Kako postaviti BitLocker s TPM-om, PIN-om i otključavanjem mreže u sustavu Windows 11

Sigurnost podataka prioritet je za tvrtke i pojedinačne korisnike koji žele zaštititi i integritet i povjerljivost informacija pohranjenih na svojim računalima. Windows 11, zahvaljujući naprednim funkcijama šifriranja kao što je BitLocker, pruža mogućnost zaštite pristupa diskovima korištenjem različitih metoda autentifikacije, kombinirajući robusnost TPM-a (Secure Platform Module), provjera PIN-a i ekskluzivni sustav Otključavanje mreže za otključavanje mreže.

Ako se pitate kako konfigurirati BitLocker da biste u potpunosti iskoristili ove mogućnosti zaštite - posebno mogućnost istovremenog korištenja TPM-a, PIN-a za pokretanje i automatskog otključavanja putem korporativne mreže - evo najdetaljnijeg i najopsežnijeg vodiča koji je trenutno dostupan, prilagođenog španjolskom i ažuriranog svim tehničkim i funkcionalnim informacijama dostupnim u industriji.

Što je BitLocker i koje su njegove prednosti?

BitLocker je sveobuhvatna značajka šifriranja diska uključena u Professional i Enterprise izdanja. Windows. Njegova glavna svrha je zaštita podataka u slučaju gubitka, krađe ili neovlaštenog fizičkog pristupa računalu. Cijeli sadržaj diska može se šifrirati, što sprječava pristup informacijama čak i ako se disk ukloni i spoji na drugo računalo.

TPM integracija pruža dodatnu sigurnost sigurnim pohranjivanjem ključeva za šifriranje i drugih tajni za autentifikaciju, sprječavajući napade grubom silom ili izravan fizički pristup. Mogućnost dodavanja PIN-a za pokretanje dodatno jača zaštitu od unutarnjih i vanjskih prijetnji. Osim toga, način rada Network Unlock omogućuje strojevima automatsko pokretanje kada su spojeni na korporativnu mrežu i određene poslužitelje, pojednostavljujući upravljanje u poslovnim okruženjima s masovnim računalnim implementacijama.

Zašto koristiti TPM, PIN i otključavanje mreže zajedno?

Kombinacija TPM-a, PIN-a i mrežnog otključavanja pruža dubinsku obranu i savršenu ravnotežu između sigurnosti i upravljivosti. TPM osigurava da ključevi nikada ne napuštaju hardver; PIN zahtijeva fizičku interakciju za otključavanje opreme – idealno za prenosiv i računala u zajedničkim uredima – i Network Unlock automatizira proces pokretanja na sigurnim korporativnim mrežama, bez intervencije korisnika, što olakšava udaljenu administraciju, ažuriranja i tehničku podršku.

Ovaj pristup je najsigurniji za tvrtke s flotom računala, a također se toplo preporučuje naprednim korisnicima koji su zabrinuti za zaštitu svojih osobnih podataka ili računala koja sadrže osjetljive informacije.

Preduvjeti: Razmatranja hardvera, softvera i infrastrukture

Prije nego što omogućite i iskoristite sve značajke BitLockera, morate ispuniti nekoliko zahtjeva za hardver, firmver, mrežu i konfiguraciju sustava Windows 11. Evo svega što vam treba:

• Računalo kompatibilno sa sustavom Windows 11 u izdanju Pro, Enterprise ili Education.
• TPM 2.0 modul aktiviran iz BIOS-a/UEFI-ja. Neki uređaji omogućuju rad bez TPM-a, ali je to manje sigurno i zahtijeva više ručnih koraka.
• Administratorski pristup operativnom sustavu.
• Korporativna mreža s omogućenim DHCP-om na barem jednom mrežnom adapteru (po mogućnosti integriranom).
• Windows Server s ulogama Windows Deployment Services (WDS) i instaliranom i konfiguriranom značajkom Network Unlock.
• Infrastruktura javnih ključeva za generiranje i pružanje potrebnih certifikata (može biti poduzeće CA ili samopotpisani certifikati).
• Dozvole za izmjenu grupnih pravila (GPO-ova) u okruženju domene.
• Preporučuje se, iako nije strogo potrebno, imati Active Directory za skladištenje osiguranje ključa za oporavak i pojednostavljenje upravljanja.

Omogućavanje i konfiguriranje BitLockera: Preliminarni koraci i početne postavke

Postupak aktivacije BitLockera u sustavu Windows 11 može se izvršiti putem upravljačke ploče, postavki ili pomoću naprednih alata (PowerShell, redak naredbe s manage-bde.exe ili automatiziranim skriptama putem GPO-a). Ovdje ćemo detaljno objasniti najčešće postupke:

1. Pristup iz izbornika Start i upravljačke ploče: Možete pretražiti 'BitLocker' ili 'Upravljanje BitLockerom' u traci za pretraživanje sustava Windows ili otići na 'Sustav i sigurnost' na upravljačkoj ploči, a zatim na 'BitLocker šifriranje pogona'.
2. Pristup iz Explorera datoteka: Desnom tipkom miša kliknite pogon koji želite šifrirati i odaberite 'Uključi BitLocker'. Time se pokreće vođeni čarobnjak za odabir metoda otključavanja i mogućnosti oporavka.
3. Napredni pristup pomoću PowerShella: Ako trebate automatizirati proces na više računala ili preferirate naredbeni redak, možete koristiti cmdlete specifične za BitLocker, kao što su Enable-BitLocker, Add-BitLockerKeyProtector i drugi.

Opcije zaštite: samo TPM, TPM + PIN, TPM + USB ključ i napredne kombinacije

BitLocker omogućuje nekoliko metoda provjere autentičnosti za otključavanje sistemskog pogona:

• Samo TPM: Transparentno pokretanje, pogodno za opremu pod strogom fizičkom kontrolom.
• TPM + PIN: Za pokretanje sustava Windows morate unijeti numerički kod od 6 do 20 znamenki.
• TPM + ključ za pokretanje (USB): Zahtijeva umetanje posebnog USB flash pogona prilikom pokretanja.
• TPM + PIN + USB ključ (opcionalno): Dva faktora zajedno, maksimalna sigurnost.
• Bez TPM-a ('kompatibilnosti'): Mogu se koristiti lozinka ili USB ključ, ali s manje jamstava integriteta i sigurnosti.

PIN opcija se toplo preporučuje za prijenosna i računala koja se mogu ostaviti bez nadzora, dok je USB ključ za pokretanje praktičan u ograničenim okruženjima ili kao mrežni dodatak.

Strategije za oporavak podataka: ključevi, lozinke i sigurna pohrana

Prije uključivanja BitLockera morate odabrati kako spremiti ključ za oporavak. Ključno je čuvati ovaj ključ na sigurnom mjestu jer njegov gubitak može značiti trajni gubitak pristupa vašim podacima.

• Spremi na svoj Microsoftov računPraktično za pojedinačne korisnike ili mala poduzeća.
• Spremi u Active DirectoryIdealno za organizacije, omogućuje administratorima jednostavan oporavak ključeva za računala pridružena domeni.
• Spremite na USB, ispišite na papir ili spremite u vanjsku izvanmrežnu datoteku.

Pravila oporavka mogu se provoditi putem GPO-a kako bi se zahtijevala sigurnosna kopija u Active Directory i blokiralo šifriranje dok se ne potvrdi da je ključ ispravno pohranjen.

Tehnički detalji za napredne postavke: Grupne politike i algoritmi šifriranja

Sigurnost i upravljanje BitLockerom uvelike se oslanjaju na grupne politike (GPO-ove) koje možete uređivati ​​iz 'gpedit.msc' ili putem konzole za upravljanje grupnim politikama na poslužiteljima. Među najrelevantnijim opcijama su:

• Definirajte metodu šifriranja i duljinu ključa (XTS-AES 128 ili 256 bita), preporučuje se 256-bitna verzija na modernim računalima i 128-bitna verzija na starijim uređajima.
• Zahtijevajte dodatnu autentifikaciju pri pokretanju radi zaštite pogona operacijskog sustava: Ovdje možete prisilno aktivirati korištenje PIN-a, USB ključeva ili oboje zajedno s TPM-om.
• Dopusti otključavanje mreže: Dostupno samo za računala pridruživana domeni s potrebnom infrastrukturom.
• Pravila o pohranjivanju ključeva za oporavak u Active Directoryju.
• Mogućnosti oporavka u slučaju gubitka PIN-a/lozinke.
• Konfigurirajte prilagođena upozorenja i poruke za zaslon prije pokretanja.

Konfiguriranje ovih pravila ključno je za uspostavljanje sigurnog okruženja i olakšavanje centralizirane administracije u velikim organizacijama.

Otključavanje mreže: Sigurnost i automatizacija pri pokretanju

Otključavanje mreže je značajka osmišljena za scenarije u kojima se uređaji moraju pokrenuti bez intervencije korisnika, ali unutar pouzdane korporativne mreže. Posebno je koristan za implementaciju ažuriranja, obavljanje noćnog održavanja ili pokretanje servera i stolnih računala bez prisustva osoblja.

Kako se to radi? Prilikom pokretanja, klijent detektira prisutnost štita za otključavanje mreže i koristi UEFI DHCP protokol za komunikaciju s WDS poslužiteljem. Putem sigurne sesije, stroj prima ključ koji, u kombinaciji s ključem pohranjenim u TPM-u, omogućuje dešifriranje pogona i nastavak pokretanja. Ako otključavanje mreže nije dostupno, od klijenta će se tražiti PIN ili će se koristiti neka druga konfigurirana metoda otključavanja.

Zahtjevi za implementaciju otključavanja mreže:

• WDS poslužitelj na mreži s instaliranom i ispravno konfiguriranom ulogom BitLocker Network Unlock.
• X.509 RSA certifikat od najmanje 2048 bitova za šifriranje mrežnog ključa, izdat od strane interne infrastrukture javnih ključeva (CA) ili samopotpisan.
• Grupna politika (GPO) koja distribuira certifikat za otključavanje mreže klijentima.
• Klijentski UEFI firmver mora podržavati DHCP i biti ispravno konfiguriran za pokretanje u izvornom načinu rada.

Otključavanje mreže podržano je samo na računalima pridruženim domeni, nije dostupno za osobna računala ili računala izvan poslovnog okruženja.

Praktična postavka: Instalacija, implementacija i validacija otključavanja mreže

1. Instaliranje uloge Windows Deployment Services (WDS): Iz Upravitelja poslužitelja ili PowerShella (Install-WindowsFeature WDS-Deployment).
2. Instalirajte značajku otključavanja mreže na WDS poslužitelju: (Install-WindowsFeature BitLocker-NetworkUnlock).
3. Konfigurirajte infrastrukturu certifikata: Izradite odgovarajući predložak certifikata za otključavanje mreže kod certifikacijskog tijela (CA) tvrtke, slijedeći službene preporuke (opisni naziv, podrška za izvoz privatnog ključa, korištenje OID 1.3.6.1.4.1.311.67.1.1 ekstenzije itd.).
4. Izdavanje i izvoz certifikata: Izvezite datoteke .cer (javni ključ) i .pfx (privatni ključ) i pažljivo ih distribuirajte.
5. Uvezite certifikat na WDS poslužitelj: U mapi 'BitLocker Drive Encryption Network Unlock' u konzoli Local Computer Certificates.
6. Podijelite certifikat među klijentima: Putem GPO-a uvezite .cer certifikat u odgovarajuće postavke grupnih pravila.
7. Konfigurirajte GPO-e na 'Dopusti otključavanje mreže pri pokretanju' i zahtijevajte PIN pored TPM-a: Također postavite pravilo 'Zahtijeva PIN za pokretanje TPM-a', prisiljavajući kombiniranu upotrebu PIN-a i otključavanja mreže.
8. Provjerite je li politika stigla do klijenata i jesu li ponovno pokrenuli računalo kako bi se promjene primijenile.
9. Testno pokretanje mreže (pomoću Ethernet kabela) i automatska autentifikacija putem Network Unlocka.

Rješavanje uobičajenih problema i najbolje sigurnosne prakse

Postavljanje BitLockera s otključavanjem mreže nije bez potencijalnih problema. Evo glavnih preporuka i koraka za rješavanje problema:

• Provjerite podržava li vaš primarni mrežni adapter i ima li omogućen DHCP.
• Provjerite kompatibilnost UEFI firmvera (verzija, izvorni način rada, nema CSM-a).
• Provjerite je li WDS servis pokrenut i ispravno radi.
• Potvrđuje objavu i valjanost certifikata na poslužitelju i klijentima. Ispituje i konzolu certifikata i registar (ključ FVE_NKP).
• Provjerite jesu li grupne politike ispravno primijenjene na željene organizacijske jedinice.
• Pregledava zapisnike događaja BitLockera i WDS-a u potrazi za porukama o pogreškama ili upozorenjima.

Obavezno redovito izrađujte sigurnosne kopije ključeva za oporavak i pratite promjene hardvera ili firmvera računala jer one mogu uzrokovati potrebu za unosom ključa za oporavak čak i ako ste konfigurirali mrežno pokretanje.

Mogućnosti šifriranja za fiksne i prijenosne podatkovne pogone

BitLocker ne samo da štiti sistemski pogon, već pruža i potpunu zaštitu za fiksne podatkovne pogone i prijenosne pogone (BitLocker To Go). Iz grupnih pravila možete definirati specifična pravila za svaku vrstu volumena:

• Prisilno šifriranje prije dopuštanja pristupa pisanju.
• Definirajte algoritam šifriranja za svaku vrstu pogona.
• Kontrolirajte korištenje lozinki ili pametnih kartica za otključavanje podataka.
• Sakrij ili prikaži opcije oporavka u čarobnjaku za postavljanje.

Za prijenosne diskove možete uskratiti pristup pisanju uređajima konfiguriranim u drugoj organizaciji pomoću jedinstvenih identifikatora postavljenih u pravilima vaše domene.

Uobičajeno upravljanje i operacije: obustavljanje, nastavak, resetiranje i onemogućavanje BitLockera

Dnevno upravljanje BitLockerom uključuje značajke za privremeno obustavljanje zaštite, nastavak zaštite, izmjenu zaštita (PIN, lozinka, ključ za oporavak), resetiranje ključeva i onemogućavanje šifriranja ako je potrebno.

• Obustavljanje BitLockera: Korisno prije promjena hardvera, ažuriranja BIOS-a/firmvera ili održavanja. Iz upravljačke ploče ili naredbenog retka (PowerShell ili manage-bde.exe).
• Ponovno pokrenite BitLocker: Nakon što je održavanje završeno, bitno je ponovno aktivirati zaštitu iz istog izbornika ili naredbe.
• Resetiraj PIN ili lozinku: Ako zaboravite PIN, možete ga resetirati pomoću ključa za oporavak. Naredba manage-bde -changepin X omogućuje vam izravnu promjenu PIN-a iz naredbenog retka.
• Onemogući BitLocker: Ova opcija pokreće proces dešifriranja podataka. Treba je koristiti samo ako zaštita više nije potrebna ili zbog organizacijskih zahtjeva.
• Oporavak od izgubljenih vjerodajnica: Ako izgubite PIN ili lozinku, oporavak ovisi o tome da imate 48-znamenkasti ključ za oporavak pri ruci, pohranjen na mreži ili na papiru.

Automatizacija i skriptiranje: PowerShell i manage-bde.exe

Masovno raspoređivanje i napredni zadaci upravljanja mogu se pojednostaviti putem PowerShell skripti ili naredbe manage-bde.exe.

Na primjer:

• Omogućite BitLocker s TPM-om i PIN zaštitom:
• $SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force; Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector
• Provjerite status BitLockera:
• manage-bde.exe -status C:
• Upravljanje zaštitnicima ključeva:
• manage-bde.exe -protectors -add -sid <usuario o grupo>
• Uklonite zaštitne elemente:
• manage-bde.exe -protectors -delete C: -type TPMandPIN

Razmatranja za performanse, kompatibilnost i najbolje prakse

BitLocker je optimiziran za minimiziranje utjecaja na performanse modernih računala, posebno korištenjem XTS-AES 256-bitne i hardverski ubrzane enkripcije.

• Potpuno šifriranje diska troši više vremena i resursa na starijim računalima; Šifriranje samo korištenog prostora je brže i prikladnije za nove instalacije.
• Način kompatibilnosti omogućuje vam šifriranje pogona i njihovo korištenje na starijim sustavima, ali s nižom razinom sigurnosti.
• Kombinacija TPM-a, PIN-a i otključavanja mreže ne samo da maksimizira zaštitu, već i olakšava centralizirano upravljanje u velikim organizacijama.
• Uvijek pohranite ključeve za oporavak na sigurnom sustavu i testirajte ključeve za oporavak prije implementacije BitLockera u velikim razmjerima.