TPM Bölümü Olmadan BitLocker Drive Encryption

January 4th, 2009 by Atanur YILMAZ, under Windows Vista. 3 Yorum

Bu yazımızda Mirosoft’un veri güvenliğini sağlamak amacıyla sunduğu Bitlocker Dirve Encryption teknolojisinden bahsedelim.Bu teknoloji sağladığı veri güvenliği ile oldukça etkileyici bir çözüm sunuyor.Bitlocker ile sürücüyü tamamen şifreleyen bir güvelik sözkonusu.Şifrelemeler sadece dosya bazlı olmadığından herhangi bir sebeple diskin başkalarının eline geçmesi durumunda veriye erişim tamamen engelleniyor.Bu özellik Windows Vista’nın sadece Enterprise ve Ultimate versiyonlarında mevcut.

Bu teknoloji ile şifrelenen disklerin imajını Microsoftun ImageX hizmeti ile almaya çalışsak dahi işletim sisteminin bulunduğu partition boş olarak gösteriliyor.Buda bize güvenliğin ne kadar üst düzeyde olduğunu gösteriyor.

Bitlocker Drive Encryption özelliğini kullanabilmemiz için sistemimizde olması gereken yapı USB Mass Storage Device Class destekli BIOS ve işletim sisteminin başlatılması için kullanılan 1-5-2 GB boyutlarında NTFS bölümüdür. TPM 1.2(Trusted Platform Module) denilen çipset ise işletim sisteminin açılmasını sağlamak için gereken anahtarın doğrulanması işlevini yerine getirir.

Şimdi üzerinde TPM modulü olmayan bir system için Bitlocker Dirve Encryption özelliğinin nasıl yapılandırılacağına bakalım.Bu işlemde sistemimizde bulumayan TPM1.2 cipsetin yaptığı anahtar doğrulama işlemini bir USB veya Floppy ile nasıl sağlarız sorusunun yanıtını almaya çalışacağız.

Adım 1.İletim sisteminin başlatılabilmesi için gereken 1.5 GB’lık bir NTFS bölümü oluşturarak işe başlayalım.Bunun için Vista Enterprise CD’si ile sistemi başlatalım.

Klavye türümüzü seçtikten sonra komut satırından disklerimizi yapılandırmak için bir sonraki pencerede “Repair your computer” seçeneğiyle ilerleyelim.

Açılan pencerede “Command Prompt” seçeneğini tıklayarak işlemlere başlayalım.

Komut satırında “diskpart” yazarak diskleri biçimlendirmeye hazır hale getirmek için gerekli bölümleri oluşturuyoruz.Burada oluşturulan ilk partition 1500 MB boyutundaki sistemin açılması için gerekli olan birincil partition’dır.Bu işlemler tamamlandıktan sonra partitionları formatlayalım.

Artık diskimizi Bitlocker yapısını kullanabilmek için hazır hale getirdik.Bu aşamadan sonra restart edip işletim sistemini kurma aşamasına geçiyoruz.

Adım 2.Windows Vista Enterprise işletim sistemini kurmaya başlayalım.Sistem restart ettikten sonra “install now” diyoruz.

İşletim sistemini oluşturduğumuz 2. Partition üzerine kuruyoruz.Zaten 1. Bölüm üzerine kurulamayacağı aşikar.

Disk seçimimizi yaptıktan sonra Vista Enterprise kurulumunu tamamlıyoruz.

Adım 3.İşletim sistemimiz kurulduktan sonra yapılması gereken işlemlere geldi sıra.İlk olarak Control Panel’den BitLocker Drive Encryption seçeneğinde neler olmuş control edelim.

Artık C:\ sürücümüz için bu özelliği kullanabilirliğin sağlandığını görüyoruz.Şimdi tek ihtiyacımız TPM modülü olmadan bu işlemi yapabilmemizi sağlayacak Local Policy’i yapılandırma ihtiyacımız kaldı.

Bunu sağlamak için Run;gpedit.msc komutu ile local group policy’i açalım.

Burada bulunan “Control Panel Setup:Enable advanced startup options” policy Enable duruma getirelim.

Burada bu policy ile BitLocker’ın, TPM olmaksızın USB kullanarak yapılabileceği belirtiliyor.

Onayladıktan sonra “gpupdate /force” komutu ile tüm policy’leri güncelleyelim.Policyler güncellendikten sonra Control Panel de Bitlocker’ın son durumuna bakarsak artık herşeyin hazır olduğunu görebiliriz.

Artık USB diskimizi takıp wizard ile işlemi tamamlayabiliriz.

Biz bu işlemi USB ile değil Floppy ile yapmaya çalışalım.Yani oluşturulan key floppy’de tutulacak ve floppy olmadan ancak key el ile girilerek system açılabilecek.

Bunun içim Command Prompt’a sağ tıklayıp Run as Administrator ile girip aşağıdaki komutu giriyoruz.

Komut çalıştırıldıktan sonra şifreleme için oluşturulan key görülüyür.Bu key floppy içerisinede atılıyor.Ama system dosyası olarak atıldığından dolayı görülemez.Görmek için dosya özelliklerinden “sistem dosyalarını gizle” seçeneği kaldırılmalı.

En son olarak sistemi restart edelim ve Bitlocker’ın çalıştığını doğrulayalım.

Burada dikkaet etmemiz gereken nokta BIOS boot sıralamasında Hard Disk ilk sırada Floppy ikinci sırada olmalıdır.Bu işlemide yaptıktan sonra sistemi başlatırsak key’in yüklendiği görülür.

İşletim sistemi açıldıktan sonra sürücünün şifrelenmesi işleminin başladığı görülür.

Kolay gelsin…