İşletim sistemlerinde BitLocker Windows Pro ve Enterprise Microsoft’un ücretsiz olarak sunduğu veri güvenliğini sağlamaya yarayan şifreleme sistemidir. Tüm disklerde bu özelliği kullanabilmekteyiz. BitLocker sürücünün tamamını şifreler ve şifrelenen verilere erişilmeye çalışıldığında güvenlik katmanı oluşturur. Güvenlik katmanı başarılı bir şekilde geçildiği takdirde, verilere erişim hakkı sunar.
Şifrelediğiniz bir sürücüye yüklediğiniz her dosya BitLocker tarafından otomatik olarak şifrelenir. Dosyalar şifrelenmiş sürücüde depolandıkları sürece, şifrelenmiş halde saklanır. Başka bir sürücüye veya bilgisayara kopyalanan dosyalar ise dışarı şifre olmadan kopyalanır.
Örneğin ağ üzerinden dosyaları paylaşıma açtıysanız o dosyalar şifrelenmiş sürücüde depolandığı sürece şifreli halde kalacaktır. Yetkili kullanıcılar güvenlik katmanını geçerek bu verilere erişebileceklerdir.
İşletim sisteminin bulunduğu sürücüyü (C: sürücüsünü) şifrelerseniz, BitLocker başlangıç (boot) sırasında bilgisayarınızda güvenlik riski oluşturabilecek koşullar olup olmadığını kontrol eder. Olası bir güvenlik riski algılanırsa, BitLocker işletim sistemi sürücüsünü kilitler. Bu kilidi açmak için özel bir BitLocker kurtarma anahtarının girilmesi gerekir.
BitLocker‘ı açtığınızda “BitLocker kurtarma anahtarı” oluşturduğunuzdan emin olun. Aksi takdirde, dosyalarınıza erişiminizi kalıcı olarak kaybedebilirsiniz.
Sabit veya taşınabilir diskleri şifrelerseniz, bir parola veya akıllı kartla şifrelenmiş sürücünün kilidini açabilir ya da bilgisayarda oturum açtığınızda otomatik olarak kilidi açılacak şekilde sürücüyü ayarlayabilirsiniz.
BitLocker‘ı istediğiniz zaman askıya alıp, geçici olarak veya sürücünün şifresini çözüp kalıcı olarak kapatabilirsiniz. Bu konuya yazının ilerleyen bölümlerinde değinilecektir.
1-BitLocker ile İşletim Sistemi Diskinin Şifrelenmesi (Sanal Makinalar)
TPM modülü olmayan ve sanal makinalarda aşağıdaki işlem gerçekleştirilmelidir. Fiziksel makinalarda aşağıdaki 2-BitLocker ile İşletim Sistemi Diskinin Şifrelenmesi (Fiziksel Makinalar) üzerinden devam edebilirsiniz.
İşletim sisteminin bulunduğu diski BitLocker ile şifrelemek için, diskin üzerine gelerek, “Turn On BitLocker” seçeneğini seçiyoruz.
TPM modülü olmayan ve sanal makinalarda İşletim sisteminin olduğu alanı BitLocker ile şifrelemek istersek, aşağıdaki hata ile karşılaşacağız. Bu hatada bize bilgisayarda üzerinde fiziksel olarak takılı bir TPM (Trusted Platform Module) çipinin olmadığı uyarısını vermektedir. Biz işlemimizi sanal makine üzerinde yaptığımız için dolayısı ile donanımsal olarak TPM modülüne sahip değiliz. Bu nedenle TPM modülü olmayan bilgisayarlarda BitLocker özelliğini aktif edebilmek için bir Policy ayarı yapmamız gerekmektedir. Bu policy ayarını GPO üzerinden yapıp, ilgili OU’lara uygulayarak yaygınlaştırmamızda mümkündür.
BitLocker uygulandıktan sonra bilgisayar nasıl boot edilirse edilsin, hiçbir şekilde işletim sisteminin içerisine erişilemeyecektir. Ayrıca bu işlem sonrasında bilgisayar her açılırken bizlerden BitLocker şifresini isteyecektir. Sonrasında kullanıcı şifresini girdikten sonra bilgisayar açılacaktır. Bu işlemle beraber 2 taraflı bir güvenlik sağlamış olacağız.
GPO üzerinden bu ayarı açabileceğimizi ve OU altındaki makinelerimize bunu uygulayabileceğimizi söylemiştik. Tek bir bilgisayarın üzerinde bu işlemi gerçekleştireceksek, local policy ayarlarını kullanabiliriz. Bu işlemi de görmek için bu örneği local policy üzerinden gerçekleştireceğiz.
Bilgisayar üzerinden Run’a gelerek gpedit.msc yazarak Local Policy’leri açıyorum. Gelen ekran üzerinden, Computer Configiration/Administrative Templates/Windows Components/BitLocker Drive Encrypition/Operating System Drives altına geliyorum. Buradan “Require addtional authentication at startup” özelliğini Enable yapıyoruz.
Bu makine üzerinde herhangi bir TPM çipi olmasa bile, yapmış olduğumuz değişiklik sayesinde işletim sistemi diski üzerinde BitLocker’ı aktif hale getirebileceğiz.
Aktif hale getirdikten sonra Fiziksel Makinalar’da olduğu gibi işlemlere devam edebiliriz.
2-BitLocker ile İşletim Sistemi Diskinin Şifrelenmesi (Fiziksel Makinalar)
İşletim sistemi diskinin üzerine geliyoruz ve sürücüye sağ tıklayarak “Turn on BitLocker” diyoruz.
BitLocker ile işletim sistemi diskini şifrelediğimiz zaman, bilgisayar açılırken ilk başta BitLocker’i açmak için bir yöntem soracaktır, sonrasında kullanıcı bilgileri girilecektir. İlk ekranda nasıl giriş yapmak istediğimizi, karşımıza gelen ekran üzerinden belirliyoruz. İsterseniz USB flash bellek üzerine BitLocker’in açılması için gerekli bilgilerin yazdırılmasını sağlayabilir ve bu seçenek ile ilerleyebilirsiniz. Bu yöntemde bilgisayarı her açtığımızda bu flash belleği takarak, hareket etmemiz gerekmektedir. Yada ikinci seçenek üzerinden ilerleyerek, bir şifre oluşturacağız ve gelen ekrana bu şifreyi girerek devam edeceğiz. Biz bu seçeneceği tercih ediyoruz ve “Enter a pasword” seçeneği ile devam ediyoruz.
Bu alanda güçlü bir şifre girerek devam ediyoruz.
Bu alan şifreyi unutma ihtimalinize karşın size bir anahtar oluşturmanızı sağlıyor, gelen seçeneklerde istersek bu anahtarı USB flash belleğe alabiliriz, yada bilgisayar üzerinde veya paylaşılmış bir alana kaydedebiliriz, yada çıktısını alarak saklayabiliriz. Dosyayı işletim sisteminin bulunduğu disk şifreleneceği için bu disk üzerinde bir yere sistem kaydetmenize izin vermeyecektir.
Biz bilgisayarlarda yapacağımız BitLocker işlemlerine ait kurtarma keylerini backup sunucumuz üzerinde oluşturmuş olduğumuz alanda saklayacağız. Siz uygun olan bir seçenek ve alan ile ilerleyebilirsiniz. Dosyayı kayıt ederek ilerliyoruz.
Windows 10 bildiğiniz gibi 1511 derlemesine geçiş yaptı. Windows 1511 öncesinde yer alan versiyonlarla uyumlu çalışmak adına “Uyumluluk Modu”nu seçmenizde yarar var. Biz test ortamında olduğumuzdan “New encryption mode” seçerek İleri butonu ile ilerliyoruz.
BitLocker şifreleme öncesi denetim yapması ve sorun olmaması için Bitlocker sistem denetimini çalıştır seçimini yaparak Devam butonuna tıklayalım. BitLocker ile ilgili sistem üzerinde gerekli kontrolleri yapacağını söylüyor onaylıyoruz.
Bu aşamadan sonra bilgisayarımız yeniden başlayacaktır. Bilgisayarımız yeniden açılırken bizden, işletim sistemi diskini şifrelediğimiz için BitLocker şifresini istemektedir. Bu bilgiyi girerek devam ediyoruz.
Sonrasında bizden bilgisayar açılış şifresini istiyor ve bu bilgiyi girerek giriş yapıyoruz.
Kontrol ettiğimizde C sürücümüzün üzerinde bir kilit işareti görüyoruz, biz bilgisayara giriş yaparken BitLocker şifresini girdiğimiz için açık durumdadır. Zaten bu şifreye sahip olmasaydık, sisteme giriş yapamayacaktık.
İstersek sürücümüzün üstüne sağ tıklayarak, Change BitLocker password seçeneğinden ilk olarak eski şifremizi, sonra yeni şifreleri girerek şifremizi değiştirebiliriz.
Gelen ekran üzerinden eski şifre ve yeni şifre bilgilerini girerek, bu işlemi gerçekleştirebiliriz.
Aynı ekran üzerinden Manage BitLocker diyerekte, istersek korumayı askıya alabilir, geri dönüş anahtarı oluşturulabilir yada BitLocker’i komple kaldırabiliriz.
BitLocker’a koymuş olduğumuz şifreyi unuttuğumuzu varsayalım, tekrar bilgisayarı restart ediyorum ve benden BitLocker şifresini istediği ekranda ESC tuşuna basıyorum ve gelen ekrana, daha önce backup servera almış olduğum keyi girerek, bilgisayarımı açabiliyorum.
Key bilgisi her sistem için değişiklik göstermektedir ve Identifier bilgisiyle uyuşmalıdır.
Volkan Demirci’ye teşekkürler.
