Vista sisukorda

icon Koju1 icon Koju2 icon Sisukord icon Arvutiabiicon Koolitus & help

Minu lugu...

 

Windows Vista ja TURVALISUS-III. osa

Trusted Platform Module (TPM) moodul ja mis on BitLocker Drive Encryption?

 

(Käib ka Windows 7, Windows 8/8.1 ja Winows 10 kohta.)

 

 

 

Trusted Platform Module (TPM), TPM mikrokiip ja BitLocker vahend:

 

Ette õeldes: Antud vahendit võiksid kasutada äriettevõtted ja sülearvutite omanikud, kellede arvutites on ülitähtis informatsioon....

Windows sisaldab ka nn Encrypting File System (EFS) vahendit, et selle abil krüptida (krüpteerida - "salastada") failisid ja kaustasid. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure (PKI)) sertifikaadi abil. Krüptitud (krüpteeritud) sertifikaate hoitakse Sinu kasutajaprofiilis. Ja kui Sa saad juurdepääsu oma profiilile ja temas asuvale krüptimisvõtmele, siis saad Sa ligi ka oma krüptitud failidele.

Kuigi EFS pakub suurepärast võimalust Sinu andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui Sa kaotad või kui keegi varastab Sinu arvuti või kui häkker logib end Interneti kaudu sisse sinu kompuutrisse, siis saadakse ligi ka Sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib Sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta Sinu arvuti konfiguratsiooni.


Trusted Platform Module (TPM) ja BitLocker:

Et kaitsta kompuutrit füüsilise rünnaku eest ja lisada temale täiendav kaitsekiht, selleks lisati Windowsisse ka nn Trusted Platform Module Services arhitektuur. Tema abil võid Sa luua laiendatud turvameetmetega platvormi, mille sees on Sinu kompuutri andmed kaitstud isegi siis kui süsteem on offline's.

Trusted Platform Module Services kaitseb kompuutrit erilise riistvara komponendi abil, mille nimeks on TPM. TPM on mikrokiip, mis on tavaliselt installitud kompuutri emaplaadile, kus ta peab riistvara siini kaudu ühendust terve süsteemiga.

TPM võib luua krüptograafilisi võtmeid ja siis need krüptida nii et ainult tema ise saab neid dekrüptida. Selleks kasutab TPM oma peavõtit, mille nimeks on Storage Root Key (SRK) ja mis asub TPM enese sees.

Uuemates kompuutrites on see TPM juba olemas ja kompuuter, mis omab seda TPM tehnoloogiat, võib luua võtme, mis on kinnises "kastis" ja kast on omakorda kinni pitseeritud. Selle võtme pitseerimise protsess veendub selles, et antud võti on seotud spetsiifilise platvormi parameetritega (st meie kompuutri teatud kindlate parameetritega teatud kindlal ajahetkel) ja seda võtit saab ainult siis lahti pitseerida kui selle platvormi parameetrite väärtused langevad ühte selles võtmes olevate parameetrite väärtustega siis kui see krüptitud/krüpteeritud võti loodi.

TPM võib pitseerida ja siis jälle lahti pitseerida ka endast väljaspool genereerituid andmeid. Windowsis saab TPM-ile ligi ja teda ksutada vahendiga, mille nimi on BitLocker Drive Encryption. See tehnoloogia on sisse lülitatud ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Home, Windows 10 Pro ja Windows 10 Enterprise versioonides!

Erinevalt failisüsteemi krüptimisest (EFS), mille abil saab krüptida üksikuid faile/kaustasid, krüpteerib BitLocker terve draivi/kõvaketta, kaasa arvatud buutimiseks ja sisselogimiseks vajalikud Windowsi süsteemifailid.

Kui Sa kasutad BitLocker Drive Encryption'i ja TPM vahendi abi Boot Manager'i ja buutimisfailide kinnipitseerimiseks, siis saab neid lahti pitseerida ainult siis kui neid ei ole muudetud sellest ajast kui nad viimati pitseeriti. See tähendab, et Sa võid kasutada TPM'i kompuutri buutimisfailide (alglaadimise ehk käivitamisfailide) kehtivuse kindlakstegemiseks juba pre-operatsioonisüsteemi keskkonnas. Kui Sa pitseerid kinni oma kõvaketta, siis saab teda lahti pitseerida ainult siis, kui kõvaketta andmeid ei ole muudetud sellest ajast kui ta viimati kinni pitseeeriti. Ja kui neid oli muudetud, siis tuleb sisestada oma taastamisvõti või parool, et saada ligi oma kõvakettale.

Seega kaitseb BitLocker Sinu andmeid isegi siis kui ründaja võib mõõda hiilida operatsioonisüsteemi kaitsemehhanismidest ja minna otse Sinu andmeteni. Teise sõnaga, BitLocker võib kaitsta Sinu kompuutrit siis kui ründaja omab füüsilist juurdepääsu Sinu andmetele. See on eriti tähtis ärireisijatele läptopi kaotamise korral.

Kuid on ka miinused:

1) Sa ei tohi kaotada oma krüptimisvõtit, sest ilma temata ei saa Sa oma kompuutrit käivitada;

2) Komputri taastamine/parandamine on palju keerulisem kui BitLocker on sisse lülitatud, sest enne taastamist tuleb Sul oma kõvaketas lahti pitseerida, aga seda saad Sa teha ainult omaenese kompuutris. Näiteks kui Sa eelnevalt ei kasutanud BitLockerit ja Sul ei õnnestu käivitada oma kompuutrit, siis võid Sa viia oma kõvaketta teisle kompuutrile, siis andmed sealt üle kopeerida ja seejärel taastada;

3) BitLocker kaitseb Sinu kompuutrit ainult siis kui ta on offline'is. Ta ei kaitse kompuutrit Internetist tuleva ründe vastu.


Seega võiks seda BitLockerit kasutada ainult ärireisidel läpakate puhul ja äriettevõtte keskkonnas.

 

Märkus: Juhul kui Sa olid oma kõvaketta mingi vastava tarkvara või siis Vista/windows 7 enda 'BitLocker Drive Encryption' vahendi abil krüpteerinud (krüptinud) ja kui Sa unustasid oma parooli, siis tekivad kohe suured probleemid. Sa ei saa enam seda kõvaketast kasutada ja Sa ei saa teda isegi formaatida. Sa võid ta küll saata tagasi tootjatehasesse, kus siis tehakse antud kõvaketta madalama tasemega vormindamine/formaatimine (low-level format) - jama...
Kuid õnneks on olemas ka vastavad tarkvarad, mille abil saab sellisele kõvakettale teha ka madalama tasemega formaatimist ja seda isegi siis kui krüptimise tarkvara oli eelnevalt muutnud Master Boot Record (MBR)-i sisu, et võõrad ei pääseks kõvakettale üle-üldse ligi....
Üheks selliseks väga heaks ja kasulikuks tarkvaraks on avatud lähtekoodiga Darik's Boot and Nuke ("DBAN") programm, mille abil saadki oma krüpteeritud kõvaketta täiesti puhtaks pühkida. Sa võid teda kasutada ka kõikide tavaliste kõvaketaste (st krüpteerimata ketaste) puhul ja ta töötab kompuutri buutimise ajal ning teda on väga lihtne kasutada - ta töötab nii Intel kui ka Mac süsteemidega. Loe sellest siit.

Ülesse

 

TPM juhtimine (TPM Management)—Vista, Win 7, 8/81 ja Win 10 süsteemides:

Et kasutada Trusted Platform Module Services (TPM) arhitektuuri, peab kompuuter olema varustatud temaga ühilduva TPM'i ja BIOS'ga (sealjuures peab TPM olema BIOS-is ka sisse lülitatud - tuleb üle kontrollida). Windows toetab praegu TPM versiooni 1.2 ja nõuab Trusted Computing Group (TCG)–ühilduvat BIOS'i. Selline BIOS toetab Static Root of Trust Measurement spetsifikatsiooni, sellest võid lugeda siit: http://www.trustedcomputinggroup.org.

 

TPM'i saab juhtida Trusted Platform Module Management konsooli abil ((TPM Management on Microsoft Management Console (MMC) snap-in)), et teda avada, tee selleks:

  1. Start - All Programs - Accessories ja siis klõpsa Run (Sa pead olema administraatori õigustega). Või vajuta Win+R klahvikombinatsiooni, et avada seda Run dialoogiakent.

  2. Sisesta Run akna käsureale tpm.msc ja vajuta Enter.

    Märkus: Sa võid ta (tpm.msc) tippida ka Start menüü Search otsikasti ja vajutada ENTER.

    Juhul kui ilmub järgnev teade, siis kas Sinu kompuutri emaplaat ei sisalda seda TPM mikrokiipi või ta ei ole BIOS'is sisse lülitatud (kontrolli see üle). Kõige uuemate kompuutrite emaplaadid juba sisaldavad seda TPM 1.2 (või TPM 2.0) mikrokiipi, aga vanematel kompuutritel seda ei ole:

    Juhul kui ilmub järgnev teade, siis kas Sinu kompuutri emaplaat ei sisalda seda TPM mikrokiipi või ta ei ole BIOS'is sisse lülitatud



Kui aga kõik on korras, siis selleks et muuta TPM konfiguratsiooni, kasuta neid käskusid, mis asuvad akna parempoolsemas paanis Actions all:

TPM moodul on olemas


Enne kui Sa võid TPM-i kasutada, pead Sa ta initsialiseerima esmaseks kasutamiseks ja lülitama ta sisse.

 

Märkus: Kõik uued Windows 10 seadmed (personaalsed kompuutrid, tahvelarvutid & Windows 10 Mobile seadmed), mis ilmuvad müüki alates 2016. a. suvest (täpsemalt pärast juuli kuud soeses Windows 10 'Anniversary Update' värskenduse väljailmumisega), peavad omama juba TPM 2.0 moodulit ja see peab olema ka vaikimisi sisse lülitatud (UEFI Firmware's). See TPM (Trusted Platform Module) on turvalisuse riistvaraline funktsioon, mis nõuab emaplaadile integreeritud spetsiaalset mikrokiipi. See nõue kehtib ainult uute OEM süsteemide osas. TPM jääb mittekohustuslikuks Windows IoT seadmete ja ka osade Windows Server kompuutrite jaoks.

 

TPM-i initsialiseerimine esmakordseks kasutamiseks:

TPM initsialiseerimise tähendus:

Trusted Platform Module (TPM) võib Sul olla järgmistes seisukordades (staadiumites):

- Mitte omistatud (st teda ei ole veel "käiku lastud") ja välja lülitatud

- Mitte omistatud ja sisse lülitatud

- Omistatud, aga välja lülitatud

- Omistatud ja sisse lülitatud

Et TPM-i saaks kasutada, peab ta olema eelnevalt sisse lülitatud ja omistatud - neid mõlemaid protsesse nimetatakse initsialiseerimiseks. Initsialiseerimise käigus luuakse uued juurvõtmed, mida hakatakse TPM poolt kasutama. Et saaks kasutada sellist tarkvara nagu BitLocker Drive Encryption, peab Sul olema TPM initsialiseeritud.

 

Teosta järgmised sammud:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool (eelpool oli sellest juttu).

  3. Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard, kliki lehel Welcome nupule Next.

  4. Järgmine samm sõltub TPM seisukorrast:

    • Kui tuvastatakse, et BIOS ei vasta nõuetele, siis jääb asi katki...

    • Kui TPM on välja lülitatud (mõnedes uuemates kompuutrites on ta juba sisse lülitatud!), siis ilmub Turn On The TPM Security Hardware leht. Järgi juhiseid, et TPM sisse lülitada. Klõpsa Shutdown (või Restart) ja siis järgi BIOS ekraani hoiatust. Pärast seda kui kompuuter on teinud restardi, kinnnita, et Sa soovid TPM-i sisse lülitada.

    • Kui TPM on juba sisse lülitatud, siis ilmub Create The TPM Owner Password leht.

     

Nüüd tuleb üles seada TPM omanik, kellele määratakse parool, et olla kindel, et ainult autoriseeritud TPM omanik võib saada ligi ja juhtida TPM-i.

 

Et seada ülesse TPM omanikku, selleks tee:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard. Welcome lehel klõpsa Next.

  4. Create The TPM Owner Password lehel vali Automatically Create The Password (Recommended) ja klõpsa Next.

  5. Lehel Save Your TPM Owner Password klõpsa Save ja siis vali koht kuhu parool salvestada, parim lahendus oleks ta salvestada eemaldatavale meediale (nt USB mälupulka).

  6. Klõpsa jälle Save. Parool salvestatakse nimega computer_name. tpm.

  7. Klõpsa Print kui soovid parooli ka paberile trükkida.

  8. Klõpsa Initialize.

  9. Kui valmis, siis klõpsa Close.


TPM-i väljalülitamine ja puhastamine:

Uutel kompuutritel võib see TPM olla juba sisse lülitatud. Kui Sa ei soovi teda kasutada, siis pead sa TPM-i välja lülitama ja siis tühjaks tegema.

 

Et TPM-i välja lülitada, tee nii:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions all klõpsa Turn TPM Off.

  4. Ilmub Turn Off The TPM Security Hardware dialoogiaken, kus vali üks järgmistest parameetritest, et sisestada oma parooli ja lülitada TPM välja:

    • Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Turn TPM Off.

    • Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Turn TPM Off.

    • Kui Sul ei ole TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et lülitada TPM välja ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta välja lülitada ka ilma paroolita.

     

TPM puhastamine (seda pead Sa ainult siis tegema kui oled parooli kaotanud):

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions alla klõpsa Clear TPM.

  4. Clear The TPM Security Hardware dialoogiaknas vali üks järgmistest parameetritest:

    • Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Clear TPM.

    • Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Clear TPM.

    • Kui Sa ei tea oma TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et puhastada TPM ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta puhastada ka ilma paroolita

NB! Sa võid ka oma parooli muuta kui vaja: konsoolis vali Actions alt käsk Change Owner Password.

Ülesse

 

Mida tähendab BitLocker Drive Encryption?

BitLocker Drive Encryption vahendit saab kasutada "pahade" vastu, kellel on füüsiline ligipääs Sinu kompuutrile ja kes soovivad sealt andmeid varastada. Sest ründaja võib kompuutri käivitada buutimisplaadilt ja seejärel tühistada adminparooli ning saada kompuutri kõik "varad" endale.... Või ta võib ligi saada ka otse kõvakettale kasutades selleks CD plaadil olevat erinevat operatsioonisüsteemi.

Iga kord kui käivitatakse kompuuter, kontrollib Windows buutimisfaile, operatsioonisüsteemi faile ja kõiki krüpteeritud kettaid, et tuvastada kas neid ei ole modifitseeritud siis kui kompuuter oli offlainis. Kui faile oli modifitseeritud, siis hoiatab Windows kasutajat ja ei luba teda Windowsisse. Seejärel läheb kompuuter üle taastamisreźiimi ja palub sisestada kasutajal taastamisvõtme enne kui tal lubatakse juurdepääs laadimiskettale.


BitLocker Drive Encryption'i võib kasutada nii TPM kui ka mitte-TPM (non-TPM) kompuutritega.

1) TPM ühilduvatel kompuutritel võib BitLocker Drive Encryption kasutada kahte TPM reźiimi:

 

2) Kompuutritel, mis ei oma TPM-i või kui ta ei ühildu TPM vahendiga, kasutatakse USB Flash Drive Key reźiimi. Kasutaja sisestab USB flash draivi (USB mälupulga) kompuutrisse, enne kui ta lülitab kompuutri sisse. Võti, mis asub sellel flash draivil, lukustab kompuutri lahti.

 

Et BitLocker vahendit, mida saab kasutada ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Home, Windows 10 Pro ja Windows 10 Enterprise versioonides, sisse lülitada, tee järgmist: Ava Control Panel, vali Security ja seejärel vali BitLocker Drive Encryption (või kui Sul on Control Panel klassikalises vaates, siis tee 2x klõps BitLocker Drive Encryption ikoonil).

Avatakse BitLocker Drive Encryption aken, kus klõpsa Turn On BitLocker:

BitLocker sisse


Märkus: Et näiteks Windows 7 süsteemis seda vahendit käivitada, sisesta Start menüü Search otsikasti sõna BitLocker ja seejärel klõpsa üleval otsingutulemustes BitLocker Drive Encryption lingile. Avatakse BitLocker Drive Encryption aken, kus vali välja vajalik draiv (partitsioon) ja kliki tema järel asuvale Turn On BitLocker lingile. Windows 7 ja Windows 10 süsteemides saad sellele BitLocker vahendile ligi ka Control Panel\System and Security\BitLocker Drive Encryption kaudu.
Näide BitLocker Drive Encryption funktsiooni avaaknast Windows 10 opsüsteemis - pilt.

 

Nüüd laetakse Turn On BitLocker Drive Encryption Wizard, kus tuleb täita järgmised ülessanded:

Startup key

 

Märkus: Juhul kui Sa olid oma kõvaketta mingi vastava tarkvara või siis Vista/windows 7/8(8.1)/10 enda 'BitLocker Drive Encryption' vahendi abil krüpteerinud (krüptinud) ja kui Sa unustasid oma parooli, siis tekivad kohe suured probleemid. Sa ei saa enam seda kõvaketast kasutada ja Sa ei saa teda isegi formaatida. Sa võid ta küll saata tagasi tootjatehasesse, kus siis tehakse antud kõvaketta madalama tasemega vormindamine/formaatimine (low-level format) - jama...
Kuid õnneks on olemas ka vastavad tarkvarad, mille abil saab sellisele kõvakettale teha ka madalama tasemega formaatimist ja seda isegi siis kui krüptimise tarkvara oli eelnevalt muutnud Master Boot Record (MBR)-i sisu, et võõrad ei pääseks kõvakettale üle-üldse ligi...
Üheks selliseks väga heaks ja kasulikuks tarkvaraks on avatud lähtekoodiga Darik's Boot and Nuke ("DBAN") programm, mille abil saadki oma krüpteeritud kõvaketta täiesti puhtaks pühkida. Sa võid teda kasutada ka kõikide tavaliste kõvaketaste (st krüpteerimata ketaste) puhul ja ta töötab kompuutri buutimise ajal ning teda on väga lihtne kasutada - ta töötab nii Intel kui ka Mac süsteemidega. Loe sellest sealt.

 


!!! BitLocker To Go laiendab BitLocker võimalusi ja ta aitab krüptida (krüpteerida) väliseid USB draivisid (näiteks USB mälupulka või välist USB kõvaketast), millele saab pärast krüptimist ligi ainult parooli sisestamisel—seda võib ka Sinul vaja minna - juhis ja tutvustus seal.


 

Ülesse

 

Mine lehele Võrgutöö ja Internet I. osa >

< Tagasi

 

< Tagasi Windows Vista esilehele ja sisukorda

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

elaja koju About Us | Site Map | ©2006 Ahv & Co Eesti Vabariik