BitLocker to narzędzie zabezpieczające, które umożliwia nam szyfrowanie partycji dyskowych z danymi, partycji dyskowych, na których zainstalowany jest system operacyjny, a nawet całego dysku twardego lub SSD, w celu ochrony wszystkich danych za pomocą solidnego szyfrowania opartego na AES. W zależności od wykonanej przez nas zaawansowanej konfiguracji możemy skonfigurować AES-128 lub AES-256, aby chronić wszystkie informacje. Dzisiaj w tym artykule pokażemy, jak aktywować i skonfigurować funkcję BitLocker za pomocą wiersza poleceń, korzystając z popularnego wiersza poleceń lub CMD w Windows.
Co to jest funkcja BitLocker i co nam zapewnia?
BitLocker to Microsoft program zabezpieczający, który zapewnia ochronę dysków twardych lub SSD za pomocą szyfrowania danych, ta technologia jest domyślnie dostępna w wersjach systemu Windows Vista i nowszych, dlatego najnowsza wersja systemu Windows 10 zawiera również tę funkcję jako ważną. W przypadku serwerowych systemów operacyjnych firmy Microsoft w systemie Windows Server 2008 i nowszych domyślnie zainstalowano funkcję BitLocker.
Dzięki tej technologii Microsoft możemy szyfrować dane na wewnętrznych lub zewnętrznych dyskach twardych, a także pendrive'ach, a wszystko to za pomocą bezpiecznego algorytmu szyfrowania symetrycznego, takiego jak AES, w różnych jego wersjach, które można skonfigurować przez wewnętrzny system operacyjny opcje. W tym artykule wyjaśniliśmy wcześniej wszystko na temat funkcji BitLocker, ponieważ nauczyliśmy go aktywować i szczegółowo konfigurować za pomocą graficznego interfejsu użytkownika.
Istnieje kilka sposobów włączenia funkcji BitLocker na dysku:
- Panel sterowania
- Centrum Aktywności
- Przeglądarka plików
- Wiersz poleceń z wierszem poleceń
- PowerShell
Dzisiaj pokażemy, jak aktywować i skonfigurować go za pomocą wiersza poleceń za pomocą wiersza poleceń lub CMD w systemach operacyjnych Windows.
Wejdź do konsoli poleceń systemu Windows
Tym razem zobaczymy, jak aktywować funkcję BitLocker z wiersza poleceń, do tego użyjemy polecenia Manage-bde; Aby wykonać to polecenie, potrzebujemy uprawnień administratora, więc musimy wprowadzić wiersz poleceń z uprawnieniami administratora, w tym celu w systemie Windows 10 klikamy ikonę lupy na pasku zadań i wpisujemy CMD.
Na górze widzimy znalezioną aplikację «Wiersz polecenia», po kliknięciu prawym przyciskiem myszy pojawia się menu kontekstowe, w którym wybierzemy opcję „Uruchom jako administrator”. Wybierając tę opcję, prosi nas o potwierdzenie, że chcemy uruchomić konsolę poleceń systemu operacyjnego z uprawnieniami administratora.
Klikamy przycisk „Tak” i otwiera się okno konsoli poleceń Microsoft Windows.
Gdy już tu jesteśmy, możemy rozpocząć wykonywanie różnych poleceń, aby aktywować, dezaktywować i szczegółowo skonfigurować funkcję BitLocker.
Wszystkie polecenia do zarządzania funkcją BitLocker
W tym samouczku poznasz wszystkie polecenia, których musisz użyć, aby wykonać różne akcje z funkcją BitLocker, takie jak np. aktywacja go w naszym systemie operacyjnym, weryfikacja stanu użycia funkcji BitLocker, możemy również skonfigurować go do szyfrowania dysku lub partycji, a także pamięci flash. Podstawowym poleceniem do wykonania wszystkich tych zadań jest „zarządzaj-bde” i będziemy go używać w tym samouczku.
Następnie masz wszystkie szczegóły, aby w pełni wykorzystać technologię BitLocker w celu ochrony wszystkich danych zawartych na różnych dyskach.
Włącz funkcję BitLocker z wiersza polecenia lub CMD
Manage-bde to narzędzie wiersza poleceń, które pozwala nam włączyć szyfrowanie BitLocker przy rozruchu wewnętrznym, danych wewnętrznych i dyskach zewnętrznych, w tym dyskach flash USB. Manage-bde ma jeszcze więcej parametrów niż te wyświetlane przez narzędzie BitLocker uruchamiane z panelu sterowania.
manage-bde /?
Pokazuje nam listę wszystkich parametrów, których możemy użyć.
manage-bde -status
Pokazuje nam sytuację szyfrowania wszystkich dysków podłączonych do systemu.
manage-bde -status F:
Pokazuje nam sytuację szyfrowania dysku podłączonego do dysku F.
Aby aktywować szyfrowanie dysku za pomocą funkcji BitLocker, konieczne jest zapewnienie „ochrony” szyfrowania, które mogą być kilku typów:
- Hasło odblokowujące (z minimalnymi wymaganiami bezpieczeństwa: długość 8 znaków, wielkie i małe litery, cyfry i znaki specjalne).
- Klucz odzyskiwania.
- Hasło odzyskiwania.
- Certyfikat podpisu cyfrowego.
Przynajmniej będziesz musiał zapewnić ochronę hasła odblokowania i klucz odzyskiwania, jak widzieliśmy podczas korzystania z funkcji BitLocker z Panelu sterowania, Centrum akcji lub File Explorer.
Z wiersza poleceń możemy to zrobić na dwa sposoby:
1 opcja
Podanie hasła odblokowującego i klucza odzyskiwania w poleceniu „Zarządzaj-bde –on -pw -rk ”.
manage-bde -on f: -pw -rk g:
Powyższe polecenie prosi nas o hasło odblokowujące i generuje klucz odzyskiwania na dysku „G:”, a następnie rozpoczyna szyfrowanie dysku „F:”. Dysk, na którym jest przechowywany klucz odzyskiwania, nie może być dyskiem zaszyfrowanym funkcją BitLocker.
We wskazanej lokalizacji zapisuje nam plik .BEK z kluczem odzyskiwania i pokazuje nam na ekranie informacje o dodanych zabezpieczeniach: klucz odzyskiwania i hasło. W nazwie pliku pojawia się identyfikator, który funkcja BitLocker poprosi nas o użycie klucza odzyskiwania odpowiadającego określonemu zaszyfrowanemu dyskowi.
2 opcja
Drugą opcją jest podanie hasła odblokowania i klucza odzyskiwania najpierw w poleceniu „Zarządzaj-bde –ochraniacze –dodaj -pw -rk ” i włączenie funkcji BitLocker na wspomnianej jednostce dyskowej za pomocą polecenia «Zarządzaj-bde –on »
manage-bde f: -protectors -add -pw -rk g:
Powyższe polecenie prosi nas o wprowadzenie i potwierdzenie hasła odblokowującego dla dysku „F:”, a następnie generuje klucz odzyskiwania i zapisuje go pod określoną ścieżką, dysk „G:”. Następnie aktywujemy funkcję BitLocker na dysku «F:», wykonując polecenie:
manage-bde –on f:
System informuje nas, że rozpoczęło się szyfrowanie dysku F:
A okno dialogowe pokazuje nam postęp procesu szyfrowania.
Możemy uruchomić polecenie „fvenotify.exe ”, aby wyświetlić powyższe okno dialogowe na wypadek, gdyby się nie pojawiło. Poniższy obrazek pokazuje wynik uruchomienia polecenia „manage-bde –status f:”.
Gdy nauczyliśmy się, jak to włączyć, teraz podejmiemy inne niezbędne działania, aby poprawnie zarządzać funkcją BitLocker.
Dodaj ochronę hasła odzyskiwania
Opcjonalnie do zaszyfrowanego dysku możemy dodać numeryczne hasło odzyskiwania, które podobnie jak klucz odzyskiwania, pozwala nam odblokować zaszyfrowany dysk w przypadku zgubienia hasła odblokowującego. W tym celu użyjemy parametru –rp, w jednej z dwóch jego opcji:
manage-bde -on f: -pw -rk g: -rp
Inne możliwości
manage-bde f: -protectors -add -pw -rk g: -rp manage-bde -on f:
Na poniższym obrazku widzimy, jak dodać hasło odzyskiwania do już zaszyfrowanego dysku.
Pokazywanie metod ochrony zaszyfrowanego dysku
Z konsoli poleceń wykonujemy następujące zdanie:
manage-bde f: -protectors –get
Blokowanie, odblokowywanie i automatyczne odblokowywanie zaszyfrowanego dysku
W poprzednich poleceniach widzieliśmy, jak aktywować funkcję BitLocker na dysku, domyślnie zaszyfrowany dysk jest odblokowany i możemy z niego korzystać bezpośrednio. W przypadku wysunięcia dysku, po ponownym podłączeniu go do dowolnego komputera, wskaże, że dysk jest zaszyfrowany i poprosi nas o wpisanie klucza odblokowującego. Poniższe polecenia pozwalają nam obsłużyć blokadę dysku szyfrującego.
To polecenie blokuje odblokowany dysk, jeśli jest już zablokowany, nic nie robi.
manage-bde –lock f:
Następujące polecenie odblokowuje zablokowany dysk przy użyciu hasła odblokowania. Prosi nas o napisanie klucza odblokowującego.
manage-bde –unlock f: -pw
Następujące polecenie odblokowuje zablokowany dysk za pomocą klucza odzyskiwania znajdującego się we wskazanej ścieżce, konieczne jest wskazanie nazwy pliku zawierającego klucz odzyskiwania, ponieważ możemy mieć różne klucze odzyskiwania dla różnych zaszyfrowanych dysków.
manage-bde -unlock f: -rk g:6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK
Poniższe polecenie odblokowuje zablokowany dysk przy użyciu hasła odzyskiwania, które wygenerowaliśmy za pomocą parametru –rp.
manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790
Opcja –autounlock umożliwia włączenie lub wyłączenie automatycznego blokowania zaszyfrowanego dysku, gdy jest on podłączony do komputera. Aby umożliwić automatyczne odblokowanie, konieczne jest wcześniejsze odblokowanie dysku jedną z trzech poprzednich metod.
Aby włączyć automatyczne odblokowanie, piszemy następującą komendę:
manage-bde -autounlock -enable f:
To polecenie tworzy skojarzony klucz obcy na tym dysku, aby umożliwić automatyczne odblokowanie podczas podłączania dysku do komputera. Aby wyłączyć automatyczne odblokowywanie dysku, piszemy polecenie:
manage-bde -autounlock -disable f:
Konieczne jest usunięcie powiązanego klucza obcego wskazanego przez system operacyjny, aby można było całkowicie wyłączyć automatyczne odblokowanie za pomocą następującego polecenia:
manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}
Polecenie jest nam wskazywane przez sam system operacyjny.
Dodawanie certyfikatu podpisu cyfrowego jako obrońcy
Za pomocą tego protektora możemy wykonać szyfrowanie dysku tak zabezpieczonego za pomocą klucza publicznego certyfikatu podpisu cyfrowego. Do tego musimy posiadać certyfikat cyfrowy lub podpis elektroniczny. Z tego certyfikatu będziemy potrzebować ścieżki, w której znajduje się klucz publiczny (plik z rozszerzeniem .cer).
W poniższym wierszu widzimy przykład, jak dodać ochronę certyfikatu cyfrowego do dysku „F:” i jak wskazujemy ścieżkę, w której znajduje się plik zawierający klucz publiczny.
manage-bde -protectors -add f: -certificate -cf "g:certcp.cer"
Podobnie jak w poprzednich przykładach, po dodaniu zabezpieczenia do dysku przystępujemy do aktywacji funkcji BitLocker na wspomnianym dysku:
manage-bde –on f:
Wyłącz funkcję BitLocker na dysku
Aby wyłączyć funkcję BitLocker na dysku, czyli odszyfrować dysk, konieczne jest odblokowanie jednostki, a następnie wykonujemy następujące polecenie z konsoli poleceń systemu operacyjnego
manage-bde –off f:
W tej chwili będziemy mieli wyłączoną funkcję BitLocker na tym dysku, polecenie jest bardzo łatwe do zapamiętania, więc zawsze możemy je uruchomić bez konieczności przeglądania dokumentacji.
Włącz funkcję BitLocker na dysku startowym
Jak widzieliśmy w artykule ” Ochrona danych na naszych dyskach za pomocą funkcji BitLocker w systemie Windows 10 „, szyfrowanie dysku rozruchowego ma pewne cechy; w tym przypadku skupimy się na przypadku, w którym nasz komputer potrzebuje pamięci flash USB, w której można przechowywać klucz do odblokowania dysku zawierającego system operacyjny podczas uruchamiania.
Najpierw musisz wygenerować klucz startowy „-startupkey” za pomocą opcji „-protector –add” polecenia manage-bde.
Następujące polecenie dodaje ochronę typu –startupkey dla dysku „E:” i zapisuje go w pliku w folderze głównym dysku „F:”.
manage-bde e: -protectors –add –sk f:
Po drugie, plik z wygenerowanym kluczem rozruchowym należy skopiować do pamięci flash USB, która zostanie użyta do odblokowania dysku zawierającego system operacyjny komputera podczas uruchamiania.
Po trzecie, aktywujemy funkcję BitLocker na dysku rozruchowym i po ponownym uruchomieniu rozpocznie się szyfrowanie, ważne jest, aby podczas całego procesu i do zakończenia szyfrowania nie usuwać pamięci flash USB zawierającej klucz rozruchowy.
manage-bde -on C:
Jak widać, tę technologię zabezpieczeń możemy aktywować i dezaktywować za pomocą wiersza poleceń, co jest idealne do wykonywania wszystkich działań za pośrednictwem CMD bez korzystania z graficznego interfejsu użytkownika systemu Windows. Mamy nadzieję, że dzięki temu samouczkowi udało Ci się szczegółowo dowiedzieć, w jaki sposób funkcja BitLocker służy do ochrony danych na dyskach twardych, dyskach SSD, a także zewnętrznych dyskach USB.