Windows Client

BitLocker Drive Encryption without TPM

Veri hırsızlığının ve bu suça karşı alınan önlemlerin arttığı şu günlerde Microsoft, geliştirmiş olduğu farklı ve oldukça güçlü bir yöntemle Vista kullanıcılarına BitLocker Drive Encryption adlı şifreleme altyapısını sunuyor. Bu makalede BitLocker Drive Encryption aracının nasıl uygulandığını inceleyeceğiz.

Veri hırsızlığının ve bu suça karşı alınan önlemlerin arttığı şu günlerde Microsoft, geliştirmiş olduğu farklı ve oldukça güçlü bir yöntemle Vista kullanıcılarına BitLocker Drive Encryption adlı şifreleme altyapısını sunuyor. EFS’den farklı olarak PKI kullanmıyor ve sadece dosyaları şifrelemekle kalmıyor. Tüm diski şifreleyen bu sistem sayesinde sabit diskin çalınması durumunda verilere erişim riski de ortadan kalkmış bulunuyor. Bu adımda bir hatırlatma yapmak istiyorum; BitLocker Vista’nın sadece Enterprise ve Ultimate versiyonları tarafından destekleniyor. Öncelikle, BitLocker’ın kullanılabilmesi için sisteminizde bazı donanımlara ihtiyaç duyuluyor. Bunlardan ilki, USB Mass Storage Device Class destekli BIOS; ikincisi, sistem bölümü dışında yaklaşık 2GB’lık NTFS bölümü ve anakart üzerinde bulunması gereken TPM 1.2 (Trusted Platform Module) çip. Bu çip sayesinde şifrelenen diskinizin anahtarı, işletim sisteminiz henüz başlamadan okunup şifrenin çözülmesi sağlanıyor.

Peki, anakartınız TPM 1.2 çipine sahip değilse BitLocker’ın kullanılması mümkün olamayacak mı? Tabiki olacak! Fakat bunun için anahtarı yazacak başka bir donanıma ihtiyacınız olacak ki bu donanım bir usb flash disk’den daha fazlası değil. TPM çipine yazılması gereken anahtar usb flash diskinize yazılabiliyor. Böylece sisteminizi başlatırken bu usb diskin bilgisayarınıza takılı olması gerekiyor ki anahtar okunabilsin. Aksi halinde sisteminizi açabilmek için başka yollara başvurmanız gerekiyor. Dilerseniz TPM olmadan usb flash disk ile BitLocker Drive Encryption işleminin nasıl gerçekleştirileceğine bakalım.

image001

Resim 1

İlk olarak BitLocker için hazırlık yapmamız gerekiyor. Çnükü BitLocker’i aktif hale getirmek istediğinizde geçerli TPM çipine sahip olmadığınızı belirten bir uyarı alırsınız. Bunu, Group Policy’den yapacağımız küçük bir değişiklikle önleyebiliyoruz. Yapacağımız bu konfigürasyonla BitLocker’ı TPM ile değil usb disk ile gerçekleştirmek istediğimizi belirtmiş olacağız. Group Policy Editor yardımı ile (gpedit.msc) Computer Configuration > Administrative Template > Windows Components > Bitlocker Drive Enctryption yolunu izleyerek “Control Panel Setup: Enable advanced startup options” policy’sini enable edelim. Burada dikkat edilmesi gereken şey “Allow BitLocker without a compatible TPM” onay kutusunun işaretli olmasıdır (Resim 1). Grup Policy konfigürasyonumuzu uyguladıktan sonra ikinci adıma geçelim.

image002

Resim 2

Bu adımda Windows update ile birlikte gelen Ekstra’lardan BitLocker Drive Encryption Preparation Tool’u indirip kurmamız yeterli olacaktır. Bu araç sadece windows update arayüzünden indirilebildiği için microsoft’un dowload sitesinde bulunmadığını hatırlatmak isterim. En azından şimdilik… (Resim 2).

image003

Resim 3

Kurulumu başlatmak için start menu’de bulunan search alanına Bitlocker yazmanız sizi gerekli kısayola götürecektir. BitLocker Preparation Tool’u çalıştırdığınızda hazırlık işlemi başlamış demektir (Resim 3).

image004

Resim 4

Anlaşmayı kabul ettikten sonra gelen uyarı kutusunda, C: sürücüsü üzerinde yeni bir bölüm oluşturacağını , işleme başlamadan önce bilgilerin yedeklenmesini, yapılacak işlemin birleştirme gerektirebileceğinden dolayı uzayabileceğini ve oluşturulacak yeni bölüme verilerin kaydedilmemesi gerektiği belirtilmektedir. Yeni oluşturulacak olan bölüm S: harfini alacak ve işletim sisteminin başlayabilmesi için gerekli dosyaları içerecektir. Yani S: sürücüsü BitLocker ile şifrelenmeyecektir. Gerekli uyarıları dikkate aldıktan sonra continue butonuna tıklayarak devam edelim (Resim 4).

image005

image006

Resim 5 ve 6

İşlem bittikten sonra Disk Management arayüzünden diskimizin Resim 6’daki gibi bölündüğünü görüyozuz. Dikkat ederseniz C: bölümünün BitLocker için hazır olduğunu belirten ibareyi ve S: bölümünse sistem bölümü olduğunu göreceksiniz (Resim 5 ve 6). Hazırlık aşaması bittikten sonra BitLocker ile diskimizi şifreleme işlemine başlayabiliriz.

image007

Resim 7

Bunun için Control Panel’de bulunan BitLocker Drive Encryption simgesine tıklıyoruz. Karşımıza Resim 7’de görüldüğü üzere BitLocker’ın henüz aktif edilmediği, Turn On BitLocker linkini tıklıyarak aktif edebileceğimiz bir arayüz çıkıyor. Linki tıklayarak işlemi başlatıyoruz.

image008

Resim 8

İlk adımda TPM çipine sahip olmadığımızı, başlatma anahtarını bir usb diske yazması gerektiğini ve bu diskin her açılışta bilgisayarınıza takılı olmasını belirten bir mesaj görüyoruz. Tek seçilebilir durumda olan “Require Startup USB key at every startup” seçeneğini tıklayarak ilerliyoruz (Resim 8).

image009

Resim 9

Sonraki adımda başlatma anahtarını saklayacağımız usb flash diski gösterip Save buttonunu tıklayarak sonraki adıma geçiyoruz (Resim 9).

image010

image011

Resim 10 ve 11

Bu adımda “Ya flash disk bozulur veya kaybolursa bilgisayarımı başlatamayacak mıyım?” sorusuna yanıt vermek amacı ile kurtarma parolasını bir başka taşınabilir diske veya yazıcıdan çıktı almak suretiyle bir kağıda yazdırmak için gerekli seçimin yapılması isteniyor. Eğer verilerinizin önemli olduğunu düşünüyorsanız (ki öyle) kurtarma parolasını hem kağıda hem de başka bir diske yazdırmanızı tavsiye ederim. “Save the password in a folder” seçeneğini tıklayarak parolanın saklanacağı bir başka lokasyon gösterip parolanın kaydedildiğine dair çıkan uyarı penceresini onaylayarak sonraki adıma geçiyoruz (Resim 10 ve 11).

image012

Resim 12

Bu adımda ise BitLocker’ın usb diske yazdığı başlangıç anahtarının okunup okumamayacağını test etmek amacı ile bilgisayarın yeniden başlatılması gerektiği belirtiliyor. Continue butonuna tıklayarak devam edelim (Resim 12).

image013

Resim 13

BitLocker başlangıç anında usb flash diskteki başlangıç anahtarını okuyabilirse “ BitLocker Drive Encyription key loaded, Please remove media” şeklinde bir mesaj görüntüleyip normal bir şekilde açıldıktan hemen sonra disk şifreleme işlemi başlıyor. Yapmış olduğum denemede BitLocker’ın sabit diski yaklaşık olarak 1 saatte şifrelediğini gözönünde tutarak bu işlemi uygun bir zamanda gerçekleştirmenizi tavsiye ederim (Resim 13).

image014

Resim 14

Eğer bilgisayar usb disk olmadan başlatılırsa diske yazdığı anahtarı okuyamamayacağından dolayı boot ekranında karşımıza Resim 14’deki görüntü çıkıyor. Burada, BitLocker’in anahtara ihtiyacı olduğunu, anahtarı barındıran diskin takılmasını ve yeniden başlatmak için ESC tuşuna basılması gerektiğini belirtiyor. Bu durumda usb disk takılırsa ESC tuşu ile sistem yeniden başlatılmalı ve anahtarın okunması sağlanmalıdır.

image015

Resim 15

Eğer usb disk arızalanmış ya da kaybolmuşsa önceden tanımlamış olduğumuz kurtarma parolasını girmek üzere Enter tuşuna basmamız ve Resim 15’de görülen boşluklara bu parolayı yazmamız gerekmektedir. Parola giriş işlemi tamamlandıktan sonra sistem normal açılış seyrine devam edecektir. Sistem açıldıktan sonra BitLocker arayüzünü kullanarak yeni bir başlangıç anahrarı oluşturabilir, bu anahtarın kopyalarını yukarıda belittiğim şekilde yedekleyebiliriz.

Görüldüğü üzere, TPM çipine sahip olmadığımız durumlarda usb flash disk ile BitLocker Drive Encryption’ın güvenli bir şekilde çalışmasını sağlamış olduk.

Bir başka makalede görüşmek dileği ile…

Seymen URAL

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu