Šifrování disku pomocí BitLockeru s čipem TPM
Článek Šifrování disku pomocí BitLockeru s čipem TPM

Šifrování disku pomocí BitLockeru s čipem TPM

Petr Šaroun

Petr Šaroun

2. 5. 2019 03:00 30

Seznam kapitol

1. Šifrování systémového disku 2. Šifrování systémového disku BEZ použití čipu TPM 3. Šifrování systémového oddílu s klíčem na čipu TPM 4. TPM a šifrování disku 5. Moduly TPM 6. Správa TPM modulu v setupu BIOS (UEFI) 7. Update firmware TPM modulu 8. Správa modulu TPM z Windows
9. TPM z příkazové řádky 10. Příprava na zašifrování systémového disku 11. Reinstalace Windows – přenastavení BIOS (UEFI/GPT) 12. Utility pro práci s BitLockerem 13. Řešení problémů s BitLockerem – složitější věci 14. Ruční zapnutí BitLockeru z příkazové řádky 15. Další tipy

Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.

Reklama
Reklama

Příprava na zašifrování systémového disku

V prvním dílu jsme řešili, co všechno máte provést, než začneme šifrovat libovolný pevný disk.

BitLocker s TPM 2.0 funguje, pokud je zapnutý Secure Boot a disk ve formátu GPT. „Někdy“ to funguje i bez toho. Naopak s TPM 1.2 by neměl být Secure Boot ani GPT vyžadován, přesto to „někdy“ nefunguje.

Pokud chyba není zjevná, bude lepší systém reinstalovat než ručně převádět disk z MBR na GPT, zapínat Secure Boot a snažit se to zalátat. Takto ověříte, jestli je disk MBR, nebo GPT.

Ověření, jestli je disk typu MBR nebo GPT
Ověření, jestli je disk typu MBR nebo GPT

Všimněte si oranžově označené možnosti převést disk na typ MBR, pokud je disk ve formátu MBR, je tam možnost převodu na GPT. Ale jak jsem psal výše, to už je snad lepší reinstalace.

Máte disk ve formátu MBR a nechcete to měnit? Nechcete zapínat Secure Boot?
TPM čipy lze často přepínat, jestli mají fungovat jako TPM 2.0 nebo TPM 1.2. Teoreticky by mělo stačit TPM 2.0 čip přepnout na TPM 1.2 a BitLocker by ho měl použít. Možná to občas funguje, no nespoléhejte na to.

U systémového disku je jedna běžná záludnost, může se stát, že disk C: je rozprostřený přes celou jednotku, ale BitLocker potřebuje umístit zavaděč na nezašifrované místo a zavaděč zajistí „odemčení disku“. Úlohou zavaděče je zjistit heslo a pak umožnit nebo neumožnit start systému.

Jak vidíte, zaváděcí oddíl tu úplně chybí:

Na disku není spouštěcí oddíl
Na disku není spouštěcí oddíl

Takhle to už je lepší:

Disk včetně spouštěcího oddílu
Disk včetně spouštěcího oddílu

Kontrolu provedete pomocí utility bdehdcfg, konkrétně příkazem: bdehcfg -driveinfo

Ověření, jestli je disk rozdělený správně
Ověření, jestli je disk rozdělený správně

Utilita kontroluje rozdělení disku, nikoliv jestli je disk MBR nebo GPT. Chybu by měl hlásit BitLocker, když se pokusíte zašifrovat systémový disk, ale BitLocker obvykle neříká, co mu vadí. Bohužel.

Pokud disk není správně rozdělený, dá se to napravit příkazem bdehdcfg -target default -size 583, ale pokud nejste skuteční ajťáci, uvažte reinstalaci počítače. Pokud si na ní netroufnete, nehrajte si ani s bdehdcfg.

Dále se nebudu opakovat, všechno už jsem napsal v rámci prvního dílu.

Přesto něco zmíním, v diskuzi padlo doporučení provést kontrolu atributů S.M.A.R.T. před spuštěním samotné kontroly disku. Argument pro to nebyl úplně špatný, pokud bude disk nemocný, další zátěž ho může odrovnat. Já se na to dívám obráceně, dokud disk nezatížíte, může se cítit dobře a být zelený. Asi nejlépe to rozsekl Adam Vágner z redakce, který říká, že nám nic nebrání provést test před i po provedení kontroly disku.

Lepší základní desky dovolují testovat S.M.A.R.T. disků při startu, není špatný nápad to mít v EFI zapnuté.

Povolení S.M.A.R.T. self testu v BIOS(UEFI)
Povolení S.M.A.R.T. self testu v BIOS(UEFI)

Tato volba je dost šikovná, může vás upozornit na problém s diskem včas.

Zapínat šifrování na potenciálně vadném disku je skutečně špatný nápad. Důkladně prověřte daný disk!

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama

Byl detekován AdBlock

PCTuning je komunitní web, jehož hlavním příjmem je reklama. Zvažte prosím vypnutí AdBlocku, ať můžeme všem čtenářům i nadále přinášet kvalitní herní zpravodajství, články a videa.

Děkujeme!

Váš tým PCTuning