Поделиться через


BitLocker

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. Доверенный платформенный модуль — это аппаратный компонент, который производители устанавливают на многих новых компьютерах. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.

  • Средство просмотра паролей восстановления BitLocker. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker — дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC).

    С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.

  • Средства шифрования диска BitLocker. В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.

Новые и измененные функции

Сведения об изменениях в BitLocker для Windows 10 см. в статье Что нового в BitLocker

 

Требования к системе

Требования BitLocker к оборудованию:

Чтобы компонент BitLocker мог использовать проверку целостности системы, которая выполняется с помощью доверенного платформенного модуля (TPM), на компьютере должен быть установлен TPM 1.2 или более поздней версии. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.

Жесткий диск должен быть разбит как минимум на два диска.

  • Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с использованием файловой системы NTFS.

  • Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. На этом диске не включается BitLocker. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска — около 350 МБ. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.

При установке на сервере необязательного компонента BitLocker также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.

В этом разделе

Тема Описание

Вопросы и ответы по BitLocker

В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.

Подготовка организации к использованию BitLocker: планирование и политики

В этом разделе для ИТ-специалистов разъясняется, как планировать развертывание BitLocker.

Базовое развертывание BitLocker

В этом разделе, предназначенном для ИТ-специалистов, описывается использование функций шифрования диска BitLocker для защиты данных.

BitLocker: развертывание в Windows Server 2012 и более поздних версиях

В этом разделе для ИТ-специалистов объясняется, как развернуть BitLocker и Windows Server 2012 и более поздней версии.

BitLocker: как включить сетевую разблокировку

В этом разделе для ИТ-специалистов описано, как работает сетевая разблокировка BitLocker и как ее настроить.

BitLocker: использование средств шифрования диска BitLocker для управления BitLocker

В этой статье для ИТ-специалистов описано использование средств для управления BitLocker.

BitLocker: использование средства просмотра пароля восстановления BitLocker

В этой статье для ИТ-специалистов показано, как использовать средство просмотра паролей восстановления в BitLocker.

Параметры групповой политики BitLocker

В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления шифрованием дисков BitLocker.

Параметры данных конфигурации загрузки и BitLocker

Этот раздел предназначен для ИТ-специалистов и посвящен описанию параметров данных конфигурации загрузки, которые используются BitLocker.

Руководство по восстановлению BitLocker

В этой статье для ИТ-специалистов описывается восстановление ключей BitLocker из AD DS.

Защита BitLocker от атак на предзагрузочную среду

Это подробное руководство поможет вам понять условия, в которых рекомендуется использовать проверку подлинности в предзагрузочной среде для устройств, работающих с Windows 10, Windows 8.1, Windows 8 или Windows 7, а также когда ее безопасно не использовать в конфигурации устройства.

Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker

В этом разделе для ИТ-специалистов описано, как защищать файлы общих томов кластеров и сетей хранения данных при помощи BitLocker.