Šifrování pomocí BitLockeru


1. Obecné informace

Microsoft nabízí pro šifrování disků v systému Windows 10 nástroj BitLocker. Funguje relativně jednoduše a provozní zatížení systému je nepatrné. V rámci VŠE jsme pro Vás připravili návod, jak zašifrovat data na stanici (notebooku), která má standardní školní image. Při postupování pomocí tohoto návodu je při zapomenutí klíče nebo poškození hardware možné rozšifrování Helpdeskem CI.

Před vlastním šifrováním doporučuje aktuální data zálohovat, a to buď na přenosný disk nebo přes aplikaci Microsoft OneDrive nebo do ownCloudu Cesnetu.


2. Předpoklady [menu]

K zašifrování dat pomocí Bitlockeru musí Vaše zařízení splňovat následující předpoklady:

  • na zařízení je nainstalována školní verze Microsoft Windows 10
  • zařízení je vybaveno čipem TPM (Trusted Platform Module)
  • zařízení je připojeno kabelem do sítě VŠE (šifrovací klíče se ukládají do síťového prostředí VŠE)
  • na daném zařízení máte administrátorská oprávnění
  • na systémovém disku C:\ je k dispozici ~500 MB volného místa

  • 3. Postup zašifrování disku [menu]

    Upozornění: Zašifrování je NUTNÉ nejprve provést na jednotce C: a až poté na jednotce D:, v opačném případě se do systému již nepřihlásíte a může dojít ke ztrátě dat!
    Pokud chcete zašifrování disku vypnout, je nutné nejprve vypnout nástroj bitlocker na jednotce D: a až poté na jednotce C:.


    Zároveň doporučujeme na počítač vhodným způsobem poznamenat jméno počítače (popis ikonky počítače na ploše ve formátu „Počítač VSE-xxxxx“, kde xxxxx je pětimístné číslo). Tento údaj je třeba v případě poškození počítače pro rozšifrování disku mimo původní počítač. Bez znalosti jména může být obtížné nalezení správného dešifrovacího klíče v Active Directory.

    >> klikněte pro zobrazení návodu na zašifrování jednotky C:\ <<

    1. Do Windows vyhledávání zadejte „bitlocker“ a spusťte jej:
    ALT NAME
    2. U disku C:\ – zapneme volbu „Zapnout nástroj BitLocker“, bude probíhat kontrola konfigurace počítače:
    ALT NAME

    3. Vlastní instalace nástroje BitLocker bude provedena v několika krocích. Zde může nastat odchylka podle konfigurace počítače. Před vlastním zašifrování je nutné aktivovat TPM čip, který bývá součástí počítačů a notebooků, vlastní aktivace TPM čipu se provede instalační utilitou sama, ale bude se vyžadovat součinnost ze strany uživatele. Na některých starších počítačích může být potřeba zapnout TPM v BIOSu (provede na požádání Helpdesk CI):

    ALT NAME
    4. Jednotlivé kroky popisuje následující dialogové okno, kde stiskneme tlačítko „Další“:
    ALT NAME
    5. Jsme znovu varování, že je nutné data zálohovat a systém nás informuje, že doba šifrování závisí na velikosti a obsahu jednotky – důležitým parametrem je nicméně i rychlost disku:
    ALT NAME
    6. Disk C:\ je upraven tak, aby se na disku vytvořila část pro zavedení systému, která nesmí být šifrována, a tudíž se musí jednat o jiný oddíl než oddíl s operačním systémem. Jeho velikost je malá cca do 500 MB:
    ALT NAME
    7.Po restartu by průvodce sám měl naběhnout do dialogového okna Nástoj BitLocker Drive Encryption (C:) Stiskneme tlačítko „Další“. Systém bude zapínat TPM čip, a tak opět musíme restartovat:
    ALT NAME
    8. Je pravděpodobné, že pro vlastní aktivaci TPM čipu, budete muset být součinni. Např. na All-in-One od HP je nutná akceptace přes klávesu F1 a u PC Dell Optiplex 9010 klávesa F10:
    ALT NAME
    ALT NAME
    9. Opět se vrátím do průvodce, kde jsme splnili dva z požadovaných bodů a můžeme přistoupit k vlastnímu šifrování jednotky. Pokračujeme volbou „Další“:
    ALT NAME
    10. Při šifrování jsme dotázáni na režim šifrování. Od verze Windows 10 volíme nový šifrovací algoritmus XTS-AES:
    ALT NAME
    11. V posledním kroku můžeme zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat.
    ALT NAME
    12. Po volbě Pokračovat, se dopracujeme k Restartu počítače:
    ALT NAME
    Tímto se zašifruje disk C, informace o šifrovacím klíči se uloží do TPM čipu a do objektu počítač v Active Directory.

    >> klikněte pro zobrazení návodu na zašifrování jednotky D:\ <<

    1. Abychom zašifrovali i úložiště dokumentů – potřebujeme zašifrovat i disk D. Znovu tedy musíme zavolat nástroj Bitlockeru. Poté, co se nám zobrazí utilita, uvidíme, že disk C je již zašifrován (je totiž dostupná volba Vypnout nástroj BitLocker), zatímco u disku D máme volbu „Zapnout nástroj Bitlocker“ (je nutné nejprve rozkliknout šipku vedle jednotky D:\), kterou není zavoláme:

    ALT NAME
    2. Objeví se okno, v kterém jsou omezené možnosti (nastavené správcem systému). Jedinou dostupnou volbou je nyní volba „Automaticky odemykat tuto jednotku v tomto počítači“. Zaškrtnete-li tuto volbu, pak se objeví tlačítko „Další“ v průvodci:
    ALT NAME
    3. Volíme opět režim šifrování pro disk D:\:
    ALT NAME
    4. Tlačítkem „Zahájit šifrování“ v následujícím okně zahájíme šifrování disku D:\:
    ALT NAME
    5. O dokončení šifrování jste informování následujícím dialogovým oknem:
    ALT NAME
    6. Pokud opět zavoláte Nástroj pro BitLocker, uvidíte, že zašifrovány jsou oba disky:
    ALT NAME
    7. Příkazem manage-bde -status X: (kde X je písmeno jednotky) lze vyvolat podrobnější informace o stavu zašifrování (přes příkazový řádek s administrátorským oprávněním) :
    ALT NAME


    4. Postup zašifrování externích datových nosičů [menu]

    Zašifrování přenosných datových nosičů (externí disky, flash disky apod.) je vyžadováno, pokud obsahuje data s osobními či jinak citlivými údaji dle SR 5/2018. Doporučujeme externí úložiště nejprve zašifrovat a až poté na něj překopírovat Vaše data, v opačném případě může zašifrování trvat několik hodin i dní.

    >> klikněte pro zobrazení návodu na zašifrování externích úložišť <<

     
    1. Připojte externí úložiště, klikněte pravým tlačítkem myši a vyberte „Zapnout nástroj bitlocker“:
    ALT NAME
    2. Zvolte heslo, které bude sloužit k odemknutí externího úložiště poté, co bude zašifrováno:
    ALT NAME
    3. Vyberte způsob zálohy obnovovacího klíče:
    ALT NAME
    4. Doporučujeme externí úložiště nejprve zašifrovat a až poté na něj překopírovat Vaše data, v opačném případě může zašifrování trvat několik hodin i dní.
    ALT NAME
    5. Zvolte typ zašifrování dle toho k jakému operačním systému budete Vaše externí úložiště připojovat (pokud si nejste jisti, vyberte „Režim kompatibility“):
    ALT NAME
    6. Zde uvidíte souhrn nastavení zašifrování, pokud chcete některá nastavení změnit, lze se k nim vrátit šipkou v levém horním rohu okna, v opačném případě můžete „Zahájit šifrování“:
    ALT NAME
    7. Průběh zašifrování, pokud šifrujete úložiště s větším objemem dat, počítejte s tím, že může trvat velmi dlouho:
    ALT NAME
    8. Dokončení šifrování:
    ALT NAME
    9. U ikony Vašeho externí úložiště se nyní zobrazuje ikona zámku značící, že Vaše externí úložiště je nyní zašifrováno:
    ALT NAME

    >>klikněte pro postup odemčení zašifrovaného externího úložiště po připojení k PC <<

     
    1. Připojte externí úložiště, zašifrování je indikováno ikonou uzamčeného zámku:
    ALT NAME
    2. Pokud jste nezvolili automatické odemykání, Windows Vás vyzve k odemčení zašifrovaného úložiště:
    ALT NAME
    3. Zadejte heslo, které jste si navolili při zašifrování, tímto úložiště odemknete a můžete s ním pracovat:
    ALT NAME

    >> klikněte pro zobrazení návodu na vypnutí zašifrování externích úložišť <<

     
    1. Připojte externí úložiště, klikněte pravým tlačítkem myši a vyberte „Spravovat nástroj bitlocker“:
    ALT NAME
    2. Vyberte jednotku Vašeho externího úložiště a klikněte na „Vypnout nástroj bitlocker“:
    ALT NAME
    3. Průběh dešifrování (obvykle trvá v řádu minut):
    ALT NAME
    4. Dešifrování dokončeno, bitlocker je nyní na Vašem externím úložišti vypnut:
    ALT NAME


    5. Často kladené dotazy [menu]

    Lze na mém zařízení provést zašifrování bez TPM čipu?
    Nikoli, šifrování dat bez TPM není podporováno.

    Jak zjistím, zda mé zařízení disponuje TPM čipem?
    Drtivá většina zařízení čipem TPM disponuje. Pokud je povolen v BIOSu je možné informace o něm vyvolat příkazem tpm.msc.

    Jak se chovají data na sdílených úložišťích (OneDrive, OwnCloud apod.) v momentě, kdy jsou na jednom zařízení zašifrována – otevřu je na jiném zařízení, které nemá šifrování nastaveno?
    Šifruje se konkrétní fyzické úložiště blokově, nikoliv soubory na něm, takže synchronizovaná úložiště mají data nezašifrovaná. Pro klienty těchto úložišť je šifrování transparentní, nevědí o něm.

    Jak postupovat, pokud chci zašifrování disku vypnout?
    Ve správě nástroje Bitlocker stačí zvolit „Vypnout nástroj Bitlocker“. Je však potřeba postupovat tak, že nejprve vypneme zašifrování jednotky D: a pak teprve C:.

    Co se stane, pokud se během šifrování zařízení vypne?
    Pokud se proces šifrování přeruší z důvodu vypnutí/hibernace zařízení, bude šifrování po zapnutí pokračovat tam, kde skončilo – toto by dle Microsoftu mělo fungovat i při výpadku proudu.

    Je možné disk zašifrovat, pokud je zařízení připojeno pouze přes bezdrátovou síť eduroam?
    Ano, nicméně vzhledem k menší spolehlivosti připojení oproti kabelové síti toto nedoporučujeme.