان مي دهد. در اين مورد، براي افزودن محافظ از دستور زير استفاده نماييد:

Manage-bde –protectors –add –pw <drive letter>:

اين دستور يك محافظ رمز عبور براي درايو داده اضافه مي كند.
شما مي توانيد براي تنظيم نمودن رمزگذاري از واسط PowerShell استفاده نماييد. تنها به Enable-BitLocker cmdlet همراه با پارامتر –UsedSpaceOnly نياز داريد. و هم چنين براي افزودن محافظ مي توانيد از دستور ‌Add-BitLockerKeyProtector cmdlet استفاده كنيد.

استفاده از خط مشي گروهي براي تنظيم رمزگذاري
در محيط هاي سازماني، مديران شبكه ممكن است بخواهند نوعي از رمزگذاري را براي كاربران اجبار كنند. در بسياري از موارد، شما مي خواهيد به منظور جلوگيري از نشت اطلاعات، رمزگذاري كامل را اجبار نماييد. هم چنين شما مي توانيد رمزگذاري فضاي استفاده شده را اجبار نماييد تا مطمئن شويد كه اين روند هميشه به طور كامل و با سرعت بيشتري انجام مي گيرد.
براي اعمال نوعي از رمزگذاري از طريق خط مشي گروهي بايد در Group Policy Editor براي انتخاب يك GPO مناسب آدرس زير را دنبال كنيد:

Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive Encryption

فولدري را براي درايوي كه مي خواهيد رمزگذاري را بر روي آن اجبار كنيد، انتخاب نماييد: درايوهاي داده ثابت، درايوهاي سيستم عامل يا درايوهاي داده قابل جا به جايي. سپس خط مشي Enforce drive encryption type on <type of drive> را پيدا كنيد.
زماني كه اين خط مشي را فعال مي سازيد، مي توانيد يكي از گزينه هاي زير را انتخاب نماييد:

  • به كاربر اجازه انتخاب دهيد
  • رمزگذاري كامل
  • رمزگذاري فضاي استفاده شده

اين خط مشي هنگامي كه BitLocker بر روي درايو فعال شود، اعمال مي شود. اين خط مشي بر روي درايوهايي كه در حال حاضر رمزگذاري شده اند، تاثيري ندارد. اگر شما گزينه رمزگذاري كامل يا رمزگذاري فضاي استفاده شده را انتخاب كرده باشيد، زماني كه ويزارد تنظيم BitLocker اجرا شود، گزينه هاي انتخاب نوع رمزگذاري در دسترس نخواهد بود.

آماده سازي BitLocker قبل از نصب ويندوز
يكي ديگر از ويژگي هاي جديد BitLocker، آماده سازي BitLocker قبل از نصب ويندوز است. با استفاده از اين ويژگي مي توان BitLocker را قبل از نصب سيستم عامل تنظيم نمود. در حال حاضر ويندوز 7 به شما اين امكان را مي دهد تا پارتيشن هاي درايو را براي BitLocker آماده كنيد اما ويندوز 8 و ويندوز سرور 2012 گزينه بيشتري را در اختيار شما قرار مي دهد.
شما مي توانيد BitLocker را قبل از نصب سيستم عامل از محيط پيش از نصب ويندوز (WinPE) فعال نماييد. يك راه استفاده از ابزار Manage-bde مي باشد. مي توانيد از دستور زير استفاده نماييد:

manage-bde –on <drive letter>:

مشكل اين روش آن است كه به طور پيش فرض WinPE حاوي ابزار Manage-bde نمي باشد و از طرف ديگر اشياء WMI توسط Manage-bde استفاده مي شوند. بنابراين بايد يك تصوير از WinPE ايجاد كنيد و المان هاي WinPE-WMI و WinPE-SecureStartup را به آن اضافه نماييد.
بهتر است گزينه رمزگذاري فضاي استفاده شده را انتخاب نماييد كه روند كلي را تسريع نمايد. يك كليد محافظ به طور تصادفي توليد مي شود و درايو قبل از تنظيمات نصب ويندوز رمزگذاري مي شود. شما نياز داريد تا BitLocker را فعال نماييد ( از طريق صفحه كنترل BitLocker در GUI، با استفاده از PowerShell يا Manage-bde) و به منظور محافظت از كليد براي درايو مذكور بايد يك روش بازگشايي قفل را مشخص كنيد. روش هاي بازگشايي قفل بسته به نوع درايو (سيستم عامل يا داده) و پيكربندي رايانه ( وجود تراشه TPM يا عدم وجود تراشه TPM) عبارتند از: TPM، TPM + PIN، TPM + Startup key، TPM + PIN + Startup key، Startup key، رمز عبور، كارت هوشمند يا بازگشايي خودكار. پنج روش اول براي درايوهاي سسيستم عامل و سه روش آخر براي درايوهاي داده مورد استفاده قرار مي گيرند.

خلاصه
در اين مقاله دو ويژگي بسيار مهم در ويندوز 8 و ويندوز سرور 2012 را با عنوان آماده سازي BitLocker قبل از نصب ويندوز و رمزگذاري فضاي استفاده شده از ديسك مورد بررسي قرار داديم. در مقاله بعدي به بررسي پشتياني ديسك به اشتراك گذاشته شده حاوي يك درايو NTFS و توانايي كاربران براي تغيير PIN هاي خود مي پردازيم.

مطالب مرتبط:
بهبود عملكرد BitLocker در ويندوز سرور 2012 و ويندوز 8 – قسمت اول

برچسب‌ها