20 przypadków Bitlockera
Poniżej przedstawiam 20 testów, które zrealizowałem, by sprawdzić zachowanie Bitlockera. UWAGA: Podczas testów profile użytkowników znajdowały się na dysku D:/, a klucze potrzebne do odblokowania odkładane były w ActiveDirectory.
- Przełożenie do innego komputera tego samego typu,
- Rotacja dysku między komputerami,
- Nowy komputer z nazwą starego,
- Ręczne szyfrowanie dysków, po wcześniejszym odszyfrowaniu,
- Przywracanie backupu dysku przy pomocy Avamara,
- Ustawienie hasła na dysk z danymi,
- Zalogowanie jako inny użytkownika na zaszyfrowanym komputerze,
- Przywrócenie obiektu komputera w AD,
- Odzyskanie danych z uszkodzonego dysku, zaszyfrowanego, posiadając klucz BitLocker,
- Jakie uprawnienia są wymagane do zaszyfrowania / odszyfrowania dysku?,
- Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na lokalne hasło,
- Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na konto domenowe (Win10),
- Odpięcie od domeny zaszyfrowanego komputera, ponowne wpięcie i próba zalogowania na konto domenowe,
- Wyrzucenie komputera z AD i próba zalogowania na konto domenowe,
- Szyfrowanie dysków widocznych w systemie (+jakieś udziały sieciowe) lub USB,
- Ręczne szyfrowanie świeżo dodanego komputera do domeny,
- Dysk D, Bitlocker+ nałożone dodatkowe hasło + automatyczne odblokowywanie, podłączony jako dodatkowy do innego komputera,
- Przełożenie dysku do innego komputera i przejęcie poświadczeń szyfrowania,
- Przepinanie dysku linią komend,
- Bitlocker na wirtualnym Windows Server 2012 R2.
Case 1 | Czynność | Przełożenie zaszyfrowanego dysku do takiego samego typu komputera |
Skutek | Komputer działa nawet gdy jest offline. Przed uruchomieniem ładowania systemu pojawia się pole do wpisania hasła BitLocker. Każde uruchomienie komputera powoduje wyświetlenie prośby o hasło BitLocker. | |
Uwagi | By komunikat nie wyświetlał się na komputerze przy każdym uruchomieniu, należy odszyfrować dysk i zaszyfrować go ponownie na docelowej stacji roboczej. | |
Case 2 | Czynność | Przełożenie zaszyfrowanego dysku do takiego samego typu komputera. Zalogowania na zastępczy komputerze, a następnie zwrot dysku do pierwotnego komputera. |
Skutek | Komputer działa bez podawania hasła, nie widać komunikatów wskazujących, że jest zaszyfrowany | |
Uwagi | Brak problem?w z logowaniem do stacji nawet gdy jest offline | |
Case 3 | Czynność | Dysk w innym komputerze, zmiana nazwy komputera na nazwę pierwotnego |
Skutek | Komputer nie zaciąga haseł zapisanych w domenie, przy każdym uruchomieniu wymaga wpisania hasła Bitlocker | |
Uwagi | By komunikat nie wyświetlał się na komputerze przy każdym uruchomieniu, należy odszyfrować dysk i zaszyfrować go ponownie na docelowej stacji roboczej. | |
Case 4 | Czynność | Ręczne szyfrowanie dysków, po wcześniejszym odszyfrowaniu |
Skutek | Działa prawidłowo. Przy szyfrowaniu dysku D należy zaznaczyć automatycznie odblokowywany, gdy użytkownik loguje się na komputerze. W przeciwnym wypadku nie będzie możliwości zalogowania się do komputera. | |
Uwagi | Ręczne szyfrowanie może wykonać tylko osoba o uprawnieniach administratora lokalnego lub Domain Admin. Klucz szyfrowania zapisywany jest do AD w przypadku, gdy komputer jest wpięty do domeny i posiada poświadczenia BITLOCKER. W AD Zapisane są stare klucze oraz te aktualne. | |
Case 5 | Czynność | Przywracanie backupu dysku przy pomocy Avamara. |
Skutek | Odzyskiwanie utraconego pliku- OK, Przywracanie całego systemu zaszyfrowanego BL przy pomocy Live Boot CD- zakończone błędem.. | |
Uwagi | Wstępne wnioski: Avamar backupuje dane na zalogowanym komputerze w związku z czym dane są odszyfrowane i właśnie takie trafiają do avamara. Wykonaliśmy przywrócenie wyrzuconego pliku i przeszło prawidłowo. | |
Case 6 | Czynność | Ustawienie hasła na dysk z danymi. |
Skutek | Ustawienie hasła na dysk z danymi, z wyłączoną opcją automatycznego wczytywania (analogiczne do zapamiętaj hasło dla tego urządzenia). Po zalogowaniu do komputera nie mamy dostępu do dysku z danymi, dopóki nie wpiszemy wcześniej ustawionego hasła, bądź klucza odzyskiwania. | |
Uwagi | Profile użytkowników muszą być na dysku systemowym, by opcja działała prawidłowo | |
Case 7 | Czynność | Zalogowanie jako inny użytkownika na zaszyfrowanym komputerze |
Skutek | Działa bez problemu, wgląd w dane dysku D możliwy | |
Uwagi | Aby wymagać hasło do dysku D, należy przenieść folder z profilami użytkowników na dysk C. Szyfrowanie na hasło dysku D z wyłączoną opcją automatycznego wczytywania bez konieczności podawania hasła (gdy znajduje się na nim nasz profil), zablokuje możliwość zalogowania do systemu podczas kolejnego uruchomienia komputera. | |
Case 8 | Czynność | Przywr?cenie obiektu komputera w AD |
Skutek | Działa prawidłowo, klucz BitLockera również się odtwarza. | |
Uwagi | Problem pojawia się, gdy po usunięciu obiektu komputera z AD, podepniemy inny komputer pod to samo konto (ta sama nazwa komputera) Wówczas po odtworzeniu pierwotnego obiektu klucze zniknęły | |
Case 9 | Czynność | Odzyskanie danych z uszkodzonego dysku, zaszyfrowanego, posiadając klucz BitLocker |
Skutek | Realizacja przez firmę specjalizującą się w odzyskiwaniu danych | |
Uwagi | Warunkiem odzyskania jest dostarczenie dysku oraz klucza odzyskiwania. Dysk twardy nie może mieć uszkodzeń mechanicznych, które fizycznie zniszczyły sektory odpowiedzialne za szyfrowanie/porównanie klucza. | |
Case 10 | Czynność | Jakie uprawnienia są wymagane do zaszyfrowania / odszyfrowania dysku? |
Skutek | Wszystkie opcje BitLockera dostępne są z uprawnieniami Administratora stacji roboczej | |
Uwagi | Użytkownicy z uprawnieniami Domain Admins również mogą wprowadzać zmiany w BitLockerze | |
Case 11 | Czynność | Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na lokalne hasło |
Skutek | Logowanie działa prawidłowo | |
Uwagi | Brak uwag | |
Case 12 | Czynność | Odpięcie od domeny zaszyfrowanego komputera i próba zalogowania na konto domenowe |
Skutek | Brak możliwości | |
Uwagi | Windows 10, po odpięciu z domeny pokazuje na planszy logowania tylko konta lokalne, nie ma przycisku przełącz użytkownika, który (jak w przypadku komputera w domenie) pozwala na wpisanie dowolnej nazwy użytkownika. | |
Case 13 | Czynność | Odpięcie od domeny zaszyfrowanego komputera, ponowne wpięcie i próba zalogowania na konto domenowe. |
Skutek | Działa bez problemu. | |
Uwagi | Jeżeli wepniemy komputer pod inną nazwą, klucze nie zapisują się z automatu na nowym koncie w AD. Wówczas należy odszyfrować i ponownie zaszyfrować dysk | |
Case 14 | Czynność | Wyrzucenie komputera z AD i pr?ba zalogowania na konto domenowe |
Skutek | Bez problemu można się zalogować gdy komputer nie ma dostępu do sieci/domeny (Cache konta) | |
Uwagi | Po podpięciu pod sieć występuje komunikat o braku konta komputera dla relacji zaufania | |
Case 15 | Czynność | Szyfrowanie dysków widocznych w systemie (+jakieś udziały sieciowe) lub USB. |
Skutek | Szyfrowanie dysków działa tylko na udziały lokalne (HDD, Pendrive). Nie ma możliwości zaszyfrowania udziału sieciowego. | |
Uwagi | Nic nie jest szyfrowane z automatu, nie ma możliwości by jakiekolwiek urządzenie zostało zaszyfrowane bez naszej zgody. | |
Case 16 | Czynność | Ręczne szyfrowanie świeżo dodanego komputera do domeny |
Skutek | Klucze BitLockera zapisują się w profilu AD komputera, komputer działa prawidłowo, nie pyta o poświadczenia. | |
Uwagi | Przed rozpoczęciem szyfrowania komputer musi być wpięty do domeny oraz w OU, które zawiera polisę grupy BITLOCKER | |
Case 17 | Czynność | Dysk D, Bitlocker+ nałożone dodatkowe hasło + automatyczne odblokowywanie, podłączony jako dodatkowy do innego komputera |
Skutek | Dysk D wyświetla komunikat o katastrofalnej awarii dysku, po wpisaniu hasła (Gdy podpinamy go jako dodatkowy pod komputer z Windows 7). | |
Uwagi | Klucz odzyskiwania nie działa ! | |
Case 18 | Czynność | Przełożenie dysku do innego komputera i przejęcie poświadczeń szyfrowania |
Skutek | Działa prawidłowo | |
Uwagi | Po zalogowaniu na zastępczym komputerze należy ręcznie odszyfrować dyski i zaszyfrować ponownie. Komputer musi być w domenie i mieć polisę grupy BITLOCKER | |
Case 19 | Czynność | Przepinanie dysku linią komend |
Skutek | Najpierw usuwamy hasło a następnie nadajemy nowe, Skutek jest taki sam jak przy ręcznym odszyfrowaniu i zaszyfrwaniu dysku. Dysk staje się własnością nowego komputera. | |
Uwagi | Włączamy CMD jako administrator lokalny i wykonujemy: manage-bde -protectors -delete {Liter a dysku}: -type recoveryPassword manage-bde -protectors -add {Liter a dysku}: -recoveryPassword |
|
Case 20 | Czynność | Bitlocker na wirtualnym Windows Server 2012 R2 |
Skutek | Po ustawieniu BitLockera wymagane jest wpisanie ustawionego przez nas hasła, by załadować system. | |
Uwagi | Należy uruchomić software'owy TPM. Nie ma możliwości zapisania klucza BitLockera- nie generujemy klucza. Jedyną możliwością jest ustawienie przez nas hasła, które trzeba wpisywać przy każdym uruchomieniu. |