Параметры групповой политики BitLocker
В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления шифрованием дисков BitLocker.
Чтобы разрешить или запретить пользователю выполнять те или иные задачи шифрования диска на панели управления Windows или изменить другие параметры конфигурации, можно использовать административные шаблоны групповой политики или параметры политики локального компьютера. Настройка параметров политики зависит от способа реализации BitLocker и от того, какой уровень взаимодействия с пользователем необходимо разрешить.
Примечание
Использование доверенного платформенного модуля можно регулировать при помощи отдельного набора параметров групповой политики. Дополнительные сведения об этих параметрах см. в статье Параметры групповой политики для доверенного платформенного модуля.
Доступ к параметрам групповой политики для BitLocker можно получить с помощью редактора локальных групповых политик и консоли управления групповыми политиками, развернув узел Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker.
Большая часть параметров групповой политики для BitLocker применяется при первом включении BitLocker для диска. Если компьютер несовместим с существующими параметрами групповой политики, то, возможно, не удастся включить или изменить BitLocker, пока вы не приведете компьютер в соответствие с этими параметрами. Если диск не соответствует параметрам групповой политики (например, если вы изменили параметр групповой политики после первоначального развертывания BitLocker в организации, а затем применили этот параметр к ранее зашифрованным дискам), то вам не удастся внести изменения в конфигурацию BitLocker для этого диска за исключением изменений, после которых диск станет совместимым с этими параметрами.
Если для приведения диска в соответствие с параметрами групповой политики необходимо сделать несколько изменений, то следует приостановить защиту BitLocker, внести необходимые изменения, а затем снова включить защиту. Такая ситуация может возникнуть, если, например, для съемного носителя изначально была настроена разблокировка паролем, а затем вы изменили параметры групповой политики так, чтобы запретить пароли и использовать вместо них смарт-карты. В этой ситуации необходимо приостановить защиту BitLocker с помощью программы командной строки Manage-bde, удалить метод разблокировки паролем и добавить метод разблокировки смарт-картой. После этого компонент BitLocker станет совместимым с параметром групповой политики и можно будет снова включить защиту BitLocker для диска.
Параметры групповой политики BitLocker
В разделах ниже приведен полный список параметров групповой политики для BitLocker, упорядоченных по областям применения. Среди параметров групповой политики для BitLocker есть параметры, предназначенные для определенных типов дисков (дисков операционной системы, несъемных и съемных дисков с данными), и параметры, которые применяются ко всем дискам.
С помощью указанных ниже параметров политики можно задать способ разблокировки диска, защищенного с помощью BitLocker.
"Этот параметр политики позволяет вам разрешить сетевое разблокирование при запуске".
"Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске".
"Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера".
"Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска".
"Этот параметр политики позволяет запретить обычным пользователям изменять ПИН-код или пароль".
"Этот параметр политики позволяет настроить использование паролей для дисков операционной системы".
"Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске (Windows Server 2008 и Windows Vista)".
"Этот параметр политики позволяет настроить использование смарт-карт на несъемных дисках с данными".
"Этот параметр политики позволяет настроить использование паролей для несъемных дисков с данными".
"Этот параметр политики позволяет настроить использование смарт-карт на съемных носителях с данными".
"Этот параметр политики позволяет настроить использование паролей для съемных носителей с данными".
"Этот параметр политики позволяет проверить согласованность правил использования сертификатов смарт-карт".
"Этот параметр политики позволяет включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах".
С помощью указанных ниже параметров политики можно управлять доступом пользователей к дискам и использованием BitLocker на их компьютерах.
"Этот параметр политики позволяет запретить запись на несъемные диски, не защищенные BitLocker".
"Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker".
"Этот параметр политики позволяет управлять использованием BitLocker на съемных носителях".
С помощью указанных ниже параметров политики можно задать методы и типы шифрования, используемые для BitLocker.
"Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра".
"Этот параметр политики позволяет настроить использование аппаратного шифрования для несъемных дисков с данными".
"Этот параметр политики позволяет настроить использование аппаратного шифрования для дисков операционной системы".
"Этот параметр политики позволяет настроить использование аппаратного шифрования для съемных носителей с данными".
"Применить тип шифрования диска к несъемным дискам с данными".
"Применить тип шифрования диска к дискам операционной системы".
"Применить тип шифрования диска к съемным носителям с данными".
Указанные ниже параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенному BitLocker, если метод проверки подлинности завершается ошибкой или не удается его использовать.
"Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker".
"Этот параметр политики позволяет выбрать, каким образом пользователь может восстановить диски, защищенные с помощью BitLocker (Windows Server 2008 и Windows Vista)".
"Этот параметр политики позволяет хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows Server 2008 и Windows Vista)".
"Этот параметр политики позволяет выбрать папку по умолчанию для пароля восстановления".
"Этот параметр политики позволяет выбрать метод восстановления несъемных дисков, защищенных с помощью BitLocker".
"Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker".
"Configure the pre-boot recovery message and URL".
Указанные ниже политики применяются для поддержки пользовательских сценариев развертывания в организации.
"Разрешить защищенную загрузку для проверки целостности".
"Этот параметр политики позволяет указать уникальные идентификаторы для организации".
"Запретить перезапись памяти при перезагрузке".
"Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для конфигурации встроенного ПО на базе BIOS".
"Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)".
"Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI".
"Этот параметр политики позволяет настроить сброс данных проверки платформы после восстановления BitLocker".
"Этот параметр политики позволяет настроить использование улучшенного профиля проверки данных конфигурации загрузки".
"Этот параметр политики позволяет разрешить доступ к несъемным дискам с данными, защищенными с помощью BitLocker, из более ранних версий Windows".
"Этот параметр политики позволяет разрешить доступ к съемным носителям с данными, защищенными с помощью BitLocker, из более ранних версий Windows".
Этот параметр политики позволяет вам разрешить сетевое разблокирование при запуске
Эта политика управляет рядом действий функции сетевой разблокировки в BitLocker. Она требуется для включения функции сетевой разблокировки BitLocker в сети, так как позволяет клиентам, на которых работает BitLocker, во время шифрования создавать необходимый предохранитель сетевого ключа. Эта политика используется в дополнение к политике безопасности "Сертификат сетевой разблокировки для шифрования диска BitLocker" (расположенной в папке Политики открытого ключа политики "Политика локального компьютера"), чтобы разрешить системам, подключенным к доверенной сети, правильно использовать функцию сетевой разблокировки.
Описание политики |
С помощью этого параметра политики можно разрешать или запрещать компьютеру, защищенному BitLocker, который подключен к доверенной локальной сети и присоединен к домену, создавать и использовать предохранители сетевого ключа на компьютерах с доверенным платформенным модулем для автоматической разблокировки диска операционной системы при запуске компьютера. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Клиентам, настроенным с использованием сертификата сетевой разблокировки BitLocker, разрешено создавать и использовать предохранители сетевого ключа. |
При выключенной или ненастроенной политике |
Клиентам не разрешено создавать и использовать предохранители сетевого ключа |
Справочные материалы
Чтобы использовать предохранитель сетевого ключа для разблокировки компьютера, необходимо с помощью сертификата сетевой разблокировки подготовить к работе компьютер и сервер, на котором размещается компонент сетевой разблокировки для шифрования диска BitLocker. Сертификат сетевой разблокировки используется для создания предохранителя сетевого ключа и защиты канала обмена данными, предназначенными для разблокировки компьютера, с сервером. Вы можете использовать параметр групповой политики Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики открытого ключа/Сертификат сетевой разблокировки для шифрования диска BitLocker в контроллере домена для распространения этого сертификата на компьютеры в вашей организации. В этом методе разблокировки используется доверенный платформенный модуль на компьютере, поэтому компьютеры без такого модуля неспособны создавать предохранители сетевого ключа для автоматической разблокировки с помощью функции сетевой разблокировки.
Примечание
Для надежности и безопасности компьютеры должны иметь ПИН-код запуска доверенного платформенного модуля, который можно использовать, когда компьютер отключен от проводной сети или ему не удается подключиться к контроллеру домена при запуске.
Дополнительные сведения о сетевой разблокировке см. в разделе BitLocker: включение сетевой разблокировки.
Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске
С помощью этого параметра политики можно указать доступные варианты разблокировки для дисков операционной системы.
Описание политики |
С помощью этого параметра политики вы можете указать, должен ли BitLocker требовать дополнительную проверку подлинности при каждом запуске компьютера и следует ли использовать BitLocker вместе с доверенным платформенным модулем. Этот параметр политики применяется при включении BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если необходимо использовать один метод проверки подлинности, то все остальные методы будут запрещены. Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то следует запретить использование BitLocker с ключом запуска доверенного платформенного модуля или с ключом запуска доверенного платформенного модуля и ПИН-кодом. |
При включенной политике |
Пользователи могут настраивать дополнительные параметры запуска в мастере установки BitLocker. |
При выключенной или ненастроенной политике |
Пользователи могут настраивать только основные параметры на компьютерах с доверенным платформенным модулем. При запуске можно требовать только один дополнительный параметр проверки подлинности, в противном случае возникнет ошибка политики. |
Справочные материалы
Если вы хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок Разрешить использование BitLocker без совместимого доверенного платформенного модуля. В этом режиме для запуска необходимо использовать USB-накопитель. Сведения ключа, используемые для шифрования диска, хранятся на USB-накопителе, который, таким образом, представляет собой USB-ключ. Если USB-ключ вставлен, то выполняется проверка подлинности доступа к диску и диск становится доступным. Если USB-ключ утерян или недоступен, то для доступа к диску вам потребуется использовать один из вариантов восстановления BitLocker.
Для дополнительной защиты зашифрованных данных на компьютере с совместимым доверенным платформенным модулем при запуске можно использовать четыре метода проверки подлинности. При запуске компьютера можно:
использовать для проверки подлинности только доверенный платформенный модуль;
вставить USB-устройство флэш-памяти, содержащее ключ запуска;
ввести ПИН-код длиной 4–20 цифр;
использовать USB-устройство флэш-памяти и ПИН-код.
Для компьютеров и устройств с доверенным платформенным модулем можно использовать четыре указанных ниже параметра.
"Настройка запуска доверенного платформенного модуля".
"Разрешить доверенный платформенный модуль".
"Требовать доверенный платформенный модуль".
"Запретить доверенный платформенный модуль".
"Настройка ПИН-кода запуска доверенного платформенного модуля".
"Разрешить ПИН-код запуска с доверенным платформенным модулем".
"Требовать ПИН-код запуска с доверенным платформенным модулем".
"Запретить ПИН-код запуска с доверенным платформенным модулем".
"Настройка ключа запуска доверенного платформенного модуля".
"Разрешить ключ запуска с доверенным платформенным модулем".
"Требовать ключ запуска с доверенным платформенным модулем".
"Запретить ключ запуска с доверенным платформенным модулем".
"Настройка ключа запуска доверенного платформенного модуля и ПИН-кода".
Allow TPM startup key with PIN
"Требовать ключ запуска и ПИН-код с доверенным платформенным модулем".
"Do not allow TPM startup key with PIN".
Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера
Этот параметр политики разрешает применять улучшенные ПИН-коды для методов разблокировки, в которых используется ПИН-код.
Описание политики |
С помощью этого параметра политики можно указать, следует ли использовать улучшенные ПИН-коды запуска для BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Для BitLocker будут создаваться только улучшенные ПИН-коды запуска. Это не окажет влияния на существующие диски, защищенные с помощью обычных ПИН-кодов запуска. |
При выключенной или ненастроенной политике |
Улучшенные ПИН-коды не будут использоваться. |
Справочные материалы
В улучшенных ПИН-кодах запуска можно использовать символы (в том числе буквы верхнего и нижнего регистров, символы, цифры и пробелы). Этот параметр политики применяется при включении BitLocker.
Важно
Не все компьютеры поддерживают символы улучшенных ПИН-кодов в предзагрузочной среде. Настоятельно рекомендуется, чтобы в процессе настройки BitLocker пользователи проверяли, можно ли использовать символы улучшенных ПИН-кодов в системе.
Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска
Этот параметр политики используется для настройки минимальной длины ПИН-кода в методах разблокировки, использующих ПИН-коды.
Описание политики |
С помощью этого параметра политики можно настроить минимальную длину ПИН-кода запуска доверенного платформенного модуля. Этот параметр политики применяется при включении BitLocker. ПИН-кода запуска должен иметь длину от 4 до 20 цифр включительно. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Вы можете требовать, чтобы создаваемые пользователями ПИН-коды запуска имели длину не меньше заданной. |
При выключенной или ненастроенной политике |
Пользователи могут настраивать ПИН-коды запуска длиной 4–20 цифр. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker. Длина ПИН-кода запуска должна быть в пределах от 4 до 20 цифр включительно.
Этот параметр политики позволяет запретить обычным пользователям изменять ПИН-код или пароль
С помощью этого параметра политики можно разрешить или запретить обычным пользователям изменять ПИН-коды и пароли, используемые для защиты дисков операционной системы.
Описание политики |
С помощью этого параметра политики можно разрешить или запретить обычным пользователям изменять ПИН-коды и пароли, используемые для защиты дисков операционной системы. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Обычным пользователям не разрешено изменять ПИН-коды и пароли BitLocker. |
При выключенной или ненастроенной политике |
Обычным пользователям разрешено изменять ПИН-коды и пароли BitLocker. |
Справочные материалы
Чтобы изменить ПИН-код или пароль, пользователь должен ввести текущий ПИН-код или пароль. Этот параметр политики применяется при включении BitLocker.
Этот параметр политики позволяет настроить использование паролей для дисков операционной системы
Эта политика указывает, как системы без доверенных платформенных модулей должны использовать предохранитель пароля. Эта политика используется совместно с политикой Пароль должен отвечать требованиям сложности и позволяет администраторам требовать пароли необходимой длины и сложности для использования предохранителя паролей. По умолчанию пароли должны иметь длину 8 символов. Параметры конфигурации сложности определяют необходимость подключения к домену для клиента. Для максимальной безопасности пароля администраторам следует выбирать параметр Требовать сложный пароль, так как в этом случае требуется подключение к домену и необходимо, чтобы пароль BitLocker соответствовал тем же требованиям к сложности, которые применяются для паролей входа в домен.
Описание политики |
С помощью этого параметра политики можно указать ограничения для паролей, используемых для разблокировки диска операционной системы, защищенного с помощью BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Невозможно использовать пароли при включенном соответствии FIPS. ПримечаниеПараметр политики Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания, расположенный в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности /Локальные политики/Параметры безопасности указывает, включено ли соответствие FIPS. |
При включенной политике |
Пользователи могут настраивать пароли, соответствующие заданным вами требованиям. Чтобы применить требования к сложности пароля, выберите Требовать сложный пароль. |
При выключенной или ненастроенной политике |
К паролям дисков операционной системы применяется ограничение минимальной длины в 8 символов, используемое по умолчанию. При этом проверки сложности пароля не выполняются. |
Справочные материалы
Если для дисков операционной системы разрешены предохранители, не предназначенные для доверенного платформенного модуля, вы можете подготовить пароль, применить требования к его сложности и настроить его минимальную длину. Чтобы параметр требования сложного пароля вступил в силу, необходимо включить параметр групповой политики Пароль должен отвечать требованиям сложности, расположенный в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей.
Примечание
Эти параметры применяются при включении BitLocker, а не при разблокировке тома. BitLocker разрешает разблокировку диска с помощью любых доступных на нем предохранителей.
Если выбран параметр Требовать сложный пароль, то при включенном BitLocker для проверки сложности пароля необходимо подключение к контроллеру домена. Если выбран параметр Разрешить сложность, то для проверки соответствия сложности правилам, заданным политикой, будет выполнена попытка подключения к контроллеру домена. Если не будет найдено ни одного контроллера домена, то пароль будет принят независимо от его фактической сложности, и диск будет зашифрован с использованием этого пароля в качестве предохранителя. Если включен параметр Не разрешать сложность, то проверка сложности пароля не будет выполняться.
Пароли должны иметь длину не менее 8 символов. Чтобы увеличить минимальную длину пароля, введите необходимое значение количества символов в поле Минимальная длина пароля.
Если этот параметр политики включен, можно присвоить параметру Установить сложность пароля для несъемных дисков с данными одно из указанных ниже значений.
"Разрешить сложность пароля".
"Не разрешать сложность пароля".
"Требовать сложный пароль".
Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске (Windows Server 2008 и Windows Vista)
С помощью этого параметра политики можно указать, какие варианты разблокировки должны быть доступны для компьютеров под управлением Windows Server 2008 или Windows Vista.
Описание политики |
С помощью этого параметра политики можно разрешать или запрещать мастеру установки BitLocker на компьютерах под управлением Windows Vista или Windows Server 2008 настраивать дополнительный метод проверки подлинности, который следует использовать при каждом запуске компьютера. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 и Windows Vista |
Типы дисков |
Диски операционной системы (Windows Server 2008 и Windows Vista) |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если вы укажете, что необходимо требовать дополнительный метод проверки подлинности, то другие методы проверки подлинности будут запрещены. |
При включенной политике |
Мастер установки BitLocker отображает страницу, на которой пользователь может настроить дополнительные параметры запуска для BitLocker. Затем вы можете настроить параметры для компьютеров с доверенным платформенным модулем или без него. |
При выключенной или ненастроенной политике |
Мастер установки BitLocker отображает основные действия, с помощью которых пользователи могут включить BitLocker на компьютерах с доверенным платформенным модулем. В этом базовом варианте мастера невозможно настроить дополнительный ключ запуска или ПИН-код запуска. |
Справочные материалы
Для дополнительной защиты зашифрованных данных на компьютере с совместимым доверенным платформенным модулем при запуске можно использовать два метода проверки подлинности. При запуске компьютера он может требовать вставить USB-накопитель с ключом запуска. Кроме того, компьютер может требовать от пользователей ввести ПИН-код запуска длиной от 4 до 20 цифр.
На компьютерах без совместимого доверенного платформенного модуля необходимо использовать USB-накопитель, содержащий ключ запуска. Без доверенного платформенного модуля зашифрованные с помощью BitLocker данные защищены исключительно материалом ключа, имеющемся на этом USB-накопителе.
Для компьютеров и устройств с доверенным платформенным модулем можно использовать два указанных ниже параметра.
"Настройка ПИН-кода запуска доверенного платформенного модуля".
"Разрешить ПИН-код запуска с доверенным платформенным модулем".
"Требовать ПИН-код запуска с доверенным платформенным модулем".
"Запретить ПИН-код запуска с доверенным платформенным модулем".
"Настройка ключа запуска доверенного платформенного модуля".
"Разрешить ключ запуска с доверенным платформенным модулем".
"Требовать ключ запуска с доверенным платформенным модулем".
"Запретить ключ запуска с доверенным платформенным модулем".
Эти параметры — взаимоисключающие. Если необходимо использовать ключ запуска, то не следует разрешать ПИН-код запуска. Если необходимо использовать ПИН-код запуска, то не следует разрешать ключ запуска. В противном случае возникнет ошибка политики.
Чтобы скрыть страницу с дополнительными параметрами на компьютере или устройстве с доверенным платформенным модулем, выберите для этих параметров значение Запретить для ключа запуска и ПИН-кода запуска.
Этот параметр политики позволяет настроить использование смарт-карт на несъемных дисках с данными
С помощью этого параметра политики можно требовать, разрешать или запрещать использование смарт-карт на несъемных дисках с данными.
Описание политики |
С помощью этого параметра политики можно разрешить или запретить использование смарт-карт для проверки подлинности доступа пользователя к защищенным с помощью BitLocker несъемным дискам с данными на компьютере. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Чтобы использовать смарт-карты совместно с BitLocker, вам может потребоваться изменить параметр идентификатора объекта в параметре политики Конфигурация компьютера/Административные шаблоны/Шифрование диска BitLocker/Этот параметр политики позволяет проверить согласованность правил использования сертификатов смарт-карт. Это необходимо, чтобы он совпадал с идентификатором объекта сертификатов вашей смарт-карты. |
При включенной политике |
Для проверки подлинности доступа пользователей к диску можно использовать смарт-карты. Чтобы требовать выполнение проверки подлинности с помощью смарт-карт, установите флажок Требовать использование смарт-карт на несъемных дисках с данными. |
При выключенной политике |
Пользователям не разрешено использовать смарт-карты для проверки подлинности при их доступе к защищенным с помощью BitLocker несъемным дискам с данными. |
При ненастроенной политике |
Для проверки подлинности при доступе пользователей к защищенному с помощью BitLocker диску можно использовать смарт-карты. |
Справочные материалы
Примечание
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker разрешает разблокировку диска с использованием любых доступных на нем предохранителей.
Этот параметр политики позволяет настроить использование паролей для несъемных дисков с данными
С помощью этого параметра политики можно требовать, разрешать или запрещать использование паролей на несъемных дисках с данными.
Описание политики |
С помощью этого параметра политики можно указывать, необходимо ли использовать пароль для разблокировки защищенных с помощью BitLocker несъемных дисков с данными. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Чтобы требовать использовать сложные пароли, включите параметр политики Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей/Пароль должен отвечать требованиям сложности. |
При включенной политике |
Пользователи могут настраивать пароли, соответствующие заданным вами требованиям. Чтобы требовать использование пароля, выберите Требовать пароль для несъемного диска с данными. Чтобы включить требования к сложности пароля, выберите Требовать сложный пароль. |
При выключенной политике |
Пользователю не разрешено использовать пароль. |
При ненастроенной политике |
Для паролей используются параметры по умолчанию. При этом система требует пароль длиной всего 8 символов и не предъявляет никаких требований к его сложности. |
Справочные материалы
Если выбран параметр Требовать сложный пароль, то при включенном BitLocker для проверки сложности пароля необходимо подключение к контроллеру домена.
Если выбран параметр Разрешить сложность, то для проверки соответствия сложности правилам, заданным политикой, будет выполнена попытка подключения к контроллеру домена. Тем не менее если не будет найдено ни одного контроллера домена, пароль будет принят независимо от его фактической сложности, а диск будет зашифрован с использованием этого пароля в качестве предохранителя.
Если включен параметр Не разрешать сложность, то система не будет проверять сложность пароля.
Пароли должны иметь длину не менее 8 символов. Чтобы увеличить минимальную длину пароля, введите необходимое значение количества символов в поле Минимальная длина пароля.
Примечание
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker разрешает разблокировку диска с помощью любых доступных на нем предохранителей.
Чтобы параметр требований к сложности пароля вступил в силу, необходимо включить параметр групповой политики Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей/Пароль должен отвечать требованиям сложности.
Этот параметр политики следует настроить для каждого компьютера. Это означает, что он применяется к учетным записям локальных пользователей и учетным записям пользователей домена. Из-за того что фильтр паролей, используемый для проверки их сложности, расположен в контроллерах домена, учетным записям локальных пользователей не удается получить доступ к фильтру паролей, так как они не прошли проверку подлинности для доступа к домену. Если этот параметр политики включен и при этом вы пытаетесь выполнить вход с помощью учетной записи локального пользователя и зашифровать диск или изменить пароль на существующем диске, защищенном с помощью BitLocker, отобразится сообщение "Доступ запрещен". В этом случае не удастся добавить предохранитель ключа пароля на диск.
Чтобы включить этот параметр политики, перед добавлением предохранителя ключа пароля на защищенный с помощью BitLocker диск необходимо подключиться к домену. Пользователи, которые работают удаленно и которым в определенные периоды времени не удается подключиться к домену, должны знать об этом требовании. В этом случае они могут планировать время подключения к домену, чтобы включить BitLocker или изменить пароль на защищенном с помощью BitLocker диске с данными.
Важно
Невозможно использовать пароли при включенном соответствии FIPS. Параметр политики Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности указывает, включено ли соответствие FIPS.
Этот параметр политики позволяет настроить использование смарт-карт на съемных носителях с данными
С помощью этого параметра политики можно требовать, разрешать или запрещать использование смарт-карт на съемных дисках с данными.
Описание политики |
Этот параметра политики указывает, можно ли использовать смарт-карты для проверки подлинности доступа пользователя к защищенным с помощью BitLocker съемным дискам с данными на компьютере. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Чтобы использовать смарт-карты совместно с BitLocker, вам может потребоваться изменить параметр идентификатора объекта в параметре политики Конфигурация компьютера/Административные шаблоны/Шифрование диска BitLocker/Этот параметр политики позволяет проверить согласованность правил использования сертификатов смарт-карт. Это необходимо, чтобы он совпадал с идентификатором объекта сертификатов вашей смарт-карты. |
При включенной политике |
Для проверки подлинности доступа пользователей к диску можно использовать смарт-карты. Чтобы система требовала выполнять проверку подлинности смарт-карт, установите флажок Требовать использование смарт-карт на съемных дисках с данными. |
При выключенной или ненастроенной политике |
Пользователям не разрешено использовать смарт-карты для проверки подлинности при доступе к защищенным с помощью BitLocker съемным дискам с данными. |
При ненастроенной политике |
Пользователи могут использовать смарт-карты для проверки подлинности при доступе к защищенным с помощью BitLocker съемным дискам с данными. |
Справочные материалы
Примечание
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker разрешает разблокировку диска с помощью любых доступных на нем предохранителей.
Этот параметр политики позволяет настроить использование паролей для съемных носителей с данными
С помощью этого параметра политики можно требовать, разрешать или запрещать использование паролей на съемных дисках с данными.
Описание политики |
С помощью этого параметра политики можно указать, необходимо ли использовать пароль для разблокировки защищенных с помощью BitLocker съемных дисков с данными. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Чтобы система проверяла сложность паролей, необходимо включить параметр Пароль должен отвечать требованиям сложности, расположенный в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей. |
При включенной политике |
Пользователи могут настраивать пароли, соответствующие заданным вами требованиям. Чтобы система требовала использовать пароль, выберите Требовать пароль для съемного носителя с данными. Чтобы включить требования к сложности пароля, выберите Требовать сложный пароль. |
При выключенной политике |
Пользователю не разрешено использовать пароль. |
При ненастроенной политике |
Для паролей используются параметры по умолчанию. При этом система требует пароль длиной всего 8 символов и не предъявляет никаких требований к его сложности. |
Справочные материалы
Если вы разрешите использовать пароль, то можете потребовать указать пароль, который предполагается использовать, применить требования к его сложности и настроить минимальную длину пароля. Чтобы параметр требования сложного пароля вступил в силу, необходимо включить параметр групповой политики Пароль должен отвечать требованиям сложности, расположенный в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей.
Примечание
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker разрешает разблокировку диска с помощью любых доступных на нем предохранителей.
Пароли должны иметь длину не менее 8 символов. Чтобы увеличить минимальную длину пароля, введите необходимое значение количества символов в поле Минимальная длина пароля.
Если выбран параметр Требовать сложный пароль, то при включенном BitLocker для проверки сложности пароля необходимо подключение к контроллеру домена.
Если выбран параметр Разрешить сложность, то для проверки соответствия сложности пароля правилам, заданным политикой, система попытается подключиться к контроллеру домена. Тем не менее если не будет найдено ни одного контроллера домена, пароль будет принят независимо от его фактической сложности, а диск будет зашифрован с использованием этого пароля в качестве предохранителя.
Если включен параметр Не разрешать сложность, то система не будет проверять сложность пароля.
Примечание
Невозможно использовать пароли при включенном соответствии FIPS. Параметр политики Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания в разделе Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности указывает, включено ли соответствие FIPS.
Дополнительные сведения об этом параметре см. в статье Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
Этот параметр политики позволяет проверить согласованность правил использования сертификатов смарт-карт
С помощью этого параметра политики можно определить, какой сертификат необходимо использовать для BitLocker.
Описание политики |
С помощью этого параметра политики вы можете сопоставить идентификатор объекта из сертификата смарт-карты с диском, защищенным с помощью BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные и несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Нет |
При включенной политике |
Идентификатор объекта, указанный в параметре Идентификатор объекта, должен совпадать с идентификатором объекта в сертификате смарт-карты. |
При выключенной или ненастроенной политике |
Используется идентификатор объекта по умолчанию. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
Идентификатор объекта указывается в расширенном использовании ключа сертификата. BitLocker может определить, какие сертификаты можно использовать для проверки подлинности сертификата пользователя для защищенного с помощью BitLocker диска, сравнивая идентификатор объекта в сертификате с идентификатором объекта, определенным этим параметром политики.
Идентификатор объекта по умолчанию: 1.3.6.1.4.1.311.67.1.1.
Примечание
BitLocker не требует, чтобы у сертификата был атрибут EKU. Тем не менее если для сертификата настроен такой атрибут, ему необходимо присвоить идентификатор объекта, совпадающий с идентификатором объекта, настроенным для BitLocker.
Этот параметр политики позволяет включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах
С помощью этого параметра политики можно включить параметры проверки подлинности, которые требуют ввода данных пользователем в среде предварительной загрузки, даже если платформа сообщает об отсутствии такой возможности.
Описание политики |
С помощью этого параметра политики можно разрешить пользователям включать параметры проверки подлинности, которые требуют ввода данных пользователями в среде предварительной загрузки, даже если платформа сообщает об отсутствии такой возможности. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диск операционной системы |
Конфликты |
Нет |
При включенной политике |
Устройство должно быть оснащено альтернативными средствами ввода данных при предварительной загрузке (например, к нему должна быть подключена клавиатура USB). |
При выключенной или ненастроенной политике |
Чтобы можно было вводить пароль восстановления BitLocker, на планшетах должна быть включена среда восстановления Windows. |
Справочные материалы
Сенсорная клавиатура Windows (например, используемая в планшетах) недоступна в среде предварительной загрузки, в которой необходимо вводить дополнительные сведения для BitLocker, например ПИН-код или пароль.
Рекомендуется, чтобы администраторы включали эту политику только для устройств, у которых во время предварительной загрузки имеются альтернативные средства ввода данных, например клавиатура USB.
Если среда восстановления Windows и эта политика не включены, то вам не удастся включить BitLocker на устройстве, в котором используется сенсорная клавиатура Windows.
Если вы не включите этот параметр политики, то указанные ниже параметры политики Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске могут быть недоступными.
"Configure TPM startup PIN: Required and Allowed".
"Configure TPM startup key and PIN: Required and Allowed".
"Этот параметр политики позволяет настроить использование паролей для дисков операционной системы".
Этот параметр политики позволяет запретить запись на несъемные диски, не защищенные BitLocker
С помощью этого параметра политики можно задать обязательное шифрование несъемных дисков перед предоставлением доступа на запись.
Описание политики |
С помощью этого параметра политики можно указать, необходимо ли использовать защиту BitLocker, чтобы можно было записывать информацию на несъемные диски с данными на компьютере. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Описание конфликтов см. в разделе "Справочные материалы". |
При включенной политике |
Все несъемные диски с данными, не защищенные с помощью BitLocker, подключаются только для чтения. Если диск защищен с помощью BitLocker, то он будет подключен для чтения и записи. |
При выключенной или ненастроенной политике |
Все несъемные диски с данными на компьютере подключаются для чтения и записи. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
Ниже указаны возможные конфликтные ситуации.
Если этот параметр политики включен, то при попытках пользователей сохранить данные на незашифрованные несъемные диски с данными отображается сообщение об ошибке "Доступ запрещен". Сведения о других конфликтах см. в разделе "Справочные материалы".
Если на компьютере включен этот параметр политики и работает программа BdeHdCfg.exe, то могут возникнуть указанные ниже проблемы.
Если вы попытаетесь сжать диск и создать системный диск, то будет уменьшен размер диска и появится новый раздел. Это будет неформатированный раздел. Отобразится сообщение об ошибке "Невозможно отформатировать новый активный диск. Возможно, потребуется вручную подготовить диск для BitLocker".
Если вы попытаетесь использовать незанятое пространство, чтобы создать системный диск, появится новый раздел. Этот раздел не будет отформатирован. Отобразится сообщение об ошибке "Невозможно отформатировать новый активный диск. Возможно, потребуется вручную подготовить диск для BitLocker".
Если вы попытаетесь объединить существующий диск с системным диском, то программе не удастся скопировать необходимый корневой файл на целевой диск, чтобы создать системный диск. Отобразится сообщение об ошибке "Установке BitLocker не удалось скопировать файлы загрузки. Возможно, потребуется вручную подготовить диск для BitLocker".
Если применен этот параметр политики, то не удастся изменить разделы жесткого диска, так как он защищен. Если вы обновляете компьютеры в организации с предыдущей версии Windows, и у этих компьютеров имеется по одному разделу, то перед применением этого параметра политики к компьютерам следует создать необходимые системные разделы BitLocker.
Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker
С помощью этого параметра политики можно требовать шифровать съемные диски, прежде чем можно будет получить к ним доступ на запись, и указывать, можно ли открывать защищенные BitLocker съемные диски, настроенные в другой организации, для доступа на запись.
Описание политики |
С помощью этого параметра политики можно указать, необходимо ли использовать защиту BitLocker, чтобы компьютер мог записывать данные на съемный диск с данными. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Описание конфликтов см. в разделе "Справочные материалы". |
При включенной политике |
Все съемные диски с данными, не защищенные с помощью BitLocker, подключаются только для чтения. Если диск защищен с помощью BitLocker, то он будет подключен для чтения и записи. |
При выключенной или ненастроенной политике |
Все съемные диски с данными на компьютере подключаются для чтения и записи. |
Справочные материалы
Если выбран параметр Запретить запись на устройства, настроенные в другой организации, то доступ на запись будет предоставлен только к дискам, у которых поля идентификации совпадают с полями идентификации компьютера. При доступе к съемному диску с данными проверяется наличие на нем допустимого поля идентификации и разрешенных полей идентификации. Эти поля определяются параметром политики Этот параметр политики позволяет указать уникальные идентификаторы для организации.
Примечание
Вы можете переопределить этот параметр политики с помощью параметров политики в разделе Конфигурация пользователя/Административные шаблоны/Система/Доступ к съемным запоминающим устройствам. Если включен параметр политики Съемные диски: Запретить запись, то он будет проигнорирован.
Ниже указаны возможные конфликтные ситуации.
Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то следует запретить использование BitLocker с доверенным платформенным модулем и ключом запуска или с доверенным платформенным модулем, ключом запуска и ПИН-кодом.
Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то необходимо запретить использование ключей восстановления.
Если необходимо запретить запись на диски, настроенные в другой организации, включите параметр Этот параметр политики позволяет указать уникальные идентификаторы для организации.
Этот параметр политики позволяет управлять использованием BitLocker на съемных носителях
С помощью этого параметра политики можно запретить пользователям включать или выключать BitLocker на съемных дисках с данными.
Описание политики |
С помощью этого параметра политики можно управлять использованием BitLocker на съемных дисках с данными. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Нет |
При включенной политике |
Вы можете выбрать параметры свойства, управляющие способами настройки BitLocker для пользователей. |
При выключенной политике |
Пользователям не разрешено использовать BitLocker на съемных дисках с данными. |
При ненастроенной политике |
Пользователи могут использовать BitLocker на съемных дисках с данными. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
Дополнительные сведения о приостановке защиты BitLocker см. в разделе Базовое развертывание BitLocker.
Ниже перечислены параметры свойства, управляющие способами, которыми пользователи могут настроить BitLocker.
Разрешить пользователям применять защиту BitLocker для съемных носителей с данными. Позволяет пользователю запускать мастер установки BitLocker на съемном диске с данными.
Разрешить пользователям отключать и использовать BitLocker для шифрования съемных носителей с данными. Позволяет пользователям удалять BitLocker с диска или приостанавливать шифрование на время обслуживания.
Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра
С помощью этого параметра политики можно управлять методом шифрования и стойкостью шифра.
Описание политики |
С помощью этого параметра политики можно управлять методом и стойкостью шифрования для дисков. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Все диски |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Нет |
При включенной политике |
Вы можете выбрать алгоритм шифрования и стойкость шифра ключа для шифрования дисков с помощью BitLocker. |
При выключенной или ненастроенной политике |
По умолчанию BitLocker использует метод шифрования AES со 128-разрядным ключом или метод, указанный сценарием настройки. |
Справочные материалы
По умолчанию BitLocker использует шифрование AES со 128-разрядным ключом. Доступные варианты: AES-128 и AES-256. Значения этой политики задают стойкость шифра, который BitLocker использует для шифрования. Предприятиям может потребоваться управлять уровнем шифрования для повышения безопасности (алгоритм AES-256 более стойкий, чем алгоритм AES-128).
Если диск уже зашифрован или идет процесс шифрования, то изменение метода шифрования ни на что не повлияет. В таких случаях этот параметр политики будет проигнорирован.
Предупреждение
Эта политика не применяется к зашифрованным дискам. Для зашифрованных дисков используется собственный алгоритм, который указывается для диска во время создания разделов на нем.
Если этот параметр политики выключен, BitLocker использует алгоритм AES с той же разрядностью ключа (128 или 256 разрядов), которая указана в параметре политики Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра (Windows Vista, Windows Server 2008, Windows 7). Если не настроено ни одной политики, BitLocker использует метод шифрования по умолчанию (AES-128) или метод шифрования, указанный в сценарии настройки.
Этот параметр политики позволяет настроить использование аппаратного шифрования для несъемных дисков с данными
Эта политика управляет реакцией BitLocker на системы с зашифрованными дисками, когда они используются в качестве несъемных томов с данными. Аппаратное шифрование может повысить производительность операций с диском при частой записи данных на диск или их чтении с диска.
Описание политики |
С помощью этого параметра политики можно управлять тем, как BitLocker использует аппаратное шифрование на несъемных дисках с данными, и указать, какие алгоритмы шифрования может использовать BitLocker при аппаратном шифровании. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Нет |
При включенной политике |
С помощью дополнительных параметров вы можете указать, необходимо ли вместо аппаратного шифрования использовать программное шифрование BitLocker на компьютерах, не поддерживающих аппаратное шифрование. Кроме того, вы можете указать, необходимо ли ограничивать алгоритмы шифрования и наборы шифров, используемые при аппаратном шифровании. |
При выключенной политике |
BitLocker не применяет аппаратное шифрование для несъемных дисков с данными, а если диск зашифрован, то по умолчанию используется программное шифрование BitLocker. |
При ненастроенной политике |
BitLocker использует аппаратное шифрование, применяя алгоритм, заданный для диска. Если аппаратное шифрование недоступно, вместо него используется программное шифрование BitLocker. |
Справочные материалы
Примечание
Параметр политики Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра не применяется к аппаратному шифрованию.
Алгоритм, используемый аппаратным шифрованием, задается при создании разделов на диске. По умолчанию BitLocker использует алгоритм, настроенный на диске для его шифрования. Вариант Ограничить алгоритмы и наборы шифрования, разрешенные для аппаратного шифрования этого параметра позволяет ограничивать алгоритмы шифрования, которые BitLocker может использовать при аппаратном шифровании. Если заданный для диска алгоритм недоступен, BitLocker отключает аппаратное шифрование. Алгоритмы шифрования определяются идентификаторами объектов, например указанными ниже.
Идентификатор объекта для алгоритма AES 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
Идентификатор объекта для алгоритма AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Этот параметр политики позволяет настроить использование аппаратного шифрования для дисков операционной системы
Эта политика управляет реакцией BitLocker при использовании зашифрованных дисков в качестве дисков операционной системы. Аппаратное шифрование может повысить производительность операций с диском при частой записи данных на диск или их чтении с диска.
Описание политики |
С помощью этого параметра политики можно управлять тем, как BitLocker использует аппаратное шифрование на дисках операционной системы, и указать, какие алгоритмы шифрования можно использовать при аппаратном шифровании. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
С помощью дополнительных параметров вы можете указать, необходимо ли вместо аппаратного шифрования использовать программное шифрование BitLocker на компьютерах, не поддерживающих аппаратное шифрование. Кроме того, вы можете указать, необходимо ли ограничивать алгоритмы шифрования и наборы шифров, используемые при аппаратном шифровании. |
При выключенной политике |
BitLocker не применяет аппаратное шифрование для дисков операционной системы, а если диск зашифрован, то по умолчанию используется программное шифрование BitLocker. |
При ненастроенной политике |
BitLocker использует аппаратное шифрование, применяя алгоритм, заданный для диска. Если аппаратное шифрование недоступно, вместо него используется программное шифрование BitLocker. |
Справочные материалы
Если аппаратное шифрование недоступно, вместо него используется программное шифрование BitLocker.
Примечание
Параметр политики Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра не применяется к аппаратному шифрованию.
Алгоритм, используемый аппаратным шифрованием, задается при создании разделов на диске. По умолчанию BitLocker использует алгоритм, настроенный на диске для его шифрования. Вариант Ограничить алгоритмы и наборы шифрования, разрешенные для аппаратного шифрования этого параметра позволяет ограничивать алгоритмы шифрования, которые BitLocker может использовать при аппаратном шифровании. Если заданный для диска алгоритм недоступен, BitLocker отключает аппаратное шифрование. Алгоритмы шифрования определяются идентификаторами объектов, например указанными ниже.
Идентификатор объекта для алгоритма AES 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
Идентификатор объекта для алгоритма AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Этот параметр политики позволяет настроить использование аппаратного шифрования для съемных носителей с данными
Эта политика управляет реакцией BitLocker на зашифрованные съемные диски с данными. Аппаратное шифрование может повысить производительность операций с диском при частой записи данных на диск или их чтении с диска.
Описание политики |
С помощью этого параметра политики можно управлять тем, как BitLocker использует аппаратное шифрование на съемных дисках с данными, и указать, какие алгоритмы он может использовать при аппаратном шифровании. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Нет |
При включенной политике |
С помощью дополнительных параметров вы можете указать, необходимо ли вместо аппаратного шифрования использовать программное шифрование BitLocker на компьютерах, не поддерживающих аппаратное шифрование. Кроме того, вы можете указать, необходимо ли ограничивать алгоритмы шифрования и наборы шифров, используемые при аппаратном шифровании. |
При выключенной политике |
BitLocker не применяет аппаратное шифрование для съемных дисков с данными, а если диск зашифрован, по умолчанию используется программное шифрование BitLocker. |
При ненастроенной политике |
BitLocker использует аппаратное шифрование, применяя алгоритм, заданный для диска. Если аппаратное шифрование недоступно, вместо него используется программное шифрование BitLocker. |
Справочные материалы
Если аппаратное шифрование недоступно, вместо него используется программное шифрование BitLocker.
Примечание
Параметр политики Этот параметр политики позволяет выбрать метод шифрования диска и стойкость шифра не применяется к аппаратному шифрованию.
Алгоритм, используемый аппаратным шифрованием, задается при создании разделов на диске. По умолчанию BitLocker использует алгоритм, настроенный на диске для его шифрования. Вариант Ограничить алгоритмы и наборы шифрования, разрешенные для аппаратного шифрования этого параметра позволяет ограничивать алгоритмы шифрования, которые BitLocker может использовать при аппаратном шифровании. Если заданный для диска алгоритм недоступен, BitLocker отключает аппаратное шифрование. Алгоритмы шифрования определяются идентификаторами объектов, например указанными ниже.
Идентификатор объекта для алгоритма AES 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
Идентификатор объекта для алгоритма AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Применить тип шифрования диска к несъемным дискам с данными
Эта политика указывает тип шифрования, который необходимо использовать для несъемных дисков с данными: шифрование только использованного пространства на диске или шифрование всего диска. Если настроена эта политика, мастер установки BitLocker не отображает страницу параметров шифрования и, соответственно, не предоставляет пользователю возможность выбрать тип шифрования.
Описание политики |
С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Нет |
При включенной политике |
Эта политика указывает тип шифрования, который BitLocker должен использовать для шифрования дисков. При этом мастер установки BitLocker не позволяет пользователю выбрать тип шифрования. |
При выключенной или ненастроенной политике |
Перед включением BitLocker мастер установки BitLocker предлагает пользователю выбрать тип шифрования. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker. Если диск уже зашифрован или идет процесс шифрования, то изменение типа шифрования ни на что не повлияет. Выберите значение "Полное шифрование", чтобы при включении BitLocker требовать шифровать весь диск. Выберите значение "Только использованное пространство", чтобы при включении BitLocker требовать шифровать только ту часть диска, которая используется для хранения данных.
Примечание
Если вы сжимаете или расширяете том и при этом драйвер BitLocker использует текущий метод шифрования, то эта политика будет проигнорирована. Например, в отличие от варианта шифрования всего диска при расширении диска, на котором используется шифрование только занятого пространства, не выполняется очистка нового свободного пространства. Пользователь может очистить свободное пространство на диске, работающем в режиме шифрования только занятого пространства, выполнив команду manage-bde -w. Если том сжат, то для нового свободного пространства не будет выполнено никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Применить тип шифрования диска к дискам операционной системы
Эта политика указывает, какой тип шифрования необходимо использовать для дисков операционной системы: шифрование всего диска или шифрование только занятого пространства. Если настроена эта политика, мастер установки BitLocker не отображает страницу параметров шифрования и, соответственно, не предоставляет пользователю возможность выбрать тип шифрования.
Описание политики |
С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Эта политика указывает тип шифрования, который BitLocker использует для шифрования дисков. При этом мастер установки BitLocker не позволяет пользователю выбрать тип шифрования. |
При выключенной или ненастроенной политике |
Перед включением BitLocker мастер установки BitLocker предлагает пользователю выбрать тип шифрования. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker. Если диск уже зашифрован или идет процесс шифрования, то изменение типа шифрования ни на что не повлияет. Выберите значение "Полное шифрование", чтобы при включении BitLocker требовать шифровать весь диск. Выберите значение "Только использованное пространство", чтобы при включении BitLocker требовать шифровать только ту часть диска, которая используется для хранения данных.
Примечание
Если вы сжимаете или расширяете том и при этом драйвер BitLocker использует текущий метод шифрования, то эта политика будет проигнорирована. Например, в отличие от варианта шифрования всего диска при расширении диска, на котором используется шифрование только занятого пространства, не выполняется очистка нового свободного пространства. Пользователь может очистить свободное пространство на диске, работающем в режиме шифрования только занятого пространства, выполнив команду manage-bde -w. Если том сжат, то для нового свободного пространства не будет выполнено никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Применить тип шифрования диска к съемным носителям с данными
Эта политика указывает тип шифрования, который необходимо использовать для несъемных дисков с данными: шифрование только использованного пространства на диске или шифрование всего диска. Если настроена эта политика, мастер установки BitLocker не отображает страницу параметров шифрования и, соответственно, не предоставляет пользователю возможность выбрать тип шифрования.
Описание политики |
С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Нет |
При включенной политике |
Эта политика указывает тип шифрования, который BitLocker использует для шифрования дисков. При этом мастер установки BitLocker не позволяет пользователю выбрать тип шифрования. |
При выключенной или ненастроенной политике |
Перед включением BitLocker мастер установки BitLocker предлагает пользователю выбрать тип шифрования. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker. Если диск уже зашифрован или идет процесс шифрования, то изменение типа шифрования ни на что не повлияет. Выберите значение "Полное шифрование", чтобы при включении BitLocker требовать шифровать весь диск. Выберите значение "Только использованное пространство", чтобы при включении BitLocker требовать шифровать только ту часть диска, которая используется для хранения данных.
Примечание
Если вы сжимаете или расширяете том и при этом драйвер BitLocker использует текущий метод шифрования, то эта политика будет проигнорирована. Например, в отличие от варианта шифрования всего диска при расширении диска, на котором используется шифрование только занятого пространства, не выполняется очистка нового свободного пространства. Пользователь может очистить свободное пространство на диске, работающем в режиме шифрования только занятого пространства, выполнив команду manage-bde -w. Если том сжат, то для нового свободного пространства не будет выполнено никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker
С помощью этого параметра политики можно настроить методы восстановления для дисков операционной системы.
Описание политики |
С помощью этого параметра политики можно выбирать способ восстановления защищенных с помощью BitLocker дисков операционной системы в отсутствие необходимой информации ключа запуска. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то необходимо запретить использование ключей восстановления. При использовании агентов восстановления данных необходимо включить параметр политики Этот параметр политики позволяет указать уникальные идентификаторы для организации. |
При включенной политике |
Вы можете выбирать методы восстановления данных на защищенных с помощью BitLocker дисках операционной системы, которые будут доступны для пользователей. |
При выключенной или ненастроенной политике |
Для восстановления BitLocker поддерживаются параметры восстановления по умолчанию. По умолчанию разрешен агент восстановления данных, пользователь может указывать параметр восстановления (включая пароль восстановления и ключ восстановления), а резервные копии сведений для восстановления не сохраняются в доменных службах Active Directory. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
С помощью флажка Разрешить агент восстановления данных можно разрешить использование агента восстановления данных для защищенных с помощью BitLocker дисков операционной системы. Прежде чем использовать агент восстановления данных, необходимо добавить его из раздела Политики открытого ключа в консоли управления групповыми политиками или в редакторе локальных групповых политик.
Дополнительные сведения о добавлении агентов восстановления данных см. в разделе Базовое развертывание BitLocker.
С помощью параметра Настройка хранения данных восстановления BitLocker пользователя можно разрешить или запретить пользователю, а также требовать создание пароля восстановления, состоящего из 48 цифр.
Выберите параметр Пропускать параметры восстановления в мастере установки BitLocker, чтобы запретить пользователям указывать параметры восстановления, когда они включают BitLocker на диске. Это означает, что при включении BitLocker вам не удастся выбрать параметр восстановления. Вместо этого параметры восстановления BitLocker для диска будут определяться параметром политики.
С помощью параметра Сохранить данные восстановления BitLocker в доменных службах Active Directory можно указать, какие данные восстановления BitLocker для дисков операционной системы необходимо сохранять в доменных службах Active Directory. Если вы выберете параметр Сохранить пароли восстановления и пакеты ключей, то пароль восстановления и пакет ключей BitLocker будут сохранены в доменных службах Active Directory. Хранение пакета ключей позволяет восстанавливать данные с физически поврежденных дисков. Если выбрать параметр Сохранить только пароли восстановления, то в доменных службах Active Directory будет сохранен только пароль восстановления.
Установите флажок Не включать BitLocker до сохранения данных восстановления в доменных службах Active Directory для дисков операционной системы, если необходимо запретить пользователям включать BitLocker за исключением случаев, когда компьютер подключен к домену и успешно выполнено резервное копирование данных восстановления BitLocker в доменных службах Active Directory.
Примечание
Если установлен флажок Не включать BitLocker до сохранения данных восстановления в доменных службах Active Directory для дисков операционной системы, то будет автоматически создан пароль восстановления.
Этот параметр политики позволяет выбрать, каким образом пользователь может восстановить диски, защищенные с помощью BitLocker (Windows Server 2008 и Windows Vista)
С помощью этого параметра политики можно настроить методы восстановления для защищенных с помощью BitLocker дисков на компьютерах под управлением Windows Server 2008 или Windows Vista.
Описание политики |
Этот параметр политики позволяет указать, можно ли в мастере установки BitLocker отображать и задавать параметры восстановления BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 и Windows Vista |
Типы дисков |
Диски операционной системы и несъемные диски с данными на компьютерах под управлением Windows Server 2008 и Windows Vista |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Этот параметр политики позволяет использовать административный метод восстановления зашифрованных с помощью BitLocker данных, чтобы предотвратить потерю данных из-за отсутствия информации ключа. Если для обоих вариантов пользовательского восстановления выбрать параметр Запретить, то для предотвращения ошибки политики необходимо включить параметр политики Этот параметр политики позволяет хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows Server 2008 и Windows Vista). |
При включенной политике |
Вы можете настроить параметры восстановления зашифрованных с помощью BitLocker данных, которые мастер установки BitLocker должен отображать для пользователей. |
При выключенной или ненастроенной политике |
Мастер установки BitLocker предоставляет пользователям варианты сохранения параметров восстановления. |
Справочные материалы
Эту политику можно применять только на компьютерах под управлением Windows Server 2008 или Windows Vista. Этот параметр политики применяется при включении BitLocker.
В отсутствие необходимых сведений ключа запуска для разблокировки зашифрованных с помощью BitLocker можно использовать два варианта восстановления. Пользователь может ввести 48-значный цифровой пароль восстановления или использовать USB-накопитель с 256-разрядным ключом восстановления.
При сохранении пароля восстановления на USB-накопитель 48-значный цифровой пароль восстановления будет записан в виде текстового файла, а 256-разрядный ключ восстановления — в виде скрытого файла. При сохранении в папку 48-значный цифровой пароль восстановления будет записан в качестве текстового файла. При печати на принтере, используемом по умолчанию, будет распечатан 48-значный цифровой пароль восстановления. Если, например, не разрешить 48-значный цифровой пароль восстановления, то пользователи не смогут печатать данные восстановления или сохранять их в папку.
Важно
Если в процессе настройки BitLocker выполнить инициализацию доверенного платформенного модуля, то вместе с данными восстановления будут сохранены или распечатаны сведения о владельце этого модуля.
48-значный цифровой пароль восстановления недоступен в режиме соответствия FIPS.
Важно
Чтобы предотвратить потерю данных, необходим способ восстановления ключей шифрования BitLocker. Если вы не разрешите оба параметра восстановления, то необходимо включить функцию резервного копирования данных восстановления BitLocker в доменных службах Active Directory. В противном случае возникнет ошибка политики.
Этот параметр политики позволяет хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows Server 2008 и Windows Vista)
Этот параметр политики используется для настройки хранилища сведений о восстановлении BitLocker в доменных службах Active Directory. Это позволяет использовать административный метод восстановления зашифрованных с помощью BitLocker данных, чтобы предотвратить потерю данных из-за отсутствия данных ключа.
Описание политики |
С помощью этого параметра политики вы можете управлять резервным копированием сведений о восстановлении шифрования диска BitLocker в доменных службах Active Directory. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 и Windows Vista |
Типы дисков |
Диски операционной системы и несъемные диски с данными на компьютерах под управлением Windows Server 2008 и Windows Vista. |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Нет |
При включенной политике |
При включении BitLocker на компьютере резервное копирование сведений о восстановлении BitLocker в доменные службы Active Directory выполняется автоматически и без уведомлений. |
При выключенной или ненастроенной политике |
Резервное копирование сведений о восстановлении BitLocker в доменные службы Active Directory не выполняется. |
Справочные материалы
Эту политику можно применять только на компьютерах под управлением Windows Server 2008 или Windows Vista.
Этот параметр политики применяется при включении BitLocker.
Сведения о восстановлении BitLocker включают пароль восстановления и данные уникального идентификатора. Кроме того, вы можете включить пакет, содержащий ключ шифрования для диска, защищенного с помощью BitLocker. Этот пакет ключей защищен одним или несколькими паролями восстановления. С его помощью можно выполнить особое восстановление при повреждении диска.
Если выбрать параметр Этот параметр политики позволяет требовать архивации BitLocker в доменных службах Active Directory, то невозможно будет включить BitLocker за исключением случаев, когда компьютер подключен к домену и успешно выполнено резервное копирование сведений о восстановлении BitLocker в доменные службы Active Directory. Этот вариант выбран по умолчанию, что гарантирует возможность восстановления BitLocker.
Пароль восстановления — это 48-значное число, с помощью которого можно разблокировать доступ к защищенному с помощью BitLocker диску. Пакет ключей содержит ключ шифрования BitLocker для диска, защищенный одним или несколькими паролями восстановления. С помощью пакетов ключей можно выполнить особое восстановление поврежденного диска.
Если параметр Этот параметр политики позволяет требовать архивации BitLocker в доменных службах Active Directory не выбран, будет выполнена попытка сохранить резервную копию в доменных службах Active Directory, но возможные сбои сети или другие сбои при резервном копировании не помешают настройке BitLocker. При настройке BitLocker процесс резервного копирования не будет повторен автоматически, а пароль восстановления может быть не сохранен в доменных службах Active Directory.
В процессе настройки BitLocker может потребоваться инициализировать доверенный платформенный модуль. Включите параметр политики Включить резервное копирование TPM в доменные службы Active Directory в разделе Конфигурация компьютера/Административные шаблоны/Система/Службы доверенного платформенного модуля, чтобы создавать резервные копии данных доверенного платформенного модуля.
Дополнительные сведения об этом см. в разделе Параметры групповой политики доверенного платформенного модуля.
Если вы используете контроллеры доменов под управлением Windows Server 2003 с пакетом обновления 1 (SP1), то прежде чем сохранять резервные копии в доменных службах Active Directory, необходимо настроить соответствующие расширения схемы и параметры управления доступом в домене. Дополнительные сведения см. в разделе Резервное копирование сведений о восстановлении доверенного платформенного модуля в доменных службах Active Directory.
Этот параметр политики позволяет выбрать папку по умолчанию для пароля восстановления
С помощью этого параметра политики можно настроить папку по умолчанию для паролей восстановления.
Описание политики |
С помощью этого параметра политики можно указать путь по умолчанию, который отображается, когда мастер установки BitLocker предлагает пользователю ввести расположение папки, в которой необходимо сохранить пароль восстановления. |
Операционные системы, в которых впервые появилась эта политика |
Windows Vista |
Типы дисков |
Все диски |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Нет |
При включенной политике |
Вы можете указать путь, который будет использоваться в качестве расположения папки по умолчанию, когда пользователю необходимо сохранить пароль восстановления в папку. Вы можете указать полный путь или включить в путь переменные среды целевого компьютера. Если путь недопустим, то мастер установки BitLocker отобразит представление папок верхнего уровня компьютера. |
При выключенной или ненастроенной политике |
Если пользователю необходимо сохранить пароль восстановления в папке, мастер установки BitLocker отобразит представление папок верхнего уровня компьютера. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
Примечание
Этот параметр политики не запрещает пользователю сохранять пароль восстановления в другой папке.
Этот параметр политики позволяет выбрать метод восстановления несъемных дисков, защищенных с помощью BitLocker
Этот параметр политики используется для настройки методов восстановления для несъемных дисков с данными.
Описание политики |
С помощью этого параметра политики вы можете управлять восстановлением защищенных с помощью BitLocker несъемных дисков с данными в отсутствие необходимых учетных данных. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то необходимо запретить использование ключей восстановления. При использовании агентов восстановления данных необходимо включить и настроить параметр политики Этот параметр политики позволяет указать уникальные идентификаторы для организации. |
При включенной политике |
Вы можете указывать, какие методы восстановления данных на защищенных с помощью BitLocker несъемных дисках с данными будут доступны для пользователей. |
При выключенной или ненастроенной политике |
Для восстановления BitLocker поддерживаются параметры восстановления по умолчанию. По умолчанию разрешен агент восстановления данных, пользователь может указывать параметр восстановления (включая пароль восстановления и ключ восстановления), а резервные копии сведений для восстановления не сохраняются в доменных службах Active Directory. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
С помощью флажка Разрешить агент восстановления данных можно разрешить использование агента восстановления данных для защищенных с помощью BitLocker несъемных дисков с данными. Прежде чем использовать агент восстановления данных, необходимо добавить его из раздела Политики открытого ключа в консоли управления групповыми политиками или в редакторе локальных групповых политик.
В параметре Настройка хранения данных восстановления BitLocker пользователя укажите, разрешать, не разрешать или требовать, чтобы пользователи создавали 48-значный цифровой пароль или 256-разрядный ключ восстановления.
Выберите параметр Пропускать параметры восстановления в мастере установки BitLocker, чтобы запретить пользователям указывать параметры восстановления, когда они включают BitLocker на диске. Это означает, что вам не удастся указать, какой вариант восстановления использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска будут определяться параметром политики.
В параметре Сохранить данные восстановления BitLocker в доменных службах Active Directory укажите, какие данные восстановления BitLocker для несъемных дисков с данными хранить в доменных службах Active Directory. Если вы выберете параметр Копировать пароль восстановления и пакет ключей, пароль восстановления и пакет ключей BitLocker будут сохранены в доменных службах Active Directory. Хранение пакета ключей позволяет восстанавливать данные с физически поврежденных дисков. Восстановить эти данные можно с помощью программы командной строки Repair-bde. Если выбрать параметр Копировать только пароль восстановления, то в доменных службах Active Directory будет сохранен только пароль восстановления.
Дополнительные сведения о средстве восстановления BitLocker см. в разделе Repair-bde.
Установите флажок Не включать BitLocker до сохранения данных восстановления в AD DS для фиксированных дисков с данными, если необходимо запретить пользователям включать BitLocker за исключением случаев, когда компьютер подключен к домену и успешно выполнено резервное копирование сведений о восстановлении BitLocker в доменных службах Active Directory.
Примечание
Если установить флажок Не включать BitLocker до сохранения данных восстановления в AD DS для фиксированных дисков с данными, то будет автоматически создан пароль восстановления.
Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker
Этот параметр политики используется для настройки методов восстановления для съемных дисков с данными.
Описание политики |
С помощью этого параметра политики вы можете управлять восстановлением защищенных с помощью BitLocker съемных дисков с данными в отсутствие необходимых учетных данных. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Если включен параметр политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker, то необходимо запретить использование ключей восстановления. При использовании агентов восстановления данных необходимо включить и настроить параметр политики Этот параметр политики позволяет указать уникальные идентификаторы для организации. |
При включенной политике |
Вы можете указывать, какие методы восстановления данных на защищенных с помощью BitLocker съемных дисках с данными будут доступны для пользователей. |
При выключенной или ненастроенной политике |
Для восстановления BitLocker поддерживаются параметры восстановления по умолчанию. По умолчанию разрешен агент восстановления данных, пользователь может указывать параметр восстановления (включая пароль восстановления и ключ восстановления), а резервные копии сведений для восстановления не сохраняются в доменных службах Active Directory. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker.
С помощью флажка Разрешить агент восстановления данных можно разрешить использование агента восстановления данных для защищенных с помощью BitLocker съемных дисков с данными. Прежде чем использовать агент восстановления данных, необходимо добавить его в разделе Политики открытого ключа, доступ к которому можно получить на консоли управления групповыми политиками или в редакторе локальных групповых политик.
С помощью параметра Настройка хранения данных восстановления BitLocker пользователя можно разрешить или запретить пользователю, а также требовать создание пароля восстановления, состоящего из 48 цифр.
Выберите параметр Пропускать параметры восстановления в мастере установки BitLocker, чтобы запретить пользователям указывать параметры восстановления, когда они включают BitLocker на диске. Это означает, что вам не удастся указать, какой вариант восстановления использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска будут определяться параметром политики.
В разделе Сохранить данные восстановления BitLocker в доменных службах Active Directory укажите, какие данные восстановления BitLocker для съемных дисков с данными необходимо хранить в доменных службах Active Directory. Если вы выберете параметр Копировать пароль восстановления и пакет ключей, пароль восстановления и пакет ключей BitLocker будут сохранены в доменных службах Active Directory. Если выбрать параметр Копировать только пароль восстановления, то в доменных службах Active Directory будет сохранен только пароль восстановления.
Установите флажок Не включать BitLocker до сохранения данных восстановления в AD DS для съемных дисков с данными, если необходимо запретить пользователям включать BitLocker за исключением случаев, когда компьютер подключен к домену и успешно выполнено резервное копирование данных восстановления BitLocker в доменных службах Active Directory.
Примечание
Если установить флажок Не включать BitLocker до сохранения данных восстановления в AD DS для фиксированных дисков с данными, то будет автоматически создан пароль восстановления.
Configure the pre-boot recovery message and URL
С помощью этого параметра политики можно целиком настроить сообщение восстановления и заменить существующий URL-адрес, отображаемый на предзагрузочном экране восстановления, когда диск операционной системы заблокирован.
Описание политики |
С помощью этого параметра политики можно настроить экран восстановления BitLocker для отображения пользовательского сообщения и URL-адреса. |
Операционные системы, в которых впервые появилась эта политика |
Windows 10 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы/Настроить сообщение о восстановлении, отображаемое перед загрузкой, и URL-адрес |
Конфликты |
Нет |
При включенной политике |
Пользовательское сообщение и URL-адрес отображаются на предзагрузочном экране восстановления. Если ранее вы включили пользовательское сообщение о восстановлении и URL-адрес, а теперь хотите вернуть сообщение и URL-адрес, используемые по умолчанию, то необходимо не выключать этот параметр политики и выбрать параметр Использовать стандартные сообщение о восстановлении и URL-адрес. |
При выключенной или ненастроенной политике |
Если этот параметр не был включен ранее, то будет отображаться стандартный предзагрузочный экран восстановления BitLocker. Если этот параметр был включен, а затем выключен, то будет отображаться последнее сообщение в данных конфигурации загрузки независимо от того, было ли оно стандартным или пользовательским сообщением о восстановлении. |
Справочные материалы
Если вы включите параметр политики Configure the pre-boot recovery message and URL, то сможете настраивать сообщение и URL-адрес по умолчанию, которые отображаются на экране восстановления и используются как подсказки при восстановлении ключей.
После включения параметра вы можете выбрать один из трех вариантов.
Если вы выберете вариант Использовать стандартные сообщение о восстановлении и URL-адрес, то на предзагрузочном экране восстановления будут отображаться стандартные для BitLocker сообщение о восстановлении и URL-адрес.
Если вы выберете вариант Использовать пользовательское сообщение о восстановлении, то необходимо будет ввести пользовательское сообщение в текстовом поле Пользовательское сообщение при восстановлении. Сообщение, которое вы введете в текстовом поле Пользовательское сообщение при восстановлении будет отображаться на предзагрузочном экране восстановления. Если доступен URL-адрес восстановления, включите его в сообщение.
Если вы выберете вариант Использовать пользовательский URL-адрес для восстановления, то в текстовом поле Пользовательский URL-адрес при восстановлении необходимо будет ввести пользовательский URL-адрес сообщения. URL-адрес, который вы введете в текстовое поле Пользовательский URL-адрес при восстановлении заменит стандартный URL-адрес в стандартном сообщении о восстановлении, отображаемом на предзагрузочном экране восстановления.
Важно
В предзагрузочной среде поддерживаются не все символы и языки. Настоятельно рекомендуется проверить правильность отображения символов, используемых для пользовательских сообщения и URL-адреса на предзагрузочном экране восстановления.
Важно
Перед настройкой параметров групповой политики вы можете вручную изменить команды BCDEdit. В этом случае после настройки параметра политики вам не удастся вернуть для него значение по умолчанию, выбрав пункт Не настроен. Чтобы вернуть стандартный предзагрузочный экран восстановления, не выключайте параметр политики и в раскрывающемся списке Выберите вариант для предзагрузочного сообщения о восстановлении выберите пункт Использовать стандартное сообщение.
Разрешить защищенную загрузку для проверки целостности
Эта политика управляет использованием системных томов с BitLocker совместно с функцией безопасной загрузки. Если эта функция включена, то в процессе загрузки выполняется проверка безопасной загрузки и параметров данных конфигурации загрузки согласно политике безопасной загрузки.
Описание политики |
С помощью этого параметра политики можно разрешить или запретить безопасную загрузку в качестве поставщика целостности платформы для защищенных с помощью BitLocker дисков операционной системы. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Все диски |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если включен параметр групповой политики Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI и пропущен регистр конфигурации платформы PCR 7, то у BitLocker не будет разрешения использовать безопасную загрузку для проверки целостности платформы или данных конфигурации загрузки. Дополнительные сведения о регистре конфигурации платформы PCR 7 см. в разделе Регистр конфигурации платформы данной статьи. |
При включенной или ненастроенной политике |
BitLocker использует безопасную загрузку для обеспечения целостности платформы, если для платформы можно выполнить проверку целостности с использованием безопасной загрузки. |
При выключенной политике |
BitLocker использует устаревшую функцию проверки целостности платформы даже на тех системах, которые поддерживают проверку целостности с использованием безопасной загрузки. |
Справочные материалы
При безопасной загрузке предзагрузочная среда компьютера загружает только встроенное ПО с цифровыми подписями авторизованных издателей программного обеспечения. Кроме того, безопасная загрузка предоставляет более гибкие возможности управления предзагрузочными конфигурациями, чем проверки целостности BitLocker, в операционных системах, предшествовавших Windows Server 2012 и Windows 8.
Когда эта политика включена, а оборудование способно использовать безопасную загрузку для сценариев BitLocker, параметр групповой политики Этот параметр политики позволяет настроить использование улучшенного профиля проверки данных конфигурации загрузки будет проигнорирован, а функция безопасной загрузки будет проверять параметры данных конфигурации загрузки согласно параметру политики безопасной загрузки, который необходимо настраивать отдельно от BitLocker.
Предупреждение
После обновления встроенного ПО, предоставляемого производителем, включение этой политики может привести к запуску восстановления BitLocker. Если вам необходимо выключить эту политику, то перед обновлением встроенного ПО приостановите работу BitLocker.
Этот параметр политики позволяет указать уникальные идентификаторы для организации
С помощью этого параметра политики можно создать идентификатор, применяемый ко всем дискам, зашифрованным в вашей организации.
Описание политики |
С помощью этого параметра политики вы можете сопоставить уникальные идентификаторы организации с новым диском, активированным с помощью BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Все диски |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Для управления основанными на сертификатах агентами восстановления данных на защищенных с помощью BitLocker дисках необходимо использовать поля идентификации. BitLocker управляет основанными на сертификатах агентами восстановления данных и обновляет их только тогда, когда на диске имеется поле идентификации и оно идентично значению, настроенному в компьютере. |
При включенной политике |
Вы можете настроить поле идентификации на защищенном с помощью BitLocker диске и любое разрешенное поле идентификации, используемое вашей организацией. |
При выключенной или ненастроенной политике |
Поле идентификации является необязательным. |
Справочные материалы
Эти идентификаторы хранятся в виде полей идентификации и разрешенных полей идентификации. Поле идентификации позволяет сопоставить уникальный идентификатор организации с защищенными с помощью BitLocker дисками. Этот идентификатор автоматически добавляется на новые защищенные с помощью BitLocker диски. Кроме того, его можно обновить на существующих защищенных с помощью BitLocker дисках, использовав программу командной строки Manage-bde.
Поле идентификации необходимо для управления основанными на сертификатах агентами восстановления данных на защищенных с помощью BitLocker дисках и для потенциального обновления до устройства чтения BitLocker To Go. BitLocker управляет агентами восстановления данных и обновляет их только тогда, когда поле идентификации на диске совпадает со значением, настроенным в поле идентификации. BitLocker обновляет устройство чтения BitLocker To Go только тогда, когда поле идентификации на диске совпадает со значением, настроенным для поля идентификации.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Разрешенное поле идентификации используется в сочетании с параметром политики Этот параметр политики позволяет запретить запись на съемные носители, не защищенные BitLocker для управления использованием съемных дисков в вашей организации. Он представляет собой список разделенных запятыми полей идентификации из вашей или внешних организаций.
Вы можете настроить поля идентификации на существующих дисках с помощью программы командной строки Manage-bde.
При подключении защищенного с помощью BitLocker диска к другому компьютеру с BitLocker поле идентификации и разрешенное поле идентификации используются для определения того, откуда диск — из организации или из-за ее пределов.
В поле идентификации и разрешенное поле идентификации можно ввести несколько значений, разделив их запятыми. Поле идентификации может иметь любое значение длиной до 260 символов.
Запретить перезапись памяти при перезагрузке
С помощью этого параметра политики можно указывать, следует ли перезаписывать память компьютера при его следующем перезапуске.
Описание политики |
С помощью этого параметра политики можно управлять действиями компьютера при его перезапуске в случае риска раскрытия секретных сведений BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Vista |
Типы дисков |
Все диски |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker |
Конфликты |
Нет |
При включенной политике |
При перезапуске компьютера его память не будет перезаписана. Запрет перезаписи памяти может увеличить скорость перезапуска компьютера, но повышает риск раскрытия секретных сведения BitLocker. |
При выключенной или ненастроенной политике |
При перезапуске компьютера секретные сведения BitLocker будут удалены из памяти. |
Справочные материалы
Этот параметр политики применяется при включении BitLocker. Секретные сведения BitLocker включают материал ключей, используемый для шифрования данных. Этот параметр политики применяется только при включенной защите BitLocker.
Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для конфигурации встроенного ПО на базе BIOS
Этот параметр политики указывает, какие значения должен оценивать доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска операционной системы на компьютере с конфигурацией BIOS или со встроенным ПО UEFI с включенным модулем CSM.
Описание политики |
С помощью этого параметра политики вы можете указать, каким способом оборудование безопасности доверенного платформенного модуля компьютера должно защищать ключ шифрования BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Вы можете настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировкой доступа к зашифрованному с помощью BitLocker диску операционной системы. При изменении любого из этих компонентов и включенной защите BitLocker доверенный платформенный модуль не разрешит использовать ключ шифрования для разблокировки диска. Вместо этого компьютер отобразит агент восстановления BitLocker и для разблокировки диска потребует ввести пароль восстановления или ключ восстановления. |
При выключенной или ненастроенной политике |
Доверенный платформенный модуль использует стандартный профиль проверки платформы, указанный в сценарии установки. |
Справочные материалы
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с помощью функции защиты доверенного платформенного модуля.
Важно
Этот параметр групповой политики применяется только к компьютерам с конфигурациями BIOS или со встроенным ПО UEFI и включенным модулем CSM. Компьютеры, в которых используется основная конфигурация встроенного ПО UEFI, хранят в регистрах конфигурации платформы другие значения. С помощью параметра групповой политики Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI можно настроить профиль регистра конфигурации платформы доверенного платформенного модуля для компьютеров, в которых используется основное встроенное ПО UEFI.
Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы, имеющих значения от 0 до 23. Стандартный профиль проверки платформы защищает ключ шифрования в случае изменения указанных ниже компонентов.
Базовый доверенный источник оценки (CRTM), BIOS и расширения платформы (PCR 0).
Код дополнительного ПЗУ (PCR 2).
Код основной загрузочной записи (MBR, PCR 4).
Загрузочный сектор NTFS (PCR 8).
Загрузочный блок NTFS (PCR 9).
Диспетчер загрузки (PCR 10).
Управление доступом BitLocker (PCR 11).
Примечание
Изменение стандартного профиля проверки платформы оказывает влияние на безопасность и управляемость компьютера. Вы можете повысить или понизить чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным), включая или исключая соответствующие регистры конфигурации платформы.
В списке ниже указаны все доступные регистры конфигурации платформы.
PCR 0: базовый доверенный источник оценки (CRTM), BIOS и расширения платформы.
PCR 1: данные и конфигурация системной платы и платформы.
PCR 2: код дополнительного ПЗУ.
PCR 3: данные и конфигурация дополнительного ПЗУ.
PCR 4: код основной загрузочной записи (MBR).
PCR 5: таблица разделов основной загрузочной записи (MBR).
PCR 6: события смены состояний и пробуждения.
PCR 7: задается производителем ПК.
PCR 8: загрузочный сектор NTFS.
PCR 9: загрузочный блок NTFS.
PCR 10: диспетчер загрузки.
PCR 11: управление доступом BitLocker.
PCR 12–23: зарезервировано для последующего использования.
Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Этот параметр политики определяет, какие значения должен оценивать доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска на компьютере под управлением Windows Vista, Windows Server 2008 или Windows 7.
Описание политики |
С помощью этого параметра политики вы можете указать, каким способом оборудование безопасности доверенного платформенного модуля компьютера должно защищать ключ шифрования BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 и Windows Vista |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
Вы можете настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировкой доступа к зашифрованному с помощью BitLocker диску операционной системы. При изменении любого из этих компонентов и включенной защите BitLocker доверенный платформенный модуль не разрешит использовать ключ шифрования для разблокировки диска. Вместо этого компьютер отобразит агент восстановления BitLocker и для разблокировки диска потребует ввести пароль восстановления или ключ восстановления. |
При выключенной или ненастроенной политике |
Доверенный платформенный модуль использует стандартный профиль проверки платформы, указанный в сценарии установки. |
Справочные материалы
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с помощью функции защиты доверенного платформенного модуля.
Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы, имеющих значения от 0 до 23. Стандартный профиль проверки платформы защищает ключ шифрования в случае изменения указанных ниже компонентов.
Базовый доверенный источник оценки (CRTM), BIOS и расширения платформы (PCR 0).
Код дополнительного ПЗУ (PCR 2).
Код основной загрузочной записи (MBR, PCR 4).
Загрузочный сектор NTFS (PCR 8).
Загрузочный блок NTFS (PCR 9).
Диспетчер загрузки (PCR 10).
Управление доступом BitLocker (PCR 11).
Примечание
Для компьютеров с EFI используются следующие стандартные параметры регистра конфигурации платформы профиля проверки доверенного платформенного модуля: только регистры конфигурации платформы 0, 2, 4 и 11.
В списке ниже указаны все доступные регистры конфигурации платформы.
PCR 0: базовый доверенный источник оценки, службы загрузки и времени выполнения EFI, драйверы EFI, внедренные в системное ПЗУ, статические таблицы ACPI, внедренный код режима управления системой и код BIOS.
PCR 1: данные и конфигурация системной платы и платформы. Таблицы передачи и переменные EFI, влияющие на конфигурацию системы.
PCR 2: код дополнительного ПЗУ.
PCR 3: данные и конфигурация дополнительного ПЗУ.
PCR 4: код основной загрузочной записи (MBR) или код из других загрузочных устройств.
PCR 5: таблица разделов основной загрузочной записи (MBR). Различные переменные EFI и таблица GPT.
PCR 6: события смены состояний и пробуждения.
PCR 7: задается производителем ПК.
PCR 8: загрузочный сектор NTFS.
PCR 9: загрузочный блок NTFS.
PCR 10: диспетчер загрузки.
PCR 11: управление доступом BitLocker.
PCR 12–23: зарезервировано для последующего использования.
Предупреждение
Изменение стандартного профиля проверки платформы оказывает влияние на безопасность и управляемость компьютера. Вы можете повысить или понизить чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным), включая или исключая соответствующие регистры конфигурации платформы.
Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI
Этот параметр политики определяет, какие значения должен оценивать доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска операционной системы на компьютере с основной конфигурацией встроенного ПО UEFI.
Описание политики |
С помощью этого параметра политики вы можете указать, каким способом оборудование безопасности доверенного платформенного модуля компьютера должно защищать ключ шифрования BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если настроена эта политика и пропущен регистр конфигурации платформы PCR 7, то параметр групповой политики Разрешить защищенную загрузку для проверки целостности будет перезаписан, а для BitLocker будет запрещено использование безопасной загрузки для платформы или проверки целостности данных конфигурации загрузки. Если в ваших средах для проверки целостности платформы используются доверенный платформенный модуль и безопасная загрузка, то не следует настраивать эту политику. Дополнительные сведения о регистре конфигурации платформы PCR 7 см. в разделе Регистр конфигурации платформы данной статьи. |
При включенной политике |
Прежде чем включить BitLocker, вы можете настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировкой доступа к защищенному с помощью BitLocker диску операционной системы. При изменении любого из этих компонентов и включенной защите BitLocker доверенный платформенный модуль не разрешит использовать ключ шифрования для разблокировки диска. Вместо этого компьютер отобразит агент восстановления BitLocker и для разблокировки диска потребует ввести пароль восстановления или ключ восстановления. |
При выключенной или ненастроенной политике |
BitLocker использует стандартный профиль проверки платформы, указанный в сценарии установки. |
Справочные материалы
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с помощью функции защиты доверенного платформенного модуля.
Важно
Этот параметр групповой политики применяется только для компьютеров с основной конфигурацией встроенного ПО UEFI. На компьютерах со встроенным ПО BIOS или UEFI и модулем CSM в регистрах конфигурации платформы хранятся различные значения. Для настройки профиля регистров конфигурации платформы доверенного платформенного модуля для компьютеров с конфигурациями BIOS или для компьютеров со встроенным ПО UEFI и включенным модулем CSM используйте параметр групповой политики Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для конфигурации встроенного ПО на базе BIOS.
Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы со значениями от 0 до 23. Стандартный профиль проверки платформы защищает ключ шифрования при изменениях базового исполняемого кода системного встроенного ПО (PCR 0), расширенного или модульного исполняемого кода (PCR 2), диспетчера загрузки (PCR 4) и системы управления доступом BitLocker (PCR 11).
В списке ниже указаны все доступные регистры конфигурации платформы.
PCR 0: исполняемый код базового системного встроенного ПО.
PCR 1: данные базового системного встроенного ПО.
PCR 2: расширенный или подключаемый исполняемый код.
PCR 3: расширенные или подключаемые данные встроенного ПО.
PCR 4: диспетчер загрузки.
PCR 5: GPT/таблица разделов.
PCR 6: возобновление из событий состояния питания S4 и S5.
PCR 7: состояние безопасной загрузки.
Дополнительные сведения об этом регистре конфигурации платформы см. в разделе Регистр конфигурации платформы данной статьи.
PCR 8: инициализировано в 0 без расширений (зарезервировано для будущего использования).
PCR 9: инициализировано в 0 без расширений (зарезервировано для будущего использования).
PCR 10: инициализировано в 0 без расширений (зарезервировано для будущего использования).
PCR 11: управление доступом BitLocker.
PCR 12: события, инициируемые изменением данных, и крайне переменные события.
PCR 13: сведения о модуле загрузки.
PCR 14: центры загрузки.
PCR 15–23: зарезервировано для последующего использования.
Предупреждение
Изменение стандартного профиля проверки платформы оказывает влияние на безопасность и управляемость компьютера. Вы можете повысить или понизить чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным), включая или исключая соответствующие регистры конфигурации платформы.
Этот параметр политики позволяет настроить сброс данных проверки платформы после восстановления BitLocker
С помощью этого параметра политики можно указать, следует ли обновлять данные проверки платформы при запуске Windows после восстановления BitLocker. Профиль данных проверки платформы состоит из значений в наборе индексов регистра конфигурации платформы. Эти значения могут находиться в диапазоне от 0 до 23.
Описание политики |
С помощью этого параметра политики можно указать, следует ли обновлять данные проверки платформы при запуске Windows после восстановления BitLocker. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Нет |
При включенной политике |
При запуске Windows после восстановления BitLocker данные проверки платформы будут обновлены. |
При выключенной политике |
При запуске Windows после восстановления BitLocker данные проверки платформы не будут обновлены. |
При ненастроенной политике |
При запуске Windows после восстановления BitLocker данные проверки платформы будут обновлены. |
Справочные материалы
Дополнительные сведения о процессе восстановления см. в руководстве по восстановлению BitLocker.
Этот параметр политики позволяет настроить использование улучшенного профиля проверки данных конфигурации загрузки
Этот параметр политики указывает, какие параметры данных конфигурации запуска необходимо проверять во время проверки платформы. Функция проверки платформы использует данные в профиле проверки платформы, который состоит из набора индексов регистра конфигурации платформы со значениями от 0 до 23.
Описание политики |
С помощью этого параметра политики можно указать, какие параметры данных конфигурации запуска необходимо проверять во время проверки платформы. |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2012 и Windows 8 |
Типы дисков |
Диски операционной системы |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы |
Конфликты |
Если BitLocker использует безопасную загрузку для проверки целостности платформы и данных конфигурации загрузки, то система будет игнорировать параметр групповой политики Этот параметр политики позволяет настроить использование улучшенного профиля проверки данных конфигурации загрузки (как указано в параметре групповой политики Разрешить защищенную загрузку для проверки целостности). |
При включенной политике |
Вы можете добавить дополнительные параметры данных конфигурации загрузки, исключить указанные вами параметры данных конфигурации загрузки или сочетать списки включений и исключений, чтобы создать пользовательский профиль проверки данных конфигурации загрузки, с помощью которого вы сможете проверять параметры данных конфигурации загрузки. |
При выключенной политике |
Компьютер возвращается к профилю данных конфигурации загрузки, аналогичному стандартному профилю данных конфигурации загрузки, который используется в Windows 7. |
При ненастроенной политике |
Компьютер проверяет стандартные параметры данных конфигурации загрузки в Windows. |
Справочные материалы
Примечание
Проверка параметра, управляющего отладкой при загрузке (0x16000010), выполняется всегда. При этом неважно, включен ли он в список включений или исключений.
Этот параметр политики позволяет разрешить доступ к несъемным дискам с данными, защищенными с помощью BitLocker, из более ранних версий Windows
С помощью этого параметра политики можно разрешать доступ к дискам с использованием устройство чтения BitLocker To Go и контролировать, установлено ли приложение на диске.
Описание политики |
С помощью этого параметра политики можно разрешить разблокировку и просматривать несъемные диски с данными, отформатированные для файловой системы FAT, на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Несъемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Несъемные диски с данными |
Конфликты |
Нет |
При включенной или ненастроенной политике |
Вы можете разблокировать несъемные диски с данными, отформатированные для файловой системы FAT, на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) и просматривать их содержимое. У этих операционных систем есть доступ к защищенным с помощью BitLocker дискам только для чтения. |
При выключенной политике |
Вам не удастся разблокировать несъемные диски с данными, отформатированные для файловой системы FAT и защищенные с помощью BitLocker, на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Устройство чтения BitLocker To Go (bitlockertogo.exe) не установлено. |
Справочные материалы
Примечание
Этот параметр политики не применяется к дискам, отформатированным для файловой системы NTFS.
Если этот параметр политики включен, установите флажок Не устанавливать BitLocker To Go Reader на несъемных дисках, отформатированных с системой FAT, чтобы запретить пользователям запускать устройство чтения BitLocker To Go с несъемных дисков. Если устройство чтения BitLocker To Go (bitlockertogo.exe) имеется на диске, для которого не указано поле идентификации, или если у диска имеется такое же поле идентификации, которое указано в параметре политики Указать уникальные идентификаторы для организации, то пользователю будет предложено обновить BitLocker, а устройство чтения BitLocker To Go будет удалено с диска. В этой ситуации для разблокировки несъемного диска на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) необходимо, чтобы на них было установлено устройство чтения BitLocker To Go. Если этот флажок не установлен, то на несъемный диск будет установлено устройство чтения BitLocker To Go, чтобы пользователи могли разблокировать диск на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).
Этот параметр политики позволяет разрешить доступ к съемным носителям с данными, защищенными с помощью BitLocker, из более ранних версий Windows
С помощью этого параметра политики можно управлять доступом к съемным дискам с данными, которые используют устройство чтения BitLocker To Go, а также тем, можно ли устанавливать устройство чтения BitLocker To Go на диске.
Описание политики |
С помощью этого параметра политики можно разрешить или запретить разблокировку съемных дисков с данными, отформатированных для файловой системы FAT, и просмотр их содержимого на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2008 R2 и Windows 7 |
Типы дисков |
Съемные диски с данными |
Путь к политике |
Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Съемные диски с данными |
Конфликты |
Нет |
При включенной или ненастроенной политике |
Вы можете разблокировать съемные диски с данными, отформатированные для файловой системы FAT, на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) и просматривать их содержимое. У этих операционных систем есть доступ к защищенным с помощью BitLocker дискам только для чтения. |
При выключенной политике |
Вам не удастся разблокировать съемные диски с данными, отформатированные для файловой системы FAT и защищенные с помощью BitLocker, на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Устройство чтения BitLocker To Go (bitlockertogo.exe) не установлено. |
Справочные материалы
Примечание
Этот параметр политики не применяется к дискам, отформатированным для файловой системы NTFS.
Если этот параметр политики включен, установите флажок Не устанавливать BitLocker To Go Reader на съемных дисках, отформатированных с системой FAT, чтобы запретить пользователям запускать устройство чтения BitLocker To Go со съемных дисков. Если устройство чтения BitLocker To Go (bitlockertogo.exe) имеется на диске, для которого не указано поле идентификации, или если у диска имеется такое же поле идентификации, которое указано в параметре политики Указать уникальные идентификаторы для организации, то пользователю будет предложено обновить BitLocker, а устройство чтения BitLocker To Go будет удалено с диска. В этой ситуации для разблокировки съемного диска на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) необходимо, чтобы на компьютере было установлено устройство чтения BitLocker To Go. Если этот флажок не установлен, то на съемный диск будет установлено устройство чтения BitLocker To Go, чтобы пользователи могли разблокировать диск на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), на которых не установлено устройство чтения BitLocker To Go.
Параметр FIPS
Для совместимости с FIPS можно настроить параметр федерального стандарта обработки информации (FIPS). При соответствии FIPS пользователи не смогут создавать или сохранять пароль BitLocker для восстановления или для использования в качестве предохранителя ключа. Использование ключа восстановления запрещено.
Описание политики |
Примечания |
Операционные системы, в которых впервые появилась эта политика |
Windows Server 2003 с пакетом обновления 1 (SP1) |
Типы дисков |
Все диски в системе |
Путь к политике |
Локальные политики/Параметры безопасности/Системная криптография": использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания |
Конфликты |
Некоторые приложения, например службы терминалов, не поддерживают FIPS-140 во всех операционных системах. |
При включенной политике |
Пользователям не разрешено сохранять пароль восстановления ни в одном расположении. Это также касается доменных служб Active Directory и сетевых папок. Кроме того, вам не удастся использовать инструментарий WMI или мастер установки шифрования диска BitLocker, чтобы создать пароль восстановления. |
При выключенной или ненастроенной политике |
Ключ шифрования BitLocker не будет создан |
Справочные материалы
Перед созданием любого ключа шифрования для BitLocker необходимо включить эту политику. Обратите внимание, что если эта политика включена, BitLocker запрещает создавать или использовать пароли восстановления, поэтому вместо них следует использовать ключи восстановления.
Вы можете сохранить необязательный ключ восстановления на USB-накопитель. Так как при включенном FIPS запрещено сохранять пароли восстановления в доменных службах Active Directory, то в случае, когда для групповой политики необходимо резервное копирование в доменных службах Active Directory, будет возникать ошибка.
Вы можете изменить параметр FIPS с помощью редактора политик безопасности (Secpol.msc) либо внеся необходимые изменения в реестр Windows. Для выполнения этих действий у вас должны быть права администратора.
Дополнительные сведения настройке этой политики см. в статье Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
Параметры групповой политики управления питанием: спящий режим и режим гибернации
При использовании на компьютере стандартных параметров питания во время простоев он будет часто переходить в спящий режим для экономии электроэнергии и сохранения уровня заряда. Когда компьютер переходит в спящий режим, открытые программы и документы остаются в памяти. После выхода из спящего режима для получения доступа к зашифрованным данным не требуется повторно выполнять проверку подлинности пользователей с помощью ПИН-кода или ключа запуска USB. Это может привести к нарушениям безопасности данных.
Когда компьютер переходит в режим гибернации, диск блокируется, а когда он выходит из этого режима, диск разблокируется. Поэтому при использовании многофакторной проверки подлинности с помощью BitLocker пользователю необходимо вводить ПИН-код или ключ запуска. Соответственно, для повышения уровня безопасности организациям, использующим BitLocker, может потребоваться использовать режим гибернации, а не спящий режим. Этот параметр не оказывает влияния на режим, в котором используется только доверенный платформенный модуль, так как он обеспечивает "прозрачное" взаимодействие с пользователем при запуске и при выходе из состояния гибернации.
Вы можете отключить указанные ниже параметры групповой политики, которые расположены в разделе Конфигурация компьютера/Административные шаблоны/Система/Управление питанием, чтобы выключить все доступные состояния спящего режима.
"Разрешить различные режимы сна (S1–S3) при простое компьютера (питание от сети)".
"Разрешить различные режимы сна (S1–S3) при простое компьютера (питание от батареи)".
Сведения о регистре конфигурации платформы (PCR)
Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы, имеющих значения от 0 до 23. Область действия этих значений может зависеть от версии операционной системы.
Изменение стандартного профиля проверки платформы оказывает влияние на безопасность и управляемость компьютера. Вы можете повысить или понизить чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным), включая или исключая соответствующие регистры конфигурации платформы.
Сведения о регистре конфигурации платформы PCR 7
Регистр конфигурации платформы PCR 7 оценивает состояние безопасной загрузки. С его помощью BitLocker может использовать безопасную загрузку для проверки целостности. При безопасной загрузке предзагрузочная среда компьютера загружает только встроенное ПО с цифровыми подписями авторизованных издателей программного обеспечения. С помощью оценок, выполняемых PCR 7, можно определить, включена ли безопасная загрузка и какие ключи считаются доверенными для платформы. Если безопасная загрузка включена и встроенное ПО правильно оценивает PCR 7 согласно спецификации UEFI, BitLocker может выполнить связывание с этой информацией, а не с PCR 0, 2 и 4, которые предоставляют сведения о загруженных образах встроенного ПО и Bootmgr. Это снижает вероятность запуска BitLocker в режиме восстановления после обновления встроенного ПО и образа, а также повышает гибкость управления конфигурацией предварительной загрузки.
Необходимо, чтобы оценки PCR 7 выполнялись согласно рекомендациям, описанным в разделе Приложение A. Протокол EFI доверенной среды выполнения.
Выполнение оценок PCR 7 — это обязательное требование совместимости для систем, поддерживающих InstantGo (который также называется Always On или Always Connected PCs), например для Microsoft Surface RT. В таких системах при правильной настройке доверенного платформенного модуля, оценок PCR 7 и безопасной загрузки BitLocker по умолчанию выполняет привязку к PCR 7 и PCR 11.
См. также
Доверенный платформенный модуль
Параметры групповой политики TPM
Подготовка организации к использованию BitLocker: планирование и политики