نحوه ریکاوری بیت لاکر و چگونگی بازیابی درایو قفل شده توسط بیت لاکر
در این مقاله، نحوه بازیابی BitLocker keys از طریق ADDS به متخصصان آی تی شرح داده میشود. سازمان ها می توانند از اطلاعات بازیابی بیت لاکر ذخیره شده در Active Directory Domain Services برای دسترسی به داده های حفاظت شده با BitLocker استفاده کنند. توصیه میشود همزمان با نصب Bitlocker به ایجاد یک مدل برای بازیابی Bitlocker بپردازید.
این مقاله با پیش فرض اینکه خواننده اطلاعات کافی در خصوص نحوه تنظیم خودکار ADDS برای تهیه نسخه پشتیبان از BitLocker recovery information دارد و نحوه فعالسازی بیت لاکر را میداند، تهیه شده است و انواع اطلاعاتی که در زمان بازیابی در ADDS ذخیره می شود را معرفی میکند.
پیشنهاد مطالعه: بیت لاکر چیست
فهرست محتوا
BitLocker Recovery چیست؟
بازیابی بیت لاکر فرایندیست که در آن می توانید دسترسی به درایو محافظت شده با Bitlocker را در صورت عدم امکان باز کردن قفل درایو به طور معمول، بازیابی کنید. در سناریوی بازیابی، گزینه های زیر را برای بازیابی دسترسی به Drive دارید:
- کاربر می تواند رمز ورود بازیابی را ذخیره کند. اگر سازمان به کاربر خود اجازه چاپ یا ذخیره رمز های بازیابی را داده باشد، کاربر می تواند رمز 48-digit recovery را پرینت کرده، روی درایو USB یا در حساب مایکروسافت ذخیره کند. (تنها زمانی امکان ذخیره پسورد در Microsoft Account به صورت آنلاین وجود دارد که کاربر از PC که در دامین ثبت نشده است استفاده کند.)
- یک Agent برای بازیابی داده می تواند از اعتبار موجود برای Unlock کردن درایو استفاده کند. اگر درایو یک operating system drive است، باید درایو به عنوان یک دیتا درایو بر روی یک رایانه دیگر نصب شود تا data recovery agent قفل را باز کند.
- یک domain administrator می تواند رمز عبور بازیابی را از ADDS دریافت و برای باز کردن قفل درایو استفاده کند. ذخیره گذرواژه های بازیابی در ADDS توصیه می شود زیرا راهی برای متخصصان IT می باشد تا بتوانند در صورت لزوم به رمز ها در سازمان دسترسی داشته باشند. برای ذخیره پسورد در این روش نیاز است تا این روش بازیابی را در تنظیمات سیستم عامل با استفاده از گزینه BitLocker Group Policy setting Choose فعال شود.
مسیر این تنظیمات Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives در Local Group Policy Editor می باشد.
BitLocker recovery key چیست؟
کد ریکاوری بیت لاکر (BitLocker Recovery Key) کلیدی است که به شما اجازه میدهد در صورتی که رمز عبور BitLocker را فراموش کردید یا دسترسی به درایو را از دست دادید، قادر باشید به درایو رمزنگاری شده دسترسی پیدا کنید. این کلید بازیابی به عنوان یک مکان دوم برای دسترسی به درایو استفاده میشود و مهمترین روش برای بازیابی دسترسی به درایو رمزنگاری شده است. BitLocker Recovery Key به صورت یک سری اعداد و حروف است و به صورت پیش فرض یک فایل متنی (TXT) در اختیار شما قرار میدهد. شما باید این کلید را در یک مکان امن ذخیره کنید تا در صورت نیاز به راحتی قادر به استفاده از آن باشید. وقتی BitLocker را برای درایوی فعال میکنید، به شما چندین گزینه برای ذخیره کلید بازیابی میدهد. برخی از گزینهها به شرح زیر هستند:
ذخیره کلید بازیابی در حساب Microsoft: میتوانید کلید بازیابی را با حساب مایکروسافت مرتبط کنید تا در صورت نیاز به بازیابی، به آن دسترسی داشته باشید.
ذخیره کلید بازیابی در فایل: میتوانید کلید بازیابی را در یک فایل متنی ذخیره کنید. در این حالت باید فایل را در یک مکان امن نگهداری کنید که در صورت نیاز به بازیابی، بتوانید به آن دسترسی داشته باشید.
چاپ کلید بازیابی: میتوانید کلید بازیابی را چاپ کنید تا مطمئن شوید که در صورت هک شدن یک سیستم، هکرها به آن دسترسی نخواهند داشت.
دقت کنید در صورتی که رمز عبور BitLocker را فراموش کنید یا دسترسی به درایو را از دست بدهید، میتوانید از کلید بازیابی برای دسترسی به درایو استفاده کنید.
چگونه میتوان BitLocker Key را ریکاوری کرد؟
بسته به نسخه ویندوز نصب شده، روش های مختلفی برای ثبت کلید های بازیابی وجود دارد. در زیر گزینه های پشتیبانی شده برای ثبت کلید برای نسخه های مختلف سیستم عامل بیان شده است:
بیت لاکر در ویندور 7:
- Key را میتوان در یک درایو یو اس بی ذخیره کرد
- Key را میتوان به عنوان یک فایل (در درایو های شبکه یا مکان دیگر) ذخیره کرد
- Key را میتوان به صورت فیزیکی پرینت کرد
در ویندوز 10
- میتوان فایل را در یک درایو USB ذخیره کرد (استیک یو اس بی را به کامپیوتر قفل شده متصل کنید و دستورالعمل را دنبال کنید. اگر قفل به عنوان یک فایل متنی روی USB stick ذخیره شده، برای خواندن فایل متنی باید از رایانه دیگری استفاده کنید)
- Key را میتوان در حساب Microsoft ذخیره کنید (برای یافتن آن BitLocker recovery keys را جستجو کنید)
- Key را میتوان در حساب Azure Active Directory ذخیره کرد (برای سرورها که با Azure Active Directory account وارد سیستم میشوند، برای دریافت ریکاوری key ، اطلاعات حساب مایکروسافت Azure را مشاهده کنید)
- کلید را میتوان به عنوان فایل (در درایو شبکه یا مکان دیگری) ذخیره کرد
- Key را میتوان نیز چاپ کرد
چه عواملی باعث نیاز به ریکاوری بیت لاکر می شود؟
لیست زیر نمونه هایی از وقایع خاص را نشان می دهد که باعث می شود Bitlocker هنگام شروع به کار درایو سیستم عامل وارد حالت بازیابی شود:
- در PC ها که از رمزگذاری درایو BitLocker استفاده می کنند، یا در دستگاه هایی مانند تبلت ها یا تلفن هایی که فقط از BitLocker Device Encryption استفاده میکنند، زمانی که حمله ای شناسایی شود، دستگاه بلافاصله Reboot شده و وارد حالت بازیابی بیت لاکر می شود.
برای استفاده از این قابلیت مدیران شبکه میتوانند Interactive logon را تنظیم کنند: برای این منظور از مسیر Machine account lockout threshold Group Policy واقع شده در بخش تنظیمات ادیتور Local Group Policy از مسیر Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options میتوان استفاده کرد.
یا می توانید از طریق MaxFailedPasswordAttempts policy مربوط به Exchange ActiveSync (که از طریق Microsoft Intune نیز قابل تنظیم است) استفاده کنید تا تعداد رمزهای عبور ناموفق را قبل از ورود دستگاه به Device Lockout محدود کنند.
- در دستگاه هایی که دارای TPM 1.2 هستند، تغییر BIOS یا دستورهای فریمور بوت دستگاه باعث بازیابی BitLOcker می شود. اما در دستگاه هایی که دارای TPM 2.0 هستند، BitLocker recovery با این روش امکان پذیر نمی باشد. 0 تغییر سیستم عامل مربوط به boot device order را به عنوان تهدید امنیتی در نظر نمی گیرد زیرا OS Boot Loader را به خطر نمی اندازد.
- داشتن درایو CD یا DVD قبل از هارد درایو در ترتیب بوت بایوس و وارد یا خارج کردن CD یا DVD.
- عدم راه اندازی از طریق درایو شبکه قبل از بوت از طریق hard drive.
- قطع و وصل کردن یک کامپیوتر پورتابل. در برخی موارد که بستگی به سازنده رایانه و بایوس دارد، وضعیت اتصال کامپیوتر پورتابل بخشی از راه اندازی سیستم است و باید برای تایید وضعیت سیستم و باز کردن قفل بیت لاکر در نظر گرفته شود.
بنابراین زمانی که bitlocker روشن است، اگر یک کامپیوتر پورتابل به docking station متصل شود، ممکن است در زمان آنلاک شدن نیز نیاز به اتصال به station داشته باشد. در شرایط برعکس، اگر یک کامپیوتر در زمان روشن کردن بیت لاکر به داک استیشن متصل نباشد، در زمان آنلاک شدن هم نیاز به اتصال نخواهد داشت.
- تغییراتی در جدول پارتیشن NTFS روی دیسک شامل؛ ایجاد، حذف یا تغییر اندازه یک پارتیشن اصلی.
- وارد کردن شماره شناسایی شخصی یا PIN اشتباه به دفعات زیاد منجر به فعال شدن anti-hammering logic در TPM می شود. Anti-hammering logic یک روش سخت افزاری یا نرم افزاری است که با نپذیرفتن PIN های ورودی تا زمانی که تعداد دفعات مشخص سپری نشوند، مشکلات و هزینه هک را افزایش می دهد.
- در صورت استفاده از کلیدهای مبتنی بر USB به جای TPM، می توانید پشتیبانی از خواندن دستگاه USB در محیط pre-boot را از طریق سیستم عامل BIOS یا سیستم UEFI خاموش کنید.
- خاموش کردن، غیر فعال کردن، deactivating یا پاک کردن TPM.
- به روز رسانی اجزای حیاتی راه اندازی اولیه، مانند آپگرید BIOS یا UEFI، به منظور ارتقا به برخی تغییرات که مربوط به گزینه های بوت می شود.
- فراموش کردن PIN زمانیکه که احراز هویت PIN فعال باشد.
- به روز رسانی گزینه های ROM firmware
- آپدیت فرمور TPM
- افزودن یا حذف سخت افزار؛ مثلا قرار دادن کارت جدید به کامپیوتر، از جمله کارت های وایرلس PCMIA.
- حذف، افزودن یا خالی شدن کامل باتری کامپیوتر پورتابل.
- تغییرات در رکورد راه اندازی بوت بر روی دیسک.
- تغییرات در مدیریت بوت بر روی دیسک.
- پنهان کردن TPM در operating system. برخی تنظیمات BIOS یا UEFI می توانند برای جلوگیری از در نظر گرفتن TPM در سیستم عامل استفاده شوند. با اجرای این گزینه TPM از سیستم عامل مخفی میشود. با پنهان شدن تی پی ام، secure startup در بایوس و UEFI غیر فعال می شود و TPM به هیچ یک از کامند های برنامه ها پاسخ نمی دهد.
- در صورت استفاده از کیبورد دیگری که به درستی PIN را وارد نکند یا کیبورد مپ که با مپ کیبورد فرض شده در محیط pre-boot مطابقت ندارد. این مشکل از ورود پین های بیشتر جاوگیری میکند.
- اصلاح PCR هایی که مورد استفاده توسط TPM می باشد.
- انتقال درایو که توسط BitLocker محافظت می شود به کامپیوتر جدید
- آپگرید مادربرد به یک مادربرد جدید با TPM جدید
- گم کردن USB فلشی که حاوی کلید استارتاپ است در زمانیکه که احراز هویت فعال سازی startup key انجام شده است.
- Fail شدن TPM self-test
- داشتن بایوس، فرمور UEFI یا یکی از گزینه های ROM که با استانداردهای مربوط به Trusted Computing Group برای کامپیوتر کلاینت سازگار نمی باشد. به عنوان مثال، پیاده سازی ناسازگار ممکن است volatile data مانند زمان را در TPM measurement ثبت کند. این امر باعث می شود اندازه گیری های مختلف در هر استارتاپ وجود داشته باشد و باعث اجرای بیت لاکر درحالت recovery mode گردد.
- تغییر مجوز استفاده از storage root key برای TPM به مقدار غیر صفر. نکته مهم؛ در فرآیند مقدار دهی اولیه BitLocker TPM مقدار usage authorization را صفر در نظر میگیرد و کاربر یا هر فرآیند دیگری باید این مقدار را تغییر دهد.
- غیر فعال کردن code integrity check یا فعال کردن test signing on Windows Boot Manager (Bootmgr)
- فشردن کلیدهای F8 یا F10 در هنگام راه اندازی
- افزودن یا حذف کارتهای add-in (مانند کارت های ویدیویی یا شبکه) یا آپگرید فرمویر در کارت های Add-in.
- با استفاده از BIOS hot key در هنگام فرایند بوت برای تغییر boot order به چیزی غیر از هارد دیسک.
پیشنهاد مطالعه: TPM چیست
برای سناریوهای برنامه ریزی شده مانند؛ یک سخت افزار یا بروز رسانی فرمویر شناخته شده، می توانید با به تعویق انداختن محافظت بیت لاکر، از شروع بازیابی جلوگیری کنید. از آنجایی که معلق کردن bitlocker، درایو ها را کاملا بدون رمزگذاری می کند، مدیر مسئول پس از اتمام کار برنامه ریزی شده میتواند به سرعت BitLocker protection را از سر گیرد. با استفاده از suspend and resume، کلید رمزگذاری مجدداً بدون نیاز به ورود کلید بازیابی قابل راه اندازی می باشد.
اگر نگهداری از نرم افزار نیاز به راه اندازی مجدد کامپیوتر دارد و از شما احراز هویت دوعامل می خواهد، میتوانید BitLocker Network Unlock را فعال کنید. میتواند به عنوان تایید دوم در نظر گرفته شود، در صورتی که کامپیوتر کاربر on-premises نداشته باشد تا روش تایید اعتبار اضافی را ارائه دهد.
بازیابی، در چارچوب رفتارهای غیربرنامه ریزی شده یا ناخواسته توصیف شده است، اما همچنین برای مدیریت کنترل دسترسی میتوانید به عنوان یک سناریوی ساخت در نظر گرفته شده، بازیابی کنید. مثلاً هنگامی که کامپیترها ی پی سی یا لپ تاپ را مجدداً به سایر بخش ها یا کارمندان سازمان خود می دهید، میتوانید قبل از استفاده کاربر جدید ایتدا بیت لاکر ریکاوری را انجام دهید.
سازمان های مختلف پالیسی مخصوص به خود را برای روند بازیابی بیت لاکر دارند. پس از شروع BitLocker recovery، کاربران می توانند از رمز عبور بازیابی شده برای دسترسی به دیتاهای رمزنگاری شده استفاده کنند. دو روش بازیابی پسورد توصیه می شود، self-recovery و recovery password retrieval که در ادامه هر کدام را توضیح می دهیم.
روش بازیابی پسورد self-recovery چیست و چگونه انجام می شود؟
در برخی موارد، ممکن است کاربران پسورد ریکاوری را به صورت پرینت شده یا بر روی فلش درایو USB ذخیره کنند. بدین ترتیب Self-recovery انجام پذیر است. توصیه می شود هر سازمانی یک پالیسی مشخص برای بازیابی رمز عبور داشته باشد.
اگر بازیابی شامل به کار گیری پسورد یا کلید ریکاوری ذخیره شده بر روی فلش درایو می باشد، توصیه می شود این USB را در همان مکانی که کامپیوتر است نگهداری نکنید. مخصوصاً در مسافرت ها در یک کیف جداگانه نگهداری شود تا کاربران غیر مجاز به راحتی به اطلاعات پی سی دسترسی پیدا نکنند. حتما مسئولان مرتبط باید در جریان تمامی بازیابی های انجام شده و علل آن قرار گیرند.
بازیابی رمز ورودی یا Recovery password retrieval
اگر کاربر رمز عبور بازیابی را به صورت پرینت شده یا بر روی درایو USB نداشته باشد، باید ریکاوری پسورد را به صورت آنلاین انجام دهد. اگر PC به دامین متصل باشد، میتوان از پسورد ریکاوری یک نسخه بکاپ بر روی ADDS تهیه کرد. این کار به صورت پیش فرض انجام نمی شود. قبل از فعال سازی بیت لاکر بر روی رایانه، تنظیمات مناسب را در بخش گروپ پالیسی پیکر بندی کنید.
تنظیمات BitLocker Group Policy را از بخش Local Group Policy Editor یا Group Policy Management Console (GPMC) و مسیر Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption انجام دهید.
تنظیماتی که در ادامه به آن می پردازیم در زمانی که روش احراز هویت موفقیت آمیز یا قابل استفاده نباشد، میتوانید دسترسی به درایو محافظت شده توسط bitlocker را بازیابی کنید:
- نحوه بازیابی درایو های OS محافظت شده توسط بیت لاکر را انتخاب کنید.
- انتخاب کنید چگونه درایو های ثابتی که توسط بیت لاکر محافظت شده اند را ریکاوری کنید.
- نحوه بازیابی درایو های Removable محافظت شده توسط بیت لاکر را انتخاب کنید.
در هر یک از سیاست ها، ذخیره اطلاعات بیت لاکر ریکاوری را از بخش Active Directory Domain Services و سپس دیتا هایی را که میخواهید از طریق بیت لاکر ریکاوری بر روی ADDS ذخیره شوند انتخاب کنبد.
اگر میخواهید از فعال کردن بیت لاکر توسط کاربران جلوگیری کنید، BitLocker activation box را غیر فعال نکنید تا بتوانید اطلاعات بیت لاکر ریکاوری را در صورت اتصال کامپیوتر به دامین در ADDS ذخیره کنید.
ابزار Active Directory Users and Computers به مدیران دامنه امکان مشاهده رمز های عبور بیت لاکر ریکاوری را برای کامپیوتر های خاص در Active Directory می دهد .
لیستی که در زیر مشاهده می کنید به عنوان الگوهای ابتدایی برای ایجاد فرآیند بازیابی برای ریکاوری پسورد قابل استفاده می باشد. این فرآیند نمونه ای از ابزارهای Active Directory Users and Computers است:
- ثبت اسم کامپیوتر کاربران
- تایید هویت کاربر
- تعیین محل ذخیره ریکاوری پسورد در ADDS
- جمع آوری اطلاعات برای معین نمودن علت ریکاوری
- تحویل پسورد ریکاوری پسورد به کاربر
- ریست بیت لاکر برای جلوگیری از انجام ریکاوری در هر بار استارتاپ
استفاده از Recovery Key برای آنلاک کردن درایو
برای استفاده از کلید بازیابی (Recovery Key) به منظور آنلاک کردن درایو رمزنگاری شده با BitLocker، میتوانید مراحل زیر را دنبال کنید:
روش اول:
وقتی میخواهید درایو را باز کنید، در صفحه ورود رمز عبور BitLocker، گزینه “More options” را انتخاب کنید.
سپس گزینه “Enter recovery key” را انتخاب کنید.
کلید بازیابی را وارد کنید و روی دکمه “Unlock” کلیک کنید.
روش دوم:
روی دکمه Start در ویندوز کلیک کنید و “Control Panel” را جستجو کنید. سپس “Control Panel” را انتخاب کنید.
در پنجره “Control Panel”، گزینه “System and Security” را انتخاب کنید.
در بخش “System and Security”، گزینه “BitLocker Drive Encryption” را انتخاب کنید.
صفحه “BitLocker Drive Encryption” باز میشود. بر روی درایوی که میخواهید آن را آنلاک کنید، کلیک راست کنید و گزینه “Unlock Drive” (آنلاک درایو) را انتخاب کنید.
کلید بازیابی را وارد کنید و روی دکمه “Unlock” کلیک کنید.
بعد از وارد کردن کلید بازیابی صحیح، درایو رمزنگاری شده با BitLocker باز میشود و میتوانید به محتوای درایو دسترسی پیدا کنید.
توجه داشته باشید که کلید بازیابی فقط برای مواقعی است که رمز عبور BitLocker را فراموش کردهاید یا دسترسی به درایو را از دست دادهاید. پس از استفاده از کلید بازیابی، میتوانید یک رمز عبور جدید تنظیم کنید تا بتوانید در آینده از آن استفاده کنید.
ریکاوری درایو قفل شده با بیت لاکر بدون داشتن رمز عبور و حذف شدن کد ریکاوری
متاسفانه، روشی برای بازیابی دسترسی به درایو قفل شده با BitLocker بدون داشتن رمز عبور یا کد ریکاوری وجود ندارد. BitLocker طراحی شده است تا امنیت درایو را تضمین کند و در صورتی که رمز عبور یا کد ریکاوری را نداشته باشید، امکان بازیابی دسترسی به درایو وجود ندارد. بدون داشتن رمز عبور یا کد ریکاوری، تنها راههای بازیابی دسترسی به درایو شامل موارد زیر است:
استفاده از کلید بازیابی: در صورتی که کلید بازیابی را ذخیره کرده باشید، میتوانید از آن استفاده کنید تا دسترسی به درایو را بازیابی کنید. در غیر این صورت، امکان بازیابی وجود ندارد.
بازیابی رمز عبور از طریق حساب کاربری Microsoft: اگر حساب کاربری Microsoft را با درایو رمزنگاری شده مرتبط کرده باشید و از این ویژگی برای بازیابی رمز عبور استفاده کرده باشید، میتوانید از این راه برای بازیابی استفاده کنید.
در هر صورت، برای استفاده از BitLocker و جلوگیری از بروز مشکل از دست دادن رمز عبور و کد ریکاوری، مهم است که این اطلاعات را در یک مکان امن و قابل دسترس نگهداری کنید. همچنین، اطمینان حاصل کنید که قبل از اعمال تغییرات مهم در سیستم خود، پشتیبانگیری از اطلاعات خود را انجام دادهاید.
شکستن قفل بیت لاکر بدون ریکاوری کی/باز كردن قفل BitLocker
متاسفانه، BitLocker یک مکانیزم رمزگذاری قدرتمند است که امکان شکستن آن وجود ندارد. همانگونه که اشاره کردیم BitLocker طراحی شده تا امنیت درایو را تضمین کند و مانع دسترسی غیرمجاز به اطلاعات شود. در صورتی که هیچ گزینهای برای بازیابی دسترسی به درایو ندارید، تنها راه بازیابی اطلاعات این است که به تیم پشتیبانی Microsoft یا یک تیم حرفهای متخصص مراجعه کنید تا شما را راهنمایی کنند، اما توجه داشته باشید برای این منظور باید مدارک اثبات هویت را ارائه کنید. در هر صورت، اهمیت دادن به حفاظت از رمز عبور و کد ریکاوری و ایجاد پشتیبان منظم از اطلاعات مهم، میتواند مانع بروز مشکل از دست دادن دسترسی به درایوهای رمزنگاری شده شود. همچنین، به این نکته دقت کنید که استخراج کلید بازیابی برای درایو BitLocker به صورت مستقیم از سیستم عملیاتی ویندوز ممکن نیست.