تا %60 تخفیف خرید برای 6 نفر با صدور مدرک فقط تا
00 00 00

BitLocker چیست و چگونه از آن استفاده کنیم؟ قسمت 2 : محدودیت ها

محمود کیاستی
محمود کیاستی
13 پسند
1133 بازدید
1 نظر
72 ماه قبل

در ادامه قسمت قبلی مقاله، بهتر است با یکسری از محدودیتهای Bitlocker در خصوص رمزنگاری درایوها بیشتر آشنا شوید. Bitlocker در ویندوزهای سرور 2008 و 2012 و 8 و 8.1 هر تعداد درایو داخلی دیتا از نوع(Sata , ATA) و نیز direct-attached storage ها را رمزنگاری می کند، اما رسانه های نوری یا Optical media (از جمله CDfile system (CDFS) - Live File System -Universal Disk Format )) توسّط Bitlocker پشتیبانی نمیگردند. موارد دیگری که از طریق Bitlocker پشتیبانی نمیگردند به شرح زیر می باشد:

درایوهائی که از لحاظ نرم افزاری در دسته ای غیر از Basic Volumes قرار دارند همچون Dynamic volumes- RAID systems - virtual hard disks-VHDs ) – و نیز درایوهایی که سیستم فایل آنها CD می باشد و یا رابط درایو آنها Bluetooth است.نکته: درایوهائی که از رابط iSCSI و یا Fiber Channel برخوردارند فقط در ویندورهای 8 و 8.1 و سرور 2012 قابلیت پشتیبانی توسط Bitlocker را دارا هستند. چند روش برای تولید Key و اعمال همزمان با Bitlocker وجود دارد (TPM owner password- recovery password- recovery key- password- PIN- enhanced PIN- startup key) که در زیر به توضیح مختصری در خصوص هر یک از این موارد میپردازیم:

TPM owner password

قبل از فعال کردن BitLocker بر روی یک کامپیوتر که دارای نسخه TPM 1.2 و یا ورژنهای بعد از آن می باشند، شما می بایست تنظیمات اوّلیه ای را بر روی TPM انجام دهید و روند آن بدین صورت است که یک رمز اوّلیه بر روی TPM تعریف می شود. البته این را در نظر داشته باشید که با تعریف TPM owner password هر بار که قصد تغییر حالت و تنظیمات TPM را داشته باشید می بایست این رمز را ارائه کنید از جمله در هنگام فعال یا غیر فعال کردن TPM و یا بازنشانی تنظیمات TPM lockout.

Recovery password و Recovery key

زمانی که شما TPM را فعال می کنید اگر روش اختصاص داده شده برای unlock یا باز نمودن قفل، قابل اعمال نباشد (همانند زمانی که کامپوننتهای لازم جهت Boot شدن سیستم توسّط TPM تأیید نگردد و یا زمانی که personal identification number یا PIN فراموش شود) می بایست مشخص کنید که Bitlocker چگونه درایو محافظت شده را جهت استفاده، رمزگشائی کند. در این شرایط شما باید قادر به ارائه یک Recovery password یا Recovery key جهت بازنمودن درایوهای رمزنگاری شده باشید. در ویزارد مربوط به تنظیمات BitLocker گزینه ی "recovery key" بصورت کلی هم به recovery key file و هم به recovery password اشاره دارد. هنگامی که شما اطلاعات بازیابی را ارئه می کنید، یکی از فرمتهای زیر نیز در دسترس شما قرار می گیرند:

  • Recovery password: این پسورد شامل 48 رقم بوده که در قالب 8 گروه 6 رقمی تقسیم می شود و در هنگام بازگردانی یا همان Recovery نمودن، می بایست در کنسول BitLocker recovery با استفاده از کلیدهای تابعی کیبورد، تایپ گردد.
  • key file: این فایل در USB flash ذخیره می گردد و در هنگام Recovery نمودن، مستقیماً توسّط کنسول BitLocker recovery خوانده می شود، علی القاعدتاً به هنگام Recovery نمودن، USB device می بایست به سیستم متصل باشد.
  • Password: پسورد نیز جهت حفاظت از اطلاعات درایوهای قابل حمل و یا درایو ویندوز یا همان Operating System و سایر درایوهای هارد داخلی میتواند مورد استفاده قرار گیرد. در شرایطی که از Bitlocker در کامپیوتری بدون TPM استفاده نمائید، از Password در واقع به عنوان یک کلید جایگزین (Alternative key) در استفاده از USB key میتوان نام برد. یک پسورد میتواند شامل 8 تا 255 کارکتر باشد که توسّط مکانیزم Hashing با طول کلید 256 بیت ذخیره می گردد که قابل نمایش برای کاربر نیز نمی باشد.

برای اختصاص پسورد، با توجّه به اینکه از Bitlocker برای چه نوع درایوی (درایوهای داخلی به غیر از درایو ویندوز- درایو ویندوز و یا درایوهای قابل حمل) مورد استفاده قرار می گیرد، نحوه تنظیم متفاوت می باشد که در زیر به آنها اشاره می شود:

Fixed Data Drives

برای اختصاص پسورد، به هنگام رمزنگاری درایوهای داخلی به غیر از درایو ویندوز، ابتدا Group Policy را از طریق فشردن Win+R و وارد نمودن عبارت Gpedit.msc باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for fixed data drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

Operating system drives:

برای اختصاص پسورد، به هنگام رمزنگاری درایو ویندوز (operating system drives)، ابتدا Group Policy را از طریق فشردن Win+R و وارد نمودن عبارت Gpedit.msc باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for operating system drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

Removable data drives

برای اختصاص پسورد، به هنگام رمزنگاری درایوهای قابل حمل(removable data drives)، ابتدا Group Policy را از طریق ذکر شده در بالا باز نموده و به مسیر زیر میرویم:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\removable data drives 

سپس در سمت راست پنجره، همانند تصویر زیر گزینه ی Configure use of passwords for removable data drives را انتخاب میکنیم:

آشنایی با Bitlocker - قسمت دوّم

PIN و Enhanced PIN

برای افزایش سطح امنیّت TPM به یک پله بالاتر، شما میتوانید BitLocker را با بکار بردن یک personal identification number یا PIN استفاده نمائید. PIN در واقع مقداری (4 تا 20 رقمی) تعریف شده توسّط کاربر می باشد که به هنگام شروع به کار کردن کامپیوتر و یا هر زمان که سیستم از حالت Hibernate خارج شود می بایست این PIN وارد گردد. شما میتوانید از طریق Group Policy به مسیر زیر رفته و با انتخاب گزینه Configure minimum PIN length for startup حداقل تعداد ارقام مورد نیاز برای تعریف PIN را تغییر دهید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 
آشنایی با Bitlocker - قسمت دوّم


PIN نیز توسّط مکانیزم Hashing با طول کلید 256 بیت ذخیره می گردد و برای کاربر نیز قابل نمایش نمی باشد. PIN در واقع جهت ارتقاء امنیت و Authentication در کنار TPM authentication مورد استفاده قرار میگیرد.حال برای تأمین امنیّت در سطوح بالاتر به هنگام استفاده از TPM، میتوان از Enhanced PINs یا همان PINهای پیشرفته استفاده نمود. Enhanced PINs در واقع اجازه ی استفاده از تمامی کاراکترهای موجود در کیبورد را علاوه بر مقادیر عددی را فراهم میکند که به واسطه ی آن، قابلیت ایجاد PINهای پیچیده تر و قدرتمندتر میسر می شود. طول Enhanced PINs نیز همانند PIN، بین 4 تا 20 کاراکتر می باشد. برای استفاده از Enhanced PINs ابتدا میبایست گزینه Allow enhanced PINs for startup در Group Policy را از طریق مسیر زیر، فعّال نمائید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 
آشنایی با Bitlocker - قسمت دوّم


نکته: جهت استفاده از Enhanced PINs، میبایست BIOS یا UEFI firmware سیستم شما، از قابلیت استفاده از (تمامی کیبورد) Full Keyboard در محیط قبل از بوت یا pre-boot environment پشتیبانی کند.


Startup key

Startup key در واقع یکی دیگر از روشهای افزایش سطح امنیت می باشد که به هنگام استفاده از TPM میتواند مورد استفاده قرار گیرد، Startup key کلیدی است که بر روی USB flash drive ذحیره می گردد و USB flash drive هر وقت که کامپیوتر شروع به کار میکند می بایست به سیستم متصل باشد. برای به کار بردن USB flash drive به عنوان یک Startup key، ابتدا میبایست آن را با یکی از سیستم فایلهای NTFS، FAT یا FAT32 فرمت کرد.
همانگونه که در قسمت قبلی مقاله نیز اشاره کردیم، میتوانید تنظیمات استفاده از Startup Key و Startup Pin را از طریق Group Policy و با انتخاب گزینه Require additional authentication at setup و یا Require additional authentication at setup for windows server 2008 or windows vista در مسیر زیر انجام دهید:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\operating system drives 

نویسنده: محمود کیاستی
منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده، دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر