Šifrování pomocí BitLockeru
1. Obecné informace
Microsoft nabízí pro šifrování disků v systému Windows 10 nástroj BitLocker. Funguje relativně jednoduše a provozní zatížení systému je nepatrné. V rámci VŠE jsme pro Vás připravili návod, jak zašifrovat data na stanici (notebooku), která má standardní školní image. Při postupování pomocí tohoto návodu je při zapomenutí klíče nebo poškození hardware možné rozšifrování Helpdeskem CI.
Před vlastním šifrováním doporučuje aktuální data zálohovat, a to buď na přenosný disk nebo přes aplikaci Microsoft OneDrive nebo do ownCloudu Cesnetu.
2. Předpoklady [menu]
K zašifrování dat pomocí Bitlockeru musí Vaše zařízení splňovat následující předpoklady:
3. Postup zašifrování disku [menu]
Upozornění: Zašifrování je NUTNÉ nejprve provést na jednotce C: a až poté na jednotce D:, v opačném případě se do systému již nepřihlásíte a může dojít ke ztrátě dat!
Pokud chcete zašifrování disku vypnout, je nutné nejprve vypnout nástroj bitlocker na jednotce D: a až poté na jednotce C:.
Zároveň doporučujeme na počítač vhodným způsobem poznamenat jméno počítače (popis ikonky počítače na ploše ve formátu „Počítač VSE-xxxxx“, kde xxxxx je pětimístné číslo). Tento údaj je třeba v případě poškození počítače pro rozšifrování disku mimo původní počítač. Bez znalosti jména může být obtížné nalezení správného dešifrovacího klíče v Active Directory.
>> klikněte pro zobrazení návodu na zašifrování jednotky C:\ <<
1. Do Windows vyhledávání zadejte „bitlocker“ a spusťte jej:
2. U disku C:\ – zapneme volbu „Zapnout nástroj BitLocker“, bude probíhat kontrola konfigurace počítače:
3. Vlastní instalace nástroje BitLocker bude provedena v několika krocích. Zde může nastat odchylka podle konfigurace počítače. Před vlastním zašifrování je nutné aktivovat TPM čip, který bývá součástí počítačů a notebooků, vlastní aktivace TPM čipu se provede instalační utilitou sama, ale bude se vyžadovat součinnost ze strany uživatele. Na některých starších počítačích může být potřeba zapnout TPM v BIOSu (provede na požádání Helpdesk CI):
4. Jednotlivé kroky popisuje následující dialogové okno, kde stiskneme tlačítko „Další“:
5. Jsme znovu varování, že je nutné data zálohovat a systém nás informuje, že doba šifrování závisí na velikosti a obsahu jednotky – důležitým parametrem je nicméně i rychlost disku:
6. Disk C:\ je upraven tak, aby se na disku vytvořila část pro zavedení systému, která nesmí být šifrována, a tudíž se musí jednat o jiný oddíl než oddíl s operačním systémem. Jeho velikost je malá cca do 500 MB:
7.Po restartu by průvodce sám měl naběhnout do dialogového okna Nástoj BitLocker Drive Encryption (C:) Stiskneme tlačítko „Další“. Systém bude zapínat TPM čip, a tak opět musíme restartovat:
8. Je pravděpodobné, že pro vlastní aktivaci TPM čipu, budete muset být součinni. Např. na All-in-One od HP je nutná akceptace přes klávesu F1 a u PC Dell Optiplex 9010 klávesa F10:
9. Opět se vrátím do průvodce, kde jsme splnili dva z požadovaných bodů a můžeme přistoupit k vlastnímu šifrování jednotky. Pokračujeme volbou „Další“:
10. Při šifrování jsme dotázáni na režim šifrování. Od verze Windows 10 volíme nový šifrovací algoritmus XTS-AES:
11. V posledním kroku můžeme zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat.
12. Po volbě Pokračovat, se dopracujeme k Restartu počítače:
Tímto se zašifruje disk C, informace o šifrovacím klíči se uloží do TPM čipu a do objektu počítač v Active Directory.
>> klikněte pro zobrazení návodu na zašifrování jednotky D:\ <<
1. Abychom zašifrovali i úložiště dokumentů – potřebujeme zašifrovat i disk D. Znovu tedy musíme zavolat nástroj Bitlockeru. Poté, co se nám zobrazí utilita, uvidíme, že disk C je již zašifrován (je totiž dostupná volba Vypnout nástroj BitLocker), zatímco u disku D máme volbu „Zapnout nástroj Bitlocker“ (je nutné nejprve rozkliknout šipku vedle jednotky D:\), kterou není zavoláme:
2. Objeví se okno, v kterém jsou omezené možnosti (nastavené správcem systému). Jedinou dostupnou volbou je nyní volba „Automaticky odemykat tuto jednotku v tomto počítači“. Zaškrtnete-li tuto volbu, pak se objeví tlačítko „Další“ v průvodci:
3. Volíme opět režim šifrování pro disk D:\:
4. Tlačítkem „Zahájit šifrování“ v následujícím okně zahájíme šifrování disku D:\:
5. O dokončení šifrování jste informování následujícím dialogovým oknem:
6. Pokud opět zavoláte Nástroj pro BitLocker, uvidíte, že zašifrovány jsou oba disky:
7. Příkazem manage-bde -status X: (kde X je písmeno jednotky) lze vyvolat podrobnější informace o stavu zašifrování (přes příkazový řádek s administrátorským oprávněním) :
4. Postup zašifrování externích datových nosičů [menu]
Zašifrování přenosných datových nosičů (externí disky, flash disky apod.) je vyžadováno, pokud obsahuje data s osobními či jinak citlivými údaji dle SR 5/2018. Doporučujeme externí úložiště nejprve zašifrovat a až poté na něj překopírovat Vaše data, v opačném případě může zašifrování trvat několik hodin i dní.
>> klikněte pro zobrazení návodu na zašifrování externích úložišť <<
1. Připojte externí úložiště, klikněte pravým tlačítkem myši a vyberte „Zapnout nástroj bitlocker“:
2. Zvolte heslo, které bude sloužit k odemknutí externího úložiště poté, co bude zašifrováno:
3. Vyberte způsob zálohy obnovovacího klíče:
4. Doporučujeme externí úložiště nejprve zašifrovat a až poté na něj překopírovat Vaše data, v opačném případě může zašifrování trvat několik hodin i dní.
5. Zvolte typ zašifrování dle toho k jakému operačním systému budete Vaše externí úložiště připojovat (pokud si nejste jisti, vyberte „Režim kompatibility“):
6. Zde uvidíte souhrn nastavení zašifrování, pokud chcete některá nastavení změnit, lze se k nim vrátit šipkou v levém horním rohu okna, v opačném případě můžete „Zahájit šifrování“:
7. Průběh zašifrování, pokud šifrujete úložiště s větším objemem dat, počítejte s tím, že může trvat velmi dlouho:
8. Dokončení šifrování:
9. U ikony Vašeho externí úložiště se nyní zobrazuje ikona zámku značící, že Vaše externí úložiště je nyní zašifrováno:
>>klikněte pro postup odemčení zašifrovaného externího úložiště po připojení k PC <<
1. Připojte externí úložiště, zašifrování je indikováno ikonou uzamčeného zámku:
2. Pokud jste nezvolili automatické odemykání, Windows Vás vyzve k odemčení zašifrovaného úložiště:
3. Zadejte heslo, které jste si navolili při zašifrování, tímto úložiště odemknete a můžete s ním pracovat:
>> klikněte pro zobrazení návodu na vypnutí zašifrování externích úložišť <<
1. Připojte externí úložiště, klikněte pravým tlačítkem myši a vyberte „Spravovat nástroj bitlocker“:
2. Vyberte jednotku Vašeho externího úložiště a klikněte na „Vypnout nástroj bitlocker“:
3. Průběh dešifrování (obvykle trvá v řádu minut):
4. Dešifrování dokončeno, bitlocker je nyní na Vašem externím úložišti vypnut:
5. Často kladené dotazy [menu]
Lze na mém zařízení provést zašifrování bez TPM čipu?
Nikoli, šifrování dat bez TPM není podporováno.
Jak zjistím, zda mé zařízení disponuje TPM čipem?
Drtivá většina zařízení čipem TPM disponuje. Pokud je povolen v BIOSu je možné informace o něm vyvolat příkazem tpm.msc.
Jak se chovají data na sdílených úložišťích (OneDrive, OwnCloud apod.) v momentě, kdy jsou na jednom zařízení zašifrována – otevřu je na jiném zařízení, které nemá šifrování nastaveno?
Šifruje se konkrétní fyzické úložiště blokově, nikoliv soubory na něm, takže synchronizovaná úložiště mají data nezašifrovaná. Pro klienty těchto úložišť je šifrování transparentní, nevědí o něm.
Jak postupovat, pokud chci zašifrování disku vypnout?
Ve správě nástroje Bitlocker stačí zvolit „Vypnout nástroj Bitlocker“. Je však potřeba postupovat tak, že nejprve vypneme zašifrování jednotky D: a pak teprve C:.
Co se stane, pokud se během šifrování zařízení vypne?
Pokud se proces šifrování přeruší z důvodu vypnutí/hibernace zařízení, bude šifrování po zapnutí pokračovat tam, kde skončilo – toto by dle Microsoftu mělo fungovat i při výpadku proudu.
Je možné disk zašifrovat, pokud je zařízení připojeno pouze přes bezdrátovou síť eduroam?
Ano, nicméně vzhledem k menší spolehlivosti připojení oproti kabelové síti toto nedoporučujeme.