بر خلاف ویندوزهای کلاینتی در تمام نسخه های ویندوزهای سرور برای استفاده از BitLocker در ویندوز سرور باید ابتدا Features مربوط به آن روی سیستم مورد نظر نصب شود.
برای نصب BitLocker نیاز به لاگین با یوزی با سطح دسترسی Administrator داریم. برای نصب BitLocker میتوان به دو روش استفاده از کنسول سرور منیجر و یا از دستورات پاورشل استفاده کرد. که ما در اینجا با استفاده از طریق Server Manager این کار را انجام میدهیم.
برای این کار با انتخاب آیکون Server Manager یا تایپ servermanager.exe در Run وارد سرور منیجر میشویم.
با انتخاب دکمه Manage در قسمت بالای نوار Server Manager گزینه Add Roles and Features را انتخاب کرده و در صفحه بعد دکمه Next را انتخاب کرده و به صفحه بعد میرویم.
در صفحه بعد دقت کنید که دکمه Role-based or feature-based installation انتخاب شده باشد و سپس دکمه Next رو برای ادامه انتخاب کنید در صفحه بعد که مربوط به انتخاب سروری است که میخواهیم نقش یا رول مورد نظر روی آن نصب شود با انتخاب Next به کارمان ادامه میدهیم.
در پنجره بعد که مربوط به انتخاب نقش یا role است بدون انتخاب موردی Next میکنیم تا به قسمت انتخاب ویژگیها برسیم و در آنجا با انتخاب گزینه BitLocker Drive Encryption روی دکمه Next کلیک میکنیم یا به صفحه بعد برویم.
در ضمن دقت داشته باشید که ویژگی Enhanced Storage هم برای استفده از قابلیت بیتلاکر مورد نیاز هست.
در صفحه بعد ابتدا تیک گزینه Restart the destination server automatically if required option را میزنیم تا اگر زمان نصب نیاز به ریستارت سیستم بود بدون وقفه در نصب این کار انجام شود و سپس روی دکمه Install کلیک میکنیم تا ویژگی BitLocker روی سیستم نصب شود.
راه اندازی قابلیت BitLocker در VM
برای راه اندازی BitLocker نیاز به ماژولی به نام Trusted Platform Module (TPM) که روی مادربرد قرار میگیرد داریم اما در ماشین های مجازی این ماژول وجود ندارد بنابراین برای راه اندازی قابلیت BitLocker در ماشینهای مجازی نیاز است که دو مرحله زیر را انجام دهید. دقت کنید که باید این ویژگی روی سیستم شما نصب شده باشد و سپس دو مرحله زیر را انجام دهید.
ابتدا به قسمت گروپ پالیسی لوکال سیستم وارد میشویم برای این کار دستور gpedit.msc را در Run تایپ کرده و دکمه اینتر را بفشارید تا وارد کنسول گروپ پالیسی شده و به مسیر زیر بروید.
Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives
در اینجا روی گزینه Require additional authentication at startup دابل کلیک کنید.
در پنجره باز شده Require additional authentication at startup را در حالت Enable قرار داده و در کادر پایین چک باکس گزینه Allow BitLocker without a compatibile TPM را نشانه دار میکنیم. بعد از این کار یک بار سیستم را رست کنید و سپس بعد از لاگین به سیستم وارد کنترل پنل شده و از آنجا روی کاشی Bitlocker Drive Encryption کلیک کرده و در صفحه باز شده روی Turn On Bitlocker کلیک کرده تا این قابلیت در سیستم فعال شود.
اکنون باید برای محافظت از دیتا و اطلاعاتی که در درایو بیتلاکر قرار میگیرد، برای آن یک پسورد انتخاب کنیم، که البته راه امنتر آن استفاده از یک فلش به عنوان قفل سخت افزاری است که در این صورت دیگر شما نیازی به وارد کردن پسورد بعد از هر بار رست شدن سیستم هم ندارید و فقط باید فلش به سیستم شما متصل باشد.
بعد از انجام این کار سیستم به شما یک recovery key یا کلید بازیابی برای زمانی که پسورد را فراموش کنید میدهد که میتوانید آنرا به صورت یک فایل در مکانی در شبکه یا روی فلش یا هر جایی بجز خود سیستم ذخیره کنید یا میتوانید برای امنیت بیشتر دستور چاپ آنرا دهید و با انتخاب دکمه Next به مرحله بعد رفته در اینجا باید نوع رمزگذاری متناسب با دیسکتان را انتخاب کنید. اگر دسک شما از نوع قابل جابجایی است گزینه Compatible Mode و در غیر اینصورت برای سرعت بیشتر میتوانید گزینه New encryption Mode را انتخاب کنید و روی Next کلیک کنید تا به صفحه بعد رفته و در آنجا روی دکمه Continue کلیک کرده تا مراحل نصب کامل شود. اگر نیاز به راه اندازی سیستم بود آنرا رست کنید تا راه اندازی قابلیت Bitlocker کامل شود.
برای بوت شدن سیستم در صورتی که Turn On Bitlocker را روی درایوی که سیستم عامل هست انجام داده باشید شما نیاز دارید که پسورد یا USB که برای دسترسی به بیتلاکر وارد کرده بودین را وارد کنید تا سیستم بتواند بوت شود. مانند تصویر زیر
پسورد را برای بوت سیستم وارد کنید تا سیستم وارد مرحله بوت از روی دیسک شود.