BitLocker Filo Yönetimi: KOBİ İçin Disk Şifreleme

Özet: BitLocker, Windows Pro/Enterprise sürümlerinde yerleşik gelen tam disk şifreleme teknolojisidir. KOBİ ölçeğinde laptop kaybı/çalıntısı senaryolarında KVKK ihlal riskini neredeyse sıfıra indirir; çünkü disk fiziksel olarak ele geçirilse bile veri açılamaz. Tek başına BitLocker açmak yetmez — filo yönetimi disiplini gerekir: anahtarların merkezi yedeklenmesi (AD veya Azure AD), TPM 2.0 yapılandırması, kurtarma anahtar erişim politikası, kurulum standartları. Yanlış yönetilen BitLocker = anahtar kaybı = veri kaybı. Bu yazıda KOBİ ölçeğinde BitLocker'ın nasıl güvenli ve sürdürülebilir uygulanacağını ele alıyoruz.

KOBİ'lerde "laptop'um çalındı" telefonu IT'ye geldiğinde, ilk soru: "BitLocker açık mıydı?" Cevap evet ise — laptop bir USB-stick gibi olmuş kalmıştır, hiçbir veri açılamaz. Cevap hayır ise — KVKK ihlal bildirimi 72 saat içinde yapılmalı, ilgili kişilere bilgi verilmeli, idari para cezası riski milyonlar TL. Bu fark, tek bir Windows özelliğinin doğru yönetilip yönetilmemesinde gizli.

Bu yazıda KOBİ ölçeğinde BitLocker filo yönetimi disiplinini, anahtar yönetimini ve operasyonel kontrol listesini ele alıyoruz. Hedef kitlemiz IT yöneticileri, sistem yöneticileri ve laptop filolarını KVKK uyumlu hale getirmek isteyen karar vericiler.

BitLocker Nedir?

BitLocker, Microsoft'un Windows için sunduğu tam disk şifreleme (full disk encryption) çözümüdür.

Temel Özellikler

• AES-128 veya AES-256 şifreleme
• TPM 2.0 (Trusted Platform Module) entegre — donanım anahtar saklama
• Boot süresinde şifre çözme şeffaf
• Recovery key (kurtarma anahtarı) sistemden bağımsız
• Windows 10/11 Pro/Enterprise/Education, Server'da yerleşik
• Windows Home'da sınırlı (Device Encryption, BitLocker'ın temel sürümü)

BitLocker Modları

• TPM Only: Otomatik açılır (kullanıcıdan PIN istenmez), TPM doğrulamasıyla
• TPM + PIN: Boot'ta PIN istenir, en güvenli
• TPM + USB Key: USB anahtar takılı olmalı
• TPM + PIN + USB: Üçü birden, paranoyak güvenlik
• No TPM: Sadece USB key (TPM olmayan eski cihazlar için)

KOBİ tipik tercih: TPM Only (kullanıcı sürtünmesi yok, korumayı sağlar).

KOBİ İçin BitLocker Neden Şart?

Senaryo 1: Laptop Kaybı

Çalışan havalimanı taksisinde laptop'unu unuttu. İçinde 2.000 müşteri kaydı, mali raporlar, sözleşmeler.

BitLocker'sız: Bulan kişi diski çıkarıp başka makineye takabilir, tüm veriyi okuyabilir. KVKK ihlali kesin.

BitLocker'lı: Disk şifreli, anahtar yok = veri açılamaz. KVKK ihlali yok (NIST 800-88 ve KVKK uyumu).

Senaryo 2: Hırsızlık

Ofiste laptop çalındı, hard disk çıkarıldı.

BitLocker'sız: Disk başka bilgisayara takılır, NTFS dosya sistemi okunur, herşey açık.

BitLocker'lı: Aynı senaryoda disk şifreli, geri yükleme yapamayan saldırgan veriye erişemez.

Senaryo 3: Kullanım Dışı Cihaz İmha

Eski laptop dolapta kalıyor. Yeni sahibine satılacak veya imha edilecek.

BitLocker ile: Diski formatlamak yetmez — şifreli alan kalıntıları olabilir. Doğru yöntem: BitLocker anahtarını sil, format. Kriptografik silme — saniyeler içinde tüm veri "yok" olur.

KVKK ve BitLocker

KVKK 12. madde "yeterli teknik tedbir" zorunluluğu. Disk şifreleme bu tedbirin tartışmasız bir parçası.

KVKK Veri İhlali Bildirimi

Cihaz kayıp/çalıntı + kişisel veri içeriyor + şifresiz = bildirim zorunlu. 72 saat içinde Kuruma + ilgili kişilere.

Cihaz şifreli (BitLocker) = "veri sızıntısı yok" değerlendirmesi yapılabilir; bildirim gerekmeyebilir (KVKK Kurum yorumu).

Bu fark KOBİ için milyon TL cezadan kurtulma anlamına gelir.

TPM 2.0 ve Donanım Gereksinimi

BitLocker'ın güvenliği TPM 2.0 olmadan zayıflar.

TPM 2.0 Avantajları

• Anahtar donanımda kapsüllü — yazılım saldırısıyla çıkarılamaz
• Boot bütünlüğü doğrulama
• Cold boot saldırılarına karşı dirençli

Anahtar Yedekleme — En Kritik Adım

BitLocker recovery key kayıp olursa veri kayıp olur. Filo yönetiminin kalbi anahtar yedekleme.

Yedekleme Yöntemleri

1. Active Directory (AD)

• Domain'e bağlı cihazlar için klasik
• Group Policy ile zorunlu
• Recovery key cihaz hesabında saklanır
• IT recovery key'i çekebilir

gpedit.msc
Computer Configuration → Administrative Templates →
Windows Components → BitLocker Drive Encryption →
Operating System Drives →
"Choose how BitLocker-protected operating system drives can be recovered"
→ Save BitLocker recovery information to AD DS: Enabled

2. Azure AD / Entra ID

• Azure AD joined cihazlar için
• M365 Business Premium ile gelir
• Kullanıcı kendi portalında anahtarı görebilir
• IT Azure portalından erişebilir

3. Microsoft Account (Kişisel)

• Kişisel Windows için
• KOBİ'de tercih edilmez (kontrolden çıkar)

4. Manuel Print/USB

• Kâğıda yazdır veya USB'ye kaydet
• Filo ölçeğinde sürdürülemez
• Bireysel kullanıcı için kabul edilebilir

KOBİ Önerimiz

• AD: domain joined ortam — Group Policy ile zorunlu yedekleme
• Azure AD: M365 Business Premium ortam — Intune ile zorunlu

Microsoft Intune ile BitLocker Filo Yönetimi

KOBİ'nin modern tercihidir.

Avantajları

• Bulut yönetim, internete bağlı her cihaz
• Otomatik uyumluluk takibi
• Recovery key Azure AD'de
• Kullanıcı self-service portal
• Raporlama (kim BitLocker'lı, kim değil)

Politika Tanımı

Intune > Devices > Compliance policies:

• BitLocker enabled: Required
• Encryption strength: AES-256
• Recovery key escrow: Yes (Azure AD)

Cihaz uyumlu değilse Conditional Access ile M365 erişimi engelleniyor.

MBAM — Klasik Microsoft Çözümü

MBAM (Microsoft BitLocker Administration and Monitoring) eskiden popülerdi:

• On-premise SQL Server backend
• Recovery key merkezi yönetim
• Compliance raporu
• Microsoft 2025 itibariyle support sonlandırıyor

Yeni kurulum için MBAM yerine Intune önerilir.

BitLocker Aktivasyon — Operasyonel Akış

KOBİ'de tipik filo dağıtımı:

Yeni Cihaz Akışı

1. Cihaz IT'ye geliyor
2. Windows kurulumu (Pro veya Enterprise)
3. Domain veya Azure AD'ye katma
4. Group Policy/Intune politikası uygulanır
5. BitLocker otomatik aktive — TPM only, AES-256
6. Recovery key otomatik AD/Azure AD'ye gider
7. Cihaz kullanıcıya teslim

Tüm akış IT açısından 30 dakikada tamamlanır.

Mevcut Filodaki Cihazlar

• Group Policy zorunlu kıl
• "Encryption methods" ayarı: AES-256
• Saatler içinde tüm filo otomatik şifreleme başlatır
• Performans etkisi minimum (modern donanım AES-NI)

Anahtar Erişim Politikası

Kim recovery key'e erişebilir? KOBİ politikası:

Tipik Yetki Modeli

Rol	Erişim
Domain Admin	Tüm anahtarlar
IT Yardım Masası	Sadece kullanıcısının cihazı
Kullanıcı	Kendi cihazı (Azure AD self-service)
Yönetici	Talep üzerine + onay

Audit Log

Her recovery key erişimi loglanmalı:

• Kim aldı
• Hangi cihaz için
• Ne zaman
• Sebep (talep tutanağı)

KVKK ve iç denetim için bu log şart.

TPM ve Boot Sorunları

BitLocker'ın yaygın operasyonel sorunu: yanlış BIOS/firmware güncelleme sonrası TPM resetlenir, recovery key istenir.

Yaygın Sebepler

• BIOS güncelleme
• TPM firmware güncelleme
• Anakart değişimi
• Boot sıralaması değişimi
• Secure Boot ayar değişimi

Çözüm

• BIOS güncelleme öncesi BitLocker askıya alma (manage-bde -protectors -disable C:)
• Güncelleme sonrası tekrar aktif (manage-bde -protectors -enable C:)
• Kullanıcı kendi anahtarına ulaşabilirse self-service kurtarma

Performans Etkisi

BitLocker performansı düşürür mü?

Modern Donanım

• AES-NI (Intel/AMD CPU'larda donanım hızlandırma)
• Performans kaybı %1-3
• Kullanıcı fark etmez

Eski Donanım

• AES-NI yoksa %5-10 kayıp
• Yine kullanılır, ama hissedilebilir

SSD vs HDD

• SSD'de fark daha az (zaten hızlı)
• HDD'de yazma yavaşlama hafif

KOBİ ortamında BitLocker performans bahane olarak kullanılmamalı.

Yedekleme Stratejisinde BitLocker

BitLocker, dosya yedekleme yapmaz — sadece disk şifreler.

Yedekleme Hâlâ Şart

• Disk arızası: BitLocker olsa da olmasa da veri kaybı
• Ransomware: BitLocker sadece offline cihaza koruma
• Kullanıcı yanlış silme: BitLocker silmeyi engellemez

Yedek Şifreleme

Yedek dosyaları da şifreli olmalı (yedek backup software içinde):

• Veeam encryption
• Acronis encryption
• 7-Zip + AES (manuel)
• Bulut yedek otomatik şifreli

BitLocker + şifreli yedek = her noktada veri korumalı.

Mac, Linux Cihazlarda Karşılığı

Karma KOBİ ortamında:

macOS

• FileVault (yerleşik)
• T2 chip / Apple Silicon donanımsal
• Kurtarma anahtarı iCloud veya MDM'de

Linux

• LUKS / dm-crypt (yerleşik)
• Boot esnasında parola
• Anahtar yönetimi için Tang/Clevis (network-bound)

KOBİ'de macOS varsa MDM ile FileVault zorunlu kıl; Linux'ta LUKS.

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde BitLocker destek alanlarımız:

• Mevcut filo şifreleme denetimi
• Group Policy / Intune politika tasarımı
• AD/Azure AD anahtar yedekleme
• TPM 2.0 yapılandırma
• Mevcut filoda toplu BitLocker aktivasyonu
• Anahtar erişim politikası ve audit log
• Yıllık şifreleme uyum raporu
• KVKK denetim hazırlık

Sıkça Sorulan Sorular

Sonuç

BitLocker; KOBİ filosunun mobilitesi yüksek dünyasında KVKK riskini ve veri sızıntısı senaryolarını sıfıra yakın indiren temel araçtır. Tek başına aktive etmek yetmez — anahtar yedekleme, AD/Azure AD entegrasyonu, audit log ve filo standardı disiplini şarttır. Doğru yönetilen bir BitLocker filosu; "laptop kayboldu" senaryosunu büyük krizden basit donanım kaybına çevirir.

Yamanlar Bilişim olarak ölçeğinize uygun BitLocker filo dağıtımı, anahtar yönetim mimarisi ve yıllık uyum denetimi hizmetleri sunuyor; cihazınızı şifrelemekten öte, sürdürülebilir bir disipline taşıyoruz.