Поделиться через


Пароль восстановления для Windows BitLocker недоступен, если политика соответствия FIPS установлена в Windows

В этой статье рассматриваются проблемы, возникающие из-за того, что пароль восстановления для Windows BitLocker не соответствует FIPS в Windows.

Область применения: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2
Исходный номер базы знаний: 947249

Введение

Алгоритм получения ключа, используемый с паролем восстановления для шифрования дисков Windows BitLocker, не соответствует федеральным стандартам обработки информации (FIPS) в Windows. Поэтому при шифровании системы могут возникнуть следующие проблемы : используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания параметра групповой политики.

Проблема 1

При добавлении пароля восстановления вручную в командной строке вы получите следующее сообщение об ошибке:

Числовой пароль не был добавлен. Параметр групповой политики FIPS на компьютере предотвращает создание пароля восстановления.

Проблема 2

При попытке зашифровать диск, на котором требуются пароли восстановления BitLocker, невозможно зашифровать диск должным образом. Кроме того, появляется приведенное ниже сообщение об ошибке:

Не удается зашифровать диск. Для политики требуется пароль, который не допускается в текущей политике безопасности об использовании алгоритмов FIPS.

Проблема 3

При шифровании диска создается ключ восстановления, но пароль восстановления не создается как средство защиты ключей.

Проблема 4

Пароль восстановления не архивирован в службе каталогов Active Directory.

Дополнительная информация

Пароль восстановления BitLocker имеет 48 цифр. Этот пароль используется в алгоритме производных ключей, который не соответствует FIPS. Таким образом, если включить криптографию системы: используйте алгоритмы, совместимые с FIPS для шифрования, хэширования и подписывания параметра групповой политики, вы не можете создать или разблокировать диск с помощью пароля восстановления. В отличие от этого, ключ восстановления BitLocker — это ключ AES, который не требует выполнения алгоритма производных ключей и соответствует FIPS. Поэтому ключ восстановления не влияет на этот параметр групповой политики.

Чтобы отключить криптографию системы: используйте соответствующие алгоритмы FIPS для шифрования, хэширования и подписывания параметра групповой политики, выполните следующие действия.

  1. Нажмите кнопку "Пуск", введите gpedit.msc в поле "Пуск поиска" и нажмите кнопку "ОК".

    Примечание.

    Если система предложит ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

  2. Разверните раздел "Конфигурация компьютера", разверните раздел "Параметры windows", разверните раздел "Параметры безопасности", разверните узел "Локальные политики" и выберите пункт "Параметры безопасности".

  3. В области сведений дважды щелкните системную криптографию: используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания, нажмите кнопку "Отключить" и нажмите кнопку "ОК".

Примечание.

Этот параметр групповой политики может быть настроен администратором для автоматического применения с контроллера домена. В этой ситуации этот параметр нельзя отключить локально.