Další informace o šifrování jednotky nástrojem BitLocker

Nástroj BitLocker Drive Encryption zajišťuje ochranu jednotek operačního systému, pevných datových jednotek a vyměnitelných datových jednotek, které byly ztraceny nebo odcizeny. Nástroj BitLocker to provádí šifrováním obsahu jednotek a vyžadováním od uživatelů, aby ověřovali svá pověření k přístupu k příslušným informacím. Na jednotce, na které je nainstalován systém Windows, zjišťuje nástroj BitLocker pomocí čipu TPM (Trusted Platform Module), zda nebyl úmyslně poškozen důležitý proces spouštění počítače. Kromě toho lze od uživatelů, kteří chtějí získat přístup k datům na jednotce, vyžadovat zadání PIN kódu nebo spouštěcího klíče. U pevných a vyměnitelných datových jednotek mohou uživatelé získat přístup k jednotce chráněné nástrojem BitLocker pomocí hesla, pomocí čipové karty nebo automatickým odemknutím jednotky.

Nástroj BitLocker pro jednotky operačního systému je navržen tak, aby spolupracoval se systémy s kompatibilním zabezpečovacím hardwarem TPM a systémem BIOS. Za účelem zajištění kompatibility s nástrojem BitLocker musí výrobci počítačů dodržovat standardy definované organizací TCG (Trusted Computing Group). Další informace o organizaci TCG (Trusted Computing Group) naleznete na webu této organizace (http://go.microsoft.com/fwlink/?LinkId=67440).

Zapnutí nástroje BitLocker

Průvodce nastavením nástroje BitLocker, kterého lze spustit z Ovládacích panelů nebo pomocí programu Průzkumník Windows, umožňuje zapnout nástroj BitLocker na pevné nebo vyměnitelné datové jednotce nainstalované v počítači nebo na jednotce operačního systému počítačů s kompatibilním čipem TPM. Pokud chcete zapnout nástroj BitLocker na jednotce operačního systému v počítači bez čipu TPM nebo použít jiné funkce a možnosti nástroje BitLocker, můžete upravit nastavení zásad skupiny nástroje BitLocker, které určuje, k jakým funkcím je možné získat přístup prostřednictvím Průvodce nastavením nástroje BitLocker.

V počítačích s kompatibilním čipem TPM lze jednotky operačního systému chráněné nástrojem BitLocker odemknout čtyřmi způsoby:

  • Pouze čip TPM: Při použití ověření pouze čipem TPM není k získání přístupu k jednotce a k dešifrování jejího obsahu nutná žádná interakce s uživatelem. Pokud je ověření pomocí čipu TPM úspěšné, je postup přihlašování uživatele stejný jako při standardním přihlášení. V případě, že čip TPM chybí nebo je změněn, nebo pokud tento čip zjistí změny nepostradatelných spouštěcích souborů operačního systému, přejde nástroj BitLocker do režimu obnovení a pro získání přístupu k datům bude nutné zadat heslo pro obnovení.

  • Čip TPM se spouštěcím klíčem: Kromě ochrany zajišťované čipem TPM je část šifrovacího klíče uložena na jednotce USB Flash. Tato část je označována jako spouštěcí klíč. K datům na šifrovaném svazku nelze bez spouštěcího klíče získat přístup.

  • Čip TPM s PIN kódem: Kromě ochrany zajišťované čipem TPM vyžaduje nástroj BitLocker také zadání osobního identifikačního čísla (kódu PIN) uživatelem. K datům na šifrovaném svazku nelze bez zadání PIN kódu získat přístup.

  • Čip TPM se spouštěcím klíčem a PIN kódem: Tuto volbu lze nakonfigurovat pouze pomocí nástroje příkazového řádku Manage-bde. Kromě ochrany základních součástí zajišťované čipem TPM je část šifrovacího klíče uložena na jednotce USB Flash a k ověření uživatele pro čip TPM je nutné zadat PIN kód. Tím je dosaženo vícefaktorového ověřování, při kterém je zajištěno, že pokud je klíč USB ztracen nebo odcizen, nemůže být použit k získání přístupu k jednotce, protože je zapotřebí také správný PIN kód.

    Poznámka

    • S nástrojem BitLocker doporučujeme používat vždy výchozí ovladač čipu TPM systému Windows. Jestliže je nainstalován ovladač čipu TPM od jiné společnosti než Microsoft, může to zabránit zavedení výchozího ovladače čipu TPM a způsobit, že bude nástroj BitLocker hlásit, že počítač není čipem TPM vybaven. V takovém případě nebude moci nástroj BitLocker čip TPM použít. Jestliže je nastavení zásad skupiny nakonfigurováno tak, aby bylo vyžadováno použití nástroje BitLocker společně s čipem TPM, nebude možné nástroj BitLocker zapnout, dokud nebude ovladač od jiné společnosti než Microsoft odebrán.

Chcete-li použít nástroj BitLocker k ochraně jednotky operačního systému v počítači bez čipu TPM, je k dispozici následující možnost:

  • Pouze spouštěcí klíč: Všechny požadované informace o šifrovacím klíči jsou uloženy na jednotce USB Flash. Uživatel musí během spouštění jednotku USB Flash připojit k počítači. Klíč uložený na jednotce USB Flash počítač odemkne. Pokud počítač není vybaven čipem TPM, jsou všechny informace potřebné ke čtení obsahu šifrované jednotky obsaženy ve spouštěcím klíči. Použití čipu TPM je doporučený způsob, protože pomáhá chránit počítač před útoky zaměřenými na důležité spouštěcí procesy počítače.

Při zapnutí nástroje BitLocker na pevných nebo vyměnitelných datových jednotkách může nástroj BitLocker použít následující metody odemknutí:

  • Heslo: K odemknutí pevných datových jednotek (jako jsou interní pevné disky) a vyměnitelných datových jednotek (například externí pevné disky a jednotky USB flash) můžete použít heslo. K nastavení minimální délky hesla lze použít nastavení zásad skupiny.

  • Čipová karta: Chcete-li čipovou kartu používat s nástrojem BitLocker, potřebujete pro ni kompatibilní certifikát. Nástroj BitLocker příslušný certifikát vybere automaticky. Výjimkou je případ, kdy máte více kompatibilních certifikátů a je tedy nutné vybrat, který z nich chcete použít.

    Poznámka týkající se zabezpečení

    • Při šifrování jednotky pomocí čipové karty je na jednotce vytvořen ochranný prvek založený na certifikátu. Tento ochranný prvek obsahuje určité nezašifrované informace potřebné k odemknutí jednotky. Veřejný klíč a kryptografický otisk certifikátu, který byl použit k šifrování jednotky, je uložen v nezašifrované podobě v metadatech ochranného prvku na jednotce. Tyto informace lze použít k identifikaci certifikační autority (CA), která certifikát vystavila.

  • Automaticky odemknout: Pevné datové jednotky zašifrované nástrojem BitLocker lze nakonfigurovat tak, aby se při přihlášení k systému Windows automaticky odemkly. Možnost automatického odemknutí pro vyměnitelné datové jednotky lze vybrat po zašifrování příslušné jednotky. Automatické odemknutí pevných datových jednotek je možné pouze v případě, že je jednotka, na níž je nainstalován systém Windows, rovněž zašifrována nástrojem BitLocker.

Přístup k obsahu na datových jednotkách chráněných nástrojem BitLocker

Po zajištění ochrany datové jednotky pomocí nástroje BitLocker je přístup k této jednotce před zobrazením jejího obsahu ověřován. Pevné datové jednotky lze automaticky odemknout po odemknutí jednotky operačního systému. Pokud se jednotka automaticky neodemkne, můžete kliknutím na příkaz Počítač zobrazit jednotky v počítači, kliknout pravým tlačítkem myši na požadovanou jednotku a potom kliknout na příkaz Odemknout, nebo použít Ovládací panel BitLocker Drive Encryption. V závislosti na metodě ověřování nakonfigurované pro příslušný počítač se jednotka automaticky odemkne nebo se zobrazí výzva k použití čipové karty či zadání hesla. Jestliže jsou do počítače vloženy vyměnitelné datové jednotky a je zjištěno, že je příslušná jednotka chráněna nástrojem BitLocker, zobrazí se výzva k zadání hesla nebo vložení čipové karty.

Možnosti obnovení

Za účelem zamezení ztráty přístupu k jednotkám chráněným nástrojem BitLocker v případě selhání čipu TPM, zapomenutí hesla nebo ztráty čipových karet či klíčů USB je důležité poskytnout správcům prostředky pro získání přístupu k jednotkám chráněným nástrojem BitLocker. Nástroj BitLocker podporuje následující metody obnovení přístupu k chráněným jednotkám:

  • Obnovovací klíč nebo heslo pro obnovení: S nástrojem BitLocker můžete použít obnovovací klíč nebo heslo pro obnovení. Pokud není k dispozici klíč nástroje BitLocker, například v případě ztracené čipové karty nebo zapomenutého uživatelského hesla, lze k odemknutí chráněné jednotky použít 48místné heslo pro obnovení. K odemknutí chráněné jednotky je možné použít místo hesla také obnovovací klíč uložený do souboru na vyměnitelném médiu, například na jednotce USB Flash.

  • Záloha klíčů uložená ve službě Active Directory Domain Services: Hesla pro obnovení nástroje BitLocker můžete uložit ve službě Active Directory Domain Services. Díky tomu mohou správci, například pracovníci podpory helpdesk, pomoci uživatelům, kteří zapomenou nebo ztratí své heslo pro obnovení, obnovit jednotky chráněné nástrojem BitLocker.

  • Agent obnovování dat: Agent obnovování dat je pověřená osoba, například správce systému, která může pomocí svých pověření pro správu odemykat jednotky chráněné nástrojem BitLocker. Pro nástroj BitLocker nejsou nakonfigurováni výchozí agenti obnovování dat a agenti obnovování dat nejsou ve výchozím nastavení ani povoleni. Je nutné je povolit a nakonfigurovat pomocí zásad skupiny.

Další odkazy