Testy Bitlockera- 20 przypadków

20 przypadków Bitlockera

Poniżej przedstawiam 20 testów, które zrealizowałem, by sprawdzić zachowanie Bitlockera.                   UWAGA: Podczas testów profile użytkowników znajdowały się na dysku D:/, a klucze potrzebne do odblokowania odkładane były w ActiveDirectory.

  1. Przełożenie do innego komputera tego samego typu,
  2. Rotacja dysku między komputerami,
  3. Nowy komputer z nazwą starego,
  4. Ręczne szyfrowanie dysków, po wcześniejszym odszyfrowaniu,
  5. Przywracanie backupu dysku przy pomocy Avamara,
  6. Ustawienie hasła na dysk z danymi,
  7. Zalogowanie jako inny użytkownika na zaszyfrowanym komputerze,
  8. Przywrócenie obiektu komputera w AD,
  9. Odzyskanie danych z uszkodzonego dysku, zaszyfrowanego, posiadając klucz BitLocker,
  10. Jakie uprawnienia są wymagane do zaszyfrowania / odszyfrowania dysku?,
  11. Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na lokalne hasło,
  12. Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na konto domenowe (Win10),
  13. Odpięcie od domeny zaszyfrowanego komputera, ponowne wpięcie i próba zalogowania na konto domenowe,
  14. Wyrzucenie komputera z AD i próba zalogowania na konto domenowe,
  15. Szyfrowanie dysków widocznych w systemie (+jakieś udziały sieciowe) lub USB,
  16. Ręczne szyfrowanie świeżo dodanego komputera do domeny,
  17. Dysk D, Bitlocker+  nałożone dodatkowe hasło + automatyczne odblokowywanie, podłączony jako dodatkowy do innego komputera,
  18. Przełożenie dysku do innego komputera i przejęcie poświadczeń szyfrowania,
  19. Przepinanie dysku linią komend,
  20. Bitlocker na wirtualnym Windows Server 2012 R2.
Case 1CzynnośćPrzełożenie zaszyfrowanego dysku do takiego samego typu komputera
SkutekKomputer działa nawet gdy jest offline. Przed uruchomieniem ładowania systemu pojawia się pole do wpisania hasła BitLocker. Każde uruchomienie komputera powoduje wyświetlenie prośby o hasło BitLocker.
UwagiBy komunikat nie wyświetlał się na komputerze przy każdym uruchomieniu, należy odszyfrować dysk i zaszyfrować go ponownie na docelowej stacji roboczej.
Case 2CzynnośćPrzełożenie zaszyfrowanego dysku do takiego samego typu komputera. Zalogowania na zastępczy komputerze, a następnie zwrot dysku do pierwotnego komputera.
SkutekKomputer działa bez podawania hasła, nie widać komunikatów wskazujących, że jest zaszyfrowany
UwagiBrak problem?w z logowaniem do stacji nawet gdy jest offline
Case 3CzynnośćDysk w innym komputerze, zmiana nazwy komputera na nazwę pierwotnego
SkutekKomputer nie zaciąga haseł zapisanych w domenie, przy każdym uruchomieniu wymaga wpisania hasła Bitlocker
UwagiBy komunikat nie wyświetlał się na komputerze przy każdym uruchomieniu, należy odszyfrować dysk i zaszyfrować go ponownie na docelowej stacji roboczej.
Case 4CzynnośćRęczne szyfrowanie dysków, po wcześniejszym odszyfrowaniu
SkutekDziała prawidłowo. Przy szyfrowaniu dysku D należy zaznaczyć automatycznie odblokowywany, gdy użytkownik loguje się na komputerze. W przeciwnym wypadku nie będzie możliwości zalogowania się do komputera.
UwagiRęczne szyfrowanie może wykonać tylko osoba o uprawnieniach administratora lokalnego lub Domain Admin. Klucz szyfrowania zapisywany jest do AD w przypadku, gdy komputer jest wpięty do domeny i posiada poświadczenia BITLOCKER. W AD Zapisane są stare klucze oraz te aktualne.
Case 5CzynnośćPrzywracanie backupu dysku przy pomocy Avamara.
SkutekOdzyskiwanie utraconego pliku- OK, Przywracanie całego systemu zaszyfrowanego BL przy pomocy Live Boot CD- zakończone błędem..
UwagiWstępne wnioski: Avamar backupuje dane na zalogowanym komputerze w związku z czym dane są odszyfrowane i właśnie takie trafiają do avamara. Wykonaliśmy przywrócenie wyrzuconego pliku i przeszło prawidłowo.
Case 6CzynnośćUstawienie hasła na dysk z danymi.
SkutekUstawienie hasła na dysk z danymi, z wyłączoną opcją automatycznego wczytywania (analogiczne do zapamiętaj hasło dla tego urządzenia). Po zalogowaniu do komputera nie mamy dostępu do dysku z danymi, dopóki nie wpiszemy wcześniej ustawionego hasła, bądź klucza odzyskiwania.
UwagiProfile użytkowników muszą być na dysku systemowym, by opcja działała prawidłowo
Case 7CzynnośćZalogowanie jako inny użytkownika na zaszyfrowanym komputerze
SkutekDziała bez problemu, wgląd w dane dysku D możliwy
UwagiAby wymagać hasło do dysku D, należy przenieść folder z profilami użytkowników na dysk C. Szyfrowanie na hasło dysku D z wyłączoną opcją automatycznego wczytywania bez konieczności podawania hasła (gdy znajduje się na nim nasz profil), zablokuje możliwość zalogowania do systemu podczas kolejnego uruchomienia komputera.
Case 8CzynnośćPrzywr?cenie obiektu komputera w AD
SkutekDziała prawidłowo, klucz BitLockera również się odtwarza.
UwagiProblem pojawia się, gdy po usunięciu obiektu komputera z AD, podepniemy inny komputer pod to samo konto (ta sama nazwa komputera) Wówczas po odtworzeniu pierwotnego obiektu klucze zniknęły
Case 9CzynnośćOdzyskanie danych z uszkodzonego dysku, zaszyfrowanego, posiadając klucz BitLocker
SkutekRealizacja przez firmę specjalizującą się w odzyskiwaniu danych
UwagiWarunkiem odzyskania jest dostarczenie dysku oraz klucza odzyskiwania. Dysk twardy nie może mieć uszkodzeń mechanicznych, które fizycznie zniszczyły sektory odpowiedzialne za szyfrowanie/porównanie klucza.
Case 10CzynnośćJakie uprawnienia są wymagane do zaszyfrowania / odszyfrowania dysku?
SkutekWszystkie opcje BitLockera dostępne są z uprawnieniami Administratora stacji roboczej
UwagiUżytkownicy z uprawnieniami Domain Admins również mogą wprowadzać zmiany w BitLockerze
Case 11CzynnośćOdpięcie od domeny zaszyfrowanego komputera i próba zalogowania na lokalne hasło
SkutekLogowanie działa prawidłowo
UwagiBrak uwag
Case 12CzynnośćOdpięcie od domeny zaszyfrowanego komputera i próba zalogowania na konto domenowe
SkutekBrak możliwości
UwagiWindows 10, po odpięciu z domeny pokazuje na planszy logowania tylko konta lokalne, nie ma przycisku przełącz użytkownika, który (jak w przypadku komputera w domenie) pozwala na wpisanie dowolnej nazwy użytkownika.
Case 13CzynnośćOdpięcie od domeny zaszyfrowanego komputera, ponowne wpięcie i próba zalogowania na konto domenowe.
SkutekDziała bez problemu.
UwagiJeżeli wepniemy komputer pod inną nazwą, klucze nie zapisują się z automatu na nowym koncie w AD. Wówczas należy odszyfrować i ponownie zaszyfrować dysk
Case 14CzynnośćWyrzucenie komputera z AD i pr?ba zalogowania na konto domenowe
SkutekBez problemu można się zalogować gdy komputer nie ma dostępu do sieci/domeny (Cache konta)
UwagiPo podpięciu pod sieć występuje komunikat o braku konta komputera dla relacji zaufania
Case 15CzynnośćSzyfrowanie dysków widocznych w systemie (+jakieś udziały sieciowe) lub USB.
SkutekSzyfrowanie dysków działa tylko na udziały lokalne (HDD, Pendrive). Nie ma możliwości zaszyfrowania udziału sieciowego.
UwagiNic nie jest szyfrowane z automatu, nie ma możliwości by jakiekolwiek urządzenie zostało zaszyfrowane bez naszej zgody.
Case 16CzynnośćRęczne szyfrowanie świeżo dodanego komputera do domeny
SkutekKlucze BitLockera zapisują się w profilu AD komputera, komputer działa prawidłowo, nie pyta o poświadczenia.
UwagiPrzed rozpoczęciem szyfrowania komputer musi być wpięty do domeny oraz w OU, które zawiera polisę grupy BITLOCKER
Case 17CzynnośćDysk D, Bitlocker+  nałożone dodatkowe hasło + automatyczne odblokowywanie, podłączony jako dodatkowy do innego komputera
SkutekDysk D wyświetla komunikat o katastrofalnej awarii dysku, po wpisaniu hasła (Gdy podpinamy go jako dodatkowy pod komputer z Windows 7).
UwagiKlucz odzyskiwania nie działa !
Case 18CzynnośćPrzełożenie dysku do innego komputera i przejęcie poświadczeń szyfrowania
SkutekDziała prawidłowo
UwagiPo zalogowaniu na zastępczym komputerze należy ręcznie odszyfrować dyski i zaszyfrować ponownie. Komputer musi być w domenie i mieć polisę grupy BITLOCKER
Case 19CzynnośćPrzepinanie dysku linią komend
SkutekNajpierw usuwamy hasło a następnie nadajemy nowe, Skutek jest taki sam jak przy ręcznym odszyfrowaniu i zaszyfrwaniu dysku. Dysk staje się własnością nowego komputera.
UwagiWłączamy CMD jako administrator lokalny i wykonujemy:
manage-bde -protectors -delete {Liter a dysku}: -type recoveryPassword
manage-bde -protectors -add {Liter a dysku}: -recoveryPassword
Case 20CzynnośćBitlocker na wirtualnym Windows Server 2012 R2
SkutekPo ustawieniu BitLockera wymagane jest wpisanie ustawionego przez nas hasła, by załadować system.
UwagiNależy uruchomić software'owy TPM. Nie ma możliwości zapisania klucza BitLockera- nie generujemy klucza. Jedyną możliwością jest ustawienie przez nas hasła, które trzeba wpisywać przy każdym uruchomieniu.