Hvis du planlægger en strategi for genoprettelse af data, er det med til at sikre, at brugerne ikke mister deres data. Genoprettelse er vigtigt på datadrev, hvis en bruger f.eks. glemmer sin adgangskode eller mister sit chipkort. Hvis datadrev er konfigureret til automatisk oplåsning, er genoprettelse nødvendig, hvis den nøgle til automatisk oplåsning, som er lagret på computeren, går tabt, f.eks. hvis der opstår fejl på harddisken eller operativsystemet er blevet geninstalleret.
Når BitLocker-drevkryptering bruges til at beskytte operativsystemdrevet på en computer med TPM-sikkerhedshardware (Trusted Platform Module), kan operativsystemet ikke starte, hvis TPM registrerer, at der er blevet ændret i vigtige startkomponenter. Men det er stadig vigtigt, at autoriserede brugere kan dekryptere dataene. BitLocker indeholder derfor forskellige metoder til genoprettelse, som kan bruges til at opnå adgang til BitLocker-beskyttede operativsystemdrev.
Foruden et skadeligt angreb er der andre scenarier, der kan kræve genoprettelse af et BitLocker-beskyttet operativsystemdrev. Disse scenarier kan omfatte:
-
Flytning af et BitLocker-beskyttet drev til en ny computer.
-
Opgradering af motherboard til en ny med en ny TPM.
-
Opdatering af ekstra ROM.
-
Slukning, deaktivering eller rydning af TPM'en.
-
Opgradering af vigtige startkomponenter, der bruges tidligt i starten, f.eks. en BIOS, som medfører, at TPM ikke valideres.
-
Hvis du glemmer PIN-koden, når bekræftelse af PIN-kode er aktiveret.
-
Hvis du mister USB-flashdrevet, der indeholder startnøglen, når bekræftelse af startnøgle er aktiveret.
Ved oprettelse af en plan til registrering af de genoprettelsesmetoder, der findes for hver computer, kan du genoprette data, når der er brug for det. Og ved administrativt at kontrollere brug af genoprettelsesmetoder kan du forhindre, at uautoriserede personer får adgang til beskyttede data.
Ved brug af Gruppepolitik kan en administrator vælge, hvilke gendannelsesmetoder der er obligatoriske, forbudt eller valgfrie for de brugere, som bruger guiden Konfigurer BitLocker til at aktivere BitLocker. Administratorer kan f.eks. kræve, at genoprettelsesadgangskoden til operativsystemdrevet gemmes i AD DS (Active Directory Domain Services). Ved hjælp af Gruppepolitik kan administratoren også bestemme, om genoprettelsesadgangskoden også kan gemmes i en fil på disken, udskrives eller vises som tekst, eller om genoprettelsesnøglen kan skrives på et USB-flashdrev. BitLocker kan nemt læse oplysninger fra et USB-flashdrev under genoprettelsen, eller genoprettelsesadgangskoden kan angives af en bruger. Begge dele gør det muligt for brugeren at få adgang til det beskyttede drev uden hjælp fra en administrator.
Flere referencer
