Windows Üzerinde BitLocker Yapılandırma

BitLocker Windows Pro ve Enterprise işletim sistemlerinde Microsoft’un ücretsiz olarak sunduğu veri güvenliğini sağlamaya yarayan şifreleme sistemidir. Sabit disk veya taşınabilir harici disklerde bu özelliği kullanabilmekteyiz. BitLocker sürücünün tamamını şifreler ve şifrelenen verilere erişilmeye çalışıldığında şifre sorar. Şifre bilgisi doğru girildiği takdirde, verilere erişim sağlanabilir.

Şifrelediğiniz bir sürücüye yüklediğiniz her dosya BitLocker tarafından otomatik olarak şifrelenir. Dosyalar şifrelenmiş sürücüde depolandıkları sürece şifrelenmiş halde saklanır. Başka bir sürücüye veya bilgisayara kopyalanan dosyalar ise dışarı şifre olmadan kopyalanır.

Örneğin ağ üzerinden dosyaları paylaşıma açtıysanız o dosyalar şifrelenmiş sürücüde depolandığı sürece şifreli halde kalacaktır. Ancak yetkili kullanıcılar ve şifreyi bilenler verilere erişebilir.

İşletim sisteminin bulunduğu sürücüyü (C: sürücüsünü)  şifrelerseniz, BitLocker başlangıç (boot) sırasında bilgisayarınızda güvenlik riski oluşturabilecek koşullar olup olmadığını kontrol eder. Olası bir güvenlik riski algılanırsa, BitLocker işletim sistemi sürücüsünü kilitler. Bu kilidi açmak için özel bir BitLocker kurtarma anahtarının girilmesi gerekir.

BitLocker‘ı ilk açtığınızda “BitLocker kurtarma anahtarı” oluşturduğunuzdan emin olun. Aksi takdirde, dosyalarınıza erişiminizi kalıcı olarak kaybedebilirsiniz.

Sabit veya taşınabilir diskleri şifrelerseniz, bir parola veya akıllı kartla şifrelenmiş sürücünün kilidini açabilir ya da bilgisayarda oturum açtığınızda otomatik olarak kilidi açılacak şekilde sürücüyü ayarlayabilirsiniz.

BitLocker‘ı istediğiniz zaman askıya alıp geçici olarak veya sürücünün şifresini çözüp kalıcı olarak kapatabilirsiniz. Bu konuya yazının ilerleyen bölümlerinde değinilecektir.

İstemci ve Cihaz Güvenliğinin Sağlanması

BitLocker ile İşletim Sistemi Diskinin Şifrelenmesi

İşletim sisteminin bulunduğu diski BitLocker ile şifrelemek için, diskin üzerine gelerek, “Turn On BitLocker” seçeneğini seçiyoruz.

İşletim sisteminin olduğu alanı BitLocker ile şifrelemek istersek, aşağıdaki hata ile karşılaşacağız. Bu hatada bize bilgisayarda üzerinde fiziksel olarak takılı bir TPM (Trusted Platform Module) çipinin olmadığı uyarısını vermektedir. Biz işlemimizi sanal makine üzerinde yaptığımız için dolayısı ile donanımsal olarak TPM modülüne sahip değiliz. Bu nedenle TPM modülü olmayan bilgisayarlarda BitLocker özelliğini aktif edebilmek için bir Policy ayarı yapmamız gerekmektedir.

Önceki makalelerimizde (Domain’e Bağlı Bir Makinede Yetkili Hesabın Ele Geçirilmesi) Windows kurulum CD’sini kullanarak, bilgisayarı boot etmiş, sonrasında işletim sisteminin olduğu diske ulaşarak, orada yapmış olduğumuz bazı işlemlerle Administrator hesabını enable etmiş ve şifresini resetlemiştik. Bu tür işlemlerin önüne geçmek için BitLocker çözümünü kullanacağız. BitLocker uygulandıktan sonra bilgisayar nasıl boot edilirse edilsin, hiçbir şekilde işletim sisteminin içerisine erişilemeyecektir. Ayrıca bu işlem sonrasında bilgisayar her yeniden tekrar açılırken bizlerden BitLocker şifresini isteyecektir. Sonrasında kullanıcı şifresini girdikten sonra bilgisayar açılacaktır. Bu işlemle beraber 2 taraflı bir güvenlik sağlamış olacağız.

GPO üzerinden bu ayarı açabileceğimizi ve OU altındaki makinelerimize bunu basabileceğimizi söylemiştik, GPO üzerinden uyguladığımız politikalar zaten, bilgisayarın local’inde ki, local policy’ler üzerine yazılmaktadır. Bu işlemide görmek için bu örneği local policy üzerinden gerçekleştireceğiz.

Bilgisayar üzerinden run’a gelerek gpedit.msc yazarak Local Policy’leri açıyorum. Gelen ekran üzerinden, Computer Configiration/Administrative Templates/Windows Components/BitLocker Drive Encrypition/Operating System Drives altına geliyorum. Buradan “Require addtional authentication at startup” özelliğini açıyorum.

Bu makine üzerinde herhangi bir TPM çipi olmasa bile, yapmış olduğumuz değişiklik sayesinde işletim sistemi diski üzerinde BitLocker’ı aktif hale getirebileceğiz.

Şimdi tekrar işletim sistemi diskinin üzerine geliyoruz ve sürücüye sağ tıklayarak Turn on BitLocker diyoruz.

BitLocker ile işletim sistemi diskini şifrelediğimiz zaman, bilgisayar açılırken ilk başta BitLocker’i açmak için bir yöntem soracaktır, sonrasında kullanıcı bilgileri girilecektir. İlk ekranda nasıl giriş yapmak istediğimizi, şuan karşımıza gelen ekran üzerinden belirliyoruz. İsterseniz USB flash bellek üzerine BitLocker’in açılması için gerekli bilgilerin yazdırıldığı sağlayabiliriz ve bu seçenek ile ilerleyebiliriz. Bu yöntemde bilgisayarı her tekrar açtığımızda bu flash belliği takıp hareket etmemiz gerekmektedir. Yada ikinci seçenek üzerinden ilerleyerek, bir şifre gireceğiz ve gelen ekrana oluşturacağımız şifreyi girerek devam edeceğiz.  Enter a pasword seçeneği ile devam ediyoruz.

Bu alanda güçlü bir şifre girerek devam ediyorum.

Bu alan şifreyi unutma ihtimalinize karşın size bir anahtar oluşturmanızı sağlıyor, gelen seçeneklerde istersek bu anahtarı USB flash belleğe alabiliriz, yada bilgisayar üzerinde veya paylaşılmış bir alana kaydedebiliriz, yada çıktısını alarak saklayabiliriz. Dosyayı işletim sisteminin bulunduğu disk şifreleneceği için bu disk üzerinde bir yere sistem kaydetmenize izin vermeyecektir.

Biz bilgisayarlarda yapacağımız BitLocker işlemlerine ait kurtarma keylerini backup sunucumuz üzerinde oluşturmuş olduğumuz alanda saklayacağız. Dosyayı kayıt ederek ilerliyoruz.

Windows 10 bildiğiniz gibi 1511 derlemesine geçiş yaptı. Windows 1511 öncesinde yer alan versiyonlarla uyumlu çalışmak adına “Uyumluluk Modu”nu seçmenizde yarar var. Biz test ortamında olduğumuzdan “Yeni Şifreleme Modu”nu seçerek İleri butonu ile ilerliyoruz.

BitLocker şifreleme öncesi denetim yapması ve sorun olmaması için Bitlocker sistem denetimini çalıştır seçimini yaparak Devam butonuna tıklayalım. BitLocker ile ilgili sistem üzerinde gerekli kontrolleri yapacağını söylüyor onaylıyoruz.

Bu aşamadan sonra bilgisayarımız yeniden başlayacaktır. Bilgisayarımız yeniden açılarken bizden, işletim sistemi diskini şifrelediğimiz için BitLocker şifresini istemektedir. Bu bilgiyi girerek devam ediyoruz.

Sonrasında bizden bilgisayar açılış şifresini istiyor ve bu bilgiyi girerek giriş yapıyoruz.

Kontrol ettiğimizde C sürücümüzün üzerinde bir kilit işareti görüyoruz, biz bilgisayara giriş yaparken BitLocker şifresini girdiğimiz için açık durumdadır. Zaten bu şifreye sahip olmasaydık, sisteme giriş yapmayacaktık.

İstersek sürücümüzün üstüne sağ tıklayarak, Change BitLocker password seçeneğinden ilk olarak eski şifremizi, sonra yeni şifreleri girerek şifremizi değiştirebiliriz.

Gelen ekran üzerinden eski şifre ve yeni şifre bilgilerini girerek, bu işlemi gerçekleştirebiliriz.

Aynı ekran üzerinden Manage BitLocker diyerekte, istersek korumayı askıya alabilir, geri dönüş anahtarı oluşturulabilir yada BitLocker’i komple kaldırabiliriz.

Şimdiki senaryomuzda BitLocker’a koymuş olduğumu şifreyi unuttuğumuzu varsayalım, tekrar bilgisayarı restart ediyorum ve benden BitLocker şifresini istediği ekranda ESC tuşuna basıyorum ve gelen ekrana, daha önce backup servera almış olduğum keyi giriş yaparak, açabilirim.

Şimdi bir önceki makalelerimde yapmış olduğum (Domain’e Bağlı Bir Makinede Yetkili Hesabın Ele Geçirilmesi) işlemi tekrar deneyeceğim, şifre kırmak için bilgisayarıma kurulum CD’sini takıyorum ve bilgisayarı yeniden başlatıyorum. Kurulum ekranı geldiğinde shift+f10 yaparak komut satırını açıyorum ve buradan işletim sisteminin olduğu diske erişmeye çalışacağım.

Komut satırı üzerinden işletim sistemi diskini bulmak için ilk olarak c: deniyorum, işletim sistemi burada bulunmadığı için d: yapıyorum ve işletim sistemi diskini buldum ancak, gelen ekranda bana bu diskin BitLocker ile şifrelendiğini, bilgisayara giriş yaparak BitLocker’i kaldırdıktan sonra bu işleme devam edebileceğimizi bildiriyor bende bu işlem sayesinde bilgisayarımızı güvenliğe almış oluyoruz.