Поделиться через

Шифрование дисков BitLocker в Windows 11 для изготовителей оборудования

Шифрование диска BitLocker обеспечивает автономные данные и защиту операционной системы, гарантируя, что диск не изменен, пока операционная система находится в автономном режиме. Шифрование диска BitLocker использует TPM (дискретный или встроенный), которое поддерживает Статическое измерение корневой доверенной основы, определённое Trusted Computing Group.

Автоматическое шифрование устройств BitLocker

Автоматическое шифрование устройств BitLocker использует технологию шифрования дисков BitLocker для автоматического шифрования внутренних дисков после того, как пользователь завершит работу с интерфейсом Out Of Box (OOBE) на устройствах, отвечающих требованиям к оборудованию.

Примечание.

Автоматическое шифрование устройств BitLocker начинается во время опыта первой настройки устройства (OOBE). Однако защита активирована только после входа пользователей с помощью учетной записи Microsoft или учетной записи Azure Active Directory. До этого защита приостановлена и данные не защищены. Автоматическое шифрование устройств BitLocker не включено с локальными учетными записями, в этом случае BitLocker можно включить вручную с помощью панель управления BitLocker.

Требования к оборудованию для автоматического шифрования устройств BitLocker

Примечание.

Начиная с Windows 11 версии 24H2 корпорация Майкрософт сократила требования к оборудованию для автоматического шифрования устройств (auto-DE) в Windows:

  • Auto-DE больше не зависит от аппаратного интерфейса тестирования безопасности (HSTI) или современного резервного режима
  • Функция Auto-DE включена, даже если обнаружены ненадежные шины / интерфейсы прямого доступа к памяти (DMA)

Это означает, что изготовители оборудования не должны добавлять интерфейсы DMA в раздел реестра AllowedBuses: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Новые сокращенные требования автоматически отражаются в тестах HLK, и дальнейшие действия не требуются от изготовителей оборудования.

Это изменение не относится к выпускам Windows IoT.

Автоматическое шифрование устройств BitLocker включено, если:

  • Устройство содержит доверенный модуль платформы (TPM), TPM 1.2 или TPM 2.0.
  • Безопасная загрузка UEFI включена. Дополнительные сведения см. в статье "Безопасная загрузка ".
  • Безопасная загрузка платформы включена
  • Платформа поддерживает Modern Standby или совместима с HSTI (это требование было снято с Windows 11 24H2)
  • Нет не разрешенных интерфейсов прямого доступа к памяти (DMA) (это требование было удалено с Windows 11 24H2)

Следующие тесты должны пройти до включения автоматического шифрования устройств BitLocker в Windows 11. Если вы хотите создать оборудование, поддерживающее эту возможность, необходимо убедиться, что устройство проходит эти тесты.

  1. TPM: устройство должно иметь TPM с поддержкой PCR 7. См. статью System.Fundamentals.TPM20.TPM20.

    • Если наличие расширяемых карточек приводит к загрузке драйверов OROM UEFI BIOS во время загрузки, BitLocker не будет использовать привязку PCR7.
    • Если вы работаете на устройстве, которое не привязывается к PCR7 и Bitlocker, нет недостатков безопасности, так как BitLocker по-прежнему является безопасным при использовании обычного профиля PCR UEFI (0,2 4,11).
    • Любой дополнительный хэш Центра Сертификации (даже Windows Prod CA), до завершения процесса загрузки Windows Prod CA, не позволит BitLocker использовать PCR7. Это не имеет значения, получены ли дополнительные хэши из ЦС UEFI (также известный как ЦС сторонней организации Microsoft) или другого ЦС.

  2. Безопасная загрузка: включена безопасная загрузка UEFI. См. статью System.Fundamentals.Firmware.UEFISecureBoot.

  3. Современные требования к резервному режиму или проверка HSTI . (удалено с Windows 11 24H2)
    Это требование выполняется одним из следующих условий:

    • Реализованы современные требования к резервному режиму. К ним относятся требования к безопасной загрузке UEFI и защите от несанкционированного DMA.
    • Начиная с Windows 10 версии 1703, это требование можно выполнить с помощью теста HSTI:
      1. Самостоятельное тестирование безопасной загрузки платформы (или дополнительные самостоятельные тесты, настроенные в реестре) должно сообщаться HSTI как реализовано и успешно пройдено.
      2. За исключением Thunderbolt, HSTI должен сообщать об отсутствии недопустимых шин DMA.
      3. Если Thunderbolt присутствует, HSTI должен указать, что Thunderbolt настроен безопасно (уровень безопасности должен быть SL1 — "Авторизация пользователя" или выше).

  4. Вы должны иметь 250 МБ свободного места в верхней части всего необходимого для загрузки (и восстановления Windows, если вы помещаете WinRE в системную секцию). Дополнительные сведения см. в разделах системы и служебных программ.

Если выполнены указанные выше требования, Сведения о системе указывает, что система поддерживает автоматическое шифрование устройств BitLocker. Эта функция доступна в Windows 10 версии 1703 или более поздней. Вот как проверить Сведения о системе.

  1. Нажмите кнопку " Пуск" и введите сведения о системе
  2. Щелкните правой кнопкой мыши приложение Сведения о системе и нажмите кнопку "Открыть от имени администратора". Разрешите приложению вносить изменения на устройство, нажав кнопку "Да". Для просмотра параметров шифрования на некоторых устройствах могут потребоваться повышенные разрешения.
  3. В сводке по системе см. раздел "Поддержка шифрования устройств". Значение будет показывать, зашифровано ли устройство, или, если нет, причины, по которым шифрование отключено.

Обнаружены неразрешенные шины или устройства DMA

Этот статус сведений о системе в поддержке шифрования устройств означает, что Windows обнаружила по крайней мере одну потенциальную внешнюю шину DMA или устройство, которое может представлять угрозу безопасности DMA.

Чтобы устранить эту проблему, обратитесь к IHV, чтобы определить, не имеет ли это устройство внешних портов DMA. При подтверждении IHV, что шина или устройство имеет только внутреннюю DMA, изготовитель оборудования может добавить его в список разрешенных.

Чтобы добавить шину или устройство в разрешенный список, необходимо добавить значение в ключ реестра. Для этого сначала необходимо взять на себя владение разделом реестра AllowedBuses . Выполните следующие действия:

  1. Перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses .

  2. Щелкните правой кнопкой мыши раздел реестра и выберите "Разрешения"....

  3. Нажмите кнопку "Дополнительно", щелкните ссылку "Изменить " в поле "Владелец" , введите имя учетной записи пользователя, нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК" три раза, чтобы закрыть все диалоговые окна разрешений.

  4. Щелкните правой кнопкой мыши раздел реестра и снова выберите "Разрешения".

  5. Нажмите кнопку "Добавить... ", добавьте учетную запись пользователя, нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК". Затем установите флажок в разделе "Разрешить полный доступ". Затем нажмите кнопку ОК.

Затем под ключом AllowedBuses добавьте пары имен и значений строки (REG_SZ) для каждой помеченной шины DMA, которая определяется как безопасная:

  • Ключ: дружественное имя устройства /описание
  • Значение: PCI\VEN_ID&DEV_ID.

Убедитесь, что идентификаторы соответствуют выходным данным теста HLK. Например, если у вас есть безопасное устройство с понятным именем Contoso PCI Express Root Port, идентификатор поставщика 1022 и идентификатор устройства 157C, вы создадите запись реестра с именем Contoso PCI Express Root Port как REG_SZ тип данных в: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Где значение = "PCI\VEN_1022&DEV_157C"

Примечание: этот ключ реестра игнорируется, начиная с версии Windows 11 24H2.

Макет раздела шифрования диска BitLocker

Шифрование диска BitLocker использует системную секцию, отдельную от секции Windows. Системный раздел BitLocker должен соответствовать следующим требованиям.

  • Системный раздел BitLocker настраивается в качестве активной секции.
  • Системный раздел BitLocker не должен быть зашифрован.
  • В системном разделе BitLocker должно быть не менее 250 МБ свободного места, выше и за пределами любого пространства, используемого необходимыми файлами. Этот дополнительный системный раздел можно использовать для размещения среды восстановления Windows (RE) и средств OEM (предоставляемых OEM), пока секция по-прежнему соответствует требованию свободного места в 250 МБ.

Для получения дополнительной информации см. Системные и служебные разделы и Жесткие диски и разделы.

Отключение автоматического шифрования устройств BitLocker

Изготовители оборудования могут отключить шифрование устройств и вместо этого реализовать собственную технологию шифрования на устройстве. Отключение шифрования за пределами этого сценария запрещено, поскольку это нарушает требования к лицензированию Windows 11 и принцип безопасности по умолчанию Windows 11. Чтобы отключить автоматическое шифрование устройств BitLocker, можно использовать файл Unattend и задать PreventDeviceEncryption значение True.

В качестве альтернативы можно обновить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker:

Значение: PreventDeviceEncryption равно True (1).

Не рекомендуется устанавливать этот ключ реестра на устройствах с функцией возврата.

Устранение неполадок тестов BitLocker HLK

Триаж гораздо проще, если вы знаете следующие фрагменты сведений об устройстве под тестом:

  1. Спецификация TPM (например, 1.2, 2.0)
  2. Профиль PCR BitLocker (например, 7, 11 или 0, 2, 4, 11)
  3. Независимо от того, является ли устройство не-AOAC или AOAC (например, устройства Surface являются устройствами AOAC)

Эта информация рекомендуется, но не требуется для выполнения триажа.

Проблемы С HLK BitLocker обычно связаны с одной из следующих проблем: неправильное толкование результатов теста или проблемы привязки PCR7.

Неправильное понимание результатов теста

Тест HLK состоит из нескольких этапов тестирования. Некоторые этапы тестирования могут завершиться ошибкой, не влияя на успешность или сбой общего теста. Дополнительные сведения о интерпретации страницы результатов см. здесь. Если некоторые шаги теста завершились неудачно, но весь тест пройден (как указано зеленой галочкой рядом с названием теста), остановитесь здесь. Тест успешно выполнен, и никаких действий с вашей стороны больше не требуется.

Этапы сортировки:

  1. Убедитесь, что вы выполняете правильный тест на компьютере. Щелкните правой кнопкой мыши на любом шаге неуспешного теста > и проверьте журналы сборщика инфраструктуры > в файле RUNTIMEBLOCK.xml на предмет элемента >. Если IsAOAC=true и выполняется тест, отличный от AOAC, игнорируйте сбой и не выполняйте этот тест на компьютере. При необходимости обратитесь к команде службы поддержки Майкрософт для решения проблемы с плейлистом.

    Снимок экрана неудавшегося теста. Выбран элемент Is A O A C.

  2. Определите, применяется ли фильтр к тесту. HLK может автоматически предлагать фильтр для неправильно сопоставленного теста. Фильтр отображается как зеленая галочка внутри круга рядом с шагом теста. (Обратите внимание, что некоторые фильтры могут показать, что последующие шаги теста завершились сбоем или были отменены.) Изучите расширенные сведения о фильтре, разверив шаг теста с помощью специального значка. Если фильтр указывает не учитывать сбой теста, остановитесь здесь.

Снимок экрана: фильтры

Проблемы PCR7

Распространенная проблема BitLocker, связанная с двумя тестами PCR7, является неудачной привязкой к PCR7.

Этапы сортировки:

  1. Найдите сообщение об ошибке в журналах HLK. Разверните шаг сбоя теста и изучите журнал Te.wtl. (Вы также можете получить доступ к этому журналу, щелкнув правой кнопкой мыши журналы > задач тестового шага > Te.wtl) Продолжить выполнение действий, если вы видите эту ошибку:

    Снимок экрана: сообщение об ошибке в журналах H L K.

  2. Запустите msinfo32 от имени администратора и проверьте конфигурацию Secure Boot State/PCR7. Тест должен быть выполнен с включённой безопасной загрузкой. Если поддержка привязки PCR7 отсутствует, выполните соответствующий тест HLK для устаревшей версии PCR. Если привязка PCR7 невозможна, выполните действия, описанные ниже.

  3. Проверьте журналы ошибок. Щелкните правой кнопкой мыши на тестовой задаче > Additional files. Как правило, проблема привязки PCR7 является результатом неправильных измерений в PCR7.

    1. Журналы событий. Журнал Microsoft-BitLocker-Management содержит ценные сведения об ошибках о том, почему PCR7 нельзя использовать. Тест HLK BitLocker должен выполняться только на компьютере с установленным BitLocker. Журналы событий должны быть проверены на компьютере, создающего их.
    2. Измеряемые журналы загрузки. Их также можно найти в C:\Windows\Logs\MeasuredBoot

  4. Проанализируйте журнал измеренной загрузки с помощью TBSLogGenerator.exe или аналогичной программы. На контроллере HLK TBSLogGenerator.exe находится в каталоге тестов HLK, где установлен HLK, например C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Test\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe".

    1. TBSLogGenerator.exe -lf <путь к журналу измеренной загрузки>> OutputLog.txt
    2. В OutputLog.txt найдите "PCR[07]" и проверьте измерения, перечисленные в порядке. Первое измерение должно выглядеть примерно так:

Снимок экрана списка измерений в Output Log dot t x t.

BitLocker ожидает определенные статические измерения доверия статического корня измерений доверия в PCR7, и любые изменения этих измерений часто препятствуют привязке к PCR7. Следующие значения должны измеряться (в порядке и без лишних измерений между) в PCR7:

  • Содержимое переменной SecureBoot
  • Содержимое переменной PK
  • Содержимое переменной KEK
  • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE (DB)
  • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE1 (DBX)
  • (необязательно, но часто EV_SEPARATOR)
  • Записи в EFI_IMAGE_SECURITY_DATABASE, которые используются для проверки драйверов EFI или приложений загрузки EFI в пути загрузки. BitLocker ожидает только одну запись здесь.

Распространенные проблемы с измеренным журналом загрузки:

  • Режим отладки UEFI включен
  • Отсутствующие переменные PK или KEK: измерение PK/KEK не имеет данных (например, 4 байта 0)
  • Недоверенная подпись ЦА UEFI

Некоторые измеренные проблемы загрузки, такие как запуск в режиме отладки UEFI, могут быть устранены тестировщиком. Для решения других проблем может потребоваться исправление, в этом случае вам следует обратиться к команде поддержки Microsoft за рекомендациями.

Применение обновлений встроенного ПО к устройствам

Помимо выполнения тестов HLK, изготовители оборудования должны тестировать обновления встроенного ПО с включенной функцией BitLocker. Чтобы запретить устройствам запускать восстановление без необходимости, следуйте приведенным ниже рекомендациям, чтобы применить обновления встроенного ПО:

  1. Приостановка BitLocker (требуется для устройств, привязанных к PCR[07], только если обновление встроенного ПО изменяет политику безопасной загрузки)
  2. Примените обновление
  3. Перезапустите устройство.
  4. Возобновление BitLocker

Обновление встроенного ПО должно требовать от устройства приостановки Bitlocker только в течение короткого времени, и устройство должно перезапустить как можно скорее. BitLocker можно приостановить программным способом непосредственно перед завершением работы с помощью метода DisableKeyProtectors в инструментарии управления Windows (WMI).