Šifrování disku pomocí BitLockeru s čipem TPM | Kapitola 15
Seznam kapitol
Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.
Další tipy
- Obnovovací klíče je možné ukládat do Active Directory automaticky (nastavením doménové politiky).
- BitLocker je možné odemknout po síti.
- Pokud disk podporuje HW šifrování, BitLocker se ho „pokusí“ použít.
Pojďme si víc říct o posledním bodu. Některé disky interně podporují šifrování disků.
BitLocker: Disku, ty umíš šifrovat?
Disk: Jasně.
BitLocker: Tak šifruj jo?
Disk: Můžu, ale řekni mi jak?
BitLocker: Ok, vyřízeno, šifrování dělá disk!
Disk: Co to meleš? Neřekl jsi mi jak!
BitLocker: Vážený uživateli, disk je zašifrovaný, žij dlouho a blaze.
Disk: Tebe programoval mamlas co?
BitLocker: Možná jo, ale s uživatelem mluvím jen já! ChááChááá.
Jinými slovy, část lidí si POUZE myslí, že má disk zašifrovaný BitLockerem.
Řešení? Zakázat politiku „Konfigurovat použití hardwarového šifrování pro jednotky operačního systému“.
![Hardwarové šifrování](https://storage.googleapis.com/pctuning-cz/media/images/rofltqu2ksdz3yv60cd1d4dd195d276869840.png)
Další možností je otevřít Regedit, část HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE a vložit OSAllowedHardwareEncryptionAlgorithms:32-bit DWORD s hodnotou 0. (Tuto část registru jsme už řešili.)
Hardwarové šifrování nemusí být nutně špatné, nejspíš bude výrazně rychlejší a méně náročné na CPU, ale šifruje váš disk? Dělá to skutečně? BitLockeru bohužel nelze úplně věřit.
Pokud BitLocker disk skutečně zašifruje, přístup k Vaším datům budete mít vy, teoreticky firma Microsoft (obnovovací klíče se mohou ukládat na Váš účet Microsoft), asi i tříhvězdičkové agentury... a pár dalších.
![Uložení obnovovacích klíčů](https://storage.googleapis.com/pctuning-cz/media/images/811n6wg8hf2cgc360cd1d4e78bee293649753.png)
Šifrovat pomocí BitLockeru? Pokud šifrování funguje, k vaším datům se běžný loupežník nedostane.