Szyfrowanie przenośnych dysków twardych, pendrive i kart SD przy pomocy BitLocker To Go, w systemach Windows
Bezpieczeństwo danych, RODO, tajemnica przedsiębiorstwa, czy wewnętrzne procedury organizacji – to kilka z wielu przyczyn, dla których chcemy zabezpieczyć urządzenia typu pendrive, przenośne dyski twarde, czy karty SD, by po ich zgubieniu nikt nie dotarł do zawartych tam danych. W tym celu niektórzy próbują szyfrować każdy plik z osobna, jednak w końcu odruchowo można o tym zapomnieć, dlatego bardziej efektywną metodą będzie szyfrowanie całego nośnika.
W tym artykule przedstawię, w jaki sposób możemy tego dokonać przy pomocy dołączonego do systemu Windows narzędzia BitLocker To Go. Jest to jedna z funkcji zapoczątkowanych wraz z premierą Windows Vista, która jest rozwijana do dziś. Rozwiązanie to stanowi kryptograficzną ochronę danych zarchiwizowanych na naszych urządzeniach. W przeciwieństwie do samego BitLockera dając możliwość szyfrowania urządzeń wykorzystujących nie tylko system plików NTFS, ale także FAT16, FAT32 i exFAT – często używanych m.in. w pamięciach flash USB (pendrive), zewnętrznych dyskach twardych, kartach SD oraz pozostałych urządzeniach przenośnych. Po zaszyfrowaniu całego dysku zyskujemy większą pewność, że w przypadku jego zgubienia ktoś nie dostanie się do jego zawartości.
Nie jest to złoty środek chroniący nas w 100% przed wszelkimi zagrożeniami wycieku danych np. w wypadku, kiedy sami wpuścimy napastnika do naszego systemu, gdy taki dysk będzie zalogowany, czy podczas infekcji złośliwym oprogramowaniem mogącym ładować swoje składniki we wczesnych fazach bootowania systemu, omijając większość zabezpieczeń celem nadania odpowiednich uprawnień atakującemu. Niestety komputer, do którego ktoś uzyskał dostęp administracyjny, nie jest już naszym komputerem, ponieważ nie posiadamy nad nim pełni władzy. Ten problem nastąpi także, kiedy sami te dane mu wyślemy np. przez nieuwagę. Rozwiązanie stanowi jednak jedno z najważniejszych zabezpieczeń, a w przypadku zgubienia samego nośnika będzie to jedna z lepszych zapór, jakie możemy zastosować. Oczywiście lepiej byłoby go nie gubić, ale to już kwestia procedur – warto dmuchać na zimne. W pozostałych przypadkach pomóc mogą inne zabezpieczenia plus zdrowy rozsądek.
BitLocker To Go domyślnie dostępny jest m.in. w systemach:
- Windows Vista Ultimate, Enterprise
- Windows 7 Ultimate, Enterprise
- Windows Server 2008 (i Windows Server 2008 R2)
- Windows 8 Pro, Enterprise
- Windows 10 Pro, Enterprise
- Windows 11 Pro, Enterprise
Dyski zaszyfrowane tą metodą można także odszyfrować w starszych systemach Windows, jak i MacOS, czy Linux. Dla systemów Windows starszych niż Vista (np. Windows XP), skorzystać możemy z aplikacji umieszczonej na urządzeniu podczas jego szyfrowania. W przypadku Linux lub MacOS użyć możemy np. darmowej aplikacji Dislocker.
Poza samym zabezpieczeniem danych przed wyciekiem, pamiętać musimy także o zabezpieczeniu się przed ich utratą. Wdrażając szyfrowanie należy być świadomym związanego z tym ryzyka odcięcia dostępu do danych, mogącego wystąpić, gdy zapomnimy hasła, a na dodatek nie dbamy o właściwe przechowywanie kluczy odzyskiwania. O ile samo RODO nie zmusza nas do wykorzystywania szyfrowania, o tyle według Art. 32 ust. 1, jest ono jedną z możliwości, o której słuszności decyduje sam administrator. Art. 32 ust. 2 oraz Art. 5 ust. 1 wskazują także, iż dane zabezpieczone powinny być przede wszystkim przed ich utratą. Dobrze wdrożony BitLocker nie wpływa negatywnie na spełnienie tego warunku, zapewniając możliwość odzyskania danych nawet po utracie hasła – generując wcześniej kod odzyskiwania, który musimy bezpiecznie przechowywać. Nie wpływa także negatywnie na możliwości odzyskania danych podczas fizycznego czy logicznego uszkodzenia nośnika. Takie dane – jeżeli tylko mamy klucz – będą miały praktycznie taką samą możliwość odzyskania przy pomocy darmowych narzędzi lub usług komercyjnych, jak w przypadku tych niezaszyfrowanych. Dlatego by uniknąć problemów tak ważnym jest, by pamiętać o właściwym zabezpieczeniu klucza odzyskiwania.
Poniżej zamieszczam opis samego procesu szyfrowania, zmiany hasła i wyłączenia funkcji BitLocker To Go z już zaszyfrowanych urządzeń.
Szyfrowanie przy pomocy funkcji BitLocker To Go
- Podłącz urządzenie, które ma zostać zaszyfrowane.
- Uruchom „Ten komputer”, a następnie prawym przyciskiem myszy zaznacz dysk, który chcesz zaszyfrować. Z menu wybierz opcję „Włącz funkcję BitLocker” (w Windows 11 wcześniej wybierając „Pokaż więcej opcji”, by rozwinąć listę).
- W oknie wyboru zaznacz opcję „Użyj hasła w celu odblokowania dysku” oraz dwukrotnie wprowadź hasło, którym chcesz zabezpieczyć urządzenie. Najlepiej by było ono długie i skomplikowane (dlatego imię naszego dziecka odpada). Po tej operacji kliknij „Dalej”.
- Ważną kwestią jest zabezpieczenie się na wypadek utraty hasła. Wybierz więc, gdzie zapisać kopię 48-znakowego klucza odzyskiwania, dzięki któremu w przyszłości będzie możliwe odzyskanie dostępu do urządzenia. Do wyboru m.in. jest zapisanie go:
- na koncie Microsoft (zdecydowanie nie polecam tego rozwiązania, gdyż Internet to nie jest dobre miejsce do przechowywania jedynego hasła chroniącego wszystkie nasze dane – szczególnie widocznego w postaci zwykłego tekstu po zalogowaniu na stronie MS);
- w pliku (rozwiązanie zalecane jedynie w przypadku trzymania takich plików na innym zaszyfrowanym nośniku);
- na wydruku (który później należy bardzo dobrze zabezpieczyć, nie trzymając go np. pod klawiaturą czy w postaci naklejki na dysku).
Po wybraniu preferowanej opcji, klucz należy dobrze zabezpieczyć, gdyż w przypadku utraty hasła, będzie to jedyna opcja odzyskania dostępu do danych. Następnie kliknij „Dalej”.
- Wybierz część dysku, jaką chcesz zaszyfrować. Dla bezpieczeństwa najlepiej wybrać opcję „Zaszyfruj cały dysk” zamiast „Zaszyfruj tylko zajęte miejsce na dysku”. Proces szyfrowania będzie trwał dłużej, jednak zapewni większe bezpieczeństwo. Szczególnie, jeżeli na urządzeniu znajdowały się jakieś usunięte pliki, które mogły zawierać wrażliwe dane. W końcu dane, które nie zostały nadpisane, nadal da się odzyskać przy pomocy prostych narzędzi. Po wyborze kliknij „Dalej”.
- Czas na wybór trybu szyfrowania. Urządzenie, które chcesz zaszyfrować jest mobilne, a co za tym idzie, może być odtwarzane na różnych komputerach (np. z systemami starszymi, niż Windows 10). Z tego powodu zaznacz „Tryb zgodności”, który zagwarantuje zgodność z systemami starszymi niż Windows 10 w wersji 1511. Po wyborze kliknij „Dalej”.
- W ostatnim kroku wciśnij „Rozpocznij szyfrowanie” oraz poczekaj, aż proces ten zostanie sfinalizowany komunikatem „Szyfrowanie zostało zakończone”. Gotowe! Twoje dane zaczęły być bezpieczne.
Zmiana hasła BitLocker To Go na zaszyfrowanym urządzeniu
- Podłącz urządzenie, dla którego chcesz zmienić hasło, a następnie zaloguj się do niego.
- Uruchom „Ten komputer”, po czym prawym przyciskiem myszy zaznacz właściwy dysk. Z menu wybierz opcję „Zmień hasło funkcji BitLocker” (dla Windows 11 wcześniej wybierając „Pokaż więcej opcji”, by rozwinąć listę).
- W pojawiającym się oknie wpisz stare hasło i dwukrotnie nowe, które chcesz zmienić. Operację potwierdź przyciskiem „Zmień hasło”. Gdy wszystko się zgadza, hasło zostanie zmienione.
Wyłączanie funkcji BitLocker To Go dla zaszyfrowanego urządzenia
- Podłącz urządzenie, dla którego chcesz wyłączyć funkcję szyfrowania, a następnie zaloguj się do niego.
- Uruchom „Ten komputer”, następnie prawym przyciskiem myszy zaznacz dysk, który chcesz odszyfrować, po czym z menu wybierz opcję „Zarządzaj funkcją BitLocker” (dla Windows 11 wcześniej wybierając „Pokaż więcej opcji”, by rozwinąć listę).
- W nowym oknie – obok dysku, z którego chcesz się pozbyć funkcji szyfrowania – wybierz opcję „Wyłącz funkcję BitLocker”.
- Ponownie potwierdź swój wybór klikając „Wyłącz funkcję BitLocker” i poczekaj na zakończenie procesu deszyfracji urządzenia. Zostaniesz o tym powiadomiony komunikatem „Odszyfrowywanie zostało ukończone”.
Autor: Daniel 'zoNE’ Gabryś