Bitlocker- konfiguracja stacji roboczej.

Pewnego dnia poproszono mnie o rozpoznanie możliwości szyfrowania Windows 10 Pro, przy pomocy dostępnego w systemie- BitLocker’a. Wszystko wydawałoby się proste, klikasz zaszyfruj i po robocie 😉 Nie w tym przypadku…

Kiedyś przeczytałem bardzo cenną uwagę szukając rozwiązania jednego z problemów, brzmiała mniej więcej tak- Jeżeli nie masz czego robić ze swoim życiem i chcesz napotkać na niestandardowe problemy, umieść profile użytkowników na dysku innym niż ten systemowy. I właśnie w takich warunkach przystało mi pracować. System instalowany jest na dysku „C” a profile użytkowników na dysku „D”.

Poniżej przedstawiam instrukcję szyfrowania oraz odszyfrowywania stacji roboczej, na której dostępny jest Bitlocker, a klucze odkładane są na koncie komputera w Active Directory.

Szyfrowanie

Poprzez wyszukiwanie wpisujmy BitLocker, następnie wybieramy Zarządzaj funkcją BitLocker

W oknie, które pojawi się nam, mamy możliwość włączenia szyfrowania dla poszczególnych dysków.

Drugim sposobem jest naciśnięcie na ikonę dysku prawym przyciskiem myszy i wybranie Włącz funkcję BitLocker

Po wybraniu dysku do zaszyfrowania musimy przejść przez kilka kroków:

Po załadowaniu BitLockera mamy do wyboru 2 możliwości:

W zależności, z jakim komputerem mamy do czynienia, taką opcję wybieramy. Szyfrowanie idzie w tle, spokojnie można pracować podczas wykonywania.

Kolejnym krokiem jest wybór trybu szyfrowania. Zalecam wybranie trybu zgodności (Daje szersze pole działania w przypadku próby awaryjnego dostania się do danych)

Opcja testu funkcji BitLocker nie jest wymagana, jednak by mieć pewność, że szyfrowanie dysku na np. starszym typie komputera zadziała- warto wykonać tą czynność. Test kończy się restartem komputera.

Gdy tylko rozpocznie się szyfrowanie, obok zegara pojawi się ikona z informacją o rozpoczęciu procesu.

 

 

Szyfrowanie dysku, na którym znajdują się profile użytkowników.

Podczas szyfrowania dysku „D” należy zaznaczyć opcję automatycznego odblokowywania dysku!

Na dysku D znajdują się profile użytkowników systemu, jeżeli opcja nie zostanie zaznaczone przed pierwszym restartem systemu, zablokujemy sobie możliwość logowania! (można to do-klikać w każdym momencie, ale przed restartem komputera)

Jeżeli jednak nie zaznaczymy tej opcji to podczas uruchomienia systemu pojawi się poniższa plansza:

 

By do-klikać automatyczne odblokowanie, należy wejść w opcję zarządzania funkcją BitLocker (na początku instrukcji pokazałem jak wyszukać)

Rozwijamy opcje dysku „D”

Następnie włączamy automatyczne odblokowywanie

 

 

Po zaszyfrowaniu należy sprawdzić w Active Directory, czy klucze zapisane w koncie komputera pokrywają się z tymi zapisanymi w systemie.

Wyszukujemy komputer, następnie wchodzimy we właściwości.

W karcie Odzyskiwanie funkcji BitLocker  powinny pojawić się wpisy z kluczami. Po kliknięciu w jeden z kluczy, pojawiają się szczegóły dotyczące hasła.

By porównać te wartości, w systemie musimy wygenerować kopię klucza.

W opcjach BitLocker wchodzimy w poniższą opcję:

Następnie wybieramy jedną z dostępnych opcji. (Uwaga! Czasami zapis do pliku może wyrzucić błąd, wtedy należy wybrać inny dysk bądź zapisać na pendrive).

Po zapisaniu, sprawdzamy czy wartości pokrywają się z tymi zapisanymi w AD

Odszyfrowanie:

Wchodzimy w opcje funkcji BitLockera. Wybieramy dysk, który chcemy odszyfrować.

Po wybraniu opcji Wyłączenia funkcji BitLocker pojawi się poniższy komunikat.

Po zatwierdzeniu zaczyna się odszyfrowywanie dysku (klucz BitLockera zostaje w Active Directory). Podczas odszyfrowywania dysku może pojawić się następujące okienko.

Uwaga! Podczas ponownego szyfrowania komputera, do Active Directory zostają dopisane kolejne klucze. Stare klucze nie są usuwane!

Troubleshooting:

Jeżeli z jakiegokolwiek powodu użytkownik nie może dostać się do danych na swojej stacji roboczej i zajdzie potrzeba awaryjnego odszyfrowania dysku proszę o zastosowanie się do poniższej instrukcji:

W celu uruchomienia opcji awaryjnego rozruchu należy wyłączyć system poprzez przyciśnięcie przycisku zasilania aż do całkowitego wyłączenia komputera. Po jego ponownym uruchomieniu na etapie wczytywania się systemu należy ponownie wyłączyć go za pomocą przycisku zasilania – po tym restarcie powinna pojawić się informacja o odzyskiwaniu systemu. Na widocznym ekranie wybieramy opcje „Zobacz zaawansowane opcje naprawy”:

Na kolejnym ekranie wybieramy opcję „Rozwiąż problemy”:

Następnie „Opcje zaawansowane”:

Na kolejnym ekranie wybieramy „Wiersz polecenia”:

Pojawi się informacja odnośnie konieczności wprowadzenia klucza odzyskiwania – informacja ta pojawi się dwukrotnie w przypadku dysku podzielonego na dwie partycje. Za pierwszym razem będzie to dysk systemowy, ten można pominąć klikając przycisk „Pomiń ten dysk”. W celu umożliwienia logowania do stacji roboczej konieczne jest odszyfrowanie partycji z danymi użytkownika (w naszym przypadku jest to partycja D:/) – konieczne jest spisanie identyfikatora klucza odzyskiwania i wprowadzenie klucza recovery.

Wpisany klucz zatwierdzamy przyciskiem „Kontynuuj”:

Po wprowadzeniu klucza otworzy się okno wiersza poleceń. Za pomocą komendy
manage-bde –status sprawdzamy jaka litera dysku przypisana została do partycji z profilem użytkownika. W poniższym przypadku jest to partycja E:

W celu odszyfrowania dysku i wyłączenia Bitlockera na tej partycji wpisujemy komendę:
manage-bde –off <litera dysku>: w naszym przypadku manage-bde –off E:. Prawidłowe wpisanie komendy wyświetli komunikat „Decryption is now in progress”:

Ponowne wywołanie komendy „manage-bde –status” pozwoli nam śledzić proces odszyfrowywania dysku:

Proces deszyfrowania zakończy się komunikatem jak niżej:

Zamykamy okno konsoli i ponownie uruchamiamy komputer.