Bir Windows sistem şoförünün BitLocker ile şifrelenmesi, bilhassa TPM ile bir ortaya geldiğinde, yetkisiz erişime karşı tesirli müdafaa sağlamakta. Bir donanım yükseltmesi, firmware güncellemesi ve hatta bilgisayarın UEFI BIOS’unda yapılan bir değişiklik ise sizi çaresiz bırakarak sisteminizi büsbütün kilitleyebilir. Gerçekten hiçbir bilginize erişemeyebilirsiniz ve bu mutlaka istenmeyen bir durum. Artık şoförlerin kilidini açma, muhtemel kilitlenmeleri tedbire, bilgilere erişim yollarına ve işin ayrıntısına yakından bakalım.
Aşağıdaki üzere bir ekran görüyorsanız, BitLocker şifrelemesi nedeniyle sisteminize erişiminiz kısıtlanmış demektir.
Bu kilitleme ekseriyetle bilgisayar TPM özelliğine sahipse ve aşağıdaki listelenen olaylardan biri meydana gelmişse yaşanabilir:
- Bir diski bilgisayardan çıkardıktan sonra farklı bir aygıtta okumaya çalıştığınızda.
- Bilgisayarın UEFI BIOS’unu güncellediğinizde yahut ekran kartı, parmak izi okuyucu vb. üzere belli bir bileşenle eser yazılımı (firmware) güncellemesi yaptığınızda.
- Bilgisayarın UEFI BIOS’unda güvenlikle ilgili değerli ayarlarda değişiklik yaptığınızda.
- Root of Trust (RoT-Güven Kökü) değiştirildiğinde (örneğin bir malware tarafından). RoT, kriptografik sistem içinde her vakit güvenilebilecek bir kaynak. Kriptografik güvenlik, bilgileri şifrelemek, şifresini çözmek, dijital imzalar oluşturmak ve imzaları doğrulamak üzere fonksiyonları gerçekleştirmek için anahtarlara bağlı olduğundan, RoT şemaları ekseriyetle sağlamlaştırılmış bir donanım modülü içermekte.
Windows sisteminizde çaresiz bir durumda kaldıysanız ve BitLocker kurtarma anahtarı istenirse, bu kurtarma anahtarının diskin kilidini açmak için tek seçenek olabileceği manasına geliyor. Bu türlü bir durumda sizden istenen şeyleri dikkatlice okuyun. Windows 10 1903 ve sonraki sürümlerde (ayrıca tüm Windows 11 sürümlerinde) çoklukla BitLocker anahtarının yedek kopyasının ne vakit üretildiği ve nerede saklandığı konusunda bir ipucu bulunur.
Bazı durumlarda PIN kodu yahut parola üzere diskin kilidini açmanın diğer yolları olabilir. Durumun bu türlü olup olmadığını, bilgisayarınızı Elcomsoft System Recovery ile önyükleyerek ve BitLocker muhafazalı sürücüyü inceleyerek denetim edebilirsiniz. Parola yoksa Elcomsoft System Recovery aşağıdaki üzere bir ekran gösterecek:
Böyle bir ekran görüyorsanız, şifreli diskin kilidini açmanın tek yolu bir BitLocker kurtarma anahtarı.
Bazı senaryolarda bilgisayarınızın önyükleme şoförü, sizin haberiniz olmadan BitLocker Device Encryption (BitLocker Aygıt Şifrelemesi) ile şifrelenmiş olabilir. Microsoft’a nazaran çağdaş Windows aygıtlar, kutudan çıktığı haliyle BitLocker Aygıt Şifrelemesi ile daha fazla müdafaa sağlıyor.
Windows, Windows 8.1’den itibaren Çağdaş Standby’ı destekleyen aygıtlarda BitLocker Aygıt Şifrelemesini otomatik olarak faal hale getiriyor. Windows 11 ve Windows 10 ile Microsoft, Çağdaş Standby dayanaklı aygıtlar ve Windows 10/11 çalıştıran cihazlar da dahil olmak üzere çok daha geniş bir aygıt yelpazesinde BitLocker Aygıt Şifreleme dayanağı sunuyor.
BitLocker Device Encryption, standart bir BitLocker uygulamasının tersine aygıtın her vakit korunması için otomatik olarak aktif hale geliyor. Aşağıdaki süreç ise bunun nasıl olduğunu özetlemekte:
- Temiz bir Windows 11 yahut Windows 10 yüklemesi tamamlandığında bildiğiniz üzere sistem birinci kullanım için hazır hale getiriliyor. BitLocker Aygıt Şifrelemesi, bu hazırlığın bir kesimi olarak bilgisayardaki işletim sistemi şoföründe ve sabit disk şoförlerinde bir açık anahtarla başlatılır (bu standart BitLocker askıya alma durumuna eşdeğer). Bu durumda şoför Windows Gezgini’nde bir ikaz simgesiyle görünür. Aşağıda açıklandığı üzere, TPM oluşturulduktan ve kurtarma anahtarı yedeklendikten sonra sarı ihtar simgesi kaldırılır.
- Cihaz tesir alanına katılmış değilse, aygıtta yönetici ayrıcalıklarına sahip bir Microsoft hesabı gerekir. Yönetici oturum açmak için bir Microsoft hesabı kullandığında, sıfırlama anahtarı sistem tarafından kaldırılır, çevrimiçi Microsoft hesabına bir kurtarma anahtarı yüklenir ve bir TPM esirgeyici oluşturulur. Bir aygıt kurtarma anahtarına gereksinim duyarsa, kullanıcıya alternatif bir aygıt kullanması ve Microsoft hesabı kimlik bilgilerini kullanarak kurtarma anahtarını alması için bir kurtarma anahtarı erişim URL’sine (web bağlantısı) gitmesi için yönlendirilir.
- Kullanıcı oturum açmak için bir tesir alanı hesabı kullanıyorsa, aygıt bir tesir alanına dahil olana ve kurtarma anahtarı Active Directory Tesir Alanı Hizmetleri’ne (AD DS) muvaffakiyetle yedeklenene kadar sıfırlama anahtarı kaldırılmaz. Sonrasında bilgisayar tesir alanına katıldığında kurtarma parolası otomatik olarak oluşturulur ve akabinde kurtarma anahtarı İSİM DS’ye yedeklenir, TPM koruyucusu oluşturulur ve sıfırlama anahtarı kaldırılır.
- Etki alanı hesabıyla oturum açmaya misal biçimde, kullanıcı aygıtta bir Azure İSİM hesabında oturum açtığında sıfırlama anahtarı büsbütün silinir. Üstte açıklandığı üzere, kullanıcı Azure AD’de kimlik doğrulaması yaptığında kurtarma parolası otomatik olarak oluşturuluyor. Akabinde kurtarma anahtarı Azure AD’ye yedekleniyor, TPM gözetici oluşturuluyor ve sıfırlama anahtarı kaldırılıyor.
Özetleyecek olursak;
- Cihazınız BitLocker Aygıt Şifreleme özelliğini destekliyorsa (çoğu dizüstü bilgisayar ve kimi çağdaş masaüstü bilgisayarlar gibi), sistem diski otomatik olarak şifrelenmekte. Disk başlığına net bir şifreleme anahtarı kaydedilecek. Bu noktada diskteki datalar şifreleniyor, fakat ünite anahtarı için farklı bir şifreleme süreci gerçekleşmiyor.
- BitLocker clear key (sıfırlama anahtarı) sadece BitLocker kurtarma anahtarı yedeklendiğinde kaldırılıyor. Windows, yedekleme olmadan sıfırlama anahtarını asla kaldırmaz.
- Kişisel kullanım için bilgisayarda yönetici ayrıcalıklarıyla oturum açan birinci kullanıcının (Microsoft hesabıyla) hesabı için BitLocker kurtarma anahtarının bir bulut kopyası oluşturulmakta.
- Kurumsal kullanıcılarda ise BitLocker kurtarma anahtarını yedeklemek için Active Directory ve Azure İSİM kullanılabilir.
Uzun lafın kısası, BitLocker ile şifrelenmiş sisteminize erişiminiz yoksa, kurtarma anahtarının her vakit bir yedek kopyası olduğunu unutmayın. Bu kurtarma anahtarını bulmak, ekseriyetle şifreli sisteme tekrar erişim sağlamanın tek yoludur.
Çalışan bir Windows sisteminiz varsa ve sistem şoförünüz BitLocker/BitLocker Aygıt Şifreleme ile korunuyorsa, BitLocker kurtarma anahtarınızı kaydederek kilitlenmeyi kolay kolay önleyebilirsiniz. Bu Kurtarma Anahtarı (Recovery Key), daha sonra kullanılan müdafaa fonksiyonunun çeşidinden bağımsız olarak şifrelenmiş diskin kilidini açmak için kullanılabilir.
Kullanılabilir ve erişilebilir bir BitLocker kurtarma anahtarına sahip olduğunuzdan emin olun çünkü bu BitLocker ile şifrelenmiş diskinizi korumak için çok kıymetli. Her şifrelenmiş ünite için eşsiz bir kurtarma anahtarı üretilir, bu nedenle kurtarma sürecine aşina olduğunuzdan emin olun.
Kurtarma anahtarını kaydetmenin çoklukla iki yolu var; bunlardan biri Windows kullanıcı arayüzü, başkası ise komut satırı arabirimini kullanmak.
BitLocker Anahtarını Kaydetme: Windows Arayüzü
Kurtarma anahtarını oluşturmak için Windows Kontrol Masasında “BitLocker Şoför Şifrelemesi (BitLocker Drive Encryption)” uygulamasını başlatın. Ayrıyeten Kontrol Masası yerine Windows arama kısmına “bitlocker” yazabilir ve “BitLocker’ı yönet” seçeneğine tıklayabilirsiniz. Bir BitLocker kurtarma anahtarını kaydetmek için “Kurtarma anahtarınızı yedekleyin seçeneğine tıklayın. Bir not olarak, bu süreçte Windows hesabınızın yönetici ayrıcalıklarına sahip olması koşul.
Kurtarma anahtarını Microsoft hesabınıza (Windows’ta oturum açarken kullandıysanız) yahut evrak olarak (tercihen bir USB sürücüye) kaydedebilirsiniz. Ayrıyeten isterseniz bir kağıda not alabilirsiniz.
Not: Windows 10 sürüm 1903’ten (veya Windows 11’in rastgele bir sürümünden) beri sistem, BitLocker kurtarma anahtarının ne vakit ve nerede yedeklendiğiyle ilgili bilgileri kaydediyor. Bu bilgiyi BitLocker kurtarma ekranı dışında hiçbir yerde göremezsiniz.
Alternatif: Komut Satırı
Alternatif olarak komut satırını kullanarak kurtarma anahtarını oluşturabilirsiniz. Arama kısmına “Komut İstemi” yazın, istemciye sağ tıklayın ve “Yönetici olarak çalıştır” seçeneğine tıklayın. Akabinde aşağıdaki komutu yazın:
manage-bde -protectors -get C:
Aşağıdaki yazıları göreceksiniz:
C:WINDOWSsystem32>manage-bde -protectors -get C: BitLocker Drive Encryption: Configuration Tool version 10.0.19041 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [NVME] All Key Protectors TPM: ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} PCR Validation Profile: 0, 2, 4, 11 Numerical Password: ID: {YYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY} Password: 123456-123456-123456-123456
Burada “Numerical Password (Sayısal Şifre)” alanı gerekli kurtarma anahtarını gösterecek. Bir evraka kaydedebilir yahut yazdırabilirsiniz. İlgili anahtar kimliğini kaydettiğinizden emin olun.
PowerShell Aracılığıyla Kaydetme
Tüm şifrelenmiş diskler için tüm BitLocker kurtarma anahtarlarını ayıklayan bir PowerShell kodumuz var.
Bir metin evrakı oluşturup aşağıdaki aşağıdaki içeriği yapıştırarak aşağıdaki komut belgesini bir .ps1 evrakı (örneğin “bitlocker-yedek.ps1”) olarak kaydedin:
# Export the BitLocker recovery keys for all drives and display them at the Command Prompt. $BitlockerVolumers = Get-BitLockerVolume $BitlockerVolumers | ForEach-Object { $MountPoint = $_.MountPoint $RecoveryKey = [string]($_.KeyProtector).RecoveryPassword if ($RecoveryKey.Length -gt 5) { Write-Output (“The drive $MountPoint has a BitLocker recovery key $RecoveryKey”) } }
Komut belgesini yönetici ayrıcalıklarına sahip bir Windows hesabıyla ve BitLocker şoförleri taşıyan bir bilgisayarda başlatın. Arama kısmında “PowerShell” yazın ve “Windows PowerShell”i yeniden “Yönetici olarak” çalıştırın. Akabinde komut belgenizin ismini yazın (örneğin “bitlocker-yedek.ps1”). Çıktı olarak tüm BitLocker kurtarma anahtarlarını karşınızda göreceksiniz.
Bilgisayarın UEFI BIOS’unu güncellerken, rastgele bir donanımı (ekran kartı gibi) değiştirirken yahut UEFI güvenlik ayarlarını değiştirirken BitLocker kilitlemesiyle karşı karşıya kalabilirsiniz. Bunun nedeni, bilgisayarınızın itimat zincirinin kırılması ve TPM modülünün şifreleme anahtarını açığa çıkarmaması.
Biraz evvel bahsettiğimiz yolları izlediyseniz esasen bir BitLocker kurtarma anahtarınız vardır ve her şey çok kolay. Bu noktada gerekli olan anahtarı “Kurtarma anahtarı kimliğinden (Recovery key ID)” tanımlayabilirsiniz.
Öte yandan BIOS’u güncellemeden yahut bilgisayar donanımını değiştirmeden evvel BitLocker müdafaasını süreksiz olarak askıya alırsanız yeniden hiçbir sorun yaşamazsınız. BitLocker muhafazasını askıya almak için Windows Kontrol Masası’nda BitLocker uygulamasını açın ve “Korumayı askıya al” seçeneğine tıklayın.
Bunu yaptığınızda şifresi çözülen ünite anahtarı disk başlığında saklanıyor ve sistemin bir sonraki önyüklemesinde erişim mümkün oluyor. BitLocker müdafaasını askıya aldıktan sonra bilgisayarı kapatın ve planlanan yükseltme/güncellemeyi gerçekleştirin. Sisteminizi açtığınızda olağan biçimde yüklenecek, yeni bir inanç zinciri oluşturacak ve TPM faal olacak. Bundan sonra Windows, BitLocker müdafaasını otomatik olarak tekrar aktifleştirecek.
Bu ekranda Windows, görüntülenen Kurtarma anahtarı kimliğine karşılık gelen geçerli bir BitLocker kurtarma anahtarı ile şoförün kilidini açmanızı istiyor. Bu noktaya geldiyseniz, sistemin kilidini açmanın geçerli kurtarma anahtarını girmekten öbür bir yolu yok. Gerçek ikili şifreleme anahtarı bilgisayarın TPM modülünde saklandığından, Windows hesabı parolanız yahut öteki bir parola sistem şoförünün kilidini açmak için kullanılamaz. TPM modülü bu şifreleme anahtarını sağlamak istemezse, TPM modülü sıfırlandıysa yahut tekrar başlatıldıysa, artık o anahtara erişiminiz mümkün değil. BitLocker kurtarma anahtarı, muhafazalı şoförün şifresini çözmek ve kilidini açmak için kullanılabilecek kodlanmış şifrelemeyi içeriyor.
Önemli: Bilgisayar TPM ile destekleniyorsa, BitLocker kurtarma anahtarı dışında diskin kilidini açmanın ne yazık ki öteki bir yolu yok.
Windows 10 ve Windows 11‘de kurtarma anahtarının bir kopyası kaydedilmeden BitLocker şifrelemesi aktifleştirilemez. BitLocker Aygıt Şifrelemesi otomatik olarak çalıştığı durumda, Microsoft Hesabıyla (yerel Windows hesabı değil) sistem yöneticisi olarak oturum açan birinci kullanıcının bulut hesabına otomatik olarak kaydedildiğini not düşelim.
BitLocker Aygıt Şifrelemesi, birinci uygun oturum açma sürecine kadar etkinleştirilmeyecek. Münasebetiyle BitLocker kurtarma anahtarı da kullanıcının Microsoft Hesabına kaydedilene kadar etkinleştirilmeyecek.
Peki BitLocker kurtarma anahtarını nereden alabiliriz? Windows 10’un yeni bir sürümünü yahut Windows 11’in rastgele bir sürümünü kullanıyorsanız, kurtarma anahtarının pozisyonu hakkında size bir ipucu verilecek. Microsoft bu hususta şöyle diyor:
“BitLocker meta bilgileri, Windows 10 sürüm 1903 yahut Windows 11’de BitLocker kurtarma anahtarının ne vakit ve nerede yedeklendiği hakkında bilgi içerecek formda geliştirildi. Bu bilgiler, kullanıcı arayüzü yahut rastgele bir genel API aracılığıyla ifşa edilmez. Kullanıcının bir ünitenin kurtarma anahtarını bulmasına yardımcı olmak için sırf BitLocker kurtarma ekranı tarafından ipuçları biçiminde kullanılır. İpuçları kurtarma ekranında görüntülenir ve anahtarın kaydedildiği pozisyon için işaretler verir. İpuçları hem çağdaş (mavi) hem de eski (siyah) kurtarma ekranında görüntülenir. Bu, hem önyükleme yöneticisi kurtarma ekranı hem de WinRE kilit açma ekranı için geçerlidir.”
Windows üreticisine nazaran kurtarma anahtarını aşağıdaki sistemlerle bulabilirsiniz. Aygıtınızın kilidini açmak için 48 basamaklı bir güvenlik anahtarı o an için kritik derecede kıymetli.
- Microsoft hesabınızda: Kurtarma anahtarınızı bulmak için öteki bir aygıtta Microsoft hesabınızla oturum açabilirsiniz. Ayrıyeten öbür kullanıcıların aygıtta hesapları varsa, anahtara sahip olup olmadıklarını görmek için Microsoft hesaplarında oturum açmalarını isteyebilirsiniz.
- Kaydettiğiniz bir dosyada: Kurtarma anahtarı, BitLocker etkinleştirildiğinde kaydedilen bir belgede olabilir. Bilgisayarınızla ilgili değerli dokümanları sakladığınız bir yer varsa bu pozisyon sizin hayatınızı kurtarabilir.
- USB sürücüde: USB flash sürücüyü kilitli PC’nize takın ve talimatları izleyin. Anahtarı flash şoföre bir metin belgesi olarak kaydettiyseniz, metin belgesini okumak için farklı bir bilgisayar kullanabilirsiniz.
- Azure Active Directory hesabında: Aygıtınız bir iş yahut okul e-posta hesabı kullanarak rastgele kuruluşta oturum açmışsa, kurtarma anahtarınız o kuruluşun aygıtınızla bağlı Azure İSİM hesabında saklanabilir. Buna direkt erişebilirsiniz yahut kurtarma anahtarınıza erişmek için bir sistem yöneticisine başvurmanız gerekebilir.
- Sistem yöneticinize danışın: Aygıtınız bir tesir alanına (genellikle bir iş yahut okul cihazı) bağlıysa, kurtarma anahtarınızı bir yöneticiden talep edebilirsiniz.