Obnovovací klíče BitLocker

14. 4. 2020 Azure, IT Pro

Nechcete při zapomenutí přístupového hesla k vašemu zařízení ztratit cenné informace, ale zároveň chcete své disky šifrovat? Pak si určitě přečtěte tento článek, který se touto problematikou zabývá a porovnává různé možnosti, abyste si mohli vybrat pro vás tu nejvýhodnější.

BitLocker je technologie pro šifrování disků, která je součástí operačních systémů Microsoft. BitLocker umožňuje šifrovat celé systémové i nesystémové oddíly. Používá k tomu šifrovací algoritmus Advanced Encryption Standard s délkou klíče 128 nebo 256 bitů. Do Windows 10 verze 1511 je přidán bezpečnější algoritmus XTS-AES.

Při použití BitLockeru k šifrování disku je zachování obnovovacího klíče nesmírně důležité. Obnovovací klíče je možné ukládat různými způsoby podle toho, která verze operačního systému Windows je na zařízení nainstalována. U systému Windows 10 to může být například na USB flash jednotku nebo síťový disk, na Váš účet Microsoft a účet Azure Active Directory. Klíč ale nemůžete uložit v počítači, protože pokud se počítač uzamkne, budete jej potřebovat k získání dat na disku. Obnovovací klíč je užitečný i v okamžiku, kdy si nevzpomenete na heslo, kterým jste zabezpečili šifrovaný disk. Pokud nemáte obnovovací klíč k odemknutí zařízení, zůstává jedinou možností přeinstalovat operační systém Windows, čímž přijdete o cenná data. Jak tedy nejlépe uložit obnovovací klíč?

Azure Active Directory umožňuje ukládat obnovovací klíče online. Je však potřeba mít tento počítač již přidaný do Azure Active Directory. Při zablokování počítače se pouze stačí přihlásit k portálu, kde pod jménem uživatele a názvem zařízení lze požadovaný kód nalézt. Díky tomuto uložení již nikdy neztratíte žádná data ze zařízení i externích disků.

Obrázek ukazuje umístění obnovovacího klíče v portálu Azure
Ukázka umístění obnovovacího klíče v portálu Azure | zdroj: Microsoft Endpoint Manager

Vidíte zde také stav šifrování počítače a u nových zařízení tu naleznete stav připravenosti na šifrování. Zašifrovat však můžete i zařízení, které vám ohlásí, že postrádá čip TPM.

Existují tři mechanismy ověřování, které lze použít jako stavební bloky pro implementaci šifrování nástrojem BitLocker: Transparentní provozní režim využívá schopnosti hardwaru TPM k zajištění uživatelského prostředí. Tento režim je náchylný k útoku na počítač a ke sledování. Režim ověřování uživatele vyžaduje, aby uživatel poskytl určité ověření ve formě kódu PIN nebo hesla. Posledním je Režim klíče USB, kde uživatel musí do počítače vložit zařízení USB se spouštěcím klíčem, aby bylo možné spustit chráněný operační systém.