Share via

Веб-сайт администрирования и мониторинга BitLocker

  • Статья

Относится к Configuration Manager (Current Branch)

Веб-сайт администрирования и мониторинга BitLocker — это административный интерфейс для шифрования дисков BitLocker. Он также называется порталом службы технической поддержки. Используйте этот веб-сайт для просмотра отчетов, восстановления дисков пользователей и управления виртуальными машинами устройств.

Веб-сайт администрирования и мониторинга BitLocker по умолчанию.

Прежде чем использовать его, установите этот компонент на веб-сервере. Дополнительные сведения см. в статье Настройка отчетов и порталов BitLocker.

Доступ к веб-сайту администрирования и мониторинга по следующему URL-адресу: https://webserver.contoso.com/HelpDesk

Примечание.

Отчет об аудите восстановления можно просмотреть на веб-сайте администрирования и мониторинга. В точку служб отчетов добавляются другие отчеты по управлению BitLocker. Дополнительные сведения см. в разделе Просмотр отчетов BitLocker.

Группы

Чтобы получить доступ к определенным областям веб-сайта администрирования и мониторинга, учетная запись пользователя должна находиться в одной из следующих групп. Создайте эти группы в Active Directory с любым именем. При установке этого веб-сайта необходимо указать эти имена групп. Дополнительные сведения см. в статье Настройка отчетов и порталов BitLocker.

Group Описание
Администраторы службы поддержки BitLocker Предоставляет доступ ко всем областям веб-сайта администрирования и мониторинга. Когда вы помогаете пользователю восстановить свои диски, вы вводите только ключ восстановления, а не домен и имя пользователя. Если пользователь является членом этой группы и группы пользователей службы поддержки BitLocker, разрешения группы администраторов переопределяют разрешения группы пользователей.
Пользователи службы технической поддержки BitLocker Предоставляет доступ к областям Управление доверенным платформенный платформенный платформой и восстановлением диска на веб-сайте администрирования и мониторинга. При использовании любой из областей необходимо заполнить все поля, включая домен пользователя и имя учетной записи. Если пользователь является членом этой группы и группы администраторов службы поддержки BitLocker, разрешения группы администраторов переопределяют разрешения группы пользователей.
Пользователи отчетов BitLocker Предоставляет доступ к области "Отчеты" на веб-сайте администрирования и мониторинга.

Управление доверенным платформенный модуль

Если пользователь вводит неправильный ПИН-код слишком много раз, он может заблокировать TPM. Количество раз, когда пользователь может ввести неверный ПИН-код перед блокировкой доверенного платформенного модуля, зависит от производителя. В области Управление TPM веб-сайта администрирования и мониторинга перейдите к централизованной системе данных восстановления ключей.

Дополнительные сведения о владельцах доверенного платформенного модуля см. в статье Настройка MBAM для депонирования доверенного платформенного модуля и хранения паролей OwnerAuth.

Примечание.

Начиная с Windows 10 версии 1607, Windows не сохраняет пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля.

  1. Перейдите на веб-сайт администрирования и мониторинга в веб-браузере, например https://webserver.contoso.com/HelpDesk.

  2. В области слева выберите область Управление доверенным платформенный платформенный модуль .

    Страница веб-сайта администрирования и мониторинга BitLocker Управление доверенным платформенный модуль.

  3. Введите полное доменное имя компьютера и имя компьютера.

  4. При необходимости введите домен и имя пользователя, чтобы получить файл пароля владельца доверенного платформенного модуля.

  5. Выберите один из следующих параметров в поле Причина запроса файла пароля владельца доверенного платформенного модуля:

    • Сброс блокировки ПИН-кода
    • Включение доверенного платформенного модуля
    • Отключение доверенного платформенного модуля
    • Изменение пароля доверенного платформенного модуля
    • Очистка доверенного платформенного модуля
    • Прочее

    После отправки формы веб-сайт возвращает один из следующих ответов:

    • Если не удается найти соответствующий файл пароля владельца доверенного платформенного модуля, возвращается сообщение об ошибке.

    • Файл пароля владельца доверенного платформенного модуля для отправленного компьютера

    После получения файла пароля владельца доверенного платформенного модуля на веб-сайте отобразится пароль владельца.

  6. Чтобы сохранить пароль в файл, нажмите кнопку Сохранить.

  7. В области Управление TPM выберите параметр Сброс блокировки доверенного платформенного модуля и укажите файл пароля владельца доверенного платформенного модуля.

    Блокировка доверенного платформенного модуля сбрасывается. BitLocker восстанавливает доступ пользователя к устройству.

    Важно!

    Не делитесь хэш-значением доверенного платформенного модуля или файлом пароля владельца доверенного платформенного модуля.

Восстановление диска

Совет

Начиная с версии 2107, вы также можете получить ключи восстановления BitLocker для подключенного к клиенту устройства из центра администрирования Microsoft Intune. Дополнительные сведения см. в разделе Подключение клиента: ключи восстановления BitLocker.

Восстановление диска в режиме восстановления

Диски переходят в режим восстановления в следующих сценариях:

  • Пользователь теряет или забывает СВОЙ ПИН-код или пароль
  • Платформа доверенных модулей (TPM) обнаруживает изменения в BIOS или файлах запуска компьютера.

Чтобы получить пароль восстановления, используйте область Восстановления диска на веб-сайте администрирования и мониторинга.

Важно!

Срок действия паролей восстановления истекает после однократного использования. На дисках ОС и фиксированных дисках с данными правило одноразового использования применяется автоматически. На съемных дисках он применяется при удалении и повторном вводе диска.

  1. Перейдите на веб-сайт администрирования и мониторинга в веб-браузере, например https://webserver.contoso.com/HelpDesk.

  2. В области слева выберите область Восстановление диска .

    Страница администрирования и мониторинга веб-сайта BitLocker Driver Recovery.

  3. При необходимости введите домен и имя пользователя, чтобы просмотреть сведения о восстановлении.

  4. Чтобы просмотреть список возможных соответствующих ключей восстановления, введите первые восемь цифр идентификатора ключа восстановления. Чтобы получить точный ключ восстановления, введите весь идентификатор ключа восстановления.

  5. Выберите один из следующих параметров в качестве причины разблокировки диска:

    • Изменен порядок загрузки операционной системы
    • BIOS изменен
    • Измененные файлы операционной системы
    • Потерянный ключ запуска
    • Потерянный ПИН-код
    • Сброс доверенного платформенного модуля
    • Потеряна парольная фраза
    • Потерянная смарт-карта
    • Прочее

    После отправки формы веб-сайт возвращает один из следующих ответов:

    • Если у пользователя есть несколько совпадающих паролей восстановления, он возвращает несколько возможных совпадений.

    • Пароль восстановления и пакет восстановления для отправленного пользователя.

      Примечание.

      Если вы восстанавливаете поврежденный диск, пакет восстановления предоставляет BitLocker критически важные сведения, необходимые для восстановления диска.

    • Если не удается найти соответствующий пароль восстановления, возвращается сообщение об ошибке.

    После получения пароля восстановления и пакета восстановления на веб-сайте отобразится пароль восстановления.

  6. Чтобы скопировать пароль, выберите Копировать ключ. Чтобы сохранить пароль восстановления в файл, нажмите кнопку Сохранить.

Чтобы разблокировать диск, введите пароль восстановления или используйте пакет восстановления.

Восстановление перемещаемого диска

При перемещении диска на новый компьютер, так как TPM отличается, BitLocker не принимает предыдущий ПИН-код. Чтобы восстановить перемещенный диск, получите идентификатор ключа восстановления, чтобы получить пароль восстановления.

Чтобы восстановить перемещенный диск, используйте область восстановления диска на веб-сайте администрирования и мониторинга.

  1. На компьютере с перемещенным диском запустите компьютер в режиме Среды восстановления Windows (WinRE).

  2. В WinRE BitLocker обрабатывает перемещенный диск ОС как фиксированный диск с данными. BitLocker отображает идентификатор пароля восстановления диска и запрашивает пароль восстановления.

    Примечание.

    В некоторых ситуациях во время запуска выберите Я забыл ПИН-код , если параметр доступен. Затем войдите в режим восстановления, чтобы отобразить идентификатор ключа восстановления.

  3. Используйте идентификатор ключа восстановления, чтобы получить пароль восстановления с веб-сайта администрирования и мониторинга. Дополнительные сведения см. в разделе Восстановление диска в режиме восстановления.

Если на перемещенном диске настроено использование микросхемы доверенного платформенного модуля на исходном компьютере, выполните следующие действия. В противном случае процесс восстановления завершен.

  1. После разблокировки диска запустите компьютер в режиме WinRE. Откройте командную строку в WinRE и используйте manage-bde команду для расшифровки диска. Это средство — единственный способ удалить предохранитель TPM + PIN без исходной микросхемы доверенного платформенного модуля. Дополнительные сведения об этой команде см. в разделе Manage-bde.

  2. По завершении запустите компьютер в обычном режиме. Configuration Manager применяет политику BitLocker, чтобы зашифровать диск с помощью TPM нового компьютера и ПИН-кода.

Восстановление поврежденного диска

Используйте идентификатор ключа восстановления, чтобы получить пакет ключей восстановления с веб-сайта администрирования и мониторинга. Дополнительные сведения см. в разделе Восстановление диска в режиме восстановления.

  1. Сохраните пакет ключей восстановления на компьютере, а затем скопируйте его на компьютер с поврежденным диском.

  2. Откройте командную строку от имени администратора и введите следующую команду:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Замените следующие значения:

    • <corrupted drive>: буква диска поврежденного диска, например D:
    • <fixed drive>: буква диска доступного жесткого диска размером, аналогичному или большему размеру поврежденного диска. BitLocker восстанавливает и перемещает данные на поврежденном диске на указанный диск. Все данные на этом диске перезаписываются.
    • <key package>: расположение пакета ключей восстановления.
    • <recovery password>: связанный пароль восстановления

    Например:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Дополнительные сведения об этой команде см. в разделе Repair-bde.

Отчеты

Веб-сайт администрирования и мониторинга содержит отчет об аудите восстановления. Другие отчеты доступны в точке служб отчетов Configuration Manager. Дополнительные сведения см. в разделе Просмотр отчетов BitLocker.

  1. Перейдите на веб-сайт администрирования и мониторинга в веб-браузере, например https://webserver.contoso.com/HelpDesk.

  2. В левой области выберите область Отчеты .

  3. В верхней строке меню выберите отчет об аудите восстановления.

Дополнительные сведения об этом отчете см. в статье Отчет об аудите восстановления.

Совет

Чтобы сохранить результаты отчета, выберите Экспорт в строке меню Отчеты .