Windows Vista ve Windows Server 2008 veri
güvenliği çözümü olan BitLocker Drive Encryption özelliği ile EFS’den
farklı olarak dosyaların değil sürücünün tamamının şifrelenmesi
sağlanabilir. BitLocker Drive Encryption sistemi Windows Server 2008 ve
Windows Vista’nın yalnızca Enterprise ve Ultimate sürümlerinde
kullanılmaktadır. Sistemin temel amacı;herhangi bir sebeple verilerin
çalınması yada kaybedilmesi durumunda bile güvenliğin sağlanmasıdır.
Bütün sistem dosyaları, kullanıcı verileri, page file, temporary files
ve hibernation dosyaları da şifrelemeye dahil edilir. Bu yönüyle önemli
bir yeniliktir.
BitLocker Sistem Gereksinimleri
-TPM 1.2 desteği (Group
Policy üzerinde yapılacak olan ayarlar ile TPM olmadan da daha düşük
güvenlik seviyesi ile BitLocker kullanılabilir.)
-v1.2 TCG-Uyumlu (Trusted Computing Group)BIOS
-USB Mass Storage Device Class destekli BIOS
-Sistemde en az 2 tane disk bölümü
bulunmalı. Bunlardan biri işletim sistemi bölümü diğerine ise sistem
bölümü adı verilir. Sistem bölümü sayesinde boot aşaması sonrasında
güvenli bir şekilde Windows’un açılması sağlanır. Sistem bölümünün
işlevini yerine getirebilmesi için bu bölümün şifrelenememesi gerekir.
Ayrıca bu bölümün NTFS ile formatlanması ve en az 1.5 GB boyutunda
olması gerekir. Windows Server 2008
içerisinde BitLocker Drive Encryption varsayılan olarak desteklenir.
Fakat Features içerisinden bu özelliğin yüklenmesi gerekir. 
Bunun önüne geçmek ve
TPM olmadığı durumlarda da BitLocker Drive Encryption özelliğini
kullanmak için Group Policy içerisinde bazı değişiklikler yapmak
gerekir.
Computer
Configuration>Administrative Templates>Windows
Components>BitLocker Drive Encryption yolunda bulunan Control Panel
Setup:Enable advanced startup options ayarı içerisinde Allow BitLocker
without compatible TPM seçeneğinin işaretli olması gerekir.Bu
sayede bilgisayarda TPM çipi olmasada da USB flash bellek içerisine
yazılacak olan anahtar ile şifreleme çözülerek sisteme giriş yapılır.
Windows 7 işletim
sistemine sahip bilgisayarlarda TPM hatası almazsınız. Ben burada
işlemlerimi sanal makine üzerinde gerçekleştirdiğimden ve sanal makine
üzerinde TPM etkin olmadığı için aşağıdaki gibi bir hata mesajı ile
karşılaştım. Fakat bu hatanın çözümüde gayet kolay.
TPM
etkin olmadan Bitlocker kullanabilmek için Policy ayarlarımızda
değişiklikler yapmamız gerekmektedir. Bunun için Başlat – Çalıştır – gpedit.msc
komutunu yazalım. Açılan Yerel Grup İlkesi Düzenleyiciden Bilgisayar
yapılandırması – Yönetim Şablonları – Windows Bileşenleri – Bitlocker
Drive Encryption – İşletim Sistemi Sürücüleri Sekmesine kadar gelelim
sağ ekranda bulunan Başlangıçta ek kimlik doğrulması iste ilkesini çift
tıklatalım.
Açılan
ekranda Enable radio butonuna tıklayalım, Apply ve sonra OK butonlarına
basalım. Daha sonra Yerel İlke Düzenleyiciyi kapatalım. Tabi yukarıda
da belirttiğimiz gibi TPM uyumlu anakarta sahip olanlar bu işlemleri
gerçekleştirmeyecek ve flash belleğe gereksinim duymayacak.
Bu işlemlerden sonra
policy ayarlarımızın etkin olması için Başlat – Çalıştır “ gpupdate”
komutunu yazarak ayarlarımızı etkin hale getirelim. Denetim masasından
tekrar Bitlocker Sürücü şifrelemesini çift tıklatalım. Aşağıdaki resim
dikkatini çektiyse yaptığımız policy ayarlarından sonra Tpm aramak
yerine (C) sürücüsünün yanında Bitlockeri Aç seçenekli ekran karşımıza
geldi.
Turn On seçeneğine
tıkladıktan sonra aşağıdaki gibi bir ekranla karşınıza gelir. ”Require a
Startup key at every startup” seçeneği ile her başlangıçta bir startup
key oluşturulmasını isteyebilirisiniz.
Yukarıdaki pencerede
ise bizim daha önceden her başlangıç için oluşturmak istediğimiz startup
key’i çıkarılabilir bir disk(USB Disk,Floppy Disk etc.) içerisine
koymamızı sağlar. Startup Key’i içerisine koyduğumuz disk olmadan
bilgisayarınızı açamazsınız. Her açılış öncesi sizden bu key’i ister.
Şimdi (F) diskimizi
BitLocker ile şifreleme aşamasına geçelim. Bunun için Bilgisayarımı
açalım ve aşağıdaki resimdeki gibi işaretlenmiş alandaki Bitlockeri aç
kısmına tıklayalım.
Aşağıdaki
açılan ekranda Sürücünün kilidini açmak için bir parola kulanı seçerek
bir parola belirleyelim. Bu parola sürücümüzü açmak istediğimizde bize
sorulur dilersek bunu akıllı kart ile yapabiliriz ama biz ilk seçeneği
uyguluyoruz. Sona İleri butonuna tıklayalım.
Aşağıda
gelen ekranda Kurtarma Anahtarını bir dosyaya kaydeti seçelim. Dilersek
bu işlemden önce kurtarma anahtarını çıktı alıp işimizi sağlama almış
oluruz. Biz Kurtarma Anahtarını bir dosyaya kayeti seçip ilerliyoruz.
Aşağıdaki
ekranda veri şifrelemeyi başlatmaya hazır olup olmadığımız
sorulmaktadır. Biz Şifrelemeyi Başlat butonuna tıklatıp ilerleyelim.
Aşağıda
görüldüğü gibi şifreleme işlemi başlamış olup (F )sürücüme kilit ikonu
gelmiştir. Bitlocker ile şifrelenen sürücülerde bu işaret olmaktadır. Bu
işlem diskimizin büyüklüğü ve bilgisayarımızın performansına göre biraz
zaman alacaktır.
Aşağıdaki ekranda görüldüğü gibi şifreleme işlemi sona erdiğinde şifrelenen bölüm üzerine kilit ikonu gelecektir.
Şimdi BitLocker
üzerinde biraz inceleme yapalım. Aşağıdaki resimde bitlocker kurtama
anahtarımızın içeriği görüntülenmektedir. Sürücünün kilidini açmak veya
kaldırmak istediğimizde kendi oluşturduğumuz parolayı unuttuğumuz
taktirde bu bitlocker kurtarma anahtarının içeriğinden yararlanarak
işlemimizi yapabiliriz.
Son olarak Windows 7 üzerinde şifrelenmiş USB diskleri Windows XP ve Windows Vista üzerinde açamayabilirsiniz.Bunun için Microsoft’un sitesinden BitLocker to go Reader Tool’unu yükleyerek şifrelenen disklerinizi açabilirsiniz.Fakat
açılan bu diskler üzerinde herhangi bir değişiklik yapamazsınız.Sadece
Read Only şekilde kullanmanızı sağlar.BitLocker ile şifrelediğiniz
diskinizin password’unu unuttuğunuzda Recovery key’i ile
kurtarabilirsiniz.Eğer Recovery Key’ide kaybederseniz herhangi bir
şekilde verilerinize ulaşamazsınız.
Hiç yorum yok:
Yorum Gönder