Genom att använda en återställningsstrategi säkerställer du att användare inte förlorar data. Återställning är viktigt på dataenheter om en användare skulle glömma sitt lösenord eller tappa bort ett smartkort. Om dataenheter konfigureras för automatisk upplåsning är det nödvändigt att använda återställning om nyckeln för automatisk upplåsning som är lagrad på datorn inte kan nås; t.ex. i händelse av hårddiskfel eller om operativsystemet måste installeras om.
När BitLocker-diskkryptering används tillsammans med TPM-säkerhetsmaskinvara (Trusted Platform Module), tillåts inte åtkomst till en enhet med BitLocker om TPM-modulen upptäcker att huvudstartkomponenter har ändrats. Det är dock viktigt att behöriga användare ska kunna dekryptera informationen. Som stöd för detta finns i BitLocker olika återställningsmetoder som kan användas för att få åtkomst till BitLocker-skyddade operativsystemsenheter.
Förutom vid angrepp finns andra tillfällen då BitLocker-skyddade operativsystemsenheter kan behöva återställas. Det kan t.ex. vara:
-
Om den BitLocker-skyddade enheten ska flyttas till en annan dator.
-
Vid uppgradering till ett nytt moderkort med en ny TPM.
-
Vid uppdatering av valfritt ROM (read-only memory).
-
Om TPM-modulen ska stängas av, inaktiveras eller tömmas.
-
Vid uppgradering av kritiska tidigare startkomponenter t.ex. ett BIOS som orsakar att TPM-modulen misslyckas med verifieringen //validation.
-
Om PIN-kod används och användaren glömmer PIN-koden.
-
Om USB-flashminnet med startnyckeln förkommer när autentisering med startnyckel har aktiverats.
Om du skapar en plan för att hålla reda på återställningsmetoder för varje dator kan du återställa data om det skulle behövas. Genom att administrativt styra användningen av återställningsmetoder gör du det också svårt för obehöriga att komma åt skyddade data.
Med en grupprincip kan administratören välja vilka återställningsmetoder som ska krävas, inaktiveras eller bli valfria för dem som använder installationsguiden för BitLocker-konfiguration för aktivering av BitLocker. Administratörer t.ex. kan kräva att återställningslösenordet för operativsystemsenheten lagras i Active Directory Domain Services (AD DS). Med grupprincip kan administratören även bestämma om återställningslösenordet även kan sparas i en fil på en enhet, skrivas ut, visas som text eller om återställningsnyckeln kan skrivas på en USB-flash-enhet. BitLocker kan enkelt läsa informationen från en USB-flash-enhet vid återställningen eller återställningslösenordet kan skrivas av en användare. Båda metoderna gör att användare återfår åtkomst till den skyddade enheten utan hjälp av administratör.
Ytterligare referenser
