Šifrování disku pomocí BitLockeru s čipem TPM | Kapitola 2
Seznam kapitol
Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.
Šifrování systémového disku BEZ použití čipu TPM
Tento postup je jednoduchý. Pokud čip TPM nemáte, nechcete dokupovat, nebo se vám jej nepovede nastavit, nevadí. Disk zašifrujete i bez TPM, ale při každém startu budete muset zadávat heslo.
Poznamenám, že dobré heslo je dlouhé delší než 12 znaků. Jenže kdo by to chtěl pořád psát?
Chcete-li šifrovat systémový disk v PC bez TPM čipu, musíte změnit nastavení!
(Je to lehčí, než to vypadá.) Spusťte konzolu lokálních politik: gpedit.msc (Klikněte na Start a pište gpedit.msc)
Utilitou gpedit.msc měníte lokální politiky, což jsou nastavení (nejen) Windows. Prohlédněte si je a bude vám vše jasné. Doplním, že je velmi snadné si nevhodnou úpravou politik rozbít Windows, buďte opatrní.
Politika, která nás zajímá, je ukrytá v (Místní zásady)->(Konfigurace počítače)->(Šablony pro správu)->(Součásti systému Windows)->(Šifrování jednotky nástrojem BitLocker)->(Jednotky operačního systému)
Zajímá nás politika „Požadovat při spouštění další ověřování“ (viz předchozí obrázek), kterou nastavíme na povoleno a zaškrtneme „Povolit nástroj BitLocker bez kompatibilního čipu TPM“.
Tím BitLockeru povolíme, aby netrval na použití TPM čipu a dovolil nám nastavit ručně zadávané heslo.
Zněny se projeví po restartu nebo jako administrátor spusťte příkaz CMD a gpupdate /force.
Teď už můžete zapnout BitLocker i bez TPM čipu na systémovém disku.
Spustíme BitLocker jako obvykle:
Klikněte na „Zapnout nástroj BitLocker“ na systémovém disku.
Zvolte způsob, jak chcete svůj disk odemknout, jestli zadáním hesla nebo vložením flashdisku. Tady se zastavím. Heslo není nutné zadávat ručně, můžete ho mít na flashdisku, ze kterého si to BitLocker vždy přečte. Osobně tuhle možnost nemám vůbec rád, flashdisky občas odchází a ztrácí se.
Zadejte heslo, správné by mělo být dlouhé alespoň dvanáct znaků. Dlouhé heslo je lepší než heslo:1koZa
Taky chápu, že dlouhé nebudete chtít dokola zadávat, zvolte vám vyhovující kompromis.
Na této obrazovce nastavujete běžné heslo, které budete zadávat při každém zapnutí a restartu počítače.
V dalším kroku klasicky zadáte cestu pro obnovovací klíč.
Záchranný klíč si dobře uložte! Jak ho ztratíte a BitLocker se naštve, data z disku už nedostanete!
Dobrá rada: Než začnete šifrovat systémový disk, naučte se šifrovat externí disky.
Vyzkoušejte si scénáře, kdy zapomenete heslo a provedete odemčení pomocí obnovovacího klíče.
Několikrát klikneme na další, restartujete počítač a BitLocker začne hlásit, že provádí šifrování jednotky.
Nyní už šifrování běží! K disku se chovejte, jako by byl zašifrovaný (počkejte, až šifrování doběhne).
Restartujeme počítač a přes startem Windows nás BitLocker vyzve k zadání hesla pro odemčení disku.
Pokud byste heslo zapomněli, stiskněte ESC a můžete zadat řetězec z obnovovacího souboru.
Možnost obnovení hesla je důležitá, pokud jste ztratili obnovovací soubor, vytvořte ho znovu. Jestliže obnovovací klíč nemáte a nepamatujete si ani heslo ...no... příště si už obnovovací klíč schováte lépe.
Závěrem si ověříme stav šifrování utilitou manage-bde -status a jak vidíte, ani zmínka o TPM čipu.
Disk máme zašifrovaný, ale nejspíš relativně krátkým heslem, které musíme pořád zadávat. Můžeme se tomu vyhnout, ale musíme se naučit trochu něco o TPM čipu.