Wednesday, February 21st, 2007...1:24 am

BitLocker wÅ‚Ä…czony …

Jump to Comments

… i jakoÅ› system tÄ™ operacjÄ™ przeżyÅ‚ :).

Dotychczas dane na dysku laptopa zabezpieczałem poprzez trzymanie ich w archiwum TrueCrypt. TrueCrypt pozwala przechowywać dane w sposób bezpieczny i stosunkowo wygodny. Dużą zaletą jest też możliwość łatwego przenoszenia tak zaszyfrowanych danych. Jako że jednak sprzęt się zmienił (i posiadam TPM) jak i system od jakiegoś czasu już nowy (Visty w różnych wersjach używam już ponad pół roku) to przyszedł czas na przesiadkę z TrueCrypt (1) i skorzystanie z możliwości jakie daje nowy system czyli zaszyfrowanie całego wolumenu.

Poniżej kilka uwag dotyczących użycia BitLocker.

  1. KonfiguracjaBitLocker oferuje możliwość przechowywania hasÅ‚a umożliwiajÄ…cego odzyskanie danych w różnych lokalizacjach (nie wspominajÄ…c już o tym że w sieci z katalogiem AD możliwe jest przechowywanie ich w obiekcie komputera, wiem wiem … ja tylko o tych katalogach). Ja dla siebie wybraÅ‚em dwie opcje – urzÄ…dzenie USB i wydruk hasÅ‚a (w celach awaryjnych). Po wstÄ™pnej konfiguracji (w zasadzie tylko zaznaczyć “Turn on” i wybrać metodÄ™ przechowywania hasÅ‚a) a przed faktycznym zaszyfrowaniem danych system oferuje test polegajÄ…cy na restarcie i próbie odczytu hasÅ‚a odzyskiwania z pamiÄ™ci USB. Strzeżonego widomo że strzeże wiÄ™c skorzystaÅ‚em z tej opcji w wyniku czego zaliczyÅ‚em kilka restartów ponieważ system stwierdzaÅ‚ że nie udaÅ‚o siÄ™ odczytać mojego urzÄ…dzenia USB. Wina leżaÅ‚a jak siÄ™ okazaÅ‚o po stronie urzÄ…dzenia – jeżeli byÅ‚o wpiÄ™te w port w chwili restartu to wÅ‚Ä…czaÅ‚o sie w stan “uÅ›pienia” i należaÅ‚o je po prostu wyjąć i ponownie wpiąć do portu. Może ktoÅ› bÄ™dzie walczyÅ‚ z podobnym problemem i ta informacja siÄ™ przyda.Niestety po każdej takiej próbie konieczne byÅ‚o ponowne skonfigurowanie BitLocker, co wiąże siÄ™ z wygenerowaniem noweg klucza. Jeżeli wybraliÅ›my opcjÄ™ wydruku hasÅ‚a odzyskiwania to za każdym razem musimy wydrukować również to hasÅ‚o. Niestety pierwszy wydruk różni siÄ™ nieznacznie od kolejnych – na pierwszym dodatkowo znajduje siÄ™ hasÅ‚o wÅ‚aÅ›ciciela TPM. Na kolejnych niestety go już nie ma. Jeżeli chcemy wiÄ™c zachować oba hasÅ‚a (do TPM i odzyskiwania wolumenu) to musimy zachować oba wydruki, z czego na jednym hasÅ‚o odzyskiwania wolumenu zaznaczyć jako bÅ‚Ä™dne (proÅ›ciej mówiÄ…c – skreÅ›lić). Jak dla mnie trochÄ™ niewygodne. Ale ja znany jestem z marudzenia.
  2. PodziaÅ‚ na partycjePodziaÅ‚ na partycje (2). Tak wiÄ™c … czytajÄ…c jeden z wielu dokumentów odnoÅ›nie BitLocker i podziaÅ‚u na partycjÄ™ znajdziemy informacjÄ™ że na potrzeby partycji rozruchowej należy wydzielić 1.5 GB miejsca. GrzeÅ› Tworek, w swojej prezentacji na MTS wspominaÅ‚ że wystarczy 0,5 GB a i 350 MB powinno być OK. Ja utworzyÅ‚em partycjÄ™ 1 GB i niestety po zainstalowaniu systemu i uruchomieniu BitLocker nadal wiÄ™kszość miejsca pozostaje niewykorzystana:

    Warto wziąć to pod uwagę przy podziale dysku, szczególnie że miejsce na dyskach laptopów nadal cenne jest.

  3. PoczÄ…tkowe szyfrowaniePo skonfigurowaniu BitLocker i opmyÅ›lnym przetestowaniu możliwoÅ›ci odzyskania klucza system przystÄ™puje do poczÄ…tkowego szyfrowania dysku. W moim przypadku (wolumen 80 GB, wolne 26 GB – z tym że pamiÄ™tać należy że BitLocker szyfruje również wolne miejsce) zajęło to okoÅ‚o trzech godzin. Na szczęście (inaczej pisaÅ‚bym to pewnie z biura) w trakcie tego procesu system można zahibernować lub wyÅ‚Ä…czyć – BitLocker wstrzymuje szyfrowanie, które jest automatycznie wznawiane po wznowieniu pracy systemu.Jedna rzecz o której warto pamiÄ™tać, a której nie udaÅ‚o mi siÄ™ znaleźć w dokumentacji – wymagane wolne miejsce na dysku. W moim przypadku nie byÅ‚ to problem, jednak w przypadku jednego z kolegów z MCS, który posiada 8 GB wolnego miejsca na 80 GB wolumenie system odmówiÅ‚ wykonania operacji szyfrowania ze wzglÄ™du na brak miejsca. W moim przypadku, podczas operacji szyfrowania na szyfrowanym wolumenie wykazywane byÅ‚o ok. 6 GB wolnego dysku (przy 26 GB faktycznie wolnego miejsca). Po zakoÅ„czeniu tej operacji wszystko wróciÅ‚o do stanu poprzedniego – 26 GB wolnego. Należy wiÄ™c być przygotowanym że do przeprowadzenia poczÄ…tkowego szyfrowania może być wymagane zwolnienie przestrzeni na dysku. Niestety nie mogÄ™ teraz okreÅ›lić dokÅ‚adnie ile … jak wspomniaÅ‚em nie udaÅ‚o mi siÄ™ tego znaleźć w dokumentacji, może za sÅ‚abo szukaÅ‚em.
  4. Normalna pracaW zasadzie nie ma o czym pisać :). Czyli pozytywnie. Nie daje siÄ™ odczuć zwolnienia w pracy systemu, nie ma niepożądanych efektów w postaci nadmiernego użycia dysku itp. I niech tak zostanie … 🙂

(1) – Odstawienie TrueCrypt … a tak jakoÅ› nie do koÅ„ca, pytanie – jak zabezpieczyć pliki z hasÅ‚em odzyskiwania na dysku USB? Odpowiedź – a może tak TrueCrypt :).

(2) Jako że zdarzyło się pytanie jak podzielić na potrzeby BitLocker dysk, na którym już znajduje się system donoszę że istnieje narzędzie opisane w KB 930063, które ułatwia tenże proces.

2 Comments

Leave a Reply