சுபாஷ் பக்கங்கள்

புதிய ஆரம்பம்

Posts Tagged ‘BitLocker’

Windows Server 2008 – BitLocker மறைக்குறியீடாக்கம்

Posted by சுபாஷ் மேல் ஒக்ரோபர் 25, 2008

BitLocker Drive Encryption எனும் அம்சமானது ஒரு Drive ஐயே முழுவதுமாக encrypt பண்ண வசதியளிக்கிறது. இது விண்டோசுடனேயே வரும் ஒரு உள்ளிணைந்த வசதியாகும். ஆரம்பத்தில் விண்டோஸ் விஸ்டா Ultimate and Enterprise பதிப்புகளில் மட்டும் வந்த இந்த வசதி இப்போது சர்வர் 2008இன் எல்லா பதிப்புகளிலும் வருகிறது.

Windows Server 2008 இன் எந்தப்பதிப்பில் எம்மாதிரியாக வன்பொருள் ஒத்திசைவுள்ளதென்பதை பொறுத்து BitLocker இன் தொழிற்பாடுகளின் எண்ணிக்கை இருக்கும். ( Number of Functions )

அடிப்படையில் BitLocker ஆனது முழு வன்தட்டையுமே என்கிரிப்ட் செய்துவிடுவதனால் உங்கள் கணனியிலிருக்கும் வன்தட்டை பிற கணனியில் இணைத்தோ அல்லது வன்தட்டு நகலெடுக்கும் சாதனங்கள் மூலமாகவோ அணுகமுடியாது.

இதேபோன்று சந்தையில் பல மென்பொருட்கள் இருக்கின்றபோது இதனில் மட்டும் அப்படியென்ன புதுமையை மைக்ரோசாப்ட் செய்திருக்கிறதென பார்த்தால், இந்த மென்பொருள் இயங்குதளம் நிறுவப்பட்டுள்ள வன்தட்டையும் என்கிரிப்ட் செய்யப்பட்டதாகவே வைத்திருக்கிறது. மற்றய எந்த மென்பொருட்களிலும் இயங்குதளம் நிறுவப்பட்ட வன்தட்டு பாகத்தை என்கிரிப்ட் செய்ய முடியாது. என்கிரிப்ட் செய்யப்பட்ட வன்தட்டு பாகத்தில் இயங்குதளத்தை நிறுவவும் முடியாது. ஆனால் விண்டோஸ் சர்வர் 2008 உடன் உள்ளிணைந்த வசதியாகவரும் BitLocker  மூலமாக இவையனைத்தும் சாத்தியமாகிறது.

மேலும், BitLocker இனை நிறுவி இயக்க முற்படும்போது என்கிரிப்ட் பண்ண மிக மிக முக்கியமான கீயை (Encrypt Key ) USB Drive ஒன்றில் சேமித்துவிடுகிறது. ஒவ்வொரு தடவை விண்டோஸ் பூட் ஆகும்போதும் அந்த USB Drive இனை கணனியில் இணைக்கவேண்டும். இது பாஸ்வேர்ட் முறையைவிட பாதுகாப்பு அதிகமானது. ( லாகின் கடவுச்சொற்களை மாற்றும் அல்லது செயலிழக்கச்செய்யும் மென்பொருட்கள் நிறைய இணையத்தில் கிடைப்பதனால் இந்த முறை மிகவும் பாதுகாப்பானதாகும். )

BitLocker  ற்கு தேவையானவை

–          குறைந்த்து 1.5Gb வன்தட்டில் இடம்

–          கணனி BIOS ஆனது கணனியை ரீபூட் செய்யும்போது RAM நினைவகத்திலுள்ள தகவல்களனைத்தையும் முற்றுமுழுதாக நீக்கக்கூடியதாகவிருக்கவேண்டும்.

BitLocker இன் முழுமையான பயன்பாடுகளை பெற மேலதிகமாக தேவைப்படுபவை –

–          கணனி BIOS ஆனது Trusted Platform Module (TPM) எனும் தரமுறையை ஏற்பதாக இருக்க வேண்டும்.

–          Trusted Computing Group BIOS

–          (http://en.wikipedia.org/wiki/Trusted_Platform_Module)

BitLocker இனை செயற்படுத்துதல்

Start மெனுவில் Server manager இனை செயற்படுத்தவும்.

இடப்பக்கத்தில் வரும் சாளரபக்கத்தில் Features என்பதனை தெரிவுசெய்யவும். இப்போது என்னென்ன வசதிகள் உள்ளன. எவற்றையெல்லாம் நிறுவியிருக்கிறோம் என்பதனை காணலாம். தற்போது எந்த வசதியும் நிறுவப்படவில்லையெனில் படத்தில் காட்டியவாறு காணப்படும்.

படம் 1

அடுத்து BitLocker இனை நிறுவுவதற்கு Add New Features என்பதனை சொடுக்கவும். இப்போது கீழே படத்தில் வருவது போன்று New Features Wizard தோன்றும்.

படம் 2

BitLocker Drive Encryption என்பதனை தெரிவுசெய்து Next பட்டனை அழுத்தி தொடரவும். அடுத்து வரும் சாரளங்களினை கடந்து நிறுவுதல் கட்டத்திற்கு வந்து நிறுவுதல் பணியினை தொடரவும்.

இயங்குதள இயக்கம் மற்றும் கணனியின் செயற்றிறன் போன்றவற்றில் இதன் வேகம் தங்கியுள்ளது. என்னவென்ன வேலைகள் நடக்கிறதென Process screen மூலமாக நாம் அறியலாம்.

முழுவதுமாக நிறுவுதல் முடிந்தபின்னர் கணனியை reboot செய்தாக வேண்டும்.

மீண்டும் கணனி செயற்பட்டதும் Add Features Wizard ஆனது நிறுவுதல் மடிந்த்து பற்றிய செய்தியினை அறிவிக்கும். இனி இந்த சாளரத்தை மூடிவிடலாம்.

மறைக்குறியீடாக்கத்திற்காக வன்தட்டு பிரிவினைகளை உருவாக்குதல்
(Creating Partitions for Drive Encryption 🙂 )

BitLocker Drive Encryption ற்கு இரண்டு வன்தட்டு பிரிவினைகள் வேண்டும். ஒன்று கணனியின் Boot கோப்புகளைக்கொண்ட Encrypt செய்யப்படாத பாகம்(system volume). மற்றயது இயங்குதள கோப்புகள் மற்றும் பயனர் கோப்புகள். system volume ற்கு குறைந்தது 1.5 GB யாவது தேவை. இதற்கான இடத்தை மற்றய வன்தட்டு பிரிவினைகளிலிருந்தோ அல்லது முதன்மை பிரிவினையிலிருந்தோ விண்டோஸ் தானாகவே பெற்றுக்கொள்ளும். அல்லது BOOT கோப்புகள் வன்தட்டில் Encrypt செய்யப்படாத பாகம் ஏதோவொன்றில் சேமிக்கப்படும்.

இந்த முறை சற்று கடினமாகவோ அல்லது நம்பிக்கையில்லாமலோ இருக்குமாயின் மைக்ரோசாப்ட் நிறுவன இணையத்தளத்தில் இதற்கென பிரத்தியோகமாயுள்ள BitLocker Driver Preparation Tool எனும் கோப்பை தரவிறக்கி நிறுவலாம். நிறுவியதும் Start->Accessories->System Tools->BitLocker->BitLocker Drive Preparation Tool இலிருந்து இக்கலாம். இந்த மென்பொருளானது graphical Interface மற்றும் Command Line Interface என இரண்டிலும் செயல்படுமாறு வருகிறது.

graphical Interface  இலகுவாக பார்த்த்தும் புரிந்துகொள்ளக்கூடியவாறு இருக்கும். ஆகவே நாம் முந்தய பதிவினில் பார்த்த command-line ல் சற்று விளையாடலாம்.

command-line இனில் உள்ள கட்டளைகளை நிரற்படுத்த -? எனும் குறியீட்டை உபயோகிக்கலாம்.

உதாரணம்-

bdehdcfg -?

ஏற்கனவேயுள்ள வன்தட்டு பிரிவினைகளின் configuration இனை அறிந்துகொள்ள BdeHdCfg.exe இனை -driveinfo எனும் கட்டளையுடன் இணைத்து செயற்படுத்தலாம்.

உதாரணம்-

bdehdcfg -driveinfo

முடிவு-

bdehdcfg -driveinfo
BitLocker Drive Preparation Tool
Copyright (C) 2006-2007 Microsoft Corporation.

Initializing, please wait…

VALID TARGETS  SIZE (MB)     COMMANDS      MAX SHRINK  TARGET DETAILS
————-  ———  ————  ———-  —————–
C:                            16381    shrink                      8140   Vista OS

என வரும்.

விளக்கம்-
-C Drive ற்கு உள்ள ஒரேயொரு கட்டளைத்தெரிவு  “shrink” என்பதே.
-மற்றும் ஆகக்கூடியளவு தெரிவுசெய்யப்படக்கூடிய வன்தட்டு இடம்.
(அதாவது shrink the C: volume and the maximum amount by which it may be shrunk )

அடுத்து இனி, 1.5Gb அளவான unallocated space இனை ‘S:’ எனும் Drive Letter மூலம் குறிக்கும்படியாக கீழ்க்கண்ணவாறு கட்டளை தரவும்.

bdehdcfg -target unallocated -newdriveletter s: -size 1500

அல்லாதுவிடில், ஏற்கனவேயுள்ள drive volume மிலிருந்தும் இந்த பிரிவினையை உருவாக்கலாம். ஆனால் எனது வன்தட்டில் ஒரேயொரு பிரிவினைமாத்திரம் இருப்பதனால் அதை முயன்றுபார்க்க முடியவில்லை. ஆகவே மீண்டும் C: யையே பார்க்கலாம்.

C: Drive இலிருந்துதான் 1.5GB இடம் பெறப்படவேண்டுமென நாம் நினைத்தால் அதற்கான கட்டளையை இப்படி தரவேண்டும்.

bdehdcfg -target c: shrink -newdriveletter s: -size 1500

இப்போது C: Drive யிருந்து 1.5 GB அளவுள்ள S: Partition உருவாக்கப்பட்டுவிடும்.

முடிவு-

bdehdcfg -target c: shrink -newdriveletter s: -size 1500
BitLocker Drive Preparation Tool
Copyright (C) 2006-2007 Microsoft Corporation.

Initializing, please wait…

New active drive S: will be created from 1500 MB of free space on drive C:
Do you want to continue? (Y/N):

Shrinking drive C: – Done.

Creating new active drive S: – Done.

Preparing drive for BitLocker – Done.

You must restart your computer to apply these changes.

Before restarting, save any open files and close all programs.

மிக முக்கியமாக நாம் எந்த வன்தட்டு பிரிவினையை தெரிவுசெய்கிறோமோ அந்த பிரிவினையில் 1.5GB இடம் எடுக்கப்பட்ட பின்னர் கண்டிப்பாக 10% மீதியிடம் இருக்கவேண்டும். அல்லாதுவிடில் இந்த பிரிவினையிலிருந்து இடத்தைப்பெற முடியாது.

இறுதியாக, BOOT கோப்புகள் வேறு ஒரு Drive ல் இருக்குமானால் அந்த Drive ஆனது Active Partition ஆக இருக்கவேண்டும். அபோதுதான் கணனி இயங்கத்துவங்கியதும் தானாக அங்கு சென்று இயங்குதளம் பற்றிய தகவல்களை பெற்று விண்டோசை இயக்கமுடியும்.

அதற்கு – உதாரணமாக D: Drive ல் அக்கோப்புகளை வைத்து செய்வதற்கு –

bdehdcfg -target d: merge

இந்த System Volume உருவாக்கப்பட்டபின்னர் அவை நடைமுறைக்கு வர கண்டிப்பாக restart பண்ணவேண்டும்.

BitLocker Drive Encryption  இனை இயக்க.

system volume உருவாக்கப்பட்ட கணனியும் மீளஇயங்கத்துவங்கியதும் இனி அடுத்தபடியாக BitLocker இனை இயக்கத்திற்கு கொண்டுவரவேண்டும். Start->Control Panel ற்குச்சென்று BitLocker control panel இனை இயக்கவேண்டும். இதன் சாளரம் கீழே படத்தில் காட்டியவாறு இருக்கும்.

படம் 3

உங்கள் கணனி BIOS ஆனது TPM முறைமைக்கு ஆதரவாயிருந்தால் encryption இனை செயற்படுத்த வன்தட்டு பிரிவினைகளின் பட்டியல் இருக்கும். இங்கு ஒரேயொரு வன்தட்டென்பதனால் C: மட்டும் இருக்கும்.

கணனி BIOS ஆனது TPM முறைமைக்கு ஆதரவாயில்லாவிட்டால் கீழே உள்ளவாறு பிழைச்செய்தி காண்பிக்கப்படும்.

A TPM was not found. A TPM is required to turn on BitLocker. If your computer has a TPM, then contact the computer manufacturer for a BitLocker-compatible BIOS.

சிலசமயம் கணனி BIOS இனில் TPM முறைமை ஆனது Disabled ஆகவிருக்கலாம். அப்படியாயின் அதனை Enable செய்யவேண்டும்.

TPM முறைமை இல்லாதுவிடில் அடுத்த முறையை முயற்சிக்கலாம்.

Group Policy இனில் சில மாற்றங்கள்.

BitLocker ற்கான group policy setting குகளை Local Group Policy மூலமாகவோ இல்லது Active Directory Group Policy மூலமாகவோ மாற்றியமைக்கலாம். இந்த policy setting குகள் TPM இல்லாமலேயே BitLocker இனை பயன்படுத்த அனுமதிக்கின்றன. அத்துடன் TPM இருந்தாலும் இந்த policy settingகுகளை நாம் பயன்படுத்தலாம்.

Local Computer Policy க்கான BitLocker policy setting குகளை எப்படி பண்ணலாமென பார்ப்போம். Local Group Policy Editor இனை துவங்க Start menuவில் உள்ள Search text box இனில் gpedit.msc உன தட்டச்சு செய்யவும். Local Group Policy Editor இயங்கத்துவங்கும். அதில் Local Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption எனும் தடத்தில் செல்வதன் மூலமாக BitLocker settings இனை துவக்கவும். வரும் சாளரத்தில் Control Panel Setup: Enable Advanced startup options என்பதனை இரட்டைச்சொடுக்கு செய்வதன் மூலம் கீழேயுள்ள சாளரத்தை பெறலாம்.

படம் 4

TPM இல்லாமல் BitLocker இனை துவங்க Enabled என்பதனை தெரிவுசெய்து அதன் கீழேயுள்ள Allow BitLocker without Compatible TPM என்பதனையும் தெரிவு செய்ய வேண்டும்.

உங்களிடம் TPM முறைமைக்கு ஆதரவிருந்தால் TPM startup keys அல்லது startup PIN இனை உருவாக்குதல் பற்றிய setting குகள் இருக்கும். முக்கியமாக TPM startup keys மற்றும் startup PIN ஆகிய இரண்டும் ஒன்றிற்கொன்று எந்தத்தெடர்பும் அற்றவை.

Encryption உம் Keys  உருவாக்கமும்.

தேவைப்பட்ட சகல தேவைகளை பூர்த்திசெய்துவிட்டால் நாம் encryption செய்ய துவங்கலாம். BitLocker control panel இனை மேலே ஆரம்பத்தில் கூறியவாறு இயக்க வரும் சாளரத்தில் Turn on BitLocker எனும் லிங்க் மீது சொடுக்கவும்.

அப்போது இந்த BitLocker செயற்பாடானது “உங்களின் கணனி இயக்கவேகத்தை பாதிக்கும்” என வரும் ஓர் எச்சரிக்கைச்செய்தி வரும். அதைத்தொடர்ந்து Set BitLocker startup preferences எனும் பக்கத்திற்கு வரும். இங்கு நமது கணனி TPM முறைமைக்கு ஆதரவா இல்லையாவென்பதைப்பற்றிய தகவல் இருக்கும்.

போலி இயங்குதள மென்பொருள் மூலம் ( VM Ware / Virtual PC / Virtual Box ) சர்வர் 2008 இனை நிறுவியிருப்பதனால் எனக்கு TPM முறைமைக்கு ஆதரவில்லை. எனவே TPM முறைமைக்கு ஆதரவில்லாத கணனிக்குரிய படிமுறைகளையே படங்கள் காட்டுகிறது. மற்றும் USB startup key முறையை மட்டும் இங்கு படங்கள் மூலம் செயற்படுத்திக்காட்டுகிறேன்.

TPM முறைமையுள்ள கணனிகளில் எந்த வித்தியாசமும் வராதெனவே தோன்றுகிறது. சில படிமுறைகள் அதில் இல்லாமல் இன்னும் இலகுவாகவிருக்குமெனவே எண்ணுகிறேன்.

படம் 5

USB startup key முறையை தெரிவுசெய்ய அடுத்த பக்கம் வரும். USB memory device இனை செருகச்சொல்லி கேட்டதும் அதை செருகிவிடுங்கள். சாதாரணமாக சந்தையில் 128MB USB Drive கள் மிக மிக மலிவாக கிடைக்கும். Save என்பதனை அழுத்துவதன் மூலம் Key ஆனது USB memory device இனில் சேமிக்கப்பட்டுவிடும். இங்கு நீங்கள் ஆரம்பத்தில் USB memory device இனை எந்த USB Port ல் செருகினீர்களோ தொடர்ந்தும் கணனியை இயக்க அதே Port இனை மட்டும் உபயோகியுங்கள். முக்கியமாக இதற்கு USB Hubகளை உபயோகிக்க வேண்டாம்.

அடுத்து recovery key இனை சேமிக்கும்படி வரும். கண்டிப்பாக இந்த படிமுறை மிக முக்கியமானது.

படம் 6

recovery password இனை நீங்கள் முன்னர் பாவித்த அதே USB Drive இனில் சேமிக்க வேண்டாம். அந்த டிரைவிற்கு ஏதாவதானால்தான் இந்த recovery password. ஆகவே இதனை வேறொரு சேமிப்பகத்தில் சேமித்து வைத்துவிடுங்கள். மற்றும் ஒவ்வொரு தடவை இந்த USB Drive இனை செலுத்தி கணனியை ஆரம்பிக்கும்போதும் கணனியானது USB Drive இலுள்ள Key இனை மாற்றிவிடுகிறது. எனவே கணனியை முறையாக அணைக்கவில்லையாயின் இந்த USB Drive மூலம் மறுபடி Boot செய்ய இயலாது. இதற்காகத்தான் இந்த recovery password. மற்றும் Key உள்ள USB Drive இனை பாதுகாப்பிற்கு BackUp எடுக்கும் எண்ணம் இருந்தாலும் அதுவும் உதவாது காரணம் மேலே கூறியதுதான்.

recovery password இனை சேமித்ததும் இறுதிப்பக்கத்திற்கு செல்லலாம். Run BitLocker system check எனும் செயல் தெரிவு செய்யப்பட்டிருப்பதை உறுதி செய்துகொண்டு Continue என்பதை சொடுக்கி நாம் இவ்வளவு நேரம் பார்த்த BitLocker encryptionஇனை கோலாகலமாக ஆரம்பிக்கலாம். கணனியானது ஒருமுறை ReBoot செய்து தானாகவே இச்செயற்பாட்டை துவங்கும். எவ்வளவு தூரம் வேலை நடந்துகொண்டிருக்கிறதென்பதை வரைபு மூலமாக பார்க்கலாம். எல்லாம் முடிந்து அடுத்த தடவை கணனி செயற்பட ஆரம்பிக்கும்போது USB Drive இனை கேட்கும். ( அல்லது தெரிவு செய்யப்பட்ட வேறு ஏதாவது வரைமுறையை கேட்கும் உதா – PIN )

BitLocker Drive Encryption இனை செயலிழக்கச்செய்தல்.

இதனை தற்காலிகமாகவோ அல்லது நிரந்தரமாகவோ நிறுத்தி வைக்கலாம்.

தற்காலிகமாக நிறுத்தி வைக்க –

Start -> Control Panel -> Security -> BitLocker Drive Encryption ற்குச் சென்று Manage BitLocker Keys என்பதனை சொடுக்கவும். Turn off BitLocker Drive Encryption என்பதை தெரிவு செய்து தொடர்ந்து வரும் படிமுறைகளை செயற்படுத்துவதன் மூலம் செய்யலாம்.

நிரந்தரமாக நிறுத்த-

Decrypt the volume எனும் ஆப்சனை செயற்படுத்தலாம்.

ஆக்கம்- பா.ஆ.சுபாஷ்

——————————————————————-

டிஸ்கிs-

அனைத்து சுட்டிகளும் புதிய சாளரத்தில் திறக்கப்படும்.

தமிழ், தொழில்நுட்ப மற்றும் விடயசம்பந்தமான தவறுகளை உடனே அறியத்தாருங்கள். தரமான முறையில் சரியாக எழுதவும் புதிதாக தெரிந்துகொள்ளவும்  உதவியாகவிருக்கும். நன்றி.

ஊசாத்துணை-

http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

http://technet.microsoft.com/en-us/windows/aa905065.aspx

( Please Check this link )
http://technet2.microsoft.com/WindowsVista/en/library/c61f2a12-8ae6-4957-b031-97b4d762cf311033.mspx?mfr=true

படங்கள்-

==========================================================

இனி வரவிருக்கும் பதிவுகள். ( Draft ல் பாதி தட்டச்சு செய்தவாறு உள்ளவை. மிக விரைவில் முடித்துவிடுவேன் )

– Windows Server 2008 இனில் Remote Desktop Administration

– Windows Server 2008 இனில் GPT மற்றும் MBR வன்தட்டு பொறிமுறைகள் (3 பாகங்கள் 😦 😦  )

– Windows Server 2008 இனில் RAID செயலாக்கம் ( 3 பாகங்கள் 😦 😦  )

– Windows Server 2008 இனில் Terminal Services

இன்னும் Windows Server 2008 ற்காக கிட்டத்தட்ட 30-35 பதிவுகள் வரை வருமென நினைக்கிறேன் ( எனக்குத்தெரிந்த விடயங்களை மட்டும் கணக்கில் எடுத்தால். படிக்க படிக்க எவ்வளவு வருமென தெரியாது ). அத்தனையையும் டைப் செய்வதில் கிழவனானாலும் ஆகலாம் !!!

மற்றும் Wireless Network, Linux பற்றி ஆரம்பத்திலிருந்து ஆரம்பிக்கும் 3 பதிவுகளும் Draft ல் இருக்கு. இதையெல்லாம் நினைத்தால் பதிவு பக்கம் வரவே கண்ணைக்கட்ர மாதிரி இருக்கு !!!

மீண்டும் சந்திக்கிறேன்.

Advertisements

Posted in தகவல் தொழில்நுட்பம், விண்டோஸ் சர்வர் 2008 | குறிச்சொல்லிடப்பட்டது: , , , , , , , | 9 Comments »