Omówienie funkcji BitLocker

 

Dotyczy: Windows Server 2012, Windows 8

W temacie ogólnie omówiono funkcję BitLocker łącznie z listą nowych i zmienionych funkcji, wymaganiami systemowymi, zastosowaniami praktycznymi i wycofanymi funkcjami. Temat ten zawiera również linki do dodatkowej zawartości, dzięki której można dowiedzieć się więcej na temat pracy z funkcją BitLocker.

Czy chodziło o:

• AppLocker

• System szyfrowania plików

• Dostawca szyfrowania dysków funkcją BitLocker

Opis funkcji

Szyfrowanie dysków funkcją BitLocker to funkcja ochrony danych systemu operacyjnego, która została po raz pierwszy udostępniona w systemie Windows Vista. W kolejnych wersjach systemu operacyjnego poziom zabezpieczeń oferowany przez funkcję BitLocker był systematycznie zwiększany, aby umożliwić zapewnienie ochrony większej liczby dysków i urządzeń przez system operacyjny. Zintegrowanie funkcji BitLocker z systemem operacyjnym jest odpowiedzią na zagrożenia związane z kradzieżą danych lub skutkami utraty, kradzieży albo niepoprawnego wycofania z użytku komputerów. Interfejs manage-bde to narzędzie wiersza polecenia, którego można również użyć do wykonywania zadań na komputerach korzystających z funkcji BitLocker. Podczas instalowania składników opcjonalnych funkcji BitLocker na serwerze należy również zainstalować funkcję magazynu rozszerzonego, która jest używana do obsługi dysków szyfrowanych sprzętowo. Dodatkową cechą funkcji BitLocker, którą można zainstalować na serwerach, jest Odblokowywanie funkcją BitLocker przez sieć. Komputery z systemem Windows RT, Windows RT 8.1 lub Windows 8.1 mogą być chronione przy użyciu funkcji Szyfrowanie urządzeń, która jest dostosowaną wersją funkcji BitLocker.

Funkcja BitLocker zapewnia najlepszą ochronę wtedy, gdy jest używana wraz z modułem TPM w wersji 1.2 lub nowszej. Moduł TPM jest składnikiem sprzętowym zainstalowanym na wielu nowszych komputerach przez ich producentów. Moduł ten współdziała z funkcją BitLocker, aby chronić dane użytkownika i zapewniać, że komputer nie został zmodyfikowany przez niepowołane osoby, gdy system był w trybie offline.

Na komputerach, na których nie zainstalowano modułu TPM w wersji 1.2 lub nowszej, nadal można używać funkcji BitLocker do szyfrowania dysku systemu operacyjnego Windows. Jednak w przypadku tej implementacji konieczne będzie użycie przez użytkownika klucza uruchomienia USB w celu uruchomienia komputera lub wznowienia jego pracy po hibernacji. W systemie Windows 8 użycie hasła woluminu systemu operacyjnego jest inną opcją ochrony woluminu systemu operacyjnego na komputerze bez modułu TPM. Obie opcje nie zapewniają weryfikacji integralności systemu przed uruchomieniem oferowanej przez funkcję BitLocker z modułem TPM.

Oprócz modułu TPM funkcja BitLocker oferuje możliwość blokowania normalnego procesu uruchamiania systemu, dopóki użytkownik nie poda osobistego numeru identyfikacyjnego (PIN) lub nie użyje wymiennego urządzenia, takiego jak dysk flash USB, na którym znajduje się klucz uruchomienia. Te dodatkowe środki bezpieczeństwa zapewniają uwierzytelnianie wieloskładnikowe i gwarantują, że komputer nie zostanie uruchomiony lub wybudzony bez podania prawidłowego numeru PIN lub klucza uruchomienia.

Zastosowania praktyczne

Dane znajdujące się na zgubionym lub skradzionym komputerze są narażone na nieautoryzowany dostęp — przy użyciu narzędzi do ataków programowych albo przez przeniesienie dysku twardego na inny komputer. Funkcja BitLocker pomaga w ograniczeniu nieautoryzowanego dostępu do danych przez zwiększenie ochrony plików i systemu. Funkcja BitLocker pomaga również w blokowaniu dostępu do danych, gdy chronione przez nią komputery są likwidowane lub poddawane recyklingowi.

Istnieją dwa dodatkowe narzędzia administracji zdalnej serwera, których można użyć do zarządzania funkcją BitLocker.

• Przeglądarka haseł odzyskiwania funkcji BitLocker. Przeglądarka haseł odzyskiwania funkcji BitLocker umożliwia lokalizowanie i wyświetlanie haseł odzyskiwania szyfrowania dysków funkcją BitLocker, których kopia zapasowa została utworzona w Usługach domenowych Active Directory (AD DS). Tego narzędzia można użyć w celu ułatwienia odzyskiwania danych przechowywanych na dysku, który został zaszyfrowany za pomocą funkcji BitLocker. Narzędzie Przeglądarka haseł odzyskiwania funkcji BitLocker to rozszerzenie programu Microsoft Management Console (MMC) w ramach przystawki Użytkownicy i komputery usługi Active Directory.

  Za pomocą tego narzędzia można zbadać okno dialogowe Właściwości obiektu komputera, aby wyświetlić odpowiednie hasła odzyskiwania funkcji BitLocker. Ponadto można kliknąć prawym przyciskiem myszy kontener domeny, a następnie wyszukać hasła odzyskiwania funkcji BitLocker we wszystkich domenach w lesie usługi Active Directory. Aby wyświetlić hasła odzyskiwania, użytkownik musi być administratorem domeny lub mieć uprawnienia delegowane przez administratora domeny.

• Narzędzia szyfrowania dysków funkcją BitLocker. Narzędzia szyfrowania dysków funkcją BitLocker obejmują narzędzia wiersza polecenia manage-bde i repair-bde oraz polecenia cmdlet funkcji BitLocker dla programu Windows PowerShell. Polecenia cmdlet narzędzia manage-bde i funkcji BitLocker mogą służyć do wykonywania zadań za pomocą panelu sterowania funkcją BitLocker i są odpowiednie do użycia w celu automatycznego wdrażania i innych scenariuszy wykonywania skryptów. Narzędzie repair-bde służy do odzyskiwania po awarii, w wyniku której dyski chronione za pomocą funkcji BitLocker nie mogą zostać odblokowane w normalny sposób lub przy użyciu konsoli odzyskiwania.

Nowe i zmienione funkcje

W poniższej tabeli przedstawiono nowe i zmienione funkcje narzędzia BitLocker w systemie Windows 8 i Windows Server 2012. Zapoznaj się z tematem Co nowego w funkcji BitLocker.

Funkcja	Windows 7	Windows 8 i Windows Server 2012
Resetowanie numeru PIN lub hasła funkcji BitLocker	Do zresetowania numeru PIN funkcji BitLocker na dysku systemu operacyjnego i hasła na dysku stałym lub wymiennym wymagane są uprawnienia administratora.	Użytkownicy standardowi mogą zresetować numer PIN i hasło funkcji BitLocker na dyskach systemu operacyjnego oraz na stałych i wymiennych dyskach danych.
Szyfrowanie dysku	Cały dysk jest zaszyfrowany po włączeniu funkcji BitLocker.	Jeśli funkcja BitLocker jest włączona, można zaszyfrować cały dysk lub tylko jego używaną część. Dysk będzie szyfrowany wraz ze wzrostem zużycia wolnego miejsca.
Obsługa dysku zaszyfrowanego sprzętowo	Nieobsługiwane natywnie przez funkcję BitLocker.	Funkcja BitLocker może obsługiwać dyski twarde z logo systemu Windows, które zostały zaszyfrowane wstępnie przez producenta.
Odblokowywanie przy użyciu klucza sieciowego w celu zapewnienia uwierzytelniania dwuskładnikowego	Niedostępne. Na potrzeby uwierzytelniania dwuskładnikowego wymagana była obecność fizyczna przy komputerze.	Nowy typ ochrony klucza umożliwia użycie specjalnych kluczy sieciowych do odblokowywania i pomijania monitu o wprowadzenie numeru PIN w sytuacjach, gdy wykonywany jest ponowny rozruch komputerów w zaufanej sieci przewodowej. Pozwala to na wykonywanie konserwacji zdalnej na komputerach, które są chronione przy użyciu numeru PIN, poza godzinami pracy oraz umożliwia uwierzytelnianie dwuskładnikowe bez konieczności fizycznej obecności przy komputerze, zapewniając jednocześnie, że uwierzytelnianie użytkownika jest wymagane, gdy komputer nie jest połączony z zaufaną siecią.
Ochrona klastrów	Niedostępne.	System Windows Server 2012 zapewnia obsługę funkcji BitLocker w przypadku udostępnionych woluminów klastra i klastrów trybu failover systemu Windows, uruchomionych w domenie ustanowionej przez kontroler domeny systemu Windows Server 2012 z włączoną usługą centrum dystrybucji kluczy Kerberos.
Łączenie ochrony klucza funkcji BitLocker z kontem usługi Active Directory	Niedostępne.	Umożliwia powiązanie ochrony klucza funkcji BitLocker z kontem użytkownika, grupy lub komputera w usłudze Active Directory. Ta funkcja ochrony klucza może służyć do odblokowania woluminów chronionych funkcją BitLocker, gdy użytkownik jest zalogowany na komputerze przy użyciu poprawnych poświadczeń.

 

Funkcje usunięte lub przestarzałe

Do algorytmu szyfrowania AES (Advanced Encryption Standard) nie można już dodać opcji rozpraszania.

Ustawienie zasad grupy „Konfiguruj profil weryfikacji TPM” jest przestarzałe w systemach Windows 8 i Windows Server 2012. Zostało ono zastąpione zasadami specyficznymi dla systemu na komputerach z systemami BIOS i UEFI.

Opcja –tpm nie jest już obsługiwana przez narzędzie manage-bde.

Wymagania systemowe

Funkcja BitLocker ma następujące wymagania sprzętowe:

Aby funkcja BitLocker mogła używać sprawdzania integralności systemu zapewnianego przez moduł TPM, w komputerze musi znajdować się moduł TPM w wersji 1.2 lub 2.0. Jeśli w komputerze nie ma modułu TPM, włączenie funkcji BitLocker wymaga zapisania klucza uruchomienia na urządzeniu przenośnym, takim jak dysk flash USB.

Na komputerze z modułem TPM musi znajdować się również oprogramowanie układowe BIOS lub UEFI zgodne ze standardem Trusted Computing Group (TCG). Oprogramowanie układowe BIOS lub UEFI ustanawia łańcuch zaufania na potrzeby uruchamiania wstępnego systemu operacyjnego i musi zawierać obsługę mechanizmu SRTM określonego w standardzie TCG. Komputer bez modułu TPM nie wymaga oprogramowania układowego zgodnego ze standardem TCG.

System BIOS lub oprogramowanie układowe UEFI (zarówno w przypadku komputerów z modułem TPM, jak i bez tego modułu) musi obsługiwać klasę urządzeń pamięci masowej USB, w tym odczytywanie małych plików na dysku flash USB w środowisku przed uruchomieniem systemu operacyjnego. Aby uzyskać więcej informacji na temat portu USB, zobacz specyfikacje USB Mass Storage Bulk-Only and the Mass Storage UFI Command w witrynie internetowej standardu USB.

Dysk twardy musi być podzielony na co najmniej dwie partycje:

• Dysk systemu operacyjnego (lub dysk rozruchowy) zawiera system operacyjny i jego pliki pomocnicze. Musi on być sformatowany przy użyciu systemu plików NTFS.

• Dysk systemowy zawiera pliki potrzebne do załadowania systemu Windows po przygotowaniu przez oprogramowanie układowe sprzętu systemu. Funkcja BitLocker nie jest włączona na tym dysku. Aby funkcja BitLocker działała, dysk systemowy nie może być zaszyfrowany, nie może to być dysk systemu operacyjnego i musi być on sformatowany za pomocą systemu plików FAT32 na komputerach używających oprogramowania układowego UEFI lub za pomocą systemu plików NTFS na komputerach używających oprogramowania układowego BIOS. Zaleca się, aby dysk systemowy miał rozmiar około 350 MB. Po włączeniu funkcji BitLocker powinno być na nim około 250 MB wolnego miejsca.

Po zainstalowaniu na nowym komputerze system Windows automatycznie utworzy partycje wymagane dla funkcji BitLocker.

W tej bibliotece

• Co nowego w funkcji BitLocker

• Co nowego w funkcji BitLocker dla systemów Windows 8 i Windows Server 2012 [przekierowanie]

• BitLocker — często zadawane pytania

• Wdrożenie Basic funkcji BitLocker

• Funkcji BitLocker: Jak wdrożyć w systemie Windows Server 2012

• Funkcji BitLocker: Jak włączyć odblokowywania sieć

• Funkcji BitLocker: Użyj funkcji BitLocker dysk szyfrowania narzędzi do zarządzania funkcją BitLocker

• Funkcji BitLocker: Przeglądarka hasła odzyskiwania funkcji BitLocker Użyj

• Ustawienia zasad grupy funkcji BitLocker

• Ustawienia danych konfiguracji rozruchu i funkcji BitLocker

• Przewodnik odzyskiwania funkcji BitLocker

• Ochrona klastra udostępnione woluminy i sieci magazynowania z funkcją BitLocker

Zobacz też

• Przygotowywanie organizacji do używania funkcji BitLocker: planowanie i zasady

• Ochrona funkcji BitLocker przed atakami przed rozruchem

• Szyfrowany dysk twardy

• Polecenia cmdlet funkcji BitLocker w środowisku Windows PowerShell

• Artykuły Wiki TechNet

• Zabezpieczenia i ochrona

• Role serwera i technologie serwerowe w systemie Windows Server 2012 R2 i Windows Server 2012