Шифрование дисков BitLocker в Windows 10 для изготовителей оборудования

  • Статья

Шифрование диска BitLocker обеспечивает автономные данные и защиту операционной системы, гарантируя, что диск не изменен, пока операционная система находится в автономном режиме. Шифрование диска BitLocker использует TPM (дискретный или встроенное ПО), которое поддерживает статический корневой каталог измерения доверия, определенный группой доверенных вычислений.

Требования к оборудованию шифрования дисков BitLocker

Шифрование диска BitLocker использует системную секцию, отдельную от секции Windows. Системный раздел BitLocker должен соответствовать следующим требованиям.

  • Системный раздел BitLocker настраивается в качестве активной секции.
  • Системный раздел BitLocker не должен быть зашифрован.
  • В системном разделе BitLocker должно быть не менее 250 МБ свободного места, выше и за пределами любого пространства, используемого необходимыми файлами. Этот дополнительный системный раздел можно использовать для размещения среды восстановления Windows (RE) и средств OEM (предоставляемых OEM), пока секция по-прежнему соответствует требованиям 250 МБ свободного места.

Дополнительные сведения см. в разделах системы и служебных программ, а также жестких дисках и секциях.

Автоматическое шифрование устройств BitLocker

Автоматическое шифрование устройств BitLocker использует технологию шифрования дисков BitLocker для автоматического шифрования внутренних дисков после того, как пользователь завершит работу с интерфейсом Out Of Box (OOBE) на современном резервном или совместимом с HSTI оборудовании.

Примечание.

Автоматическое шифрование устройств BitLocker начинается во время встроенного интерфейса (OOBE). Однако защита включена (вооружена) только после входа пользователей с помощью учетной записи Майкрософт или учетной записи Azure Active Directory. До этого защита приостановлена и данные не защищены. Автоматическое шифрование устройств BitLocker не включено с локальными учетными записями, в этом случае BitLocker можно включить вручную с помощью панель управления BitLocker.

Требования к оборудованию для автоматического шифрования устройств BitLocker

Автоматическое шифрование устройств BitLocker включено, если:

  • Устройство содержит TPM (доверенный модуль платформы), TPM 1.2 или TPM 2.0.
  • Безопасная загрузка UEFI включена. Дополнительные сведения см. в статье "Безопасная загрузка ".
  • Безопасная загрузка платформы включена
  • Защита прямого доступа к памяти (DMA) включена

Следующие тесты должны пройти до включения автоматического шифрования устройств BitLocker в Windows 10. Если вы хотите создать оборудование, поддерживающее эту возможность, необходимо убедиться, что устройство проходит эти тесты.

  1. TPM: устройство должно включать TPM с поддержкой PCR 7. См. статью System.Fundamentals.TPM20.TPM20.

    • Если наличие расширяемых карта приводит к загрузке драйверов OROM UEFI BIOS UEFI во время загрузки, BitLocker не будет использовать привязку PCR7.
    • Если вы работаете на устройстве, которое не привязывается к PCR7 и Bitlocker, нет недостатков безопасности, так как BitLocker по-прежнему является безопасным при использовании обычного профиля PCR UEFI (0,2 4,11).
    • Любой дополнительный хэш ЦС (даже Windows Prod CA) до окончательного начального ЦС Windows Prod не позволит BitLocker использовать PCR7. Это не имеет значения, если дополнительные хэш или хэши находятся из ЦС UEFI (ака. Microsoft 3-й стороннего ЦС) или другого ЦС.

  2. Безопасная загрузка: включена безопасная загрузка UEFI. См. статью System.Fundamentals.Firmware.UEFISecureBoot.

  3. Современные требования к резервному режиму или проверка HSTI . Это требование выполняется одним из следующих условий:

    • Реализованы современные требования к резервному режиму. К ним относятся требования к безопасной загрузке UEFI и защите от несанкционированного DMA.
    • Начиная с Windows 10 версии 1703, это требование можно выполнить с помощью теста HSTI:
      1. Самостоятельное тестирование безопасной загрузки платформы (или дополнительные самозаверяемые тесты, настроенные в реестре), должно сообщаться HSTI, как реализовано и передано.
      2. Кроме Thunderbolt, HSTI должен сообщать о не разрешенных шинах DMA.
      3. Если громболт присутствует, HSTI должен сообщить, что Thunderbolt настроен безопасно (уровень безопасности должен быть SL1 — "Авторизация пользователя" или выше).

  4. Вы должны иметь 250 МБ свободного места в верхней части всего необходимого для загрузки (и восстановления Windows, если вы помещаете WinRE в системную секцию). Дополнительные сведения см. в разделах системы и служебных программ.

Если выполнены указанные выше требования, Сведения о системе указывает, что система поддерживает автоматическое шифрование устройств BitLocker. Эта функция доступна в Windows 10 версии 1703 или более поздней. Вот как проверка Сведения о системе.

  1. Нажмите кнопку " Пуск" и введите сведения о системе
  2. Щелкните правой кнопкой мыши приложение Сведения о системе и нажмите кнопку "Открыть как Администратор istrator". Разрешите приложению вносить изменения на устройство, нажав кнопку "Да". Для просмотра параметров шифрования на некоторых устройствах могут потребоваться повышенные разрешения.
  3. В сводке по системе см. раздел "Поддержка шифрования устройств". Значение будет состоянием, если устройство зашифровано или нет, причины, по которым оно отключено.

Применение обновлений встроенного ПО к устройствам

Помимо выполнения тестов HLK, изготовители оборудования должны тестировать обновления встроенного ПО с включенной функцией BitLocker. Чтобы запретить устройствам запускать восстановление без необходимости, следуйте приведенным ниже рекомендациям, чтобы применить обновления встроенного ПО:

  1. Приостановка BitLocker (требуется для устройств, привязанных к PCR[07], только если обновление встроенного ПО изменяет политику безопасной загрузки)
  2. Примените обновление
  3. Перезапустите устройство.
  4. Возобновление BitLocker

Обновление встроенного ПО должно требовать от устройства приостановки Bitlocker только в течение короткого времени, и устройство должно перезапустить как можно скорее. BitLocker можно приостановить программным способом непосредственно перед завершением работы с помощью метода DisableKeyProtectors в инструментарии управления Windows (WMI).

Обнаружена не разрешенная шина или устройства DMA

Это Сведения о системе состояние в службе поддержки шифрования устройств означает, что Windows обнаружила по крайней мере одну потенциальную внешнюю шину DMA или устройство, которое может представлять угрозу DMA.

Чтобы устранить эту проблему, обратитесь к IHV, чтобы определить, не имеет ли это устройство внешних портов DMA. При подтверждении IHV, что шина или устройство имеет только внутреннюю DMA, изготовитель оборудования может добавить его в список разрешенных.

Чтобы добавить шину или устройство в разрешенный список, необходимо добавить значение в раздел реестра. Для этого сначала необходимо взять на себя владение разделом реестра AllowedBuses . Выполните следующие действия:

  1. Перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses .

  2. Щелкните правой кнопкой мыши раздел реестра и выберите "Разрешения"....

  3. Нажмите кнопку "Дополнительно", щелкните ссылку "Изменить " в поле "Владелец" , введите имя учетной записи пользователя, нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК" три раза, чтобы закрыть все диалоговые окна разрешений.

  4. Щелкните правой кнопкой мыши раздел реестра и снова выберите "Разрешения".

  5. Нажмите кнопку "Добавить...", добавьте учетную запись пользователя, нажмите кнопку "Проверить имена", а затем нажмите кнопку "ОК". Затем выберите поле проверка box в разделе "Разрешить полный доступ". Затем нажмите кнопку ОК.

Затем под ключом AllowedBuses добавьте пары имен и значений строки (REG_SZ) для каждой помеченной шины DMA, которая определяется как безопасная:

  • Ключ: описание понятного имени /устройства
  • Значение: PCI\VEN_ID&DEV_ID.

Убедитесь, что идентификаторы соответствуют выходным данным теста HLK. Например, если у вас есть безопасное устройство с понятным именем Contoso PCI Express Root Port, идентификатор поставщика 1022 и идентификатор устройства 157C, вы создадите запись реестра с именем Contoso PCI Express Root Port как REG_SZ тип данных в: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Где значение = "PCI\VEN_1022&DEV_157C"

Отключение автоматического шифрования устройств BitLocker

Изготовители оборудования могут отключить шифрование устройств и вместо этого реализовать собственную технологию шифрования на устройстве. Чтобы отключить автоматическое шифрование устройств BitLocker, можно использовать автоматический файл и задать значение PreventDeviceEncryption значение True.

Кроме того, можно обновить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker :

Значение: PreventDeviceEncryption равно True (1).

Устранение неполадок тестов BitLocker HLK

Триаж гораздо проще, если вы знаете следующие фрагменты сведений об устройстве под тестом:

  1. Спецификация TPM (например, 1.2, 2.0)
  2. Профиль PCR BitLocker (например, 7, 11 или 0, 2, 4, 11)
  3. Независимо от того, является ли компьютер AOAC или AOAC (например, устройства Surface являются компьютерами AOAC)

Эта информация рекомендуется, но не требуется для выполнения трех операций.

Проблемы С HLK BitLocker обычно связаны с одной из следующих проблем: неправильное толкование результатов теста или проблемы привязки PCR7.

Неправильное понимание результатов теста

Тест HLK состоит из нескольких этапов тестирования. Некоторые этапы тестирования могут завершиться ошибкой, не влияя на успешность или сбой общего теста. Дополнительные сведения о интерпретации страницы результатов см. здесь. Если некоторые шаги теста завершились неудачно, но общий тест проходит (как указано зеленым проверка рядом с именем теста), остановите здесь. Тест успешно выполнен, и для вашей части не требуется никаких действий.

Три этапа:

  1. Убедитесь, что вы выполняете правильный тест на компьютере. Щелкните правой кнопкой мыши любой шаг неудачного тестового > журнала > сборщика инфраструктуры>, просмотрите внутри RUNTIMEBLOCK.xml для элемента IsAOAC. Если IsAOAC=true и выполняется тест, отличный от AOAC, игнорируйте сбой и не выполняйте этот тест на компьютере. При необходимости обратитесь к служба поддержки Майкрософт команде за errata для передачи плейлиста.

    Screenshot of the failing test. The item Is A O A C is selected.

  2. Определите, применяется ли фильтр к тесту. HLK может автоматически предлагать фильтр для неправильно сопоставленного теста. Фильтр отображается как зеленый проверка знак внутри круга рядом с тестом. (Обратите внимание, что некоторые фильтры могут показать, что последующие шаги теста завершились сбоем или были отменены.) Изучите расширенные сведения о фильтре, разверив шаг теста с помощью специального значка. Если фильтр не учитывает сбой теста, остановится здесь.

Screenshot of filters

Проблемы PCR7

Распространенная проблема BitLocker, связанная с двумя тестами PCR7, является неудачной привязкой к PCR7.

Три этапа:

  1. Найдите сообщение об ошибке в журналах HLK. Разверните шаг тестового сбоя и изучите журнал Te.wtl. (Вы также можете получить доступ к этому журналу, щелкнув правой кнопкой мыши журналы > задач тестового шага > Te.wtl) Продолжить выполнение действий, если вы видите эту ошибку:

    Screenshot of the error message in H L K logs.

  2. Запустите msinfo32 от имени администратора и проверка конфигурацию безопасной загрузки или PCR7. Тест должен выполняться с помощью безопасной загрузки. Если привязка PCR7 не поддерживается, выполните соответствующий тест HLK устаревшей версии PCR. Если привязка PCR7 невозможна, выполните действия, описанные ниже.

  3. Проверьте журналы ошибок. Щелкните правой кнопкой мыши файлы тестовой задачи > "Дополнительные файлы". Как правило, проблема привязки PCR7 является результатом неправильных измерений в PCR7.

    1. Журналы событий. Журнал Microsoft-BitLocker-Management содержит ценные сведения об ошибках о том, почему PCR7 нельзя использовать. Тест HLK BitLocker должен выполняться только на компьютере с установленным BitLocker. Журналы событий должны быть проверка на компьютере, создающего их.
    2. Измеряемые журналы загрузки. Их также можно найти в C:\Windows\Logs\MeasuredBoot

  4. Анализ журнала измеряемой загрузки с помощью ТБ SLogGenerator.exe или эквивалента. На контроллере HLK ТБ SLogGenerator.exe находится в каталоге тестов HLK, где установлен HLK, например C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Test\amd64\nttest\BASETEST\ngscb\ТБ SLogGenerator.exe".

    1. ТБ SLogGenerator.exe -lf <путь к измеренному журналу>> загрузки OutputLog.txt
    2. В OutputLog.txt найдите "PCR[07]" и проверьте измерения, перечисленные в порядке. Первое измерение должно выглядеть примерно так:

Screenshot of the measurements list in Output Log dot t x t.

BitLocker ожидает определенный статический корень измерений доверия статических корней измерений доверия в PCR7, а любые варианты этих измерений часто запрещают привязку к PCR7. Следующие значения должны измеряться (в порядке и без лишних измерений между) в PCR7:

  • Содержимое переменной SecureBoot
  • Содержимое переменной PK
  • Содержимое переменной KEK
  • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE (DB)
  • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE1 (DBX)
  • (необязательно, но общие EV_SEPARATOR)
  • Записи в EFI_IMAGE_SECURITY_DATABASE, которые используются для проверки драйверов EFI или приложений загрузки EFI в пути загрузки. BitLocker ожидает только одну запись здесь.

Распространенные проблемы с измеренным журналом загрузки:

  • Режим отладки UEFI в
  • Отсутствующие переменные PK или KEK: измерение PK/KEK не имеет данных (например, 4 байта 0)
  • Недоверенная подпись ЦС UEFI

Некоторые измеренные проблемы загрузки, такие как запуск в режиме отладки UEFI, могут быть устранены тестировщиком. Для других проблем может потребоваться errata, в этом случае вы должны обратиться к группе служба поддержки Майкрософт для получения рекомендаций.