محمود کیاستی
مدرس دوره های ICDL

بیت لاکر ( BitLocker ) چیست؟ کاملترین آموزش استفاده از بیت لاکر

بیت لاکر چیست؟ BitLocker چیست؟ چه تفاوتی بین Bitlocker و رمزنگاری وجود دارد؟ TPM چیست؟ چگونه در ویندوز از BitLocker استفاده کنیم؟ استفاده از بیت لاکر چه مزایا و چه معایبی دارد؟ در استفاده از بیت لاکر چه نکاتی را باید رعایت کنیم؟ چه چیزهایی در Group Policy به ما در استفاده بهتر از BitLocker کمک می کنند؟ در کجا از بیت لاکر استفاده کنیم؟ و ...

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

آموزش استفاده از بیت لاکر قسمت 1 : بیت لاکر چیست؟

همانگونه که میدانید قابلیت Bitlocker توسّط شرکت مایکروسافت جهت رمزنگاری اطلاعات موجود در سیستم، ارائه گردید. بی شک این ویژگی ویندوز یکی از قویترین سیستمهای رمزنگاری اطلاعات می باشد که تاکنون ارائه و مورد استفاده قرار گرفته است. در واقع «استفاده از Bitlocker» پاسخی مناسبی به این سؤال می باشد که «چگونه میتوان از اطلاعات خود در اثر مفقود شدن، سرقت و یا در مقابل هکرها حفاظت کرد؟»

در چه مواردی میتوان از Bitlocker استفاده کرد؟

Bitlocker قادر به رمزنگاری درایو ویندوز یا همان Operating System و سایر درایوهای هارد داخلی (internal hard drives) می باشد، علاوه بر این با استفاده از BitLocker To Go قادر به رمزنگاری اطلاعات درایوهای قابل حمل (removable data drive) همچون external hard یا USB flash می باشید.

Bitlocker در چه نسخه هائی از ویندوز در دسترس می باشد؟

Bitlocker در نسخه های Ultimate و Enterprise ویندوز ویستا و 7 و همچنین در نسخه های Pro و Enterprise ویندوز 8 و 8.1 در دسترس می باشد. البته در خصوص ویندوز ویستا قابل ذکر است که از طریق رابط گرافیکی Bitlockerصرفاً قادر به رمزنگاری درایو سیستم عامل (operating system) میباشد. و رمزنگاری سایر درایوها از طریق ابزار خط فرمان (command-line tool) در دسترس خواهد بود البته با روی کارآمدن ویندوز ویستا SP1 و ویندوز سرور 2008، قابلیت رمزنگاری سایر درایوها از طریق رابط گرافیکی Bitlocker مهیا گردید.

در آخرین نسخه از BitLocker که در ویندوز 7 و ویندوز سرور 2008R2 ظاهر گردید، قابلیّت رمزنگاری removable drives همچون (فلش و هارد اکسترنال و ...) نیز افزوده شد. این قابلیّت در ویندوز ویستا صرفاً با استفاده از نرم افزاری با عنوان BitLocker To Go Reader امکان پذیر بود البته مشروط بر این که سیستم فایل آنها یکی از حالتهای FAT16، FAT32 یا exFAT باشد.علاوه بر موارد مذکور BitLocker با نسخه Enterprise ویندوز 8 و 8.1 که از طریق قابلیّت Windows To Go نیز نصب شده باشند، همخوانی لازم را داراست. قابلیت استفاده از Bitlocker در ویندوز سرور 2012 نیز در قالب Role گنجانده شده است.

BitLocker Drive Encryption چیست؟

با فعال کردن این ویژگی در ویندوز، تمامی اطلاعات موجود در درایو مورد نظر شما رمزنگاری میشود. برای استفاده از Bitlocker در خصوص درایوی که ویندوز در آن قرار گرفته است این نکته را مد نظر داشته باشید که شما می بایست حتماً دو partition داشته باشید که شامل:

system partition (که شامل فایلهای لازم جهت Load شدن ویندوز است) و operating system partition (که همان درایو ویندوز است) میباشد. با استفاده از Bitlocker درایو operating system رمزنگاری می شود و system partition بدون رمزنگاری شدن جهت استارت شدن و بالا آمدن ویندوز، دست نخورد باقی خواهد ماند.

احتمالاً تا کنون هنگام نصب ویندوز 7 یا 8 با system partition زیاد برخورد کرده باشید چرا که این پارتیشن در این سیستم عاملها بصورت خودکار ایجاد میگردد و دارای ظرفیت تقریبی 200 MB تا 350 می باشد از ویژگیهای دیگر این پارتیشن عدم داشتن عنوان یا drive letter است در ضمن بصورت پیشفرض قابلیت مشاهده شدن در My Computer را نیز دارا نمیباشد. ناگفته نماند که اگر هارد شما دارای system partition نمیباشد با استفاده از Bitlocker بصورت خودکار ظرفیت مذکور برای آن ایجاد می گردد.

آشنایی با Bitlocker - قسمت اوّل


Trusted Platform Module یا TPM چیست؟

TPM ریزتراشه ای در کامپیوتر میباشد که جهت نگهداری اطلاعات رمزنگاری شده همچون کلیدهای رمزنگاری (encryption keys) مورد استفاده قرار می گیرد. اطلاعات ذخیره شده بر روی TPM، مکان امنی در مقابل حملات نرم افزارهای خارجی و یا سرقتهای فیزیکی خواهد بود. Bitlocker در واقع جهت کمک به حفظ امنیّت سیستم عامل ویندوز و اطلاعات کاربر از TPM استفاده می کند تا به کمک آن این اطمینان حاصل شود که اگر کامپیوتر را بدون توجّه رها کرده و یا حتی اگر کامپیوتر مفقود شده یا به سرقت برود، اطلاعات رمزنگاری شده دست نخورده باقی بمانند.

لازم به ذکر است که Bitlocker حتی بدون TPM نیز قابل استفاده است، بدین طریق که اگر شما بخواهید از Bitlocker در کامپیوتری بدون TPM استفاده نمائید، می بایست برخی از خصوصیات پیشفرض تنظیمات ویزارد Bitlocker را از طریق Group Policy تغییر دهید و یا اینکه تنظیمات Bitlocker را با استفاده از Script انجام دهید. زمانی که Bitlocker بدون TPM مورد استفاده قرار می گیرد encryption keys لازم، بر روی USB flash drive می بایست ذخیره گردد و جهت (Unlock) باز نمودن اطلاعات ذخیره شده در درایو رمزنگاری شده، این USB flash می بایست آماده به کار باشد. برای استفاده از Bitlocker بدون TPM ، ابتدا Group Policy را از طریق فشردن Win+R و وارد نمودن عبارت Gpedit.msc باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives

سپس در سمت راست پنجره بر روی گزینه Require additional authentication at setup دابل کلیک میکنیم، البته در ویندوزهای ویستا و سرور 2008 می بایست گرینه Require additional authentication at setup(windows server 2008 or windows vista) انتخاب گردد ، سپس گزینه Enable را انتخاب کرده و گزینه (Allow Bitlocker without a compatible TPM…) را انتخاب نمائید.

آشنایی با Bitlocker - قسمت اوّل


نکته: در کنار TPM، روشهای دیگری جهت حفاظت بیشتر از اطلاعات رمزنگاری شده قابل استفاده است که در قسمت بعدی انشاء اللّه به آنها خواهیم پرداخت. در صورتی که فایلی به درایو رمزنگاری شده اضافه کنیم، چه اتفاقی رخ می د هد؟
فایل جدید انتقال داده شده به درایوی که Bitlockerبر آن اعمال شده، به صورت خودکار رمزنگاری می شود، هر چند که اگر شما این فایل را به درایوی دیگر یا به سیستمی دیگر انتقال دهید، بصورت خودکار (decrypte) از حالت رمزنگاری خارج می شود.

آموزش استفاده از بیت لاکر قسمت 2 : بیت لاکر چه محدودیت هایی دارد؟ 

در ادامه ، بهتر است با یکسری از محدودیتهای Bitlocker در خصوص رمزنگاری درایوها بیشتر آشنا شوید. Bitlocker در ویندوزهای سرور 2008 و 2012 و 8 و 8.1 هر تعداد درایو داخلی دیتا از نوع(Sata , ATA) و نیز direct-attached storage ها را رمزنگاری می کند، اما رسانه های نوری یا Optical media (از جمله CDfile system (CDFS) - Live File System -Universal Disk Format )) توسّط Bitlocker پشتیبانی نمیگردند. موارد دیگری که از طریق Bitlocker پشتیبانی نمیگردند به شرح زیر می باشد:

درایوهائی که از لحاظ نرم افزاری در دسته ای غیر از Basic Volumes قرار دارند همچون Dynamic volumes- RAID systems - virtual hard disks-VHDs ) – و نیز درایوهایی که سیستم فایل آنها CD می باشد و یا رابط درایو آنها Bluetooth است.نکته: درایوهائی که از رابط iSCSI و یا Fiber Channel برخوردارند فقط در ویندورهای 8 و 8.1 و سرور 2012 قابلیت پشتیبانی توسط Bitlocker را دارا هستند. چند روش برای تولید Key و اعمال همزمان با Bitlocker وجود دارد (TPM owner password- recovery password- recovery key- password- PIN- enhanced PIN- startup key) که در زیر به توضیح مختصری در خصوص هر یک از این موارد میپردازیم:

TPM owner password چیست؟

قبل از فعال کردن BitLocker بر روی یک کامپیوتر که دارای نسخه TPM 1.2 و یا ورژنهای بعد از آن می باشند، شما می بایست تنظیمات اوّلیه ای را بر روی TPM انجام دهید و روند آن بدین صورت است که یک رمز اوّلیه بر روی TPM تعریف می شود. البته این را در نظر داشته باشید که با تعریف TPM owner password هر بار که قصد تغییر حالت و تنظیمات TPM را داشته باشید می بایست این رمز را ارائه کنید از جمله در هنگام فعال یا غیر فعال کردن TPM و یا بازنشانی تنظیمات TPM lockout.

Recovery password و Recovery key چه هستند؟

زمانی که شما TPM را فعال می کنید اگر روش اختصاص داده شده برای unlock یا باز نمودن قفل، قابل اعمال نباشد (همانند زمانی که کامپوننتهای لازم جهت Boot شدن سیستم توسّط TPM تأیید نگردد و یا زمانی که personal identification number یا PIN فراموش شود) می بایست مشخص کنید که Bitlocker چگونه درایو محافظت شده را جهت استفاده، رمزگشائی کند.

در این شرایط شما باید قادر به ارائه یک Recovery password یا Recovery key جهت بازنمودن درایوهای رمزنگاری شده باشید. در ویزارد مربوط به تنظیمات BitLocker گزینه ی "recovery key" بصورت کلی هم به recovery key file و هم به recovery password اشاره دارد. هنگامی که شما اطلاعات بازیابی را ارئه می کنید، یکی از فرمتهای زیر نیز در دسترس شما قرار می گیرند:

  • Recovery password: این پسورد شامل 48 رقم بوده که در قالب 8 گروه 6 رقمی تقسیم می شود و در هنگام بازگردانی یا همان Recovery نمودن، می بایست در کنسول BitLocker recovery با استفاده از کلیدهای تابعی کیبورد، تایپ گردد.
  • key file: این فایل در USB flash ذخیره می گردد و در هنگام Recovery نمودن، مستقیماً توسّط کنسول BitLocker recovery خوانده می شود، علی القاعدتاً به هنگام Recovery نمودن، USB device می بایست به سیستم متصل باشد.
  • Password: پسورد نیز جهت حفاظت از اطلاعات درایوهای قابل حمل و یا درایو ویندوز یا همان Operating System و سایر درایوهای هارد داخلی میتواند مورد استفاده قرار گیرد. در شرایطی که از Bitlocker در کامپیوتری بدون TPM استفاده نمائید، از Password در واقع به عنوان یک کلید جایگزین (Alternative key) در استفاده از USB key میتوان نام برد. یک پسورد میتواند شامل 8 تا 255 کارکتر باشد که توسّط مکانیزم Hashing با طول کلید 256 بیت ذخیره می گردد که قابل نمایش برای کاربر نیز نمی باشد.

برای اختصاص پسورد، با توجّه به اینکه از Bitlocker برای چه نوع درایوی (درایوهای داخلی به غیر از درایو ویندوز- درایو ویندوز و یا درایوهای قابل حمل) مورد استفاده قرار می گیرد، نحوه تنظیم متفاوت می باشد که در زیر به آنها اشاره می شود:

Fixed Data Drives چیست؟

برای اختصاص پسورد، به هنگام رمزنگاری درایوهای داخلی به غیر از درایو ویندوز، ابتدا Group Policy را از طریق فشردن Win+R و وارد نمودن عبارت Gpedit.msc باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for fixed data drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

Operating system drives در گروپ پالیسی

برای اختصاص پسورد، به هنگام رمزنگاری درایو ویندوز (operating system drives)، ابتدا Group Policy را از طریق فشردن Win+R و وارد نمودن عبارت Gpedit.msc باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for operating system drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

Removable data drives در گروه پالیسی

برای اختصاص پسورد، به هنگام رمزنگاری درایوهای قابل حمل(removable data drives)، ابتدا Group Policy را از طریق ذکر شده در بالا باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\removable data drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for removable data drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

PIN و Enhanced PIN چه هستند؟

برای افزایش سطح امنیّت TPM به یک پله بالاتر، شما میتوانید BitLocker را با بکار بردن یک personal identification number یا PIN استفاده نمائید. PIN در واقع مقداری (4 تا 20 رقمی) تعریف شده توسّط کاربر می باشد که به هنگام شروع به کار کردن کامپیوتر و یا هر زمان که سیستم از حالت Hibernate خارج شود می بایست این PIN وارد گردد. شما میتوانید از طریق Group Policy به مسیر زیر رفته و با انتخاب گزینه Configure minimum PIN length for startup حداقل تعداد ارقام مورد نیاز برای تعریف PIN را تغییر دهید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 
آشنایی با Bitlocker - قسمت دوّم


PIN نیز توسّط مکانیزم Hashing با طول کلید 256 بیت ذخیره می گردد و برای کاربر نیز قابل نمایش نمی باشد. PIN در واقع جهت ارتقاء امنیت و Authentication در کنار TPM authentication مورد استفاده قرار میگیرد.حال برای تأمین امنیّت در سطوح بالاتر به هنگام استفاده از TPM، میتوان از Enhanced PINs یا همان PINهای پیشرفته استفاده نمود.

Enhanced PINs در واقع اجازه ی استفاده از تمامی کاراکترهای موجود در کیبورد را علاوه بر مقادیر عددی را فراهم میکند که به واسطه ی آن، قابلیت ایجاد PINهای پیچیده تر و قدرتمندتر میسر می شود. طول Enhanced PINs نیز همانند PIN، بین 4 تا 20 کاراکتر می باشد. برای استفاده از Enhanced PINs ابتدا میبایست گزینه Allow enhanced PINs for startup در Group Policy را از طریق مسیر زیر، فعّال نمائید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 
آشنایی با Bitlocker - قسمت دوّم


نکته: جهت استفاده از Enhanced PINs، میبایست BIOS یا UEFI firmware سیستم شما، از قابلیت استفاده از (تمامی کیبورد) Full Keyboard در محیط قبل از بوت یا pre-boot environment پشتیبانی کند.

Startup key در TPM و بیت لاکر چه می کند؟

Startup key در واقع یکی دیگر از روشهای افزایش سطح امنیت می باشد که به هنگام استفاده از TPM میتواند مورد استفاده قرار گیرد، Startup key کلیدی است که بر روی USB flash drive ذحیره می گردد و USB flash drive هر وقت که کامپیوتر شروع به کار میکند می بایست به سیستم متصل باشد. برای به کار بردن USB flash drive به عنوان یک Startup key، ابتدا میبایست آن را با یکی از سیستم فایلهای NTFS، FAT یا FAT32 فرمت کرد.
همانگونه که در قسمت قبلی مقاله نیز اشاره کردیم، میتوانید تنظیمات استفاده از Startup Key و Startup Pin را از طریق Group Policy و با انتخاب گزینه Require additional authentication at setup و یا Require additional authentication at setup for windows server 2008 or windows vista در مسیر زیر انجام دهید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 

آموزش استفاده از بیت لاکر قسمت 3 : بیت لاکر چه قابلیت هایی دارد؟

از جمله ویژگیهای اضافه شده به Bitlocker در ویندوز 8 و بعد از آن، موارد زیر میباشد که بسیار مفید می باشند: قابلیت ذخیره سازی Recovery Key در حساب مایکروسافت به صورت مستقیم، که این امر باعث جلوگیری از بروز مشکلات بعدی در صورت فراموشی یا مفقود شدن کلید میشود:

آشنایی با Bitlocker- ویژگیهای جدید Bitlocker در ویندوز 8 وبعد از آن

قابلیت انتخاب میزان فضای درایو جهت رمزنگاری، که بواسطه ی آن دو گزینه در دسترس شما خواهد بود:

    1. صرفاً فضای مورد استفاده در درایو را رمز نگاری نمایید که در این صورت مدت زمان رمزنگاری نیز کاهش پیدا کرده و احتمالاً مشکل اشغال شدن میزان فضای آزاد درایو بعد از رمزنگاری برطرف خواهد شد و بعداً نیز قادر به اضافه کردن اطلاعات دیگر به درایو رمزنگاری شده خواهید بود.
    2. رمزنگاری کل فضای درایو، که از امنیت بیشتری برخوردار بوده و البته پیشنهاد مایکروسافت هم همین است چون با این کار، فضای آزاد درایو و یا فایلهای حذف شده قبلی نیز رمزنگاری میگردد) و به تبع آن مدّت زمان رمزنگاری افزایش پیدا می کند. لازم به ذکر است عملکرد Bitlocker در این خصوص بدین گونه است که فضای اضافی درایو را که میتواند شامل فایلهای حذف شده قبلی نیز باشد، توسط یک فایل بزرگ و حجیم از کدها پاکسازی و owerwrite مینماید. این موضوع تقریباً تمامی فضای درایو به غیر از حدود 6 گیگابایت را اشغال میکند که این مقدار فضا نیز جهت نیازهای سیستمی در حالت آزاد قرار میگیرد.
آشنایی با Bitlocker- ویژگیهای جدید Bitlocker در ویندوز 8 وبعد از آن


نکته: ویزارد انتخاب میزان فضای درایو جهت رمزنگاری، در ویندوز 7 وجود نداشته و بصورت پیشفرض با استفاده از Bitlocker درایو به صورت کامل رمزنگاری می شد. در ویندوز 8 و بعد از آن نیز از طریق تنظیمات Group policy می توان به تنظیمات این ویژگی دسترسی پیدا نمود؛ برای این منظور به مسیر زیر مراجعه کنید:

Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drive → Enforce Drive Encryption type on Operating System Drive.
آشنایی با Bitlocker- ویژگیهای جدید Bitlocker در ویندوز 8 وبعد از آن
  • بیت لاکر چیست؟

    بیت لاکر یا BitLocker یک قابلیت امنیتی در ویندوز است که این امکان را به شما می دهد که یک پارتیشن یا هارد دیسک خود را بصورت کامل رمزنگاری کنید و از دسترسی های غیرمجاز و افشا شدن اطلاعات محرمانه خود حتی در صورت دزدیده شدن ، جلوگیری کنید.
  • آیا با فراموش کردن کلید بازیابی BitLocker امکان بازیابی اطلاعات ممکن است؟

    خیر ، اگر رمز عبور بیت لاکر خود را فراموش کنید و کلیدهای بازگشایی را هم گم کرده باشید ، تا حد زیادی باید مطمئن باشید که باید با اطلاعات خود خداحافظی کنید

محمود کیاستی
محمود کیاستی

مدرس دوره های ICDL

محمود کیاستی ، مدرس و مشاور در حوزه های گرافیک و طراحی ، متخصص در حوزه نرم افزارهای Photoshop ، InDesign و illustrator .. مدرس دوره های مهارت های هفتگانه و ICDL پیشرفته ، کارشناس شبکه ها و سرویس های مبتنی بر زیرساخت های مایکروسافت و ...

نظرات