Vista sisukorda

Koju1

Koju2

Sisukord

Arvutiabi

Koolitus & help

Minu lugu...

 

Windows Vista ja TURVALISUS-III. osa

Trusted Platform Module (TPM) moodul ja mis on BitLocker Drive Encryption?

BitLocker Encryption (BitLocker Drive Encryption) vahendi sisselülitamine ja terve füüsilise kõvaketta või eemaldatava ketta krüptimine (krüpteerimine).

 

(Käib ka Windows 7, Windows 8/8.1 ja Winows 10 kohta.)

 

 

 

Trusted Platform Module (TPM), TPM mikrokiip ja BitLocker vahend:

 

Ette õeldes: Antud vahendit võiksid kasutada äriettevõtted ja ka kõik sülearvutite (& lauaarvutite) omanikud, kellede kompuutrites on väga tähtis või kasutaja jaoks sensitiivne ning tugevat kaitset vajav informatsioon....

BitLocker on Windowsisse juba sisseehitatud instrumnet, mis lubab Sul tõhustatud turvalisuse eesmärgil krüptida (krüpteerida) terve oma kõvaketta või välise kõvaketta või USB mälupulga. BitLocker krüptib seega terved füüsilised kettad (kõvakettad), milleks võib olla Sinu süsteemi ketas, mingi muu füüsiline ketas, virtuaalne kõvaketas (VHD), väline USB kõvaketas, USB mälupulk või SD kaart. Kui teada ja tuntud TrueCrypt oma "poe sulges", siis soovitati tema kasutajatel TrueCrypt'i edaspidi mitte enam kasutada ning minna üle kas BitLocker või siis Veracrypt vahendite kasutamisele.

Märkus: BitLocker (BitLocker Drive Encryption) vahendit saab kasutada ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ja Windows 10 Enterprise versioonides.

Kui Sa tahad oma kompuutri süsteemi ketast (tavaliselt C: ketas) täielikult krüpteerida, siis peab Sinu kompuutri emaplaat sisaldama ka "Trusted Platform Module (TPM)" mikrokiipi. See TPM kiip genereerib ja salvestab krüpteerimisvõtmed, mida BitLocker kasutab. Kõikidel kaasaegsetel kompuutritel on see "Trusted Platform Module (TPM)" tugi juba olemas. Sellest TPM vahendist (kiibist) tuleb juttu siin edaspidi.

Kui Sinu arvuti emaplaat ei oma seda TPM kiipi, siis võid kasutada ka Group Policy konsooli, et seal selle BitLocker instrumendi kasutamine sisse lülitada ja seejärel kasutada BitLocker'it ka ilma selle TPM kiibita. See on küll vähem turvaline, aga ikkagi parem kui üldse ilma krüptimata. Sel juhul peab BitLocker vahendi kasutamisel salvestama USB mälupulka ka nn käivitusvõtme ehk stardivõtme (startup key), et Sa saaksid hiljem oma kompuutri lahti lukustada. Tee selleks järgmist: vajuta Windows + R klahvikombinatsiooni, sisesta Run akna käsureale gpedit.msc käsk ja vajuta ENTER. Otsi vasemas paanis üles Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives haru. Seejärel tee parempoolses paanis 'Require additional authentication at startup' kirjel 2x hiireklõps - pilt. Aktiveeri üleval see "Enabled" raadionupp ja veendu, et "Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)" kontrollruudus oleks linnuke. Kliki all OK ja sulge Group Policy Editor aken - arvuti restarti pole vaja teha - pilt.

Mitte-süsteemi kettaid ja eemaldatavaid kettaid võid aga ka ilma selle TPM kiibita (ning ilma Group Policy sätete muutmiseta) krüptida. Sel juhul peab BitLocker vahendi kasutamisel salvestama USB mälupulka ka nn käivitusvõtme ehk stardivõtme (startup key), et Sa saaksid hiljem oma kompuutri lahti lukustada.

 

Kettaid saab BitLocker vahendi abil krüpteerida kahel viisil (meetodil):

 

Märkus: Windows sisaldab lisaks ka nn Encrypting File System (EFS) vahendit, et selle abil krüptida failisid ja kaustasid. EFS instrumendiga saab krüptida ainult kaustasid ja faile mitte aga tervet ketast. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure (PKI)) sertifikaadi abil. Krüptitud (krüpteeritud) sertifikaate hoitakse Sinu kasutajaprofiilis. Ja kui Sa saad juurdepääsu oma profiilile ja temas asuvale krüptimisvõtmele, siis saad Sa ligi ka oma krüptitud failidele.
Kuigi EFS pakub suurepärast võimalust Sinu andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui Sa kaotad või kui keegi varastab Sinu arvuti või kui häkker logib end Interneti kaudu Sinu kompuutrisse sisse, siis saadakse ligi ka Sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib Sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta Sinu arvuti konfiguratsiooni.




Trusted Platform Module (TPM) ja BitLocker:

Et kaitsta kompuutrit füüsilise rünnaku eest ja lisada temale täiendav kaitsekiht, selleks lisati Windowsisse ka nn Trusted Platform Module Services arhitektuur. Tema abil võid Sa luua laiendatud turvameetmetega platvormi, mille sees on Sinu kompuutri andmed kaitstud isegi siis kui süsteem on võrgust väljas (offlainis).

Trusted Platform Module Services kaitseb kompuutrit erilise riistvara komponendi abil, mille nimeks ongi see TPM. TPM on mikrokiip, mis on tavaliselt installitud kompuutri emaplaadile, kus ta peab riistvara siini kaudu ühendust terve süsteemiga.

TPM võib luua krüptograafilisi võtmeid ja siis need krüptida nii et ainult tema ise saab neid dekrüptida. Selleks kasutab TPM oma peavõtit, mille nimeks on Storage Root Key (SRK) ja mis asub TPM kiibi enese sees.

Uuemates kompuutrites on see TPM juba olemas ja kompuuter, mis omab seda TPM tehnoloogiat, võib luua võtme, mis on kinnises "kastis" ja see kast on omakorda kinni pitseeritud. Selle võtme pitseerimise protsess veendub selles et antud võti on seotud spetsiifilise platvormi parameetritega (st meie kompuutri teatud kindlate parameetritega teatud kindlal ajahetkel) ja seda võtit saab ainult siis lahti pitseerida kui selle platvormi parameetrite väärtused langevad ühte selles võtmes olevate parameetrite väärtustega siis kui see krüptitud/krüpteeritud võti loodi.

TPM võib pitseerida ja siis jälle lahti pitseerida ka endast väljaspool genereerituid andmeid. Windowsis saab TPM-ile ligi ja teda ksutada vahendiga, mille nimi on BitLocker (BitLocker Drive Encryption). See tehnoloogia on sisse lülitatud ainult Vista Enterprise, Vista Ultimate, Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ja Windows 10 Enterprise versioonides!

Erinevalt failisüsteemi krüptimisest (EFS), mille abil saab krüptida üksikuid faile/kaustasid, krüpteerib BitLocker terve draivi/kõvaketta, kaasa arvatud buutimiseks ja sisselogimiseks vajalikud Windowsi süsteemifailid.

Kui Sa kasutad BitLocker Drive Encryption vahendi ja TPM tehnoloogia abi Boot Manager'i ja buutimisfailide kinnipitseerimiseks, siis saab neid lahti pitseerida ainult siis kui neid ei ole muudetud sellest ajast kui nad viimati pitseeriti. See tähendab, et Sa võid kasutada TPM'i kompuutri buutimisfailide (alglaadimise ehk käivitamisfailide) kehtivuse kindlakstegemiseks juba pre-operatsioonisüsteemi keskkonnas. Kui Sa pitseerid kinni oma kõvaketta, siis saab teda lahti pitseerida ainult siis, kui kõvaketta andmeid ei ole muudetud sellest ajast kui ta viimati kinni pitseeeriti. Ja kui neid oli muudetud, siis tuleb sisestada oma taastamisvõti või parool, et oma kõvakettale ligi saada.

Seega kaitseb BitLocker Sinu andmeid isegi siis kui ründaja võib mõõda hiilida operatsioonisüsteemi kaitsemehhanismidest ja minna otse Sinu andmeteni. Teise sõnaga, BitLocker võib kaitsta Sinu kompuutrit siis kui ründaja omab füüsilist juurdepääsu Sinu andmetele. See on eriti tähtis ärireisijatele oma sülearvuti kaotamise korral.

Kuid on ka miinused:

1) Sa ei tohi kaotada oma krüptimisvõtit, sest ilma temata ei saa Sa oma kompuutrit käivitada;

2) Komputri taastamine/parandamine on palju keerulisem kui BitLocker on sisse lülitatud, sest enne taastamist tuleb Sul oma kõvaketas lahti pitseerida, aga seda saad Sa teha ainult omaenese kompuutris. Näiteks kui Sa eelnevalt ei kasutanud BitLockerit ja Sul ei õnnestu käivitada oma kompuutrit, siis võid Sa viia oma kõvaketta teisle kompuutrile, siis andmed sealt üle kopeerida ja seejärel taastada;

3) BitLocker kaitseb Sinu kompuutrit ainult siis kui ta on võrgust väljas (offlainis). Ta ei kaitse kompuutrit Internetist tuleva ründe vastu.

 

Märkus: Juhul kui Sa olid oma kõvaketta mingi vastava tarkvara või siis Windowsi enda 'BitLocker Drive Encryption' vahendi abil krüpteerinud (krüptinud) ja kui Sa unustasid oma parooli, siis tekivad kohe suured probleemid. Sa ei saa enam seda kõvaketast kasutada ja Sa ei saa teda isegi formaatida. Sa võid ta küll saata tagasi tootjatehasesse, kus siis tehakse antud kõvaketta madalama tasemega vormindamine/formaatimine (low-level format) - jama...
Kuid õnneks on olemas ka vastavad tarkvarad, mille abil saab sellisele kõvakettale teha ka madalama tasemega formaatimist ja seda isegi siis kui krüptimise tarkvara oli eelnevalt muutnud Master Boot Record (MBR)-i sisu, et võõrad ei pääseks kõvakettale üle-üldse ligi....
Üheks selliseks väga heaks ja kasulikuks tarkvaraks on avatud lähtekoodiga Darik's Boot and Nuke ("DBAN") programm, mille abil saadki oma krüpteeritud kõvaketta täiesti puhtaks pühkida. Sa võid teda kasutada ka kõikide tavaliste kõvaketaste (st krüpteerimata ketaste) puhul ja ta töötab kompuutri buutimise ajal ning teda on väga lihtne kasutada - ta töötab nii Intel kui ka Mac süsteemidega. Loe sellest siit.

Etteotsa

 

 

TPM juhtimine (TPM Management):

Et kasutada Trusted Platform Module Services (TPM) arhitektuuri ja BitLocker vahendit, peab Sinu kompuuter olema varustatud temaga ühilduva TPM kiibi ja BIOS/UEFI'iga. See TPM peab BIOS-is olema ka sisse lülitatud, see tuleb vajadusel üle kontrollida - pilt. Windows toetab praegu TPM 1.2 ja kõrgemaid versioone ning nõuab ka Trusted Computing Group (TCG)–ühilduvat BIOS'i (UEFI'i). Selline BIOS/UEFI toetab Static Root of Trust Measurement spetsifikatsiooni, sellest võid lugeda siit: http://www.trustedcomputinggroup.org. Kuid kõik UUEMAD KAASAEGSED kompuutrid juba omavad neid asju ja sellega erilist muret ei ole!

 

TPM'i saab juhtida Trusted Platform Module Management konsooli abil, et teda avada, tee selleks:

  1. Start - All Programs - Accessories ja siis klõpsa Run (Sa pead olema administraatori õigustega). Või vajuta Win+R klahvikombinatsiooni, et avada seda Run dialoogiakent.

  2. Sisesta Run akna käsureale tpm.msc ja vajuta Enter.

    Märkus: Sa võid selle (tpm.msc) tippida ka Start menüü Search otsikasti ja vajutada ENTER - pilt.

    Juhul kui ilmub järgnev teade, siis kas Sinu vanema kompuutri emaplaat ei sisalda seda TPM mikrokiipi või ta ei ole BIOS (või UEFI) sätetes sisse lülitatud (kontrolli see üle). Kõige uuemate kompuutrite emaplaadid juba sisaldavad seda TPM 1.2 (või TPM 2.0) mikrokiipi, aga vanematel kompuutritel seda ei ole:

    Juhul kui ilmub järgnev teade, siis...


Kui aga kõik on korras, siis selleks et muuta TPM konfiguratsiooni, kasuta neid käskusid, mis asuvad akna parempoolsemas paanis Actions all:

Kui aga kõik on korras, siis selleks et muuta TPM konfiguratsiooni, kasuta neid käskusid, mis...


Enne kui Sa võid TPM-i kasutada, pead Sa ta initsialiseerima esmaseks kasutamiseks ja lülitama ta sisse. See initsialiseerimine ja TPM aktiveerimine on ainult vanemate kompuutrite ning varasemate Windowsite puhul vajalik. Kõik uued Windows 10 seadmed (personaalsed kompuutrid, tahvelarvutid & Windows 10 Mobile seadmed), mis ilmuvad müüki alates 2016. a. suvest (täpsemalt pärast juuli kuud soeses Windows 10 'Anniversary Update' värskenduse väljailmumisega), peavad omama juba TPM 2.0 moodulit ja see peab olema ka vaikimisi sisse lülitatud (UEFI Firmware's). See TPM (Trusted Platform Module) on turvalisuse riistvaraline funktsioon, mis nõuab emaplaadile integreeritud spetsiaalset mikrokiipi. See nõue kehtib ainult uute OEM süsteemide osas. TPM jääb mittekohustuslikuks Windows IoT seadmete, "kompuuter pulgas" (näiteks Intel Compute Stick) kompuutrite ja ka osade Windows Server kompuutrite jaoks. Seega kui Sul on uuem Windows 10 süsteemiga kompuuter, siis võid kohe ketta krüptimist alustada.

 

TPM-i initsialiseerimine esmakordseks kasutamiseks (uute Win 10 arvutite puhul pole see vajalik):

TPM initsialiseerimise tähendus:

Trusted Platform Module (TPM) võib Sul olla järgmistes seisukordades (staadiumites):

- Mitte omistatud (st teda ei ole veel "käiku lastud") ja välja lülitatud

- Mitte omistatud ja sisse lülitatud

- Omistatud, aga välja lülitatud

- Omistatud ja sisse lülitatud

Et TPM-i saaks kasutada, peab ta olema eelnevalt sisse lülitatud ja omistatud - neid mõlemaid protsesse nimetatakse initsialiseerimiseks. Initsialiseerimise käigus luuakse uued juurvõtmed, mida hakatakse TPM kiibi poolt kasutama. Et saaks kasutada sellist tarkvara nagu BitLocker Drive Encryption, peab Sul olema TPM initsialiseeritud.

 

Teosta järgmised sammud:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool (eelpool oli sellest juttu).

  3. Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard, kliki lehel Welcome nupule Next.

  4. Järgmine samm sõltub TPM seisukorrast:

    • Kui tuvastatakse, et BIOS ei vasta nõuetele, siis jääb asi katki...

    • Kui TPM on välja lülitatud (mõnedes uuemates kompuutrites on ta juba sisse lülitatud!), siis ilmub Turn On The TPM Security Hardware leht. Järgi juhiseid, et TPM sisse lülitada. Klõpsa Shutdown (või Restart) ja siis järgi BIOS ekraani hoiatust. Pärast seda kui kompuuter on teinud restardi, kinnnita, et Sa soovid TPM-i sisse lülitada.

    • Kui TPM on juba sisse lülitatud, siis ilmub Create The TPM Owner Password leht.

     

Nüüd tuleb üles seada TPM omanik, kellele määratakse parool, et olla kindel, et ainult autoriseeritud TPM omanik võib saada ligi ja juhtida TPM-i.

 

Et seada ülesse TPM omanikku, selleks tee:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard. Welcome lehel klõpsa Next.

  4. Create The TPM Owner Password lehel vali Automatically Create The Password (Recommended) ja klõpsa Next.

  5. Lehel Save Your TPM Owner Password klõpsa Save ja siis vali koht kuhu parool salvestada, parim lahendus oleks ta salvestada eemaldatavale meediale (nt USB mälupulka).

  6. Klõpsa jälle Save. Parool salvestatakse nimega computer_name. tpm.

  7. Klõpsa Print kui soovid parooli ka paberile trükkida.

  8. Klõpsa Initialize.

  9. Kui valmis, siis klõpsa Close.


TPM-i väljalülitamine ja puhastamine (seda võib kõikidel vaja minna):

Uutel kompuutritel võib see TPM olla juba sisse lülitatud. Kui Sa ei soovi teda kasutada, siis pead sa TPM-i välja lülitama ja siis tühjaks tegema.

 

Et TPM-i välja lülitada, tee nii:

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions all klõpsa Turn TPM Off.

  4. Ilmub Turn Off The TPM Security Hardware dialoogiaken, kus vali üks järgmistest parameetritest, et sisestada oma parooli ja lülitada TPM välja:

    • Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Turn TPM Off.

    • Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Turn TPM Off.

    • Kui Sul ei ole TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et lülitada TPM välja ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta välja lülitada ka ilma paroolita.

     

TPM puhastamine (seda pead Sa ainult siis tegema kui oled parooli kaotanud):

  1. Logi ennast administraatorina sisse.

  2. Käivita Trusted Platform Module Management konsool.

  3. Actions alla klõpsa Clear TPM.

  4. Clear The TPM Security Hardware dialoogiaknas vali üks järgmistest parameetritest:

    • Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Clear TPM.

    • Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Clear TPM.

    • Kui Sa ei tea oma TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et puhastada TPM ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta puhastada ka ilma paroolita

NB! Sa võid ka oma parooli muuta kui vaja: konsoolis vali Actions alt käsk Change Owner Password.

Etteotsa

 

 

BitLocker Drive Encryption (BitLocker) vahend ja terve ketta krüptimine

BitLocker Drive Encryption (BitLocker) vahendit saab kasutada "pahade" vastu, kellel on füüsiline ligipääs Sinu kompuutrile ja kes soovivad sealt andmeid varastada. Sest ründaja võib kompuutri käivitada buutimisplaadilt ja seejärel tühistada adminparooli ning saada kompuutri kõik "varad" endale.... Või ta võib ligi saada ka otse kõvakettale kasutades selleks CD plaadil olevat erinevat operatsioonisüsteemi.

Iga kord kui käivitatakse kompuuter, kontrollib Windows buutimisfaile, operatsioonisüsteemi faile ja kõiki krüpteeritud kettaid, et tuvastada kas neid ei ole modifitseeritud siis kui kompuuter oli offlainis. Kui faile oli modifitseeritud, siis hoiatab Windows kasutajat ja ei luba teda Windowsisse. Seejärel läheb kompuuter üle taastamisreźiimi ja palub sisestada kasutajal taastamisvõtme enne kui tal lubatakse juurdepääs laadimiskettale.


BitLocker Drive Encryption funktsiooni võib kasutada nii TPM kui ka mitte-TPM (non-TPM) kompuutritega.

1) TPM ühilduvatel kompuutritel võib BitLocker Drive Encryption kasutada kahte TPM režiimi:

 

2) Kompuutritel, mis ei oma TPM-i või kui ta ei ühildu TPM vahendiga, kasutatakse USB Flash Drive Key reźiimi. Kasutaja sisestab USB mälupulga kompuutrisse, enne kui ta lülitab kompuutri sisse. Võti, mis asub selles mälupulgas, lukustab kompuutri lahti.

 

BitLocker (BitLocker Drive Encryption) instrumendi kasutamine nõuab ka seda et Sinu ketas oleks formaaditud NTFS failisüsteemi - pilt. BitLocker To Go on aga ette nähtud eemaldatavate ketaste krüptimiseks ja nendeks võivad olla USB mälupulgad, SD kaardid, välised kõvakettad ja muud kettad, mis on formaaditud kasutades NTFS, FAT16, FAT32 või exFAT failisüsteeme.

Kui Sa krüpteerid oma süsteemi ketta (st ketta, kuhu on Windows installitud), siis on soovitatav, et BIOS/UEFI menüü sätetes oleks pandud esmaseks buutimiskettaks kõvaketas (mitte aga CD/DVD plaat või USB mälupulk). Vastasel juhul arvab BitLocker pärast kompuutri käivitamist, et tegu oli pahatahtliku buutimisjärjekorra muutmisega ja nõuab selle peale ka käivitusvõtit ehk stardivõtit (startup key), et edasi minna. Kui Sa vahepeal, töö käigus, muutsid seda buutimisjärjekorda, siis pane pärast oma töö lõpetamist see kõvaketas esmaseks buutimisseadmeks jälle tagasi.

 

Kompuutri süsteemi ketta või mingi kuu ketta või eemaldatava ketta (väline kõvaketas, USB mälupulk jne) krüptimine:

A) Et BitLocker vahendit, mida saab kasutada ainult Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows 10 Pro ja Windows 10 Enterprise versioonides, sisse lülitada, tee järgmist: Ava Control Panel, vali Security (või System and Security) ja seejärel vali BitLocker Drive Encryption (või kui Sul on Control Panel klassikalises vaates, siis kliki BitLocker Drive Encryption ikoonile/kiirkorraldusele).

Avatakse BitLocker Drive Encryption aken, kus klõpsa Turn On BitLocker:

Avatakse BitLocker Drive Encryption aken, kus klõpsa Turn On BitLocker

 

...ja seesama näide aga Windows 10 Pro süsteemi BitLocker Drive Encryption aknast [siin on tegemist süsteemi kettaga (C:) ja lisaks ka välise kõvakettaga (E:)]:

...ja seesama näide aga Windows 10 Pro süsteemi BitLocker Drive Encryption aknast


Märkus: Et näiteks Windows 7 või hilisemas süsteemis seda vahendit käivitada, sisesta Start menüü Search otsikasti sõna BitLocker ja seejärel kliki üleval otsingutulemustes BitLocker Drive Encryption lingile. Avatakse BitLocker Drive Encryption aken, kus vali välja vajalik draiv (partitsioon) ja kliki tema järel asuvale Turn On BitLocker lingile. Windows 7 ja Windows 10 süsteemides saad sellele BitLocker vahendile ligi ka Control Panel\System and Security\BitLocker Drive Encryption kaudu. Näide BitLocker Drive Encryption funktsiooni avaaknast Windows 10 opsüsteemis.............. - pilt.

Veelgi kiirem meetod oma ketta krüpteerimise alustamiseks: tee File Explorer aknas vajalikul kettal paremklikk ja vali ilmuvast kontekstmenüüst Turn on BitLocker käsk - pilt.

 

B) Seejärel võivad Sulle ilmuda erinevad nõustaja aknad ja see sõltub järgmisest:


C) Seejärel loo ka taastamisvõti (Recovery Key) ja seda juhuks kui Sa unustasid oma parooli või kaotasid kiipkaardi või kui Sinu TPM toega kompuuter "kärvas maha" ning kui Sa tahad oma kõvakettale teise kompuutri kaudu ligi saada. Sa võid selle taastamisvõtme salvestada oma Microsofti konto alla või siis faili või isegi välja printida. Kui Sa arhiveerid oma taastamisvõtme Microsofti konto alla, siis saad hiljem sellele võtmele ligi https://onedrive.live.com/recoverykey veebilehe kaudu. Sa võid ka neid kõiki kolme kasutada, kliki siin järjest kõikidele nendele linkidele. Kui valmis, siis kliki nupule Next:

Seejärel loo ka taastamisvõti (Recovery Key)

 


Märkused: Kui Sa krüptid süsteemi ketast (või muud mitte-eemaldatavat ketast), siis on selles eelmises aknas lisaks ka selline võimalus, kus Sa saad antud taastamisvõtme ka USB mälupulka salvestada ("Save to a USB flash drive").

Selle salvestatud või väljaprinditud taastamisvõtme (Recovery Key) tekstifaili sisu näeb siis välja umbes järgmine:

BitLocker Drive Encryption recovery key

To verify that this is the correct recovery key, compare the start of the following identifier with the identifier value displayed on your PC.

Identifier:

FB8C63B7-F1C4-4F9E-BF00-25AAE4CD5427 [Minu märkus: See ei ole kompuutri ID vaid see on seotud antud krüptitud kettaga. Näiteks kui Sa olid mitu erinevat ketast krüpteerinud ja salvestanud ka nende taastamisvõtmed, siis saad mingi krüptitud ketta lahtilukustamisel antud ketta identifitseerijat (ID) võrrelda ekraanil kuvatava ID-ga. See kõik on ainult siis vajalik kui Sul on neid taastamisvõtmeid mitu ja kui Sa ei saa mingit ketast ka selle taastamisvõtmega lahti lukustada (võib olla sisestasid vale taastamisvõtme): sel juhul siis võrdledki neid ID-sid ja vaatad, et kas antud ketta jaoks sai ikka see õige taastamisvõti sisestatud.]

If the above identifier matches the one displayed by your PC, then use the following key to unlock your drive.

Recovery Key:

734899-123440-366917-636911-584474-156111-360525-248303 (Minu märkus: See ongi siis taastamisvõti ja seda kasutagi.)

If the above identifier doesn't match the one displayed by your PC, then this isn't the right key to unlock your drive.
Try another recovery key, or refer to https://go.microsoft.com/fwlink/?LinkID=260589 for additional assistance.


 

D) Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next. Ülemise raadionupu võid siis valida kui Sul on tegemist uue ketta või uue kompuutriga:

Järgmisena aktiveeri üks neist raadionuppudest ja kliki Next

 

E) Nüüd vali krüptimise režiim: Kui Sul jookseb oma kompuutris Windows 10 operatsioonisüsteem, siis näed ka lisaakent, mis lubab Sul valida ka krüptimise režiimi. Kui Sa kasutad aga Windows 7 või 8 versiooni, siis sellist nõustaja akent Sa ei näe.

Kui Sa kavatsed seda krüptitud ketast kasutada tulevikus ainult Windows 10 süsteemiga kompuutris, siis vali see ülemine "New encryption mode" raadionupp. Kui Sa kavatsed aga seda ketast (eriti just eemaldatavat kestast) tulevikus ka varasemate Windowsitega kompuutrites kasutada, siis vali siin see "Compatible mode" raadionupp. Seejärel kliki jälle Next:

Nüüd vali krüptimise režiim

 

F) Kliki nupule "Start encrypting", et alustada ketta krüpteerimist:

Kliki nupule "Start encrypting", et alustada ketta krüpteerimist

 

Märkus: Juhul kui Sa krüptid süsteemi ketast, siis näed lisaks veel ühte akent, kus kliki nupule Continue. Sel juhul tehakse ka arvuti restart ja pärast tagasijõudmist alustatakse ketta krüptimist... - pilt. Kui Sa krüptid mitte-süsteemi või eemaldatavat ketast, siis ei vajata kompuutri restarti ja krüptimine algab kohe.

 

G) Krüptimise protsess võib aega võtta mõned sekundid, mõned minutid või palju-palju kauem (tunde) ja see sõltub sellest et kui suure mahuga see ketas on ning et kui palju andmeid seal hoitakse. Sa võid sel ajal oma kompuutrit edasi kasutada ja sel juhul toimub see krüpteerimine ainult natuke aeglasemalt:

Sa võid sel ajal oma kompuutrit edasi kasutada

 

 

Krüptitud (krüpteeritud) ketta lahtilukustamine:

Kui Sa lõpetasid näiteks oma välise USB kõvaketta krüptimise ja kui Sa nüüd järgmine kord ühendad ta kompuutriga, siis näed File Explorer (Windows Explorer) aknas järgmist pilti:

Ketas on lukustatud...

 

Et seda ketast nüüd lahti lukustada, tee tal 2x klõps või tee sellel kettaikoonil paremklikk ja vali kontekstmenüüst "Unlock Drive..." käsk - pilt.

Selle peale ilmub ekraani paremasse ülanurka (Windows 10 kompuutris) väike aknake, kus sisesta parool ja kliki allpool Unlock nupule. Sa võid seal klikkida ka "More options" lingile, et valida mingi muu tegevus...:

Unlock

Näiteks Windows 7 süsteemis ilmub krüpteeritud välise USB kõvaketta lahtilukustamiseks aga järgmine aken - pilt.

Pärast seda saadki oma kettale ligi. Kui Sa teed nüüd antud kettaikoonil jälle paremklõpsu, siis näed ilmuvas kontekstmenüüs ka "Change BitLocker password" ja "Manage Bitlocker" käskusid - pilt. Kui valisid sellest kontekstmenüüst näiteks "Manage Bitlocker" käsu, siis avatakse BitLocker Drive Encryption aken, kus saad antud krüptitud ketta jaoks mitut asja ette võtta..., näiteks parooli muuta jne:

BitLocker Drive Encryption aken

 

Windows 7 operatsioonisüsteemiga kompuutri Windows Explorer aknas näeb see lahtilukustatud krüptitud ketas välja selline:

Windows 7 operatsioonisüsteemiga kompuutri Windows Explorer aknas näeb see lahtilukustatud krüptitud ketas välja selline

 

Märkus: Juhul kui Sa olid oma kõvaketta mingi vastava tarkvara või siis Vista/windows 7/8(8.1)/10 enda 'BitLocker Drive Encryption' vahendi abil krüpteerinud (krüptinud) ja kui Sa unustasid oma parooli, siis tekivad kohe suured probleemid. Sa ei saa enam seda kõvaketast kasutada ja Sa ei saa teda isegi formaatida. Sa võid ta küll saata tagasi tootjatehasesse, kus siis tehakse antud kõvaketta madalama tasemega vormindamine/formaatimine (low-level format).
Kuid õnneks on olemas ka vastavad tarkvarad, mille abil saab sellisele kõvakettale teha ka madalama tasemega formaatimist ja seda isegi siis kui krüptimise tarkvara oli eelnevalt muutnud Master Boot Record (MBR)-i sisu, et võõrad ei pääseks kõvakettale üle-üldse ligi...
Üheks selliseks väga heaks ja kasulikuks tarkvaraks on avatud lähtekoodiga Darik's Boot and Nuke ("DBAN") programm, mille abil saadki oma krüpteeritud kõvaketta täiesti puhtaks pühkida. Sa võid teda kasutada ka kõikide tavaliste kõvaketaste (st krüpteerimata ketaste) puhul ja ta töötab kompuutri buutimise ajal ning teda on väga lihtne kasutada - ta töötab nii Intel kui ka Mac süsteemidega. Loe sellest sealt.

 


!!! BitLocker To Go laiendab BitLocker võimalusi ja ta aitab krüptida väliseid USB kettaid (näiteks USB mälupulka või välist USB kõvaketast), millele saab pärast krüptimist ligi ainult parooli sisestamisel. Nagu siin eelpool sai juba mainitud, siis Windows valib ise, sõltuvalt sellest et millist ketast Sa krüpteerima hakkad, vastava krüptimise meetodi ja Sinul sellega muret ei ole. Kõik käib ühesuguse krüptimise nõustaja kaudu. Siin eelpool toodigi ära osa pilte just välise USB kõvaketta krüptimise kohta. Kuid seal veebilehel on toodud ära veel üks näide sellest et kuidas eemaldatava seadme krüptimine käib—seal on juttu USB mälupulga krüptimisest. Lisaks sellele saad sealt sellest protsessist märksa ülevaatlikuma info. Seal on ka sellest juttu, et kuidas lülitada BitLocker vahendit sisse siis kui Sul on 'dual-boot' ('multi-boot') süsteem.


 

Etteotsa

 

Mine lehele Võrgutöö ja Internet I. osa >

< Tagasi

 

< Tagasi Windows Vista esilehele ja sisukorda

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

elaja koju............... About Us ...........|........... Site Map | ©2006 Ahv & Co Eesti Vabariik