BITLOCKER DATA RECOVERY AGENT
Bu makalemde sizlere bitlocker sürücü şifreleme uygulamasında Data Recovery Agent’ın nasıl yapılandırılacağını anlatacağım.
Data Recovery Agent uygulayacağımız bilgisayarda iki adet sertifikaya ihtiyaç duyarız. Bunlardan ilki üzerinde public key’in bulunduğu .cer uzantılı sertifika, diğeri ise üzerinde hem public key hem de private key’in bulunduğu .pfx uzantılı sertifikadır. Bu sertifikaları oluşturabilmek için Administrator hesabı ile logon oluruz. Çünkü Recovery yapmasını istediğimiz hesap yönetici hesabıdır.
Bu iki sertifikayı oluşturmak için sırasıyla aşağıdaki komutları uygulayalım.
· Çalıştır’a cmd yazarak komut satırına ulaşıyoruz.
· Komut satırında hangi dizin gösteriliyorsa sertifikalar o dizin içinde oluşturulacaktır. Standart olarak kendi user klasörüm aktif. (Administrator)
· Komut satırına cipher /R:abc yazıyoruz.
Bu komut sayesinde kendi user dizinimde abc.cer ve abc.pfx uzantılı iki adet sertifika oluşuyor. Sertifikalar oluşturulurken şifre isteyecektir, 123 gibi standart bir şifre yazabilirsiniz. Yukarıdaki screenshot'da kendi oluşturduğum sertifikalar gözükmektedir.
Bu sertifikaları bilgisayarımıza yüklemek gerekmektedir. Sertifikaların yükleneceği yer önemlidir. Konumuz Bitlocker Data Recovery Agent olduğu için Group Policyde ilgili alana gitmemiz gerekmektedir. Group Polic’ye ulaşabilmek için;
· Çalıştır’a gpedit.msc yazıyoruz
· Computer Configuration / Windows Settings / Security Settings / Public Key Policies / BitLocker Driver Encryption snap-in sırasını takip ediyoruz.
· Burada sağ tuş yapıp Add Data Recovery Agent'ı seciyoruz ve karşımıza bir wizard geliyor.
İlk ekranda Next diyoruz. Burada bizden .cer uzantılı sertifikayı istiyor. Administrator kullanıcısının kendi user klasörüne çıkarttığımız abc.cer uzantılı sertifikayı browse yaparak gösteriyoruz. Çıkan soruya Yes dediktan tekrar Next deyip Finishe tıklıyoruz. Bu işlemlerden sonra BitLocker Driver Encryption bölümünde Administrator’e ait sertifika gözükmelidir.
Sıra geldi .pfx uzantılı sertifikamızı yüklemeye. Bu sertifikayı üzerine çift tıklayarak ve şifremizi girerek import ediyoruz. Sertifikamız Concole Root’daki Certificates – Current Users / Certificates kısmında olmalıdır. Ekran görüntüsü aşağıdaki gibidir.
|
|
Sertifika sorunumuz kalmadı. Bir sonraki aşamamız ise BitLocker’in DRA izinleriyle ilgilidir. Bu kısım önemlidir. Group Policy’den çıktıysak;
Çalıştır’a gpedit.msc yazıyoruz.
Computer Configuration / Administrative Templates /Windows Components / BitLocker Driver Encryption bölümünden Provide the unique identifiers for your organization kısmına çift tıklıyoruz. Ayarımızı Enable yaptıktan sonra BitLocker Identification Field kısmına kendi kimliğimizi yazıyoruz. Ben Administrator yazdım. Apply ve adından Ok tıklıyoruz. Aşağıda resmini gösterdim.
|
|
Bu sefer sol taraftaki bölümden Fixed Data Driver buradan da Choose how BitLcoker-prodected fixed driver can be recoverd’e çift tıklıyoruz. Buradaki bütün seçenekleri Enable yapıyoruz ve önce Apply sonra Ok diyoruz.
|
|
Burda parantez açmak istiyorum. BitLocker, bilgisayara bağlı ikincil harddiski, işletim sisteminin yüklü olduğu diski ve çıkarılabilir harici diskleri şifreleme becerisine sahiptir. Burada adı geçen Fixed Data Driver işletim sistemi yüklü olmayan diski temsil etmektedir. Zaten biz de bilgisayarımızdaki ikincil diski şifrelemiştik ve sadece bu bölüme DRA uygulamak istiyoruz. Bu nedenle bu bölümün seçeneklerine girdik. Operating System Drives ise işletim sisteminin yüklü olduğu diskin şifrelendiği durumlardaki ayarları kapsar. Removable Data Drivers ise çıkarılabilir sürücülerin şifrelendiği durumlardaki ayarları kapsar. Bu bilgiler önemlidir.
Bu işlemleri yaptıktan sonra Bitlcoker Data Recovery Agent yapılandırmasını tamamlamış olduk. Group Policy ayarlarımızın geçerli olabilmesi için komut satırına;
Gpupdate / force komutunu yazıyoruz. Başarıyla güncellendi iletisini gördükten sonra bilgisayarımızın DRA yapılandırması tamamlanmıştır.
Burada önemli bir parantez daha açmak istiyorum. Administrator’ün daha önceden kilitlenmiş olan bir sürücüyü kendi thumbprinti ile açabilmesi için, sürücü şifrelenmeden önce DRA’yı yapılandırmış olması gerekmektedir. Yani diyelim ki bilgisayarda data recovery agent uygulaması yapılmamış olsun. Herhangi bir user kullanıcısı da bitlocker ile sürücü şifreleme yapmış olsun. Admin kullanıcısı bu saatten sonra data recovery agent yapsa bile sürücünün şifresini açamaz. Çünkü bitlocker sürücüyü şifrelerken data recovery agent yapılmamış olarak şifreler ve o sürücü için thumbprint alanı oluşturmaz, sürücüyü açabilecek olan sertifika bilgilerini kodlamaz. Bu nokta önemlidir.
Sistemi test edebilmek için Beykoz isimli bir user oluşturdum. Bu user ile E sürücüsünü şifreledim. Kendi sürücüm 7 GB boyutunda olduğu için ortalama 5dk içinde şifreleme işlemi tamamlandı.
|
|
Sürücüyü kilitleyebilmek için manage-bde komutunun kullanılması gerekmektedir. Manage-bde, ms-dos komut satırından BitLocker’ı yapılandırırken kullandığımız bir komuttur. Bu komutun kullanabilmek için Admin yetkisine sahip olmak gereklidir. Bu nedenle sürücüyü Admin ile oturum açıp kilitleyeceğim.
Admin ile oturum açtıktan sonra komut satırına;
Manage-bde –lock e:
yazıyoruz. Volume E: is now locked iletisiyle sürücünün şifrelendiğini görüyorum.
DATA RECOVERY AGENT’IN ÖNEMİ
Artık bu işlemlerden sonra sürücü kilidini açmak için BitLocker ile sürücüyü şifrelemeye başlarken kullandığım password’umu hatırlamak zorundayım. Bu passworde aynı zamanda PIN denilmektedir.
1. Bu passwordu hatırlayamıyorsam ne olacak?
2. BitLocker’in oluşturduğu key (.txt) dosyasını kaybettiysem ne olacak?
3. Yönetimimdeki bilgisayar kullanıcıları kendi sürücülerini şifrelerlerse ne olacak?
İşte bu durumda imdadımıza DRA yetişecek. Öncelikle mevcut DRA yapılandırmam olmuş mu olmamış mı bir kontrol edelim. Komut satırına şu komutu yazıyoruz:
Manag-bde –status e:
Böyle bir ekranla karşılaşıyoruz. Bu erkanda en altta Data Recovery Agent
Şimdi bir de bu sertifikanın thumbprint’ini görelim. Neden thumbprint’ini görmek istiyoruz? Çünkü PIN’ı unuttum J Parmak izi kullanarak sürücüyü açacağız. Komut satırına :
Manage-bde –protectors –get e:
En altta bu sürücüyü açabileceğim parmak izini görebiliyorum. Unutmayalım ki bu parmak izini sadece Administrator kullanabilir ve görebilir.
Hemen bu thumbprint’i hafızaya kopyalalıyoruz. Önce başlık çubuğunun sol’una tıklayıp Edit / Mark yapıyoruz.
Parmak izini seçiyoruz. (Aşağıdaki resimde)
Daha sonra tekrar Başlık çubuğu / Edit / Copy komutunu uyguluyoruz. (Aşağıdaki resimde)
Artık sürücüyü açacak olan komutu yazmanın vakti geldi.
Manage-bde –unlock e: –cert –ct thumbprint
Önemli olan nokta thumbprint yazan yere hafızada tuttuğumuz parmak izini yapımıştırmaktır. Bunun sonucunda da aşağıdaki resimde görüldüğü gibi sürücü kilidini açabildikJ
Kullandığımız parametreleri açıklayacak olursak;
Önce komutun orijinal halini tekrar yazalım.
manage-bde -unlock e: -cert –ct 6c762c23051848b06e8d615ebab8ae190ab429a2
-unlock : Adından da anlaşılacağı için kilidi aç parametresi.
E : : E sürücümüzü temsil etmekte.
-cert : Sertifika kullanarak kilidi açacağımızı söylüyoruz. DRA yaptığımız için –cert dedik. Eğer PIN kullanarak açmak isteseydik o zaman –rp diyecektik. Key dosyamız ile açmak isteseydik–rk parametrelerini kullanacaktık.
-ct : (Certifika ThumbPrint) Sertifikamızın tumbprint’ini kullanabilmek için bu parametreyi yazıyoruz. Eğer sertifikamızı export ettikten sonra silmediysek ve bir yere kayıt ettiysek thumbprint yazmadan –cf (Certifika File) parametresiyle sertifikamızın yolunu göstererek de sürücümüzü unlock edebilirdik.
Bir sonraki makalede görüşmek üzere.
Samet KOCAOLUK