Vista sisukorda

Koju1

Koju2

Sisukord

Arvutiabi

Koolitus & help

Kirjutajast...

 

BitLocker vahend.

TPM moodul (TPM kiip) ja mis on 'BitLocker Drive Encryption' vahend?

'BitLocker Drive Encryption' vahendi sisselülitamine ja terve füüsilise kõvaketta (või SSD ketta) või siis eemaldatava ketta krüpteerimine.

 

(Vista, Windows 7, Windows 8/8.1 ja Winows 10.)

 

 

 

 

TPM mikrokiip ja BitLocker vahend:

BitLocker on Windowsisse juba sisseehitatud instrument, mis lubab Sul tõhustatud turvalisuse eesmärgil krüptida (krüpteerida) terve oma kõvaketta või SSD ketta või eemaldatava andmeketta või USB mälupulga. BitLocker krüpteerib seega terved füüsilised kettad, milleks võib olla Sinu süsteemiketas, kuhu on Windows installeeritud (tavaliselt C: ketas), Sinu arvutis olev mingi muu kõvaketas või SSD ketas, virtuaalne kõvaketas (VHD), väline USB kõvaketas või SSD ketas, USB mälupulk või SD kaart. Kui teada ja tuntud TrueCrypt oma "poe sulges", siis soovitati tema kasutajatel TrueCrypt'i edaspidi mitte enam kasutada ning minna üle kas BitLocker või siis Veracrypt vahendi kasutamisele.

Et kaitsta kompuutrit füüsilise rünnaku eest ja lisada temale täiendav kaitsekiht, selleks lisati Windowsisse ka nn Trusted Platform Module Services arhitektuur. Tema abil võid Sa luua laiendatud turvameetmetega platvormi, mille sees on Sinu kompuutri andmed kaitstud isegi siis kui süsteem on võrgust väljas (offlainis). Trusted Platform Module Services kaitseb kompuutrit erilise riistvara komponendi abil, mille nimeks ongi see TPM (Trusted Platform Module). Antud TPM on üks väike mikrokiip, mis on tavaliselt installitud kompuutri emaplaadile, kus ta peab riistvara siini kaudu ühendust terve süsteemiga.

Kõikides kaasaegsetes kompuutrites on see TPM kiip juba olemas ja kompuuter, mis omab seda TPM tehnoloogiat, võib luua võtme, mis on kinnises "kastis" ja see kast on omakorda kinni pitseeritud. Selle võtme pitseerimise protsess veendub selles et antud võti on seotud spetsiifilise platvormi parameetritega (st meie kompuutri teatud kindlate parameetritega teatud kindlal ajahetkel) ja seda võtit saab ainult siis lahti pitseerida kui selle platvormi parameetrite väärtused langevad ühte selles võtmes olevate parameetrite väärtustega siis kui see krüpteeritud võti loodi. TPM võib pitseerida ja siis jälle lahti pitseerida ka endast väljaspool genereerituid andmeid. Windowsis saab TPM-ile ligi ja teda ksutada vahendiga, mille nimi on BitLocker (BitLocker Drive Encryption). See tehnoloogia on sisse lülitatud ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ja Windows 10 Enterprise versioonides.

Erinevalt failisüsteemi krüptimisest (EFS), mille abil saab krüptida üksikuid faile/kaustasid, krüpteerib BitLocker terve ketta, kaasa arvatud buutimiseks ja sisselogimiseks vajalikud Windowsi süsteemifailid.

Kui Sa kasutad BitLocker Drive Encryption vahendi ja TPM tehnoloogia abi Boot Manager'i ja buutimisfailide kinnipitseerimiseks, siis saab neid lahti pitseerida ainult siis kui neid ei ole muudetud sellest ajast kui nad viimati pitseeriti. See tähendab, et Sa võid kasutada TPM'i kompuutri buutimisfailide (alglaadimise ehk käivitamisfailide) kehtivuse kindlakstegemiseks juba pre-operatsioonisüsteemi keskkonnas. Kui Sa pitseerid kinni oma kõvaketta või SSD ketta, siis saab teda lahti pitseerida ainult siis, kui kõvaketta andmeid ei ole muudetud sellest ajast kui ta viimati kinni pitseeeriti. Ja kui neid oli muudetud, siis tuleb sisestada oma taastamisvõti (taastevõti) või siis parool, et oma kettale ligi saada.

Seega kaitseb BitLocker Sinu andmeid isegi siis kui ründaja võib mõõda hiilida operatsioonisüsteemi kaitsemehhanismidest ja minna otse Sinu andmeteni. Teise sõnaga, BitLocker võib kaitsta Sinu kompuutrit siis kui ründaja omab füüsilist juurdepääsu Sinu kompuutrile. See on eriti tähtis neile, kes liiguvad ringi kaasaskantavate arvutitega (näiteks sülearvutid), mis sisaldavad tundlikku infot ja mis võivad kaotsi minna või kui Sinu komuuter ära varastatakse. (Eks sama asi käib ka koduse arvuti kohta, mis sisaldab salajast, konfidentsiaaset, sensitiivset infot - ka see arvuti võidakse ära varastada.)

 

BitLocker & 'BitLocker To Go' tehnoloogiad. BitLocker To Go ja eemaldatava meedia (näiteks välise USB kõvaketta) krüptimine:

Windows on seda BitLocker Drive Encryption (BitLocker) tuge laiendanud ja nüüd saab teda kasutada ka eemaldatava meedia jaoks (USB mälupulgad ja välised USB kõvakettad / SSD kettad) ning see tähendab seda et kasutaja saab nüüd hoida oma sensitiivseid faile ka eemaldatavatel andmeketastel (removable data drives).

Seda laiendatud funktsiooni kutsutakse BitLocker To Go tehnoloogiaks ja nagu BitLocker'it ennastki saab seda tehnikat kasutada ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ning Windows 10 Enterprise versioonidega. Selline piirang kehtib ainult seoses selle kaitse kasutamisega eemaldataval meedial, aga pärast BitLocker To Go kaitse eemaldatavale meediale lisamist saab neid seadmeid kasutada iga Windowsi puhul. See tähendab seda et kui ma olin näiteks oma USB mälupulga või välise USB kõvaketta andmed Windows 7 Ultimate operatsioonisüsteemis BitLocker To Go abil krüptinud, siis saan ma oma krüpteeritud USB mälupulka (või välist USB andmeketast) avada ka kõikides muudes Windowsi operatsioonisüsteemides ja ainsaks piiranguks on see et ma ei saa seal oma mälupulka või välisele andmekettale andmeid (faile) juurde lisada. Kuid neid faile saab krüptitud USB meedialt kopeerida mingi muu Windowsi versiooniga arvuti kõvakettale ja seejärel neid käivitada või avada.

Windowsis on seda BitLocker To Go vahendit väga lihtne kasutada, Sa ei vaja selleks mingit eraldi instrumenti - teed oma eemaldataval kettaseadmel paremklõpsu ja valid käsu Turn on BitLOcker ning lood parooli ja kogu lugu... Sa ei pea looma ka mingit lisapartitsiooni vaid Windows loob ise ühe varjatud partitsiooni ja BitLocker To Go toetab nii FAT (FAT32, exFAT jne) kui ka NTFS failisüsteeme - sellest kõigest siin edaspidi.

 

Märkus: Windows sisaldab lisaks ka nn Encrypting File System (EFS) vahendit, et selle abil krüptida failisid ja kaustasid. EFS instrumendiga saab krüptida ainult kaustasid ja faile mitte aga tervet ketast. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure (PKI)) sertifikaadi abil. Krüptitud sertifikaate hoitakse Sinu kasutajaprofiilis. Ja kui Sa saad juurdepääsu oma kasutajaprofiilile ja temas asuvale krüptimisvõtmele, siis saad Sa ligi ka oma krüptitud failidele.
Kuigi EFS pakub suurepärast võimalust Sinu andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui Sa kaotad või kui keegi varastab Sinu arvuti või kui häkker logib end Interneti kaudu Sinu kompuutrisse sisse, siis saadakse ligi ka Sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib Sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta Sinu arvuti konfiguratsiooni.

 

Mida tuleks enne selle BitLocker vahendi kasutamist ja oma ketaste krüpteerimist teada:

1) Sa võid seda tehnoloogiat kasutada ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ja Windows 10 Enterprise versioonides.

Märkus: ""Windows 10 Home versioonilt üleminek (upgrade) Windows 10 Pro versioonile ja seda täiesti "TASUTA"!"" - loe sellest sealt.

2) BitLocker vahend kaitseb sinu andmeid siis kui kurjategija pääseb Sinu kompuutrile füüsiliselt ligi.

3) Bitlocker instrumenti võib kasutada terve füüsilise ketta krüptimiseks, milleks võib olla:

* süsteemiketas, kuhu on Windows installeeritud (tavaliselt C: ketas, milleks võib olla kas kõvaketas või SSD ketas) — operating system drive;
* kompuutris olevad sisemised andmekettad (näiteks teine kõvaketas või SSD ketas) — fixed data drives;
* eemaldatavad andmekettad, näiteks nagu väline USB kõvaketas (või väline SSD ketas), USB mälupulk ja SD kaart — removable data drives;
* virtuaalne kõvaketas (VHD).

4) Sinu arvutis võib BitLocker seega krüpteerida terve ketta (kõvaketta või SSD ketta), kuhu on Windows installeeritud (operating system drive), aga peale selle ka fikseeritud andmekettad (fixed data drives), näiteks nagu Sinu arvutis asuv mingi muu ketas - kõvaketas või SSD ketas.

5) Et seda BitLocker vahendit sisse lülitada ja krüptida süsteemiketast, pead omama administraatori õigusi.

6) Sa võid BitLocker vahendit kasutada nii selle TPM kiibiga kui ka ilma selleta, juhul kui see mikrokiip puudub Sinu arvutis või kui Sa lihtsalt ei kasuta seda kiipi (näiteks eemaldatavate andmeketaste puhul). See TPM takistab ligipääsu andmekandja käivitamisele väljaspool Sinu süsteemi. Kõikidel kaasaegsetel kompuutritel on see "Trusted Platform Module (TPM)" tugi juba olemas.

Kompuutri teiste sisemiste andmeketaste (nn fikseeritud ketaste), mis ei ole süsteemikettad ja ka eemaldatavate andmeketaste krüptimiseks ei ole seda TPM kiipi vaja ning nende puhul kasutatakse tarkvara-põhist krüptimise meetodit.

Märkus: Kui Sinu vanema arvuti emaplaat ei oma seda TPM kiipi, siis võid kasutada ka Group Policy Editor konsooli, et seal selle BitLocker instrumendi kasutamine sisse lülitada ja seejärel kasutada BitLocker'it ka ilma selle TPM kiibita. See on küll vähem turvaline, aga ikkagi parem kui üldse ilma ketta krüptimata. Sel juhul peab pärast ketta krüptimist kompuutri lahtilukustamiseks kasutama kas parooli või siis USB mälupulka salvestatud nn käivitusvõtit ehk stardivõtit (startup key). Tee selleks järgmist: vajuta Windows + R klahvikombinatsiooni, sisesta Run dialoogiakna käsuviibale gpedit.msc käsk ja vajuta ENTER. Otsi vasemas paanis üles Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives haru. Seejärel tee parempoolses paanis 'Require additional authentication at startup' kirjel 2x hiireklõps - pilt. Aktiveeri üleval see "Enabled" raadionupp ja veendu, et "Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)" kontrollruudus oleks linnuke. Kliki all OK ja sulge Group Policy Editor aken - arvuti restarti pole vaja teha - pilt.

7) BitLocker kontrollib arvuti käivitamise ajal seda et kas on olemas mingid tingimused, mis võivad endas mingit ohtu kujutada, näiteks BIOS või käivitusfailide muudatused. Kui tuvastatakse potentsiaalne oht, siis lukustab BitLocker süsteemiketta ja küsib selle avamiseks spetsiaalset BitLocker'i taastevõtit (BitLocker recovery key).

8) Sa võid oma ketaste krüpteerimiseks kasutada TURVALISEMAT riistvara-põhist krüptimist (hardware-based encryption), aga lisaks sellele ka tarkvara-põhist krüptimist (software-based encryption), näiteks SSD ketaste puhul.

Kui Sa tahad oma kompuutri süsteemiketast (tavaliselt C: ketas) krüpteerida riistvara-põhise krüptimise meetodiga, siis peab Sinu kompuutri emaplaat sisaldama ka TPM mikrokiipi. See TPM kiip genereerib ja salvestab krüpteerimisvõtmed, mida BitLocker kasutab. BitLocker kasutabki vaikimisi just seda turvalisemat riistvara-põhist krüptimist, aga seda ainult sel juhul kui on olemas see TPM kiip ja kui krüpteeritav ketas toetab antud krüptimise meetodit. Tarkvara põhist krüptimise meetodit tuleb kasutada näiteks siis kui emaplaat ei oma seda TPM kiipi või kui Sinu ketas (näiteks mingi eemaldatav ketas või SSD ketas) ei toeta riistvara-põhist krüptimist. Kui Windows tuvastab, et ketas ei toeta riistvara põhist krüptimist, siis ta lülitab automaatselt sisse tarkvara-põhise krüptimise.

Tarkvara-põhist krüptimise meetodit kasutatakse järgmiste ketaste puhul:

* Kompuutri süsteemiketas, kuhu on Windows installeeritud (tavaliselt C: ketas) — seda sel juhul kui tema puhul ei toetata riistvara-põhist krüptimist, näiteks mõned SSD kettad või siis kui ei kasutata TPM-kiipi.
* Kompuutri sisemised andmekettad, mis ei ole süsteemikettad ja seda sel juhul kui nad ei toeta riistvara-põhist krüptimist - Fixed Data Drives.
* Eemaldatavad andmekettad, näiteks välised USB kettad - Removable Data Drives.

9) Sa võid valida, et kuidas Sinu kompuutris asuvat krüptitud süsteemiketast (või muid fikseeritud andmekettaid) saab lahti lukustada: kas 6-20 sümbolist koosneva PIN-koodiga (see nõuab ka TPM kiibi olemasolu), parooliga, käivitusvõtmega (startup key), mis asub Sinu USB mälupulgas või siis kiipkaardiga (smart card). Sinu kompuutri võib ka automaatselt lahti lukustada siis kui Sa kasutad TPM kiipi, aga see meetod pole turvalisuse suhtes soovitatav. Neid fikseeritud kettaid, mis ei ole süsteemiketas, saab automaatselt lahti lukustada ainult sel juhul kui Sinu süsteemiketas (tavaliselt C:) oli juba eelnevalt krüpteeritud.

10) Kui Sa salvestad uued failid juba krüptitud kettale, siis krüptitakse need automaatselt juba ENNE salvestamist. Kui Sa kopeerid krüptitud kettalt failid mingile teisele kettale või erinevasse kompuutrisse, siis need failid dekrüptitakse automaatselt. Kui Sa juba töötad oma krüptitud kettaga, siis antud ketta andmete lugemisel või kirjutamisel ei krüptita või ei dekrüptita jälle tervet ketast vaid opereeritakse ainult nende kirjutatavate või loetatavate andmetega.

11) Kui Sa teed oma krüptitud kettast varukoopia (image backup), siis varundatakse tema andmed tavaliselt krüpteerimata kujul.

12) BitLocker'i kasutamine vähendab Sinu süsteemi jõudlust väga vähe (võib olla 1% ulatuses). BitLocker mõjustab süsteemi jõudlust erineval määral. Windows toetab BitLocker'it, mis võib töötada nii TPM kiibiga kui ka ilma selleta, aga see et kas kompuuter töötab TPM'iga või ilma selleta, ei mõjusta kompuutri jõudlust.

13) Juhul kui Sinu kompuuter lülitus krüptimise või dekrüptimise ajal välja, siis BittLocker käivitab selle krüptimise või dekrüptimise protsessi uuesti sealt alates, kus see pooleli jäi. Sama ka siis kui Sa panid oma arvuti uinaku režiimi (sleep mode); ketta krüptimise protsessi võib ka ise ajutiselt peatada (nupp "Pause").

14) Millal Sa vajad seda spetsiaalset taastevõtit (Recovery Key)? Seda taastamise võtit läheb Sul vaja mitmel põhjusel: näiteks kui Sa uuendasid oma arvuti BIOS / UEFI firmwaret või kui Sa installeerisid uue emaplaadi või kui Sa kaotasid oma USB mälupulga koos selles oleva stardivõtmega (juhul kui Sa valisid lisaks ka sellise lahtilukustamise meetodi) või kui Sa siirdasid oma krüptitud ketta uude kompuutrisse või kui Sa muutsid oma kompuutri buutimise (algkäivituse) konfiguratsiooni. Juhul kui Sa tahad uuendada oma arvuti BIOS kiipi, siis võid ajutiselt selle BitLocker vahendi välja lülitada (turn off), seejärel uuendada oma BIOS'i ja siis lülitada see BitLocker uuesti sisse (turn on).

15) Sul tuleb enne ketta krüpitimise alustamist kasutada ka Group Policy Editor konsooli abi, et näiteks valida seal SSD ketaste jaoks tarkvara-põhine krüptimise meetod või siis määrata seda et kompuuter lukustatakse lahti ainult PIN koodi sisestamisega või USB mälupulgas asuva stardivõtme või kiipkaardi abil. (TPM kiibi kasutamisega lukustatakse kompuuter vaikimisi lahti selle TPM-iga ja kasutaja ei pea ise midagi tegema. Kuid selline TPM-only variant ei ole see kõige turvalisem meetod, sest sel juhul võidakse kasutada nn Cold Boot, Firewire ja BIOS klaviatuuri puhver-rünnakuid. Seega tuleks arvuti lahtilukustamiseks kasutada veel ka näiteks seda PIN parooli.) Selles Group Policy Editor konsoolis võib vajadusel ka muud määrata...

16) Mõnda draivi ei saagi krüpteerida, näiteks kui ta on ebapiisava suurusega või kui ta on kokkusobimatu failisüsteemiga või kui ta on dünaamiline ketas või kui ta on määratud süsteemi partitsiooniks. (Vaikimisi Sa ei näe oma ekraanil seda süsteemi partitsiooni, aga mõnikord kuvatakse teda kettatähisena.)

17) Sa ei tohi kaotada oma parooli või PIN-koodi või USB stardivõtit, sest ilma selleta Sa ei saa oma kompuutrit (või eemaldatavat andmeketast) lahti lukustada. Kuid sel puhul võid probleemi lahendada ka selle spetsiaalse taastevõtmega (BitLocker recovery key), mille saab alati, enne ketta krüptimise alustamist, salvestada nii oma Microsofti konto pilve kui ka USB mälupulka või ta lisaks ka välja printida.

18) BitLocker kaitseb Sinu kompuutrit ainult siis kui ta on võrgust väljas (offlainis). Ta ei kaitse kompuutrit Internetist tuleva ründe vastu.

19) Kettaid saab BitLocker vahendi abil krüpteerida kahel viisil (meetodil):

Etteotsa

 

TPM juhtimine (TPM Management):

Et kasutada Trusted Platform Module Services (TPM) arhitektuuri ja BitLocker vahendit, peab Sinu kompuuter olema varustatud temaga ühilduva TPM kiibiga. See TPM peab BIOS / UEFI sätetets olema ka sisse lülitatud, see tuleb vajadusel üle kontrollida - pilt.

Märkus: Kompuutri teiste ketaste (nn fikseeritud ketaste), mis ei ole süsteemikettad ja ka eemaldatavate ketaste krüptimiseks ei ole seda TPM kiipi vaja ning nende puhul kasutatakse tarkvara-põhist krüptimise meetodit. Tarkvara-põhist krüptimise meetodit kasutatakse järgmiste ketaste puhul (sel juhul ei ole vaja ka seda TPM kiipi):

* Kompuutri andmekettad, mis ei ole süsteemikettad - Fixed Data Drives.
* Eemaldatavad andmekettad, näiteks välised USB kettad - Removable Data Drives.
* Kui ketas ei toeta riistvara-põhist krüptimise meetodit, näiteks paljud SSD kettad.

Kui Sinu vanema arvuti emaplaat ei oma seda TPM kiipi, siis võid kasutada ka Group Policy Editor konsooli, et seal selle BitLocker instrumendi kasutamine sisse lülitada ja seejärel kasutada BitLocker'it ka ilma selle TPM kiibita. See on küll vähem turvaline, aga ikkagi parem kui üldse ilma ketta krüptimata. Sel juhul peab pärast ketta krüptimist kompuutri lahtilukustamiseks kasutama kas parooli või siis USB mälupulka salvestatud nn käivitusvõtit ehk stardivõtit (startup key). Tee selleks järgmist: vajuta Windows + Rklahvikombinatsiooni, sisesta Run dialoogiakna käsuviibale gpedit.msc käsk ja vajuta ENTER. Otsi vasemas paanis üles Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives haru. Seejärel tee parempoolses paanis 'Require additional authentication at startup' kirjel 2x hiireklõps - pilt. Aktiveeri üleval see "Enabled" raadionupp ja veendu, et "Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)" kontrollruudus oleks linnuke. Kliki all OK ja sulge Group Policy Editor aken - arvuti restarti pole vaja teha - pilt.

Windows toetab praegu TPM 1.2 ja kõrgemaid versioone ning nõuab ka Trusted Computing Group (TCG)–ühilduvat BIOS'i (UEFI'i). Selline BIOS/UEFI toetab Static Root of Trust Measurement spetsifikatsiooni.

Kuid kõik UUEMAD KAASAEGSED kompuutrid juba omavad neid asju ja sellega muret ei ole! Enne kui Sa võid TPM-i kasutada, pead Sa ta initsialiseerima esmaseks kasutamiseks ja lülitama ta sisse. See initsialiseerimine ja TPM aktiveerimine on ainult vanemate kompuutrite ning varasemate Windowsite puhul vajalik. Kõik uued Windows 10 seadmed (personaalsed kompuutrid, tahvelarvutid & Windows 10 Mobile seadmed), mis ilmuvad müüki alates 2016. a. suvest (täpsemalt pärast juuli kuud soeses Windows 10 'Anniversary Update' värskenduse väljailmumisega), peavad omama juba TPM 2.0 moodulit ja see peab olema ka vaikimisi sisse lülitatud (UEFI Firmware's). See TPM (Trusted Platform Module) on turvalisuse riistvaraline funktsioon, mis nõuab emaplaadile integreeritud spetsiaalset mikrokiipi. See nõue kehtib ainult uute OEM süsteemide osas. TPM jääb mittekohustuslikuks Windows IoT seadmete, "kompuuter pulgas" (näiteks Intel Compute Stick) kompuutrite ja ka osade Windows Server kompuutrite jaoks. Seega kui Sul on uuem Windows 10 süsteemiga kompuuter, siis võid kohe ketta krüptimist alustada.

 

TPM'i saab juhtida Trusted Platform Module Management konsooli abil, et teda avada, tee selleks:

  1. Start - All Programs - Accessories ja siis klõpsa Run (Sa pead olema administraatori õigustega). Või vajuta Win+R klahvikombinatsiooni, et avada seda Run dialoogiakent.

  2. Sisesta Run dialoogiakna käsuviibale tpm.msc ja vajuta Enter.

    Sisesta Run dialoogiakna käsuviibale tpm.msc ja vajuta Enter


    Märkus: Sa võid selle (tpm.msc) tippida ka Start menüü Search otsikasti ja vajutada ENTER - pilt.

    Juhul kui ilmub järgnev teade, siis kas Sinu vanema kompuutri emaplaat ei sisalda seda TPM mikrokiipi või ta ei ole BIOS (või UEFI) sätetes sisse lülitatud (kontrolli see üle). Kõige uuemate kompuutrite emaplaadid juba sisaldavad seda TPM 1.2 (või TPM 2.0) mikrokiipi, aga vanematel kompuutritel seda ei ole:

    Sinu vanema kompuutri emaplaat ei sisalda seda TPM mikrokiipi


Kui kõik on korras, siis aga näed sellist akent, kus Sa võid vajadusel kasutada ainult seda Actions menüü all asuvat Clear TPM... käsku - pilt. See 'Clear TPM...' käsk resetib Sinu Trusted Platform Module (TPM) kiibi tema tehase vaikimisi säteteni. Sellega eemaldatakse TPM mikrokiibist kõik Sinu autoriseerimise väärtused ja kõik võtmed, mida seal kiibis hoitakse. TPM kiibi puhastamist võid näiteks siis kasutada kui Sa ei kasuta enam seda TPM vahendit või Sa olid oma võtmed kaotanud või kui Sa teed oma Windowsi ümberinstalli või kui Sa uuendad selle TPM kiibi firmwaret või kui Sa müüd oma arvuti ära jne. Kui Sa klikkisid seal Trusted Platform Module Management konsooli parempoolses paanis sellele 'Clear TPM...' käsule, siis ilmub aken, kus kliki Reset nupile:

Reset

Etteotsa

 

BitLocker vahend ja terve ketta krüptimine:

BitLocker Drive Encryption (BitLocker) vahendit saab kasutada "pahade" vastu, kellel on füüsiline ligipääs Sinu kompuutrile ja kes soovivad sealt andmeid varastada. Sest ründaja võib kompuutri käivitada buutimisplaadilt ja seejärel tühistada adminparooli ning saada kompuutri kõik "varad" endale.... Ta võib ligi saada ka otse kõvakettale kasutades selleks CD plaadil olevat erinevat operatsioonisüsteemi.

Kordan eelpool õeldut: Bitlocker instrumenti võib kasutada terve füüsilise ketta krüptimiseks, milleks võib olla:

* süsteemiketas, kuhu on Windows installeeritud (tavaliselt C: ketas, milleks võib olla kas kõvaketas või SSD ketas) — operating system drive;
* kompuutris olevad sisemised andmekettad (näiteks teine kõvaketas või SSD ketas) — fixed data drives;
* eemaldatavad andmekettad, näiteks nagu väline USB kõvaketas (või väline SSD ketas), USB mälupulk ja SD kaart — removable data drives;
* virtuaalne kõvaketas (VHD).

Sa võid BitLocker vahendit kasutada nii selle TPM kiibiga kui ka ilma selleta, juhul kui see mikrokiip puudub Sinu arvutis või kui Sa lihtsalt ei kasuta seda kiipi (näiteks eemaldatavate andmeketaste puhul). See TPM takistab ligipääsu andmekandja käivitamisele väljaspool Sinu süsteemi. Kõikidel kaasaegsetel kompuutritel on see "Trusted Platform Module (TPM)" tugi juba olemas.

Kompuutri teiste sisemiste andmeketaste (nn fikseeritud ketaste), mis ei ole süsteemikettad ja ka eemaldatavate andmeketaste krüptimiseks ei ole seda TPM kiipi vaja ning nende puhul kasutatakse tarkvara-põhist krüptimise meetodit.

Märkus: Kui Sinu vanema arvuti emaplaat ei oma seda TPM kiipi, siis võid kasutada ka Group Policy Editor konsooli, et seal selle BitLocker instrumendi kasutamine sisse lülitada ja seejärel kasutada BitLocker'it ka ilma selle TPM kiibita. See on küll vähem turvaline, aga ikkagi parem kui üldse ilma ketta krüptimata. Sel juhul peab pärast ketta krüptimist kompuutri lahtilukustamiseks kasutama kas parooli või siis USB mälupulka salvestatud nn käivitusvõtit ehk stardivõtit (startup key). Tee selleks järgmist: vajuta Windows + Rklahvikombinatsiooni, sisesta Run dialoogiakna käsuviibale gpedit.msc käsk ja vajuta ENTER. Otsi vasemas paanis üles Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives haru. Seejärel tee parempoolses paanis 'Require additional authentication at startup' kirjel 2x hiireklõps - pilt. Aktiveeri üleval see "Enabled" raadionupp ja veendu, et "Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)" kontrollruudus oleks linnuke. Kliki all OK ja sulge Group Policy Editor aken - arvuti restarti pole vaja teha - pilt.

BitLocker kontrollib arvuti käivitamise ajal seda et kas on olemas mingid tingimused, mis võivad endas mingit ohtu kujutada, näiteks BIOS või käivitusfailide muudatused. Kui tuvastatakse potentsiaalne oht, siis lukustab BitLocker süsteemiketta ja küsib selle avamiseks spetsiaalset BitLocker'i taastevõtit (BitLocker recovery key). Seda taastevõtit läheb Sul näiteks ka siis vaja kui Sa kaotasid oma parooli.

Sa võid oma ketaste krüpteerimiseks kasutada TURVALISEMAT riistvara-põhist krüptimist (hardware-based encryption), aga sellele lisaks ka tarkvara-põhist krüptimist (software-based encryption), näiteks SSD ketaste puhul.

Kui Sa tahad oma kompuutri süsteemiketast (tavaliselt C: ketas) krüpteerida riistvara-põhise krüptimise meetodiga, siis peab Sinu kompuutri emaplaat sisaldama ka TPM mikrokiipi. See TPM kiip genereerib ja salvestab krüpteerimisvõtmed, mida BitLocker kasutab. BitLocker kasutabki vaikimisi just seda turvalisemat riistvara-põhist krüptimist, aga seda ainult sel juhul kui on olemas see TPM kiip ja kui krüpteeritav ketas toetab antud krüptimise meetodit. Tarkvara-põhist krüptimise meetodit tuleb kasutada näiteks siis kui emaplaat ei oma seda TPM kiipi või kui Sinu ketas (näiteks mingi eemaldatav andmeketas või SSD ketas) ei toeta riistvara-põhist krüptimist. Kui Windows tuvastab, et ketas ei toeta riistvara põhist krüptimist, siis ta lülitab automaatselt sisse tarkvara-põhise krüptimise.

Tarkvara-põhist krüptimise meetodit kasutatakse järgmiste ketaste puhul:

* Kompuutri süsteemiketas, kuhu on Windows installeeritud (tavaliselt C: ketas) — seda sel juhul kui tema puhul ei toetata riistvara-põhist krüptimist, näiteks mõned SSD kettad või siis kui ei kasutata TPM-kiipi.
* Kompuutri sisemised andmekettad, mis ei ole süsteemikettad ja seda sel juhul kui nad ei toeta riistvara-põhist krüptimist - Fixed Data Drives.
* Eemaldatavad andmekettad, näiteks välised USB kettad - Removable Data Drives.

Sa võid valida, et kuidas Sinu kompuutris asuvat krüptitud süsteemiketast (või muid fikseeritud andmekettaid) saab lahti lukustada: kas 6-20 sümbolist koosneva PIN-koodiga (see nõuab ka TPM kiibi olemasolu), parooliga, käivitusvõtmega (startup key), mis asub Sinu USB mälupulgas või siis kiipkaardiga (smart card). Sinu kompuutri võib ka automaatselt lahti lukustada siis kui Sa kasutad TPM kiipi, aga see meetod pole turvalisuse suhtes soovitatav. Neid fikseeritud kettaid, mis ei ole süsteemiketas, saab automaatselt lahti lukustada ainult sel juhul kui Sinu süsteemiketas (tavaliselt C:) oli juba eelnevalt krüpteeritud.

Millal Sa vajad seda spetsiaalset taastevõtit (BitLocker recovery key)? Seda taastamise võtit läheb Sul vaja mitmel põhjusel: näiteks kui Sa uuendasid oma arvuti BIOS / UEFI firmwaret või kui Sa installeerisid uue emaplaadi või kui Sa kaotasid oma USB mälupulga koos selles oleva stardivõtmega (juhul kui Sa valisid lisaks ka sellise lahtilukustamise meetodi) või kui Sa siirdasid oma krüptitud ketta uude kompuutrisse või kui Sa muutsid oma kompuutri buutimise (algkäivituse) konfiguratsiooni. Juhul kui Sa tahad uuendada oma arvuti BIOS kiipi, siis võid ajutiselt selle BitLocker vahendi välja lülitada (turn off), seejärel uuendada oma BIOS'i ja siis lülitada see BitLocker uuesti sisse (turn on).

Sul tuleb enne ketta krüpitimise alustamist kasutada ka Group Policy Editor konsooli abi, et näiteks valida seal SSD ketaste jaoks tarkvara-põhine krüptimise meetod või siis määrata seda et kompuuter lukustatakse lahti ainult PIN koodi sisestamisega või USB mälupulgas asuva stardivõtme või kiipkaardi abil. (TPM kiibi kasutamisega lukustatakse kompuuter vaikimisi lahti selle TPM-iga ja kasutaja ei pea ise midagi tegema. Kuid selline TPM-only variant ei ole see kõige turvalisem meetod, sest sel juhul võidakse kasutada nn Cold Boot, Firewire ja BIOS klaviatuuri puhver-rünnakuid. Seega tuleks arvuti lahtilukustamiseks kasutada veel ka näiteks seda PIN parooli.) Selles Group Policy Editor konsoolis võib vajadusel ka muud määrata...

Sa ei tohi kaotada oma parooli või PIN-koodi või USB stardivõtit, sest ilma selleta Sa ei saa oma kompuutrit (või eemaldatavat ketast) lahti lukustada. Kuid sel puhul võid probleemi lahendada ka selle spetsiaalse taastevõtmega (BitLocker recovery key), mille saab alati, enne ketta krüptimise alustamist, salvestada nii oma Microsofti konto pilve kui ka USB mälupulka või ta lisaks ka välja printida.



BitLocker Drive Encryption funktsiooni võib kasutada nii TPM kui ka mitte-TPM (non-TPM) kompuutritega.

1) TPM ühilduvatel kompuutritel võib BitLocker kasutada kahte TPM režiimi:

 

2) Kompuutritel, mis ei oma TPM kiipi või kui ta ei ühildu TPM vahendiga, kasutatakse USB Flash Drive Key režiimi. Kasutaja sisestab USB mälupulga kompuutrisse, enne kui ta lülitab kompuutri sisse. Võti, mis asub selles mälupulgas, lukustab kompuutri lahti.

 

Kettaid saab BitLocker vahendi abil krüpteerida kahel viisil (meetodil):

 

BitLocker (BitLocker Drive Encryption) instrumendi kasutamine nõuab ka seda et Sinu ketas oleks formaaditud NTFS failisüsteemi - pilt. BitLocker To Go on aga ette nähtud eemaldatavate andmeketaste krüptimiseks ja nendeks võivad olla USB mälupulgad, SD kaardid, välised USB andmekettad, mis on formaaditud kasutades NTFS, FAT16, FAT32 või exFAT failisüsteeme.

Kui Sa krüpteerid oma süsteemiketta (st ketta, kuhu on Windows installitud), siis on soovitatav, et BIOS/UEFI menüü sätetes oleks pandud esmaseks buutimiskettaks kõvaketas (mitte aga CD/DVD plaat või USB mälupulk). Vastasel juhul arvab BitLocker pärast kompuutri käivitamist, et tegu oli pahatahtliku buutimisjärjekorra muutmisega ja nõuab selle peale ka taastevõtit või stardivõtit, et edasi minna. Kui Sa vahepeal, töö käigus, muutsid seda buutimisjärjekorda, siis pane pärast oma töö lõpetamist see kõvaketas esmaseks buutimisseadmeks jälle tagasi.

 

 

Esimene näide. Kompuutri süsteemiketta (tavaliselt C:) krüpteerimine:

Märkus: Enam-vähem sarnaselt käib ka kompuutris olevate teiste sisemiste fikseeritud andmeketaste (fixed data drives) krüptimine. Sa võid nende fikseeritud andmeketaste lahtilukustamiseks kasutada kas parooli või siis kiipkaardi (smart card). Sa võid ka nii määrata, et need fikseeritud andmekettad lukustatakse automaatselt lahti pärast seda kui Sa lukustasid lahti oma kompuutri, aga sel juhul peab ka süsteemiketas olema krüpteeritud. Üldiselt on nii et kui Sa hakkad mingit ketast krüptima, siis Windows kontrollib ise kõik üle ja pakub Sulle oma nõustajas need sobivad variandid. Seda 'Group Policy Editor' vahendi kasutamist on vaja ainult siis kui Sa tahad turvalisust veelgi tõsta, näiteks enne süsteemiketta krüptimise alustamist.

1) Antud näites krüpteerime siis süsteemiketta (Operating System Drive) ja teeme seda kõige turvalisema meetodiga, st peale selle TPM kontrolli, tuleb kasutajal pärast arvuti käivitamist või restarti sisestada ka see PIN parool (või siis tekstiparool). Antud juhul krüptime me kõvaketast, mitte aga SSD ketast, mille krüptimisest tuleb siin edaspidi juttu. Et alustada selle süsteemiketta (Operating System Drive) krüptimist, vajuta Widows + R klahve, sisesta Run dialoogiakna käsuviibale gpedit.msc käsk ja vajuta ENTER:

gpedit.msc käsk

2) Otsi üles ja märgista 'Group Policy Editor' akna vasemas paanis Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives haru ja tee parempoolses paanis sellel Require additional authentication at startup poliitikal 2x klikk - pilt.

3) Vali üleval Enabled raadionupp, eemalda 'Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)' ruudust see linnuke, jäta allpool kõik samaks ja kliki nupule OK:

Vali üleval Enabled raadionupp

4) Seejärel ava File Explorer (või Windows Explorer) aken, tee C: kettal paremklikk ja vali ilmuvast kontekstmenüüst Turn on BitLocker käsk:

Turn on BitLocker käsk

Märkus: Teised meetodid ketta krüptimise alustamiseks. Et näiteks Windows 7 või hilisemas süsteemis seda krüptimist alustada, sisesta Start menüü Search otsikasti sõna BitLocker ja seejärel kliki üleval otsingutulemustes Manage BitLocker lingile. Avatakse BitLocker Drive Encryption aken, kus vali välja vajalik draiv ja kliki tema järel asuvale Turn On BitLocker lingile. Windows 7 ja Windows 10 süsteemides saad sellele BitLocker vahendile ligi ka Control Panel\System and Security\BitLocker Drive Encryption kaudu. Näide BitLocker Drive Encryption funktsiooni avaaknast Windows 10 opsüsteemis.................. - pilt.

5) Seejärel võivad Sulle ilmuda nõustaja erinevad aknad ja see sõltub järgmisest:

Enter a PIN (recommended)

Märkus: Selle eelmise akna "Insert a USB flash drive" valik lubab Sul süsteemiketta lukustada lahti USB mälupulgaga, kuhu on salvestatud see stardivõti (startup key) - seda meil praegu vaja ei lähe. Aga allpool siis näide sellisest nõustaja aknast, mis ilmub siis kui TPM kiipi ei kasutata; siin võid siis kompuutri lahtilukustamiseka valida stardivõtmega USB mälupulga ja/või parooli:

TPM kiipi ei kasutata

 

6) Nüüd loo endale see PIN parool, mis võib koosneda 6-20 numbrist ja kliki all Set PIN nupule:

Nüüd loo endale see PIN parool, mis võib koosneda 6-20 numbrist

!!! Jäta see PIN kood kohe meelde, sest seda läheb Sul nüüd vaja juba enne ketta krüptimise alustamist.

7) Seejärel loo kindlasti ka taastevõti (BitLocker Recovery Key) ja seda juhuks kui Sa unustasid oma parooli või kaotasid kiipkaardi või kui Sinu TPM toega kompuuter "kärvas maha" ning kui Sa tahad oma kõvakettale teise kompuutri kaudu ligi saada. Sa võid selle taastevõtme salvestada oma Microsofti konto alla või siis faili või isegi välja printida. Kui Sa arhiveerid oma taastevõtme Microsofti konto alla, siis saad hiljem sellele võtmele ligi selle veebilehe kaudu (sellest tuleb veel edaspidi ka juttu!). Sa võid ka neid kõiki kolme kasutada, kliki siin järjest kõikidele nendele linkidele. Kui Sa salvestad selle taastevõtme, siis pead ta salvestama kas USB mälupulka või siis välisele USB kettale. Kui valmis, siis kliki nupule Next:

Seejärel loo kindlasti ka taastevõti (Recovery Key)

Näide taastevõtme (BitLocker Recovery Key) salvestamisest USB mälupulka:

Näide taastevõtme salvestamisest (USB mälupulka)

 


Selle salvestatud või väljaprinditud taastevõtme (BitLocker Recovery Key) tekstifaili sisu näeb siis välja umbes järgmine:

BitLocker Drive Encryption recovery key

To verify that this is the correct recovery key, compare the start of the following identifier with the identifier value displayed on your PC.

Identifier:

FB8C63B7-F1C4-4F9E-BF00-25AAE4CD5427 [Minu märkus: See ei ole kompuutri ID vaid see on seotud antud krüptitud kettaga. Näiteks kui Sa olid mitu erinevat ketast krüpteerinud ja salvestanud ka nende taastamisvõtmed, siis saad mingi krüptitud ketta lahtilukustamisel antud ketta identifitseerijat (ID) võrrelda ekraanil kuvatava ID-ga. See kõik on ainult siis vajalik kui Sul on neid taastevõtmeid mitu ja kui Sa ei saa mingit ketast antud taastevõtmega lahti lukustada (võib olla sisestasid vale taastevõtme): sel juhul siis võrdledki neid ID-sid ja vaatad, et kas antud ketta jaoks sai ikka see õige taastevõti sisestatud.]

If the above identifier matches the one displayed by your PC, then use the following key to unlock your drive.

Recovery Key:

734899-123440-366917-636911-584474-156111-360525-248303 (Minu märkus: See ongi siis taastevõti ja seda kasutagi siis kui selleks vajadus tekib.)

If the above identifier doesn't match the one displayed by your PC, then this isn't the right key to unlock your drive.
Try another recovery key, or refer to https://go.microsoft.com/fwlink/?LinkID=260589 for additional assistance.

See "BitLocker Drive Encryption recovery key" tekstifail on vaikimisi redakteerimise suhtes kaitstud ("Read-only") ja juhul kui Sa tahad selle teksti sisus midagi muuta või täiendada, siis tee sellel tekstifailil paremklikk ja vali 'Properties' käsk. Seejärel korista seal "Read-only" ruudust see linnuke ära. Pärast muudatuse tegemist ja salvestamist pane sinna ruutu see linnuke jälle tagasi.

Loomulikult ära muuda seda ketta krüptimise taastevõtit või ID-d ennast!


 

8) Nüüd sai nõustajas ka see Next nupp ligipääsetavaks, kliki sellele, et edasi minna:

Nüüd sai nõustajas ka see Next nupp ligipääsetavaks, kliki sellele, et edasi minna

 

9) Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next. Ülemise raadionupu võid siis valida kui Sul on tegemist uue ketta või uue kompuutriga: BitLocker krüptib sel juhul ainult andmed, aga see ei ole just mitte kõige turvalisem meetod, kuid see meetod võib krüptimiseks kuluvat aega vähendada kuni 99%. Meie aga valime siin selle alumise raadionupu:

Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next

10) Nüüd vali krüptimise režiim: Kui Sul jookseb oma kompuutris Windows 10 operatsioonisüsteem, siis näed ka lisaakent, mis lubab Sul valida ka krüptimise režiimi. Kui Sa kasutad aga Windows 7 või 8 versiooni, siis sellist nõustaja akent Sa ei näe.

Kui Sa krüptid fikseeritud ketast või kui Sa kavatsed krüptitud ketast kasutada tulevikus ainult Windows 10 süsteemiga kompuutris, siis vali see ülemine "New encryption mode" raadionupp. Kui Sa krüptid aga eemaldatavat ketast (removable drive), mida Sa kavatsed tulevikus ka varasemate Windowsitega kompuutrites kasutada, siis vali siin see "Compatible mode" raadionupp. Seejärel kliki jälle Next:

New encryption mode

11) Pane järgmises aknas linnuke sinna "Run BitLocker system check" ruutu ja kliki nupule Continue:

Run BitLocker system check

12) Kliki nupule Restart now:

Kliki nupule Restart now

Pärast sellele "Restart now" nupule klikkimist tehakse arvuti restart ja siis ilmub kohe alguses sinine kompuutri lahtilukustamise ekraan, kuhu sisesta tekstikasti see PIN kood, mille Sa eelpool loosid ning vajuta ENTER. Alles seejärel ilmub see tuttav Lukustuva ekraan ja pärast seda süsteemi sisselogimise ekraan, kuhu pead siis oma Windowsi süsteemi sisselogimise parooli sisestama [tekstiparooli või PIN parooli või pilt-parooli või siis Windows Hello vahendi mingi tuvastamise meetodi (näo, sõrmejälgede või silma võrkkesta kaudu tuvastamise)].

Kui Sa ei jõudnud seda PIN parooli ühe minuti jooksul sisestada, siis lülitatakse kompuuter automaatselt välja. Lülita ta 10-15 sekundi pärast uuesti sisse ja sisesta uuesti see PIN kood. Allpool siis pilt sellest kompuutri lahtilukustamise ekraanist, kuhu pead oma PIN-parooli sisestama:

PIN kood

 

Märkus: Kui Sa TPM kiipi ei kasuta, siis ilmub selline sinine ekraan, kus pead arvuti lahtilukustamiseks sisestama hoopis tekstiparooli (või kasutama stardivõtmega USB maälupulka).

13) Kui Sa jõuad süsteemi tagasi, siis see ketta krüpteerimine juba käib. Kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile:

Kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile

Käib krüptimine..., see võib võtta üsna palju aega, olenevalt Sinu ketta suurusest ja ka sellest et kui palju andmeid ta sisaldab. Sa võid sel ajal näiteks Internetis surfata või üldse kompuutri rahule jätta:

Käib krüptimine..., Sa võid sel ajal näiteks Internetis surfata või üldse kompuutri rahule jätta

14) Kui valmis, siis sulge see aken:

Kui valmis, siis sulge see aken

Kui Sa teed nüüd juba krüptitud kettal paremkliki, siis näed ilmuvas menüüs ka kahte BitLocker'iga seotud käsku, kliki "Manage BitLocker" käsule...:

Manage Bitlocker

...ja Sa jõuad aknasse, kus näed kõiki oma krüptitud ja ka mitte-krüptitud kettaid. Krüptitud ketta jaoks pakutakse kohe kõrval ka mitut menüüpunkti, mida Sa võid antud ketta jaoks vajadusel kasutada:

Krüptitud ketta jaoks pakutakse kohe kõrval ka mitut menüüpunkti

Märkus: Mida see 'Suspend protection' (pause) valik siin tähendab? Sa võid antud kettale ajutiselt selle BitLocker kaitse peatada, näiteks siis kui Sa tahad oma süsteemikettale installeerida uue tarkvara, mille võib BitLocker muidu peatada. Ja kui said oma installeerimisega valmis, siis lülitad selle BitLocker kaitse siinsamas uuesti sisse (Resume protection). Süsteemiketta puhul lülitatakse see BitLocker kaitse automaatselt uuesti sisse ka siis kui Sa teed kompuutri restardi.

Kui Sa peatad siin ajutiselt aga fikseeritud andmeketta (fixed data drive) kaitse, siis pead ise käsitsi selle BitLocker kaitse uusti sisse lülitama (seda isegi pärast arvuti restarti). Ja sama kehtib ka nende eemaldatavate andmeketaste (removable data drive) suhtes.

Etteotsa

 

Ketta dekrüpteerimine ehk antud ketta jaoks krüptimise tühistamine ja Bitlocker'i väljalülitamine:

1) Ava File Explorer (või Windows Explorer), tee krüptitud kettal paremklikk ja vali kontekstmenüüst Manage BitLocker menüüpunkt:

Ava File Explorer (või Windows Explorer), tee krüptitud kettal paremklikk ja vali kontekstmenüüst Manage BitLocker menüüpunkt

2) Kliki vastavast krüptitud kettast paremal asuvale Turn off BitLocker lingile:

Kliki Turn off BitLocker lingile

3) Kliki Turn off BitLocker nupule:

Kliki Turn off BitLocker nupule

4) Kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile...:

Kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile

...ja Sa näed, et ketast juba dekrüpteeritakse:

...ja Sa näed, et ketast juba dekrüpteeritakse

5) Kui valmis, siis sulge see aken:

Kui valmis, siis sulge see aken
Etteotsa

 

 

Teine näide. Välise USB ketta ehk siis eemaldatava andmeketta krüptimine — 'BitLocker To Go' tehnoloogia:


Märkus: Sarnaselt käib muude eemaldatavate andmeketaste (removable data drives) krüptimine.
BitLocker To Go on siis BitLocker Drive Encryption vahend eemaldatavate andmeketaste jaoks. Sa võid krüptida näiteks väliseid USB kõvakettaid (või SSD kettaid), USB mälupulkasid, SD kaarte ja muid kettaid, mis on formaaditud NTFS, FAT16, FAT32 või exFAT failisüsteemiga. Sa võid nende eemaldatavate andmeketaste lahtilukustamiseks kasutada kas parooli või siis kiipkaardi (smart card). Sa võid ka nii määrata, et need fikseeritud andmekettad lukustatakse automaatselt lahti pärast seda kui Sa süsteemi sisenesid. Üldiselt on nii et kui Sa hakkad mingit ketast krüptima, siis Windows kontrollib ise kõik üle ja pakub Sulle oma nõustajas need sobivad variandid.

1) Antud näites kasutame siis ühte vanemat 300 GB mahuga välist USB kõvaketast. Ühenda oma väline ketas kompuutriga, ava File Explorer (Windows Explorer), tee selle eemaldatava ketta ikoonil paremklikk ja vali Turn on BitLocker käsk:

Turn on BitLocker

2) Nüüd pane sinna ülemisse "Use a password to unlock the drive" ruutu linnuke ja sisesta allpool nendesse tekstikastidesse oma loodav parool; Sa võid sisestada kuni 48 sümbolist (!) koosneva parooli; see loodav parool peab sisaldama suuri ja väikseid tähti ning numbreid (lisaks võivad olla ka sümbolid ja tühiklahvid). Kui valmis, siis kliki allpool nupule Next:

...ja sisesta allpool nendesse tekstikastidesse oma loodav parool

3) Seejärel loo kindlasti ka taastevõti (BitLocker Recovery Key) ja seda juhuks kui Sa unustasid oma parooli. Sa võid selle taastevõtme salvestada oma Microsofti konto alla või siis faili või isegi välja printida. Kui Sa arhiveerid oma taastevõtme Microsofti konto alla, siis saad hiljem sellele võtmele ligi selle veebilehe kaudu (sellest tuleb veel edaspidi ka juttu!). Sa võid ka neid kõiki kolme kasutada, kliki siin järjest kõikidele nendele linkidele. Kui Sa salvestad selle taastevõtme, siis pead ta salvestama kas USB mälupulka või siis teisele välisele USB kettale. Kui valmis, siis kliki nupule Next:

BitLocker Recovery Key

4) Pärast selle taastevõtme salvestamist / väljaprintimist saab ka see Next nupp nüüd ligipääsetavaks, kliki sellele:

Next nupp

5) Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next. Ülemise raadionupu võid siis valida kui Sul on tegemist uue kettaga: BitLocker krüptib sel juhul ainult andmed, aga see ei ole just mitte kõige turvalisem meetod, kuid see meetod võib krüptimiseks kuluvat aega vähendada kuni 99%. Meie aga valime siin selle alumise raadionupu:

Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next.

6) Nüüd vali krüptimise režiim: Kui Sul jookseb oma kompuutris Windows 10 operatsioonisüsteem, siis näed ka lisaakent, mis lubab Sul valida ka krüptimise režiimi. Kui Sa kasutad aga Windows 7 või 8 versiooni, siis sellist nõustaja akent Sa ei näe.

Kui Sa kavatsed seda portatiivset krüptitud ketast kasutada tulevikus ainult Windows 10 süsteemiga kompuutris, siis vali see ülemine "New encryption mode" raadionupp. Kui Sa kavatsed seda eemaldatavat ketast tulevikus ka varasemate Windowsitega kompuutrites kasutada, siis vali siin see "Compatible mode" raadionupp. Seejärel kliki jälle Next:

New encryption mode

7) Kliki nupule Start encrypting:

Kliki nupule Start encrypting

8) Käib välise / eemaldatava andmeketta krüptimine. Selle ketta krüptimine võib võtta üsna palju aega (tunde) ja see sõltub Sinu ketta suurusest ning selles olevate andmete mahust. Kuid Sa võid igal ajal siin nupule Pause klikkida ja kompuutri uinaku režiimi (Sleep Mode) panna ning millalgi hiljem jätkata, klikkides siin nupule Resume:

Pause

Resume

Märkus: Kui Sa ei näe seda krüptimise kulgu näitavat akent, siis kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile:

krüptimise kulg

9) Kui ketta krüpteerimine lõppes, siis kliki nupule Close:

Kui ketta krüpteerimine lõppes, siis kliki nupule Close

Kui Sa avad nüüd File Explorer (või Windows Explorer) akna ja teed sellel krüptitud eemaldataval kettal paremkliki, siis näed ilmuvas kontekstmenüüs kahte käsku, kliki näiteks sellele Manage BitLocker menüüpunktile...:

kliki näiteks sellele Manage BitLocker menüüpunktile...

...ja pärast seda avatakse aken, kus näed muude ketaste hulgas ka seda äsja krüptitud välist USB kõvaketast, mille jaoks on seal paremal ka rida linke, mida Sa võid antud ketta jaoks kasuta:

lingid...

 

 

Oma eemaldatava ketta lahtilukustamine:

1) Ühenda see krüptitud väline USB ketas kompuutriga.

2) Juhul kui Sul oli määratud USB ketaste automaatne avamine, siis näed järgmist aken, kus kliki lihtsalt OK:

Juhul kui Sul oli määratud USB ketaste automaatne avamine, siis näed järgmist aken, kus kliki lihtsalt OK

3) Seejärel ava File Explorer (Windows Explorer) aken ja tee sellel välise USB ketta ikoonil 2x klikk:

Seejärel ava File Explorer (Windows Explorer) aken ja tee sellel välise USB ketta ikoonil 2x klikk

4) Selle peale ilmub ekraani paremasse ülanurka see ketta lahtilukustamise aken, kuhu sisesta see ketta lahtilukustamise parool ja kliki all nupule Unlock. Kuid Sa võid siin ka sellele More options lingile klikkida, et näha ka muid võimalusi, sellest kohe ülejärgmine pilt...:

Unlock

...eelmises aknas klikiti More options lingile ja nüüd võid selle parooli asemel ka Bitlocker'i taastevõtme sisestada (juhul kui parooli kaotasid) ja teha ka nii et see ketas avatakse antud kompuutris edaspidi juba automaatselt (linnuke "Automatically unlock on this PC" ruutu):

More options

Näiteks järgmise näite puhul kasutatakse selle ketta avamiseks just seda taastevõtit:

Näiteks järgmise näite puhul kasutatakse selle ketta avamiseks just seda taastevõtit

Näiteks Windows 7 süsteemis ilmub krüpteeritud välise USB kõvaketta lahtilukustamiseks aga järgmine aken - pilt.

 

Eemaldatava andmeketta dekrüpteerimine ehk antud ketta jaoks krüptimise tühistamine ja Bitlocker'i väljalülitamine:

1) Ava File Explorer (või Windows Explorer), tee selle krüptitud välisel USB andmekettal paremklikk ja vali kontekstmenüüst Manage BitLocker menüüpunkt:

...ja vali kontekstmenüüst Manage BitLocker menüüpunkt

2) Kliki Turn off BitLocker lingile:

Kliki Turn off BitLocker lingile


3) Kliki Turn off BitLocker nupule:

Kliki Turn off BitLocker nupule

 

Märkus: Kui Sa ei näe seda dekrüptimise kulgu näitavat akent, siis kliki all paremal süsteemiribal sellele noolekesele ja seejärel BitLocker'i ikoonile:

Kui Sa ei näe seda dekrüptimise kulgu näitavat akent, siis...

Käib eemaldatava ketta dekrüptimine:

Käib eemaldatava ketta dekrüptimine

 

Kui valmis, siis sulge see aken:

Kui valmis, siis sulge see aken
Etteotsa

 

Kuidas oma Microsofti konto alt seda taastevõtit (BitLocker Recovery Key) üles leida?

1) Mine mingis teises kompuutris sinna Microsofti veebilehele ja kliki seal sellele Sign in lingile:

Mine mingis teises kompuutris sinna Microsofti veebilehele ja kliki seal sellele Sign in lingile

 

2) Logi oma Microsofti kasutajakontosse sisse:

Logi oma Microsofti kasutajakontosse sisse

3) Ja seal siis näedki oma 32 numbrist koosnevat taastevõtit (või mitut taastevõtit):

Sa seal siis näedki oma taastevõtit (või mitut taastevõtit
Etteotsa

 

 

SSD ketaste krüpteerimine ja BitLocker vahend (Windows 10):

Mõned SSD ketaste tootjad reklaamivad, et nende SSD kettad toetavad ka "riistvaralist küpteerimist" ehk "riistvara-põhist krüptimist" (Hardware Encryption / Hardware-based encryption). Kui Sa lülitad selle BitLocker vahendi sisse, siis Windows 10 usaldab Sinu SSD ketast ja ei tee midagi. BitLocker kasutab vaikimisi just seda riistvaralist krüptimist. Seega ära kasuta SSD ketta puhul seda Windows 10 süsteemi sisseehitatud BitLocker Drive Encryption vahendit, sest ta ei tee osade SSD ketaste puhul korralikku tööd ja seda isegi tuntud SSD ketaste tootjate (Crucial, Samsung jt.) puhul. See ei ole Microsofti süü vaid SSD ketaste tootjate endi probleem. Windows 10 veaks on ainult see et ta ei teavita kasutajat sellest probleemist ja BitLocker "töötab" vaikselt edasi, samas mitte midagi krüptides.

Kui Sa tahad Windows 10 süsteemis oma SSD ketaste puhul ka seda BitLocker vahendit kasutada, siis lülita eelnevalt sisse tema tarkvaraline krüpteerimine ehk tarkvara-põhine krüptimine (Software Encryption / Software-based encryption). Seda saavad teha siis ainult Winows 10 Pro versiooni jooksutajad.

 

Näide Windows 10 süsteemis süsteemiketta, kuhu on installeeritud Windows ise (tavaliselt C: ketas) krüpteerimisest ja antud juhul on selleks süsteemikettaks siis SSD ketas. Tee järgmist:

1. Ava Group Policy Editor konsool: vajuta Win + R klahvikombinatsiooni, sisesta Run akna käsuviibale gpedit.msc ja vajuta ENTER.

2. Otsi vasemas paanis üles järgmine haru: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives.

3. Tee parempoolses paanis 2x klõps "Configure use of hardware-based encryption for operating system drives" poliitikal - pilt.

4. Aktiveeri "Disabled" raadionupp ja kliki nupule "OK":

Aktiveeri "Disabled" raadionupp ja kliki nupule "OK"

5. Seejärel tee sealsamas paremal 2x klikk "Require additional authentication at startup" poliitikal:

Seejärel tee sealsamas paremal 2x klikk "Require additional authentication at startup" poliitikal

6. Aktiveeri raadionupp Enabled, korista sellest "Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)" ruudust see linnuke ära ja kliki nupule OK:

Aktiveeri raadionupp Enabled

7. Ava File Explorer, tee C: kettal paremklikk ja vali kontekstmenüüst Turn on BitLocker menüüpunkt:

Turn on BitLocker

8. Kliki nõustaja esimeses aknas Enter a PIN (recommended) nupule:

Kliki nõustaja esimeses aknas Enter a PIN (recommended) nupule

9. Nüüd loo endale see PIN parool, mis võib koosneda 6-20 numbrist ja kliki all Set PIN nupule

Set PIN

10. Seejärel loo kindlasti ka taastevõti (BitLocker Recovery Key) ja seda juhuks kui Sa unustasid oma PIN parooli või kui Sinu TPM toega kompuuter "kärvas maha" ning kui Sa tahad oma kõvakettale teise kompuutri kaudu ligi saada. Sa võid selle taastevõtme salvestada oma Microsofti konto alla või siis faili või isegi välja printida. Kui Sa arhiveerid oma taastevõtme Microsofti konto alla, siis saad hiljem sellele võtmele ligi selle veebilehe kaudu (sellest oli ka eelnevalt juba juttu). Sa võid ka neid kõiki kolme kasutada, kliki siin järjest kõikidele nendele linkidele. Kui Sa salvestad selle taastevõtme, siis pead ta salvestama kas USB mälupulka või siis välisele USB kettale. Kui valmis, siis kliki nupule Next:

Sa võid ka neid kõiki kolme kasutada

11. Nüüd sai nõustajas ka see Next nupp ligipääsetavaks, kliki sellele, et edasi minna:

Nüüd sai nõustajas ka see Next nupp ligipääsetavaks, kliki sellele, et edasi minna

12. Edasi toimub kõik nii nagu seda tehti ka süsteemiketta puhul, milleks oli tavaline kõvaketas ja sellest oli siin eelpool juba juttu, Sa võid sellest näiteks alates sealt edasi lugeda.

 

Kui Sa tahad ka oma kompuutris olevat fikseeritud (mitte-süsteemi) SSD andmeketast või siis eemaldatavat välist USB SSD andmeketast krüpteerida, siis ava enne krüptimise alustamist jälle see Group Policy Editor konsool ja tee seal siis vastavalt järgmist:

* Fikseeritud SSD andmeketaste puhul. Otsi vasemas paanis üles järgmine haru: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives. Seejärel tee parempoolses paanis 2x klõps "Configure use of hardware-based encryption for fixed data drives" poliitikal. Aktiveeri uues aknas "Disabled" raadionupp ja kliki nupule "OK".

* Eemaldatavate SSD andmeketaste puhul. Otsi vasemas paanis üles järgmine haru: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives. Seejärel tee parempoolses paanis 2x klõps "Configure use of hardware-based encryption for removable data drives" poliitikal. Aktiveeri uues aknas "Disabled" raadionupp ja kliki nupule "OK".

* Seejärel võid selle BitLocker vahendi oma SSD ketta jaoks sisse lülitada.

 

Aga kui Sul oli see BitLocker vahend oma SSD ketta jaoks juba sisse lülitatud? Sel juhul tee järgmist:

1. Et kontrollida seda et kas Sinu ketta jaoks kasutatakse riistvaralist või tarkvaralist krüptimist, ava adminõigustega Command Prompt aken, sisesta tema käsuviibale manage-bde.exe -status käsk ja vajuta ENTER. Seejärel vaata iga ketta kohta käivat infot ja eriti just "Encryption Method" järel tulevat antud ketta jaoks kasutatud krüptimise meetodi kohta käivat infot. Ja näiteks kui SSD ketta puhul, rea "Encryption Method" järel, EI KUVATA seda kirja, kus on ära toodud sõnad "Hardware Encryption", siis kasutatakse seda tarkvaralist ehk tarkvara-põhist krüptimise meetodit ning kõik on korras:

Encryption Method

2. Juhul kui SSD ketta puhul kasutati aga seda riistvaralist krüptimist (Hardware Encryption), siis tee järgmist:

a) Lülita Group Policy Editor konsoolis see tarkvaraline krüptimine sisse, eelpool oli sellest juttu.
b) Seejärel lülita see BitLocker vahend oma SSD ketta jaoks täielikult välja (st dekrüpteeri see SSD ketas).
c) Pärast seda lülita oma SSD ketta jaoks see BitLocker uuesti sisse. (Oluline! Sa EI PEA pärast BitLocker sätete muutmist oma ketast ümber formaatima.)

 

Sa võid alternatiivina oma ketaste krüptimiseks kasutada ka tasuta VeraCrypt tarkvara (see sobib ka Windows 10 Home versiooni jooksutajatele). Ja ükskõik millist krüptimise vahendit / tarkvara Sa kasutad, ÄRA UNUSTA OMA PAROOLI, sest vastasel juhul oled Sa oma krüptitud andmetest ilma!!!

 


✓ ✓ ✓ BitLocker To Go laiendab BitLocker võimalusi ja ta aitab krüptida väliseid USB andmekettaid (näiteks USB mälupulka või välist USB kõvaketast / SSD ketast), millele saab pärast krüptimist ligi ainult parooli sisestamisel. Nagu siin eelpool sai juba mainitud, siis Windows valib ise, sõltuvalt sellest et millist ketast Sa krüpteerima hakkad, vastava krüptimise meetodi ja Sinul sellega muret ei ole. Kõik käib ühesuguse krüptimise nõustaja kaudu. Siin eelpool toodigi ära osa pilte just välise USB kõvaketta krüptimise kohta. Kuid seal veebilehel on toodud ära veel üks näide sellest et kuidas eemaldatava seadme krüptimine käib—seal on juttu USB mälupulga krüptimisest. Lisaks sellele saad sealt sellest protsessist märksa ülevaatlikuma info. Seal on ka sellest juttu, et kuidas lülitada BitLocker vahendit sisse siis kui Sul on 'dual-boot' ('multi-boot') süsteem.

SSD kettad ja Windows [Vista, Windows 7, Windows 8 (8.1) ja Windows 10] - info.

"Kuidas paigaldada uut kõvaketast või SSD ketast oma kompuutrisse? Kompuutri kõvaketta või SSD ketta väljavahetamine - uue ketta installeerimine. | Mis on SMART tehnoloogia ja kuidas seda kõvaketta (HDD) või SSD ketta rikke ennustamiseks kasutada? | Mis on "Surveillance" ("Videojälgimise") ja "NAS" kõvakettad?" - info.

"Mis see Kali Linux on ja milleks ta vajalik on? | Kali Linux'i populaarsemad sissetungirünnete testimise ja häkkimise tööriistad (nii eetiliste kui ka "pahade" häkkerite jaoks). | Kali Linux'i installeerimine virtuaalmasinasse (VirtualBox'i näitel). | Kali Live USB mälupulga loomine — täielikud juhised" - link.


Etteotsa

 

Mine lehele Võrgutöö ja Internet I. osa >

< Tagasi

 

< Tagasi Windows Vista esilehele ja sisukorda

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

elaja koju.............................. About Us .............................. Site Map | ©2006 Ahv & Co Eesti Vabariik