BitLocker היא טכנולוגיית הצפנה שמספקת הגנה ברמה גבוהה על המידע המאוחסן במחשב. היא פותחה על ידי מיקרוסופט ומיועדת למנוע גישה לא מורשית למידע במקרה של גניבה או אובדן המחשב. כאשר BitLocker מופעל, כל המידע בכונן המחשב מוצפן, כך שגם אם מישהו ינסה או אפילו יצליח לגשת פיזית לכונן, הוא לא יוכל לקרוא את הנתונים מבלי שהמפתח המתאים יינתן.
הצפנה זו מגנה על המידע מפני התקפות של גניבות, זליגת מידע או שימוש לא מורשה, ומספקת שכבת אבטחה נוספת עבור מחשבים אישיים, ארגוניים ושרתים. עם זאת, אחד המרכיבים הקריטיים בהגנה הזו הוא מפתח השחזור – קוד שניתן להשתמש בו במקרה של בעיות בזיהוי או תקלות במערכת.
תוכן העניינים
מה עושים במקרה וקיבלתי חלונית Bitlocker בעת עליית המחשב?
אם קיבלתם את ההודעה הבאה בעליית המחשב:
BitLocker recovery
Enter the recovery key for this drive
Use the number keys or function keys F1-F10 (use F10 for 0).
Recovery key ID (to identify your key):
BitLocker needs your recovery key to unlock your drive because your PC's configuration
has changed. This may have happened because a disc or USB device was inserted.
Removing it and restarting your PC may fix this problem.
Here's how to find your key:
-Try your Microsoft account at: aka.ms/myrecoverykey
For more information go to: aka.ms/recoverykeyfaq
Press Enter to continue
Press Esc for more recovery options
או בצורתה היותר מוכרת:
כאשר מופיעה חלונית ביטלוקר בעת הפעלה מחדש של המחשב, זה בדרך כלל קורה עקב אחד מהמצבים הבאים:
- שינוי בחומרה או בעדכון המערכת: עדכוני מערכת או שינויי חומרה יכולים לגרום לביטלוקר לדרוש את מפתח השחזור (Recovery Key) כאמצעי הגנה.
- תקלה בקושחה (Firmware): עדכון BIOS או UEFI עלול לגרום לכך שביטלוקר יזהה שינוי שעלול להיות מסוכן.
מה ניתן לעשות?
1. מצא את מפתח השחזור (Recovery Key)
- בחשבון Microsoft: אם המחשב מחובר לחשבון Microsoft, תוכל לבדוק את מפתח השחזור באתר הזה.
- במחשב אחר: אם שמרת את המפתח כקובץ טקסט או כתבת אותו במקום כלשהו, נסה למצוא אותו.
- ב-Active Directory או Azure AD: אם המחשב שייך לארגון, ייתכן שהמפתח נשמר בשרתים הארגוניים. פנה למחלקת ה-IT בארגון.
- עותק פיזי: ייתכן שהמפתח נשמר כעותק מודפס.
2. בדוק את העדכון: אם העדכון גרם לבעיה והצלחת להיכנס למערכת, ייתכן שתוכל לבצע שחזור מערכת
3. עדכון BIOS/UEFI: ודא שגרסת ה-BIOS או UEFI שלך עדכנית. לעיתים, עדכון זה פותר בעיות הקשורות לביטלוקר.
4. פנה לתמיכה טכנית: אם אינך מוצא את מפתח השחזור ואין דרך לעקוף את החלונית, פנה ליצרן המחשב. אם מדובר במחשב ארגוני, פנה למחלקת ה-IT.
איך להימנע מבעיות בעתיד?
על מנת להימנע מבעיות עתידיות כדאי לגבות את מפתחות השחזור במקומות מאובטחים, דרך כניסה אל Run -> הכנסת הפקודה הבאה -> ואנטר:
control /name Microsoft.BitLockerDriveEncryptionבמסך שנפתח, נלחץ על Back up your recovery key ואז על Print the recovery key
כמובן שיש עוד שיטות נוספות לגיבוי ה-Keys דרך ה-Control Panel והן מופיעות בצורה מפורטת כאן:
פקודות PS לכיבוי זמני של הביטלוקר לפני ביצוע עדכוני מערכת או BIOS
כבה את ביטלוקר אוטומטית זמנית לפני ביצוע עדכוני מערכת או BIOS:
manage-bde -protectors -disable C:לאחר מכן בסיום, הפעל אותו מחדש עם הפקודה:
manage-bde -protectors -enable C:בדיקה האם כונן מוצפן באמצעות Bitlocker
על מנת לבדוק אם הכונן מוצפן באמצעות ביטלוקר יש להשתמש בפקודת Powershell הבאה (כאשר C היא אות הכונן שלנו):
(Get-BitLockerVolume -MountPoint "C:").VolumeStatusהתוצאה- כאן בדוגמה שלנו ניתן לראות שהכונן מוצפן:
PS C:\> (Get-BitLockerVolume -MountPoint "C:").VolumeStatus
FullyEncryptedבדיקה אם קיימים מפתחות שחזור (Recovery Keys) עבור כונני BitLocker
על מנת לבדוק אם יש לך מפתחות שחזור (Recovery Keys) עבור כונני ביטלוקר, תוכל להשתמש בשורת PowerShell הבאה:
Get-BitLockerVolume | Where-Object {$_.KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}}אם יש מפתחות שחזור, יוחזר מידע על הכוננים עם מפתחות שחזור. אם אין מפתחות שחזור, לא יוחזר דבר.
איך אני מגבה את מפתח השחזור של BitLocker?
למרבה הצער, Windows אינו תומך ישירות בגיבוי אוטומטי של מפתחות BitLocker בכל פעם שמבוצע עדכון מערכת (שזה מלכתחילה לא ברור מדוע). עם זאת, ניתן ליצור באופן ידני תהליך אוטומטי שמתבצע לפני עדכונים על ידי שימוש ב-PowerShell מותאמים אישית כלכדהלן:
להלן תהליך להגדרת אוטומציה שמגבה את מפתחות השחזור של ביטלוקר:
פתח את עורך הטקסט Notepad והדבק את הסקריפט הבא:
# הגדר את נתיב הגיבוי
$backupPath = "C:\BitLockerBackup"
# צור את התיקייה אם אינה קיימת
if (!(Test-Path -Path $backupPath)) {
New-Item -ItemType Directory -Path $backupPath
}
# קבל את פרטי מפתח השחזור של BitLocker ושמור בקובץ טקסט
Get-BitLockerVolume | ForEach-Object {
$recoveryKey = $_.KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}
if ($recoveryKey) {
$fileName = "$backupPath\RecoveryKey_$($_.MountPoint.Trim('\')).txt"
$recoveryKey | Out-File -FilePath $fileName -Append
Write-Host "מפתח השחזור נשמר ב- $fileName"
}
}שמור את הקובץ בתיקיה כמו למשל c:\intel, ושמור את הקובץ עם הסיומת .ps1 , לדוגמה: BackupBitLockerKey.ps1
פתח חלונית Powershell , נווט אל התיקיה c:\intel, והרץ את הפקודה הבאה:
powershell.exe -ExecutionPolicy Bypass -File "C:\intel\BackupBitLockerKey.ps1"התוצאה: בתיקיה c:\BitLockerRecoveryKeys נוכל למצוא את המפתחות.
כיבוי BitLocker זמני בכל פעם שהמערכת מבצעת עדכוני מערכת אוטומטיים
כיבוי ביטלוקר (ביטול הגנה זמני) לפני עדכוני מערכת יכול לעזור למנוע מצבים שבהם המערכת מבקשת את מפתח השחזור לאחר העדכון. ניתן להגדיר כיבוי ביטלוקר אוטומטי לפני עדכונים באמצעות סקריפט PowerShell ומשימה מתוזמנת.
טיפים חשובים
- הרצת בדיקות: לפני הגדרת המשימה, הרץ את הסקריפטים ידנית כדי לוודא שהם פועלים כהלכה.
- אבטחת סקריפטים: שמור את הסקריפטים בתיקייה עם הרשאות מוגנות.
- מעקב אחרי משימות מתוזמנות: עקוב אחרי המשימות בתדירות כדי לוודא שהן מתבצעות כנדרש.
שלב 1: יצירת סקריפט PowerShell לכיבוי זמני של BitLocker
פתח את עורך הטקסט Notepad והדבק את הסקריפט הבא:
# כיבוי זמני של ביטלוקר בכל הכוננים המוגנים
Get-BitLockerVolume | Where-Object {$_.VolumeStatus -eq "FullyEncrypted"} | ForEach-Object {
Disable-BitLocker -MountPoint $_.MountPoint
Write-Host "כיבוי זמני של ביטלוקר בוצע בכונן: $($_.MountPoint)"
}שמור את הקובץ עם הסיומת .ps1, לדוגמה: DisableBitLocker.ps1.
שלב 2: תזמון הרצת הסקריפט לפני עדכוני מערכת
פתח את מתזמן המשימות (Task Scheduler)– דרך כניסה לחלונית Run , אז הקלד taskschd.msc ואנטר.
צור משימה חדשה:
- בחר Create Task מצד ימין.
הגדר את המשימה:
- בכרטיסייה General, הגדר שם למשימה כמו "Disable BitLocker Before Updates".
- סמן את האפשרות Run with highest privileges.
- בחר Configure for: Windows 10/11 (או הגרסה שלך).
קבע טריגר (Trigger):
- בכרטיסייה Triggers, לחץ על New.
- בחר Begin the task: On an event.
- בחר באירוע המתאים:
- Log: System
- Source: WindowsUpdateClient
- Event ID: 2 (תחילת עדכון).
הוסף פעולה (Action):
- בכרטיסייה Actions, לחץ על New.
- בחר Action: Start a Program.
- בשדה Program/script, הקלד:
powershell.exeבשדה Add arguments, הוסף ולחץ על OK:
-ExecutionPolicy Bypass -File "C:\Path\To\DisableBitLocker.ps1"שלב 3: הפעלת BitLocker מחדש לאחר העדכון
לאחר שהמערכת מסיימת את העדכונים, ניתן להפעיל מחדש את ביטלוקר באופן ידני או אוטומטי עם סקריפט נוסף.
יצירת סקריפט להפעלת ביטלוקר מחדש:
צור קובץ PowerShell חדש בשם EnableBitLocker.ps1 והכנס בו את הקוד הבא:
# הפעלה מחדש של ביטלוקר בכל הכוננים
Get-BitLockerVolume | Where-Object {$_.VolumeStatus -eq "ProtectionOff"} | ForEach-Object {
Enable-BitLocker -MountPoint $_.MountPoint
Write-Host "ביטלוקר הופעל מחדש בכונן: $($_.MountPoint)"
}תזמן משימה נוספת ב-Task Scheduler להפעלת הסקריפט הזה לאחר שהעדכונים מסתיימים:
Trigger: Event ID 19 מ-WindowsUpdateClient (מעיד על סיום התקנה של עדכונים).
סיכום
בסופו של דבר, המדריך הזה מספק מידע חשוב על ביטלוקר הוא טכנולוגיית הצפנה שמגנה על המידע במחשב מפני גישה לא מורשית. ההצפנה מתבצעת ברמת הכונן, ומיועדת להבטיח שגניבה או אובדן מחשב לא יובילו לחשיפת מידע רגיש.
החשיבות של גיבוי מפתחות השחזור היא קריטית, שכן ללא המפתח המתאים, גישה לכונן המוצפן עשויה להיות חסומה במקרה של בעיות בזיהוי, עדכון תוכנה, או שינויים בחומרה. נתנו טיפים כיצד לגבות את מפתחות השחזור בצורה מאובטחת, ולהיות מוכנים מראש למצבים שבהם הכונן עלול להינעל.
