الزامات جدید مایکروسافت برای رمزگذاری خودکار در ویندوز 11

مایکروسافت بارها توضیح داده است که چرا ویژگی‌هایی مانند TPM (ماژول پلتفرم امن) 2.0، VBS (امنیت مبتنی بر مجازی‌ سازی) و بوت امن (Secure Boot) برای یک رایانه ویندوز 11 مهم هستند. اگرچه این قابلیت‌ها از قبل وجود داشتند، مایکروسافت با انتشار ویندوز 11 آنها را اجباری کرد و اعلام کرد که این ویژگی‌ها مزایای امنیتی قابل توجهی دارند. این شرکت حتی دموهای تصویری منتشر کرد تا بهتر توضیح دهد.

این موضوع مربوط به سال 2021 است. حالا با انتشار آپدیت ویژگی‌های Windows 11 24H2 (که اخیراً برای کاربران بیشتری قابل دانلود شده)، مایکروسافت یکی از مقالات پشتیبانی خود را در وب‌ سایت رسمی‌اش بروزرسانی کرده است.

این مقاله درباره رمزگذاری خودکار دستگاه با استفاده از BitLocker است که مایکروسافت به آن Auto-DE می‌گوید. بخشی از این سند بروزرسانی شده تا توضیح دهد چرا TPM و بوت امن برای رمزگذاری دستگاه ضروری هستند.

محتوای قبلی مقاله:

در گذشته، مقاله چنین توضیح می‌داد:

چرا رمزگذاری دستگاه در دسترس نیست؟

مراحل زیر را دنبال کنید تا دلیل عدم دسترسی به رمزگذاری دستگاه را مشخص کنید:

1. در قسمت جستجوی Start، عبارت System Information را تایپ کرده و روی نتیجه کلیک راست کنید و گزینه Run as administrator را انتخاب کنید.
2. در لیست System Summary – Item، مقدار Automatic Device Encryption Support یا Device Encryption Support را جستجو کنید.
3. مقدار موجود، دلایل عدم دسترسی به رمزگذاری دستگاه را توضیح می‌دهد.
4. اگر مقدار Meets prerequisites نمایش داده شود، رمزگذاری دستگاه برای سیستم شما فعال است.

محتوای جدید مقاله:

در نسخه بروزرسانی‌ شده، متن به این صورت تغییر کرده است:

چرا رمزگذاری دستگاه در دسترس نیست؟

مراحل زیر را دنبال کنید تا دلیل عدم دسترسی به رمزگذاری دستگاه را مشخص کنید:

1. در قسمت جستجوی Start، عبارت System Information را تایپ کرده و روی نتیجه کلیک راست کنید و گزینه Run as administrator را انتخاب کنید.
2. در لیست System Summary – Item، مقدار Automatic Device Encryption Support یا Device Encryption Support را جستجو کنید.
3. مقدار موجود وضعیت پشتیبانی از رمزگذاری دستگاه را توضیح می‌دهد:

   1. Meets prerequisites: رمزگذاری دستگاه در سیستم شما فعال است.
   2. TPM is not usable: دستگاه فاقد TPM است یا TPM در BIOS یا UEFI فعال نیست.
   3. WinRE is not configured: محیط بازیابی ویندوز (WinRE) پیکربندی نشده است.
   4. PCR7 binding is not supported: بوت امن در BIOS/UEFI غیرفعال است یا دستگاه‌های جانبی مانند کارت‌های گرافیک خارجی هنگام بوت متصل هستند.

این مقاله توضیح داده است که چرا پیش‌ نیازهایی مانند TPM، WinRE، و بوت امن برای رمزگذاری دستگاه ضروری هستند. همچنین به PCR7 اشاره شده که بخشی از TPM است و برای ذخیره الگوریتم‌های هش استفاده می‌شود.

اهمیت PCR7:

PCR7 یا Platform Configuration Register 7 بخشی از TPM است که کلیدهای رمزنگاری مانند کلید BitLocker را فقط در یک زمان مشخص هنگام بوت شدن بارگذاری می‌کند. بوت امن نیز صحت گواهی Microsoft Windows PCA 2011 را تأیید می‌کند. اگر امضای دیجیتال معتبر نباشد، BitLocker به جای PCR7 از پروفایل‌های دیگری استفاده می‌کند.

تغییرات در Windows 11 24H2:

مایکروسافت الزامات OEM را برای Auto-DE در نسخه 24H2 کاهش داده است، بطوری که حتی رایانه‌های خانگی نیز می‌توانند به صورت خودکار رمزگذاری شوند. همچنین یک راهنمای بازیابی و پشتیبان‌ گیری از کلید BitLocker منتشر شده است.

نرم‌ افزارهای پشتیبان‌ گیری و کلون‌ سازی مانند Acronis نیز تغییرات مرتبطی در این زمینه ایجاد کرده‌اند.

مایکروسافت توصیه می‌کند برای بهره‌مندی از این ویژگی‌ها، از دستگاه‌های جدیدتر و پشتیبانی‌ شده استفاده کنید و در صورت قدیمی بودن سیستم، دستگاه جدیدی تهیه کنید.