Anasayfa > Windows 7 > Implementing BitLocker Drive Encryption without TPM

Implementing BitLocker Drive Encryption without TPM


Veri hırsızlığının ve bu suça karşı alınan önlemlerin arttığı şu günlerde Microsoft, geliştirmiş olduğu farklı ve oldukça güçlü bir yöntemle Vista kullanıcılarına BitLocker Drive Encryption adlı şifreleme altyapısını sunuyor. EFS’den farklı olarak PKİ kullanmıyor ve sadece dosyaları şifrelemekle kalmıyor. Tüm diski şifreleyen bu sistem sayesinde sabit diskin çalınması durumunda verilere erişim riski de ortadan kalkmış bulunuyor.

Öncelikle, BitLocker’ın kullanılabilmesi için sisteminizde bazı donanımlara ihtiyaç duyuluyor. Bunlardan ilki, USB Mass Storage Device Class destekli BIOS; ikincisi, yaklaşık 2GB’lık partition ve üçüncüsü de anakart üzerinde bulunması gereken TPM 1.2v (Trusted Platform Module) çip. Bu çip sayesinde şifrelenen diskinizin anahtarı, işletim sisteminiz henüz başlamadan okunup şifrenin çözülmesi sağlanıyor.

Konu hakkında ayrıntılıbilgi için http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000000987 linkinde bulunan makaleye gözatmanızı tavsiye ederim.

Peki, anakartınız TPM 1.2v çipine sahip değilse BitLocker’ın kullanılması mümkün olamayacak mı? Tabiki olacak! Fakat bunun için anahtarı yazacak bir donanıma ihtiyacınız olacak ki bu donanım bir usb flash disk’den daha fazlası değil.  Böylece sisteminizi başlatırken bu usb diskin bilgisayarınıza takılı olması gerekiyor ki anahtar okunabilsin. Aksi halinde sisteminizi açabilmek için başka yolara başvurmanız gerekiyor.

Dilerseniz TPM olmadan usb flash disk ile BitLocker Drive Encryption işleminin nasıl gerçekleştirileceğine bakalım.

Resim 1

İlk olarak BitLocker için hazırlık yapmamız gerekiyor. Çünkü BitLocker’i aktif hale getirmek istediğinizde geçerli TPM çipine sahip olmadığınızı belirten bir uyarı alırsınız. Bunu, Group Policy’den yapacağımız kiüçük bir değişiklikle önleyebiliyoruz. Yapacağımız bu konfigürasyonla BitLocker’ı TPM ile değil usb disk ile gerçekleştirmek istediğimizi belirtmiş olacağız. Group Policy Editor yardımı ile (gpedit.msc) Computer Configuration > Administrative Template > Windows Components > Bitlocker Drive Enctryption yolunu izleyerek “Control Panel Setup: Enable advanced startup options” policy’sini enable edelim. Burada dikkat edilmesi gereken şey “Allow BitLocker without a compatible TPM” onay kutusunun işaretli olmasıdır (Resim 1). Grup Policy konfigürasyonumuzu uyguladıktan sonra ikinci adıma geçelim.

Bunun için Windows update ile birlikte gelen eksta’lardan BitLocker Drive Encryption Preparation Tool’u indirip kurmamız yeterli olacaktır. Bu araç sadece windows update arayüzünden indirilebildiği için microsoft’un dowload sitesinden aramamanızı hatırlatmak isterim. (Resim 1)

Resim 2

Bu adımda Windows update ile birlikte gelen Ekstra’lardan BitLocker Drive Encryption Preparation Tool’u indirip kurmamız yeterli olacaktır. Bu araç sadece windows update arayüzünden indirilebildiği için microsoft’un dowload sitesinde bulunmadığını hatırlatmak isterim. En azından şimdilik… (Resim 2).

Resim 3

Kurulumu başlatmak için start menu’de bulunan search alanına Bitlocker yazmanız sizi gerekli kısayola götürecektir. BitLocker Preparation Tool’u çalıştırdığınızda hazırlık işlemi başlamış demektir (Resim 3).

Resim 4

Anlaşmayı kabul ettikten sonra gelen uyarı kutusunda, C: sürücüsü üzerinde yeni bir bölüm oluşturacağını , işleme başlamadan önce bilgilerin yedeklenmesini, yapılacak işlemin birleştirme gerektirebileceğinden dolayı uzayabileceğini ve oluşturulacak yeni bölüme verilerin kaydedilmemesi gerektiği belirtilmektedir. Yeni oluşturulacak olan bölüm S: harfini alacak ve işletim sisteminin başlayabilmesi için gerekli dosyaları içerecektir. Yani S: sürücüsü BitLocker ile şifrelenmeyecektir. Gerekli uyarıları dikkate aldıktan sonra continue butonuna tıklayarak devam edelim (Resim 4).

Resim 5 ve 6

İşlem bittikten sonra Disk Management arayüzünden diskimizin Resim 6’daki gibi bölündüğünü görüyozuz. Dikkat ederseniz C: bölümünün BitLocker için hazır olduğunu belirten ibareyi ve S: bölümünse sistem bölümü olduğunu göreceksiniz (Resim 5 ve 6). Hazırlık aşaması bittikten sonra BitLocker ile diskimizi şifreleme işlemine başlayabiliriz.

Resim 7

Bunun için Control Panel’de bulunan BitLocker Drive Encryption simgesine tıklıyoruz. Karşımıza Resim 7’de görüldüğü üzere BitLocker’ın henüz aktif edilmediği, Turn On BitLocker linkini tıklıyarak aktif edebileceğimiz bir arayüz çıkıyor. Linki tıklayarak işlemi başlatıyoruz.

Resim 8

İlk adımda TPM çipine sahip olmadığımızı, başlatma anahtarını bir usb diske yazması gerektiğini ve bu diskin her açılışta bilgisayarınıza takılı olmasını belirten bir mesaj görüyoruz. Tek seçilebilir durumda olan “Require Startup USB key at every startup” seçeneğini tıklayarak ilerliyoruz (Resim 8).

Resim 9

Sonraki adımda başlatma anahtarını saklayacağımız usb flash diski gösterip Save buttonunu tıklayarak sonraki adıma geçiyoruz (Resim 9).

Resim 10 ve 11

Bu adımda “Ya flash disk bozulur veya kaybolursa bilgisayarımı başlatamayacak mıyım?” sorusuna yanıt vermek amacı ile kurtarma parolasını bir başka taşınabilir diske veya yazıcıdan çıktı almak suretiyle bir kağıda yazdırmak için gerekli seçimin yapılması isteniyor. Eğer verilerinizin önemli olduğunu düşünüyorsanız (ki öyle) kurtarma parolasını hem kağıda hem de başka bir diske yazdırmanızı tavsiye ederim. “Save the password in a folder” seçeneğini tıklayarak parolanın saklanacağı bir başka lokasyon gösterip parolanın kaydedildiğine dair çıkan uyarı penceresini onaylayarak sonraki adıma geçiyoruz (Resim 10 ve 11).

Resim 12

Bu adımda ise BitLocker’ın usb diske yazdığı başlangıç anahtarının okunup okumamayacağını test etmek amacı ile bilgisayarın yeniden başlatılması gerektiği belirtiliyor. Continue butonuna tıklayarak devam edelim (Resim 12).

Resim 13

BitLocker başlangıç anında usb flash diskteki başlangıç anahtarını okuyabilirse “ BitLocker Drive Encyription key loaded, Please remove media” şeklinde bir mesaj görüntüleyip normal bir şekilde açıldıktan hemen sonra disk şifreleme işlemi başlıyor. Yapmış olduğum denemede BitLocker’ın sabit diski yaklaşık olarak 1 saatte şifrelediğini gözönünde tutarak bu işlemi uygun bir zamanda gerçekleştirmenizi tavsiye ederim (Resim 13).

Resim 14

Eğer bilgisayar usb disk olmadan başlatılırsa diske yazdığı anahtarı okuyamamayacağından dolayı boot ekranında karşımıza Resim 14’deki görüntü çıkıyor. Burada, BitLocker’in anahtara ihtiyacı olduğunu, anahtarı barındıran diskin takılmasını ve yeniden başlatmak için ESC tuşuna basılması gerektiğini belirtiyor. Bu durumda usb disk takılırsa ESC tuşu ile sistem yeniden başlatılmalı ve anahtarın okunması sağlanmalıdır.

Resim 15

Eğer usb disk arızalanmış ya da kaybolmuşsa önceden tanımlamış olduğumuz kurtarma parolasını girmek üzere Enter tuşuna basmamız ve Resim 15’de görülen boşluklara bu parolayı yazmamız gerekmektedir. Parola giriş işlemi tamamlandıktan sonra sistem normal açılış seyrine devam edecektir. Sistem açıldıktan sonra BitLocker arayüzünü kullanarak yeni bir başlangıç anahrarı oluşturabilir, bu anahtarın kopyalarını yukarıda belittiğim şekilde yedekleyebiliriz.

Görüldüğü üzere, TPM çipine sahip olmadığımız durumlarda usb flash disk ile BitLocker Drive Encryption’ın güvenli bir şekilde çalışmasını sağlamış olduk.

Seymen URAL tarafından hazırlanan makaledir.

Kategoriler:Windows 7
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: