نتسا مقالات نحوه ریکاوری بیت لاکر و چگونگی بازیابی درایو قفل شده توسط بیت لاکر

logo

نحوه ریکاوری بیت لاکر و چگونگی بازیابی درایو قفل شده توسط بیت لاکر

دسته بندی: مقالات
توسط : فرناز شعبانی 0 دیدگاه
28 جولای 2021

در این مقاله، نحوه بازیابی BitLocker keys از طریق ADDS به متخصصان آی تی شرح داده میشود. سازمان ها می توانند از اطلاعات بازیابی بیت لاکر ذخیره شده در Active Directory Domain Services برای دسترسی به داده های حفاظت شده با BitLocker استفاده کنند. توصیه میشود همزمان با نصب Bitlocker به ایجاد یک مدل برای بازیابی Bitlocker بپردازید.

این مقاله با پیش فرض اینکه خواننده اطلاعات کافی در خصوص نحوه تنظیم خودکار ADDS برای تهیه نسخه پشتیبان از BitLocker recovery information دارد تهیه شده است و انواع اطلاعاتی که در زمان بازیابی در ADDS ذخیره می شود را معرفی میکند. در صورت عدم آشنایی با بیت لاکر به مقاله بیت لاکر چیست و چگونه از اطلاعات محافظت می کند مراجعه کنید.

BitLocker Recovery چیست؟

بازیابی بیت لاکر فرایندیست که در آن می توانید دسترسی به درایو محافظت شده با Bitlocker را در صورت عدم امکان باز کردن قفل درایو به طور معمول، بازیابی کنید. در سناریوی بازیابی، گزینه های زیر را برای بازیابی دسترسی به Drive دارید:

  • کاربر می تواند رمز ورود بازیابی را ذخیره کند. اگر سازمان به کاربر خود اجازه چاپ یا ذخیره رمز های بازیابی را داده باشد، کاربر می تواند رمز ۴۸-digit recovery را پرینت کرده، روی درایو USB یا در حساب مایکروسافت ذخیره کند. (تنها زمانی امکان ذخیره پسورد در Microsoft Account به صورت آنلاین وجود دارد که کاربر از PC که در دامین ثبت نشده است استفاده کند.)
  • یک Agent برای بازیابی داده می تواند از اعتبار موجود برای Unlock کردن درایو استفاده کند. اگر درایو یک operating system drive است، باید درایو به عنوان یک دیتا درایو بر روی یک رایانه دیگر نصب شود تا data recovery agent قفل را باز کند.
  • یک domain administrator می تواند رمز عبور بازیابی را از ADDS دریافت و برای باز کردن قفل درایو استفاده کند. ذخیره گذرواژه های بازیابی در ADDS توصیه می شود زیرا راهی برای متخصصان IT می باشد تا بتوانند در صورت لزوم به رمز ها در سازمان دسترسی داشته باشند. برای ذخیره پسورد در این روش نیاز است تا این روش بازیابی را در تنظیمات سیستم عامل با استفاده از گزینه BitLocker Group Policy setting Choose فعال شود.

مسیر این تنظیمات Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives در Local Group Policy Editor می باشد.


 

چه عواملی باعث نیاز به ریکاوری بیت لاکر می شود؟

لیست زیر نمونه هایی از وقایع خاص را نشان می دهد که باعث می شود Bitlocker هنگام شروع به کار درایو سیستم عامل وارد حالت بازیابی شود:

  • در PC ها که از رمزگذاری درایو BitLocker استفاده می کنند، یا در دستگاه هایی مانند تبلت ها یا تلفن هایی که فقط از BitLocker Device Encryption استفاده میکنند، زمانی که حمله ای شناسایی شود، دستگاه بلافاصله Reboot شده و وارد حالت بازیابی بیت لاکر می شود.

برای استفاده از این قابلیت مدیران شبکه میتوانند Interactive logon را تنظیم کنند: برای این منظور از مسیر Machine account lockout threshold Group Policy واقع شده در بخش تنظیمات ادیتور Local Group Policy از مسیر Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options میتوان استفاده کرد.

یا می توانید از طریق MaxFailedPasswordAttempts policy مربوط به Exchange ActiveSync (که از طریق Microsoft Intune نیز قابل تنظیم است) استفاده کنید تا تعداد رمزهای عبور ناموفق را قبل از ورود دستگاه به Device Lockout محدود کنند.

  • در دستگاه هایی که دارای TPM 1.2 هستند، تغییر BIOS یا دستورهای فریمور بوت دستگاه باعث بازیابی BitLOcker می شود. اما در دستگاه هایی که دارای TPM 2.0 هستند، BitLocker recovery با این روش امکان پذیر نمی باشد. ۰ تغییر سیستم عامل مربوط به boot device order را به عنوان تهدید امنیتی در نظر نمی گیرد زیرا OS Boot Loader را به خطر نمی اندازد.
  • داشتن درایو CD یا DVD قبل از هارد درایو در ترتیب بوت بایوس و وارد یا خارج کردن CD یا DVD.
  • عدم راه اندازی از طریق درایو شبکه قبل از بوت از طریق hard drive.
  • قطع و وصل کردن یک کامپیوتر پورتابل. در برخی موارد که بستگی به سازنده رایانه و بایوس دارد، وضعیت اتصال کامپیوتر پورتابل بخشی از راه اندازی سیستم است و باید برای تایید وضعیت سیستم و باز کردن قفل بیت لاکر در نظر گرفته شود.

بنابراین زمانی که bitlocker روشن است، اگر یک کامپیوتر پورتابل به docking station متصل شود، ممکن است در زمان آنلاک شدن نیز نیاز به اتصال به station داشته باشد. در شرایط برعکس، اگر یک کامپیوتر در زمان روشن کردن بیت لاکر به داک استیشن متصل نباشد، در زمان آنلاک شدن هم نیاز به اتصال نخواهد داشت.

  • تغییراتی در جدول پارتیشن NTFS روی دیسک شامل؛ ایجاد، حذف یا تغییر اندازه یک پارتیشن اصلی.
  • وارد کردن شماره شناسایی شخصی یا PIN اشتباه به دفعات زیاد منجر به فعال شدن anti-hammering logic در TPM می شود. Anti-hammering logic یک روش سخت افزاری یا نرم افزاری است که با نپذیرفتن PIN های ورودی تا زمانی که تعداد دفعات مشخص سپری نشوند، مشکلات و هزینه هک را افزایش می دهد.
  • در صورت استفاده از کلیدهای مبتنی بر USB به جای TPM، می توانید پشتیبانی از خواندن دستگاه USB در محیط pre-boot را از طریق سیستم عامل BIOS یا UEFI خاموش کنید.
  • خاموش کردن، غیر فعال کردن، deactivating یا پاک کردن TPM.
  • به روز رسانی اجزای حیاتی راه اندازی اولیه، مانند آپگرید BIOS یا UEFI، به منظور ارتقا به برخی تغییرات که مربوط به گزینه های بوت می شود.
  • فراموش کردن PIN زمانیکه که احراز هویت PIN فعال باشد.
  • به روز رسانی گزینه های ROM firmware
  • آپدیت فریمور TPM
  • افزودن یا حذف سخت افزار؛ مثلا قرار دادن کارت جدید به کامپیوتر، از جمله کارت های وایرلس PCMIA.
  • حذف، افزودن یا خالی شدن کامل باتری کامپیوتر پورتابل.
  • تغییرات در رکورد راه اندازی بوت بر روی دیسک.
  • تغییرات در مدیریت بوت بر روی دیسک.
  • پنهان کردن TPM در operating system. برخی تنظیمات BIOS یا UEFI می توانند برای جلوگیری از در نظر گرفتن TPM در سیستم عامل استفاده شوند. با اجرای این گزینه TPM از سیستم عامل مخفی میشود. با پنهان شدن تی پی ام، secure startup در بایوس و UEFI غیر فعال می شود و TPM به هیچ یک از کامند های برنامه ها پاسخ نمی دهد.
  • در صورت استفاده از کیبورد دیگری که به درستی PIN را وارد نکند یا کیبورد مپ که با مپ کیبورد فرض شده در محیط pre-boot مطابقت ندارد. این مشکل از ورود پین های بیشتر جاوگیری میکند.
  • اصلاح PCR هایی که مورد استفاده توسط TPM می باشد.
  • انتقال درایو که توسط BitLocker محافظت می شود به کامپیوتر جدید
  • آپگرید مادربرد به یک مادربرد جدید با TPM جدید
  • گم کردن USB فلشی که حاوی کلید استارتاپ است در زمانیکه که احراز هویت فعال سازی startup key انجام شده است.
  • Fail شدن TPM self-test
  • داشتن بایوس، فریمور UEFI یا یکی از گزینه های ROM که با استانداردهای مربوط به Trusted Computing Group برای کامپیوتر کلاینت سازگار نمی باشد. به عنوان مثال، پیاده سازی ناسازگار ممکن است volatile data مانند زمان را در TPM measurement ثبت کند. این امر باعث می شود اندازه گیری های مختلف در هر استارتاپ وجود داشته باشد و باعث اجرای بیت لاکر درحالت recovery mode گردد.
  • تغییر مجوز استفاده از storage root key برای TPM به مقدار غیر صفر. نکته مهم؛ در فرآیند مقدار دهی اولیه BitLocker TPM مقدار usage authorization را صفر در نظر میگیرد و کاربر یا هر فرآیند دیگری باید این مقدار را تغییر دهد.
  • غیر فعال کردن code integrity check یا فعال کردن test signing on Windows Boot Manager (Bootmgr)
  • فشردن کلیدهای F8 یا F10 در هنگام راه اندازی
  • افزودن یا حذف کارتهای add-in (مانند کارت های ویدیویی یا شبکه) یا آپگرید فرمویر در کارت های Add-in.
  • با استفاده از BIOS hot key در هنگام فرایند بوت برای تغییر boot order به چیزی غیر از هارد دیسک.

برای سناریوهای برنامه ریزی شده مانند؛ یک سخت افزار یا بروز رسانی فرمویر شناخته شده، می توانید با به تعویق انداختن محافظت بیت لاکر، از شروع بازیابی جلوگیری کنید. از آنجایی که معلق کردن bitlocker، درایو ها را کاملا بدون رمزگذاری می کند، مدیر مسئول پس از اتمام کار برنامه ریزی شده میتواند به سرعت BitLocker protection را از سر گیرد. با استفاده از suspend and resume، کلید رمزگذاری مجدداً بدون نیاز به ورود کلید بازیابی قابل راه اندازی می باشد.

اگر نگهداری از نرم افزار نیاز به راه اندازی مجدد کامپیوتر دارد و از شما احراز هویت دوعامل می خواهد، میتوانید BitLocker Network Unlock را فعال کنید. میتواند به عنوان تایید دوم در نظر گرفته شود، در صورتی که کامپیوتر کاربر on-premises نداشته باشد تا روش تایید اعتبار اضافی را ارائه دهد.

بازیابی، در چارچوب رفتارهای غیربرنامه ریزی شده یا ناخواسته توصیف شده است، اما همچنین برای مدیریت کنترل دسترسی میتوانید به عنوان یک سناریوی ساخت در نظر گرفته شده، بازیابی کنید. مثلاً هنگامی که کامپیترها ی پی سی یا لپ تاپ را مجدداً به سایر بخش ها یا کارمندان سازمان خود می دهید، میتوانید قبل از استفاده کاربر جدید ایتدا بیت لاکر ریکاوری را انجام دهید.

سازمان های مختلف پالیسی مخصوص به خود را برای روند بازیابی بیت لاکر دارند. پس از شروع BitLocker recovery، کاربران می توانند از رمز عبور بازیابی شده برای دسترسی به دیتاهای رمزنگاری شده استفاده کنند. دو روش بازیابی پسورد توصیه می شود، self-recovery و recovery password retrieval که در ادامه هر کدام را توضیح می دهیم.

روش بازیابی پسورد self-recovery چیست و چگونه انجام می شود؟

در برخی موارد، ممکن است کاربران پسورد ریکاوری را به صورت پرینت شده یا بر روی فلش درایو USB ذخیره کنند. بدین ترتیب Self-recovery انجام پذیر است. توصیه می شود هر سازمانی یک پالیسی مشخص برای بازیابی رمز عبور داشته باشد.

اگر بازیابی شامل به کار گیری پسورد یا کلید ریکاوری ذخیره شده بر روی فلش درایو می باشد، توصیه می شود این USB را در همان مکانی که کامپیوتر است نگهداری نکنید. مخصوصاً در مسافرت ها در یک کیف جداگانه نگهداری شود تا کاربران غیر مجاز به راحتی به اطلاعات پی سی دسترسی پیدا نکنند. حتما مسئولان مرتبط باید در جریان تمامی بازیابی های انجام شده و علل آن قرار گیرند.

بازیابی رمز ورودی یا Recovery password retrieval

اگر کاربر رمز عبور بازیابی را به صورت پرینت شده یا بر روی درایو USB نداشته باشد، باید ریکاوری پسورد را به صورت آنلاین انجام دهد. اگر PC به دامین متصل باشد، میتوان از پسورد ریکاوری یک نسخه بکاپ بر روی ADDS تهیه کرد. این کار به صورت پیش فرض انجام نمی شود. قبل از فعال سازی بیت لاکر بر روی رایانه، تنظیمات مناسب را در بخش گروپ پالیسی پیکر بندی کنید.

تنظیمات BitLocker Group Policy را از بخش Local Group Policy Editor یا Group Policy Management Console (GPMC) و مسیر Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption انجام دهید.

تنظیماتی که در ادامه به آن می پردازیم در زمانی که روش احراز هویت موفقیت آمیز یا قابل استفاده نباشد، میتوانید دسترسی به درایو محافظت شده توسط bitlocker را بازیابی کنید:

  1. نحوه بازیابی درایو های OS محافظت شده توسط بیت لاکر را انتخاب کنید.
  2. انتخاب کنید چگونه درایو های ثابتی که توسط بیت لاکر محافظت شده اند را ریکاوری کنید.
  3. نحوه بازیابی درایو های Removable محافظت شده توسط بیت لاکر را انتخاب کنید.

در هر یک از سیاست ها، ذخیره اطلاعات بیت لاکر ریکاوری را از بخش Active Directory Domain Services و سپس دیتا هایی را که میخواهید از طریق بیت لاکر ریکاوری بر روی ADDS ذخیره شوند انتخاب کنبد.

اگر میخواهید از فعال کردن بیت لاکر توسط کاربران جلوگیری کنید، BitLocker activation box را غیر فعال نکنید تا بتوانید اطلاعات بیت لاکر ریکاوری را در صورت اتصال کامپیوتر به دامین در ADDS ذخیره کنید.

ابزار Active Directory Users and Computers به مدیران دامنه امکان مشاهده رمز های عبور بیت لاکر ریکاوری را برای کامپیوتر های خاص در Active Directory می دهد .

لیستی که در زیر مشاهده می کنید به عنوان الگوهای ابتدایی برای ایجاد فرآیند بازیابی برای ریکاوری پسورد قابل استفاده می باشد. این فرآیند نمونه ای از ابزارهای Active Directory Users and Computers است:

  • ثبت اسم کامپیوتر کاربران
  • تایید هویت کاربر
  • تعیین محل ذخیره ریکاوری پسورد در ADDS
  • جمع آوری اطلاعات برای معین نمودن علت ریکاوری
  • تحویل پسورد ریکاوری پسورد به کاربر
  • ریست بیت لاکر برای جلوگیری از انجام ریکاوری در هر بار استارتاپ

پست های مرتبط