Bitlocker: Difference between revisions
No edit summary |
No edit summary |
||
Line 20: | Line 20: | ||
== Plussid == | == Plussid == | ||
*Kogu info täielik krüpteerimine | *Kogu info täielik krüpteerimine | ||
*TPM võimaldab info mitte kättesaamise võõrastes keskkondades | *TPM võimaldab info mitte kättesaamise võõrastes keskkondades | ||
* | *Kaitseb andmete puutumatust andmekandja riknemisel | ||
* | *Kaitseb '''offline''' rünnakute eest | ||
*Hoiab boot keskkonnal silma peal, kui seal on toimunud muudatusi siis viiakse süsteem '''recovery mode'i'''. | |||
Revision as of 19:02, 8 December 2013
Sissejuhatus
Bitlocker on kogu andmekandja krüpteerimiseks mõeldud rakendus. See on mõeldud andmete kaitseks pakkudes andmekandjale täies ulatuses tugevat krüpteeringut. Vaikeväärtusena on kasutusel AES 128 või 256 bitine krüpteering. Krüpteering kaitseb andmekandjal oleva info puutumatust kui see peaks minema võõrastesse kätesse. Kasutusel on erinevad meetodid, TPM meetod ning ilma selleta. TPM võimaldab piirata ligipääsu andmekandja käivitamisele väljaspool kindlat süsteemi. Selle tagab TPM mikrokiip mis on paigaldatud emaplaadile.
Siin artiklis keskendume Bitlockeri paigaldamisele Windows Server 2012 keskkonnas.
Meetodid
- Mitte TPM: Kasutatakse arvutites kus emaplaadil puudub TPM tugi. Tagatakse andmekandja krüpteering, samas ei tagata start-kaitset õiges süsteemis. Käivitusvõtme salvestamiseks on vajalik USB-andmekandja.
- TPM: Käivitamisel "õiges" masinas autentimine puudub, võõrastes on olemas.
- TPM PIN'iga: Kasutaja seadistatud PIN koodiga.
- TPM võtmega: Võti salvestatakse USB-andmekandjale.
- TPM PIN'iga ja võtmega: Kõige turvalisem. Küsitakse nii PIN'i kui ka käivitus-võtit.
Plussid
- Kogu info täielik krüpteerimine
- TPM võimaldab info mitte kättesaamise võõrastes keskkondades
- Kaitseb andmete puutumatust andmekandja riknemisel
- Kaitseb offline rünnakute eest
- Hoiab boot keskkonnal silma peal, kui seal on toimunud muudatusi siis viiakse süsteem recovery mode'i.
Miinused/Mille üle tasub mõelda
- Et kasutada BitLockerit ilma lisa-autentimiseta on tarvis TPM 1.2+ mikrokiipi.
- Bitlocker koos TPM-only variandiga on samuti ohtlik: Cold Boot, Firewire ning BIOS klaviatuuri puhver-rünnakud.
- Võtme jäädaval kaotamisel on info kättesaamine "praktiliselt võimatu".
Paigaldamine
Kasutades PowerShell'i (servermanager mooduliga)
Installeeritakse BitLocker koos kõikide alam-pakettidega, lõpetame automaatse restardiga.
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart
Et näha milline on alam-pakettide list.
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -WhatIf | fl
Oluline!
Installerides BitLockerit PowerShell'iga ei paigaldada BitLocker'i tööks olulist lisapakki Enhanced Storage.
Selle paigaldamiseks:
Hangime paki õige nime
Get-WindowsFeature Enhanced
Saanud kätte lisapaki õige nimetuse, moodustame käsu:
Install-WindowsFeature EnhancedStorage
Kasutades Server Manager'i
- Ava Server Manager otse klikkides otseteel või käivita servermanager.exe.
- Vali menüüst Manage, edasi Add Roles and Features.
- Avanenud viisardis, kuvades (Before you begin), vali Next.
- Installation type paneelist vali Role-based või Feature-based ning jätkamiseks Next.
- Server Selection paneelist vali Select a server from the server pool ning kinnita server.
- Features paneeli liikumiseks vali samast viisardist Server Roles ning Next.
- Vali linnuke BitLocker Drive Encryption kõrval. Viisard pakub ka lisapakke BitLocker'ile, neid mitte soovides tuleb vastavad linnukesed eemaldada. (NB! Enchanced Storage pakk on BitLocker'i toimimiseks vajalik.) Vali Next.
- Vajuta Install, et käivitada paigaldamine. Peale paidaldamise lõppemist tarvis kindlasti teha restart.
Kasulikke viiteid
- Video. BitLocker'i paigaldus Server Manager'i abil - https://www.youtube.com/watch?v=Z86-49-m9L4
Kasutatud kirjandus
Autor
Marti Reinsaar
A21 - 2013