Пароль восстановления для Windows BitLocker недоступен, если в Windows задана политика, совместимая с FIPS

  • Статья

В этой статье рассматриваются проблемы, возникающие из-за того, что пароль восстановления для Windows BitLocker не соответствует FIPS в Windows.

Применимо к: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2
Исходный номер базы знаний: 947249

Введение

Алгоритм наследования ключа, используемый с паролем восстановления для шифрования диска Windows BitLocker, не соответствует федеральным стандартам обработки информации (FIPS) в Windows. Поэтому при включении параметра Системное шифрование: использование алгоритмов, совместимых с FIPS, для шифрования, хэширования и подписывания групповая политика могут возникнуть следующие проблемы.

Проблема 1

При добавлении пароля восстановления вручную в командной строке появляется следующее сообщение об ошибке:

Числовой пароль не был добавлен. Параметр FIPS групповая политика на компьютере предотвращает создание пароля восстановления.

Проблема 2

При попытке зашифровать диск, на котором требуются пароли восстановления BitLocker, вы не сможете зашифровать диск должным образом. Кроме того, появляется приведенное ниже сообщение об ошибке:

Не удается зашифровать диск. Для политики требуется пароль, который не разрешен в текущей политике безопасности об использовании алгоритмов FIPS.

Проблема 3

При шифровании диска создается ключ восстановления, но пароль восстановления не создается в качестве предохранителя ключа.

Проблема 4

Пароль восстановления не архивирован в службе каталогов Active Directory.

Дополнительные сведения

Пароль восстановления BitLocker содержит 48 цифр. Этот пароль используется в алгоритме наследования ключа, который не соответствует FIPS. Таким образом, если включить параметр Системное шифрование: использовать совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания групповая политика, вы не сможете создать или разблокировать диск с помощью пароля восстановления. В отличие от этого, ключ восстановления BitLocker является ключом AES, который не требует выполнения алгоритма производного ключа и соответствует FIPS. Таким образом, этот параметр групповая политика не влияет на ключ восстановления.

Чтобы отключить системное шифрование: используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания групповая политика, выполните следующие действия.

  1. Нажмите кнопку Пуск, введите gpedit.msc в поле Начать поиск и нажмите кнопку ОК.

    Примечание.

    Если система предложит ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

  2. Разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем щелкните Параметры безопасности.

  3. В области сведений дважды щелкните Системная криптография: использование алгоритмов, совместимых с FIPS, для шифрования, хэширования и подписывания, нажмите кнопку Отключить, а затем нажмите кнопку ОК.

Примечание.

Этот групповая политика параметр может быть настроен администратором для автоматического применения с контроллера домена. В этом случае этот параметр нельзя отключить локально.