Windows Ortamında Bitlocker Teknolojisi ile Korunma

Kurumlardaki bilgisayarların fiziksel güvenliği kritik öneme sahiptir. Microsoft ortamında fiziksel güvenliği sağlamanın bir çok yöntemi vardır. Bu yöntemlerden birisi de Bitlocker teknolojisidir. Bu yazıda Microsoft ortamında Bitlocker koruma teknolojisi incelenecektir.

EFS ile şifrelemede olduğu gibi dosya ya da klasör bazında şifreleme yerine BitLocker ile tüm diskin şifrelenmesi mümkündür. Böylece verinin diskte açık olarak saklanacağı herhangi bir alan bulunmamaktadır. Disk şifrelenmesi, dosya şifrelenmesinin alternatifi olan bir şifreleme yöntemi değildir. Disk şifrelemede tüm disk tek bir anahtar ile şifrelenir ve kullanıcı sisteme oturum açtığında tüm disk kullanıcıya şifresizmiş gibi görünür. Çalışma anından sistemi ele geçiren bir saldırgan tüm diskteki dosyalara erişebilir. Dosya şifrelemerinde ise diskin belli bölümlerinin farklı anahtarlar ile şifrelenmesine imkan verir. Her iki yöntemin birlikte kullanılması sistemi çok daha güvenli hale getirecektir.

BitLocker Windows Vista ve 7 Ultimate & Enterprise sürümlerinde, Windows 8 Pro & Enterprise sürümleri ile birlikte gelmektedir. Windows Vista ve 7 Business sürümü tarafından desteklenmediği akılda bulundurulmalıdır. Windows 7, 8, Server 2008 R2 ve Server 2012 işletim sistemlerinde taşınabilir sürücülerin de şifrelenmesine imkan tanınmaktadır. Bu işletim sistemlerinde şifrelenmiş bir taşınabilir sürücü, Microsoft BitLocker To Go Reader programı yardımı ile de Windows XP bilgisayarlarında da kullanılabilir.

BitLocker 128 veya 256 bit AES simetrik şifreleme algoritması ile sektör bazında şifreleme sunar. Şifreleme anahtarının boyutunun uzunluğu şifrelenen alanın daha güvenli olacağı anlamına gelmekle birlikte daha çok sistem kaynağı tüketeceği de akılda bulundurulmalıdır. Şifrelemede kullanılacak anahtar uzunluğu Grup İlkeleri’nden yapılandırılabilmektedir. “Computer Configuration > Administrative Templates > Windows Component > BitLocker Derive Encryption” alanından çok sayıda yapıldırma ayarı yerine getirilebilir.

Trusted Platform Module (TPM), modern / günümüz bilgisayarlarında anakart ile tümleşik olarak gelen ve bazı kriptografik işlemlere imkan tanıyan bir donanımsal yongadır. Şifreleme, özetleme, rastgele sayı üretme, anahtarların güvenli olarak saklanması gibi işlemleri destekler. TPM 1.2 sürümünden sonrası BitLocker tarafından da desteklenir ve TPM ile yapılandırılan BitLocker hem açılış dosyaları bütünlük kontrolü, hem de tüm disk şifrelenmesi işlemlerini destekler. Windows’ta TPM ayarlarının ilklendirilip yapılandırılabileceği tpm.msc (Trusted Platform Module Management) isminde bir snap-in bulunmaktadır. TPM yongasının Windows tarafından tanınıp kullanılabilmesi için öncelikle BIOS ayarlarından aktif hale getirilmelidir. Sonrasında Windows’ta aktif hale getirilip, yapılandırma ayarlarının uygulanabilmesi için TPM’e bir şifre atamasında bulunularak ilklendirilir.

BitLocker’ı kullanıcı verilerini korumak ve açılış dosyalarının değiştirilmediğini garanti etmek için TPM ile birlikte, açılış esnasında girilen bir PIN numarası yada bir USB sürücüsünde saklanabilen Açılış Anahtarı ile yapılandırabilmek mümkündür. Böylece sistem başlatılmadan önce yada hibernation ortamından geri dönülürken doğru PIN ve/veya açılış anahtarı sisteme sağlanmalı ve çok aşamalı kimlik doğrulama sağlanarak ekstra güvenlik önlemi alınmasını sağlar.

TPM yongasının bulunmadığı eski türdeki bilgisayarlarda da BitLocker aktif hale getirilebilir. Bunun için öncelikle Grup İlkeleri’nden “BitLocker without a TPM” seçeneğini aktif hale getirilmelidir. Bu durumda BitLocker, Açılış Anahtarı’nı bir USB sürücüde saklanmasına izin verir ve bilgisayarın her açılışında yada hibernation ortamından geri dönüşlerde bu USB sisteme takılı olması gerekir. Fakat buradaki en önemli dezavantaj, BitLocker’ın TPM’siz olarak yapılandırılmasında açılış dosyalarının bütünlük kontrolünün (başkası tarafından değiştirilmediğinin) garanti edilememesidir. TPM yongasız yapılandırılan BitLocker yalnızca tüm disk şifrelenmesini sağlar, sistem açılış dosyalarının değiştirilmediğini doğrulamaz.

BitLocker ile disk şifreleme ve açılış dosyaları kontrolü beş farklı şekilde yapılandırılabilir. Bunlardan en güvenlisi TPM, Açılış Anahtarı ve PIN seçeneklerinin birlikte kullanılması olduğu akılda bulundurulmalıdır fakat bu durumda kullanım açısından bazı zorluklar da beklenmektedir. Her yapılandırma seçeneğinin kendine göre bazı avantajları ve dezavantajları vardır. Aşağıda bu yapılandırma ayarları en güvenli olanından en güvensiz olanına doğru sıralanıp incelenmiştir:

  • TPM + Açılış Anahtarı + PIN: Bu ayar GUI tarafından desteklenmez, komut satırından aktif hale getirilmelidir. En güvenli BitLocker yapılandırmasıdır. Fakat bilgisayar her açılışında Açılış Anahtarı’nı bulunduran USB sürücü sisteme takılı olmalı ve açılırken PIN girilmelidir. Bu yapılandırma ayarı kurum politikası gereği üç aşamalı kimlik doğrulamasının kullanılması gerektiğinde uygulanmalıdır. Açılış dosyaları bütünlük kontrolü ve disk şifrelemesi gerçekleştirilir. Sistem açıldıktan sonra USB sürücünün sisteme takılı olması gerekmemektedir.
  • TPM + Açılış Anahtarı: Açılış dosyaları için bütünlük kontrolü gerçekleştirilir ve sistem açılmadan önce Açılış Anahtarı’nı bulunduran USB sürücünü sisteme takılı olması gerekmektedir. Sistem açıldıktan sonra USB sürücünün sisteme takılı olmasına gerek yoktur.
  • TPM + PIN: Açılış dosyaları için bütünlük kontrolü gerçekleştirilir ve sistem açılmadan önce kullanıcı doğru PIN değerini sisteme girmesi gerekmektedir. TPM 1.2 ile birlikte PIN üzerine kaba kuvvet saldırısı yapılmasının önüne geçilmiştir. Buradaki PIN TPM yongasını ilklerken kullanılan PIN değerinden farklı bir değerdir.
  • TPM: Açılış dosyaları için bütünlük kontrolü gerçekleştirilir. Kullanıcıya tamamen transparan olarak çalışır ve sistem açılırken kullanıcıdan herhangi bir işlem yapmasına gerek yoktur. TMP ile yapılandırma seçenekleri arasında en güvensiz olanıdır. Fiziksel güvenliğin sağlandığı durumlarda kullanılması önerilen seçeneklerden biridir.
  • Açılış Anahtarı: TPM yongasının bulunmadığı durumlarda (eski donanıma sahip bilgisayarlarda) kullanılabilir. Sistem açılırken Açılış Anahtarı’nı bulunduran USB sürücüsünün sisteme takılı olması gerekmektedir. Açılış dosyaları bütünlük kontrolü gerçekleştirilmez, yalnızca disk şifrelemesi gerçekleştirilir. Açılış Anahtarı bilgisayar üzerinde bir yerde saklanmaması tavsiye edilmektedir.

Kurtarma Anahtarı olarak adlandırılan 48 karakter uzunluğundaki sayılardan oluşan bu anahtar PIN unutulduğunda, TPM yongası zarar gördüğünde ya da Açılış Anahtarı’nı bulunduran USB sürücünün zarar gördüğünde tüm diskin şifresini çözmek için kullanılan anahtardır. Bu anahtarın kurtarma amaçlı saklanması oldukça önemlidir. Kurtarma Anahtarı’nın çıktısı alınabilir, bir CD’ye yazdırılabilir ya da bir USB sürücüde saklanabilir. Her nerede saklanırsa saklansın, emniyetli bir alanda korunması gerekmektedir. Bir aksilik durumunda disk şifresinin çözülebilmesine imkan veren tek yöntem Kurtarma Anahtarı’nın sağlanması yöntemidir.

Etki alanında Kurtarma Anahtarı’nın kaybolması yada oluşturulmamış olması durumları için Kurtarma Anahtarı ayrıca Aktif Dizin üzerinde saklanabilir. Grup İlkeleri doğru şekilde yapılandırılarak Kurtarma Anahtarları ve ayrıca her bir disk bolümünün şifrelenmesinde kullanılan şifreleme anahtarının bir kopyası Aktif Dizin üzerinde saklanabilir. Bu ayarları “Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Turn on BitLocker backup to Active Directory Domain Sevices” seçeneğinin yapılandırılması gerekmektedir.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.