بهبود عملكرد BitLocker در ویندوز سرور 2012 و ویندوز 8


1391/10/11 0:0
در این مقاله به بررسی بهبود عملكرد BitLocker در ویندوز سرور 2012 و ویندوز 8 می پردازیم. این بهبودها عبارتند از: پشتیبانی جدید درایوهایی كه خود را به صورت خودكار رمزنگاری می كنند (SEDها) و ویژگی جدید Network Unlock كه اجازه می دهد زمانی كه رایانه به شبكه سیمی شركت متصل می شود به طور خودكار درایوهایی را كه توسط BitLocker رمزنگاری شده بودند، رمزگشایی شوند.

رمزنگاری درایوها با استفاده از BitLocker در سال 2006 در ویندوز ویستا معرفی شد. BitLocker با پیشرفت فناوری و ارتقاء سیستم عامل ویندوز پیشرفته تر شده است. نسخه جدید آن در ویندوز 2012 و ویندوز 8 دارای گزینه های ویژه و كامل تری برای حفاظت از رایانه در برابر حملات فیزیكی مهاجمان می باشد. این مساله به خصوص برای دستگاه های سیار كه امروزه به عنوان یك ابزار محاسباتی كسب و كار برای كاربران به شمار می رود، از اهمیت ویژه ای برخوردار است.    
اگر لپ تاپی كه حاوی اطلاعات حساس یا ارتباطات راه دور مانند ارتباطات VPN به شبكه شركت می باشد گم شود یا به سرقت برده شود، ممكن است یك فرد غیرمجاز بتواند حتی بدون دانستن یا شكستن رمز عبور كاربر، به اطلاعات درایو آن دسترسی یابد. آن فرد می تواند با خارج كردن درایو سخت از سیستم و متصل كردن آن به یك سیستم دیگر، به اطلاعات درایوها دسترسی یابد.
برای حفاظت از داده ها در برابر دسترسی افراد غیرمجازی كه دسترسی فیزیكی به سیستم دارند، می توان داده ها را رمزگذاری كرد. با رمزگذاری فایل های سیستم عامل می توان اطمینان حاصل كرد كه فرد غیرمجاز هیچگاه نمی تواند به فایل های سیستم دسترسی یابد. رمزگذاری سطح فایل مانند EFS را می توان برای رمزگذاری داده ها به كار برد اما برای فایل های سیستم عامل به گزینه ی دیگری نیاز است. برای این منظور باید كل درایو یا ولوم را رمزگذاری نمود.
پیشنهاد مایكروسافت
راه حل مایكروسافت برای رمزگذاری كل درایو استفاده از BitLocker است. این گزینه با ویندوز ویستا معرفی شد و همزمان یا انتشار نسخه های جدید ویندوز به مرور كامل تر شد و گزینه های بیشتری به آن اضافه گردید. شركت مایكروسافت در ویندوز 7، ویژگی جدید تحت عنوان BitLocker To Go را معرفی كرد كه توانایی رمزگذاری درایوهای قابل حمل را نیز داشت. رمزگذاری رسانه های قابل حمل با استفاده از BitLocker To Go در مقالات پیشین شرح داده شده است.
در ویندوز 8 و ویندوز سرور 2012، مایكروسافت گزینه های مهمی را به BitLocker افزوده است كه می توان در بسیاری از موارد از آن استفاده نمود.
پشتیبانی SED
در نسخه های پیشین BitLocker، این فناوری استفاده از درایو سخت رمزگذاری شده را به عنوان درایو بوت پشتیبانی نمی كرد. اما در نسخه جدید BitLocker گزینه ای وجود دارد كه توسط آن درایوها خودشان را به طور خودكار رمزگذاری می كنند. انواع گسترده ای از درایوها مانند IDE، ATA، SATA، eSATA، SAS و SCSI، هم چنین IEEE 1394 و USB را پشتیبانی می كند. در ویندوز سرور 2012، BitLocker درایوهای كانال فیبر و iSCSI  را نیز پشتیبانی می كند. هم چنین می توان از آن برای آرایه های RAID مبتنی بر سخت افزار نیز استفاده نمود.  
Network Unlock
ویژگی دیگر BitLocker در نسخه ویندوز سرور 2012 و ویندوز 8، Network Unlock می باشد. این ویژگی برای محیط شركت ها قرار داده شده است به خصوص سیستم هایی كه متعلق به دامنه ویندوز می باشند. در این حالت اگر سیستم به شبكه شركت متصل شود، درایوهایی كه با BitLocker رمزگذاری شده اند، رمزگشایی می شوند.(اتصال به شبكه باید از طریق كابل باشد و این ویژگی اتصالات بی سیم و راه دور را پشتیبانی نمی كند)
این مساله باعث می شود زمانیكه كاربران به شبكه معتبر متصل می شوند و كلیدهای USB یا شماره PIN را فراموش كرده اند، درایو آن ها به طور خودكار رمزگشایی شده و مشكلی برای آن ها به وجود نمی آید. هم چنین اعمال به روز رسانی ها و اصلاحیه ها را بر روی درایوهایی كه رمزگذاری شده اند، راحت تر می كند. البته این تنظیمات اختیاری است و سازمان ها می توانند برای امنیت بیشتر، وارد كردن شماره PIN را الزام كنند.
پیش نیازهایNetwork Unlock
برخی پیش نیازها برای استفاده از ویژگیNetwork Unlock  لازم است. سیستمی كه با BitLocker محافظت می شود باید از میان افزار UEFI استفاده كند و مستلزم آن است كه یك درایو DHCP در میان افزار داشته باشد. نقش WDS در شبكه باید بر روی ویندوز سرور 2012 تعریف شده باشد و هم چنین سرور DHCP باید از سرور WDS جدا باشد. باید سیاست گروهی برای Network Unlock تنظیم شده باشد و باید ویژگی Network Unlock بر روی ویندوز سرور 2012 نصب شده باشد. می توان این كار را از طریق Server Manager یا با PowerShell انجام داد. این ویژگی از یك كلید رمزگذاری عمومی و یك كلید شبكه كه بر روی درایو سیستم ذخیره شده است، استفاده می كند.
Network Unlock چگونه كار می كند
مدیر بوت رایانه كلاینت، محافظ كلید Network Unlock را تشخیص می دهد. محافظ كلید یعنی با كدام كلید BitLocker این درایو رمزگذاری شده است. این كلیدها شامل رمز عبور، PIN، فایل كلید، كارت هوشمند، گواهینامه می شود. هنگامی كه كلاینت این محافظ را پیدا كرد، از DHCP برای گرفتن آدرس IP استفاده می كند. سپس یك درخواست DHCP با كلید رمزگذاری و كلید نشست ارسال می كند.
سرور باید یك جفت كلید 2048 بیتی RSA داشته باشد. كلاینت تنها به كلید عمومی نیاز دارد. گواهینامه از طریق ویرایشگر سیاست گروهی بر روی كنترل كننده دامنه مستقر شده است. سرور WDS با استفاده از كلید خصوصی RSA، درخواست را رمزگشایی می كند و سپس كلید شبكه را برمی گرداند.    
اگر سرور WDS در دسترسی نباشد یا كلید مناسب را برنگرداند چه اتفاقی می افتد؟ در این مورد، كاربر باید با استفاده از روش استاندارد درایو را رمزگشایی نماید.
استقرار Network Unlock
در زیر مراحل راه اندازی Network Unlock برای دامنه ویندوز آورده شده است:
1. نقش سرور WDS از طریق Server Manager یا PowerShell نصب شود. دستور برای نصب از طریق PowerShell به صورت زیر می باشد:
Install-WindowsFeature WDS-Deployment
2. در Server Manager یا PowerShell اطمینان حاصل گردد كه سرویس WDS در حال اجرا است. دستور PowerShell به صورت زیر می باشد:
Get-Service WDSServer
3. از طریق Server Manager یا PowerShell ویژگی Network Unlock نصب شود. دستور PowerShell به صورت زیر می باشد:
Install-WindowsFeature BitLocker-NetworkUnlock
4. با استفاده از كنسول Certificates Management(certmgr.msc) یك گواهینامه Network Unlock ایجاد گردد.
5. گواهینامه كلید عمومی از فایل .cer خارج شود.
6. كلید خصوصی از فایل .pfx خارج شود.
7. كلید خصوصی و گواهینامه در سرور WDS مستقر شود.
8. فایل .cer در كنترل كننده دامنه كپی شود و یك سیاست گروهی جدید برای فعال كردن سیاست "Allow network unlock at startup" ایجاد شود.
9. گواهینامه عمومی از طریق سیاست گروهی در رایانه كلاینت مستقر شود.
10. سیاست گروهی برای "Require additional authentication at startup" تنظیم شده و گزینه "Require Startup PIN with TPM." انتخاب شود.

11. یك نمونه گواهینامه برای Network Unlock ایجاد شود، این نمونه برای استفاده توسط اكتیو دایركتوری می باشد تا بتواند گواهینامه های Network Unlock را ایجاد و منتشر نماید.

منبع :مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای




خلاصه :
در این مقاله نگاهی به بهبودهای جدید در BitLocker نسخه ویندوز سرور 2012 و ویندوز 8 انداختیم. این بهبودها شامل پشتیبانی SED وNetwork Unlock می شوند. در مقاله بعدی ویژگی جدید دیگری را مورد بررسی قرار می دهیم.


   
تعداد بازدید:   ۱۴۰۲


ارسال نظر
ايميل :     
نام و نام خانوادگی :  
نظر :
 
حروف تصویر بالا :   
 
 

< >