Testing Bitlocker in VMWare
Acesta e un exemplu prin care voi demonstra cum poti testa Bitlocker in VMWare Workstation. Sau de ce nu, sa iti criptezi discul masinii virtuale folosite pentru “cine stie ce” (sunt totusi convins ca exista metode mai bune).
Prima data e nevoie sa avem un Windows instalat (am folosit Windows 7 ca exemplu) si mare atentia la dimensiunea discului, chiar daca nu alocati tot spatiul de la inceput, discul o sa creasca la dimensiunea maxima atunci cand este criptat.
Mai trebui spus ca porturile USB mapate in VMWare nu ne sunt de mare folos acum. Chiar daca reusim sa scriem cheia folosita la boot pe USB, la reboot nu o sa o putem citi. In schimb merge pe floppy disk.
Putem face unul virtual din VMWare:
Nu uitati sa il setati pe connected si sa-l formatati.
Acum trebuie sa setam bitlocker in asa fel incat sa functioneze si fara TPM (ca altfel nu o sa reusim sa-l activam). By default cere TPM.
O facem cu GPEDIT.MSC – Computer Settings/Administrative Templates/Windows Components/Bitlocker Drive Encription/Operating System Drives
Iata si ce trebuie sa setam:
Aplicam noile setari:
Si acum vine smecheria; asta pentru ca e Windows 7 (pe Vista tin minte ca mergea; pe 7 am incercat de mi-a venit rau; am ajuns pana la codurile de eroare de pe MSDN si tot degeaba).
Comanda care ar trebui sa o rulam e urmatoarea:
Pe Vista exista manage-bde.wsf (si pe Vista mergea), aici e manage-bde.exe. De fapt prin manage-bde poti sa configurezi bitlocker asa cum vrei fara sa mai intampini restrictiile din GUI. Doar ca dupa cum observati in output, nu prea merge. Eroarea e documentata pe aici doar ca nu prea ajuta. Ce am setat in GPO se potriveste cu ce am rulat eu.
Workaround:
Rulam Bitlocker din interfata grafica
Si incercam sa-l activam de aici (de fapt vom face doar prepararea disk-ului).
Acum ma gandesc ca daca as fi facut partitionarea disk-ului ca la Vista ar fi mers din prima cu manage-bde. Dar de cand cu 7 m-am lenevit.
Si la pasul asta ii dam Cancel, altfel din UI singura optiune ar fi fost sa folosim un drive USB. Deschidem un CMD (nu uitati de Run as Administrator) si rulam:
Comanda este: manage-bde -on C: -RecoveryPassword -StartupKey A: –skiphardwaretest. Am adaugat si –skiphardwaretest ca sa evit inca un restart. Pe un sistem cu date NU e recomandat sa rulati cu acest parametru. Fara el sistemul s-ar fi restartat si ar fi verificat daca poate citi startup key-ul de pe device-ul specificat.
Retineti: Criptarea datelor poate fi uneori mai periculoasa decat stergerea lor.
Si cam asta e tot. Acum daca restartam sistemul o sa citeasca automat startup key-ul de pe floppy. Daca il deconectam putem vedea urmatorul mesaj:
E destul de simplu atunci cand drumul e deja batatorit. Urmariti site-ul pentru ca vor aparea si alte articole despre Bitlocker.
PS: Procesul e cam acelasi si pentru Windows Server 2008 R2