Użytkownicy Windows 7 na maszynach nie posiadających
modułu TPM mogą skorzystać z BitLockera do szyfrowania partycji systemowej. Wymagane do tego jest składowanie klucza na pamięci USB.
Uruchamiając kreator włączający BitLockera na komputerze bez TPM 1.2 napotkamy na następujący komunikat:
“A compatible Trusted Platform Module (TPM) Service Device must be present on this computer, but TPM was not found. Please contact your system administrator to enable BitLocker.”
Nie się czym przerażać:) To było w planie. Działanie to jest spowodowane
przez domyślne ustawienie Group Policy (Zasad Grupy) dla BitLockera.
Aby zezwolić na składowanie klucza na napędzie USB należy:
- uruchomić edytor zasad grupy
gpedit.msc - przejść do Computer Configuration -> Administrative Templates -> Windows
Components -> BitLocker Drive Encryption -> Operating System Drives ->
Require Additional Authentication at Startup: - Włączyć tę zasadę (Enabled). Automatycznie zaznaczy się tick przy “Alow
BitLocker without a compatible TPM (requires a startup key on USB flash
drive)”, właśnie to ustawienia wymusza wygenerowanie błędu na pierwszym
screenie z tego wpisu (ciekawscy pewnie zauważą, że można również globalnie
wyłączyć możliwość szyfrowania z użyciem TPM):
Po zmianie ustawień kreator włączenia BitLockera dla dysku systemowego
działa:
Aby kontynuować operację należy podłączyć napęd USB:
Powyższy tekst dotyczy również Windows Server 2008 R2. Zmian można również
dokonać przez GPO jeśli korzystamy z AD Windows Server 2008 R2. Nowe GPO oferuje
praktycznie pełną kontrolę nad BitLockerem (szkoda, że tak późno… …przydało
by się to wcześniej).
źródło: własne doświadczenia
W Windows 7 nic się nie zmieniło, i BitLockera nie będzie w wersji Business, tfu, Professional, prawda?
Niestety masz rację. Tylko w Ultimate i Enterprise. Swoją drogą szkoda. Technologia jest moim zdaniem bardzo dobra i dobrze udokumentowana. Jeśli ta funcjonalność trafiła by do Professional na pewno stała by się bardziej popularna (mam nadzieję, że panowie od Sales w MSFT kiedyś też dojdą do podobnego wniosku).
A po co Bitlocker, jak darmowy Truecrypt robi to samo i to dużo lepiej?
AFAIK TrueCrypt nie umie przechowywać klucza w TPM, nie umie przechowywać klucza odzyskiwania w Active Directory i czegoś tam jeszcze nie umiał, więc nie jest dobrym środowiskiem dla centralnie zarządzanych środowisk.
No i nie jest zintegrowany z systemem.
@pecet: Z punktu widzenia pojedyńczego użytkownika funkcjonalność TC jest rzeczywiście większa. Jednak jest do kolejna aplikacja do nadzorowania. Spróbuj tylko użyć TC w większym środowisku, z różnym poziomem umiejętności użytkowników.
Używam komputera stacjonarnego i takie rozwiązanie nie jest mi potrzebne….
Komputery stacjonarne również giną:) Warto pamiętać, że bezpieczeństwo danych zależy również również od fizycznej ochrony maszyny.
O ty m nie pomyślałem że ktoś może ukraść mój złom, może go łańcuchem przypnę do kaloryfera 🙂
złom jak złom liczy się to co na nim zgromadzone;)
W sumie racja, jeżeli chodzi o zawartość mojego PC to wiele bym nie stracił. PZDR
pytanie raczej czy ktoś by wiele zyskał niż ty stracił 🙂
Wdzięczność za pomoc będzie przeogromna
Scenariusz z kluczem USB:
1. szyfrowanie przebiegło prawidłowo
2. na usb został zapisany klucz (ukryty plik systemowy .BEK)
3. po restarcie system nie widzi klucza na usb ciągle prosząc o jego podanie
coś w stylu “…podłącz magazyn kluczy…”