Bulut veri güvenliği için Bitlocker şifreleme

Windows 10’un yeni özellikleri ile kullanıcıların verimliliği artmaktadır. Bunun nedeni, Windows 10 ‘Önce Mobil, Önce Önce Bulut’ olarak yaklaşımını sunması. Bu, mobil cihazların bulut teknolojisi ile entegrasyonundan başka bir şey değildir. Windows 10, Microsoft Enterprise Mobility Suite (EMS) gibi bulut tabanlı aygıt yönetimi çözümlerini kullanarak modern veri yönetimini sunar. Böylece, kullanıcılar verilere her yerden ve her zaman erişebilir. Bununla birlikte, bu tür verilerin ayrıca Bitlocker ile mümkün olan iyi bir güvenlik gerektirmesidir.

Bulut veri güvenliği için Bitlocker şifreleme

Bitlocker şifreleme yapılandırması Windows 10 mobil aygıtlarda zaten mevcuttur. Bununla birlikte, bu aygıtların yapılandırmayı otomatikleştirmek için InstantGo yeteneğine sahip olması gerekiyordu. InstantGo ile kullanıcı, cihazdaki yapılandırmayı otomatik hale getirebilir ve kurtarma anahtarını kullanıcının Azure AD hesabına yedekleyebilir.

Ancak artık cihazlar InstantGo özelliğini gerektirmiyor. Windows 10 Creators Güncelleştirmesiyle, tüm Windows 10 aygıtlarında, kullanılan donanıma bakılmaksızın kullanıcıların Bitlocker şifrelemesini başlatmaları istenen bir sihirbaz bulunur. Bu çoğunlukla kullanıcıların herhangi bir şey yapmasına gerek kalmadan otomatik olarak bu şifrelemenin otomatik olarak yapılmasını istediği yapılandırma hakkındaki geribildirimlerinin sonucuydu. Böylece, şimdi Bitlocker şifrelemesi otomatik ve donanımdan bağımsız hale geldi.

Bitlocker şifrelemesi nasıl çalışır

Son kullanıcı cihazı kaydederken ve yerel bir yönetici olduğunda, TriggerBitlocker MSI aşağıdakileri yapar:

  • C:\Program Files (x86)\BitLockerTrigger\ içine üç dosya dağıtır
  • Dahil edilen Enable_Bitlocker.xml dosyasını temel alan yeni bir zamanlanmış görevi içe aktarır

Zamanlanmış görev her gün saat 14:00’da çalışır ve aşağıdakileri yapar:

  • Ana amacı Enable_BitLocker.ps1’i çağırmak ve simge durumuna küçültüldüğünden emin olmak için Enable_Bitlocker.vbs’yi çalıştırın.
  • Enable_BitLocker.ps1 yerel sürücüyü şifreler ve kurtarma anahtarını Azure AD ve OneDrive for Business’a (yapılandırılmışsa) depolar. (Kurtarma anahtarı yalnızca değiştirildiğinde veya mevcut değilse depolanır)

Yerel yönetici grubunun üyesi olmayan kullanıcılar farklı bir prosedür izlemelidirler. Varsayılan olarak, bir aygıtı Azure AD’ye katlayan ilk kullanıcı, yerel yönetici grubunun bir üyesidir. Aynı AAD kiracısının bir parçası olan ikinci bir kullanıcı cihazda oturum açarsa standart bir kullanıcı olacaktır.

Bu ayıraç, Aygıt Kayıt Yöneticisi hesabı, aygıtı son kullanıcıya teslim etmeden önce Azure AD katılımıyla ilgilenirken gereklidir. Bu gibi kullanıcılar için MSI değiştirildi (TriggerBitlockerUser) Windows ekibi tarafından verildi. Yerel yönetici kullanıcılarından biraz farklıdır:

  • Kurtarma anahtarını, cihaza AAD’ye katılan kullanıcının Azure AD hesabına kopyalayın.
  • Kurtarma anahtarını Systemdrive\temp (genelde C:\Temp) geçici olarak kopyalayın.

MoveKeyToOD4B.ps1 adlı yeni bir komut dosyası tanıtıldı ve MoveKeyToOD4B adlı zamanlanmış bir görevle günlük olarak çalıştırıldı. Bu zamanlanmış görev, kullanıcı bağlamında çalışır. Kurtarma anahtarı, systemdrive\temp klasöründen OneDrive for Business\recovery klasörüne taşınacaktır.

Yerel olmayan yönetici senaryoları için, kullanıcılar son kullanıcı grubuna Intune aracılığıyla TriggerBitlockerUser dosyasını dağıtmaları gerekir. Bu, Aygıt Kayıt Yöneticisi grubuna / hesabın Azure AD’e bağlanması için kullanılan hesaba dağıtılamaz.

Kurtarma anahtarına erişmek için kullanıcıların aşağıdaki konumlardan herhangi birine gitmeleri gerekir:

  • Azure AD hesabı
  • OneDrive for Business’ın kurtarma klasörü (yapılandırılmışsa).

Kullanıcıların kurtarma anahtarını http://myapps.microsoft.com üzerinden alması ve profillerine veya OneDrive for Business \ recovery klasörüne gitmeleri önerilir.

Bitlocker şifrelemesini etkinleştirme hakkında daha fazla bilgi için, Microsoft TechNet‘deki blogun tamamını okuyun.


Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir