BitLocker ile Disk Şifreleme ve MBAM Kullanımı

Normal, sıradan bir gündü. Ofiste kahvemi almış maillerimi kontrol ediyordum ki bir soru geldi: "BitLocker nedir, nasıl kullanılır, MBAM'ın bitlocker kullanımına etkisi nedir?" Yazdığım yanıtı aşağıda bulabilirsiniz..

Bitlocker, işletim sistemi içerisinde yer alan dahili bir disk şifreleme  çözümü. Yani tüm windows vista, windows 7 ve windows 8 kullanıcıları  bilgisayarım içerisinden herhangi bir sürücüye sağ tıklayarak bitlocker drive  encryption işlemini başlatabilir. Bitlocker ile yapılan encryption ile; temel olarak cihazların üzerindeki TPM chipsetini kullanarak diskin aynı anakarta takılıp takılı olup olmadığını (notebook disklerinin sökülmesi senaryosu) ve bios / uefi üzerindeki boot sequence üzerinde değişiklik olup olmadığını kontrol etmek ve herşey uygun ise windowsu yüklemek şeklinde bir koruma sağlar. Bunun yanı sıra kullanıcılar tarafından BIOS seviyesinde bir PIN kodu verilmesi ve encrypt edilmiş olan diskin bu pin kodu girildikten sonra açılabilir olması sağlanabilir.

Encryption işleminin gerçekleşmesi için mutlaka ve mutlaka bir “recovery key” oluşturulması gerekiyor. Recovery key bitlocker drive encryption sistemi tarafından oluşturuluyor. 48 karakterli generate edilen bir key. Bu recovery key, bitlocker korumasının “lock” olduğu durumlarda sisteme erişimi sağlamak için kullanılacaktır.  (hangi durumlarda lock olduğu konusu aşağıda link olarak mevcut.)

 Standart bir kullanıcı; standart  bir kullanım ile oluşan recovery key i şu şekilde saklayabilir: 

  1. Yazıcı çıktısını alarak
  2. Dosya olarak kaydederek (.txt)
  3. USB flash disk içerisine saklayarak.

Temel kullanım bu şekilde ancak kurumsal ortamlarda her kullanıcının bireysel olarak bitlocker ı devreye alması demek kullanıcı sayısı kadar recovery keyin yönetilmeyen ortamlarda bulunması (örneğin notebook diski için generate edilen recovery keyin notebook çantasında taşınması – güvenlik zafiyeti) ve kontrolsüz bir kullanımın ortaya çıkması anlamına geliyor. Bunun önüne geçmek için ise IT olarak iki yaklaşımda bulunabiliyoruz.

 

  1. Recovery keylerin Active Directory üzerine aktarılması
  2. MBAM aracının kullanılması.

Recovery keylerin Active Directory üzerine aktarılması işlemi doğrudan GPO ile gerçekleştirilebiliyor. Bunun öncesinde AD nin BitLocker recovery keylerini karşılayabilecek şekilde extend edilmiş olması gerekli. Kurumlar genelde Active Directory ile haşır neşir olmaktan çekindikleri için devreye MBAM ürünü giriyor.  

MBAM basitçe server -  client mimarisinde çalışan bir araç. Ücretsiz ve SA ile kullanım hakkı kazanılan MDOP paketi içerisinde geliyor. Clientlar group politikaları ile yönetiliyor. Ve üzerinde bulundukları windows istemciler üzerinde yine GPO daki konfigürasyon doğrultusunda bitlocker’ı aktif hale getiriyor ve generate edilen recovery key i sunucuya iletiyor. Server rolü IIS üzerinde çalışan iki adet web servisi barındırıyor. Arka planında ise clientlardan gelen recovery key bilgilerinin store edildiği bir SQL veritabanı var. Bu sayede kullanıcı adı – bilgisayar adı – Key ID – Recovery Key eşleşmesi sorunsuz bir şekilde tutulabiliyor.

Key ID ise herhangi bir “lock” durumunda kullanıcıya sunulan bir key. Bu key (genellikle ilk 8 karakteri) kullanılarak veritabanı içerisinde yer alan recovery keye ulaşılarak locked olan diske erişilebiliyor. Bu işlem için bir kaç farklı yöntem var. Bunlardan biri helpdesk senaryosu. Kabaca şu şekilde: 

-         Kullanıcının bilgisayarı bitlocker ile korunmaktadır

-         Kullanıcı bilgisayarı bir nedenle lock olur.

-         Kullanıcıya 8 karakterli key id gösterilir.

-         Kullanıcı helpdesk i arar, telefonda gördüğü Key Id yi söyler

-         Helpdesk çalışanı web sitesi üzerinden key Id ye karşılık gelen recovery key i görür. Ve kullanıcıya iletir.

-         Kullanıcı giriş yapar ve sistemine / diskine erişir.

Diğeri ise self service senaryosu (Self Service senaryosu nisan başında yayınlanacak olan MBAM 2.0 sürümü ile hayata geçebiliyor)  O da kabaca şu şekilde: 

-         Kullanıcının bilgisayarı bitlocker ile korunmaktadır

-         Kullanıcı bilgisayarı bir nedenle lock olur.

-         Kullanıcıya 8 karakterli key id gösterilir.

-         Kullanıcı farklı bir bilgisayardan / telefondan vb vb gibi self service web sitesine gider.

-         Burada Key ID sini girer

-         Girdiği key Id ye ait olan recovery key e ulaşır.

Tüm bu işlemler “Single use recovery keys” kapsamında gerçekleştirilmektedir. Yani; Bir işletim sistemine recovery key ile erişildikten sonra, MBAM server bu istemciye kendisine ait olan recovery keyin ifşa olduğu uyarısını gönderir. Bu istemci daha sonra yeni bir recovery key generate ederek MBAM servera iletir. (Bu esnada decryption – re-encryption OLMAZ. Korunan diske erişim için recovery key değişir yalnızca.) Bu sayede bir diske ait olan bir recovery key yalnızca bir kez kullanılır. Kullanıcının / helpdeskin bu veriyi kenara not etmesi ve daha sonra kullanması ihtimali ortadan kaldırılır; güvenlik yüksek seviyede sağlanmaya devam eder.

Hangi işlemler sonrasında BitLocker ile korunan bir diskin bloke olduğu ise şurada detaylandırılmış durumda: http://blogs.technet.com/b/askcore/archive/2010/08/04/issues-resulting-in-bitlocker-recovery-mode-and-their-resolution.aspx