Pokud chcete zobrazit článek v angličtině, zaškrtněte políčko Angličtina. Anglickou verzi článku můžete také zobrazit v místním okně přesunutím ukazatele myši nad text.
Překlad
Angličtina

Novinky v BitLockeru

 

Rozsah platnosti: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Toto téma pro pokročilé uživatele a IT profesionály popisuje funkce nástroje BitLocker Drive Encryption, které jsou nové nebo změněné v systémech Windows Server 2012 R2, Windows Server 2012, Windows 8.1 a Windows 8.

V tomto tématu:

V systémech Windows Server 2012 R2 a Windows 8.1 nabízí BitLocker rozšířenou podporu v těchto oblastech:

BitLocker poskytuje podporu pro šifrování zařízení na počítačích x86 a x64 s čipem TPM podporujícím úsporný režim s připojením. Dřív byla tato forma šifrování dostupná jenom na zařízeních s Windows RT.

Šifrování zařízení pomáhá chránit data ve vašem počítači s Windows. Pomáhá zabránit kyberzločincům v přístupu k systémovým souborům, jejichž pomocí chtějí zjistit vaše heslo, případně ve zpřístupnění vašeho disku tak, že by ho fyzicky odebrali z vašeho počítače a nainstalovali do jiného. K Windows se můžete přihlašovat a soubory používat běžným způsobem. Šifrování zařízení chrání jednotku operačního systému a všechny pevné datové jednotky v systému 128bitovým šifrováním AES. Dá se používat s účtem Microsoft nebo doménovým účtem. Pro podporu šifrování zařízení musí systém podporovat úsporný režim s připojením a musí splňovat požadavky sady Windows Hardware Certification Kit (HCK) na čip TPM a zabezpečené spouštění pro systémy s podporou tohoto režimu. Požadavky jsou uvedené v následujících oddílech:

  • System.Fundamentals.Security.DeviceEncryption – obecné požadavky na šifrování zařízení

  • System.Fundamentals – požadavky na systémy podporující úsporný režim s připojením

  • System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby – požadavky na čip TPM 2.0 a zabezpečené spouštění pro systémy podporující úsporný režim s připojením

Na rozdíl od standardní implementace BitLockeru se šifrování zařízení povoluje automaticky, takže zařízení je vždycky chráněné. Následující seznam popisuje, jak se toho dosahuje:

  • Po dokončení čisté instalace Windows 8.1 je počítač připravený na první použití. V rámci této přípravy se na jednotce operačního systému a pevných datových jednotkách v počítači inicializuje šifrování zařízení s nezašifrovaným klíčem (jde o ekvivalent standardního pozastaveného stavu BitLockeru).

  • Pokud zařízení není připojené k doméně, vyžaduje se účet Microsoft s udělenými oprávněními k správě zařízení. Když se správce přihlásí přes účet Microsoft, nezašifrovaný klíč se odebere, na online účet Microsoft se nahraje obnovovací klíč a vytvoří se ochrana čipem TPM. Pokud by zařízení potřebovalo obnovovací klíč, uživateli by se zobrazil pokyn, aby pomocí jiného zařízení přešel na adresu URL pro přístup k obnovovacímu klíči a načetl ho pomocí svých přihlašovacích údajů k účtu Microsoft.

  • Pokud se uživatel přihlásí pomocí doménového účtu, nezašifrovaný klíč se neodebere do té doby, než uživatel připojí zařízení k doméně (na platformě x86 nebo x64) a obnovovací klíč se úspěšně zazálohuje v AD DS (Active Directory Domain Services). Musí být povolené nastavení zásad skupiny Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker\Jednotky operačního systému a měla by být vybraná možnost Nepovolit nástroj BitLocker, dokud nebudou informace pro obnovení uloženy do služby AD DS pro jednotky operačního systému. V této konfiguraci se při připojení počítače k doméně automaticky vytvoří heslo pro obnovení, pak se obnovovací klíč zazálohuje do AD DS, vytvoří se ochrana čipem TPM a odebere se nezašifrovaný klíč.

Další informace o obnovovacím klíči a přístupu k němu najdete v nejčastějších dotazech k obnovovacím klíčům.

Zapnutí nebo vypnutí šifrování zařízení

  1. Pokud jste provedli čistou instalaci Windows 8.1, je šifrování zařízení ve výchozím nastavení zapnuté. Pokud jste upgradovali předchozí instalaci Windows na Windows 8.1, můžete šifrování zařízení zapnout na stránce Informace o počítači.

  2. Stránku Informace o počítači můžete otevřít tak, že potáhnete prstem směrem od pravého okraje obrazovky, klepnete na Nastavení a pak klepnete na Změnit nastavení počítače. (Pokud používáte myši, najeďte do pravého horního rohu obrazovky, posuňte ukazatelem myši směrem dolů, klikněte na Nastavení a pak klikněte na Změnit nastavení počítače.)

  3. Klepněte nebo klikněte na Počítač a zařízení a pak na Informace o počítači. V dolní části stránky Informace o počítači se objeví oblast Šifrování zařízení.

  4. V oblasti Šifrování zařízení vyberte možnost Zapnout.

  5. Šifrování zařízení se nedá vypnout v zařízeních s Windows RT. Pokud chcete z nějakého důvodu ukončit šifrování jiných zařízení, můžete v oblasti Šifrování zařízení na stránce Informace o počítači vybrat možnost Vypnout.

Pokud nechcete, aby zařízení, která nasazujete, byla automaticky chráněná šifrováním zařízení, můžete nakonfigurovat soubor bezobslužné instalace k vynucení následujícího nastavení registru:

  • Cesta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Hodnota: PreventDeviceEncryption rovná se True (1)

  • Typ: REG_DWORD

Šifrování zařízení podléhá nastavením zásad skupiny pro BitLocker. Jeho výchozí konfigurace ale způsobuje konflikt s některými nastaveními zásad skupiny. Následující seznam popisuje nastavení zásad, která byste měli nastavit na možnost Není nakonfigurováno nebo – pokud je necháte nakonfigurovaná – zkontrolovat a zajistit, aby podporovala šifrování zařízení.

  • Nastavení Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker\Jednotky operačního systému\Požadovat při spouštění další ověřování:

    • Jakákoliv možnost, která vyžaduje jinou metodu ověřování při spouštění než čip TPM.

      Výchozí nastavení pro šifrovaná zařízení umožňují výhradně konfiguraci ochrany pomocí klíče TPM. Na počítačích x64 a x86 se systémem Windows je možné po zašifrování zařízení z ovládacího panelu BitLocker přidat další ochranu pomocí položky Změna způsobu odemknutí jednotky při spuštění.

  • Nastavení Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker\Jednotky operačního systému\Zvolit, jakým způsobem lze obnovit jednotky operačního systému chráněné nástrojem BitLocker a Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker\Pevné datové jednotky\Zvolit, jakým způsobem lze obnovit pevné jednotky chráněné nástrojem BitLocker:

    • Šifrování zařízení používá jenom hesla pro obnovení. Pokud u tohoto nastavení zásad skupiny nakonfigurujete možnost Nepovolit 48místné číselné heslo pro obnovení, šifrování zařízení nebude možné, protože jeho jedinou metodou obnovení je heslo pro obnovení.

    • Šifrování zařízení vyžaduje, aby se hesla zálohovala do online umístění úložiště. Pokud nakonfigurujete toto nastavení zásad skupiny bez zaškrtnutí políčka Ukládat informace o obnovení nástrojem BitLocker do služby AD DS, šifrování zařízení nebude možné, protože když je zařízení připojené k doméně, je pro šifrování zařízení nutné, aby se heslo pro obnovení zálohovalo do AD DS.

V systémech Windows Server 2012 R2 a Windows 8.1 využívá ochrana heslem pro obnovení algoritmus kompatibilní se standardem FIPS, což umožňuje lepší správu BitLockeru v režimu FIPS.

System_CAPS_notePoznámka

Americký standard FIPS (Federal Information Processing Standard) definuje požadavky na zabezpečení a interoperabilitu pro počítačové systémy používané federální vládou USA. Standard FIPS 140 definuje schválené kryptografické algoritmy. Standard FIPS 140 taky stanovuje požadavky na generování a správu klíčů.

Informace o nastavení Windows do režimu kompatibilního se standardem FIPS najdete v článku Kryptografie systému: použití FIPS algoritmy splňující pro šifrování, algoritmu hash a podepisování.

Mezi změny ve fungování patří:

  • Když je systém Windows v režimu FIPS, dá se vytvořit ochrana heslem pro obnovení kompatibilní se standardem FIPS, která používá certifikovaný algoritmus.

  • Hesla pro obnovení vytvořená v režimu FIPS ve Windows 8.1 se dají odlišit od hesel pro obnovení vytvořených na jiných systémech.

  • Odemknutí pro obnovení pomocí ochrany heslem pro obnovení využívající algoritmus certifikovaný podle standardu FIPS funguje ve všech případech, ve kterých dosud fungovalo heslo pro obnovení.

  • Když se odemkne svazek pomocí hesla pro obnovení kompatibilního se standardem FIPS, bude tento svazek umožňovat přístup pro čtení i zápis i v režimu FIPS.

  • Ochrany heslem pro obnovení kompatibilní se standardem FIPS se dají exportovat a uložit v režimu FIPS v adresáři AD.

Když jste pro systémovou kryptografii aktivovali kompatibilitu se standardem FIPS v systémech starších než Windows Server 2012 R2 a Windows 8.1, BitLocker bránil vytvoření nebo použití hesel pro obnovení a místo toho vynucoval, aby uživatelé používali obnovovací klíče. Nově může uživatel systémy Windows Server 2012 R2 a Windows 8.1 odemknout pomocí hesla pro obnovení BitLockeru. Dvě možná využití jsou popsaná v tomto seznamu:

  • Heslo pro obnovení se dá vytvořit v režimu FIPS.

    Abyste dosáhli souladu s požadavky standardu FIPS, můžete povolit nastavení místní zásady Kryptografie systému: použití FIPS algoritmy splňující pro šifrování, algoritmu hash a podepisování. Pokud chcete zajistit, aby byl BitLocker pro klientské počítače ve vaší organizaci zapnutý, můžete aktualizovat image pro nasazení Windows tak, aby obsahovaly toto nastavení zásad. Hesla pro obnovení můžete taky dál zálohovat v AD. Pomocí těchto nástrojů pro správu můžete ověřit, jestli se v režimu FIPS pro klientské počítače BitLockeru vytvářejí a ukládají hesla pro obnovení.

  • V režimu FIPS se dá použít heslo pro obnovení.

    Když uživatel ve vaší organizaci potřebuje provést obnovení BitLockerem na svém počítači s Windows 8.1, může získat heslo pro obnovení prostřednictvím zavedených kanálů, jako jsou helpdesk nebo správce IT, zadat ho do rozhraní BitLockeru a pokračovat v práci.

    Odemknutí heslem pro obnovení je plně funkční i v režimu FIPS.

Další informace o tom, jak hesla pro obnovení BitLockeru kompatibilní se standardem FIPS zapadnou do vaší infrastruktury, najdete v článku Příprava organizace na BitLocker: plánování a zásady.

V systémech Windows Server 2012 a Windows 8 nabízí BitLocker rozšířenou podporu pro tyto scénáře:

  • Zřizování BitLockeru

    BitLocker se dá použít k nasazení jednotek do šifrovaného stavu během instalace před voláním instalačního programu.

  • Šifrování jenom využitého místa na disku

    BitLocker nově nabízí dvě metody šifrování, kdy se šifruje buď jenom využité místo na disku, nebo celý svazek. Když se šifruje jenom využité místo na disku, je to mnohem rychlejší, protože na cílovém svazku stačí zašifrovat jenom využité bloky.

  • Změna PIN kódu a hesla standardním uživatelem

    Standardní uživatel může změnit PIN nebo heslo BitLockeru k svazkům operačního systému a heslo BitLockeru k datovým svazkům. To snižuje zátěž interního helpdesku.

  • Síťové odemčení

    Systém s BitLockerem v pevné síti může automaticky odemknout systémový svazek během spouštění (v sítích se systémem Windows Server 2012, které to podporují). To redukuje počet volání na interní helpdesk kvůli zapomenutým PIN kódům.

  • Podpora šifrovaných pevných disků pro Windows

    Podpora BitLockeru pro šifrované pevné disky poskytuje uživatelům známou metodu pro správu šifrování jednotky společně s výhodou používání hardwarového šifrování.

Ve Windows Vista a Windows 7 se BitLocker pro systémové a datové svazky zřizuje po instalaci prostřednictvím rozhraní příkazového řádku manage-bde nebo v uživatelském rozhraní Ovládacích panelů. Ve Windows 8 a Windows 8.1 se BitLocker dá taky snadno zřídit před instalací operačního systému.

Díky tomuto vylepšení můžou správci povolit BitLocker z prostředí Windows Preinstallation Environment (WinPE) před nasazením operačního systému. Dosahuje se toho použitím náhodně generované nezašifrované ochrany pro formátovaný svazek a šifrováním svazku před spuštěním procesu instalace Windows. Pokud se používá možnost šifrování jenom využitého místa na disku (popsaná v následujícím oddílu), trvá tento krok jenom pár sekund, takže dobře zapadá do běžných procesů nasazení.

Pokud správci chtějí zkontrolovat stav BitLockeru pro určitý svazek, můžou se podívat na stav jednotky v apletu BitLocker v Ovládacích panelech nebo v Průzkumníku Windows. Pokud je na jednotce předem zřízený BitLocker, zobrazí se v ovládacím panelu BitLocker stav Čekání na aktivaci se žlutou ikonou vykřičníku. Tento stav znamená, že se při šifrování svazku použila jenom nezašifrovaná ochrana. V takovém případě svazek není chráněný a musí se pro něj přidat zabezpečený klíč, aby se mohl považovat za plně chráněný. Pro přidání odpovídající ochrany pomocí klíče můžete použít ovládací panely, nástroj manage-bde nebo rozhraní API služby WMI. Stav svazku se pak zaktualizuje. Následující tabulka uvádí odpovídající ochrany pomocí klíče, které se můžou přidat pro jednotky, na kterých je předem zřízená ochrana BitLockerem:

Typ jednotky

Ochrana pomocí klíče

Operační systém

Čip TPM

Čip TPM a PIN kód

Spouštěcí klíč (pro systémy bez čipu TPM)

Heslo (pro systémy bez čipu TPM)

Pevná datová jednotka

Automatické odemknutí

Heslo

Čipová karta

Vyměnitelná datová jednotka

Heslo

Čipová karta

Ve Windows 7 vyžaduje BitLocker šifrování všech dat a volného místa na disku. Na větších svazcích může proces šifrování trvat hodně dlouho. Ve Windows 8 a Windows 8.1 se můžou správci rozhodnout, jestli se má šifrovat celý svazek, nebo jenom využité místo. Pokud zvolíte možnost šifrování jenom využitého místa na disku, bude se šifrovat jenom ta část disku, která obsahuje data. Volné místo na disku se šifrovat nebude. Šifrování jenom využitého místa na disku umožňuje, aby se šifrování na prázdných nebo částečně prázdných jednotkách dokončilo mnohem rychleji než v předchozích implementacích BitLockeru. Při zřizování BitLockeru během nasazování Windows je při šifrování jenom využitého místa na disku možné, aby BitLocker zašifroval jednotku za krátkou dobu před instalací operačního systému. Při úplném šifrování se na svazku šifrují data i volné místo – podobně jako funguje BitLocker ve Windows 7 a Windows Vista.

Nová nastavení zásad skupiny pro typ šifrování

Když je na jednotce aktivovaný BitLocker, můžete pomocí nastavení zásad skupiny určit, jestli se má šifrovat jenom využité místo na disku nebo se má použít úplné šifrování. Nastavení zásad skupiny pro šifrování jednotky BitLockerem najdete v Editoru místních zásad skupiny v cestě \Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker.

K dispozici jsou tyto nové zásady skupiny:

  • Pevné datové jednotky\Vynutit typ šifrování jednotky na pevných datových jednotkách

  • Jednotky operačního systému\Vynutit typ šifrování jednotky na jednotkách operačního systému

  • Vyměnitelné datové jednotky\Vynutit typ šifrování jednotky na vyměnitelných datových jednotkách

Když tyto zásady povolíte, můžete určit, jaký typ šifrování se má používat na daném typu jednotky. Pokud tyto zásady nejsou nakonfigurované, může uživatel zvolit metodu šifrování při zapnutí BitLockeru.

Ke konfiguraci BitLockeru pro jednotky operačního systému se vyžadují oprávnění správce. V organizaci, kde počítače spravují IT profesionálové a uživatelé běžně nedostávají oprávnění správce, může být nasazení ochrany čipem TPM a PIN kódem u velkého počtu počítačů dost náročné. Ve Windows 8 se ke konfiguraci BitLockeru dál vyžadují oprávnění správce, ale standardní uživatelé můžou ve výchozím nastavení změnit PIN nebo heslo BitLockeru pro svazek operačního systému nebo heslo BitLockeru pro pevné datové svazky. To dává uživatelům možnost zvolit si PIN kódy a hesla, které se jim budou dobře pamatovat, místo aby si museli zapamatovat posloupnost náhodně generovaných znaků. IT profesionálové díky tomu taky můžou použít stejné počáteční nastavení PIN kódu nebo hesla pro všechny image počítačů. Na druhou stranu to umožňuje, aby si uživatelé zvolili hesla a PIN kódy, které budou náchylnější k uhodnutí, slovníkovým útokům a útokům s využitím sociálního inženýrství, a dává jim to možnost odemknout libovolný počítač, na kterém se ještě používá počáteční PIN nebo heslo. Doporučuje se vyžadovat prostřednictvím zásad skupiny složitost hesel a PIN kódů, abyste zajistili, že uživatelé budou při nastavování hesel a PIN kódů dostatečně opatrní.

Když chtějí standardní uživatelé změnit PIN kód nebo heslo BitLockeru, musí zadat aktuální PIN nebo heslo pro jednotku. Pro případ, že uživatel nezadá aktuální PIN nebo heslo správně, se ve výchozím nastavení toleruje 5 opakovaných pokusů. V případě dosažení tohoto limitu nebude moct standardní uživatel PIN nebo heslo BitLockeru změnit. Čítač opakovaných pokusů se vynuluje, pokud se počítač restartuje nebo pokud PIN nebo heslo BitLockeru resetuje správce.

Možnost měnit PIN kódy a hesla můžete standardním uživatelům zakázat pomocí nastavení zásad skupiny Nepovolit standardním uživatelům změnu PIN kódu nebo hesla. V Editoru místních zásad skupiny ho najdete v cestě \Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Šifrování jednotky nástrojem BitLocker\Jednotky operačního systému.

V systému Windows Server 2012 je přidaná nová možnost ochrany BitLockerem pro svazky operačního systému, která se nazývá Síťové odemčení. Síťové odemčení umožňuje snadnější správu stolních počítačů a serverů s povoleným BitLockerem v prostředí domény tím, že zajišťuje automatické odemknutí svazků operačního systému při restartování systémů připojených k důvěryhodné pevné podnikové síti. Tato funkce vyžaduje, aby měl klientský hardware ve svém firmwaru UEFI implementovaný ovladač DHCP.

Jednotky operačního systému chráněné čipem TPM a PIN kódem vyžadují při restartování počítače nebo obnovení činnosti z režimu hibernace (například když je nakonfigurovaná funkce Wake on LAN) zadání PIN kódu. Požadavek na zadání PIN kódu může podnikům znesnadnit instalaci oprav softwaru na stolní počítače a servery v bezobslužném režimu. Síťové odemčení poskytuje metodu, kterou se na počítačích nakonfigurovaných na použití ochrany klíčem TPM a PIN kódem dá spustit systém Windows bez zásahu uživatele. Síťové odemčení funguje podobně jako ochrana čipem TPM a spouštěcím klíčem. Místo potřeby přečíst spouštěcí klíč z média USB se ale klíč pro síťové odemčení skládá z klíče uloženého na čipu TPM a šifrovaného síťového klíče, který se pošle na server, dešifruje a vrátí klientovi v zabezpečené relaci. Síťový klíč je uložený na systémové jednotce spolu s klíčem relace AES 256 a je šifrovaný 2048bitovým veřejným klíčem RSA certifikátu odemykacího serveru. Síťový klíč se dešifruje pomocí zprostředkovatele na serveru WDS se systémem Windows Server 2012 a vrací se šifrovaný odpovídajícím klíčem relace. V případech, kdy zprostředkovatel síťového odemčení není dostupný, se pro odemknutí jednotky zobrazí standardní obrazovka pro odemčení čipem TPM a PIN kódem. Konfigurace na straně serveru pro povolení síťového odemčení vyžaduje taky zřízení páru 2048bitového veřejného a privátního klíče RSA ve formě certifikátu X.509. Certifikát s veřejným klíčem se musí distribuovat na klientské počítače. Tento certifikát se musí spravovat a nasazovat přes Konzolu pro správu zásad skupiny přímo na řadiči domény se systémem Windows Server 2012. Další informace najdete v tématu Nástroje BitLocker: Povolení síťového odemčení postupy.

BitLocker poskytuje úplné šifrování svazků pro svazky operačního systému Windows a datové svazky s využitím softwarového šifrování. Ve Windows 8 BitLocker taky poskytuje podporu pro nový vylepšený typ úložného zařízení – šifrovaný pevný disk – který se stává stále častější volbou pro nové servery a počítače. Šifrované pevné disky nabízejí úplné šifrování disků, což znamená, že šifrování probíhá na každém bloku fyzického disku. Operace šifrování jsou na šifrovaných pevných discích efektivnější, protože proces šifrování přebírá řadič úložiště na jednotce (neboli probíhá hardwarové šifrování).

Operační systém Windows 8 šifrované pevné disky nativně podporuje prostřednictvím těchto mechanismů:

  • Identifikace: Systém Windows 8 dokáže zjistit, že jednotka je zařízení typu šifrovaný pevný disk.

  • Aktivace: Správa disků ve Windows 8 umožňuje podle potřeby aktivovat a vytvářet svazky a mapovat je na rozsahy nebo pásma.

  • Konfigurace: Windows 8 podle potřeby vytváří svazky a mapuje je na rozsahy/pásma.

  • API: Systém Windows 8 podporuje rozhraní API pro aplikace pro správu šifrovaných pevných disků nezávisle na nástroji BitLocker Drive Encryption.

  • BitLocker: Ovládací panel BitLocker umožňuje uživatelům spravovat šifrované pevné disky stejným způsobem jako jednotky s úplným šifrováním svazků.

Další informace o požadavcích na systém a využití najdete v článku Šifrovaný pevný disk.

Zobrazit: