Anasayfa Makale BitLocker Kurtarma Anahtarı Nasıl Bulunur?

BitLocker Kurtarma Anahtarı Nasıl Bulunur?

Yazar
Fatih Işık
-

Bir Windows sistem sürücüsünün BitLocker ile şifrelenmesi, özellikle TPM ile bir araya geldiğinde yetkisiz erişime karşı etkili koruma sağlamakta. Öte yandan bir donanım yükseltmesi, Firmware güncellemesi ve hatta bilgisayarın UEFI BIOS’undaki bir değişiklik sizi etkin bir şekilde kilitleyerek verilerinize erişilemez ve Windows sistemini önyüklenemez hale getirebilir. Böyle bir durumda hiçbir verinize erişemeyebilirsiniz ki bu kesinlikle istenmeyen bir durum. Peki sürücünün kilidini açmanız istenirse, kilitlenme nasıl önlenir ve verilere erişim nasıl geri yüklenir? Adım adım açıklayalım.

Sürücüm Neden Kilitlendi?

Aşağıdaki gibi bir ekran görüyorsanız, BitLocker şifrelemesi nedeniyle sisteminize erişiminiz kısıtlanmış demektir.

Bu kilitleme genellikle bilgisayar TPM özelliğine sahipse ve aşağıdaki listelenen olaylardan biri meydana gelmişse yaşanabilir:

  • Bir diski bilgisayardan çıkardıktan sonra farklı bir cihazda okumaya çalıştığınızda.
  • Bilgisayarın UEFI BIOS’unu güncellediğinizde veya ekran kartı, parmak izi okuyucu vb. gibi belirli bir bileşenle ürün yazılımı (firmware) güncellemesi yaptığınızda.
  • Bilgisayarın UEFI BIOS’unda güvenlikle ilgili önemli ayarlarda değişiklik yaptığınızda.
  • Root of Trust (RoT-Güven Kökü) değiştirildiğinde (örneğin bir malware tarafından). RoT, kriptografik sistem içinde her zaman güvenilebilecek bir kaynak. Kriptografik güvenlik, verileri şifrelemek, şifresini çözmek, dijital imzalar oluşturmak ve imzaları doğrulamak gibi işlevleri gerçekleştirmek için anahtarlara bağlı olduğundan, RoT şemaları genellikle sağlamlaştırılmış bir donanım modülü içermekte.

Kilitlenme Durumunda Ne Yapılabilir?

Windows sisteminizde çaresiz bir durumda kaldıysanız ve BitLocker kurtarma anahtarı istenirse, bu kurtarma anahtarının diskin kilidini açmak için tek seçenek olabileceği anlamına geliyor. Böyle bir durumda sizden istenen şeyleri dikkatlice okuyun. Windows 10 1903 ve sonraki sürümlerde (ayrıca tüm Windows 11 sürümlerinde) genellikle BitLocker anahtarının yedek kopyasının ne zaman üretildiği ve nerede saklandığı konusunda bir ipucu bulunur.

Bazı durumlarda PIN kodu veya parola gibi diskin kilidini açmanın başka yolları olabilir. Durumun böyle olup olmadığını, bilgisayarınızı Elcomsoft System Recovery ile önyükleyerek ve BitLocker korumalı sürücüyü inceleyerek kontrol edebilirsiniz. Parola yoksa Elcomsoft System Recovery aşağıdaki gibi bir ekran gösterecek:

Elcomsoft System Recovery

Böyle bir ekran görüyorsanız, şifreli diskin kilidini açmanın tek yolu bir BitLocker kurtarma anahtarı.

Şifrelemeyi Etkinleştirdiğinizi Hatırlamıyor musunuz?

Bazı senaryolarda bilgisayarınızın önyükleme sürücüsü, sizin haberiniz olmadan BitLocker Device Encryption (BitLocker Aygıt Şifrelemesi) ile şifrelenmiş olabilir. Microsoft’a göre modern Windows cihazlar, kutudan çıktığı haliyle BitLocker Aygıt Şifrelemesi ile daha fazla koruma sağlıyor.

Windows, Windows 8.1’den itibaren Modern Standby’ı destekleyen cihazlarda BitLocker Aygıt Şifrelemesini otomatik olarak etkin hale getiriyor. Windows 11 ve Windows 10 ile Microsoft, Modern Standby destekli cihazlar ve Windows 10/11 çalıştıran cihazlar da dahil olmak üzere çok daha geniş bir cihaz yelpazesinde BitLocker Aygıt Şifreleme desteği sunuyor.

BitLocker Device Encryption, standart bir BitLocker uygulamasının aksine cihazın her zaman korunması için otomatik olarak etkin hale geliyor. Aşağıdaki süreç ise bunun nasıl olduğunu özetlemekte:

  • Temiz bir Windows 11 veya Windows 10 yüklemesi tamamlandığında bildiğiniz gibi sistem ilk kullanım için hazır hale getiriliyor. BitLocker Aygıt Şifrelemesi, bu hazırlığın bir parçası olarak bilgisayardaki işletim sistemi sürücüsünde ve sabit disk sürücülerinde bir açık anahtarla başlatılır (bu standart BitLocker askıya alma durumuna eşdeğer). Bu durumda sürücü Windows Gezgini’nde bir uyarı simgesiyle görünür. Aşağıda açıklandığı gibi, TPM oluşturulduktan ve kurtarma anahtarı yedeklendikten sonra sarı uyarı simgesi kaldırılır.
  • Cihaz etki alanına katılmış değilse, cihazda yönetici ayrıcalıklarına sahip bir Microsoft hesabı gerekir. Yönetici oturum açmak için bir Microsoft hesabı kullandığında, sıfırlama anahtarı sistem tarafından kaldırılır, çevrimiçi Microsoft hesabına bir kurtarma anahtarı yüklenir ve bir TPM koruyucu oluşturulur. Bir cihaz kurtarma anahtarına ihtiyaç duyarsa, kullanıcıya alternatif bir cihaz kullanması ve Microsoft hesabı kimlik bilgilerini kullanarak kurtarma anahtarını alması için bir kurtarma anahtarı erişim URL’sine (web bağlantısı) gitmesi için yönlendirilir.
  • Kullanıcı oturum açmak için bir etki alanı hesabı kullanıyorsa, cihaz bir etki alanına dahil olana ve kurtarma anahtarı Active Directory Etki Alanı Hizmetleri’ne (AD DS) başarıyla yedeklenene kadar sıfırlama anahtarı kaldırılmaz. Sonrasında bilgisayar etki alanına katıldığında kurtarma parolası otomatik olarak oluşturulur ve ardından kurtarma anahtarı AD DS’ye yedeklenir, TPM koruyucusu oluşturulur ve sıfırlama anahtarı kaldırılır.
  • Etki alanı hesabıyla oturum açmaya benzer şekilde, kullanıcı cihazda bir Azure AD hesabında oturum açtığında sıfırlama anahtarı tamamen silinir. Yukarıda açıklandığı gibi, kullanıcı Azure AD’de kimlik doğrulaması yaptığında kurtarma parolası otomatik olarak oluşturuluyor. Ardından kurtarma anahtarı Azure AD’ye yedekleniyor, TPM koruyucu oluşturuluyor ve sıfırlama anahtarı kaldırılıyor.

Özetleyecek olursak;

  • Cihazınız BitLocker Aygıt Şifreleme özelliğini destekliyorsa (çoğu dizüstü bilgisayar ve bazı modern masaüstü bilgisayarlar gibi), sistem diski otomatik olarak şifrelenmekte. Disk başlığına net bir şifreleme anahtarı kaydedilecek. Bu noktada diskteki veriler şifreleniyor, ancak birim anahtarı için ayrı bir şifreleme işlemi gerçekleşmiyor.
  • BitLocker clear key (sıfırlama anahtarı) yalnızca BitLocker kurtarma anahtarı yedeklendiğinde kaldırılıyor. Windows, yedekleme olmadan sıfırlama anahtarını asla kaldırmaz.
  • Kişisel kullanım için bilgisayarda yönetici ayrıcalıklarıyla oturum açan ilk kullanıcının (Microsoft hesabıyla) hesabı için BitLocker kurtarma anahtarının bir bulut kopyası oluşturulmakta.
  • Kurumsal kullanıcılarda ise BitLocker kurtarma anahtarını yedeklemek için Active Directory ve Azure AD kullanılabilir.

Uzun lafın kısası, BitLocker ile şifrelenmiş sisteminize erişiminiz yoksa, kurtarma anahtarının her zaman bir yedek kopyası olduğunu unutmayın. Bu kurtarma anahtarını bulmak, genellikle şifreli sisteme yeniden erişim sağlamanın tek yoludur.

Kilitlemeyi Önleme

Çalışan bir Windows sisteminiz varsa ve sistem sürücünüz BitLocker/BitLocker Aygıt Şifreleme ile korunuyorsa, BitLocker kurtarma anahtarınızı kaydederek kilitlenmeyi kolayca önleyebilirsiniz. Bu Kurtarma Anahtarı (Recovery Key), daha sonra kullanılan koruma işlevinin türünden bağımsız olarak şifrelenmiş diskin kilidini açmak için kullanılabilir.

Kullanılabilir ve erişilebilir bir BitLocker kurtarma anahtarına sahip olduğunuzdan emin olun zira bu BitLocker ile şifrelenmiş diskinizi korumak için çok önemli. Her şifrelenmiş birim için benzersiz bir kurtarma anahtarı üretilir, bu nedenle kurtarma işlemine aşina olduğunuzdan emin olun.

Kurtarma anahtarını kaydetmenin genellikle iki yolu var; bunlardan biri Windows kullanıcı arayüzü, diğeri ise komut satırı arabirimini kullanmak.

BitLocker Anahtarını Kaydetme: Windows Arayüzü

Kurtarma anahtarını oluşturmak için Windows Denetim Masasında “BitLocker Sürücü Şifrelemesi (BitLocker Drive Encryption)” uygulamasını başlatın. Ayrıca Denetim Masası yerine Windows arama kısmına “bitlocker” yazabilir ve “BitLocker’ı yönet” seçeneğine tıklayabilirsiniz. Bir BitLocker kurtarma anahtarını kaydetmek için “Kurtarma anahtarınızı yedekleyin seçeneğine tıklayın. Bir not olarak, bu süreçte Windows hesabınızın yönetici ayrıcalıklarına sahip olması şart.

Bitlocker Sürücü Şifrelemesi

Kurtarma anahtarını Microsoft hesabınıza (Windows’ta oturum açarken kullandıysanız) veya dosya olarak (tercihen bir USB sürücüye) kaydedebilirsiniz. Ayrıca isterseniz bir kağıda not alabilirsiniz.

Bitlocker Kurtarma Anaktarını Yedekleme

Not: Windows 10 sürüm 1903’ten (veya Windows 11’in herhangi bir sürümünden) beri sistem, BitLocker kurtarma anahtarının ne zaman ve nerede yedeklendiğiyle ilgili bilgileri kaydediyor. Bu bilgiyi BitLocker kurtarma ekranı dışında hiçbir yerde göremezsiniz.

Alternatif: Komut Satırı

Alternatif olarak komut satırını kullanarak kurtarma anahtarını oluşturabilirsiniz. Arama bölümüne “Komut İstemi” yazın, istemciye sağ tıklayın ve “Yönetici olarak çalıştır” seçeneğine tıklayın. Ardından aşağıdaki komutu yazın:

manage-bde -protectors -get C:

Aşağıdaki yazıları göreceksiniz:

C:\WINDOWS\system32>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [NVME]

All Key Protectors

TPM:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
0, 2, 4, 11

Numerical Password:
ID: {YYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY}
Password:
123456-123456-123456-123456

Burada “Numerical Password (Sayısal Şifre)” alanı gerekli kurtarma anahtarını gösterecek. Bir dosyaya kaydedebilir veya yazdırabilirsiniz. İlgili anahtar kimliğini kaydettiğinizden emin olun.

PowerShell Aracılığıyla Kaydetme

Tüm şifrelenmiş diskler için tüm BitLocker kurtarma anahtarlarını ayıklayan bir PowerShell kodumuz var.

Bir metin dosyası oluşturup aşağıdaki aşağıdaki içeriği yapıştırarak aşağıdaki komut dosyasını bir .ps1 dosyası (örneğin “bitlocker-yedek.ps1”) olarak kaydedin:

# Export the BitLocker recovery keys for all drives and display them at the Command Prompt.
$BitlockerVolumers = Get-BitLockerVolume
$BitlockerVolumers |
ForEach-Object {
$MountPoint = $_.MountPoint
$RecoveryKey = [string]($_.KeyProtector).RecoveryPassword
if ($RecoveryKey.Length -gt 5) {
Write-Output ("The drive $MountPoint has a BitLocker recovery key $RecoveryKey")
}
}

Komut dosyasını yönetici ayrıcalıklarına sahip bir Windows hesabıyla ve BitLocker sürücüleri taşıyan bir bilgisayarda başlatın. Arama kısmında “PowerShell” yazın ve “Windows PowerShell”i yine “Yönetici olarak” çalıştırın. Ardından komut dosyanızın adını yazın (örneğin “bitlocker-yedek.ps1”). Çıktı olarak tüm BitLocker kurtarma anahtarlarını karşınızda göreceksiniz.

Donanım Yükseltmesi veya UEFI BIOS Güncellemesi

Bilgisayarın UEFI BIOS’unu güncellerken, herhangi bir donanımı (ekran kartı gibi) değiştirirken veya UEFI güvenlik ayarlarını değiştirirken BitLocker kilitlemesiyle karşı karşıya kalabilirsiniz. Bunun nedeni, bilgisayarınızın güven zincirinin kırılması ve TPM modülünün şifreleme anahtarını açığa çıkarmaması.

Biraz önce bahsettiğimiz yolları izlediyseniz zaten bir BitLocker kurtarma anahtarınız vardır ve her şey çok kolay. Bu noktada gerekli olan anahtarı “Kurtarma anahtarı kimliğinden (Recovery key ID)” tanımlayabilirsiniz.

Öte yandan BIOS’u güncellemeden veya bilgisayar donanımını değiştirmeden önce BitLocker korumasını geçici olarak askıya alırsanız yine hiçbir sorun yaşamazsınız. BitLocker korumasını askıya almak için Windows Denetim Masası’nda BitLocker uygulamasını açın ve “Korumayı askıya al” seçeneğine tıklayın.

Bunu yaptığınızda şifresi çözülen birim anahtarı disk başlığında saklanıyor ve sistemin bir sonraki önyüklemesinde erişim mümkün oluyor. BitLocker korumasını askıya aldıktan sonra bilgisayarı kapatın ve planlanan yükseltme/güncellemeyi gerçekleştirin. Sisteminizi açtığınızda normal şekilde yüklenecek, yeni bir güven zinciri oluşturacak ve TPM aktif olacak. Bundan sonra Windows, BitLocker korumasını otomatik olarak yeniden etkinleştirecek.

Sistemim Kilitli Kaldı

Bu ekranda Windows, görüntülenen Kurtarma anahtarı kimliğine karşılık gelen geçerli bir BitLocker kurtarma anahtarı ile sürücünün kilidini açmanızı istiyor. Bu noktaya geldiyseniz, sistemin kilidini açmanın geçerli kurtarma anahtarını girmekten başka bir yolu yok. Gerçek ikili şifreleme anahtarı bilgisayarın TPM modülünde saklandığından, Windows hesabı parolanız veya başka bir parola sistem sürücüsünün kilidini açmak için kullanılamaz. TPM modülü bu şifreleme anahtarını sağlamak istemezse, TPM modülü sıfırlandıysa veya yeniden başlatıldıysa, artık o anahtara erişiminiz mümkün değil. BitLocker kurtarma anahtarı, korumalı sürücünün şifresini çözmek ve kilidini açmak için kullanılabilecek kodlanmış şifrelemeyi içeriyor.

Bitlocker Recovery

Önemli: Bilgisayar TPM ile destekleniyorsa, BitLocker kurtarma anahtarı dışında diskin kilidini açmanın ne yazık ki başka bir yolu yok.

Kurtarma Anahtarına Nasıl Ulaşırım?

Windows 10 ve Windows 11‘de kurtarma anahtarının bir kopyası kaydedilmeden BitLocker şifrelemesi etkinleştirilemez. BitLocker Aygıt Şifrelemesi otomatik olarak çalıştığı durumda, Microsoft Hesabıyla (yerel Windows hesabı değil) sistem yöneticisi olarak oturum açan ilk kullanıcının bulut hesabına otomatik olarak kaydedildiğini not düşelim.

BitLocker Aygıt Şifrelemesi, ilk uygun oturum açma işlemine kadar etkinleştirilmeyecek. Dolayısıyla BitLocker kurtarma anahtarı da kullanıcının Microsoft Hesabına kaydedilene kadar etkinleştirilmeyecek.

Peki BitLocker kurtarma anahtarını nereden alabiliriz? Windows 10’un yeni bir sürümünü veya Windows 11’in herhangi bir sürümünü kullanıyorsanız, kurtarma anahtarının konumu hakkında size bir ipucu verilecek. Microsoft bu konuda şöyle diyor:

BitLocker meta verileri, Windows 10 sürüm 1903 veya Windows 11’de BitLocker kurtarma anahtarının ne zaman ve nerede yedeklendiği hakkında bilgi içerecek şekilde geliştirildi. Bu bilgiler, kullanıcı arayüzü veya herhangi bir genel API aracılığıyla ifşa edilmez. Kullanıcının bir birimin kurtarma anahtarını bulmasına yardımcı olmak için yalnızca BitLocker kurtarma ekranı tarafından ipuçları biçiminde kullanılır. İpuçları kurtarma ekranında görüntülenir ve anahtarın kaydedildiği konum için işaretler verir. İpuçları hem modern (mavi) hem de eski (siyah) kurtarma ekranında görüntülenir. Bu, hem önyükleme yöneticisi kurtarma ekranı hem de WinRE kilit açma ekranı için geçerlidir.

Windows üreticisine göre kurtarma anahtarını aşağıdaki yöntemlerle bulabilirsiniz. Cihazınızın kilidini açmak için 48 basamaklı bir güvenlik anahtarı o an için kritik derecede önemli.

  • Microsoft hesabınızda: Kurtarma anahtarınızı bulmak için başka bir cihazda Microsoft hesabınızla oturum açabilirsiniz. Ayrıca diğer kullanıcıların cihazda hesapları varsa, anahtara sahip olup olmadıklarını görmek için Microsoft hesaplarında oturum açmalarını isteyebilirsiniz.
  • Kaydettiğiniz bir dosyada: Kurtarma anahtarı, BitLocker etkinleştirildiğinde kaydedilen bir dosyada olabilir. Bilgisayarınızla ilgili önemli belgeleri sakladığınız bir yer varsa bu konum sizin hayatınızı kurtarabilir.
  • USB sürücüde: USB flash sürücüyü kilitli PC’nize takın ve talimatları izleyin. Anahtarı flash sürücüye bir metin dosyası olarak kaydettiyseniz, metin dosyasını okumak için farklı bir bilgisayar kullanabilirsiniz.
  • Azure Active Directory hesabında: Cihazınız bir iş veya okul e-posta hesabı kullanarak herhangi kuruluşta oturum açmışsa, kurtarma anahtarınız o kuruluşun cihazınızla ilişkili Azure AD hesabında saklanabilir. Buna doğrudan erişebilirsiniz veya kurtarma anahtarınıza erişmek için bir sistem yöneticisine başvurmanız gerekebilir.
  • Sistem yöneticinize danışın: Cihazınız bir etki alanına (genellikle bir iş veya okul cihazı) bağlıysa, kurtarma anahtarınızı bir yöneticiden talep edebilirsiniz.

İlgili yazılarYazarın diğer yazıları