Windows, bir depolama aygıtı için BitLocker şifrelemesini manuel olarak etkinleştirmeyi mümkün kılsa da, BitLocker grup ilkesi ayarları kullanılarak da etkinleştirilebilir ve yapılandırılabilir. Bu, özellikle tüm uç nokta cihazları için BitLocker şifrelemesini etkinleştirme konusunda uyumluluk yetkisine sahip kuruluşlar için kullanışlıdır.
BitLocker ayarlarına, Grup İlkesi düzenleyicisini açıp konsol ağacında Bilgisayar Yapılandırması \ Yönetim Şablonları \ Windows Bileşenleri \ BitLocker Sürücü Şifrelemesi‘ne giderek erişebilirsiniz. BitLocker Sürücü Şifrelemesi klasörü, her biri ek ayarlar içeren üç alt klasörün yanı sıra 10 adet yapılandırılabilir ayar içerir. Birincil ayar koleksiyonunu Şekil 1’de görebilirsiniz.
Şekil 1
Kullanılabilir ayarlar arasında, yapılandırılması tartışmasız en önemli olanı, BitLocker Kurtarma Bilgilerini Active Directory Etki Alanı Hizmetlerinde Sakla ayarıdır. Bu ayarın etkinleştirilmesi, yöneticilere, kullanıcının anahtar bilgilerinin kaybolması durumunda BitLocker ile şifrelenmiş verileri kurtarmanın bir yolunu sağlar.
İdeal olarak, BT uzmanlarının Kurtarma Politikası için Varsayılan Klasörü Seç ayarını da etkinleştirmeleri gerekir. Bu ilke ayarı, yöneticilerin, kullanıcıların kurtarma parolalarını kaydedebilecekleri varsayılan bir konum sağlamasına olanak tanır. Kurtarma parolaları, yedeklenebilecekleri bir ağ paylaşımına kaydedilmelidir.
Kullanıcıların BitLocker Korumalı Sürücüleri Nasıl Kurtarabileceğini Seçin ayarı isteğe bağlıdır. Bu ayar, yöneticilerin 48 basamaklı bir kurtarma parolası ve 256 bitlik bir kurtarma anahtarı sağlamasına olanak tanır. Bu değerler, kullanıcının anahtarının kaybolması durumunda BitLocker’ın kilidini açmak için kullanılabilir. Yönetici bu bilgiyi sağlamamayı tercih ederse kurtarma bilgilerinin Active Directory’ye kaydedilmesi gerekir.
Bir sonraki ilke ayarı Bu Bilgisayar Kilitlendiğinde Yeni DMA Cihazlarını Devre Dışı Bırak‘tır. Bu politikanın etkinleştirilmesi Thunderbolt PCI bağlantı noktalarına doğrudan bellek erişimini engeller. Bu ilke ayarının etkinleştirilmesi uç nokta güvenliğini iyileştirebilir ancak ayar eski donanımlarla uyumlu olmayabilir.
Windows ayrıca sürücü şifreleme yöntemini ve şifre gücünü seçmenize de olanak tanır. Bu politikayı etkinleştirdiğinizde size AES 128 bit şifreleme ile AES 256 bit şifreleme arasında bir seçim sunulur. BitLocker varsayılan olarak 128 bit şifreleme kullanır.
Daha önce bahsedilen Sürücü Şifreleme Yöntemini ve Şifreleme Gücünü Seçin ayarı, Windows 8 ve sonraki işletim sistemleri için geçerlidir. Ancak Windows 7, Windows Vista ve Windows Server 2008 için ayrı bir ayar vardır. Bu ayar, Difüzör ile 128 bit AES şifreleme, 256 bit AES şifreleme ve 128 bit ve 256 bit AES şifreleme arasında seçim yapmanızı sağlar.
Benzer şekilde Microsoft, Windows 10 sürüm 1511 ve üzeri için ayrı bir politika ayarı sunmaktadır. Windows 10, Windows 8 ve üzeri ilke ayarını kullanabilirken, Windows 10 1511 ve üzeri ilke ayarı bazlı ek seçenekler sunar. Yöneticiler, yalnızca bir şifreleme yöntemi seçmek yerine, işletim sistemi sürücüleri, sabit veri sürücüleri ve çıkarılabilir veri sürücüleri için şifreleme yöntemlerini belirleyebilir. Microsoft ayrıca şifreleme seçeneklerini de güncelledi. Yöneticiler 128 bit veya 256 bit AES-CBC ya da 128 bit veya 256 bit XTS-AES arasında seçim yapabilir.
Yöneticilerin yapılandırabileceği diğer bir ilke ayarı Kuruluşunuz için Benzersiz Tanımlayıcıları Sağlayın ayarıdır. Etkinleştirildiğinde bu ayar, benzersiz bir kuruluş tanımlayıcısını BitLocker şifreli sürücülerle ilişkilendirmenize olanak tanır.
Yeniden Başlatma Sırasında Belleğin Üzerine Yazılmasını Önle ayarı, bilgisayar yeniden başlatıldığında bellekte depolanan BitLocker gizli dizilerinin üzerine yazılıp yazılamayacağını denetler. Bellekte saklanan BitLocker sırlarının üzerine yazmak, yeniden başlatma performansını artıracaktır ancak BitLocker anahtarları sistemin belleğinde kaldığı için işlemdeki güvenliği de zayıflatabilir.
BitLocker ile ilgili birincil grup ilkesi ayarlarının sonuncusu Akıllı Kart Sertifikası Kullanım Kuralı Uyumluluğunu Doğrula‘dır. Etkinleştirildiğinde bu politika, bir akıllı kart nesne tanımlayıcısını BitLocker korumalı bir sürücüyle ilişkilendirmenize olanak tanır ve böylece BitLocker korumalı depolamaya erişim kazanmak için akıllı kartın kullanılmasını mümkün kılar.
Daha önce de belirtildiği gibi Grup İlkesi Düzenleyicisi, BitLocker Sürücü Şifrelemesi klasörünün altında üç alt klasör içerir. Bu alt klasörler Sabit Veri Sürücüleri, İşletim Sistemi Sürücüleri ve Çıkarılabilir Veri Sürücüleri olarak adlandırılır. Bu klasörler, yöneticilerin BitLocker’ı sırasıyla sabit veri sürücülerinde, işletim sistemi sürücülerinde ve çıkarılabilir veri sürücülerinde kullanılmak üzere özelleştirmesine olanak tanıyan ayarları içerir.
Sabit veri sürücüleri ve çıkarılabilir veri sürücüleri klasörleri aynı ayarlar koleksiyonunu içerir. Şekil 2’de gösterilen bu ayarları, akıllı kart kullanımını zorunlu kılmak, şifrelenmemiş sürücülere veri yazılmasını engellemek, donanım tabanlı şifrelemeyi yapılandırmak, belirli bir sürücü şifreleme türünü zorunlu kılmak, şifrelenmemiş sürücülere erişime izin vermek için kullanabilirsiniz. Windows’un önceki bir sürümü tarafından korunan sürücülere erişime izin vermek, parolaları yapılandırmak ve izin vermek istediğiniz kurtarma yöntemlerini seçebilirsiniz.
Şekil 2
Buna karşılık, İşletim Sistemi Sürücüsü klasörü, tamamı önyükleme sürücüsünde BitLocker kullanımıyla ilgili olan yaklaşık iki düzine ayar içerir. Bu ayarlar, yalnızca birkaçını saymak gerekirse TPM platform doğrulamasının, PIN’lerin ve parolaların ve Güvenli Önyüklemenin kullanımını kontrol edecek şekilde yapılandırılabilir. Bunları ve mevcut diğer ayarları Şekil 3’te görebilirsiniz.
BitLocker’ı yapılandırmak için Grup İlkesi’ni kullanacaksanız Platform Yapılandırma Kayıtlarının (PCR’ler) rolünü anlamak önemlidir. Platform Yapılandırma Kayıtları, sisteme, işletim sistemini başlatmadan hemen önce bir dizi bütünlük kontrolü gerçekleştirmesi talimatını verir. Bu kontroller, sisteme müdahale edilmediğinden emin olunmasına yardımcı olur. Bütünlük kontrolleri başarılı olursa TPM yongası BitLocker anahtarlarını serbest bırakır ve sistemin önyükleme yapmasına izin verilir.
Windows, PCR ile ilgili grup ilkesi ayarlarını iki ayrı konumda tutar. Konumlardan biri BIOS tabanlı bilgisayarlar için kullanılırken diğeri UEFI tabanlı bilgisayarlar için kullanılır. BIOS ile ilgili PCR ayarları şu konumda bulunur: Bilgisayar Yapılandırması \ İlkeler \ Yönetim Şablonları \ Windows Bileşenleri \ BitLocker Sürücü Şifrelemesi \ İşletim Sistemi Sürücüleri \ BIOS Tabanlı Ürün Yazılımı için TPM Platform Doğrulama Profilini Yapılandır. UEFI ile ilgili ayarlar şu konumda saklanır: Bilgisayar Yapılandırması \ İlkeler \ Yönetim Şablonları \ Windows Bileşenleri \ BitLocker Sürücü Şifrelemesi \ İşletim Sistemi Sürücüleri \ Yerel UEFI Ürün Yazılımı Yapılandırmaları için TPM Platform Doğrulama Profilini Yapılandır.
Bu grup ilkesi ayarları aracılığıyla etkinleştirilebilecek bir düzineden fazla farklı PCR vardır ve her biri belirli bütünlük kontrollerine karşılık gelir. Gerekli olan tek PCR ayarı, BitLocker Erişim Denetimini etkinleştiren PCR 11’dir. Ancak çoğu durumda ek PCR’ler etkinleştirilir. Bu PCR’ler sistemin bütünlüğünün korunmasına yardımcı olsa da, düşük düzeyde sistem değişiklikleri yapılması durumunda BitLocker kilitlemesini de sebep olabilir. Böyle bir durumda BitLocker anahtarlarınızı kurtarmak için 3.parti yazılımlara ihtiyaç duyabilirsiniz. Tedbirli olmakta her zaman fayda vardır.
