Šifrování pomocí BitLockeru


1. Obecné informace

Microsoft nabízí pro šifrování disků v systému Windows 10 nástroj BitLocker. Funguje relativně jednoduše a provozní zatížení systému je nepatrné. V rámci VŠE jsme pro Vás připravili návod, jak zašifrovat data na stanici (notebooku), která má standardní image. Při postupování pomocí tohoto návodu je při zapomenutí klíče nebo poškození hardware možné rozšifrování Helpdeskem CI.

Před vlastním šifrováním doporučuje aktuální data zálohovat, a to buď na přenosný disk nebo přes aplikaci Microsoft OneDrive nebo do ownCloudu Cesnetu.


2. Předpoklady [menu]

K zašifrování dat pomocí Bitlockeru musí Vaše zařízení splňovat následující předpoklady:

  • na zařízení je nainstalována školní verze Microsoft Windows 10
  • zařízení je vybaveno čipem TPM (Trusted Platform Module)
  • zařízení je připojeno kabelem do sítě VŠE (šifrovací klíče se ukládají do síťového prostředí VŠE)
  • na daném zařízení máte administrátorská oprávnění
  • na systémovém disku C:\ je k dispozici ~500 MB volného místa

  • 3. Postup zašifrování disku [menu]

    Upozornění: Zašifrování je NUTNÉ nejprve provést na jednotce C: a až poté na jednotce D:, v opačném případě se do systému již nepřihlásíte a může dojít ke ztrátě dat!
    Pokud chcete zašifrování disku vypnout, je nutné nejprve vypnout nástroj bitlocker na jednotce D: a až poté na jednotce C:.

    alt name
    Zároveň doporučujeme na počítač vhodným způsobem poznamenat jméno počítače (popis ikonky počítače na ploše ve formátu „Počítač VSE-xxxxx“, kde xxxxx je pětimístné číslo). Tento údaj je třeba v případě poškození počítače pro rozšifrování disku mimo původní počítač. Bez znalosti jména může být obtížné nalezení správného dešifrovacího klíče v Active Directory.

    >> klikněte pro zobrazení návodu na zašifrování jednotky C:\ <<

    1. Do Windows vyhledávání zadejte „bitlocker“ a spusťte jej:
    ALT NAME
    2. U disku C:\ – zapneme volbu „Zapnout nástroj BitLocker“, bude probíhat kontrola konfigurace počítače:
    ALT NAME

    3. Vlastní instalace nástroje BitLocker bude provedena v několika krocích. Zde může nastat odchylka podle konfigurace počítače. Před vlastním zašifrování je nutné aktivovat TPM čip, který bývá součástí počítačů a notebooků, vlastní aktivace TPM čipu se provede instalační utilitou sama, ale bude se vyžadovat součinnost ze strany uživatele. Na některých starších počítačích může být potřeba zapnout TPM v BIOSu (provede na požádání Helpdesk CI):

    ALT NAME
    4. Jednotlivé kroky popisuje následující dialogové okno, kde stiskneme tlačítko „Další“:
    ALT NAME
    5. Jsme znovu varování, že je nutné data zálohovat a systém nás informuje, že doba šifrování závisí na velikosti a obsahu jednotky – důležitým parametrem je nicméně i rychlost disku:
    ALT NAME
    6. Disk C:\ je upraven tak, aby se na disku vytvořila část pro zavedení systému, která nesmí být šifrována, a tudíž se musí jednat o jiný oddíl než oddíl s operačním systémem. Jeho velikost je malá cca do 500 MB:
    ALT NAME
    7.Po restartu by průvodce sám měl naběhnout do dialogového okna Nástoj BitLocker Drive Encryption (C:) Stiskneme tlačítko „Další“. Systém bude zapínat TPM čip, a tak opět musíme restartovat:
    ALT NAME
    8. Je pravděpodobné, že pro vlastní aktivaci TPM čipu, budete muset být součinni. Např. na All-in-One od HP je nutná akceptace přes klávesu F1 a u PC Dell Optiplex 9010 klávesa F10:
    ALT NAME
    ALT NAME
    9. Opět se vrátím do průvodce, kde jsme splnili dva z požadovaných bodů a můžeme přistoupit k vlastnímu šifrování jednotky. Pokračujeme volbou „Další“:
    ALT NAME
    10. Při šifrování jsme dotázáni na režim šifrování. Od verze Windows 10 volíme nový šifrovací algoritmus XTS-AES:
    ALT NAME
    11. V posledním kroku můžeme zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat.
    ALT NAME
    12. Po volbě Pokračovat, se dopracujeme k Restartu počítače:
    ALT NAME
    Tímto se zašifruje disk C, informace o šifrovacím klíči se uloží do TPM čipu a do objektu počítač v Active Directory.

    >> klikněte pro zobrazení návodu na zašifrování jednotky D:\ <<

    1. Abychom zašifrovali i úložiště dokumentů – potřebujeme zašifrovat i disk D. Znovu tedy musíme zavolat nástroj Bitlockeru. Poté, co se nám zobrazí utilita, uvidíme, že disk C je již zašifrován (je totiž dostupná volba Vypnout nástroj BitLocker), zatímco u disku D máme volbu „Zapnout nástroj Bitlocker“ (je nutné nejprve rozkliknout šipku vedle jednotky D:\), kterou není zavoláme:

    ALT NAME
    2. Objeví se okno, v kterém jsou omezené možnosti (nastavené správcem systému). Jedinou dostupnou volbou je nyní volba „Automaticky odemykat tuto jednotku v tomto počítači“. Zaškrtnete-li tuto volbu, pak se objeví tlačítko „Další“ v průvodci:
    ALT NAME
    3. Volíme opět režim šifrování pro disk D:\:
    ALT NAME
    4. Tlačítkem „Zahájit šifrování“ v následujícím okně zahájíme šifrování disku D:\:
    ALT NAME
    5. O dokončení šifrování jste informování následujícím dialogovým oknem:
    ALT NAME
    6. Pokud opět zavoláte Nástroj pro BitLocker, uvidíte, že zašifrovány jsou oba disky:
    ALT NAME
    7. Příkazem manage-bde -status X: (kde X je písmeno jednotky) lze vyvolat podrobnější informace o stavu zašifrování (přes příkazový řádek s administrátorským oprávněním) :
    ALT NAME


    4. Často kladené dotazy [menu]

    Lze na mém zařízení provést zašifrování bez TPM čipu?
    Nikoli, šifrování dat bez TPM není podporováno.

    Jak zjistím, zda mé zařízení disponuje TPM čipem?
    Drtivá většina zařízení čipem TPM disponuje. Pokud je povolen v BIOSu je možné informace o něm vyvolat příkazem tpm.msc.

    Jak se chovají data na sdílených úložišťích (OneDrive, OwnCloud apod.) v momentě, kdy jsou na jednom zařízení zašifrována – otevřu je na jiném zařízení, které nemá šifrování nastaveno?
    Šifruje se konkrétní fyzické úložiště blokově, nikoliv soubory na něm, takže synchronizovaná úložiště mají data nezašifrovaná. Pro klienty těchto úložišť je šifrování transparentní, nevědí o něm.

    Jak postupovat, pokud chci zašifrování disku vypnout?
    Ve správě nástroje Bitlocker stačí zvolit „Vypnout nástroj Bitlocker“. Je však potřeba postupovat tak, že nejprve vypneme zašifrování jednotky D: a pak teprve C:.

    Co se stane, pokud se během šifrování zařízení vypne?
    Pokud se proces šifrování přeruší z důvodu vypnutí/hibernace zařízení, bude šifrování po zapnutí pokračovat tam, kde skončilo – toto by dle Microsoftu mělo fungovat i při výpadku proudu.

    Je možné disk zašifrovat, pokud je zařízení připojeno pouze přes bezdrátovou síť eduroam?
    Ano, nicméně vzhledem k menší spolehlivosti připojení oproti kabelové síti toto nedoporučujeme.