Merhabalar,
Bu makalede, disk şifreleme çözümü olan ve Windows işletim sistemi ile entegre şekilde gelen Bitlocker uygulamasını kullanarak, disk şifrelemesi talimatlarının nasıl uygulanacağını açıklayacağım. Disk şifreleme, iki şekilde yapılabilir. İlki, domain bazlı olan ve group policy ile domain geneline uygulanabilen ve kripto şifresinin Active Directory üzerinde tutulduğu yöntemdir. İkincisi ise, işletim sistemi local group policy üzerinde aktif edilebilen yöntemdir.
Bu makalede, öncelikle local group policy üzerinde nasıl aktif edileceğini ve nasıl konfigüre edileceğini açıklayacağım.
Windows ile standart gelen Bitlocker uygulaması, varsayılan olarak USB diskler için aktif gelmektedir. İşletim sisteminin yüklü olduğu disklerde bu özellik aktif değildir. Bu bölümleri şifrelemek için öncelikle Domain Policy ya da local group policy ayarlarında aşağıdaki bölümde etkinleştirme yapılmalıdır.
Harici USB diskler için aşağıdaki group policy ayarlarını yapmaya gerek yoktur.
USB disklerin BitLocker ile şifrelenmesi, aşağıda “2-İşletim sistemi ayarlarının yapılması” bölümünde anlatıldığı gibi direkt olarak yapılabilir.
Sunucu işletim sistemleri üzerinde BitLocker uygulamasını kullanmak istediğinizde Denetim Masası altında göremiyorsanız, Features olarak eklenmesi gerekir. Bunun için aşağıdaki adımları uygulayabilirsiniz.
Server Manager açılarak “Add roles and features” seçilir.
Gelen ekranda Next ile devam ediyoruz.
Role-based or feature-based installation işaretleyip, Next ile devam ediyoruz.
Yükleme yapılacak sunucu ismini görüyoruz ve Next ile devam ediyoruz.
Sunucu rolü yüklemeyeceğiz ve sadece gerekli özelliği ekleyeceğimiz için bu adımı da Next ile geçiyoruz.
Features ekranında BitLocker seçilerek gerekli olan bileşenler de Add Features ile eklenir.
Next ile devam ediyoruz.
Restart the destination server işaretlenerek Install seçilir.
Ve kurulum başlar.
Sunucu restart olduktan sonra, Denetim Masası altından artık BitLocker uygulamasına ulaşabilirsiniz.
Aşağıdaki adımlarla devam edelim…
1- İşletim Sistemi Disklerini şifrelemek için Group Policy ayarlarının yapılması:
• Başlat seçip gpedit.msc yazarak local group policy konsolunu açalım.
• Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives bölümünü seçelim.
• Sağ tarafta bulunan seçeneklerde “Require additional authentication at startup” seçeneğine girilir ve aktif edilir. Bu seçenek, belirlenen kripto şifresinin, bilgisayarın ilk açılışında sorulmasını sağlamak için yapılır. (NOT: Eğer şifre bilinmiyor ya da hatırlanmıyorsa, daha sonraki adımlarda açıklanan “Recovery Key” dosyası kullanarak bilgisayar açılabilir.)
• Aşağıda belirtilen yerler seçilerek Ok ile devam edilir.
• Bu ayarı yaptıktan sonra, aynı bölümde “Enforce drive encryption type on operating system drives” seçeneği ile, işletim sistemi disklerinin de şifrelemesine izin vermemiz gerekiyor.
• Enable edip, Options bölümünden Full encryption seçiyoruz ve Ok ile devam ediyoruz.
NOT: Bu bölüm aktif edilmezse, işletim sistemi diski şifrelenmek istediğinde, aşağıdaki gibi bir hata alınacaktır.
2- İşletim sistemi ayarlarının yapılması:
• Denetim Masasına girilerek System and Security > BitLocker Drive Encryption seçilir.
• Gelen ekranda işletim sistemi diski için “Turn On BitLocker” seçilir.
• Enter password seçilerek, güçlü bir şifre verilir.
• Kullanıcı için verilecek şifre, her açılışta sorulacağı için kullanıcıya özel olmalıdır. Birden fazla kullanıcıda belirlenen varsayılan şifre, güvenlik açığına sebep olabilir. Kullanıcının şifreyi değiştirmiş olması, kripto algoritmasının değişmesine sebep olmaz. Recovery Key olması ve yedekleniyor olması, kritik öneme sahiptir.
İşletim sisteminin olduğu diske, recovery key yazılmasına izin verilmeyeceği için recovery key dosyasını, cihaza takılan bir USB diske ya da ağ üzerinde ortak alana, varsayılan isim önüne kullanıcı ismi gelecek şekilde kayıt ederiz. Print seçeneği ile de pdf olarak yazdırılıp saklanabilir.
Örneğin burada sistem tarafından “BitLocker Recovery Key 048A81F0-7958-43CA-AB6C-1E0536D46EFB” şeklinde verilen ismin başına, makine ya da kullanıcı ismi verilerek kayıt edilmesi, ihtiyaç duyulduğunda bu key’in hangi kullanıcıya ait olduğunu bulmak açısından önemli olacaktır.
• Next seçeneği ile ilerlediğimizde, ikinci seçenek ile tüm disk alanının şifreleneceğini belirleriz.
• Gelen seçeneklerde “Compatible mode” seçilmelidir. Bu seçim ile önceki versiyon windows sürümleriyle uyumlu olması sağlanır.
• İşlem tamamlanır ve sonrasında restart istenir.
• Restart sonrası password ekranı aşağıdaki gibi görülmüş olur.
• Yukarıdaki adımlarda belirlediğimiz password girilir ve sistem açılır. Sistem açıldığında disk şifreleme işlemi başlatılır.
• Şifreleme özelliklerini görebilmek için, run as administrator ile komut satırı açarak aşağıdaki komut uygulanabilir.
manage-bde -status
• İstendiği takdirde, disk kripto şifresi değiştirilebilir. Bu işlem sonrası recovery key yenilemeye gerek yoktur. Denetim masasında BitLocker ekranında Change password ile, kullanıcıya özel olan ve unutmayacağı bir şifre belirlenebilir.
NOT: Kullanıcının şifreyi unutması durumunda sadece Recovery Key kullanılarak disk kurtarılabilir.
• Change password seçildiğinde karşımıza aşağıdaki seçenekler çıkar. Eğer eski şifre biliniyorsa yazılır, bilinmiyorsa “Reset Forgotten Password” ile devam edilir. Burada “Reset Forgotten Password”seçeneği ile devam edilerek ve yeni şifre verilerek işlem tamamlanmıştır. Artık bilgisayar açılışında yeni şifre girilecektir.
• Varsayılan olarak 128-bit AES şifreleme yapılmaktadır. İstendiği takdirde regedit’te daha önce işlem yapılan anahtarlar üzerinde şifreleme algoritması 256-bit olarak da değiştirilebilir. Bunu yapmadan önce disk üzerinde var olan şifreleme kaldırılmalıdır. (NOT: “Disk şifresinin kaldırılması” bölümünü inceleyiniz.)
3- Disk şifresinin kaldırılması:
• Eğer şifreleme özelliği disk üzerinden kaldırılmak istenirse, yine denetim masası altında BitLocker ekranında “Turn Off BitLocker” seçilir.
Sistem diski için Decrypting işlemi başlatılır.
• Komut satırından da kontrol edildiğinde decrypt edildiği görülür.
4- Şifreleme algoritmasının 256-bit yapılması:
Şifreleme algoritmasını 256-bit olacak şekilde değiştirmek için aşağıdaki adımları uygulayabilirsiniz;
NOT: ÖNCELİKLE “TURN OFF BITLOCKER” YAPMAYI UNUTMAYINIZ 🙂
• Öncelikle var olan şifreleme, disk üzerinden kaldırılmalıdır.
• Local group policy ayarlarına girilerek aşağıdaki bölümü seçelim.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption
İşletim sistemi versiyonuna göre sağ taraftaki seçenek seçilerek aktif edilir.
• Menüden 256-bit seçilerek işlem tamamlanır.
• Denetim masasında Turn on BitLocker seçilerek daha önceki adımlarda anlatıldığı gibi yeniden şifreleme yapılır ve restart edilir.
• Restart sonrası şifreleme işlemi yeniden başlar.
• Komut satırından kontrol ettiğimizde 256-bit AES şifreleme yapıldığı görülür.
manage-bde -status
5- Kripto şifresinin unutulması durumunda:
Bu gibi durumlarda Recovery Key olmadan, kriptolanan disklerin okunması veya kurtarılması mümkün olmamaktadır. Dolayısıyla bu key’lerin saklanması ve periyodik yedeklenmesi kritik öneme sahiptir.
• Bilgisayar açılış ekranında sorulan şifre bilinmiyorsa, ekranın alt tarafında bulunan seçeneklerden de görüleceği gibi, ESC tuşuna basıldığında kurtarma seçeneği ekranı belirir.
• Recovery Key dosyasındaki bilgiler buraya girilir ve sistem açılır.
• Daha sonra yeni bir şifre verilerek kullanıma devam edilebilir. Denetim masasında BitLocker uygulaması altında, daha önceki adımlarda anlatıldığı gibi yeni bir şifre belirlenir ve ilgili kişiye teslim edilir.
İşlemlerimiz bu kadardı. Buradaki en önemli nokta, Recovery Key’in kaybedilmemesidir ve düzenli şekilde, birden fazla noktaya yedeklenmesidir. Eğer yedeklenmez ya da bir şekilde kaybedilirse tüm verinizi kaybedebilirsiniz.
Sonraki makalemde ise, domain ortamında bu işlemlerin nasıl yapılacağını açıklayacağım.
Yararlı olması dileğiyle.
Yusuf İşleyen