جلوگیری از افشای اطلاعات با استفاده از قابلیت BitLocker-to-go -(قسمت 2)

تنظیمات پیش فرض در ویندوز 7 به کاربران اجازه می‌دهد تا تصمیم بگیرند که چه موقع می‌خواهند اطلاعات روی دستگاه قابل حمل را رمزگذاری نمایند.

در این مقاله توضیح می‌دهیم که چگونه می‌توان با استفاده از تنظیمات سیاست گروهی، BitLocker را اعمال کرد.

مقدمه

در بخش اول از این سری مقالات، نشان دادیم که چگونه می‌توانید به صورت دستی با استفاده از BitLocker محتوی یک درایو فلش USB را رمزگذاری کنید.

اگرچه روشی که در مقاله قبل ارائه شد به خوبی عمل می‌کند اما دارای محدودیت‌هایی نیز است.

به عنوان مثال تصور کنید که شرکت شما اطلاعات بسیار حساسی را در یک فایل نگهداری می‌کند. در حالت ایده آل، احتمالا دوست دارید تا از بیرون رفتن آن اطلاعات از شرکت جلوگیری نمایید. از طرفی ممکن است کارمندانی داشته باشید که برای انجام کارهایشان نیاز به مراجعه به آن فایل را داشته باشند، حتی زمانی که به شبکه متصل نیستند.

هنگامی‌که یک کارمند یک درایو USB حاوی اطلاعات شخصی درباره تمامی مشتریان سازمان را در اختیار داشته و احتمال گم شدن آن نیز وجود دارد، رمزگذاری یک ضرورت می‌شود. قطعا BitLocker to Go می‌تواند نوعی از رمزگذاری را ارائه دهد که بدان نیاز دارید اما روش رمزگذاری که در بخش اول از این سری ارائه شد، نیازمند آن است که کاربران به صورت دستی درایوهای فلش USB خودشان را رمزگذاری کنند.

بدیهی است نمی‌توانیم تنها رمزگذاری را به عهده کاربران بگذاریم و برای انجام این کار به آن‌ها اعتماد نماییم. خوشبختانه ویندوز 7 و ویندوز سرور 2008 نسخه 2 شامل تنظیمات سیاست گروهی هستند که می‌توانید برای کنترل زمان و موقعیت رمزگذاری BitLocker، از این تنظیمات استفاده نمایید.

ویرایشگر شی سیاست گروهی حاوی چند تنظیم مختلف سیاست گروهی مربوط به رمزگذاری BitLocker است، اما یک فولدر کامل حاوی تنظیمات مربوط به رمزگذاری BitLocker  برای رسانه قابل حمل وجود دارد.

می توانید از مسیر:

Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Removable Data Drives

به این فولدر دسترسی داشته باشید.

کنترل استفاده از BitLocker روی درایوهای قابل حمل

اولین تنظیم سیاست گروهی که توضیح داده می‌شود، کنترل استفاده از BitLocker روی تنظیمات درایوهای قابل حمل است.

همان‌طور که از نام آن پیداست، این تنظیم به شما اجازه می‌دهد تا کنترل نمایید که کاربران، مجاز به رمزگذاری رسانه قابل حمل بوسیله BitLocker هستند یا مجاز نیستند.

در ساده ترین بیان، غیرفعال نمودن این تنظیم به کاربران اجازه رمزگذاری رسانه قابل حمل را نمی‌دهد، در حالی‌که اگر هیچ تنظیمی صورت نگیرد، به کاربران این اجازه را می‌دهد تا رسانه قابل حمل خود را رمزگذاری نمایند. 

با فعال نمودن این تنظیم سیاست گروهی، دو گزینه برای تنظیم وجود دارد. اولین گزینه اجازه می‌دهد تا انتخاب نمایید آیا به کاربران این اجازه را می‌دهید تا حفاظت BitLocker را بر روی درایوهای داده قابل حمل فعال نمایند یا این اجازه را نمی‌دهید.

بدیهی است این گزینه کمی غیر ضروری است اما مایکروسافت به آن دلیل این گزینه را لحاظ کرده است تا بتوانید تنظیمات دلخواه را اعمال نمایید. تنظیم بعدی که به طور مستقل در موردش صحبت خواهیم کرد زمانی است که تنظیم سیاست گروهی فعال باشد.

دومین تنظیم به کاربران اجازه می‌دهد تا رمزگذاری را متوقف نمایند و حفاظت BitLocker را روی درایوهای داده قابل حمل رمزگشایی نمایند.

به بیان دیگر، شما می‌توانید مشخص کنید که آیا کاربران اجازه دارند تا BitLocker را برای دستگاه ذخیره قابل حمل غیرفعال نمایند یا اجازه ندارند.

پیکربندی استفاده از کارت‌های هوشمند روی درایوهای قابل حمل    

این تنظیم سیاست گروهی اجازه می‌دهد تا کنترل کنید که آیا کارت‌های هوشمند می‌توانند به عنوان یک مکانیسم برای احرازهویت کاربران برای دسترسی به محتوی رمزشده BitLocker استفاده شوند یا نه. اگر تصمیم داشتید تا این تنظیم سیاست گروهی را فعال نمایید، در نتیجه یک زیر گزینه وجود دارد که می‌توانید برای درخواست استفاده از کارت هوشمند این گزینه را فعال نمایید. اگر این گزینه را انتخاب کنید، کاربران قادر خواهند بود تنها با استفاده از کارت هوشمند مبتنی بر احرازهویت به محتوی رمز شده BitLocker دسترسی داشته باشند.

منع حق نوشتن روی درایوهای قابل حمل توسط BitLocker

منع حق نوشتن روی درایوهای قابل حمل در تنظیمات BitLocker یکی از مهم‌ترین تنظیمات سیاست گروهی در رابطه با رمزگذاری رسانه قابل حمل است.

هنگامی‌که این تنظیم را فعال می‌کنید، ویندوز هر دستگاه ذخیره قابل حملی که به سیستم وارد می‌شود را بررسی می‌کند که آیا رمزگذاری BitLocker بر روی آن فعال است یا نه.

اگر BitLocker روی آن درایو غیرفعال باشد، در نتیجه آن درایو تنها قابلیت خواندن دارد. کاربران زمانی بر روی دستگاه ذخیره قابل حمل حق نوشتن دارند که BitLocker روی این درایو فعال باشد. با این روش می‌توانید مانع نوشتن اطلاعات روی رسانه قابل حمل غیر رمز شده شوید.

روش‌های بالا برخی از حالت‌های حفاظتی را در اختیار شما قرار می‌دهد اما هنوز برای کاربر این امکان وجود دارد تا بتواند BitLocker را روی یک کامپیوتر خانگی فعال سازد، یک درایو فلش USB را رمزگذاری نماید و سپس درایو رمز شده را به شرکت بیاورد و روی آن اطلاعات را بنویسد.

فعال کردن گزینه ای با عنوان به دستگاه‌هایی که در سازمان دیگری حق نوشتن به آن‌ها داده شده است اجازه نوشتن نده، به ویندوز این امکان را می‌دهد تا به مکانی که دستگاه ذخیره قابل حمل در آن‌جا رمز شده است، نگاهی بیاندازد. اگر دستگاه توسط سازمان دیگری رمزگذاری شده باشد در نتیجه BitLocker حق نوشتن آن دستگاه را نمی پذیرد.

پیکربندی استفاده از رمزهای عبور برای درایوهای داده قابل حمل

این تنظیم یکی از بدیهی‌ترین تنظیمات است. به شما اجازه می‌دهد تا کنترل نمایید آیا می‌خواهید برای رمزگشایی محتویات درایوهای قابل حمل از رمز عبور استفاده نمایید. فرض کنید که می‌خواهید حفاظت رمز عبور برای درایوهای قابل حمل را اعمال نمایید، گزینه ای وجود دارد که می توان شرائط طول رمز عبور و پیچیدگی آن را تنظیم نمود.

نتیجه

یکی از مشکلاتی که در رابطه با داده‌های رمزگذاری وجود دارد، گم شدن کلیدهای رمزگذاری است، در نتیجه داده‌ها رمزگشایی نمی‌شوند. در قسمت سوم تکنیکی را نشان می‌دهیم که به کمک آن می‌توانید با این مشکل مقابله نمایید.

مطالب مرتبط:

جلوگیری از افشای اطلاعات با استفاده از قابلیت BitLocker-to-go -(قسمت 1)

فسا-پسا