Το BitLocker είναι η απάντηση της Microsoft για την προστασία των δεδομένων των χρηστών ή των  διακομιστών που βρίσκονται αποθηκευμένα σε σκληρούς δίσκους ή αφαιρούμενα μέσα αποθήκευσης με το BitLocker-to-go.

Κρυπτογραφεί όλα τα δεδομένα με ένα κλειδί και καθιστά αδύνατη την ανάκτηση αυτών σε περίπτωση κλοπής. Με αυτόν τον τρόπο ακόμη και να αποκτήσει κάποιος φυσική πρόσβαση στον υπολογιστή δε θα είναι εφικτή η αντιγραφή των αρχείων ή η εκκίνησή του.

Το κλειδί που χρησιμοποιεί το BitLocker για να κρυπτογραφήσει τα δεδομένα συνήθως παρέχεται από το Trusted Platform Module.Το TPM είναι ένα chip στον υπολογιστή το οποίο έχει δυο κλειδιά. Το πρώτο κλειδί είναι το Storage Root Key. Το δεύτερο κλειδί είναι αποθηκευμένο έτσι ώστε να μην έχει κανείς πρόσβαση σε αυτό με κανέναν τρόπο. Με τη χρήση αυτών των κλειδιών παράγει άλλα τα οποία κρυπτογραφούν τα δεδομένα σας.

Δεν είναι όμως και απαραίτητο να έχει ένας υπολογιστής TPM για να μπορέσει το BitLocker να δουλέψει. Εκτός από το TPM υπάρχει η επιλογή να χρησιμοποιήσει ο χρήστης είτε κάποιο PIN ή κωδικό είτε ένα απλό USB Stick στο οποίο αποθηκεύεται ο κωδικός του BitLocker. Φυσικά αυτοί οι τρόποι μπορούν να συνδυαστούν και να παρέχουν multi-factor authentication. Μπορεί για παράδειγμα εκτός από το TPM να χρειάζεται και ένα PIN για να ξεκινήσει ο υπολογιστής.

Όπως όλα τα υποσυστήματα του νέου λειτουργικού έτσι και το BitLocker αναβαθμίστηκε αισθητά στη νέα έκδοση.

BitLocker provisioning

Στην προηγούμενη έκδοση του BitLocker δεν ήταν δυνατή η χρησιμοποίηση του πριν την εγκατάσταση των Windows. Με το BitLocker provisioning μπορούν πλέον οι χρήστες να ενεργοποιήσουν το BitLocker πριν την εγκατάσταση. Με το πέρας της εγκατάστασης χρησιμοποιώντας τον πίνακα ελέγχου μπορούν να ολοκληρώσουν την εγκατάσταση του BitLocker.

Used Disk Space Only encryption

Στην προηγούμενη έκδοση επίσης, έπρεπε να κρυπτογραφηθεί όλος ο σκληρός δίσκος. Σε σκληρούς δίσκους με μεγάλη χωρητικότητα αυτή η συμπεριφορά ήταν προβληματική αφού ήταν μια χρονοβόρα διαδικασία. Στη νέα έκδοση είναι δυνατή η κρυπτογράφηση μόνο των περιεχομένων και όχι του ελεύθερου χώρου βελτιώνοντας την εμπειρία χρήσης. Βέβαια η Microsoft συνιστά τη χρήση της συγκεκριμένης δυνατότητας μόνο σε νέους δίσκους για ευνόητους λόγους. Αν προηγουμένως είχαμε δεδομένα και τα σβήσαμε θα μπορούσε κάποιος εξειδικευμένος να αποκτήσει πρόσβαση.

Μια τόσο σοβαρή επιλογή όπως το Used Disk Space Only encryption φυσικά κέρδισε και τη θέση της στο Group Policy έτσι ώστε οι διαχειριστές να επιλέγουν τον προεπιλεγμένο τρόπο.

Standard User PIN and password change

Για να εγκατασταθεί και να παραμετροποιηθεί το BitLocker χρειάζονται δικαιώματα διαχειριστή σε κάθε υπολογιστή. Στη νέα έκδοση υπάρχει η δυνατότητα να αλλάξει τους κωδικούς του BitLocker που χρειάζονται για την εκκίνηση του υπολογιστή και ένας απλός χρήστης. Το μήκος των κωδικών και η περιπλοκότητα μπορούν να καθοριστούν και με ρυθμίσεις από το Group Policy. Έτσι οι διαχειριστές μπορούν να ετοιμάσουν γρήγορα ένα μεγάλο αριθμό υπολογιστών με τον ίδιο κωδικό και να αφήσουν τους χρήστες να διαλέξουν το δικό τους.

Network Unlock

Η μεγαλύτερη πρόκληση που έρχονται αντιμέτωποι οι διαχειριστές με τη χρήση του BitLocker είναι η ανάγκη της φυσικής πρόσβασης κατά την εκκίνηση των υπολογιστών.

Το TPM προστατεύει σε περίπτωση κλοπής των σκληρών δίσκων. Αν υπάρχει πρόσβαση στον υπολογιστή τότε θα μπορούσε να τον ανοίξει κάποιος χωρίς να χρειάζεται να παρέχει και κάποιου είδους ταυτοποίηση ακόμη. Για αυτό το λόγο υπάρχει το PIN ή το Startup key(το USB Stick) ή και τα δύο μαζί τα οποία πρέπει να παρέχει κάποιος για να ξεκινήσει ο υπολογιστής.

Σε εταιρικά περιβάλλοντα όμως χρειάζεται και η ασφαλής εκκίνηση του υπολογιστή χωρίς τη φυσική παρουσία. Σε αυτήν την πρόκληση απάντηση έρχεται να δώσει το Network Unlock. Με το Network Unlock όταν ο υπολογιστής ξεκινάει μπορεί να πάρει τα απαραίτητα κλειδιά από την υπάρχουσα υποδομή. Η υποδομή αυτή περιλαμβάνει ένα Windows Deployment Server ο οποίος παρέχει τη δυνατότητα μεταφοράς αυτού του κλειδιού στους υπολογιστές, ένα κλειδί το οποίο είναι σε μορφή πιστοποιητικού X.509 και φυσικά τις απαραίτητες ρυθμίσεις στο Group Policy. Φυσικά θα πρέπει και οι υπολογιστές να χρησιμοποιούν Windows 8 ή Windows Server 2012.

Υποστήριξη για κρυπτογραφημένους σκληρούς δίσκους

                Στην αγορά σήμερα υπάρχουν σκληροί δίσκοι οι οποίοι χρησιμοποιούν κρυπτογράφηση σε επίπεδο υλικού. Η κοινή τους ονομασία είναι SED (Shelf Encrypting Drives). Το BitLocker αναγνωρίζει πλέον αυτούς τους σκληρούς και μπορεί να τους χρησιμοποιήσει προσφέροντας καλύτερες επιδόσεις και ασφαλεια.

Υποστήριξη για Cluster Shared Volumes

                Σε εγκαταστάσεις με Failover Clustering που χρησιμοποιούν CSV,στη νέα έκδοση μπορούν να χρησιμοποιηθούν με το BitLocker προσφέροντας τα πλεονεκτήματα της κρυπτογράφησης ακόμη και σε αυτή την παραμετροποίηση.

Όλη η υποδομή κρυπτογράφησης είναι μπορεί φυσικά να παραμετροποιηθεί και με το Group Policy.  Για τους κατόχους MDOP υπάρχει και το  Microsoft BitLocker Administration 2.0 Beta με το οποίο μπορούν να διαχειριστούν το BitLocker σε εταιρικό περιβάλλον.

Περισσότερες πληροφορίες μπορείτε να βρείτε στους παρακάτω συνδέσμους:

What's New in BitLocker

BitLocker Frequently Asked Questions (FAQ)

Understand and Troubleshoot BitLocker

Microsoft BitLocker Administration 2.0 Beta (Microsoft Connect)