BitLocker’a Genel Bakış
Uygulama Alanı: Windows Server 2012, Windows 8
Bu konu, yeni ve değiştirilen özellikler, sistem gereksinimleri, pratik uygulamalar ve kullanım dışı özelliklerin listesi dahil olmak üzere BitLocker’a üst düzey bir genel bakış sağlar. BitLocker ile çalışma hakkında daha fazla bilgi edinmenize yardımcı olacak ek içeriklere bağlantılar sağlar.
Şunu mu demek istediniz...
Özellik açıklaması
İlk kez Windows Vista için sunulan BitLocker Sürücü Şifrelemesi, bir işletim sistemi veri koruma özelliğidir. Sonraki işletim sistemi sürümleri, BitLocker korumasını daha fazla sürücüye ve aygıta sağlayarak BitLocker tarafından sunulan güvenliği geliştirmeye devam etti. İşletim sistemiyle tümleştirilen BitLocker, veri hırsızlığı veya kayıp, çalınmış ya da uygun olmayan bir şekilde kullanımdan alınmış bilgisayarlar yüzünden verilerin açığa çıkması gibi tehditlerle ilgilenir. Manage-bde, bilgisayarda BitLocker ile ilişkili görevler gerçekleştirmek için de kullanılabilen bir komut satırı aracıdır. Bir sunucuya isteğe bağlı BitLocker bileşenini yüklerken, donanım şifrelemeli sürücüleri desteklemek için kullanılan Geliştirilmiş Depolama özelliğini de yüklemeniz gerekir. BitLocker Ağ Üzerinden Kilit Açma, sunuculara yüklenebilecek ek bir BitLocker özelliğidir.Windows RT, Windows RT 8.1, veya Windows 8.1 çalıştıran bilgisayarlar, özelleştirilmiş bir BitLocker sürümü olan Cihaz Şifrelemesi kullanılarak korunabilir.
BitLocker en etkili korumayı Güvenilir Platform Modülü (TPM) 1.2 veya sonraki sürümleriyle birlikte kullanıldığında sağlar. TPM, birçok yeni bilgisayara üreticileri tarafından yüklenen bir donanım bileşenidir. Kullanıcı verilerinin korunmasına ve sistem çevrimdışıyken bilgisayara müdahale edilmediğinden emin olmaya yardımcı olmak için BitLocker ile birlikte çalışır.
TPM 1.2 veya sonraki bir sürümü bulunmayan bilgisayarlarda Windows işletim sistemi sürücüsünü şifrelemek için BitLocker kullanmaya devam edebilirsiniz. Ancak bu uygulama için kullanıcının bilgisayar başlatılırken veya hazırda bekleme modundan sürdürülürken bir USB başlangıç anahtarı takması gerekir.Windows 8 için, işletim sistemi birimi parolası kullanmak TPM bulunmayan bir bilgisayarda işletim sistemi birimini korumanın bir diğer yoludur. İki seçenek de TPM ile birlikte çalışan BitLocker’ın sunduğu başlatma öncesi sistem bütünlüğü doğrulamasını sağlamaz.
TPM’ye ek olarak BitLocker, kullanıcı bir kişisel kimlik numarası (PIN) sağlayana veya içinde bir başlangıç anahtarı barındıran USB flash sürücü gibi çıkarılabilir bir cihaz takana kadar normal başlangıç işlemini kilitleme seçeneği sunar. Bu ek güvenlik önlemleri çok faktörlü kimlik doğrulaması sağlar ve bilgisayarın doğru PIN veya başlangıç anahtarı sağlanana kadar başlatılamayacağının ya da hazırda bekleme modundan sürdürülemeyeceğinin güvencesini verir.
Pratik uygulamalar
Kayıp veya çalınan bir bilgisayarda bulunan verirler bir yazılım saldırı aracı kullanarak veya bilgisayarın sabit diski başka bir bilgisayara aktarılarak gerçekleştirilecek izinsiz erişimlere karşı savunmasızdır. BitLocker, dosya ve sistem korumalarını geliştirerek yetkilendirilmemiş veri erişimlerini azaltır. BitLocker ayrıca, BitLocker ile korunan bilgisayarlar kullanımdan alındığında veya geri dönüştürüldüğünde verilerin erişilemez hale getirilmesine yardımcı olur.
Uzak Sunucu Yönetim Araçları’nda, BitLocker’ı yönetmek için kullanabileceğiniz iki ek araç vardır.
BitLocker Kurtarma Parolası Görüntüleyici. BitLocker Kurtarma Parolası Görüntüleyici, Active Directory Etki Alanı Hizmetleri’nde yedeklenmiş BitLocker Sürücü Şifrelemesi kurtarma parolalarını bulmanızı ve görüntülemenizi sağlar. Bu aracı, BitLocker kullanılarak şifrelenmiş bir sürücüde depolanmış verileri kurtarmak için kullanabilirsiniz. BitLocker Kurtarma Parolası Görüntüleyici, Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu (MMC) eklentisi için bir uzantıdır.
Bu aracı kullanarak, bir bilgisayar nesnesinin Özellikler iletişim kutusunu inceleyip karşılık gelen BitLocker kurtarma parolalarını görüntüleyebilirsiniz. Bunun yanı sıra, etki alanı kapsayıcısına sağ tıklayıp bir BitLocker kurtarma parolasını Active Directory ormanında bulunan tüm etki alanları genelinde arayabilirsiniz. Kurtarma parolalarını görüntülemek için etki alanı yöneticisi olmanız veya bir etki alanı yöneticisi tarafından izinler için temsilci atanmış olmanız gerekir.
BitLocker Sürücü Şifrelemesi Araçları. BitLocker Sürücü Şifrelemesi Araçları, manage-bde ve repair-bde komut satırı araçlarını ve Windows PowerShell için BitLocker cmdlet’lerini içerir. Hem manage-bde hem de BitLocker cmdlet’leri, BitLocker denetim masası üzerinden yapılabilecek tüm görevleri gerçekleştirmek için kullanılabilir. Ayrıca, bunlar otomatik dağıtım ve diğer betik senaryoları için de kullanılabilir. Repair-bde, bir BitLocker korumalı sürücünün kilidinin normal şekilde veya kurtarma konsolu kullanarak açılamadığı olağanüstü durum kurtarma senaryoları için sağlanmıştır.
Yeni ve değiştirilmiş işlevsellik
Aşağıdaki tablo, Windows 8 ve Windows Server 2012 içinde BitLocker için yeni ve değiştirilmiş işlevselliği tanımlar.BitLocker’daki Yenilikler makalesine bakın.
Özellik/işlevsellik |
Windows 7 |
Windows 8 ve Windows Server 2012 |
|---|---|---|
BitLocker PIN’ini veya parolasını sıfırlama |
İşletim sistemi sürücüsündeki BitLocker PIN’ini ve sabit veya çıkarılabilir bir sürücüdeki parolayı sıfırlamak için yönetici ayrıcalıkları gerekir. |
Standart kullanıcılar hem işletim sistemi sürücülerinde hem de sabit ve çıkarılabilir veri sürücülerinde BitLocker PIN’ini ve parolayı sıfırlayabilir. |
Disk şifrelemesi |
BitLocker etkinleştirildiğinde diskin tamamı şifrelenir. |
BitLocker etkinleştirildiğinde diskin tamamının veya yalnızca disk üzerindeki kullanılan alanın şifrelenmesini seçebilirsiniz. Disk alanı kullanıldıkça disk şifrelenir. |
Donanım Şifrelemeli Sürücü desteği |
BitLocker tarafından yerel olarak desteklenmez. |
BitLocker, üreticiden önceden şifrelenmiş olarak gelen Windows logolu sabit sürücüleri destekleyebilir. |
Çift faktörlü kimlik doğrulaması sağlayan ağ tabanlı bir anahtar kullanarak kilit açma |
Kullanılamaz. Çift faktörlü kimlik doğrulama için fiziksel olarak bilgisayar karşısında bulunmak gerekirdi. |
Yeni bir tür anahtar koruyucu, bilgisayarların güvenilen kablolu ağlar üzerinden yeniden başlatıldığı durumlarda kilit açmak ve PIN girişi istemini atlamak için özel bir ağ anahtarının kullanılmasına izin verir. Bu, iş saatleri dışında bir PIN kullanılarak korunan bilgisayarlara uzaktan bakım yapılmasına olanak tanır ve bilgisayar güvenilen bir ağa bağlı olmadığı zamanlarda kullanıcı kimlik doğrulamasını gerektirse de, fiziksel olarak bilgisayar karşısında bulunma zorunluluğu olmadan çift faktörlü kimlik doğrulaması sağlar. |
Kümeler için koruma |
Kullanılamaz. |
Windows Server 2012, Kerberos Anahtar Dağıtım Merkezi Hizmeti’ni etkinleştirmiş bir Windows Server 2012 etki alanı denetleyicisi tarafından oluşturulan etki alanında çalışan Windows Küme Paylaşılan Birimleri ve Windows Yük Devretme Kümeleri için BitLocker desteği içerir. |
BitLocker anahtar koruyucuyu Active Directory hesabına bağlama |
Kullanılamaz. |
BitLocker anahtar koruyucunun Active Directory’deki bir kullanıcı, grup veya bilgisayar hesabına bağlanmasına olanak sağlar. Bu anahtar koruyucu, bir kullanıcı doğru kimlik bilgileriyle oturum açtığında veya bir bilgisayara doğru kimlik bilgileriyle giriş yaptığında BitLocker korumalı veri birimlerinin kilidini açmak için kullanılabilir. |
Kaldırılan veya kullanım dışı bırakılan işlevsellik
Diffuser seçeneği artık Gelişmiş Şifreleme Standardı (AES) şifreleme algoritmasına eklenemez.
Windows 8 ve Windows Server 2012 için “TPM doğrulama profilini yapılandırma” Grup İlkesi kullanım dışıdır. Bu ilke, BIOS tabanlı ve UEFI tabanlı bilgisayarlar için sisteme özgü ilkelerle değiştirildi.
–tpm seçeneği artık manage-bde tarafından desteklenmez.
Sistem gereksinimleri
BitLocker için donanım gereksinimleri şunlardır:
BitLocker’ın, bir Güvenilir Platform Modülü (TPM) tarafından sağlanan sistem bütünlüğü denetimini kullanabilmesi için bilgisayarda TPM 1.2 veya TPM 2.0 bulunmalıdır. Bilgisayarınızda TPM yoksa BitLocker’ı etkinleştirmek için USB flash sürücü gibi çıkarılabilir bir cihaza bir başlangıç anahtarı kaydetmeniz gerekir.
TPM bulunan bilgisayarlarda da Trusted Computing Group (TCG) uyumlu bir BIOS veya UEFI üretici yazılımı olması gerekir. BIOS veya UEFI üretici yazılımı, işletim sistemi öncesi başlangıç için bir güven zinciri oluşturur ve bu yazılım, TCG tarafından belirtilen Statik Güven Kökü Ölçümü için destek içermelidir. TPM bulunmayan bilgisayarlar TCG uyumlu üretici yazılımı gerektirmez.
Sistem BIOS’u veya UEFI üretici yazılımı (TPM bulunan ve bulunmayan bilgisayarlar için), işletim sistemi öncesi ortamda bir USB flash sürücü üzerindeki küçük dosyaları okuyabilme özelliği de dahil olmak üzere, USB yığın depolama cihazı sınıfını desteklemelidir. USB hakkında daha fazla bilgi edinmek için USB Web sitesindeki Salt Toplu USB Yığın Depolama ve Yığın Depolama UFI Komutu belirtimlerine bakın.
Sabit diskin en az iki sürücüyle bölümlenmiş olması gerekir:
İşletim sistemi sürücüsü (veya önyükleme sürücüsü) işletim sistemini ve destek dosyalarını içerir. NTSF dosya sistemiyle biçimlendirilmiş olması gerekir.
Sistem sürücüsü, üretici yazılımı sistem donanımını hazırladıktan sonra Windows’un yüklenmesi için gereken dosyaları içerir. Bu sürücüde BitLocker etkin değildir. BitLocker’ın çalışması için, sistem sürücüsünün şifrelenmemiş olması, işletim sistemi sürücüsünden farklı olması ve UEFI tabanlı üretici yazılımı kullanan bilgisayarlarda FAT32 dosya sistemiyle, BIOS üretici yazılımı kullanan bilgisayarlarda ise NTFS dosya sistemiyle biçimlendirilmiş olması gerekir. Sistem sürücüsünün yaklaşık olarak 350 MB boyutunda olmasını öneririz. BitLocker çalıştırıldıktan sonra yaklaşık 250 MB boş alan bulunmalıdır.
Yeni bir bilgisayara yüklendiğinde, Windows BitLocker için gereken bölümleri otomatik olarak oluşturur.
Bu kitaplıkta
Windows 8 ve Windows Server 2012 için BitLocker’daki yenilikler [yeniden yönlendirilmiş]
BitLocker: BitLocker Sürücü Şifrelemesi araçları BitLocker yönetmek için kullanın
BitLocker: BitLocker kurtarma parola Görüntüleyicisi'ni kullanın
BitLocker ile koruma Küme Paylaşılan birimleri ve depolama alanı ağları