Proč je třeba implementovat strategii obnovení pro šifrování jednotky nástrojem BitLocker?

Strategie pro obnovení pomáhá zaručit, že uživatelé nepřijdou o svá data. Obnovení je důležité u datových jednotek v případě, že uživatel zapomene heslo nebo ztratí čipovou kartu. Pokud jsou datové jednotky nakonfigurovány na automatické odemknutí, je obnovení nezbytné v případě ztráty klíče pro automatické odemknutí uloženého v počítači, například při selhání pevného disku či přeinstalaci operačního systému.

Při použití nástroje BitLocker Drive Encryption k ochraně jednotky operačního systému počítače vybaveného zabezpečovacím hardwarem TPM (Trusted Platform Module) není povoleno spuštění operačního systému, pokud čip TPM zjistí neoprávněnou manipulaci se základními spouštěcími součástmi. Je však důležité, aby autorizovaní uživatelé mohli data dešifrovat. Za účelem zajištění podpory tohoto požadavku poskytuje nástroj BitLocker různé metody obnovení, které lze použít k opětovnému získání přístupu k jednotkám s operačním systémem chráněným nástrojem BitLocker.

Kromě škodlivého útoku existují ještě další scénáře, které by mohly vyžadovat obnovení jednotky operačního systému chráněné nástrojem BitLocker. Může mezi ně patřit:

  • Přesunutí jednotky chráněné nástrojem BitLocker do nového počítače

  • Upgrade základní desky počítače na novou desku s novým čipem TPM

  • Aktualizace volitelné paměti jen pro čtení (ROM) (komponenty ROM)

  • Vypnutí, zakázání nebo vymazání čipu TPM

  • Upgrade součástí nezbytných pro počáteční fázi spouštění počítače (jako je například systém BIOS), které způsobují chybu ověření čipem TPM

  • Zapomenutí PIN kódu v případě, kdy je zapnuto ověřování pomocí tohoto kódu

  • Ztráta jednotky USB Flash obsahující spouštěcí klíč v případě, že je zapnuto ověřování pomocí spouštěcího klíče

Vytvořením plánu pro uchovávání záznamů o metodách obnovení, které jsou k dispozici pro každý počítač, budete mít možnost v případě potřeby data obnovit. Řízením použití metod obnovení na základě správy můžete zabránit neautorizovaným uživatelům v získání přístupu k chráněným datům.

Pomocí zásad skupiny může správce zvolit, které metody obnovení budou vyžadovány, zakázány nebo nastaveny jako volitelné pro uživatele, kteří k povolení nástroje BitLocker používají Průvodce nastavením nástroje BitLocker. Správci mohou například vyžadovat, aby bylo heslo pro obnovení jednotky operačního systému uloženo ve službě Active Directory Domain Services (AD DS). Pomocí zásad skupiny může správce rovněž určit, zda je možné heslo pro obnovení uložit také do souboru na disku, vytisknout, zobrazit jako text nebo zda smí být obnovovací klíč zapsán na jednotku USB Flash. Nástroj BitLocker může při obnovení snadno načíst informace z jednotky USB Flash, případně může heslo pro obnovení zadat uživatel, přičemž oba dva způsoby umožňují uživatelům obnovit přístup k chráněné jednotce bez pomoci správce.

Další odkazy