Coraz częściej pojawia się potrzeba zabezpieczenia danych systemu operacyjnego oraz danych przechowywanych na dyskach twardych stacji roboczych i serwerach Windows. Do pewnego momentu mieliśmy do wyboru wyłącznie rozwiązania firm trzecich, takie jak TrueCrypt lub Symantec Endpoint Encryption. W wersjach Microsoft Windows Vista oraz Windows Server 2008 pojawiła się funkcja systemu operacyjnego, pozwalająca na szyfrowanie całych dysków twardych lub poszczególnych woluminów - BitLocker Disk Encryption (BDE). W wersji Microsoft Windows 7 oraz Windows Server 2008 R2 dodano natomiast bardzo oczekiwane usprawnienie tej opcji bezpieczeństwa - BitLocker To Go (BTG), który objął ochroną również dyski wymienne oraz pendrajwy.

Bezpieczny twardy dysk

Zabezpieczenie magazynów pamięci masowej za pomocą funkcji BDE polega na szyfrowaniu całych dysków za pomocą algorytmu kryptograficznego. W środowisku Windows, użytkowanym na mobilnej stacji roboczej lub na serwerze, który działa w miejscu o niższym stopniu zabezpieczeń fizycznych, BDE zapewnia poziom ochrony danych umożliwiający administratorowi szyfrowanie zarówno woluminu systemu operacyjnego, jak i dodatkowych woluminów danych. Jednocześnie administrator może wprowadzić uzupełniające zabezpieczenie, polegające na autoryzowaniu każdego uruchomienia systemu operacyjnego Windows za pomocą hasła (PIN-u).

Mechanizm BDE wykorzystuje czip Trusted Platform Module (obecnie w wersji 1.2), dzięki czemu zapewnia dodatkową ochronę i obsługę algorytmów kryptograficznych i haszujących. Układ ten obsługuje zaawansowane algorytmy kryptograficzne, np. AES, RSA, SHA1, HMAC, wyposażony jest w generator liczb losowych, a ponadto potrafi obliczyć sumę kontrolną wykonywanego przez procesor kodu. Aby uruchomić system znajdujący się na woluminie zaszyfrowanym za pomocą Windows BitLocker, konieczne jest wpisanie numeru PIN. Po jego wprowadzeniu następuje odczytanie kluczy szyfrujących wolumin z zainstalowanym systemem operacyjnym. Dane na woluminach systemowych oraz na woluminach z danymi są zabezpieczone algorytmem AES - w zależności od konfiguracji - o długości klucza 128 lub 256 bitów.

Dodatkową funkcją dostępną w BDE jest ochrona integralności plików systemu operacyjnego, Master Boot Recordu i sektora rozruchowego NTFS podczas ładowania systemu operacyjnego, a także przed bootowaniem. W przypadku, gdy atakujący umieściłby złośliwy kod w jednym z plików służących do ładowania systemu operacyjnego, BitLocker wykryje taką zmianę poprzez sprawdzenie sumy kontrolnej i zablokuje start systemu operacyjnego. Należy pamiętać, że ta funkcja, jak również część pozostałych związanych z BDE, jest dostępna wyłącznie wtedy, gdy płyta główna zawiera moduł TPM 1.2.

[...]

Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa.