Jak na Windows BitLocker v režimu TPM+PIN+Startup Key

Šifrování celého disku by měl být, zejména na jakémkoli notebooku, který opouští dům či kancelář, imperativ. Odcizení či ztrátě nelze zcela předejít a sebelepší opatrnost ani magické rituály nedokáží fyzické ztrátě laptopu s diskem zabránit. Citlivá data má na počítači úplně každý. Minimálně je skoro každý přihlášen v prohlížeči trvale do svého hlavního e-mailu na Googlu či Seznamu, případně má heslo či token uložen v Outlooku či Thunderbirdu – tím pádem lze přístupem do emailové schránky resetovat hesla skoro u všech ostatních služeb. Většina rozumných business grade počítačů už má víc než 10 let v sobě TPM čip, který je u Windows BitLockeru výchozím způsobem, jak odemykat šifrovaný disk při startu PC. Samotný TPM ale nemusí být úplně bezpečný a ačkoli pro řadu účelů to bohatě dodnes může stačit (zejména jde-li o takovou konkrétní implementaci TPM, která nebyla zjevně prolomena), tak pokud je vyžadována maximální ochrana šifrovaného disku, je při použití BitLockeru a nikoli jiného řešení třetí strany nejrobustnější metodou spojení tří faktorů: TPM čipu, PINu či hesla, a dalšího klíče na USB flashdisku. Všechny tři věci se musí při startu a restartu počítače spojit, aby se disk odemkl. Bohužel tato třífaktorová autentizace dodnes není v grafickém klikátku Windows dostupná a musí se realizovat nejprve úpravou v editoru zásad skupiny (gpedit.msc) a potom pomocí příkazové řádky nástrojem manage-bde. Tady je návod jak to udělat pro systémovou jednotku C:


Metoda BitLockeru „TPM+PIN+Key“ využívá jak TPM na základní desce, tak i PIN při startu PC, tak i klíč na USB klíčence nutný při startu PC. Samotný TPM není úplně dostatečné zabezpečení. Kombinace PIN+KEY, TPM+KEY či TPM+PIN už je lepší, všechny tyto metody lze po jejich povolení v gpedit.msc naklikat i graficky. Trojkombinace TPM+PIN+KEY je patrně nejlepší zabezpečení, pokud se spokojíme s tím, co je ve Windows 10 Professional, a verzích Ultimate a Enterprise už postupně od Windows Vista, přes Win7 a Win8.

Toto trojfaktorové zabezpečení disku nelze provést přes grafický nástroj, ale jen úpravou v gpedit.msc a pak přes příkazovou řádku a manage-bde (je nutné spustit cmd.exe jako administrátor – tj. otevřít nabídku Start, napsat cmd.exe, pravým tlačítkem kliknout na spouštěč příkazové řádky a zvolit Spustit jako administrátor, a potvrdit to jste-li sami administrátorský účet, nebo zadat heslo admina systému).

Vycházím z návodu zveřejněného na lanoe.net a na konec jej jen doplňuji o způsob, jak si vytvořit i numerický klíč pro obnovu, tak jak to Windows standardně nabízejí, když se BitLocker aktivuje přes grafické klikátko.

  1. incializovat TPM pokusem o grafické zapnutí Bitlockeru na C: nebo přes tpm.msc
  2. gpedit.msc, Konfigurace počítače → Šablony pro správu → Součásti systému Windows → Šifrování jednotky nástrojem BitLocker → Jednotky operačního systému → Požadovat při  spouštění další ověřování a tam zvolit u všeho “nedovolit” a povolit až poslední “Povolit spouštěcí klíč a PIN kód s čipem TPM”.
  3. vložit administrátorský flash disk s nešifrovaným oddílem (FAT32) a vytvořit klíč pro obnovu (pokud je flashdisk jednotka E:): manage-bde -protectors -add C: -RecoveryKey E: a tento BEK klíč pak někam bezpečně jako admin zálohovat (např. do Keepassu jako přílohu) (Pozor, WordPress mi tu může prznit jednoduché spojovníky a nahrazovat je, parametry manage-bde typu -protectors jsou vždy s jednoduchým spojovníkem, nikoli dvojitým či pomlčkou)
  4. vložit flashdisk, který pak dostane uživatel, s nešifrovaným oddílem (FAT32) a vytvořit spouštěcí klíč: manage-bde -protectors -add C: -TPMandPINandStartupKey -tp TadyZadatPIN -tsk E: – pozor, při přihlašování v PreBootu je aktivní US klávesnice a nikoli česká, tj. nelze zadat české znaky, a čísla PINu se zadávají na horní řadě kláves bez Shiftu. V případě použití alfanumerického hesla a nikoli číselného PINu je předtím ještě nutné v gpedit.msc povolit „rozšířené kódy PIN“, v případě použití čtyř nebo pěticiferného PINu je pak ještě nutné povolit tyto kratší PINy rovněž v gpedit.msc – v takovém případě pak Windows donutí TPM čip k přísnějším pravidlům opakovaného přístupu ke klíči (rate limiting).
  5. zapnout šifrování: manage-bde -on C:
  6. restartovat počítač, po restartu nechat flashdisk v jednotce a zadat PIN, tím se otestuje funkčnost, po restartu se automaticky zahájí šifrování
  7. pro přidání číselného obnovovacího klíče, co se zadává ručně, nikoli jen recovery BEK klíče na flashdisku lze ještě spustit: manage-bde -protectors -add C: -RecoveryPassword a uložení/vytištění zobrazeného obnovovacího číselného klíče.

Na konci tohoto procesu by při zobrazení manage-bde -status C: měly existovat jako Key Protectors (1) External Key (tj. BEK klíč pro automatické spuštění PC bez čehokoli), (2) TPM and PIN and Startup Key (standardní proces spouštění), a (3) Numerical Password (tj.  vytištěný/uložený číselný klíč pro ruční zadání). „Administrátorský flash disk“ s tím obnovovacím klíčem („External Key“) nebo vytištěný papír s tím číselným obnovovacím klíčem se samozřejmě nesmí nosit spolu s počítačem, ale má ležet někde bezpečně v budově v sejfu/zamčené skříni pro případ odemčení disku v případě jeho výměny do jiného počítače, po selhání základní desky, změně HW konfigurace atd., a tudíž odmítnutí předání klíče ze strany TPM čipu.

Autor

Martin

Pracuji jako ajťák a grafik na volné noze, zejména ale pro brněnskou firmu vyrábějící ekodrogerii. Dále působím v brněnském systému místní směny Rozleťse, Českém zahrádkářském svazu, České psychedelické společnosti, spolku Archetypal a Mezinárodní komunitě dzogčhenu. Chcete mě podpořit? BTC: 37mf2FJR26Ce3DxMkocukJDgB1eVjasnZB, příp. PGP podepsané adresy dalších kryptoměn.

3 komentáře u „Jak na Windows BitLocker v režimu TPM+PIN+Startup Key“

  1. Dobry den,

    mel bych dotaz ohledne Bitlockeru a dle vaseho clanku soudim, ze teto problematice rozumite. Snad byste mi mohl pomoci s nasledujicim:

    Pred 7 lety, kdyz firma krachovala, jsme dostali moznost odkoupit firemni notebooky HP Elitebook 8570. IT z nej odstranilo veskere firemni programky, aplikace, atd a provedli cistou instalaci Windows 10. Pred tydnem se asi poskodil nejaky ze souboru windows, takze pri bootovani vidim logo win a pak jiz pouze cernou obrazovku. Chtel jsem tedy windows preinstalovat.
    IT sice odstranilo veskere veci z NTB, ale job udelali tak nejak polovicate, protoze uz ale neodstranili heslo v BIOSu a samozrejme take bitlocker. V BIOSu nejde nastavit nic a jedina moznost na bootovani je HDD. Kvuli tem Win, ktere sice nefunguji, ale maji v sobe stale kodovani bitlockeru jsem zkousel vzit externi HDD a na stolnim PC nainstalovat ciste WIN a ext. HDD pote hodit do notebooku namisto puvodniho s dodrbanymi windows. Samozrejme to pri bootovani hodilo varovnou hlasku, ze at vlozim spravny disk s operacnim systemem.
    Chci se zeptat, jestli nevite, jak z toho ven. Disk je chranen bitlockerem, Bios je zaheslovany, klic k bitlockeru nemam, nabootovat z neceho jineho nez HDD nejde. Napadl me jeste reset biosu pomoci vytazeni baterky, ze by se tak z cipu TPM kodovani bitlockeru vymazalo a ja mohl nahodit ty win na druhy HDD. Ten puvodni, zakodovany, s tim se klido rozloucim. Je moje uvaha spravna nebo se mohu rozloucit s celym notasem, ktery me sice vysel jen na dvojku, ale mohl poslouzit jeste nejakou dobu.

  2. No, některé notebooky může jít pomocí vytažení CMOS baterie ještě resetovat i heslo k BIOSu, ale ty byznysové notebooky firem tohle zpravidla mají dlouho ošetřené tak, aby to sice resetovalo nastavení BIOSu, ale neodstranilo úplně to heslo BIOSu. Ale zkusit se to dá, jen odpojení té knoflíkové baterie na noteboocích je těžší než u stolních počítačů, protože konektor na tu baterku je schovaný na desce a laptop se musí rozšroubovat a šanci že tohle smázne heslo z BIOSu dávám tak 5-10 %.

    Pokud nicméně z disku je povoleno bootovat, tak teď záleží na tom jestli v tom BIOSu je zapnutý režim bootování „Legacy“ (BIOS s diskem uspořádaným pomocí MBR) nebo moderní (UEFI, s diskem v GPT). Ten moderní UEFI boot ještě může ale nemusí být „Secure boot“, ale to u Windows nebude problém, ty Secure boot zvládnou skoro vždy.

    Windows 10 a 11 by měly být dost flexibilní v tom, že když na interním disku resp. dnes asi SSD jiného počítače nainstaluju čistý systém, disk přendám do tohoto Elitebooku, tak by to mělo nabootovat a jen si to doinstaluje pak drivery. Win7 a 8 tak ještě nefungovaly. Je ale potřeba ten systém instalovat na jiném laptopu taky na systémový disk, tj na jiném laptopu co ještě má SATA slot jako ten Elitebook vyndat SSD co tam je, strčit tam to SSD co se bude pak přesouvat do toho Elitebooku 8570p a tam udělat čistý install. Ale ještě je nutné předtím BIOS toho druhého počítače nastavit stejně jako je nakonfigurovaný v tom Elitebooku, tj buď na Legacy nebo UEFI boot, protože podle toho se Windows nainstalují na ten disk a v tom druhém režimu to nenabootuje. Hodně nové laptopy ale už nemají ani SATA sloty, a možná ani neumožňují už ten legacy BIOS boot. Instalační flashdisk s Windows10 a 11 dokáže nabootovat v obou režimech, sám pozná v jakém je a podle toho si i celý disk zformátuje. Ty Elitebooky ještě podle mě byly standardně v režimu toho legacy BIOSu a ne toho moderního UEFI, takže to že to nenabootovalo teď znamená že je ten počítačš kde se ta instalace dělala je potřeba přepnout do toho druhého režimu. Kliknutím na vlastnosti disku C na té instalaci Windows jde zjistit jestli je tabulka oddílů GPT nebo MBR a je potřeba nejspíš to druhé než to co tam je teď.

    Bitlocker je v tomhle případě irelevantní, to je jen šifrování disku Windows až po jeho instalaci. Když se zformátuje na jiném počítači jakýkoli HDD či SSD a nainstalují nové windows 10, tak jsou nešifrované. Win11 se už mají tendenci pak samy začít šifrovat, ale win10 to dělat ve výchozí instalaci dělat nebudou. Zašifrovat disk bitlockerem chce až na závěr když bude vše fungovat, i když u laptopu kde se nedá dostat do BIOSu a tím pádem asi ani resetovat TPM čip tak myslím že je potřeba se s Bitlockerem rozloučit a mít disk nešifrovaný, resp. si ho případně pak až ve Windows zašifrovat bez použití TPM (v group policy editoru gpedit.msc u šifrování bitlocker povolit bitlocker bez TPM a naopak TPM pro ten účel zakázat a zadávat jen heslo a nespoléhat na tpm co asi bude nepoužitelný). Případně použít Veracrypt.

    Shrnutí: Pokud BIOS dovoluje boot z interního HDD tak jde jen o to zjistit jestli je nastavený na Legacy/MBR/CSM nebo Modern/GPT/UEFI/SecureBoot a podle toho připravit Windowsy na disk co se pak transplantuje do cílového počítače. Bitlocker nebo jiné šifrování je pak bonus navíc a v případě zamčeného BIOSu bude komplikované použití TPM.

  3. Ještě tip, při startu Windows se dá zpravidla zjistit jaký režim bootu používají. Pokud se dole točí kolečko a nahoře je logo Windows (modrá okna) tak to bývá Legacy/MBR.

    Pokud se dole točí to stejné kolečko ale nahoře je logo výrobce notebooku (zde tedy HP), tak to je vždy Modern/UEFI/GPT.

    Tenhle režim je potřeba mít i u toho druhého notebooku či desktopu kde se ten systém bude instalovat před transplantací disku. Chce to při té instalaci nemít v počítači žádný jiný disk a nelze mít ten disk jen v USB, protože to stejně bootloader apod dá na ten systémový disk co už v počítači je, pak to nikdy fungovat nebude ten přenos jinam.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *