- يقوم برنامج BitLocker To Go بتشفير محركات أقراص USB ومحركات الأقراص الصلبة الخارجية، ويتطلب كلمة مرور أو مفتاح استرداد للوصول إلى البيانات.
- يمكن مركزة تكوينه باستخدام سياسات المجموعة، وفرض الخوارزميات، وكلمات المرور، وتخزين المفاتيح في Active Directory.
- استخدام TPM y بوويرشيل يتيح إدارة متقدمة لـ BitLocker، على كل من محركات الأقراص الداخلية والقابلة للإزالة.
- يوفر BitLocker حماية أكبر من EFS ويمكن استكماله بأدوات مثل VeraCrypt حسب السيناريو.
إذا كنت تعمل مع محركات الأقراص الصلبة الخارجية، أو محركات أقراص USB المحمولة، أو بطاقات SDإن احتمالية فقدان جهازك أو وقوعه في الأيدي الخطأ أعلى مما نرغب. وهنا يأتي دور BitLocker To Go، حل مايكروسوفت الذي يضمن أنه حتى في حال فقدان جهازك، لن يتمكن أحد من قراءة أي بيانات دون كلمة مرورك أو مفتاح الاسترداد.
ستشاهدون في هذا الدليل، بتفصيل أكبر بكثير من المعتاد، ما هو BitLocker To Go بالضبط، وكيف يتم تكوينه في نظام التشغيل Windows، وكيف تتم إدارته باستخدام سياسات المجموعة، وماذا تفعل إذا فقدت كلمة المرور الخاصة بك؟ وما هي البدائل المتاحة إذا كنت ترغب في تعزيز التشفير؟ سنتناول أيضًا معيار BitLocker، ودور شريحة TPM، وتأثيرها على الأداء، وغير ذلك. حيل ميزات متقدمة مع PowerShell بحيث يمكنك التحكم في الأداة كما لو كنت من قسم تكنولوجيا المعلومات.
ما هو BitLocker وماذا يضيف BitLocker To Go؟
BitLocker هو وظيفة تشفير محرك الأقراص مضمنة في نظام التشغيل ويندوز في إصدارات Pro وEnterprise وEducation (من نظام التشغيل Windows Vista فصاعدًا). تتمثل وظيفتها في حماية جميع محتويات القرص (بما في ذلك نظام التشغيل) بحيث لا يمكن لأحد قراءة البيانات بدون كلمة المرور الصحيحة، حتى لو قام بتشغيل الكمبيوتر من نظام آخر أو قام بتوصيل القرص بجهاز كمبيوتر آخر.
في حالة الأجهزة التي تتم إدارتها في الشركات، يتم تضمين تشفير BitLocker عادةً. يتم التحكم فيها مركزياً من قبل قسم تكنولوجيا المعلوماتبل إن العديد من المؤسسات تشترط تشفير بعض الأقراص أو جميعها. المحمول من خلال سياسات المجموعة، دون أن يكون للمستخدم القدرة على اتخاذ القرار.
يمكنك الوصول إلى وحدة من لوحة التحكم تشفير محرك BitLocker، حيث يعرض لك نظام التشغيل Windows جميع محركات الأقراص مع الأحرف المخصصة لها: محرك نظام التشغيل، ومحركات البيانات الداخلية، ومحركات الأقراص القابلة للإزالة، وهي المحركات التي تهمنا في BitLocker To Go.
BitLocker To Go هو إصدار BitLocker المصمم خصيصًا لـ الوسائط القابلة للإزالة: محركات أقراص فلاش USB، وبطاقات SD، ومحركات الأقراص الصلبة الخارجية مع أنظمة الملفات NTFS، فات16، FAT32 أو exFAT. الغرض منه بسيط: إذا عثر شخص ما على محرك أقراص USB الخاص بك أو سرقه، فلن يرى سوى محرك أقراص مقفل ولن يتمكن من قراءة أي شيء بدون كلمة المرور أو البطاقة الذكية أو مفتاح الاسترداد.
الاختلافات بين BitLocker و BitLocker To Go
على الرغم من اشتراكهما في نفس القاعدة التكنولوجية، فإن BitLocker وBitLocker To Go لديهما أساليب مختلفة قليلاًيركز BitLocker على تشفير محرك النظام والأقراص الداخلية الأخرى، بينما يتم توجيه BitLocker To Go نحو محركات الأقراص القابلة للإزالة التي تقوم بتوصيلها وفصلها بشكل متكرر.
في تشفير محرك النظام، يمكن دمج BitLocker مع وحدة TPM، رقم التعريف الشخصي لـ حذاءيتم تخزين كلمات المرور والمفاتيح على وحدة تخزين USB لضمان بدء تشغيل الكمبيوتر. فور تشغيله، حتى قبل تحميل نظام التشغيل ويندوز، يتحقق النظام من سلامة النظام ويطلب المصادقة المحددة؛ وإلا فلن يتم تشغيل النظام.
عند تشفير قسم بيانات داخلي أو قرص غير قابل للتمهيد، سيطلب منك BitLocker كلمة المرور عند النقر المزدوج على محرك الأقراص. بدون إدخال المفتاح، يبقى المحتوى مشفرًا.بغض النظر عن أذونات نظام الملفات NTFS التي تمتلكها المجلدات أو مستخدمو نظام التشغيل Windows.
أما برنامج BitLocker To Go، فيركز على الاستخدام العملي لـ محركات أقراص USB مشفرة يمكنك حملها معكقم بتوصيل محرك أقراص USB بجهاز كمبيوتر متوافق يعمل بنظام Windows، وأدخل كلمة المرور أو استخدم بطاقتك الذكية، وسيتم فتح محرك الأقراص تلقائيًا دون تشفير. عند نسخ الملفات إلى محرك أقراص USB هذا، يتم تشفيرها فورًا؛ وعند نسخها منه، يتم فك تشفيرها تلقائيًا.
في الأنظمة القديمة مثل ويندوز إكس بي أو بعض إصدارات فيستا، التي لا تدعم BitLocker To Go بشكل أصلي، تقدم مايكروسوفت قارئ BitLocker To Go، أداة صغيرة تسمح لك بفتح محركات الأقراص FAT المحمية بواسطة BitLocker في وضع القراءة فقط، بحيث يمكنك على الأقل استعادة المعلومات.
إصدارات ومتطلبات نظام التشغيل ويندوز المدعومة
يتوفر كل من BitLocker و BitLocker To Go على إصدارات ويندوز برو، إنتربرايز، والتعليملن تجدها في إصدارات Home، حيث سيتعين عليك استخدام أدوات خارجية مثل VeraCrypt إذا كنت ترغب في تشفير الأقراص بأكملها.
En نوافذ 7، 8، 8.1، 10 و11، الـ خيارات التكوين والخوارزميات المتاحة قد تختلف هذه الإعدادات قليلاً باختلاف الإصدار. بدءًا من إصدار ويندوز 10 رقم 1511، أُتيحت إمكانية اختيار طرق تشفير مختلفة لمحركات الأقراص الخاصة بالتمهيد، ومحركات أقراص البيانات الداخلية، ومحركات الأقراص القابلة للإزالة عبر سياسة المجموعة.
تتضمن العديد من الأجهزة شريحة إلكترونية TPM (الوحدة النمطية للنظام الأساسي الموثوق به) على اللوحة الأم، مما يعزز أمان BitLocker من خلال إنشاء وتخزين جزء من المفاتيح بشكل آمن في خردواتلعرضه، يمكنك فتح مدير الأجهزة وتحقق مما إذا كان جهاز TPM "الأمان" يظهر، أو قم بتشغيل tpm.msc مع Windows + R.
إذا لم يكن جهاز الكمبيوتر الخاص بك يحتوي على وحدة TPM، فلا تقلق: يمكنك تهيئتها باستخدام سياسات المجموعة. يعمل BitLocker بدون وحدة TPM استخدم كلمات المرور أو محرك أقراص USB يحتوي على مفتاح الإقلاع. ما عليك سوى تفعيل خيار "طلب مصادقة إضافية عند بدء التشغيل" وتحديد خيار "السماح باستخدام BitLocker بدون وحدة TPM متوافقة".
أما من حيث الأداء، ففي معظم الأنظمة الحديثة التي تدعم تشفير الأجهزة بتقنية AES-NI، يكون التأثير هو معتدلة تمامالكن إذا لاحظت نقل بطيء على USBلوحظ انخفاض ملحوظ في الأداء لدى بعض SSD التفاصيل (على سبيل المثال، انخفاضات ملحوظة في عمليات القراءة العشوائية على بعض محركات الأقراص عالية الجودة) عندما يتم تشغيل BitLocker بواسطة البرامج فقط بدلاً من الاعتماد على تشفير الأجهزة الخاص بمحرك الأقراص ذي الحالة الصلبة (SSD).
كيفية الوصول إلى وتفعيل BitLocker To Go على نظام التشغيل Windows
لإدارة BitLocker وBitLocker To Go من الواجهة الرسومية، فإن أسهل طريقة هي الانتقال إلى لوحة التحكم > النظام والأمان > تشفير محرك BitLockerستجد هناك محركات الأقراص مجمعة في: محرك نظام التشغيل، ومحركات البيانات الثابتة، ومحركات البيانات القابلة للإزالة (BitLocker To Go).
هناك طريقة أخرى سريعة للوصول إلى هناك وهي استخدام بحث ويندوز. لديه أذونات المسؤول بعد بدء التشغيل، افتح قائمة ابدأ، واكتب "BitLocker" ثم اختر "إدارة BitLocker". سينقلك هذا إلى نفس تطبيق لوحة التحكم، حيث ستظهر جميع محركات الأقراص مع حالة التشفير الخاصة بها.
في الوحدات التي لم يتم تفعيل هذه الميزة فيها بعد، سترى الخيار "تفعيل BitLocker"عند النقر عليه على محرك أقراص قابل للإزالة، سيتم فتح معالج BitLocker To Go، والذي سيسألك أولاً عن كيفية فتح محرك الأقراص.
يمكنك اختيار نوع محرك الأقراص على محركات أقراص USB ومحركات الأقراص الصلبة الخارجية. فتح كلمة المرور أو باستخدام بطاقة ذكية. يجب أن تكون كلمة المرور قوية، وتجمع بين الأحرف الكبيرة والصغيرة والأرقام والرموز؛ سيتطلب نظام ويندوز حدًا أدنى للطول، وفي بيئات الشركات، قد تكون السياسة أكثر صرامة.
قبل بدء عملية التشفير، سيطلب منك المعالج اختيار كيفية القيام بذلك. حفظ مفتاح الاسترداد، شريان الحياة الذي ستحتاج إليه إذا نسيت كلمة السر؟لديك عدة خيارات: حساب مايكروسوفت (مرفوع إلى OneDrive)، أو ذاكرة فلاش USB غير مشفرة، أو ملف نصي، أو نسخة مطبوعة. توصي مايكروسوفت، لأجهزة الكمبيوتر المنزلية، بربط الملف بحساب مايكروسوفت الخاص بك، أو على الأقل حفظه في مكان غير مشفر مع محرك الأقراص نفسه.
خيارات التشفير: المساحة المستخدمة، القرص الكامل، والخوارزميات
عند بدء تشفير محرك الأقراص، يسألك BitLocker عما إذا كنت تريد تشفير البيانات فقط مساحة مستخدمة أو القرص بأكمله. تشفير البيانات المستخدمة فقط أسرع بكثير، وهو مثالي للأقراص الجديدة أو التي تمت تهيئتها مؤخرًا؛ ولكن على الأقراص ذات السجل، قد تظل البيانات المحذوفة موجودة في القطاعات الحرة ويمكن استعادتها إذا قام شخص ما بالوصول إليها بدون تشفير.
بالنسبة لمحركات الأقراص التي تحتوي بالفعل على محتوى، فإن الخيار الأكثر أمانًا هو التشفير. الألبوم بأكملهعلى الرغم من أن العملية قد تستغرق وقتًا أطول، إلا أن هذه الطريقة تضمن حماية حتى المعلومات المحذوفة سابقًا. وعادةً ما يكون هذا الوقت الإضافي مقبولًا في محركات الأقراص الصغيرة (مثل محركات أقراص USB أو محركات أقراص الحالة الصلبة ذات السعة المتوسطة).
فيما يتعلق بالخوارزميات، يستخدم نظام التشغيل ويندوز افتراضيًا تشفير XTS-AES بمفتاح 128 بت للمحركات الداخلية و تشفير AES-CBC بمفتاح 128 بت بالنسبة لمحركات الأقراص الخارجية ووحدات تخزين USB المحمولة. يعتبر XTS-AES أحدث، وأكثر متانة في بعض الحالات، وعادةً ما يوفر أداءً فائقًا.
إذا كنت ترغب في رفع مستوى الأمن، من خلال محرر سياسات المجموعة المحلية (gpedit.msc) يمكنك تحديد استخدام مفاتيح 256 بت لكل من XTS-AES و AES-CBC. من الناحية النظرية، يزيد هذا من مقاومة هجمات القوة الغاشمة، على حساب زيادة طفيفة في استهلاك الموارد، مع أن التأثير ضئيل على الأنظمة الحديثة.
توفر مايكروسوفت العديد من السياسات المسماة "اختر طريقة تشفير محرك الأقراص وقوة التشفير لـ..." والتي تسمح حدد، بشكل منفصل، الخوارزمية وطول المفتاح بالنسبة لمحركات النظام، ومحركات البيانات الداخلية، والمحركات القابلة للإزالة، يتم تكييفها مع نظام التشغيل وإصداره.
إدارة BitLocker To Go باستخدام سياسات المجموعة في الشركات
في بيئات الشركات، ليس من المنطقي أن يقرر كل مستخدم ما إذا كان سيشفّر محرك أقراص USB الخاص به أم لا، أو كيفية تخزين المفاتيح، أو الخوارزمية التي سيستخدمها. لتجنب هذه الفوضى، يتم تطبيق التشفير باستخدام... سياسات المجموعة (GPO)والتي من خلالها يفرض المسؤول إعدادات BitLocker To Go ويؤتمتها تخزين مفاتيح الاسترداد في Active Directory.
توجد السياسات الخاصة بمحركات الأقراص القابلة للإزالة على الرابط التالي: تكوين الكمبيوتر > القوالب الإدارية > مكونات ويندوز > تشفير محرك الأقراص BitLocker > محركات أقراص البيانات القابلة للإزالةومن هناك يمكنك، على سبيل المثال، حظر الكتابة إلى محركات أقراص USB غير المشفرة باستخدام BitLocker.
التوجيه الرئيسي في هذا الصدد هو "منع الوصول للكتابة إلى محركات الأقراص القابلة للإزالة غير المحمية بواسطة BitLockerإذا قمت بتمكينه، فسيتم تحميل أي محرك أقراص USB غير مشفر في وضع القراءة فقط، وسيحذرك نظام التشغيل Windows من ضرورة تمكين BitLocker لحفظ البيانات.
يمكن تخصيص المعالج الذي يفتح عند بدء التشفير بحيث عرض خيارات أقل للمستخدمعلى سبيل المثال، يمكنك تحديد مسبقًا أن المساحة المستخدمة فقط أو القرص بأكمله يتم تشفيره دائمًا، أو اختيار خوارزمية معينة، من GPOs "فرض نوع تشفير محرك الأقراص على محركات البيانات القابلة للإزالة" و "اختيار طريقة تشفير محرك الأقراص وقوة التشفير".
فيما يتعلق بإدارة مفاتيح الاسترداد، من الشائع تكوين "اختر كيفية استعادة محركات الأقراص القابلة للإزالة المحمية بواسطة BitLockerويجب إجبارها على التخزين التلقائي في Active Directory. إذا تم تحديد خيار "تجاوز خيارات استرداد معالج إعداد BitLocker"، فلن يتمكن المستخدمون من حفظها في ملفات أو طباعتها بأنفسهم.
التحكم في هوية المؤسسة وفرض استخدام كلمات المرور
ومن الجوانب الأخرى المثيرة للاهتمام القدرة على قم بتمييز محركات أقراص USB المشفرة بمعرف المؤسسةمن خلال التوجيه "توفير معرّفات فريدة لمنظمتك". يتم وضع علامة على كل وحدة مشفرة بهذا المعرّف، والذي يمكن أن يكون سلسلة تصل إلى 260 حرفًا.
دمج هذا المعرّف مع الخيار "لا تسمح بالوصول للكتابة إلى الأجهزة المُهيأة في مؤسسة أخرى."(ضمن نفس فئة سياسات BitLocker To Go)، يمكنك منع المستخدمين من الاستمرار في استخدام محركات أقراص USB التي قاموا بتشفيرها بأنفسهم قبل تطبيق سياسة الشركة، أو التي لا تفي بالمعايير الداخلية."
التوجيه "قم بتكوين استخدام كلمة المرور لمحركات البيانات القابلة للإزالةتُستخدم هذه الخاصية لضبط الحد الأدنى من تعقيد كلمات مرور BitLocker To Go: الطول، ومزيج أنواع الأحرف، وما إلى ذلك. عادةً ما يتم تنسيق هذه القواعد مع سياسة كلمات المرور العامة للمجال للحفاظ على مستوى موحد من الأمان.
إذا قمت أيضًا بتعطيل خيار "السماح للمستخدمين بتعليق وفك تشفير حماية BitLocker على محركات البيانات القابلة للإزالة"، فستحقق ما يلي: لا يمكن لأحد إزالة التشفير من محرك أقراص USB خاص بالشركات بمفردهم؛ فقط المسؤولون، من خلال وحدة التحكم الخاصة بهم، سيكون لديهم هذه القدرة.
يضمن هذا التكوين المركزي بالكامل أن تشفير محركات الأقراص المحمولة لا يعتمد على حسن نية كل موظف، بل على سياسة أمنية متماسكة وقابلة للتطبيق في جميع أنحاء المؤسسة، مما يقلل بشكل كبير من خطر تسرب المعلومات من محركات أقراص USB المفقودة.
وحدة TPM، وأمان بدء التشغيل، واستخدام BitLocker بدون وحدة TPM
وحدة TPM (وحدة النظام الأساسي الموثوقة) هي وحدة صغيرة شريحة التشفير مدمجة في العديد من اللوحات الأم الحديثة يعزز هذا بشكل كبير أمان BitLocker، خاصةً عند تشفير محرك الإقلاع. فهو يُنشئ ويخزن جزءًا من مفاتيح التشفير ويتحقق من عدم التلاعب ببيئة الإقلاع.
ومن بين وظائفها الرئيسية ما يلي: تشفير البيانات وحمايتها من البرمجيات الخبيثة التمهيديقوم جهاز TPM بإنشاء زوج من المفاتيح (عام وخاص)، ويحتفظ بجزء من المفتاح الخاص، ويتحقق أثناء بدء التشغيل من عدم تغيير مدير الإقلاع والمكونات الحيوية الأخرى. وإذا اكتشف أي شيء مريب، فإنه يمنع بدء التشغيل بشكل طبيعي.
يمكن للشريحة أيضًا تفعيل وضع الحجر الصحي عندما يكتشف النظام ثغرة أمنية محتملة، فإنه يسمح له بمحاولة إصلاحها قبل إعادة التشغيل بشكل طبيعي. علاوة على ذلك، يعمل كمستودع آمن للشهادات وكلمات المرور ومفاتيح التشفير، وهو أكثر أمانًا بكثير من تخزينها في ملفات القرص.
ليست كل المزايا موجودة: فاستخدام نظام إدارة الأداء (TPM) ينطوي على قدر معين من اعتماد الأجهزةهذا يعني أن عطلًا في الشريحة قد يجعل البيانات المشفرة غير قابلة للوصول إذا لم يتم إعداد نسخ احتياطية ومفاتيح استعادة. علاوة على ذلك، لا تتوافق جميع الأنظمة والتطبيقات بشكل كامل، وقد تكون الإدارة معقدة بالنسبة للمستخدمين غير المتمرسين.
إذا كان جهاز الكمبيوتر الخاص بك يفتقر إلى وحدة TPM أو كنت لا تزال ترغب في تشفير محرك النظام، فيمكنك استخدام الحل البديل المتمثل في تمكين سياسة "طلب مصادقة إضافية عند بدء التشغيل" وتحديد خانة الاختيار للسماح باستخدام BitLocker بدون وحدة TPM. في هذه الحالة، يتم تأمين عملية بدء التشغيل باستخدام محرك أقراص USB يحتوي على مفتاح الإقلاع أو كلمة مرور ما قبل الإقلاع، وهو ما سيتعين عليك إدخاله في كل مرة تقوم فيها بتشغيل الكمبيوتر.
إدارة متقدمة لـ BitLocker باستخدام PowerShell
بالإضافة إلى الأدوات الرسومية، يوفر لك نظام التشغيل ويندوز مجموعة من أدوات أوامر PowerShell لإدارة BitLocker و BitLocker To Go بمرونة أكبر بكثير، وهو مثالي لأتمتة المهام وكتابة البرامج النصية أو إدارة عشرات أجهزة الكمبيوتر في وقت واحد.
PowerShell هي بيئة قوية للغاية لوحدة التحكم وكتابة البرامج النصية يستبدل ملفات .bat القديمة من نظام MS-DOS. ومن هناك يمكنك التحقق من حالة محركات الأقراص، وتمكين التشفير، وإضافة أو إزالة الحمايات، وقفل الأقراص أو فتحها، وتعطيل BitLocker، وكل ذلك يعتمد على الأوامر محدد بشكل جيد.
لعرض حالة وحدة معينة، يتم استخدام الأمر cmdlet الحصول على BitLockerVolumeيقبل هذا الأمر مُعامل نقطة التحميل (على سبيل المثال، F:). إذا أضفت "| fl" في النهاية، فستحصل على قائمة مُفصّلة تتضمن الحمايات المُكوّنة، والنسبة المئوية المُشفّرة، وحالة القفل، وما إلى ذلك.
تتم إدارة ميزات الأمان (كلمات المرور، مفاتيح الاسترداد، مفاتيح التمهيد) باستخدام أضف حماية مفتاح BitLockerيمكنك إضافة حماية بكلمة مرور، أو مفتاح استرداد (يتم حفظه كملف في مسار محدد)، أو حماية بكلمة مرور استرداد مكونة من 48 رقمًا، أو مفتاح تمهيد يتم وضعه على محرك أقراص USB.
بمجرد ضبط إعدادات الحماية المطلوبة، يتم بدء عملية التشفير بواسطة تفعيل BitLockerحدد محرك الأقراص باستخدام نقطة التحميل ونوع الحماية المراد استخدامها. سيبدأ النظام بتشفير القرص وسيعرض نافذة تقدم (أو يمكنك فرض ذلك باستخدام fvenotify.exe).
عندما تريد قفل أو فتح أو تكوين الفتح التلقائي لمحرك أقراص مشفر، لديك الخيارات التالية المتاحة. قفل BitLocker، فتح BitLocker، تفعيل الفتح التلقائي لـ BitLocker، وتعطيل الفتح التلقائي لـ BitLockerيتيح لك برنامج Unlock-BitLocker اختيار نوع الأمان الذي تريد استخدامه لفتح محرك الأقراص: كلمة المرور العادية، أو كلمة مرور الاسترداد، أو ملف مفتاح الاسترداد.
تتضمن عملية إلغاء تنشيط وفك تشفير محرك أقراص لم تعد ترغب في حمايته استخدام تعطيل BitLockerعند تشغيله، يتم فك تشفير القرص تدريجياً حتى يصبح نصاً عادياً، ويمكنك مرة أخرى متابعة التقدم من خلال مربع الإشعارات إذا قمت بتشغيل fvenotify.exe.
كاتب شغوف بعالم البايت والتكنولوجيا بشكل عام. أحب مشاركة معرفتي من خلال الكتابة، وهذا ما سأفعله في هذه المدونة، لأعرض لك كل الأشياء الأكثر إثارة للاهتمام حول الأدوات الذكية والبرامج والأجهزة والاتجاهات التكنولوجية والمزيد. هدفي هو مساعدتك على التنقل في العالم الرقمي بطريقة بسيطة ومسلية.